Práticas recomendadas de segurança IaaS a serem seguidas

Acompanhe as práticas recomendadas de segurança de IaaS para proteger seus dados.

As decisões sobre segurança de infraestrutura como serviço (IaaS) são desafiadoras devido à complexidade inerente dos sistemas IaaS e, em alguns casos, à falta de visibilidade de como uma plataforma IaaS protege seus recursos.

Se você é proprietário de uma empresa, gerente ou profissional de TI, este guia de práticas recomendadas de segurança de IaaS pode ajudá-lo a garantir a proteção de seus ativos. Vamos dar uma olhada nos riscos de segurança que acompanham o IaaS, antes de mergulhar na melhor abordagem para minimizá-los.

Riscos de segurança com IaaS

Apesar da conveniência, escalabilidade e baixa manutenção dos sistemas IaaS, eles apresentam riscos de segurança exclusivos, principalmente porque você precisa confiar seus dados, computação e rede a um provedor de serviços externo.

Mas, no final das contas, muitos dos riscos de segurança que você enfrenta com uma solução IaaS são semelhantes aos enfrentados por qualquer ambiente de computação conectado à Internet. Aqui estão alguns dos principais riscos aos quais você deve estar ciente:

• Exfiltração de dados . Quando você usa uma solução IaaS, seu sistema de armazenamento de dados de negócios pode estar conectado à Internet, o que dá aos hackers a chance de tentar roubar informações confidenciais. Embora os incidentes relacionados a dados sejam frequentemente chamados de “vazamentos”, na realidade, eles geralmente são resultado de ataques complexos ou avançados.

• Perda de dados : ao contrário do roubo de dados, a perda de dados pode ser causada por um ato malicioso ou um acidente. Por exemplo, um funcionário que não entende o valor dos dados em um sistema pode excluir arquivos valiosos. Ao mesmo tempo, os invasores também podem penetrar em seu sistema e apagar informações de propósito ou mantê-las como reféns como parte de um ataque de ransomware

• Acesso não autorizado : ao contrário de um ambiente tradicional em que os usuários possuem computadores e dispositivos locais, uma configuração de IaaS pode ser acessada pela Internet por qualquer pessoa com as credenciais corretas. Isso significa que, a menos que todos os usuários pratiquem a higiene cibernética adequada, suas credenciais podem acabar nas mãos de um agente mal-intencionado tentando invadir o sistema.

• Ataques internos: os ataques internos geralmente vêm de funcionários insatisfeitos ou daqueles que foram pagos como parte de um esquema de espionagem cibernética. Às vezes, porém, um ex-funcionário que ainda possui credenciais de acesso pode entrar em um sistema IaaS e causar problemas. Ao excluir os privilégios de acesso de ex-funcionários, você pode evitar muitos ataques internos.

• Ataques de malware e negação de serviço : como em todos os ambientes baseados em servidor, as soluções IaaS podem ser vulneráveis ​​a ataques de malware e negação de serviço. Mas se o seu provedor tiver firewalls de última geração e sistemas de detecção de intrusão, eles podem evitar muitos desses ataques.

A boa notícia é que nenhuma dessas ameaças precisa impedir você de adotar um modelo de IaaS, especialmente se você adotar as práticas recomendadas a seguir.

Práticas recomendadas de segurança IaaS

Apesar de um aumento geral na atividade de hackers e dos tipos de ameaças às quais as organizações foram expostas ultimamente, há muito que você pode fazer para manter seus sistemas seguros. Quando se trata de uma solução IaaS, garantir a segurança adequada se resume a algumas considerações importantes.

Conhecendo o modelo de segurança IaaS do seu provedor

O modelo de segurança do seu provedor de IaaS é sua principal linha de defesa. De certa forma, um ambiente IaaS é muito parecido com qualquer outra situação em que você confia a uma entidade remota a segurança de algo que lhe é querido — seja uma instalação de armazenamento, um banco ou uma babá. Você precisa entender como eles protegem as coisas que são elementos essenciais da sua vida.

Aqui estão algumas ferramentas e metodologias de segurança para perguntar ao seu provedor de IaaS:

• Quais sistemas são usados ​​para manter as interfaces de protocolo de aplicativo (APIs) protegidas contra invasores? As APIs são acessíveis pela Internet, portanto, seu provedor deve ser capaz de descrever exatamente como manter as que controlam seu ambiente IaaS seguras.

• Os sistemas de prevenção de intrusão (IPSs) e os sistemas de detecção de intrusão (IDSs) devem estar no centro de uma solução de segurança IaaS. Seu provedor não deve apenas ter sistemas que bloqueiam ameaças, mas também deve usar soluções de monitoramento de rede que possam detectar atividades suspeitas.

• Alguns provedores de IaaS usam segmentação de rede para aplicar soluções de segurança individuais a partes específicas do seu ambiente de nuvem. Por exemplo, eles podem manter uma área de sua rede separada usando um firewall enquanto outro firewall protege sua infraestrutura geral. Isso pode ser valioso para impedir que as ameaças se movam lateralmente pelo sistema.

• Os firewalls virtuais são usados ​​para proteger cargas de trabalho específicas? Seu provedor de IaaS pode oferecer firewalls virtuais que podem ser posicionados na frente de aplicativos críticos para os negócios. Para algumas organizações, isso fornece um nível extra de confiança na proteção de suas cargas de trabalho mais importantes.

Entenda a abordagem do seu provedor para responsabilidade compartilhada

Independentemente das ferramentas que seu provedor de IaaS tem à disposição, é importante entender por quais elementos de segurança eles são responsáveis ​​e quais recaem sobre seus ombros.

Por exemplo, alguns provedores podem garantir a segurança de seus dados armazenados, mas muitos não prometem que os aplicativos que você usa estarão protegidos contra violações, especialmente porque você (o cliente) fornece os aplicativos que são executados no ecossistema IaaS.

Mas é importante entender quem deve proteger o quê — e fazer isso por escrito — para que você possa trabalhar com seu provedor de IaaS para manter todos os ativos seguros.

Configure protocolos de acesso rígidos

Ao usar protocolos de acesso rígidos, você aumenta muito o grau de dificuldade para hackers e, como resultado, reduz drasticamente sua superfície de ataque.

Você pode usar algumas das seguintes abordagens para reduzir o risco de um indivíduo não autorizado entrar em seu ambiente IaaS:

• Os controles de acesso baseados em função (RBAC) concentram-se em fornecer acesso apenas às pessoas que precisam desse segmento de sua rede para realizar seus trabalhos. Por exemplo, alguém da contabilidade provavelmente não precisaria acessar uma plataforma de desenvolvimento da Web e um programador não precisaria acessar um banco de dados de informações do cliente, a menos que estivesse criando um aplicativo que o usasse. Quanto menos pessoas com acesso, menor a probabilidade de seu sistema sofrer uma violação.

• Os princípios de segurança de confiança zero presumem que cada pessoa, aplicativo e rede que tenta acessar seu sistema é uma ameaça. Somente depois de confirmarem sua identidade, eles são permitidos em sua rede. Isso significa que mesmo os funcionários não terão o direito de entrar novamente nas sessões das quais saíram minutos antes, a menos que possam verificar novamente quem são.

• A autenticação multifator força os usuários a fornecer pelo menos um método extra para verificar suas identidades, como uma digitalização de impressão digital ou um dispositivo físico, além de um nome de usuário e senha.

Criptografia para dados em repouso

Ao criptografar dados em repouso, você mantém sua integridade e também protege os sistemas que podem usá-los no futuro. Com a maioria dos provedores de IaaS, a criptografia de dados é normal.

Veja como funciona:

1. Seu provedor de IaaS usa um algoritmo para criptografar seus dados, transformando-os em um determinado número de caracteres.

2. Somente os sistemas com os quais seus componentes de armazenamento IaaS compartilham uma chave podem decifrar os caracteres e torná-los legíveis.

3. Os algoritmos de criptografia são projetados para tornar impossível para alguém descobrir o sistema de criptografia, mesmo que tenha o arquivo original e sua forma criptografada.

Como resultado, se alguém penetrasse em seu sistema e acessasse o armazenamento em nuvem de seu provedor, não conseguiria ler os dados que estava tentando corromper ou roubar.

Protocolos de monitoramento regular e inventário

Ao monitorar regularmente seus ativos de nuvem, você e seu provedor de IaaS podem detectar anomalias de rede que significam atividade maliciosa. Detectar problemas no início de seu ciclo de vida evita que eles se transformem em interrupções de negócios desafiadoras.

Por exemplo, um sistema de monitoramento de rede pode detectar quando uma grande quantidade de dados de repente começa a sair de sua rede. Em algumas situações, isso pode ser um sinal de que um invasor externo está roubando informações ou alguém interno enviando dados para um agente mal-intencionado com o qual está colaborando. Com um sistema de monitoramento instalado, você pode detectar essa atividade e interrompê-la imediatamente.

O inventário, da perspectiva de um provedor de IaaS, refere-se a máquinas virtuais e às cargas de trabalho pelas quais são responsáveis. Ao acompanhar seu inventário de IaaS, você pode:

• Entenda como suas cargas de trabalho mais exigentes são tratadas por seus recursos de nuvem

• Faça ajustes e solicite mais recursos se necessário

• Evite que um ativo de rede seja sobrecarregado, o que pode resultar em vulnerabilidades

Correção consistente

Quando você corrige de forma consistente os sistemas operacionais (SOs) e o software que usa em conjunto com seu ambiente IaaS, torna muito mais difícil para os hackers que procuram frutas fáceis de encontrar.

Por exemplo, alguns invasores tentarão tirar proveito das vulnerabilidades que os fornecedores de software já abordaram em uma versão recente. Simplesmente aplicando um patch gratuito, você elimina esses invasores na hora.

Essa é uma das responsabilidades que você pode ter que assumir sozinho, especialmente porque é você quem decide qual software será executado em seu ambiente de nuvem. Felizmente, a aplicação de patches geralmente é rápida e fácil e, se você estiver preocupado com problemas de compatibilidade, uma conversa rápida com seu software ou provedor de sistema operacional pode tranqüilizá-lo.