0
0
A migração de tudo para a nuvem e o aumento correspondente de ataques cibernéticos, ransomware, roubo de identidade e fraude digital deixam claro que o acesso seguro a sistemas de computador é essencial. Quando falamos em acesso seguro, tendemos a pensar em humanos tendo acesso a aplicativos e recursos de infraestrutura. Mas o verdadeiro ponto cego de segurança é a infraestrutura de computação, ou seja, as próprias máquinas.
A ascensão das máquinas
A economia digital moderna conta com uma enorme rede de data centers com supostamente 100 milhões de servidores operando em todo o mundo. Esses 100 milhões de servidores físicos podem representar quase um bilhão de servidores virtuais, cada um um ponto de entrada para hackers e maus atores patrocinados pelo Estado. Além disso, dependendo de qual analista você ouvir, o número de dispositivos conectados não mostra sinais de desaceleração – a base instalada para internet das coisas (IoT) teria sido de cerca de 35 bilhões até o final de 2021, com 127 novos dispositivos conectando-se à internet a cada segundo. Essa é uma quantidade incrível de comunicação máquina a máquina, ainda mais quando você leva em conta as demandas 24 horas por dia, 7 horas por semana, na sociedade conectada.
Ao mesmo tempo, os ataques de negação de serviço (DoS) e a maioria das tentativas de hackers também são automatizados. Hackers humanos escrevem explorações de software, mas contam com grandes frotas de computadores comprometidos para implantá-los.
No perigoso mundo da computação em nuvem as máquinas estão invadindo máquinas.
Por essas razões, não é hipérbole dizer que as identidades das máquinas e o acesso seguro tornaram-se uma prioridade tanto para os líderes de TI quanto para os tomadores de decisão. Nos 18 meses desde que a gestão de identidade de máquina fez sua estreia no Ciclo de Hype do IAM 2020 do Gartner, a confiança que precisamos ter nas máquinas em que confiamos para uma comunicação e acesso perfeitos tornou-se uma parte crítica da otimização dos negócios.
A tecnologia de acesso máquina a máquina está ficando para trás
A razão fundamental para o aumento das tentativas de hackers bem sucedidas é explicada pelo fato de que a tecnologia de acesso máquina a máquina não é tão avançada quanto sua contrapartida homem-a-máquina.
É bem aceito que a dependência da segurança da rede do perímetro, contas compartilhadas ou credenciais estáticas, como senhas, são anti-padrões. Em vez de depender de contas compartilhadas, o acesso moderno entre humanos e máquinas agora é realizado usando identidades humanas via SSO. Em vez de depender do perímetro da rede, uma abordagem de confiança zero é a preferida.
Essas inovações ainda não entraram no mundo da comunicação máquina a máquina. As máquinas continuam a confiar nas credenciais estáticas – o equivalente a uma senha chamada chave API. Muitas vezes as máquinas também dependem da segurança do perímetro, com microsserviços conectados a bancos de dados sem criptografia, autenticação, autorização ou auditoria.
Há um consenso emergente de que a autenticação e a autorização baseadas em senha para humanos são lamentavelmente inadequadas para proteger nossa infraestrutura digital crítica.
Como resultado, as organizações estão cada vez mais implementando soluções “sem senha” para seus funcionários que dependem da integração com provedores SSO e aproveitam soluções populares, seguras e amplamente disponíveis baseadas em hardware, como Apple Touch ID e Face ID para acesso.
No entanto, embora ambos superem os humanos e tenham a capacidade de criar danos mais generalizados devido à escala e automação, as máquinas ainda estão frequentemente usando métodos de segurança desatualizados, como senhas, para obter acesso a sistemas críticos.
Estes métodos incluem, mas não se limitam a:
- Uso de credenciais estáticas, como chaves de API (“senhas para máquinas”)
- Dependência de credenciais compartilhadas quando a mesma chave é usada por diferentes serviços
- Dependência da segurança do perímetro, quando apenas o limite da rede é protegido.
Para uma noção unificada de identidade para humanos e máquinas
Se as senhas são insuficientes para proteger aplicativos e recursos de infraestrutura para humanos, precisamos reconhecer que elas são ainda piores para máquinas. Mas com o que devemos substituí-los? Sem as pontas dos dedos ou um rosto, o Touch ID e o Face ID não são iniciantes.
Acredito que a resposta é certificados de curta duração e criptograficamente seguros. Cada máquina e cada microsserviço que está em execução nele devem receber um certificado e usá-lo para se comunicar com outras pessoas.
Um certificado é superior a outras formas de autenticação e autorização de várias maneiras.
Primeiro, contém metadados sobre a identidade de seu dono. Isso permite que as máquinas de produção assumam uma identidade diferente da frota de encenação ou teste. Um certificado permite acesso altamente granular, de modo que o “raio de explosão” de um microsserviço comprometido será limitado apenas a recursos acessíveis a esse microsserviço. Os certificados também expiram automaticamente, de modo que a perda de um certificado limitará ainda mais a exposição.
Certificados não são novos. Eles aderem ao padrão aberto chamado X.509 e já são amplamente usados para protegê-lo quando você visita sites como este. O pequeno bloqueio na barra de endereços do seu navegador é o resultado de uma Autoridade de Certificados confirmando que o site está criptografando tráfego e tem um certificado SSL/TLS válido. O certificado impede que um site falso se passe por um legítimo. Let’s Encrypt é a maneira mais popular de gerar esses certificados para sites e atualmente é usado por mais de 260 milhões de sites em todo o mundo.
Precisamos adotar certificados para todas as formas de comunicações máquina a máquina. Como o Let’s Encrypt, este sistema deve ser de código aberto para que qualquer pessoa possa usá-lo, independentemente da capacidade de pagamento. Deve ser trivial solicitar, distribuir e renovar certificados que identifiquem exclusivamente uma máquina.
Se todas as máquinas tiverem uma identidade, as organizações podem gerenciar o acesso à infraestrutura com um sistema sem senha que trata pessoas e máquinas da mesma maneira. Essa simplicidade não só é mais segura, uma vez que a complexidade é a causa mais comum de insegurança, mas também simplifica drasticamente a implementação. Por exemplo, as empresas já possuem regras que impedem um estagiário de ter acesso à raiz em um servidor de produção. Agora, eles podem ter uma regra que dita que um bot de CI/CD não deve ser capaz de fazer login em um banco de dados de produção. Ambos os usuários podem ser autenticados com a mesma técnica (certificados de curta duração), autorizados usando o mesmo catálogo de funções e auditados com as mesmas soluções de registro e monitoramento.
Tornando o mundo um lugar mais seguro
A alegria de ser humano é cada vez mais mediada por máquinas. Talvez você esteja cantando feliz aniversário via Zoom para um parente distante, ou abrindo uma conta de poupança da faculdade para um neto. Nada disso é possível sem uma vasta frota de servidores espalhados pelo mundo. Todos nós merecemos saber que as máquinas que compõem essa rede têm uma identidade, e que sua identidade é usada para autorizar e auditar explicitamente suas ações. Ao tirar a identidade da máquina das sombras, o mundo será um lugar mais seguro.
FONTE: HELPNET SECURITY