BLOG

Protegendo sua nuvem: O que você realmente precisa saber

SUMÁRIO EXECUTIVO

Como sua empresa provavelmente migrou para a nuvem, seja por meio de uma ação planejada ou por causa de TI paralela, a segurança dos aplicativos deve ser sua maior preocupação. Há algumas coisas com as quais você vai se preocupar, mas não deveria: o operador da nuvem roubando seus dados em repouso, pessoas mal-intencionadas interceptando e lendo seus dados em trânsito, pessoas mal-intencionadas "hackeando a nuvem" e roubando tudo. Quando você elimina essas coisas, você volta para as coisas que realmente importam.

Brian A. McHenry Miniatura
Brian A. McHenry
Publicado em 18 de janeiro de 2017

5 MINUTOS. LER

Quase todas as empresas estão migrando para a nuvem de alguma forma, seja por meio de ações planejadas ou porque os funcionários estão adotando serviços de nuvem não autorizados. Os trabalhadores geralmente adotam serviços de nuvem para realizar seu trabalho com mais eficiência, mas o fazem sem considerar as implicações de segurança, uma preocupação para a gestão empresarial.

Infelizmente, as empresas muitas vezes se preocupam com as questões erradas quando o assunto é segurança na nuvem. Os provedores de nuvem, em geral, fazem um trabalho muito melhor de proteger seus serviços do que as empresas comuns, então você não deve se preocupar muito com a segurança do provedor de nuvem ou se ele será hackeado.

A ameaça mais preocupante à infraestrutura de nuvem são as violações, que têm diversas causas.

Em vez disso, você deve se preocupar com as partes da nuvem que você controla. Essas preocupações variam dependendo do tipo de nuvem que sua empresa implementa. A infraestrutura como serviço (IaaS) oferece muito mais controle sobre a segurança, mas também muito mais responsabilidade por ela. O Software como Serviço (SaaS) oferece a você o mínimo de controle sobre a segurança e transfere grande parte dessa responsabilidade para o seu provedor de serviços. Plataforma como serviço (PaaS) é uma mistura dos dois.
Por essas razões, o modelo de serviço de nuvem que você adotar determinará o nível de responsabilidade do seu provedor no que diz respeito à segurança. Aqui está o que você precisa saber.

1. Entenda as ameaças aos aplicativos e infraestrutura de nuvem

A ameaça mais preocupante à infraestrutura de nuvem é a mesma que ocorre com qualquer outra infraestrutura: violações, que têm diversas causas. É importante reconhecer que existem diferentes níveis de violações; um invasor que obtém acesso a uma conta de administrador tem muito mais controle do que aquele que acessa uma conta de usuário limitada.

Por esse motivo, você deve se preocupar mais com os usuários administrativos e privilegiados e monitorar essas contas além do que é normal para todas as contas de usuário. Essa ameaça à segurança se aplica a todos os tipos de nuvens, já que os funcionários da empresa mantêm alguma forma de acesso de administrador para infraestrutura SaaS, PaaS e IaaS.

2. Gerencie identidade e acesso com segurança

Por extensão, você deve dar atenção especial à importância da identidade e do acesso para proteger serviços de nuvem. O armazenamento de dados de identidade e acesso deve ser protegido e monitorado de perto. No entanto, como uma empresa média precisa lidar com 1.031 aplicativos de nuvem usados por seus funcionários, isso não pode ser feito sem uma infraestrutura de gerenciamento de identidade federada ou de logon único.

Manter-se seguro na nuvem é uma responsabilidade compartilhada

3. Compensar ameaças à disponibilidade

Ataques de negação de serviço distribuído (DDoS) se tornaram mais sofisticados e fáceis de lançar. Serviços de DDoS de aluguel, também conhecidos como booters ou stressers, estão prontamente disponíveis para derrubar redes ou sites. E com os serviços de nuvem se tornando mais populares, os ataques DDoS também se tornaram mais impactantes, porque os invasores podem interromper serviços comerciais essenciais para muitas empresas com um único ataque.

Em outubro de 2016, por exemplo, um grande ataque DDoS impulsionado por dezenas de milhares de gravadores de vídeo digitais, câmeras e roteadores domésticos teve como alvo o provedor de DNS Dyn , cujos clientes contam com o serviço para direcionar usuários online para seus sites. Como resultado, muitos serviços de Internet — incluindo Netflix, Twitter e PayPal — foram interrompidos.

Você precisará determinar se seu provedor é elástico o suficiente para resistir a um ataque. Embora muitos provedores de infraestrutura de nuvem ofereçam recursos para aumentar a largura de banda, eles geralmente cobram por essa largura de banda extra durante um ataque, o que gera um custo enorme para sua empresa. Você precisa avaliar em que ponto custa muito acompanhar o nível de ataque e faz mais sentido contratar um serviço de mitigação de DDoS para interceptar tráfego ruim antes que ele chegue aos seus aplicativos.

4. Gerenciar as ameaças de vulnerabilidades

Em 2015, um hacker usou uma vulnerabilidade na nuvem pública da empresa de antivírus BitDefender para roubar um número desconhecido de nomes de usuário e senhas não criptografados. Vulnerabilidades não são menos uma ameaça à infraestrutura de nuvem do que aos dispositivos e aparelhos locais.

As empresas precisam ser capazes de aplicar patches de forma ágil, o que significa que as equipes de operações precisam saber quais componentes de infraestrutura são vulneráveis e ter opções para gerenciar essa vulnerabilidade. A implantação rápida de patches deve ser uma prioridade, mas o patch virtual também deve estar disponível para dar às equipes de segurança tempo suficiente para corrigir problemas sem causar mais problemas.

No geral, os serviços e plataformas de nuvem tendem a ser mais seguros do que a infraestrutura média da empresa devido aos acordos de nível de serviço e atualizações e patches regulares, portanto, as empresas devem se concentrar nos aspectos da nuvem sob seu controle. As empresas descobrirão que a nuvem é uma opção muito mais segura se se concentrarem em controlar o acesso e as credenciais, manter os serviços disponíveis e gerenciar vulnerabilidades nas partes da infraestrutura da nuvem que estão sob seu controle.


Como arquiteto sênior de soluções de segurança na F5 Networks, Brian McHenry se concentra em segurança de rede e aplicativos web. McHenry atua como elo entre os clientes e as equipes de produtos da F5, fornecendo uma perspectiva prática e do mundo real. Ele é um colaborador regular do InformationSecurityBuzz.com, cofundador da BSidesNYC e palestrante no AppSecUSA, BC Aware Day, GoSec Montreal e Central Ohio Infosec Summit, entre outros. Antes de ingressar na F5 em 2008, McHenry, um generalista de TI autointitulado, ocupou cargos de liderança em diversas organizações de tecnologia, desde startups até grandes empresas de serviços financeiros.