Proteger cargas de trabalho na nuvem pode ser difícil: você está executando aplicativos e processos em um servidor distante que sua organização não controla. No entanto, existem várias iniciativas que você pode tomar para tornar seu cargas de trabalho na nuvem o mais seguro possível.
Problemas com a segurança da carga de trabalho
O principal problema com a computação em nuvem é a falta de visibilidade. A equipe de segurança da informação de uma organização não terá acesso direto ao hardware e à infraestrutura de um servidor em nuvem. Os provedores de serviços em nuvem (CSPs) fornecem interfaces de programação de aplicativos (APIs) e ferramentas para garantir alguma visibilidade, mas seus clientes devem confiar na garantia de segurança de um CSP.
Outro obstáculo é a curva de aprendizado que as equipes de infosec enfrentam após mover cargas de trabalho para a nuvem. Eles estarão lidando com uma fera muito diferente de uma implantação local e precisarão Treinamento e habilidades a combinar.
“Ter visibilidade de suas cargas de trabalho e avaliar suas postura de segurança pode ser um desafio, já que eles têm menos controle sobre essas plataformas de nuvem multilocatários”, escreveu Qualys’ Juan C. Pérez em um post de blog de 2018. “As equipes da InfoSec também precisam descobrir quais novas ferramentas, conhecimento e equipe podem precisar adquirir.”
Qualquer equipe de infosec idealmente usaria o mesmo monitoramento, proteção e gerenciamento de vulnerabilidade ferramentas na nuvem como acontecia com ativos locais, mas muitas ferramentas locais não funcionam bem na nuvem. Enquanto isso, as organizações que usam mais de um CSP para construir um ambiente de várias nuvens descobrirá que as APIs e outros componentes geralmente são incompatíveis entre os provedores de nuvem.
A superfície de ataque em um ambiente de nuvem também pode ser maior do que uma equipe está acostumada. Em uma pesquisa de 2022 com mais de 300 profissionais de TI e tomadores de decisão de segurança cibernética realizada pela CyberRisk Alliance37% dos entrevistados disseram que suas organizações sofreram um ataque baseado em nuvem ou violação de dados nos dois anos anteriores, e 55% disseram que suas organizações estavam executando até 50 ativos ou cargas de trabalho em nuvens públicas.
Esses ativos e cargas de trabalho provavelmente compartilham o espaço do servidor com os dados de outros clientes e são protegidos apenas pela configuração adequada e gerenciamento de acesso. Se apenas algumas coisas derem errado, dados valiosos podem ser expostos ou roubados.
“Quando vemos cargas de trabalho na nuvem sendo atacadas, geralmente é por meio de identidade – senhas ruins ou APIs expostas à Internet que não são protegidas com autenticação multifator”, disse Jonathan TrullCISO da Qualys, em entrevista de 2022.
Muitos vazamentos de dados na nuvem são causados por configurações incorretas, que podem ser difíceis de corrigir. Enquanto isso, grandes organizações podem ter um número potencialmente enorme de ativos de nuvem para proteger — e um número potencialmente grande de vulnerabilidades para corrigir.
“Também vemos muitos erros de configuração porque há uma enorme escassez de profissionais de segurança na nuvem“, acrescentou Trull. “Os que estão trabalhando não são mal-intencionados, mas fazem configurações muito rapidamente porque há demanda e pressão para fazer o trabalho.”
Finalmente, há o modelo de responsabilidade compartilhada. Muitas organizações não entendem exatamente pelo que são responsáveis em suas próprias cargas de trabalho em nuvem e o que o provedor de serviços em nuvem é obrigado a lidar.
Como melhorar a segurança de suas cargas de trabalho
Não há solução milagrosa para proteger suas cargas de trabalho na nuvem. Fazendo o seu ativos em nuvem e a segurança dos dados é um processo contínuo que se move em muitos caminhos diferentes.
— Reduza sua superfície de ataque. As cargas de trabalho na nuvem são grandes alvos suculentos para qualquer um encontrar e investigar. Implemente o gerenciamento de vulnerabilidades, um firewall de aplicativo da web (WAF) e proteção DDoS e verifique seu imagens de contêiner. Mas enfrente os patches de software mais importantes primeiro porque você pode não conseguir lidar com todos eles de uma vez.
“Você precisa se concentrar nas vulnerabilidades que são conhecidas por serem exploradas na natureza”, disse Trull. “Temos bons inteligência de ameaças que os malfeitores estão tentando atacar essas cargas de trabalho na nuvem. Sabemos que eles os têm em suas cargas porque podemos ver o malware e podemos ver as diferentes estruturas de ataque que eles estão usando. É aí que precisamos priorizar nosso tempo.”
— Use um gerenciamento de postura de segurança na nuvem (CSPM) solução para detectar configurações incorretas e definir políticas de segurança. Algumas soluções CSPM lidam melhor com cargas de trabalho do Windows, portanto, tenha cuidado se estiver executando o Linux.
“Quaisquer aplicativos e instâncias em nuvem devem ser o mais bloqueados possível, executando um mínimo de serviços”, disse Dave Shackleford do SANS Institute em um white paper de 2018. “Os requisitos de configuração devem ser revisados para garantir que qualquer infraestrutura baseada em nuvem seja o mais resiliente possível.”
— Use uma plataforma de proteção de carga de trabalho em nuvem (CWPP) monitorar contêineres e Kubernetes clusters e detectar ameaças, e scanners baseados em agentes, como o Qualys Cloud Platform, para monitorar instâncias e cargas de trabalho.
— Usar infraestrutura como código (IaC) ferramentas para automatizar e orquestrar a criação de instâncias de nuvem e cargas de trabalho.
Se possível, use um plataforma de proteção de aplicativos nativa da nuvem (CNAPP) para reunir todos os programas de segurança. Um CNAPP pode agrupar em CWPP, CPSM, IaC, um agente de segurança de acesso à nuvem (CASB) e gerenciamento de direitos de infraestrutura em nuvem (CIEM).
“Como os contêineres exigem acesso a repositórios de código para instalar e configurar pacotes de software”, disse Perez, “as equipes de segurança precisam de ferramentas que possam escanear ambientes de contêiner, bem como testar o daemon de contêiner e sua configuração, validar os contêineres em execução no host do contêiner e revisar as operações de segurança do contêiner”.
— Use as ferramentas de segurança do seu provedor de serviços de nuvem quando disponíveis, mas não assuma que são tudo o que você pode usar. As soluções de terceiros funcionarão melhor em várias nuvens públicas.
— Forneça à sua equipe de infosec o treinamento e o conjunto de habilidades adequados para gerenciar um ambiente de nuvem e as ferramentas necessárias.
“Uma única pessoa pode criar um novo servidor em quase nenhum momento”, disse Brad Beaulieu de Booz Allen Hamilton em uma postagem de blog de 2020. “Mas, a menos que as equipes de projeto estejam perfeitamente sincronizadas com as operações cibernéticas de sua agência, esse tipo de velocidade pode facilmente levar a ambientes isolados e pontos cegos, criando riscos substanciais”.
— Segmente suas redes para bloquear o movimento lateral dos invasores e isolar adequadamente as cargas de trabalho e os contêineres.
— Minimizar o tempo médio de resposta (MTTR) assinando a inteligência de ameaças e usando um automação de segurança, automação e resposta (SOAR) para lidar com muitos ataques e vulnerabilidades.
— Proteja seus consoles de gerenciamento de nuvem, gerenciamento de SaaS e DevOps, como todos são alvos principais para ataque.
— “Deslocar à esquerda” no seu desenvolvimento de código, integrando a segurança em seu integração contínua/desenvolvimento contínuo (CI/CD).
“Em um verdadeiro deslocar para a esquerda modelo, as equipes de segurança precisam se integrar com os desenvolvedores que promovem o código para aplicativos baseados em nuvem”, disse Shackleford. “Para ajudar a mudar a cultura para uma que seja mais colaborativa, engenheiros e arquitetos de segurança devem ser integrados em tempo integral no equipes criando e implantando cargas de trabalho na nuvem.”
— Implemente um sistema IAM pronto para a nuvem ou nativo da nuvem para controlar rigidamente o acesso às cargas de trabalho e implementar MFA para acessar todos os ativos de nuvem.
— Aplicativos da lista de permissões/lista de permissões para que nada não autorizado possa ser carregado em suas instâncias de nuvem.
— Proteja as credenciais de acesso à API às cargas de trabalho e verifique se as chaves SSH não estão incorporadas ao código.
“Gerenciamento de chaves é um grande foco para a segurança na nuvem”, disse Trull. “Dependendo de como você vê o risco, você precisa determinar se deseja armazenar suas chaves e se está confortável com o provedor de nuvem armazenando as chaves.”
— Analise, revise e atualize suas próprias políticas, práticas e ferramentas de segurançabem como de seus provedores de serviços de nuvem, e entender completamente o modelo de responsabilidade compartilhada do CSP.
“Após as análises de risco e mantendo o modelo de ‘responsabilidade compartilhada’ em mente”, disse Shackleford, “as equipes de segurança devem ter uma melhor compreensão de quais controles possuem atualmente. As equipes também devem ter uma maior compreensão de quais controles terão que modificar operar com sucesso na nuvem e quais são as preocupações mais prementes (à medida que mudam).”