Identities: The Connective Tissue for Security in the Cloud

Quase tudo na nuvem está a um privilégio excessivo ou a uma configuração incorreta da exposição. A postura adequada da nuvem e o gerenciamento de direitos podem ajudar a mitigar riscos e eliminar combinações tóxicas.

Ao implementar e configurar uma solução de segurança da nuvem, é fácil se sobrecarregar com o grande volume de itens a serem monitorados. Isso inclui aplicações Web executadas na infraestrutura de Kubernetes, incluindo IaaS e recursos de contêiner, as identidades relacionadas a humanos e máquinas e muito mais. As equipes de segurança da nuvem precisam gerenciar a identidade de serviço de cada recurso e verificá-las em busca de vulnerabilidades e configurações incorretas. Como são muitos os itens a serem monitorados, as organizações costumam buscar ferramentas e soluções pontuais para ajudar a combater esses vetores de ameaças. Muitas acabam com uma miscelânea de siglas de segurança nos seus ambientes e, como resultado, enfrentam altíssimos custos para tentar configurar e implementar todos esses produtos díspares. 

Com frequência, cada ferramenta faz uma imensidão de descobertas de segurança e trabalha com diferentes métricas de criticidade. Portanto, mesmo com ferramentas tecnicamente avançadas, as equipes de segurança são enviadas de volta às trevas das planilhas para tentar conciliar e priorizar todas as descobertas. 

A importância de proteger identidades na nuvem 

Para implementar uma estratégia de segurança mais eficaz, você precisa começar isolando o que os agentes de ameaças estão tentando conseguir ao violar a infraestrutura da nuvem. Recentemente, ficou claro que quase todas as violações na nuvem utilizam identidades e direitos mal configurados. A pesquisa "Tendências de proteção de identidades digitais em 2022" da Identity Defined Security Alliance (IDSA) descobriu que 84% das empresas sofreram violações de identidade nos 12 meses cobertos pelo estudo. Por quê?Não apenas por que as identidades estão profundamente interligadas em tudo o que executamos e criamos na nuvem, mas porque é um problema complicadíssimo de se resolver. São muitas as variáveis quando tentamos entender verdadeiramente os riscos associados ao gerenciamento de identidades.

Independentemente de você ter uma instância pública do Amazon EC2 com vulnerabilidades passíveis de exploração conhecidas ou uma infraestrutura mal configurada servida manualmente ou por meio de código, quando as exposições da nuvem são exploradas, os invasores imediatamente vão atrás de uma identidade. Eles testam direitos para fazer o movimento lateral ou escalar privilégios na tentativa de acessar dados confidenciais e outros recursos. A identidade é o perímetro da nuvem e, graças ao seu impacto de longo alcance, a segurança das identidades e dos direitos deve ser a base para um programa holístico de segurança da nuvem. 

Entenda as identidades humanas e as de serviço

Ao proteger identidades, é importante entender a diferença entre identidades de serviço e identidades humanas, bem como as diferentes abordagens para protegê-las, a fim de seguir o princípio de privilégios mínimos. As identidades de serviço destinam-se a servir cargas de trabalho e operar de forma consistente e previsível. Avaliar as permissões que são atribuídas e as que são realmente usadas é importante para entender as "permissões eficazes". Como as identidades de serviço são programadas para um fim específico e os requisitos raramente mudam, é possível dimensionar corretamente suas permissões para o mínimo com base na atividade – o princípio de privilégios mínimos. 

Em contraste, as identidades humanas são feitas para serem usadas por pessoas reais. Isso as torna imprevisíveis. Dimensionar corretamente as permissões para recursos e ações específicas, especialmente quando surgem tarefas ad hoc, transforma-se em um desafio. Para executar o Zero Trust, implementar um programa de acesso Just-in-Time (JIT) é o segredo. Nenhuma organização consegue eliminar completamente todo o acesso à nuvem por parte de usuários humanos. Isso não é realista. Esta é uma forma de reduzir significativamente os riscos associados às identidades humanas: permita que as equipes de DevOps solicitem acesso de curto prazo à nuvem de forma programática para tarefas específicas em ambientes críticos e certifique-se de que esse fluxo de trabalho de acesso de curto prazo integre-se às ferramentas de comunicação existentes, como Slack, Microsoft Teams etc. 

Os programas de segurança que não levam em conta essas diferenças podem causar trabalho e atrito entre as equipes de DevOps e de TI. Cumprir a promessa do DevSecOps significa garantir que a segurança seja incorporada aos fluxos de trabalho de forma escalável. É aqui que as ferramentas integradas de gerenciamento de direitos da infraestrutura de nuvem (CIEM) e a plataforma de proteção de aplicações nativas da nuvem (CNAPP) podem entrar no jogo. A integração entre essas ferramentas pode proporcionar visibilidade e controle sobre a infraestrutura da nuvem, Kubernetes, contêineres, infraestrutura como código (IaC), identidades, cargas de trabalho etc.

Em soluções integradas de segurança CIEM e CNAPP, procure o seguinte: 

• Perspectivas e visualização de direitos: como diz o velho ditado de segurança, você não pode proteger aquilo que não vê. Uma visibilidade precisa dos recursos, das permissões e das atividades em várias nuvens é um ponto de partida essencial. 
• Avaliação do risco atual: você precisa monitorar continuamente o ambiente da nuvem para detectar e avaliar os fatores de risco, como exposição da rede, configurações incorretas, permissões perigosas, segredos expostos e ameaças relacionadas à identidade, incluindo acesso anormais aos dados.
• Aplicação do princípio de privilégios mínimos: as ferramentas integradas devem ser capazes de automatizar a proteção de permissões por meio de políticas de privilégios mínimos.
• Correção simplificada: se você souber onde se encontram os riscos, será fácil corrigi-los na ferramenta, com a oportunidade de automatizar sempre que fizer sentido para a sua estratégia de segurança. 
• Controle de acesso centrado no desenvolvedor: evite a frustração de segurança das equipes de DevOps disponibilizando ferramentas que as permitam integrar segurança em seus fluxos de trabalho. 

Como combater a fadiga de alertas com contexto

Embora muitas equipes de segurança gastem seu tempo ajustando controles e políticas para combater a sobrecarga de alertas, uma melhor opção é integrar ferramentas de segurança, como CNAPP e CIEM, em uma única plataforma que forneça um contexto rico em toda a superfície de ataque. Com ferramentas de segurança integradas, você pode padronizar o que realmente significa "crítico" e entender melhor as vias de ataque que os invasores podem utilizar para causar danos ao seu ambiente de nuvem. Além disso, é muito mais fácil atualizar quando novas vulnerabilidades e dias zero são descobertos. 

Por exemplo, você pode ter 100 cargas de trabalho publicamente acessíveis em execução em um ambiente de nuvem, mas apenas dez têm vulnerabilidades críticas e apenas cinco têm vulnerabilidades críticas e privilégios elevados. Esse contexto permite que as equipes de segurança vejam onde devem concentrar suas iniciativas com base no que tem mais probabilidade de ser explorado. Muitas vezes, as equipes de segurança acabam precisando abordar todas as 100 cargas de trabalho públicas, pois as soluções pontuais não têm a integração e o contexto focado em identidade necessários para abordar as ameaças de forma eficiente. 

Recursos integrados para entender o risco e a exposição são importantes e fazem sentido não só sob o ponto de vista de infraestrutura ou vulnerabilidades, mas como uma maneira de analisar tudo junto e ajustar a pontuação de risco de forma dinâmica, com base no que realmente está acontecendo no seu ambiente. 

Para mais informações de como proteger as identidades na nuvem, assista ao webinar sob demanda "Managing Security Posture and Entitlements in the Cloud" (em inglês).