Melhores Práticas para a Adequada Configuração de Ambientes Cloud
A partir da transformação digital, agora impulsionada pela pandemia de Covid-19, vemos uma migração em massa para modelos descentralizados, baseados em Cloud. E quem já utiliza estes modelos, vai acelerar ainda mais a migração para nuvem. De acordo com o Gartner, até 2021, mais da metade das empresas globais que já utilizam Cloud adotarão uma estratégia 100% em ambiente Cloud.
A proteção adequada deste tipo de ambiente se torna uma crescente preocupação dos times de Segurança, e um imperativo de negócio. Assim, os riscos associados à falta de proteção adequada do ambiente Cloud devem ser considerados não apenas pelo time de Segurança, mas também pela alta administração, a fim de garantir a soberania digital das organizações sobre os dados, além da continuidade dos negócios.
Veja também: Trabalho Remoto e aumento do uso de Cloud
Pesquisadores da Lacework, por exemplo, encontraram mais de 22.000 dashboards de orquestração de contêineres e sistemas de gestão de APIs abertos na internet. Entre as aplicações que a Lacework encontrou durante a pesquisa, estão Kubernetes, Mesos Marathon, Swagger API, Red Hat Openshift e Portainer da Docker Swarm e Swarmpit. Ainda segundo a pesquisa, 95% destes dashboards e sistemas de gestão estavam armazenados na Amazon Web Services (AWS). Apesar da grande maioria destas interfaces possuir credenciais privilegiadas para controle de acesso, os pesquisadores consideram preocupante o fato destas interfaces estarem expostas na internet. Isto porque qualquer um com acesso aos dashboards é capaz de realizar tarefas como iniciar ou interromper workloads, adicionar ou remover aplicações ou até configurar controles de segurança.
Nesse cenário, seria muito fácil aos times de segurança entregar a responsabilidade do aspecto cibersegurança aos CSPs (Cloud Service Providers). Vale lembrar, no entanto, que em ambientes distribuídos as organizações não devem depender apenas dos seus provedores em nuvem para assegurar essa proteção. Se as interfaces não estiverem configuradas apropriadamente, a superfície de ataque aumenta consideravelmente, o que traz um maior risco de ataques cibernéticos à infraestrutura da organização.
Além disso, novas exigências regulatórias, como a GDPR e a LGPD, requerem a adequada proteção de dados, o que pode levar a pesadas sanções, se não atendidas. Para organizações que tratam dados pessoais de residentes europeus, esta cifra pode chegar a até 50 milhões de euros ou 50 milhões de reais, caso a organização trate dados pessoais de brasileiros e esteja sujeita à LGPD, considerando que a legislação brasileira já está em vigência.
Algumas das melhores práticas que podem ser implementadas pelos times de Segurança e, assim, reforçar a postura das organizações na segurança do ambiente Cloud e evitar vazamentos de dados incluem:
Ter compreensão dos seus ambientes em nuvem
Ao mesmo tempo em que a facilidade e conveniência reúne algumas das maiores vantagens de utilizar serviços um ambiente cloud, a implementação de workloads não é tão trivial quanto parece. O time de segurança deve se esforçar para conhecer todas as configurações e permissões dos seus serviços baseados em Cloud, e deste modo extrair o máximo das funcionalidades de segurança integradas aos serviços contratados. Mesmo sendo uma atividade que requer um extenso esforço, é necessário garantir a segurança dos ambientes distribuídos.
Verificar e configurar credenciais e permissões
Organizações que estão implementando abordagens Cloud podem achar que utilizar as configurações de segurança padrão é o suficiente para evitar que seus workloads sejam comprometidos. No entanto, essas configurações são muito básicas ou até inexistentes. Em vista disso, a recomendação é que os responsáveis pela segurança no ambiente Cloud verifiquem constantemente as credenciais e permissões e assegurem que os acessos aos workloads são limitados àqueles que realmente precisam do acesso, garantindo a implementação do Princípio do Privilégio Mínimo. O que pode ser alcançado por meio de uma solução de Gestão de Acesso Privilegiado ou PAM. Ademais, a utilização de recursos como a Autenticação Multifator (MFA) garante, de maneira imediata, uma camada adicional de segurança ao ambiente.
Realizar auditorias periódicas para verificar eventuais falhas de configuração
É muito comum aos times de cibersegurança considerar que um ambiente Cloud bem configurado continue desta forma. Com o crescente número de usuários de uma infraestrutura distribuída, qualquer modificação nas configurações pode deixar dados sensíveis expostos a atacantes maliciosos. Ao criar uma nova pasta que não exija credenciais para autenticação, por exemplo, um funcionário pode expor a organização a um vetor de ataque, o que poderia ser evitado caso houvesse auditoria e monitoramento adequados.
Implementar o registro de atividades através de logs e segmentação de rede
O grande número de usuários acessando os ambientes Cloud torna a gestão ainda mais difícil. Assim, muitos CSPs oferecem funcionalidades de logs, o que auxilia as organizações a terem maior visibilidade das ações realizadas nesses ambientes. É possível, por meio dessas funcionalidades, receber alertas de tentativas de acesso não autorizado. Vale lembrar que as legislações de proteção de dados exigem que os respectivos vazamentos sejam informados em até 72 horas após a sua descoberta, devendo ser devidamente justificado pelo controlador de dados caso ocorra após esse período. Lembrando que, segundo o 2020 Cost of a Data Breach Report, o tempo médio para identificar e conter um vazamento de dados é, em média, 280 dias.
Escolher as soluções de cibersegurança adequadas para a proteção do ambiente Cloud
Empresas que queiram reforçar sua postura em segurança de Cloud devem procurar soluções para complementar as funcionalidades de segurança oferecidas pelos CPSs, as quais devem estar aderentes às políticas de segurança, baseadas nas melhores práticas de mercado, o que inclui detecção de ameaças, sistemas de detecção e prevenção de intrusão, os chamados IDS e IPS, além de soluções PAM.
Ao seguir essas recomendações, é possível a organizações de todos os tamanhos reduzir a superfície de ataque e mitigar os riscos em cibersegurança, de modo a garantir a confiança dos seus clientes, parceiros e funcionários, inclusive a própria continuidade dos negócios.