O gerenciamento de identidade e acesso é a pedra angular da segurança na nuvem. É também o produto mais complexo de entender. Muitas vezes, leva a uma falha na atribuição do menor número de privilégios necessários. Quando ocorre uma violação, os invasores podem acessar outras partes de uma organização se um conjunto muito amplo de privilégios tiver sido atribuído a aplicativos e serviços.
Conscientização e conhecimento significativos dentro da equipe de infraestrutura das empresas podem ser necessários para garantir que elas possam colocar controles eficazes em prática, especialmente em torno do gerenciamento de identidade e como restringir o acesso a determinados funcionários.
Traduzindo Controles de Segurança para a Nuvem
Frequentemente, as equipes de segurança interna não têm conhecimento suficiente da nuvem pública. Elas conhecem seus próprios controles e políticas em um nível organizacional, mas não necessariamente sabem como traduzi-los para as tecnologias usadas na Nuvem. Podemos mostrar a elas quais controles da AWS fazem sentido implementar e como monitorar a infraestrutura para conformidade de segurança.
Como especialistas em infraestrutura, frequentemente nos encontramos falando diretamente com desenvolvedores e um líder ou equipe de infraestrutura dentro de uma organização para ajudá-los a fazer as mudanças necessárias para melhorar a segurança da Nuvem. Na nuvem pública, isso pode ser bem complicado e, do ponto de vista de um desenvolvedor, se ele for uma startup ou uma empresa que não tenha esses controles em vigor, ele corre o risco de ficar aberto a um vale-tudo.
Protegendo a Camada de Rede
Proteger a camada de rede é essencial para reduzir a superfície de ataque. Para proteger seus aplicativos e serviços implantados, use uma abordagem de segurança em camadas com vários controles de segurança em um nível de rede. Useconfiança zero: nunca confie; sempre verifique. Os provedores de nuvem pública têm várias ferramentas para implementar autenticação, autorização e redes privadas e isoladas dentro de seus catálogos.
Sem perceber, as empresas podem tornar todos os seus serviços publicamente disponíveis por padrão, porque essa é a maneira padrão de fazer algo funcionar na nuvem. Os controles estão disponíveis se você quiser usar o armazenamento de objetos na nuvem . Você pode dizer que ninguém pode acessar este ou aquele arquivo, mas o serviço ainda é acessível publicamente.
Então, quando você vai para a nuvem pública, há um esforço necessário para restringir o acesso e construir esses controles em camadas para garantir que, por exemplo, apenas os desenvolvedores ou funcionários conectados a uma VPN possam acessar os serviços, mesmo os serviços que são públicos por padrão em uma nuvem pública.
Identificando Serviços Expostos Publicamente
É importante identificar todos os serviços que são expostos publicamente. Se você cometer um erro no controle de acesso ou tiver um bug em seu aplicativo, é possível que alguém roube informações. Isso aconteceu — mais notavelmente em 2019, quando um hacker obteve acesso a 100 milhões de aplicativos e contas de cartão de crédito do Capital One.
Ativando Recursos de Segurança da Nuvem
Então, ative os recursos de segurança da nuvem. Os provedores de nuvem pública têm controles que você pode ativar opcionalmente para aumentar a segurança. Alguns foram até introduzidos após grandes violações de clientes da nuvem (por exemplo, a violação do Capital One levou ao recurso AWS IMDSv2). O monitoramento de segurança da API da nuvem e as listas de verificação de melhores práticas também estão disponíveis.
Criptografando Tudo
Criptografe tudo. Os provedores de nuvem pública têm Sistemas de Gerenciamento de Chaves para facilitar a criptografia. Os controles podem ser definidos para permitir tráfego criptografado apenas para armazenamentos de dados. O objetivo ideal é criptografar todo o tráfego em repouso e na rede. Uma camada de segurança extra pode ser introduzida definindo permissões de Gerenciamento de Identidade e Acesso na chave de criptografia/descriptografia. Isso separa o acesso a um sistema (que é necessário para a equipe que trabalha em um aplicativo) e o acesso aos dados (que nem sempre é necessário para engenheiros de software ou a equipe de infraestrutura).
Monitorando Continuamente a Conformidade de Segurança
Monitore continuamente a conformidade de segurança. Se alguém dentro da equipe implantar um aplicativo não seguro ou criar uma opção de configuração não compatível, alguém precisa ser notificado e uma ação precisa ser tomada. Uma vez que a equipe esteja confortável com a linha de base de segurança atual, ações automatizadas podem ser configuradas para que nenhuma intervenção manual seja mais necessária. Quando os usuários implantarem uma infraestrutura não compatível, ela será automaticamente removida ou desabilitada.
Evitando Credenciais Esquecidas
Com muitos mercados de nuvem — e a AWS é o principal player de nuvem — você pode gerar chaves de acesso, que podem então ir para os laptops dos desenvolvedores. Mas então, há muitas violações que acontecem por causa de chaves de acesso esquecidas ou perdidas. Dê a um desenvolvedor acesso aos dados de produção , mas esqueça que você tem essa chave de acesso, e então a chave vai para outro lugar em um aplicativo ou se perde. Você de repente terá uma violação de dados causada por credenciais esquecidas. Isso ocorre quando as empresas não têm controles em vigor, não porque geralmente é um risco desconhecido para elas.
A Importância do Monitoramento Contínuo
É essencial monitorar a segurança e a conformidade continuamente. Os provedores de nuvem têm ferramentas para monitorar e obter mais insights sobre o que pode estar mal configurado. Recomendamos usar esses produtos para identificar e alertar quando novos serviços ou um novo código é criado que não está em conformidade com seus padrões definidos. Por exemplo, você diz que todos os dados devem ser criptografados, mas pode receber um alerta se alguém criar um armazenamento de dados e os dados não estiverem criptografados. Você pode então investigar e deixar o funcionário responsável ciente de que sua política diz que tudo precisa ser criptografado, o que é uma intervenção manual.
Conclusão
O cenário cresceu em complexidade ao longo dos anos. Ter todo o conhecimento internamente é desafiador, mas a segurança de dados é tão fundamental para tudo o que uma empresa pode estar fazendo como um negócio que, para arriscar isso, eles arriscam todo o resto. Há mais regulamentação do que nunca, e o risco de multas, especialmente na Europa com o GDPR ou para empresas americanas que precisam estar em conformidade com o GDPR se tiverem serviços europeus, corre o risco de um grande golpe em sua receita, muito menos danos à reputação. Simplesmente não vale a pena o risco.
