O que é a Segurança de nuvem híbrida?

Implementar uma estratégia de segurança de nuvem híbrida pode trazer diversos benefícios para as organizações; no entanto, há também os desafios e riscos associados, como:

• Responsabilidade de segurança compartilhada: em um ambiente de nuvem híbrida, o cliente e o provedor de nuvem compartilham a responsabilidade pela segurança, e é importante entender a divisão de responsabilidade em relação a quais aspectos da segurança recaem sobre cada um. Os clientes devem garantir que os provedores cumpram suas responsabilidades e entendam que o cliente pode precisar implementar outras medidas de segurança para garantir uma segurança abrangente em todos os ambientes na nuvem.
• Tratamento de incidentes: pode não ser fácil lidar com incidentes em um ambiente de nuvem híbrida devido à natureza distribuída da infraestrutura, bem como identificar a origem de um incidente e coordenar a resposta em diferentes ambientes. Mesmo que o incidente ocorra na infraestrutura do provedor, os clientes podem precisar trabalhar junto com ele para remediar o problema.
• Segurança das aplicações: os ambientes de nuvem híbrida podem ter diferentes requisitos e configurações de segurança de aplicações, tornando-se um desafio logístico manter e proteger aplicações baseadas na nuvem, o que é ainda mais evidente quando se trata da correção de uma exploração de vulnerabilidade a uma aplicação, que tem como alvo uma biblioteca de software comum usada em todo o ambiente.
• Gerenciamento de identidade e acesso (IAM): pode não ser fácil gerenciar identidades de usuários e acesso em vários ambientes na nuvem devido à descentralização da nuvem híbrida e à variedade de ferramentas e processos de IAM usados em diferentes plataformas. Além disso, há uma quantidade crescente de tráfego entre máquinas de APIs e integrações de terceiros, o que requer uma abordagem diferente para a segurança baseada em identidade.
• Conformidade e governança: devido à falta de visibilidade e ao gerenciamento descentralizado em alguns ambientes na nuvem, o que pode levar a registros e análises forenses incompletos, atender e impor requisitos de conformidade e governança pode ser difícil.
• Segurança na cadeia de suprimentos: cibercriminosos podem explorar os ambientes de nuvem híbrida de vários fornecedores porque muitas organizações não têm visibilidade e controle sobre toda a cadeia de suprimentos. Cabe a elas garantir que seus provedores de nuvem adotem medidas de segurança robustas e realizem auditorias de segurança periódicas, testes de penetração e verificações de vulnerabilidade.
• Proteção de dados: as organizações devem garantir que seus dados hospedados em um ambiente de nuvem híbrida sejam protegidos, seja em repouso ou em trânsito, e que a criptografia SSL/TLS apropriada e os controles de acesso estejam em vigor para limitar a exposição.
• Visibilidade e controle: pode não ser fácil manter a visibilidade e o controle sobre a segurança em um ambiente de nuvem híbrida, especialmente quando os ambientes de nuvem são gerenciados separadamente. Sem um painel centralizado, monitorar, proteger e solucionar problemas de segurança em todos os ambientes pode ser bastante trabalhoso, levando a pontos cegos no desempenho e controle da segurança.

Um ambiente de nuvem híbrida seguro e compatível requer uma abordagem holística que inclua políticas e práticas de segurança consistentes, visibilidade de ponta a ponta e medidas fortes de governança e conformidade para garantir que as organizações possam colher os benefícios oferecidos pela nuvem híbrida sem comprometer sua postura de segurança.

A arquitetura da segurança de nuvem híbrida inclui proteção para aplicações, APIs, infraestrutura subjacente e cadeias de suprimentos de software. Como os dados são acessados ou disponibilizados por meio de data centers e ambientes na nuvem, eles devem ser criptografados para garantir que apenas usuários e aplicações válidos possam ter acesso e usá-los, normalmente por meio de um modelo de segurança Zero Trust que é o que determina que todas as solicitações de acesso a recursos, sejam originárias de dentro ou de fora da rede, devem ser verificadas, autenticadas e continuamente avaliadas para cada solicitação.

No perímetro da arquitetura, os servidores de nuvem de borda e os contêineres de aplicações passam pela microssegmentação [inserir link para a nova página do glossário de microssegmentação], uma técnica de segurança que envolve a divisão de uma rede em segmentos menores, cada um com suas próprias políticas e controles de segurança, para isolar e proteger ativos críticos de possíveis ameaças à segurança. Eles criam “zonas desmilitarizadas”, ou DMZs, que restringem o acesso a dados e servidores confidenciais e limitam o raio de “bursting” de um ataque. Essas DMZs servem como um buffer que permite que as organizações exponham determinados serviços à Internet pública, mantendo o resto da rede segura.

Os firewalls adicionam mais camadas de proteção, separando ainda mais os ambientes de nuvem dos recursos locais.

A segurança da nuvem híbrida consiste em três componentes: físico, técnico e administrativo.

Os controles físicos visam a proteção do equipamento em si, enquanto os controles técnicos protegem os sistemas de TI e de processamento. Os controles administrativos são implementados para tomar conta das ações humanas ou fatores naturais que podem afetar a segurança.

Os controles físicos são um aspecto vital da segurança da nuvem híbrida, pois protegem a infraestrutura física que suporta o ambiente de nuvem híbrida. As nuvens híbridas podem abranger vários locais, o que torna a segurança física um desafio especial e uma responsabilidade crítica.

Estes controles incluem restrições de acesso a data centers, espaços para servidores e outras áreas que contêm infraestrutura crítica. Sistemas de vigilância como câmeras de CFTV, detectores de movimento e sistemas de monitoramento do acesso à infraestrutura crítica e de detecção de atividades não autorizadas também são considerados controles físicos.

Eles também podem incluir sistemas de energia de backup, como uma fonte de alimentação ininterrupta (UPS) e geradores de backup, para garantir que o ambiente de nuvem híbrida continue operando durante quedas de energia.

As organizações devem celebrar acordos de nível de serviço (SLAs) com provedores de nuvem para definir como os padrões de segurança física serão atendidos.

Os controles técnicos são fundamentais para a segurança da nuvem híbrida e incluem:

• Criptografia, que é usada para proteger dados em trânsito e em repouso. A criptografia SSL/TLS garante que os dados sejam protegidos mesmo se interceptados por usuários não autorizados.
• Provisionamento e configuração automatizados, que ajudam as organizações a reduzir o risco de erro humano e a garantir um gerenciamento de segurança consistente e eficiente em todo o seu ambiente de nuvem híbrida.
• Orquestração, que automatiza a coordenação de diferentes ferramentas, sistemas e processos de segurança para garantir que eles trabalhem juntos sem problemas para proteger o ambiente de nuvem híbrida.
• Controle de acesso, que envolve a implementação de políticas e procedimentos para garantir que apenas usuários autorizados possam acessar dados confidenciais e aplicações hospedados no ambiente de nuvem híbrida. Princípios de Zero Trust, incluindo acesso menos privilegiado, são cada vez mais importantes em ambientes de nuvem híbrida.
• Segurança de endpoint, que impede o acesso não autorizado de dispositivos extraviados, roubados ou comprometidos, como laptops e telefones celulares, eliminando os dados do dispositivo ou revogando o acesso ao data center.

A segurança é responsabilidade de todos os usuários, e os controles administrativos ajudam as pessoas a agir de maneira a aumentar a segurança.

As organizações devem fornecer programas de treinamento e conscientização para funcionários, contratados e outros usuários do ambiente de nuvem híbrida. Este treinamento deve abranger tópicos como práticas recomendadas de segurança na nuvem, classificação de dados, controle de acesso e resposta a incidentes, e deve ser adaptado às funções e responsabilidades específicas de cada parte interessada.

A arquitetura de nuvem híbrida oferece vantagens significativas para recuperação de dados e planejamento e preparação para desastres. Como as nuvens híbridas envolvem nuvens privadas e públicas, as organizações podem empregar a nuvem pública como um failover para dados e aplicações locais, permitindo backups, redundância e cenários de preparação e recuperação de desastres.

A segurança de nuvem híbrida é complexa e requer planejamento meticuloso, implementação e gerenciamento contínuo. Confira algumas práticas recomendadas que organizações que estão começando a desenvolver sua abordagem de segurança de nuvem híbrida não podem deixar de lado.

• Classificação e proteção de dados. A classificação de dados com base em sua sensibilidade e criticidade ajuda as organizações a determinar a forma de armazenar, transmitir e acessar os dados e quais medidas de segurança devem ser aplicadas. A implementação de medidas adequadas de proteção de dados, como criptografia, controles de acesso e processos de backup e recuperação, também é fundamental para garantir que os dados sejam protegidos à medida que transitam pelo ambiente híbrido.
• Controle de acesso e gerenciamento de identidade. As organizações devem implementar sólidos controles de acesso e processos de gerenciamento de identidade, controles de acesso baseados em funções e gerenciamento de privilégios, para garantir que apenas usuários e aplicações autorizados possam ter acesso a recursos confidenciais. Os princípios do Zero Trust podem ajudar a proteger cargas de trabalho modernas contra ataques sofisticados que visam as lacunas na autenticação e autorização
• Segurança de rede e segmentação. A segurança de rede também é fundamental em um ambiente de nuvem híbrida, no qual os recursos são distribuídos em vários locais e provedores. A implementação de medidas de segurança robustas, como firewalls de rede, firewalls de aplicações Web, plataformas de proteção de carga de trabalho na nuvem e segmentação de rede, é fundamental para garantir que o tráfego seja restrito apenas a usuários e aplicações autorizados.
• Criptografia e gerenciamento de chaves. A criptografia protege os dados em trânsito e em repouso em um ambiente de nuvem híbrida e deve ser implementada em todo o ciclo de vida dos dados. As chaves de criptografia também devem ser cuidadosamente protegidas para garantir que apenas usuários e aplicações autorizados possam ter acesso a elas ou aos dados criptografados.
• Monitoramento contínuo e resposta a incidentes. O monitoramento contínuo de eventos e registros de segurança é necessário para identificar possíveis ameaças e responder rapidamente a incidentes de segurança. As organizações devem ter um plano de resposta a incidentes em vigor que descreva funções e responsabilidades, procedimentos de encaminhamento de incidentes a instâncias superiores e protocolos de comunicação.

Gerenciar a conformidade e a governança em um ambiente de nuvem híbrida pode ser complexo e inclui as seguintes considerações.

• Conformidade regulatória. Para organizações que operam em setores regulamentados, como saúde, finanças e governo, a conformidade regulatória em um ambiente de nuvem híbrida é uma preocupação crítica. As organizações devem identificar os regulamentos que se aplicam ao seu setor, avaliar sua infraestrutura e processos e implementar os controles necessários para atender aos requisitos, como criptografia de dados, controles de acesso e audit logs, para comprovação da conformidade.
• Privacidade e proteção de dados. Como os dados confidenciais podem ser armazenados em vários locais em ambientes de nuvem híbrida, incluindo infraestrutura de nuvem pública, a privacidade e a proteção de dados são aspectos importantes em ambientes de nuvem híbrida. As organizações devem estabelecer políticas claras de proteção de dados, identificar os locais onde estão os dados confidenciais e implementar controles de criptografia e acesso para impedir o acesso não autorizado a dados confidenciais.
• Gerenciamento e mitigação de riscos. As organizações devem realizar avaliações de risco periódicas para identificar possíveis ameaças e vulnerabilidades, o que ajuda a identificar e abordar as possíveis ameaças à infraestrutura e quantificar os danos que podem causar. Avalie soluções alternativas para evitar ou mitigar riscos, implemente os controles de segurança apropriados e monitore o ambiente quanto a incidentes de segurança.
• Planejamento de resposta a incidentes. Os incidentes de segurança podem ter um impacto significativo nas operações e na reputação dos negócios. As organizações devem desenvolver um plano abrangente de resposta a incidentes que descreva as etapas a serem tomadas no caso de um incidente de segurança, incluindo procedimentos para detectar e denunciar, conter e isolar o incidente, investigar e restaurar as operações.
• Gerenciamento de provedores: o gerenciamento de provedores é um aspecto essencial da conformidade e governança da nuvem híbrida, uma vez que as organizações dependem de provedores de serviços de nuvem terceirizados para gerenciar sua infraestrutura e aplicações. Para gerenciar o risco do provedor em um ambiente de nuvem híbrida, as organizações devem realizar due diligence para provedores em potencial, estabelecer SLAs claros que descrevam as responsabilidades e obrigações do provedor, e monitorar o desempenho do mesmo regularmente para garantir a conformidade com os requisitos regulamentares.

Seguem abaixo soluções, serviços e ferramentas a serem considerados ao avaliar e selecionar recursos voltados a nuvens híbridas.

• A prevenção de perda de dados (DLP) é uma solução de segurança que monitora e impede que dados confidenciais sejam acessados, exfiltrados ou transmitidos de maneira não autorizada. A DLP fornece controles baseados em políticas para gerenciar e proteger dados em data centers locais, ambientes na nuvem e dispositivos de endpoint. Os firewalls de aplicações Web fornecem defesas flexíveis e eficientes para evitar a perda de dados confidenciais.
• As soluções de segurança de rede protegem as redes contra acesso não autorizado, ataques e outras ameaças de segurança por meio de uma combinação de controles, incluindo firewalls, sistemas de detecção e prevenção de intrusão, análises e outras tecnologias de segurança para proteger o tráfego de entrada e saída nas redes.
• O gerenciamento de vulnerabilidades é uma solução proativa e automatizada que verifica e avalia a infraestrutura de TI quanto a possíveis ameaças e fraquezas de segurança e fornece recomendações de remediação. O gerenciamento de vulnerabilidades deve ser um processo contínuo para se manter atualizado quanto às novas ameaças que surgem. Os firewalls de aplicações Web podem fornecer um paliativo crítico para mitigar explorações de vulnerabilidades de aplicações potencialmente devastadoras.
• Os sistemas de inteligência e detecção de ameaças coletam e analisam dados de várias fontes e usam aprendizado de máquina e outras técnicas analíticas, além de pesquisa e supervisão da equipe do Centro de Operações de Segurança (SOC), para identificar e mitigar ameaças de segurança emergentes e generalizadas.
• As soluções de gerenciamento de conformidade monitoram e registram os requisitos de conformidade e ajudam as organizações a evitar sanções e outros riscos associados à não conformidade.

• Os serviços de avaliação de segurança da nuvem fornecem recomendações para melhorar os controles de segurança e mitigar os riscos, avaliando a postura de segurança dos ambientes na nuvem para identificar riscos e vulnerabilidades.
• O gerenciamento de segurança na nuvem é um serviço que fornece visibilidade centralizada e controles sobre políticas e configurações de segurança, monitorando recursos de segurança em ambientes na nuvem.
• Os serviços de criptografia em nuvem criptografam dados em trânsito e em repouso em ambientes na nuvem e também fornecem gerenciamento de chaves e controles de acesso para garantir a proteção dos dados.
• As plataformas de proteção de carga de trabalho na nuvem protegem a infraestrutura subjacente, como imagens de contêineres, chaves de autenticação e cadeias de fornecimento de software, bem como protegem contra escalonamento de privilégios, movimentação lateral e exfiltração de dados.
• O gerenciamento de identidade e acesso (IAM) fornece serviços de autenticação, autorização e controle de acesso para garantir acesso seguro e compatível em vários ambientes da nuvem. O aumento do tráfego entre máquinas de APIs e integrações de terceiros exige novas abordagens de segurança baseadas em identidade.

• As redes privadas virtuais (VPNs) fornecem um túnel seguro entre o dispositivo de um usuário e a rede à qual ele se conecta, permitindo o acesso criptografado remoto aos recursos da nuvem. As VPNs podem ser usadas para conectar nuvens públicas e privadas com segurança e expandir redes privadas em nuvens públicas para proteger o tráfego de dados em ambientes híbridos.
• Os firewalls são usados para controlar o acesso a uma rede, monitorando e filtrando o tráfego com base em regras predefinidas. Eles podem ser implementados no perímetro da rede, entre diferentes ambientes de nuvem e dentro de cada ambiente na nuvem.
• Os sistemas de detecção e prevenção de intrusões (IDPS) visam detectar e prevenir ameaças à segurança, analisando o tráfego de rede e identificando atividades maliciosas. Eles podem ser implantados em um ambiente de nuvem híbrida para monitorar e proteger os recursos da nuvem contra ataques como DDoS, malware e phishing.
• As soluções de gerenciamento de informações e eventos de segurança (SIEM) fornecem monitoramento e análise em tempo real de eventos de segurança em toda a infraestrutura de nuvem híbrida de uma organização. As ferramentas de SIEM podem coletar e agregar dados de registro de diferentes ambientes da nuvem e correlacionar eventos para identificar possíveis ameaças à segurança.
• Secure Socket Layer (SSL) e Transport Layer Security (TLS) são protocolos criptográficos usados para proteger as comunicações pela Internet. Eles podem ser usados para criptografar dados em trânsito entre ambientes da nuvem, garantindo que informações confidenciais sejam protegidas contra interceptação e adulteração.

Confira algumas tendências de segurança de nuvem híbrida que estão surgindo, que mostram como ela pode evoluir nos próximos anos.

• A segurança de Zero Trust pressupõe que não há borda de rede tradicional e considera todo o tráfego de rede potencialmente malicioso. Esse tipo de segurança exige que todos os usuários, dentro ou fora da rede da organização, sejam autenticados, autorizados e validados continuamente antes de terem acesso a aplicações e dados protegidos. Essa abordagem de segurança envolve a implementação de sólidos controles de acesso, autenticação e processos de autorização e monitoramento contínuo do tráfego de rede para detectar e responder a possíveis ameaças.
• A segurança nativa da nuvem é uma abordagem voltada à segurança da nuvem híbrida que usa as ferramentas e tecnologias específicas da nuvem para melhorar a segurança. Essa abordagem incorpora a segurança à estratégia geral de desenvolvimento de aplicações nativas da nuvem de uma organização e inclui segurança de contêineres, microssegmentação e segurança sem servidor, bem como inteligência contra ameaças baseada na nuvem e análise de segurança.
• A segurança de borda se torna um aspecto importante à medida que mais organizações adotam a computação de borda para processar dados mais próximos da sua origem. A segurança de borda envolve a implementação de controles de segurança e monitoramento em dispositivos e gateways de borda e a garantia de comunicação segura entre dispositivos de borda e a nuvem.

A nuvem híbrida já provou ser uma tecnologia revolucionária para muitas empresas, proporcionando a flexibilidade, dimensionamento e economia necessários para se manterem competitivas. No entanto, proteger a nuvem híbrida pode ser complexo e requer a estratégia de segurança de nuvem híbrida certa para garantir que dados confidenciais e cargas de trabalho sejam protegidos em todos os momentos.

Para ajudar a simplificar sua estratégia de nuvem híbrida, a F5 oferece um conjunto abrangente de ferramentas de segurança e gerenciamento que permanecem consistentes entre as nuvens e protegem dados e aplicações em vários ambientes de TI.