Segurança na nuvem é uma responsabilidade compartilhada

Segurança na nuvem é uma responsabilidade compartilhada entre o provedor da nuvem e o cliente. Existem basicamente três categorias de responsabilidades no Modelo de Responsabilidade Compartilhada: responsabilidades que são sempre do provedor, responsabilidades que são sempre do cliente e responsabilidades que variam dependendo do modelo de serviço: Infraestrutura como Serviço (IaaS), Plataforma como Serviço (PaaS) ou Software como Serviço (SaaS), como e-mail na nuvem.

As responsabilidades de segurança que são sempre do provedor estão relacionadas à salvaguarda da própria infraestrutura, bem como ao acesso, correção e configuração dos hosts físicos e da rede física na qual as instâncias de computação são executadas e o armazenamento e outros recursos residem.

As responsabilidades de segurança que são sempre do cliente incluem o gerenciamento dos usuários e seus privilégios de acesso (identidade e gerenciamento de acesso), a proteção das contas na nuvem contra acesso não autorizado, a criptografia e a proteção dos ativos de dados baseados na nuvem e o gerenciamento de sua postura de segurança (conformidade).

Os 7 Principais Desafios Avançados de Segurança na Nuvem

Porque a nuvem pública não tem perímetros claros, ela apresenta uma realidade de segurança fundamentalmente diferente. Isso se torna ainda mais desafiador quando se adota abordagens modernas de cloud computing, como os métodos de integração contínua automatizada e implantação contínua (CI/CD), arquiteturas distribuídas sem servidor e ativos efêmeros como funções como serviço e containers.

Alguns dos desafios avançados de segurança nativos da nuvem e as múltiplas camadas de risco enfrentadas pelas organizações orientadas à nuvem de hoje incluem:

  1. Superfície de ataque aumentada

    O ambiente de nuvem pública tornou-se uma superfície de ataque grande e altamente atraente para os hackers que exploram portas de entrada na nuvem com pouca segurança para acessar e interromper cargas de trabalho e dados na nuvem. Malware, Zero-Day, Account Takeover e muitas outras ameaças maliciosas tornaram-se uma realidade diária.

  2. Falta de Visibilidade e Rastreamento

    No modelo IaaS, os provedores da nuvem têm controle total sobre a camada de infraestrutura e não a expõem aos seus clientes. A falta de visibilidade e controle é ainda maior nos modelos de nuvens PaaS e SaaS. Os clientes da nuvem muitas vezes não conseguem identificar e quantificar de forma eficaz seus ativos de nuvem ou visualizar seus ambientes de nuvem.

  3. Ever-Changing Workloads

    Ativos em nuvem são provisionados e desativados dinamicamente – em escala e em velocidade. As ferramentas tradicionais de segurança são simplesmente incapazes de aplicar políticas de proteção em um ambiente tão flexível e dinâmico com suas cargas de trabalho em constante mudança e efêmeras.

  4. DevOps, DevSecOps e Automação

    As organizações que adotaram a cultura altamente automatizada de CI/CD DevOps devem garantir que os controles de segurança apropriados sejam identificados e incorporados em código e modelos no início do ciclo de desenvolvimento. Mudanças relacionadas à segurança implementadas após uma carga de trabalho ter sido implantada na produção podem minar a postura de segurança da organização, bem como prolongar o tempo de comercialização.

  5. Privilege and Key Management

    As funções dos usuários da nuvem são configuradas de forma muito flexível, concedendo privilégios extensivos além do que é pretendido ou exigido. Um exemplo comum é dar permissões de exclusão ou gravação de banco de dados para usuários não treinados ou usuários que não têm nenhuma necessidade comercial de excluir ou adicionar ativos de banco de dados. No nível do aplicativo, chaves e privilégios mal configurados expõem as sessões a riscos de segurança.

  6. Ambientes Complexos

    Gerenciar a segurança de forma consistente nos ambientes híbridos e multi-nuvem favorecidos pelas empresas hoje em dia requer métodos e ferramentas que funcionem perfeitamente entre provedores de nuvem públicos, provedores de nuvem privados e implantações no local – incluindo a proteção da borda da filial para organizações geograficamente distribuídas.

  7. Cumprimento e governança da nuvem

    Todos os principais provedores de nuvem se alinharam à maioria dos programas de acreditação bem conhecidos, como PCI 3.2, NIST 800-53, HIPAA e GDPR. Entretanto, os clientes são responsáveis por garantir que sua carga de trabalho e seus processos de dados estejam em conformidade. Dada a fraca visibilidade, bem como a dinâmica do ambiente em nuvem, o processo de auditoria de conformidade torna-se próximo da missão impossível, a menos que sejam utilizadas ferramentas para alcançar verificações contínuas de conformidade e emitir alertas em tempo real sobre configurações erradas.

Zero Trust e Why You Should Embrace It

O termo Zero Trust foi introduzido pela primeira vez em 2010 por John Kindervag que, naquela época, era um analista sênior da Forrester Research. O princípio básico do Trust Zero em segurança na nuvem é não confiar automaticamente em ninguém ou em nada dentro ou fora da rede – e verificar (ou seja, autorizar, inspecionar e proteger) tudo.

Zero Trust, por exemplo, promove uma estratégia de governança de privilégios mínimos, em que os usuários só têm acesso aos recursos de que necessitam para desempenhar suas funções. Da mesma forma, pede aos desenvolvedores que garantam que as aplicações voltadas para a web sejam devidamente protegidas. Por exemplo, se o desenvolvedor não tiver bloqueado as portas de forma consistente ou não tiver implementado permissões “conforme necessário”, um hacker que assume o aplicativo terá privilégios para recuperar e modificar os dados do banco de dados.

Além disso, as redes do Zero Trust utilizam micro-segmentação para tornar a segurança da rede em nuvem muito mais granular. A micro-segmentação cria zonas seguras em centros de dados e implementações em nuvem, segmentando assim as cargas de trabalho umas das outras, protegendo tudo dentro da zona, e aplicando políticas para proteger o tráfego entre zonas.

Os 6 Pilares da Segurança Robusta na Nuvem

Embora os provedores de nuvem como Amazon Web Services (AWS), Microsoft Azure (Azure) e Google Cloud Platform (GCP) ofereçam muitos recursos e serviços de segurança nativos da nuvem, soluções complementares de terceiros são essenciais para alcançar a proteção da carga de trabalho na nuvem de nível empresarial contra violações, vazamentos de dados e ataques direcionados no ambiente de nuvem. Apenas uma pilha de segurança integrada nativo da nuvem/terceira parte fornece a visibilidade centralizada e o controle granular baseado em políticas necessário para fornecer as seguintes melhores práticas do setor:

  1. Granular, IAM baseado em políticas e controles de autenticação em infraestruturas complexas

    Trabalhar com grupos e funções em vez de no nível individual de IAM para facilitar a atualização das definições de IAM à medida que os requisitos de negócios mudam. Conceder apenas os privilégios mínimos de acesso a ativos e APIs que são essenciais para que um grupo ou função execute suas tarefas. Quanto mais extensos forem os privilégios, maiores serão os níveis de autenticação. E não negligencie a boa higiene do IAM, aplicando políticas de senha fortes, permissões de expiração e assim por diante.

  2. Controles de segurança de rede em nuvem de confiança zero em redes logicamente isoladas e micro-segmentos

    Implantar recursos e aplicativos críticos para os negócios em seções logicamente isoladas da rede em nuvem do provedor, como o Virtual Private Clouds (AWS e Google) ou o vNET (Azure). Use sub-redes para micro-segmentar cargas de trabalho umas das outras, com políticas de segurança granulares em gateways de sub-rede. Use links WAN dedicados em arquiteturas híbridas e use configurações de roteamento estáticas definidas pelo usuário para personalizar o acesso a dispositivos virtuais, redes virtuais e seus gateways e endereços IP públicos.

  3. Aplicação de políticas e processos de proteção de servidores virtuais, tais como gerenciamento de mudanças e atualizações de software:

    Os fornecedores de segurança em nuvem fornecem um robusto Gerenciamento de Postura de Segurança na Nuvem, aplicando consistentemente regras e modelos de governança e conformidade ao provisionar servidores virtuais, auditando desvios de configuração e remediando automaticamente quando possível.

  4. Proteger todas as aplicações (e especialmente aplicações distribuídas em nuvem) com um firewall de aplicações web de próxima geração

    Isso inspecionará e controlará granularmente o tráfego de e para os servidores de aplicações web, atualizando automaticamente as regras WAF em resposta às mudanças de comportamento do tráfego, e é implantado mais próximo aos microserviços que estão executando cargas de trabalho.

  5. Proteção aprimorada de dados

    Proteção aprimorada de dados com criptografia em todas as camadas de transporte, compartilhamento seguro de arquivos e comunicações, gerenciamento contínuo de risco de conformidade e manutenção de boa higiene dos recursos de armazenamento de dados, como detecção de baldes mal-configurados e encerramento de recursos órfãos.

  6. Inteligência de ameaças que detecta e corrige ameaças conhecidas e desconhecidas em tempo real

    Fornecedores de segurança em nuvem de terceiros adicionam contexto aos grandes e diversos fluxos de registros nativos das nuvens, cruzando inteligentemente dados de registro agregados com dados internos, como sistemas de gerenciamento de ativos e configuração, scanners de vulnerabilidade, etc., e dados externos, como feeds de inteligência de ameaças públicas, bancos de dados de geolocalização, etc. Eles também fornecem ferramentas que ajudam a visualizar e consultar o cenário de ameaças e promovem tempos de resposta mais rápidos a incidentes. Algoritmos de detecção de anomalias baseados em IA são aplicados para capturar ameaças desconhecidas, que depois são submetidas a análise forense para determinar seu perfil de risco. Alertas em tempo real sobre intrusões e violações de políticas encurtam os tempos de remediação, às vezes até acionando fluxos de trabalho de auto-remediação.

Saiba mais sobre a Check Point CloudGuard Solutions

A plataforma de segurança unificada CloudGuard da Check Point integra-se perfeitamente com os serviços de segurança na nuvem dos provedores para garantir que os usuários da nuvem mantenham sua parte do Modelo de Responsabilidade Compartilhada e mantenham políticas de confiança zero em todos os pilares da segurança na nuvem: controle de acesso, segurança de rede, conformidade com servidores virtuais, carga de trabalho e proteção de dados e inteligência de ameaças.

>

Check Point Unified Cloud Security Solutions

  • Cloud Native Cloud Security Solutions
  • Cloud Security Posture Management
  • Cloud Workload Protection
  • Cloud Intelligence e Caça à Ameaça
  • Segurança da Rede em Alta-voz
  • Segurança sem Servidor
  • Segurança do Contêiner
  • Segurança do AWS
  • Segurança do Azure
  • Segurança do GCP
  • Segurança da Nuvem de Segurança da Banda

admin

Deixe uma resposta

O seu endereço de email não será publicado.

lg