O que é segurança na nuvem?

Segurança na nuvem é uma série de etapas observadas para proteger um ambiente de nuvem, seja privado ou público, contra ameaças de segurança internas e externas.

A computação em nuvem é um método de armazenamento de dados, infraestrutura e aplicativos pela Internet. A segurança na nuvem é um meio de proteger a nuvem contra ataques, tanto externos quanto internos. Geralmente, é regido por uma série de controles, procedimentos e políticas que funcionam em conjunto para proteger todos os ativos na nuvem. Esses protocolos, quando implementados, também podem ajudar na conformidade regulatória e na redução da sobrecarga administrativa.

A segurança na nuvem é fundamentalmente a segurança de TI, mas localizada em algum lugar centralizado. As medidas e a proteção são as mesmas, mas a segurança na nuvem é hospedada em software. O software de computação em nuvem é facilmente escalável, portátil e dinâmico, o que permite que ele responda a um ambiente e acompanhe os fluxos de trabalho associados. Isso também reduz exponencialmente o risco de perda ou corrupção de dados.

Confiança zero e por que você deve adotá-la

Como padrão, os profissionais de segurança não devem confiar automaticamente em nada dentro ou fora da rede. As políticas de confiança zero impõem princípios de menor privilégio, onde os usuários recebem apenas a menor quantidade possível de acesso e recursos de que precisam para executar a função. A microssegmentação também é utilizada, o que decompõe a segurança da nuvem criando zonas seguras que segmentam as cargas de trabalho umas das outras.

  • Nuvem privada interna: utilizada pela equipe interna que opera o ambiente virtual.
  • Nuvem privada do provedor de nuvem pública: um terceiro fornece ao ambiente de computação um ambiente que atenda a um cliente.
  • Nuvem pública: software como serviço (SaaS), infraestrutura como serviço (IaaS) e plataforma como serviço (PaaS).
  • Nuvem híbrida: os sistemas de nuvem privada e pública são compartilhados por provedores públicos e privados, divididos por com base em custos, sobrecarga e cargas de trabalho.

Segurança centralizada

A segurança na nuvem centraliza as medidas de segurança da mesma maneira que a computação em nuvem centraliza os dados. A análise de tráfego, o monitoramento de eventos de rede e a filtragem da Web podem ser gerenciados centralmente e exigem menos atualizações de políticas e software, o que pode simplificar o processo de TI e liberar tempo para mais trabalho técnico em vez de monitorar vários sistemas.

Custos redirecionados

A segurança na nuvem reduz a necessidade de hardware dedicado, o que pode reduzir drasticamente os custos, inclusive a sobrecarga administrativa. As equipes de TI também estão trabalhando de forma reativa para as ameaças à segurança, o que pode consumir mais tempo do que as medidas proativas de segurança da nuvem que oferecem monitoramento constante e quase nenhuma interação humana.

Administração reduzida

A segurança na nuvem reduz a necessidade de interação e intervenção humana. Não há configurações e atualizações de segurança manuais que possam consumir tempo e outros recursos valiosos. Toda a administração de segurança é gerenciada automaticamente e em um local central.

Confiabilidade

As medidas certas de computação em nuvem podem permitir que os usuários acessem com segurança ativos de vários locais com muito pouco problema.

Existem algumas maneiras de como, onde e por que surgem as vulnerabilidades:

Superfície de ataque aumentada

Os ambientes em nuvem são cada vez mais alvos de ataques de hackers que procuram explorar vulnerabilidades mal protegidas, o que dá a eles a capacidade de acessar dados e interromper processos. Os ataques comuns incluem malware, ataques de dia zero e apropriação indébita de contas.

Falta de visibilidade e controle

Pode ser difícil para os clientes de nuvem quantificar os ativos ou visualizar os próprios ambientes quando os provedores de nuvem têm controle total e não expõem a infraestrutura aos clientes.

Cargas de trabalho em constante mudança

Pode haver uma dificuldade com as ferramentas de segurança tradicionais, pois elas normalmente não são capazes de impor políticas em ambientes de nuvem dinâmicos. Os ativos de nuvem são alterados de forma rápida e dinâmica, o que pode contribuir para esse problema.

DevOps, DevSecOps e automação

Os DevOps e DevSecOps estão sendo adotados gradualmente pelas organizações como parte da cultura. Os dois sistemas são automatizados e trabalham para incorporar controles e protocolos de segurança em cada etapa do processo de desenvolvimento, o que significa que as alterações de segurança após o desenvolvimento do produto podem prejudicar o ciclo e aumentar o tempo para disponibilização ao mercado.

O que é DevOps?

Gerenciamento granular de privilégios e chaves

As sessões podem ser expostas a riscos de segurança quando há chaves configuradas incorretamente. Os programas em nuvem podem, por padrão, também oferecer muitas permissões a uma conta, o que viola o princípio do menor privilégio.

Ambientes complexos

As empresas tendem a favorecer ambientes híbridos e multinuvem. Esses métodos tendem a exigir ferramentas que podem funcionar em todos os tipos de modelos de nuvem, incluindo pública e privada, e as ferramentas nem sempre são facilmente implantadas ou configuradas.

Conformidade e governança de nuvem

As organizações são responsáveis por garantir que seus processos estejam alinhados a programas de certificação como HIPAA, FDPR, PCI 3.2 e NIST 800-53. Isso pode ser difícil, pois nem sempre há uma grande visibilidade dos ambientes de nuvem. Ferramentas especializadas geralmente são necessárias para auditorias e para garantir conformidades contínuas.

As nuvens públicas, embora geralmente seguras, não têm o mesmo fator de isolamento que as nuvens privadas. Eles são multiusuários, o que significa que uma empresa pode alugar espaço no servidor de um sistema que também hospeda outros locatários com o próprio espaço no servidor. A empresa de hospedagem geralmente supervisiona as medidas de segurança e garante que cada empresa tenha a quantidade apropriada de privacidade.

Mas o fator multilocatário pode representar a própria ameaça. Se outro locatário permitir algo prejudicial ou agir de forma descuidada, ataques como DDoS (ataques distribuídos de negação de serviço) podem se espalhar.

A criptografia e a segurança são aplicadas a diferentes cargas de trabalho em diferentes níveis, de acordo com as demandas. As nuvens híbridas oferecem a capacidade de reduzir melhor os riscos. A combinação de dois ambientes de nuvem permite a diversificação e a escolha de colocar cargas de trabalho em certos lugares, dependendo dos diferentes requisitos. Por exemplo, cargas de trabalho e dados mais confidenciais podem ser armazenados em uma nuvem privada, e mais cargas de trabalho padrão podem ser colocadas em uma nuvem pública. Embora haja dificuldades como uma superfície de ataque maior e migração de dados, a diversificação com uma nuvem híbrida é uma ótima maneira de reduzir os riscos de segurança.

IAM granular e baseado em políticas e controles de autenticação em infraestruturas complexas
É aconselhável trabalhar em grupos e funções em vez de trabalhar em um nível individual de gerenciamento de identidade e acesso. Grupos e funções podem facilitar a atualização de regras e requisitos de negócios. Os princípios de menor privilégio são idealmente aplicados a cada grupo ou função. Uma boa higiene no gerenciamento de identidade e acesso tem diretivas de senha fortes e tempos limite de permissão.

Controles de segurança de rede em nuvem de confiança zero em redes e microssegmentos isolados logicamente
Isole logicamente recursos dentro de uma rede da nuvem e recursos de microssegmento usando sub-redes para definir uma política de segurança em um nível de sub-rede. Use configurações estáticas definidas pelo usuário e uma WAN dedicada para personalizar o acesso dos usuários.

Aplicação de políticas e processos de proteção de servidores virtuais, como gerenciamento de mudanças e atualizações de software
Os fornecedores de nuvem aplicam regras de conformidade consistentemente ao configurar um servidor virtual.

Proteção de todos os aplicativos (e especialmente aplicativos distribuídos nativos da nuvem) com um firewall de aplicativo da Web de última geração
Inspeção granular e controle de tráfego de servidores, atualizações automáticas de regras WAF e microsserviços que executam cargas de trabalho.

Proteção de dados aprimorada
Criptografia em todas as camadas de transporte, gerenciamento contínuo de riscos, comunicações seguras e manutenção da higiene do armazenamento de dados.

Threat Intelligence que detecta e corrige ameaças conhecidas e desconhecidas em tempo real
Fornecedores de nuvem fazem referência cruzada de dados de registro agregados com dados internos e externos para adicionar contexto a diversos fluxos de registros nativos. Há também sistemas de detecção de anomalias de IA que podem detectar ameaças para análises forenses para determinar o nível de ameaça. Os alertas em tempo real podem visualizar um cenário de ameaças para tempos de resposta mais rápidos.

  • SaaS: os clientes devem proteger seus próprios dados e acesso de usuários.
  • PaaS: os clientes protegem seus próprios dados, acesso de usuários e aplicativos.
  • IaaS: os clientes protegem os próprios dados, acesso de usuários, sistemas operacionais, tráfego de rede virtual e aplicativos.

Usar software confiável

Use somente software de fontes conhecidas e confiáveis. É importante entender o que está sendo implantado na nuvem, de onde veio e se há ou não potencial para código mal-intencionado.

Entender a conformidade

Existem leis rígidas de conformidade que regulam a forma como os dados são usados, incluindo informações pessoais e financeiras. Verifique os regulamentos necessários e entenda se o ambiente de nuvem pode ou não ajudar você a manter a conformidade.

Gerenciar ciclos de vida

O gerenciamento do ciclo de vida pode ajudar a evitar instâncias negligenciadas. Instâncias desatualizadas podem apresentar um risco de segurança, pois não há patches de segurança implantados.

Considerar a portabilidade

Deve haver sempre a capacidade de migrar cargas de trabalho para outra nuvem, mesmo que não haja um plano para isso.

Utilizar o monitoramento contínuo

O monitoramento constante de espaços de trabalho pode ajudar na prevenção de violações de segurança.

Escolher as pessoas certas

A equipe deve ser confiável e altamente qualificada. É essencial que toda a equipe compreenda as complexidades da segurança na nuvem. Se houver a opção de mudar para um fornecedor terceirizado, verifique se a equipe está bem equipada e bem instruída.

Primeiros passos com o SecOps

Identifique, priorize e responda a ameaças mais rapidamente.