0
0
Na recente CloudNativeSecurityCon em Seattle, 800 praticantes de DevSecOps se reuniram para tratar de inúmeras questões de segurança da cadeia de suprimentos de software, incluindo a segurança de imagens de contêineres e o impacto da confiança zero na cadeia de suprimentos de software.
Em 2022, havia 7,1 milhões de desenvolvedores nativos da nuvem , 51% a mais do que os 4,7 milhões 12 meses antes, disse Priyanka Sharma, diretora executiva da Cloud Native Computing Foundation, na palestra de abertura. “Todo mundo está se tornando um desenvolvedor nativo da nuvem”, disse Sharma.
No entanto, essa rápida mudança para o desenvolvimento nativo da nuvem pode ser uma fonte de preocupação porque os ciclos de lançamento rápidos podem levar as organizações a não seguir as práticas de desenvolvimento seguro do ciclo de vida (SDLC), alertou Sharma. O “State of Cloud Security Report 2022 ” da Snyk descobriu que 77% das organizações reconheceram que têm treinamento ruim e falta de colaboração efetiva entre desenvolvedores e equipes de segurança.
“Existem equipes isoladas que geralmente trabalham em países, fusos horários diferentes, usando diferentes ferramentas, estruturas políticas”, disse Sharma. “No ambiente nativo da nuvem, estamos interagindo com muitas outras entidades. Adicione uma falta de política de segurança e aí está a receita para sua violação de segurança.”
A falta de políticas de segurança está alimentando um aumento nas vulnerabilidades devido a configurações incorretas . Um número alarmante de 87% das imagens de contêiner em execução na produção têm vulnerabilidades críticas ou de alta gravidade, acima dos 75% de um ano atrás, de acordo com o ” Relatório de uso e segurança nativa da nuvem Sysdig 2023 “. No entanto, apenas 15% dessas vulnerabilidades críticas e de alta gravidade não corrigidas estão em pacotes em uso no tempo de execução quando os patches estão disponíveis.
As descobertas da Sysdig são baseadas na telemetria coletada de milhares de contas de nuvem de seus clientes, totalizando bilhões de contêineres. A alta porcentagem de vulnerabilidades críticas ou de alta gravidade em contêineres é o resultado da pressa das organizações em implantar aplicativos de nuvem modernos. O impulso criou um influxo de desenvolvedores de software migrando para o modelo de programação de desenvolvimento contínuo (CI/CD) de integração contínua mais ágil.
O relatório do Sysdig recomenda a filtragem para isolar apenas os pacotes críticos e altamente vulneráveis em uso, a fim de focar naqueles que apresentam maior risco. Além disso, apenas 2% das vulnerabilidades são exploráveis.
“Observar o que tem exposição em uso, o que está realmente em uso no tempo de execução e ter a correção disponível ajudará as equipes a priorizar”, disse Crystal Morin, pesquisadora de ameaças da Sysdig, à Dark Reading.
5 elementos da implementação de confiança zero
Sharma apontou para o ” Cost of a Data Breach Report ” do ano passado da IBM e do Ponemon Institute, que mostrou que 79% das organizações não mudaram para um ambiente de confiança zero.
“Isso realmente não é bom , porque quase 20% das violações ocorrem devido a um comprometimento de um parceiro de negócios “, disse Sharma. “E lembre-se de que quase metade das violações que ocorrem são baseadas na nuvem”.
Uma barreira importante para instituir a confiança zero são os ambientes em que as permissões não estão sob controle. De acordo com o relatório do Sysdig, 90% das permissões concedidas não são usadas, criando um caminho fácil para o roubo de credenciais. De acordo com o relatório, “as equipes precisam impor o acesso com privilégios mínimos e isso requer uma compreensão de quais permissões estão realmente em uso”.
Zack Butcher, engenheiro fundador da Tetrate e um dos primeiros engenheiros do projeto de service mesh Istio do Google, disse aos participantes que criar um ambiente de confiança zero não é tão complicado.
“A confiança zero em si não é um mistério”, disse ele. “Há muito FUD [medo, incerteza e dúvida] sobre o que é confiança zero. São basicamente duas coisas: as pessoas processam e controlam o tempo de execução que respondem e atenuam a pergunta: ‘E se o invasor já estiver dentro dessa rede?'”
Butcher identificou cinco verificações de política que constituiriam um sistema de confiança zero:
- Criptografia em trânsito para garantir que as mensagens não sejam espionadas.
- Identidade de nível de serviço para habilitar autenticação em tempo de execução, idealmente uma identidade criptográfica.
- A capacidade de usar essas identidades para executar autorização de serviço-serviço em tempo de execução para controlar quais cargas de trabalho podem se comunicar.
- Autenticando o usuário final na sessão.
- Um modelo que autoriza as ações que os usuários estão realizando nos recursos do sistema.
Butcher observou que, embora essas verificações não sejam novas, um esforço está em andamento para criar um padrão de segmentação baseado em identidade com o Instituto Nacional de Padrões e Tecnologia (NIST).
“Se você olhar para coisas como gateways de API e gateways de entrada, geralmente fazemos essas verificações”, disse ele. “Mas precisamos fazê-los, não apenas na porta da frente, mas em cada salto em nossa infraestrutura. Sempre que algo estiver se comunicando, precisamos aplicar, no mínimo, essas cinco verificações.”
Padrão NIST chegando
Durante uma sessão de intervalo, Butcher e o cientista da computação do NIST, Ramaswamy “Mouli” Chandramouli, explicaram os cinco controles e como eles se encaixam em uma arquitetura de confiança zero. Ferramentas como service mesh podem ajudar a implementar muitos desses controles, disse Butcher.
A apresentação é um resumo de uma proposta que será apresentada como NIST SP 800-207A: “Um modelo de arquitetura de confiança zero (ZTA) para controle de acesso em aplicativos nativos de nuvem em ambientes multilocais”. “Esperamos lançar isso para revisão pública inicial em junho”, disse Butcher.
Butcher disse que a segurança da cadeia de suprimentos é um componente crítico de uma arquitetura de confiança zero.
“Se não pudermos inventariar e atestar o que está sendo executado em nossa infraestrutura, deixamos uma lacuna para os invasores explorarem”, disse ele. “Confiança zero como filosofia trata de mitigar o que um invasor pode fazer se estiver na rede. O objetivo é limitar seu ataque no espaço e no tempo, e controlar os aplicativos executados nessa infraestrutura é um elemento-chave para limitar o espaço um invasor tem que trabalhar.”
FONTE: DARK READING