O colaborador Infosec Insider Rani Osnat atua como Vice-Presidente Sênior de Estratégia na Aqua Security.
A utilização conjunta de infraestrutura de nuvem privada e pública, que é comum em muitas organizações, traz desafios de segurança específicos. Existem diversas razões que levam as empresas a adotarem a nuvem pública, como o crescimento rápido sem a necessidade de planejamento de capacidade, além da busca por flexibilidade e agilidade na prestação de serviços voltados para o cliente. Entretanto, essa prática pode expor as empresas a potenciais ameaças de segurança.
Devido a requisitos regulamentares ou preferências específicas, muitas organizações decidem manter uma combinação de infraestrutura privada e pública. Isso implica em utilizar vários provedores de nuvem ao mesmo tempo ou manter a flexibilidade de mudar entre eles. No entanto, essa abordagem mista gera desafios de segurança únicos, uma vez que diferentes provedores e plataformas de nuvem privada podem ter métodos distintos para implementar controles de segurança e ferramentas de gerenciamento.
Como uma empresa pode assegurar a consistência da governança, aplicação de políticas e controles em múltiplas nuvens e garantir a segurança ao transitar entre elas? Felizmente, existem medidas que os profissionais podem adotar para manter a segurança contínua das aplicações desde o início do desenvolvimento até o final do ciclo de vida.
As ferramentas de segurança tradicionais não são tão eficazes na computação em nuvem.
As ferramentas de segurança que não foram desenvolvidas na nuvem não são adequadas para proteger aplicações em execução na nuvem por várias razões. Em primeiro lugar, essas ferramentas não conseguem acompanhar o ritmo acelerado de desenvolvimento das aplicações nativas da nuvem, que é muito mais rápido do que os métodos tradicionais em cascata. Em vez de lançar novas versões a cada poucos meses, as organizações que utilizam o CI/CD nativo da nuvem estão integrando e implantando aplicativos e atualizações várias vezes ao dia, o que requer uma abordagem automatizada de segurança desde as fases iniciais do desenvolvimento para evitar atrasos nas operações.
Além disso, no ambiente dinâmico e diversificado da nuvem, as soluções de segurança devem ser ágeis e adaptáveis, não podendo depender mais de infraestruturas fixas. Antigamente, era possível identificar um servidor específico executando uma determinada aplicação, mas atualmente isso não é garantido. As soluções de segurança modernas para aplicações em nuvem estão vinculadas ao próprio aplicativo, não ao seu endereço IP ou localização do servidor. Com a orquestração automatizada de cargas de trabalho, um banco de dados pode mudar de recipiente e IP rapidamente. Por isso, é essencial que as organizações adotem soluções de segurança específicas e atualizadas para a nuvem, em vez de se apoiarem em métodos mais antigos e não adequados para esse ambiente.
Proteção fornecida pelos provedores de serviços em nuvem: Uma solução restrita.
Os principais provedores de serviços em nuvem adotam o chamado “modelo de responsabilidade compartilhada”, que basicamente diferencia entre a segurança “da nuvem” (responsabilidade do provedor) e a segurança “na nuvem” (responsabilidade do cliente). Embora a responsabilidade seja compartilhada, no que diz respeito à segurança física dos data centers de nuvem pública, os provedores garantem altos padrões de segurança, semelhantes aos de bancos e agências governamentais. No entanto, a responsabilidade pela segurança em outras áreas recai inteiramente sobre as organizações clientes, com previsões indicando que a maioria das falhas de segurança na nuvem até 2025 será de responsabilidade dos clientes.
O texto sugere que as ferramentas disponibilizadas pelos provedores de segurança em nuvem nem sempre atendem completamente às necessidades dos clientes, o que pode resultar em uma maior dependência dos clientes nos provedores de nuvem. Além disso, essas ferramentas podem não ser tão eficazes na proteção de ambientes de nuvem múltipla, principalmente em nuvens privadas.
A nova pilha é altamente segura em termos de dimensões.
A novidade positiva é que as tecnologias utilizadas para operar a nova infraestrutura, como containers e Kubernetes, possibilitam um nível de segurança mais avançado do que antes, com uma maior transparência e automatização. Além disso, facilitam a implementação de medidas de segurança em ambientes de nuvem privada e pública, desde que os procedimentos adequados sejam seguidos.
Como os recipientes são projetados para serem transportáveis e o Kubernetes foi desenvolvido para ser compatível com qualquer ambiente de nuvem, ao incorporar ferramentas de segurança projetadas para proteger seus recipientes, é possível executá-los de forma consistente em qualquer local, independentemente da localização de suas aplicações.
Devido à complexidade dos ambientes de nuvem e das diversas partes em movimento envolvidas, é essencial adotar uma abordagem abrangente para proteger as aplicações em todas as etapas de seu desenvolvimento, desde a concepção até a implementação. Essa abordagem deve ser capaz de abordar diferentes falhas de segurança presentes tanto nos componentes de infraestrutura quanto no código das aplicações, lidando com vulnerabilidades, configurações inadequadas, malware e comportamentos anômalos.
A metodologia originária da nuvem.
Atualmente, as empresas estão sendo criadas com foco na proteção de aplicações nativas da nuvem, que vão desde contêineres até máquinas virtuais e computação sem servidor. A plataforma de proteção de aplicações nativas da nuvem (CNAPP), uma nova categoria identificada pela Gartner, visa proteger as aplicações empresariais contra ataques em um cenário em que a adoção da nuvem está em ascensão.
Enquanto o futuro da segurança na nuvem é promissor, o presente é incerto devido ao crescimento no volume e na complexidade dos ataques direcionados à infraestrutura de nuvem e às cadeias de suprimentos. Um nó de Kubernetes que esteja vulnerável ou configurado de forma inadequada pode ser alvo de ataques em apenas 20 minutos. Esses ataques avançados podem resultar em diversas consequências maliciosas, desde a mineração de criptomoedas até o roubo de credenciais, passando pela instalação de rootkits e pela travessia de redes.
O atraso na transição de mais cargas de trabalho para a nuvem e na proteção dessas cargas é devido à falta de conhecimento e habilidades, mas existem ferramentas disponíveis para preencher essas lacunas. Além disso, as empresas podem alcançar níveis de segurança sem precedentes através da automação baseada em políticas, da redução da superfície de ataque e da detecção de possíveis anomalias comportamentais nos componentes de aplicação. A implementação de métodos de segurança durante todo o ciclo de vida dos aplicativos em nuvem é crucial.
O colaborador Infosec Insider Rani Osnat atua como Vice-Presidente Sênior de Estratégia na Aqua Security.
Aproveite informações extras da comunidade Infosec Insiders da Threatpost ao acessar nosso microsite.
Divulgue este artigo.
- Proteção em serviços de armazenamento online.
- Información de Seguridad Interna
Deixe uma resposta