Segurança em nuvem híbrida: Desafios e Práticas Recomendadas

A computação em nuvem híbrida combina os benefícios da computação em nuvem privada e pública: as informações de negócios essenciais podem residir em ambientes de nuvem privada seguros no local, enquanto dados e aplicativos sensíveis ao custo podem ser executados em centros de dados em nuvem multilocatários fora das instalações. Essa distribuição de cargas de trabalho de TI é baseada em uma compensação entre custo, desempenho e confiabilidade de um serviço. A computação em nuvem híbrida oferece a oportunidade de encontrar uma compensação ideal – mas também enfrenta desafios de segurança significativos.

Neste artigo, vamos discutir alguns dos principais desafios de segurança enfrentados pela nuvem híbrida, bem como as principais práticas recomendadas de segurança comprovadas do setor para proteger seus data centers de nuvem híbrida:

Proteção de dados em nuvem híbrida

Uma das principais preocupações que impedem a migração para a nuvem é a segurança dos dados na nuvem. Embora os data centers de nuvem privada possam estar fisicamente localizados no local, eles ainda seguem o modelo de computação em nuvem: os dados armazenados na nuvem privada são acessados ​​pela infraestrutura de rede de TI privada, que é potencialmente vulnerável a violações, vazamento de dados, espionagem e ataques man-in-the-middle.

A computação em nuvem híbrida permite que as organizações aproveitem os modelos de nuvem pública e privada. Os benefícios incluem a redução do risco de ameaças à segurança; no entanto, medidas adicionais são necessárias para gerenciar a segurança, pois a arquitetura geral de TI se torna uma combinação complexa de implantações de nuvem pública e privada.

Para garantir a segurança dos dados na nuvem privada, recomendamos algumas práticas:

  • Criptografe os dados estático e em transição.
  • Use recursos fortes de gerenciamento de identidade e acesso (IAM).
  • Use protocolos de criptografia (SSL/TSL) para transmissão segura de dados pela rede.
  • Use protocolos de rede SSH para comunicação de dados entre conexões de rede não seguras.
  • Comunique os riscos de segurança de dados inerentes a seus clientes e usuários finais.

Avaliação e monitoramento de risco

Os riscos enfrentados pelas redes em nuvem evoluem rapidamente à medida que os cibercriminosos encontram novas maneiras de comprometer endpoints de rede vulneráveis ​​e canais de comunicação. Para entender o comportamento da rede em nuvem a qualquer momento, você precisa de um perfil de risco preciso. Essas informações são críticas para executar proativamente as atividades de mitigação de risco necessárias. Portanto, é importante seguir estas práticas recomendadas:

  • Avalie e quantifique o risco enfrentado pelas iniciativas de migração de nuvem privada.
  • Desenvolva um perfil de risco e identifique os recursos necessários para enfrentar os desafios de segurança dentro do orçamento disponível.
  • Realize um ciclo de vida para gerenciamento de vulnerabilidades
  • Mantenha todos os terminais de software e rede atualizados com patches de segurança.
  • Monitore o comportamento do tráfego de rede para atividades suspeitas.
  • Use tecnologias avançadas de monitoramento de rede baseadas em IA que correlacionam o comportamento da rede com atividades de risco em potencial enfrentadas pela nuvem.

Visibilidade e controle da nuvem híbrida

A computação em nuvem oferece visibilidade e controle limitados sobre a infraestrutura de TI, visto que é gerenciada e operada por um fornecedor terceirizado. O caso de uma nuvem privada local seria diferente, uma vez que a infraestrutura é dedicada para uso por uma única organização cliente e seus usuários autenticados.

O data center geralmente é virtualizado ou definido por software, e esses clientes podem maximizar o controle sobre seus recursos. No entanto, a visibilidade e o controle refinados para combater as soluções de segurança de nuvem híbrida exigem experiência interna, soluções de tecnologia avançada e recursos de computação suficientes para acomodar os volumes crescentes de informações confidenciais de segurança e aplicativos executados em implantações de nuvem privada internamente.

Nesse contexto, as seguintes práticas recomendadas são úteis:

  • Planeje seus dados futuros e requisitos de computação. Uma estratégia de migração de nuvem viável deve levar em conta o crescimento dos negócios e as expectativas de escalabilidade da nuvem privada, que normalmente são mais caras do que as alternativas de nuvem pública.
  • Cuidado com as práticas de TI sombra. As empresas não têm controle e visibilidade limitada sobre as soluções de TI de sombra que podem acessar informações confidenciais de negócios em sua infraestrutura de nuvem híbrida.
  • Considere as soluções SIEM. As soluções de nuvem pública e os aplicativos SaaS oferecem visibilidade e controle limitados para seus usuários. As soluções de gerenciamento avançado de informações e eventos de segurança (SIEM) podem ser necessárias para entender como as soluções de nuvem pública interagem com seus dados confidenciais.
  • Entenda a conformidade. Medidas de conformidade adicionais podem ser necessárias com base no tipo de dados e no modelo de implantação em nuvem. Um modelo de nuvem híbrida pode apresentar desafios e oportunidades adicionais para conformidade de segurança que devem ser identificados e tratados.
  • Aproveite os Acordos de Nível de Serviço (SLAs) com fornecedores de nuvem. Ao iniciar um serviço na nuvem, o uso de SLAs esclarece a visibilidade e controla as proteções permitidas aos seus clientes. As cláusulas devem ser revisadas com um advogado para garantir que as medidas de conformidade necessárias sejam respeitadas conforme os dados se movem pela infraestrutura de nuvem híbrida.
  • Verifique a segurança e propriedade dos dados.
  • Evite o aprisionamento do fornecedor. Pode ser que o serviço em nuvem ofereça visibilidade e controle suficientes para os sistemas em nuvem, mas o crescimento da escala pode não justificar mais os investimentos. No entanto, pode não ser viável migrar dados e aplicativos para outro fornecedor – dependência de fornecedor – devido ao alto custo ou problemas de integração de tecnologia, bloqueando assim seus dados e aplicativos com o único fornecedor de nuvem.

Erro humano na nuvem – 95% das violações

Gartner e WSJ relataram recentemente que o erro humano é responsável por até 95% das violações na nuvem. Esses erros variam de problemas básicos de configuração e acesso não autorizado até as principais falhas de projeto.

Embora grandes fornecedores de nuvem garantam certas proteções de segurança, eles tratam a segurança da nuvem como uma responsabilidade compartilhada. Esses fornecedores aliviam a carga operacional significativa de seus clientes, investindo em tecnologias de segurança de última geração. No entanto, o cliente está inteiramente no controle das configurações de gerenciamento, atualizações de segurança e do sistema operacional convidado, dados e aplicativos.

Portanto, é importante compreender as seguintes práticas recomendadas para eliminar ameaças de segurança relacionadas a humanos:

  • Compreenda o modelo de responsabilidade de segurança compartilhada por fornecedor. Conheça suas responsabilidades e tome medidas proativas no desempenho de sua parte (AWS, Azure, Google, Huawei)
  • Criptografe dados confidenciais. A criptografia deve abranger dados do lado do cliente, sistemas de arquivos do lado do servidor e tráfego de rede.
  • Gerenciar e atualizar regularmente. Gerencie as configurações e atualizações de segurança do sistema operacional e do software em execução em soluções de infraestrutura como serviço (IaaS). Para serviços abstraídos em que você apenas acessa e armazena os dados, use medidas de segurança apropriadas, como criptografia, IAM e classificação de dados.
  • Eduque seus usuários finais. Treine e certifique-se de que sua força de trabalho e usuários finais entendam como tratar dados e ativos de nuvem com segurança.
  • Limite o acesso. Use o princípio do menor privilégio ao estabelecer o controle de acesso para usuários.
  • Pessoal certo. Empregue especialistas internos para gerenciar as configurações variadas de seu ambiente de nuvem híbrida.

Conclusão

Embora o desenvolvimento de uma estratégia de segurança multi-nuvem eficaz exija muitas peças e considerações de interação, uma vitória fácil é começar abordando a causa número 1 das falhas de segurança na nuvem, o erro humano, recursos IaaS e PaaS configurados incorretamente.

Uma solução CSPM (Cloud Security Posture Management) com várias nuvens automatiza o gerenciamento de configuração baseado em políticas e, idealmente, a correção; as políticas e ações de remediação permaneceriam sob governança centralizada para impulsionar a consistência em toda a pegada de nuvem em constante mudança da empresa. Além disso, é preciso tomar cuidado para automatizar o patch de servidor em nuvem e a conformidade do sistema operacional, considerando o quão populares os serviços IaaS em nuvem, como AWS EC2 ou VM do Azure, se tornaram.

A orquestração do gerenciamento de incidentes e mudanças acelera a capacidade de resposta e a agilidade dos negócios. O tipo de arquitetura podem aumentar ou reduzir seus esforços de segurança, e o princípio de privilégios mínimos deve ser fundamental para a segurança na nuvem.