Muitas pessoas acreditam erroneamente que a proteção da carga de trabalho é uma responsabilidade inerente ao seu provedor de serviços em nuvem. Por exemplo, se o senhor usa o Amazon Web Services (AWS), pode acreditar que a Amazon é responsável pela proteção de sua carga de trabalho. Mas isso não poderia estar mais longe da verdade. A segurança é uma responsabilidade compartilhada, e cada provedor de nuvem desenvolveu um Modelo de Responsabilidade Compartilhada para delinear claramente qual é a responsabilidade de segurança do provedor e do cliente. Por exemplo, a Amazon Web Services descreve que é responsável pela segurança da infraestrutura, enquanto o cliente é responsável pela segurança dos dados e dos aplicativos executados nessa infraestrutura. O Microsoft Azure e a Google nuvem Platform têm um modelo semelhante. Eles têm o esforço concentrado de melhorar a segurança em seu lado, mas é responsabilidade do cliente gerenciar e proteger suas cargas de trabalho.
Em muitas organizações, a proteção da carga de trabalho se torna o foco dos desenvolvedores e equipes inteiras de DevSecOps foram criadas com o único objetivo de aprimorar o fluxo de trabalho e a eficiência em torno de aplicativos e cargas de trabalho modernos em nuvem. Mas como as coisas são diferentes, quais são os riscos e quais medidas devem ser tomadas para melhorar isso?
Ameaças comuns na proteção da carga de trabalho
Vamos dar uma olhada em algumas das ameaças comuns que a proteção da carga de trabalho procura evitar:
- Roubo de contas. Em outros casos, um criminoso cibernético pode tentar sequestrar sua conta, fazendo-se passar pelo senhor ou por um de seus funcionários. Alguns dos métodos mais comuns incluem phishing e engenharia social (em que alguém se disfarça como uma figura de autoridade para obter credenciais de login).
- Acesso à API. Em muitos casos, a API é um ponto fraco. As infraestruturas de API permitem que dois ou mais aplicativos "conversem" entre si, trocando dados de uma maneira específica. Muitas vezes, eles são facilmente acessíveis e difíceis de proteger, o que os torna alvos comuns de hackers.
- Vulnerabilidade de terceiros. Da mesma forma, se estiver integrando uma ferramenta de terceiros ou se estiver trabalhando com um parceiro externo, qualquer vulnerabilidade nesse terceiro poderá torná-lo mais vulnerável.
- DDoS e ataques semelhantes. Em um ataque de Negação distribuída de serviço (DDoS), os servidores são sobrecarregados com solicitações e não conseguem mais funcionar adequadamente. Esses e outros ataques de estilo semelhante podem ser evitados se forem detectados com antecedência suficiente.
- Erros dos funcionários. Algumas vulnerabilidades se devem a erros simples dos funcionários. Quando os funcionários não seguem as práticas recomendadas de segurança, eles comprometem não apenas suas contas, mas toda a rede da organização. Por exemplo, eles podem escolher uma senha fraca, cair em um esquema comum ou deixar de usar a autenticação de dois fatores. A educação dos funcionários, o treinamento e a aplicação das melhores práticas de segurança podem ajudar nesse sentido.
Essas ameaças podem levar a violações de dados com penalidades severas. Se um agente mal-intencionado obtiver acesso ao seu sistema, ele poderá obter acesso a dados protegidos, confidenciais ou sensíveis. Dependendo da Conformidade regulatória, da extensão dos dados envolvidos e de como esses dados serão usados no futuro, isso pode custar à sua empresa milhões de dólares em despesas de recuperação.
Abordagens para a proteção da carga de trabalho
Então, que medidas o senhor pode tomar para melhorar a proteção de sua carga de trabalho?
Há muitas etapas que o senhor precisará seguir, incluindo a implementação do software e das ferramentas certas, projetadas para a mecânica das cargas de trabalho emergentes da nuvem e dos aplicativos modernos. O senhor também precisará analisar a composição de suas equipes de segurança e desenvolvimento para garantir que elas tenham os conjuntos de habilidades certos, treinamento contínuo e distribuam a responsabilidade de manter a segurança da organização. Hoje em dia, a segurança precisa ser um esforço de equipe.
Em todos os seus novos esforços, essas devem ser suas principais prioridades.
- Visibilidade. Para começar, o senhor precisará de melhor visibilidade de todos os seus sistemas. O senhor deve saber que tipo de padrões de tráfego seus servidores estão vendo e deve entender como seus usuários internos estão acessando seus dados. Quanto mais visibilidade o senhor tiver, mais cedo será capaz de detectar possíveis ameaças e mais aprenderá sobre a vulnerabilidade da sua organização.
- Controle. Bons sistemas também instituirão vários controles diretos. O senhor deve ser capaz de colocar determinadas fontes na lista de permissões e/ou na lista negra, personalizando a forma como seus servidores ou sua rede são acessados. O senhor também deve ter um controle rigoroso sobre os usuários e administradores do seu sistema; ninguém deve ter acesso se não estiver autorizado.
- Automação. Os sistemas de segurança ideais envolvem uma automação significativa. As soluções automatizadas não apenas economizarão tempo e dinheiro (já que substituem o esforço humano manual), mas também reduzirão a possibilidade de erro humano. Por exemplo, o senhor pode ter uma solução que detecta automaticamente uma atividade de tráfego incomum e, em seguida, toma medidas para atenuar uma ameaça de DDoS. A automação tem algumas desvantagens, especialmente se não for executada corretamente, mas, na maioria dos aplicativos, ela é valiosa.
- Integração. O ideal é que o senhor possa integrar vários aplicativos e serviços de segurança diferentes. O senhor deve ser capaz de gerenciar todas as suas soluções de segurança com um único painel ou uma plataforma intuitiva, e deve aproveitar os pontos fortes de cada aplicativo ou serviço usado pela sua equipe.
Os princípios do Shift Left
A proteção da carga de trabalho gira em torno dos princípios do teste "shift-left", uma abordagem de teste de software e teste de sistema que exige que o senhor execute tarefas mais cedo no ciclo de vida do desenvolvimento. Deslocamento dos testes de segurança "da esquerda" para o desenvolvimento.
Os princípios fundamentais do shift-left incluem:
- Proatividade. Em vez de responder a uma ameaça ativa e tentar eliminá-la, o senhor se concentrará em detectar e eliminar as ameaças antes que elas se tornem significativas. Testes antecipados e frequentes proporcionam uma visibilidade sem precedentes, permitindo que o senhor fique um passo à frente das maiores ameaças.
- Colaboração. O turno da esquerda também exige mais colaboração entre indivíduos e equipes que talvez não estejam acostumados a trabalhar uns com os outros. A segurança deve ser algo que os testadores, desenvolvedores e outras pessoas de sua organização priorizem coletivamente; dessa forma, toda a empresa fica protegida contra mais ameaças.
- Feedback contínuo. O Shift-left também incorpora princípios de feedback contínuo. A segurança não é algo que se planeja e executa uma vez; é algo que se implementa e se ajusta gradualmente à medida que se aprende mais.
Uma mentalidade de shift-left pode ajudá-lo a se proteger contra uma ampla gama de ameaças diferentes e a resolver a maioria dos problemas antes que eles interfiram na sua organização. Combinado com as práticas corretas de proteção de carga de trabalho, ele pode proporcionar à sua organização uma segurança muito mais robusta.
O senhor tem interesse em incorporar uma melhor proteção da carga de trabalho na nuvem em sua organização? O senhor provavelmente se beneficiará da ajuda de ferramentas de Segurança de nuvem que podem simplificar sua vida. Dê uma olhada em nossas soluções de Segurança de nuvem e inscreva-se gratuitamente no site demo hoje mesmo!
Opinião