O que é segurança na nuvem?

Computação em nuvem é a entrega de serviços hospedados, incluindo software, hardware e armazenamento, pela internet. As vantagens de implantação rápida, flexibilidade, baixos custos iniciais e escalabilidade tornaram a computação em nuvem praticamente onipresente entre organizações de todos os portes, muitas vezes como parte de uma arquitetura de infraestrutura híbrida/de múltiplas nuvens.

Segurança da nuvem se refere às tecnologias, políticas, controles e serviços que protegem dados, aplicativos e infraestrutura da nuvem contra ameaças.

Solicite uma demonstração Relatório de segurança na nuvem

O que é segurança na nuvem?

A segurança na nuvem é uma responsabilidade compartilhada

A segurança na nuvem é uma responsabilidade compartilhada entre o provedor de nuvem e o cliente. Há basicamente três categorias de responsabilidades no Modelo de Responsabilidade Compartilhada: responsabilidades que são sempre do provedor, responsabilidades que são sempre do cliente e responsabilidades que variam dependendo do modelo de serviço: Infraestrutura como Serviço (IaaS), Plataforma como Serviço (PaaS) ou Software como Serviço (SaaS), como e-mail na nuvem.

As responsabilidades de segurança que são sempre do provedor estão relacionadas à proteção da infraestrutura em si, bem como ao acesso, à implantação de patches e à configuração dos hosts físicos e da rede física na qual as instâncias de computação são executadas e o armazenamento e outros recursos residem.

As responsabilidades de segurança que são sempre do cliente incluem o gerenciamento de usuários e seus privilégios de acesso (identidade e gerenciamento de acesso), a proteção de contas na nuvem contra acesso não autorizado, a criptografia e a proteção de ativos de dados baseados em nuvem e o gerenciamento de sua postura de segurança (conformidade).

Os sete principais desafios avançados de segurança na nuvem

Como a nuvem pública não tem perímetros claros, ela apresenta uma realidade de segurança fundamentalmente diferente. Isso se torna ainda mais desafiador ao se adotar abordagens de nuvem modernas, como métodos de Integração Contínua e Implantação Contínua (Continuous Integration and Continuous Deployment, CI/CD) automatizados, arquiteturas distribuídas sem servidor e ativos efêmeros, como Funções como Serviço e contêineres.

Alguns dos desafios avançados de segurança nativa da nuvem e as várias camadas de risco enfrentadas pelas organizações orientadas à nuvem de hoje incluem:

1.    Superfície de ataque aumentada

O ambiente da nuvem pública se transformou em uma superfície de ataque grande e altamente atraente para hackers que exploram portas de entrada da nuvem protegidas de modo precário a fim de acessar e comprometer cargas de trabalho e dados na nuvem. Malware dia zero, tomada de controle de conta e muitas outras ameaças maliciosas se tornaram uma realidade cotidiana.

2.    Falta de visibilidade e monitoramento

No modelo IaaS, os provedores de nuvem têm controle total sobre a camada de infraestrutura e não a expõem aos seus clientes. A falta de visibilidade e controle é ainda maior nos modelos de nuvem PaaS e SaaS. Com frequência, os clientes da nuvem não podem efetivamente identificar e quantificar seus ativos de nuvem ou visualizar seus ambientes de nuvem.

3.    Cargas de trabalho em constante mudança

Os ativos de nuvem são provisionados e descontinuados dinamicamente, em escala e com rapidez. As ferramentas de segurança tradicionais são simplesmente incapazes de colocar em vigor políticas de proteção em um ambiente tão flexível e dinâmico com cargas de trabalho efêmeras que mudam constantemente.

4.    DevOps, DevSecOps e automação

As organizações que adotaram a cultura DevOps altamente automatizada de Integração Contínua e Desenvolvimento Contínuo (Continuous Integration and Continuous Deployment, CI/CD) devem assegurar que controles de segurança apropriados sejam identificados e incorporados ao código e aos modelos no início do ciclo de desenvolvimento. As mudanças relacionadas à segurança implementadas depois da implantação de uma carga de trabalho na produção podem comprometer a postura de segurança da organização, assim como retardar o tempo de colocação no mercado.

5.    Privilégio granular e gestão de chaves

Muitas vezes, as funções dos usuários da nuvem são configuradas de forma bastante aproximada, com a concessão de privilégios extensos para além daquilo que é pretendido ou exigido. Um exemplo comum é conceder permissões de exclusão ou gravação no banco de dados a usuários sem treinamento ou que não tem nenhuma necessidade comercial de excluir ou adicionar ativos. No nível do aplicativo, chaves e privilégios configurados incorretamente expõem sessões a riscos de segurança.

6.    Ambientes complexos

Gerenciar a segurança de forma consistente nos ambientes híbridos e de múltiplas nuvens preferidos pelas empresas atualmente requer métodos e ferramentas que funcionem de forma integrada entre provedores de nuvem pública, provedores de nuvem privada e implantações no local, incluindo proteção de borda de filiais para organizações geograficamente dispersas.

7.    Conformidade e governança da nuvem

Todos os principais provedores de nuvem se alinharam com a maioria dos programas de certificação mais conhecidos, como PCI 3.2, NIST 800-53, HIPAA e GDPR. No entanto, os clientes são responsáveis por assegurar que seus processos de carga de trabalho e dados estejam em conformidade. Devido à baixa visibilidade e à dinâmica do ambiente de nuvem, o processo de auditoria de conformidade torna-se quase impossível, a menos que ferramentas sejam usadas para realizar verificações contínuas de conformidade e emitir alertas em tempo real sobre erros de configuração.

Confiança zero e por que devemos adotá-la

O termo confiança zero foi cunhado em 2010 por John Kindervag que, naquela época, era analista sênior da Forrester Research. O princípio básico da confiança zero na segurança da nuvem é não confiar automaticamente em ninguém ou em nada dentro ou fora da rede e verificar (ou seja, autorizar, inspecionar e proteger).

 

A confiança zero, por exemplo, promove uma estratégia de governança do menor privilégio, por meio da qual os usuários têm acesso somente aos recursos de que precisam para desempenhar suas tarefas. De modo semelhante, requer que os desenvolvedores assegurem que os aplicativos voltados para a Web sejam protegidos adequadamente.  Por exemplo, se o desenvolvedor não tiver bloqueado as portas de maneira consistente ou não tiver implementado permissões de acordo com a necessidade de conhecimento, um hacker que assuma o controle do aplicativo terá privilégios para recuperar e modificar dados do banco de dados.

 

Além disso, as redes de confiança zero utilizam microssegmentação para tornar a segurança da rede na nuvem muito mais granular. A microssegmentação cria zonas seguras nos data centers e nas implantações de nuvem, segmentando, assim, as cargas de trabalho entre si, protegendo tudo o que está dentro da zona e colocando em vigor políticas para proteger o tráfego entre as zonas.

Os seis pilares da segurança robusta na nuvem

Embora provedores de nuvem como Amazon Web Services (AWS), Microsoft Azure (Azure) e Google Cloud Platform (GCP) ofereçam muitos recursos e serviços de segurança nativos da nuvem, soluções complementares de terceiros são essenciais para se obter proteção de nível empresarial da carga de trabalho na nuvem contra violações, vazamentos de dados e ataques direcionados no ambiente de nuvem. Apenas uma estrutura de segurança nativa da nuvem / de terceiros integrada fornece a visibilidade centralizada e o controle granular baseado em políticas necessários para fornecer as seguintes práticas recomendadas do setor:

1.    Controles granulares de autenticação e IAM baseados em políticas em infraestruturas complexas

Trabalhe com grupos e funções em vez de trabalhar no nível individual de IAM para facilitar a atualização das definições de IAM à medida que os requisitos de negócios mudam. Conceda apenas privilégios de acesso mínimos aos ativos e APIs que são essenciais para um grupo ou função executar suas tarefas. Quanto mais extensos forem os privilégios, mais elevados serão os níveis de autenticação. E não negligencie a boa higiene de IAM, colocando em vigor políticas de senha forte, limites de tempo de permissão, entre outros.

2.    Controles de segurança de rede na nuvem de confiança zero em redes e microssegmentos logicamente isolados

Utilize recursos e aplicativos críticos para os negócios em seções logicamente isoladas da rede na nuvem do provedor, como Virtual Private Clouds (AWS e Google) ou vNET (Azure). Utilize sub-redes para microssegmentar cargas de trabalho entre si, com políticas de segurança granulares em gateways de sub-rede. Utilize links WAN dedicados em arquiteturas híbridas e configurações de roteamento estáticas definidas pelo usuário para personalizar o acesso a dispositivos virtuais, redes virtuais e seus gateways, e endereços de IP públicos.

3.    Imposição de políticas e processos de proteção de servidores virtuais, como gerenciamento de mudanças e atualizações de software:

Os fornecedores de segurança na nuvem oferecem gerenciamento robusto de postura de segurança na nuvem, aplicando consistentemente regras e modelos de governança e conformidade ao provisionar servidores virtuais, auditar desvios de configuração e fazer correções automaticamente, quando possível.

4.    Proteção de todos os aplicativos (e especialmente aplicativos distribuídos nativos da nuvem) com um firewall de aplicativos da Web de última geração

Isso irá inspecionar e controlar granularmente o tráfego de entrada e de saída de servidores de aplicativos da Web, atualizará automaticamente as regras WAF em resposta a alterações de comportamento de tráfego e será implantado mais próximo aos microsserviços que estão executando cargas de trabalho.

5.    Maior proteção dos dados

Maior proteção dos dados com criptografia em todas as camadas de transporte, compartilhamentos e comunicações seguros de arquivos, gerenciamento contínuo de riscos de conformidade e manutenção de boa higiene de recursos de armazenamento de dados, como detectar buckets configurados incorretamente e encerrar recursos órfãos.

6.    Inteligência contra ameaças que detecta e corrige ameaças conhecidas e desconhecidas em tempo real

Os fornecedores terceirizados de segurança na nuvem adicionam contexto aos fluxos grandes e diversificados de logs nativos da nuvem, fazendo referências cruzadas inteligentes de dados de log agregados com dados internos, como sistemas de gerenciamento de ativos e configurações, scanners de vulnerabilidade etc. e dados externos, como feeds públicos de inteligência contra ameaças, bancos de dados de geolocalização etc. Eles também fornecem ferramentas que ajudam a visualizar e consultar o cenário de ameaças e promovem tempos de resposta mais rápidos a incidentes. Algoritmos de detecção de anomalias baseados em IA são aplicados para detectar ameaças desconhecidas, que em seguida são submetidas à análise forense para determinar seu perfil de risco. Alertas em tempo real sobre invasões e violações de políticas encurtam os tempos de resolução, às vezes até mesmo acionando fluxos de trabalho de resolução automática.

 

Saiba mais sobre as soluções Check Point CloudGuard

A plataforma unificada de segurança na nuvem CloudGuard da Check Point se integra perfeitamente com os serviços de segurança nativos da nuvem dos provedores para garantir que os usuários da nuvem cumpram sua parte do Modelo de Responsabilidade Compartilhada e mantenham políticas de confiança zero em todos os pilares da segurança na nuvem: controle de acesso, segurança da rede, conformidade com o servidor virtual, proteção da carga de trabalho e dos dados e inteligência contra ameaças.

Soluções unificadas de segurança na nuvem da Check Point

·         Soluções nativas de segurança na nuvem

·         Gerenciamento de postura de segurança na nuvem

·         Proteção da carga de trabalho na nuvem

·         Inteligência na nuvem e busca a ameaças

·         Segurança de rede na nuvem

·         Segurança sem servidor

·         Segurança de contêineres

·         Segurança da AWS

·         Segurança do Azure

·         Segurança do GCP

·         Segurança na nuvem de filiais

Recursos recomendados