0
0
À medida que as infraestruturas em nuvem se tornam cada vez mais orientadas por APIs e espalhadas dinamicamente por superfícies de ataque expansivas, é difícil obter clareza. Para agravar este desafio está a integração de práticas DevOps, microsserviços e tecnologias de contentores, que, ao mesmo tempo que promovem a agilidade e a escalabilidade, introduzem camadas adicionais de complexidade e potenciais pontos cegos de segurança.
Nesta entrevista da Help Net Security, Kennedy Torkura, CTO da Mitigant , discute a complexidade de manter uma visibilidade clara nos ambientes de nuvem, por que isso representa um desafio tão grande para os CISOs e como eles podem se preparar para resolver possíveis problemas.
Você pode discutir o papel da visibilidade no gerenciamento da segurança na nuvem e por que é um desafio tão significativo para os CISOs atualmente?
A visibilidade da postura de segurança é crítica para ficar à frente dos invasores da nuvem devido à natureza da infraestrutura da nuvem . A infraestrutura de nuvem é amplamente orientada por API, composta de recursos dinâmicos espalhados principalmente por uma ampla superfície de ataque. A combinação desses fatores e muitos outros apresenta grandes desafios para uma segurança de nuvem eficaz. Portanto, um requisito fundamental para controlar a segurança na nuvem é permitir uma visibilidade confiável. Vários mecanismos poderiam ser aproveitados para aumentar a visibilidade, incluindo a implementação de mecanismos de registro e monitoramento, permitindo estratégias de gerenciamento de mudanças que rastreiem todas as mudanças nos recursos e configurações da nuvem e implementando estratégias de detecção de ameaças e resposta a incidentes.
Como o ambiente dinâmico do DevOps, especialmente com a introdução de microsserviços e contêineres, contribui para a complexidade de manter uma visibilidade clara em ambientes de nuvem?
Apesar de suas vantagens, microsserviços e contêineres trazem diversas camadas de abstração, que aumentam a complexidade dos sistemas nativos da nuvem. A equipe de segurança do Kubernetes usa a noção dos “ 4Cs da segurança nativa da nuvem ” para explicar esse fenômeno. Microsserviços e contêineres operam em várias camadas de abstração compostas por diversas tecnologias, incluindo diferentes tipos de protocolos de comunicação. Os mecanismos de segurança geralmente são projetados para tratar de questões de segurança em tecnologias específicas.
Consequentemente, isto limita a eficácia dos mecanismos de segurança com uma camada de abstração. Em última análise, numa infraestrutura nativa da nuvem, são necessários vários mecanismos de segurança para permitir a visibilidade. No entanto, estes mecanismos de segurança operam frequentemente em silos e, portanto, lutam para fornecer visibilidade unificada. A superação desses desafios exige a implantação de canais de comunicação em mecanismos de segurança distintos nas diversas camadas de abstração. Além disso, os microsserviços e os contêineres são projetados para serem dinâmicos, portanto, rastrear e manter a visibilidade é um desafio.
Considerando a tendência crescente de agentes de ameaças explorando configurações incorretas para se infiltrar nas organizações, quais estratégias os CISOs devem adotar para mitigar esses riscos em seus ambientes de nuvem?
A taxa de prevalência e sofisticação das ameaças está a aumentar rapidamente, o que é uma grande preocupação para muitas organizações. Não existe uma abordagem única para superar estes desafios; organizações maduras com orçamentos de segurança suficientes não foram poupadas, então a solução não é apenas ter o orçamento suficiente para adquirir as melhores soluções de segurança. A higiene básica de segurança constitui a base para mitigar os riscos associados. As organizações precisam garantir isso promovendo uma cultura de segurança cibernética. Além disso, a noção de “presumir violação” é imperativa, uma vez que não há garantia de alcançar 100% de segurança.
As organizações precisam implementar mecanismos de segurança que validem continuamente a eficiência dos mecanismos de segurança. Várias soluções de segurança podem ser aproveitadas para validar continuamente a eficiência da segurança, incluindo engenharia de caos de segurança, emulação de adversários e caça a ameaças. O último ponto que gostaria de mencionar é a passagem da segurança cibernética para a resiliência cibernética . Enquanto a segurança cibernética visa detectar e prevenir ataques, a resiliência cibernética visa interromper ou adaptar-se a ataques, permitindo a continuidade dos negócios diante da adversidade.
Como o uso de várias nuvens públicas e privadas e ambientes locais aumenta a complexidade do gerenciamento e o custo operacional?
A utilização de múltiplas nuvens públicas e privadas, juntamente com ambientes locais, introduz vários desafios que podem contribuir para o aumento da complexidade de gestão e dos custos operacionais para as organizações. Embora ambientes multinuvem e híbridos ofereçam vários benefícios, como flexibilidade, escalabilidade e resiliência, eles também vêm com complexidades inerentes que devem ser gerenciadas com cuidado. A utilização de múltiplas nuvens públicas e privadas, incluindo ambientes locais, implica infraestruturas diversas com diferentes APIs, tecnologias, etc.
Manter uma postura de segurança consistente neste ambiente diversificado é um grande desafio. Os mecanismos de segurança seriam diferentes por nuvem e as competências necessárias para gerir os mecanismos seriam igualmente diferentes. O impacto desse ambiente diversificado abrange pessoas, processos e tecnologia e potencialmente cria pontos cegos que os invasores podem aproveitar. Da mesma forma, a superfície de ataque exposta nesta infraestrutura diversificada é um desafio para governar.
Você pode descrever os problemas que as organizações podem enfrentar ao adicionar serviços em nuvem de maneira ad hoc? Como essas práticas podem ser melhoradas?
Os serviços em nuvem fornecem muito valor para as organizações. No entanto, a decisão de adicionar mais serviços em nuvem precisa ser governada e considerada não apenas do ponto de vista da funcionalidade, mas também do ponto de vista da segurança. A noção de segurança por padrão deve ser respeitada, especialmente porque os serviços em nuvem tendem a ter funcionalidades sobrepostas; portanto, adicionar mais serviços sem planejamento adequado pode resultar em redundância, desperdício de recursos e expansão injustificada da superfície de ataque existente.
Isso pode ser evitado com a adoção de várias práticas de segurança, incluindo análises de arquitetura e design de segurança e exercícios de modelagem de ameaças para justificar a necessidade desses serviços. Outras abordagens para resolver esse problema incluem o uso de serviços fornecidos por provedores de serviços em nuvem para aplicar políticas em toda a organização, por exemplo, AWS Organization. Com esses serviços, uma governança rigorosa pode ser aplicada para evitar o uso intencional ou errôneo de serviços em nuvem não planejados anteriormente.
Com poucas equipes de TI possuindo o conhecimento necessário para gerenciar implantações híbridas que abrangem várias nuvens públicas, nuvens privadas e ambientes locais, como os CISOs podem se preparar para lidar com possíveis problemas? Que treinamento ou aprimoramento de habilidades pode ser feito?
Um grande desafio na indústria hoje é a falta de habilidades suficientes. Várias medidas poderiam ser implementadas para enfrentar este desafio, incluindo a disponibilização de um orçamento educacional e oportunidades de formação para que o pessoal adquira conhecimentos e competências relacionados com as suas funções. Vários programas de treinamento online oferecem programas de treinamento em nuvem para organizações. As organizações podem aproveitar essas oportunidades assinando esses programas e incentivando os funcionários a se inscreverem e passarem por eles.
Além disso, programas de formação em nuvem também podem ser organizados dentro da organização, onde especialistas externos ou internos são convidados a partilhar os seus conhecimentos. Isso pode ser uma mistura de conceitos teóricos e estilo de dia de jogo/hackathons práticos que permitem praticar habilidades de computação em nuvem.
FONTE: HELP NET SECURITY