Cinco princípios fundamentais para a segurança da nuvem híbrida
por Tom Croll
Página inicial do blog / Notícias e pontos de vista
Como criar uma estratégia de segurança de nuvem híbrida que seja eficaz, escalável e acessível.
A expansão da nuvem tornou-se um fator corriqueiro para a maioria das organizações. À medida que as organizações transferem cargas de trabalho de data centers locais para várias plataformas de nuvem pública, os limites de seu perímetro de defesa tradicional se confundem e se desfazem, criando expansão da nuvem e desafios de segurança espinhosos.
Para proteger esse novo ambiente de nuvem híbrida sem fronteiras, você deve mover os controles de segurança para onde eles são necessários, aplicá-los com novas ferramentas e baseá-los em cinco princípios básicos: gerenciamento de acesso unificado, automação, teste antecipado (shift-left), segurança de dados e zero trust.
Nesta postagem do blog, vamos resumir e explicar como você pode adotar esses cinco princípios, que abordamos no webinar 5 itens obrigatórios para segurança da nuvem híbrida.
Princípio 1: Crie uma estratégia unificada de gerenciamento de acesso
Na computação em nuvem, o perímetro tradicional é movido para fora do data center corporativo, de modo que a identidade substitui as redes como o principal limite de confiança. Para que isso aconteça, uma estratégia unificada de identidade e gerenciamento de acesso (IAM) é essencial para proteger a nuvem. Para conseguir isso, você deve:
- Adotar uma estratégia de identidade unificada para garantir que as identidades de nuvem não existam em outros diretórios ou sistemas de autenticação.
- Aplicar a autenticação multifator (MFA) para todos os acessos ou, pelo menos, usar MFA para contas privilegiadas.
- Usar ferramentas automatizadas para monitorar contas de nuvem para acesso incomum e aplicar privilégios mínimos.
É fundamental garantir que suas contas na nuvem sejam rastreadas pelo seu sistema IAM central e usar ferramentas automatizadas que verificam constantemente o acesso não autorizado às contas na nuvem. A autenticação básica é insuficiente para contas de usuário acessíveis externamente. Por isso, o MFA é necessário para todo o acesso à nuvem pública. Use o MFA para contas privilegiadas, pelo menos.
Princípio 2: Automatize a configuração e a validação em todas as nuvens
“A esmagadora maioria dos incidentes de segurança na nuvem decorre de erros do cliente, muito mais do que de agentes mal-intencionados.”
Nos meus muitos anos de experiência como analista e consultor de empresas, descobri que a quase todos os incidentes de segurança na nuvem decorrem de erros ou configurações incorretas do cliente, muito mais do que de agentes mal-intencionados. No mundo da nuvem, obter a configuração correta da nuvem é tão importante quanto escrever um código seguro. As principais recomendações para reduzir erros de configuração incluem:
- Usar CSPM o mínimo possível para garantir configurações seguras em todos os ambientes.
- Usar uma plataforma de segurança unificada para coletar dados em todos os ambientes, como o Plataforma de gerenciamento de exposição Tenable One.
A automação de segurança na nuvem tornou-se uma parte cada vez mais importante das estratégias de segurança modernas. Ela permite que as organizações reduzam o esforço manual necessário para gerenciar seus ambientes de nuvem, além de melhorar sua postura de segurança e capacidade de escala.
É por isso que vimos a adoção e evolução contínuas de ferramentas automatizadas de ferramentas de gerenciamento da postura de segurança na nuvem (CSPM), como o Tenable Cloud Security. As soluções de CSPM não são apenas para validar configurações de tempo de execução em nuvem, mas evoluíram para serem usadas para verificar repositórios de código de IaC e procurar por desafios de gerenciamento de identidade e acesso, como contas e funções com privilégios excessivos.
Princípio 3: Adote o DevSecOps e faça testes antecipados (shift left)
“A segurança na nuvem não deve ser uma realidade à parte com suas próprias ferramentas e processos. As equipes devem ser unificadas sob uma única estratégia e usar ferramentas que lhes permitam falar a mesma língua entre as equipes.”
Equipes de segurança e desenvolvedores não falam a mesma língua. Quando os desenvolvedores pensam em segurança na nuvem, eles pensam em controles técnicos, produtos de código aberto como o Terraform da Hashicorp e recursos interessantes que possam permitir que suas aplicações nativas da nuvem sejam executadas em contêineres ou no Kubernetes. Quando as equipes de segurança pensam em controles, elas querem saber sobre riscos, tanto qualitativos quanto quantitativos. Elas querem saber quais controles estão em vigor, como são monitorados e como podem ser validados.
Por esses motivos, não é uma prática recomendada permitir que equipes de nuvem criem controles de segurança. Cabe às equipes de segurança adotar as práticas de DevSecOps e garantir que os controles sejam implementados o mais cedo possível no pipeline de desenvolvimento. A segurança na nuvem não deve ser uma realidade à parte, com suas próprias ferramentas e processos. As equipes devem ser unificadas sob uma única estratégia e usar ferramentas que lhes permitam falar a mesma língua entre as equipes. Para fazer testes antecipados (shift-left), você precisará:
- Verificar sua infraestrutura em busca de configurações incorretas no pipeline de desenvolvimento usando ferramentas de segurança de infraestrutura como código (IaC), como o Terrascan.
- Padronizar suas imagens básicas e verificá-las em um ambiente de desenvolvimento isolado.
- Fazer testes antecipados (shift left) para poder escalar para várias nuvens, abstraindo os controles e aplicando-os antes de implantá-los em plataformas de nuvem pública.
A consolidação de ferramentas não deve ser esquecida
É importante usar o mínimo de ferramentas possível para fornecer uma medida precisa da exposição ao risco e normalizar os fatores de risco em vários ambientes locais e de nuvem pública. Houve uma proliferação de novos fornecedores no mercado quando se trata de nuvem pública, preenchendo lacunas de controle usando técnicas inovadoras, enquanto os principais players adotam uma abordagem mais comedida. Felizmente, esse não é mais o caso. Soluções como o Tenable One podem proteger cargas de trabalho locais e de nuvem pública para fornecer a você uma plataforma de segurança de nuvem híbrida uniforme.
Princípio 4: Fortaleça a segurança dos dados
As organizações devem proteger os dados na nuvem criptografando todos os dados em repouso. No mínimo, você deve configurar o sistema de gerenciamento de chaves nativo do provedor de serviços de nuvem (CSP) para usar uma chave mestra controlada pelo cliente. O ideal é emitir suas próprias chaves mestras de criptografia e mantê-las no local em um módulo de segurança de hardware (HSM) ou usar um HSM virtual em um ambiente de nuvem pública.
As principais práticas recomendadas para segurança de dados em nuvem pública incluem:
- Criptografar todos os dados em repouso, mas controlar as chaves de criptografia.
- Integrar-se aos sistemas de gerenciamento de chaves dos provedores de nuvem.
- O ideal seria usar seu próprio HSM e manter as chaves no local ou em uma plataforma de nuvem alternativa.
Princípio 5: Use a abordagem zero trust para unificar estratégias
Zero trust é um termo muito usado, mas para nossos propósitos, significa confiança implícita zero e visibilidade total de todo o comportamento da entidade do usuário pós-autenticação e durante todo o ciclo de vida de cada sessão. Esse é um requisito fundamental para a nuvem, mas o princípio de zero trust também deve ser introduzido em ambientes de nuvem privada.
Para se beneficiar totalmente do zero trust:
- Adote princípios de zero trust em ambientes de nuvem pública e privada sempre que possível.
- Elimine gradualmente as redes confiáveis e a ideia de “confiança implícita”.
- Os princípios de zero trust e nativos na nuvem podem ser uma força motriz para a transformação da segurança, tornando suas aplicações mais seguras em ambientes de nuvem híbrida.
Conclusão
A segurança de nuvem híbrida bem-sucedida requer uma abordagem unificada. A TI bimodal deixou dívidas técnicas e pontos cegos de segurança em cargas de trabalho de nuvem pública. Os líderes de segurança devem ter como objetivo eliminar os problemas de segurança antes de implantar na infraestrutura compartilhada, aplicando padrões robustos em todo o pipeline de desenvolvimento e em ambientes de nuvem pública e privada.
À medida que continuamos a adotar a nuvem pública, é essencial evoluir nossa estratégia de segurança para usar as melhores técnicas de operações de segurança testadas e comprovadas e combiná-las com as melhores práticas de segurança das tecnologias de nuvem. Também é importante consolidar ferramentas tradicionalmente isoladas que resultam em muitos controles, causando atrasos e lacunas de controle, resultantes da falta de cobertura de nuvem unificada.
O envolvimento com as equipes de tecnologia pode ser desafiador, mas os líderes de segurança devem adotar a transição para princípios nativos da nuvem e zero trust. Ao usar esses cinco princípios fundamentais, você pode garantir que suas aplicações na nuvem híbrida sejam mais seguras e fáceis de gerenciar do que aquelas em seu data center local.
Se você está procurando mais informações sobre os cinco princípios fundamentais recomendados acima, assista ao webinar sob demanda 5 itens obrigatórios para segurança da nuvem híbrida. Você também pode aprender mais sobre o Tenable Cloud Security e se inscrever para uma avaliação gratuita hoje mesmo.
O autor convidado Tom Croll, da Lionfish Tech Advisors, é consultor da Tenable.
Artigos relacionados
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
Cybersecurity Snapshot: Cyber Agencies Offer Secure AI Tips, while Stanford Issues In-Depth AI Trends Analysis, Including of AI Security
April 19, 2024Check out recommendations for securing AI systems from the Five Eyes cybersecurity agencies. Plus, Stanford University offers a comprehensive review of AI trends. Meanwhile, a new open-source tool aims to simplify SBOM usage. And don’t miss the latest CIS Benchmarks updates. And much more!
Cybersecurity Snapshot: CISA Says Midnight Blizzard Swiped U.S. Gov’t Emails During Microsoft Hack, Tells Fed Agencies To Take Immediate Action
April 12, 2024Check out CISA’s urgent call for federal agencies to protect themselves from Midnight Blizzard’s breach of Microsoft corporate emails. Plus, a new survey shows cybersecurity pros are guardedly optimistic about AI. Meanwhile, SANS pinpoints the four trends CISOs absolutely must focus on this year. And the NSA is sharing best practices for data security. And much more!
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
CVE-2024-20353, CVE-2024-20359: Frequently Asked Questions About ArcaneDoor
April 25, 2024Frequently asked questions about CVE-2024-20353 and CVE-2024-20359, two vulnerabilities associated with “ArcaneDoor,” the espionage-related campaign targeting Cisco Adaptive Security Appliances.
CVE-2024-4040: CrushFTP Virtual File System (VFS) Sandbox Escape Vulnerability Exploited
April 23, 2024A zero-day vulnerability in CrushFTP was exploited in the wild against multiple U.S. entities prior to fixed versions becoming available as the vendor recommends customers upgrade as soon as possible.
- Cloud
- Cloud