Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog da Tenable

Inscrever-se

Segurança da nuvem: três coisas que os líderes da InfoSec precisam saber sobre o modelo de responsabilidade compartilhada

Não importa se você está apenas começando sua jornada na nuvem ou já tenha anos de implementações, vale a pena dedicar um tempo para ter certeza de que você sabe quais aspectos da segurança na nuvem recaem sobre o seu provedor de serviços em nuvem e quais são o domínio de sua organização de segurança.

À medida que 2020 chega ao fim, as organizações em todo o mundo são forçadas a lidar com a compreensão de que as mudanças rápidas feitas no início do ano em resposta à pandemia Covid-19 podem ter chegado para ficar. Para alguns, isso pode significar uma mudança estratégica para dobrar o uso de serviços em nuvem, incluindo infraestrutura como serviço (IaaS), plataforma como serviço (PaaS) e software como serviço (SaaS). 

As vantagens de migrar para a nuvem são claras no ambiente de hoje, em que fornecer aos funcionários acesso remoto às ferramentas e dados críticos de que precisam para realizar seus trabalhos é essencial para manter uma organização em pleno funcionamento. No início deste ano, um estudo global comissionado conduzido pela Forrester Consulting em nome da Tenable descobriu que quase dois terços das organizações (64%) têm funcionários remotos/que trabalham em casa. O estudo também revelou uma combinação complexa de tecnologias e serviços gerenciados pelos 416 executivos de segurança pesquisados, incluindo nuvem pública (41%), nuvem privada (45%) e híbrida (39%). Como a necessidade de uma força de trabalho remota totalmente funcional continua, prevemos ainda mais organizações aumentando seus portfólios da nuvem em 2021 e depois. 

Não importa se você está apenas começando sua jornada na nuvem ou já tenha anos de implementações, vale a pena dedicar um tempo para ter certeza de que você sabe quais aspectos da segurança na nuvem recaem sobre o seu provedor de serviços em nuvem e quais são o domínio de sua organização de segurança. Assim como acontece com tanta tecnologia da informação, as respostas podem variar bastante, dependendo de qual tipo de tecnologia em nuvem você está implantando. Aqui está uma análise rápida de como é o modelo de responsabilidade compartilhada para três camadas principais de computação em nuvem, com base na orientação da Cloud Security Alliance:

  • IaaS: nesta camada, a carga de segurança do provedor de serviços em nuvem (CSP) inclui segurança de virtualização e segurança de infraestrutura. Áreas como segurança de dados, segurança de aplicações, segurança de middleware e segurança de host são do cliente de IaaS. Em resumo, os usuários são responsáveis pelo sistema operacional convidado e tudo dentro dele. 
  • PaaS: nesta camada, as responsabilidades do CSP são mais amplas, incluindo configuração de segurança, gerenciamento, monitoramento operacional e resposta a emergências de infraestrutura; segurança de redes virtuais; segurança da camada da plataforma, como a segurança de sistemas operacionais e bancos de dados; e segurança dos sistemas de aplicações. O cliente PaaS é responsável pela segurança de dados e segurança de aplicações.
  • SaaS: nesta camada, o CSP é responsável pela segurança de aplicações e dos componentes subjacentes. O cliente de SaaS é responsável pela segurança dos dados e proteção do dispositivo de endpoint.

O exemplo abaixo, da Microsoft, ilustra um modelo típico de responsabilidade compartilhada:

segurança na nuvem e o modelo de responsabilidade compartilhada

Fonte da imagem: https://docs.microsoft.com/en-us/azure/security/fundamentals/shared-responsibility

Embora o modelo de responsabilidade compartilhada à primeira vista possa parecer bastante simples, os profissionais de segurança precisam se preparar para nuances consideráveis em cada camada. Por exemplo, o gerenciamento de vulnerabilidade para modelos de implantação IaaS pode ser particularmente difícil e demorado. As equipes de segurança exigem um inventário completo de nuvens privadas virtuais (VPCs) e pipelines de imagem Elastic Compute 2 (EC2) para começar. Verificadores e agentes precisam ser configurados, instalados e gerenciados continuamente para incorporar atualizações. As novas detecções de vulnerabilidade podem demorar várias semanas. E se isso não fosse desafiador o suficiente, os profissionais de segurança têm que contabilizar vários pontos cegos devido a contas de nuvem desconhecidas e ambientes de nuvem dinâmicos em constante mudança. 

Outra preocupação para os profissionais de segurança é entender que a segurança da infraestrutura de armazenamento é responsabilidade do CSP, mas os usuários também têm um impacto significativo. Configurações incorretas, como buckets do S3 ou instâncias EC2, são as principais causas de violações.

Além disso, os detalhes de responsabilidade compartilhada podem variar dependendo se seu CSP é a Amazon Web Services (AWS), o Google Cloud Platform (GCP) ou o Microsoft Azure. Além das diretrizes disponíveis na Cloud Security Alliance, também há recursos para compreender a função de sua equipe de segurança no modelo de responsabilidade compartilhada no Center for Internet Security

Responsabilidade compartilhada na nuvem: três coisas que os líderes de segurança cibernética precisam saber

O estudo de computação em nuvem de 2020 da IDG, que entrevistou 551 tomadores de decisão de TI (ITDMs), descobriu que a grande maioria dos entrevistados (81%) já está usando infraestrutura de computação ou aplicativos na nuvem e outros 12% planejam adotar aplicativos baseados em nuvem nos próximos 12 meses. Se você está entre eles, aqui estão três coisas que você deve ter em mente sobre o modelo de responsabilidade compartilhada:

  1. Embora possa parecer igual no papel e em gráficos, uma quantidade significativa de responsabilidade, implementação e defesa da superfície de ataque (?) ainda é do cliente. Não subestime o tempo e os recursos que você precisará investir para cada implementação na nuvem, incluindo qualquer treinamento necessário para atualizar sua equipe.

  2. Determinadas categorias de auditoria e conformidade (famílias de controle) são facilitadas com a mudança para a nuvem por meio de controles herdados do provedor de nuvem. Os controles herdados podem incluir gerenciamento de patches e de configuração e podem se traduzir em economias de custo perceptíveis. Embora sua equipe de infosec deva conduzir essa estratégia, é importante envolver-se com outros grupos principais em sua organização, particularmente os departamentos de governança, risco e conformidade (GRC) e jurídico. A equipe de auditoria interna pode auxiliar ainda mais neste momento. De acordo com um relatório da Deloitte de 2018, “embora o grupo de segurança da informação de uma organização possa criar recursos de monitoramento de nuvem, [a equipe de auditoria interna] pode ajudar e avaliar a eficácia do ambiente de controle e evitar que o departamento de TI seja deixado de lado”. 

  3. Não presuma que o provedor de nuvem é o único responsável em caso de violação. Mesmo que ocorresse um cenário em que o provedor de nuvem fosse considerado o culpado, as consequências ainda poderiam se estender aos seus clientes e sua organização poderia ser incluída em ações judiciais coletivas. Em muitas jurisdições, a responsabilidade jurídica recai sobre o proprietário dos dados (ou seja, a organização que usa os serviços em nuvem), e não sobre o CSP. Resumindo, não se esquive da responsabilidade. Prestar atenção à sua função no modelo de responsabilidade compartilhada pode fazer mais do que manter seus dados protegidos; pode proteger sua organização no caso de uma ação judicial.


A Forrester prevê que, em 2021, "a computação em nuvem impulsionará a forma como as empresas se adaptam ao novo e instável normal". Agora é a hora de avaliar de perto todas as soluções de nuvem implementadas às pressas no início deste ano e revisitar os serviços que estão em execução para garantir que você esteja cumprindo todas as suas obrigações de segurança no modelo de responsabilidade compartilhada. 

Saiba mais:

Artigos relacionados

Você está vulnerável às últimas explorações?

Insira seu e-mail para receber os alertas de cyber exposure mais recentes em sua caixa de entrada.

tenable.io

GRÁTIS POR 30 DIAS


Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes.

tenable.io COMPRAR

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

65 ativos

Escolha sua opção de assinatura:

Compre já

Teste gratuitamente o Nessus Professional

GRÁTIS POR 7 DIAS

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Comprar o Nessus Professional

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Compre uma licença para vários anos e economize. Inclua o Suporte avançado para ter acesso ao suporte por telefone, pela comunidade e por bate-papo 24 horas por dia, 365 dias por ano.

Selecione sua licença

Compre uma licença para vários anos e economize.

Adicionar suporte e treinamento

Tenable.io AVALIAÇÃO GRATUITA POR 30 DIAS

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes.

Tenable.io COMPRAR

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

65 ativos

Escolha sua opção de assinatura:

Compre já

Teste o Tenable.io Web Application Scanning

GRÁTIS POR 30 DIAS

Tenha acesso completo à nossa oferta mais recente de verificação de aplicações Web desenvolvida para aplicações modernas como parte da plataforma do Tenable.io. Verifique com segurança por vulnerabilidades em todo o seu portfólio online com um alto grau de precisão sem grandes esforços manuais ou interrupção de aplicações Web críticas. Inscreva-se agora mesmo.

Comprar o Tenable.io Web Application Scanning

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

5 FQDNs

US$ 3.578,00

Compre já

Teste o Tenable.io Container Security

GRÁTIS POR 30 DIAS

Tenha acesso completo à única oferta de segurança de contêiner integrada a uma plataforma de gerenciamento de vulnerabilidades. Monitore imagens de contêiner por vulnerabilidades, malware e violações de segurança. Unifique sistemas de integração contínua e implantação contínua (CI/CD) para dar suporte às práticas de DevOps, reforçar a segurança e ajudar na conformidade com as políticas da empresa.

Comprar o Tenable.io Container Security

O Tenable.io Container Security habilita com perfeição e segurança os processos de DevOps ao fornecer visibilidade da segurança das imagens de contêiner, incluindo vulnerabilidades, malware e violações de segurança através da integração com o processo de compilação.

Avalie o Tenable Lumin

GRÁTIS POR 30 DIAS

Visualize e explore sua Cyber Exposure, monitore a redução do risco ao longo do tempo e faça uma análise comparativa com outras empresas do mesmo setor com o Tenable Lumin.

Compre o Tenable Lumin

Entre em contato com um representante de vendas para ver como o Lumin pode ajudar você a obter informações sobre toda a organização e gerenciar o risco cibernético.

Experimente o Tenable.cs

GRATUITO POR 30 DIAS Aproveite o acesso total para detectar e corrigir configurações incorretas da infraestrutura de nuvem nas fases de projeto, criação e tempo de execução do ciclo de vida de desenvolvimento de software.

Compre o Tenable.cs

Entre em contato com um representante de vendas para saber mais sobre a segurança na nuvem e como você pode proteger cada etapa do código na nuvem.

Teste o Nessus Expert gratuitamente

GRÁTIS POR 7 DIAS

Desenvolvido para a superfície de ataque moderna, o Nessus Expert permite ver mais e proteger sua organização de vulnerabilidades, da TI à nuvem.

Já tem uma licença do Nessus Professional?
Atualize para o Nessus Expert gratuitamente por 7 dias.

Comprar o Nessus Expert

Desenvolvido para a superfície de ataque moderna, o Nessus Expert permite ver mais e proteger sua organização de vulnerabilidades, da TI à nuvem.

Selecione sua licença

Compre uma licença para vários anos e economize.

Adicionar suporte