Aprenda a gostar da auditoria e conformidade. Sim, é possível

Proteger cargas de trabalho em execução na nuvem pública e atender às normas de conformidade não é algo negociável para a maioria das organizações. No entanto, reunir os recursos necessários de visibilidade, mapeamento e monitoramento é muitas vezes um processo manual e demorado. Como resultado, auditorias e exercícios de conformidade podem atrasar e causar ansiedade nas equipes de segurança e conformidade.

Os requisitos de auditoria e conformidade são um dilema conhecido na infraestrutura da nuvem, então "aprender a gostar" pode parecer mais fantasia do que realidade. Nesta postagem, veremos os desafios de segurança de acesso e conformidade na nuvem e como os profissionais de segurança podem utilizar as ferramentas e as estratégias certas para que as auditorias não sejam um sofrimento.

Apesar de parecer simples, conquistar a conformidade na nuvem não é só preencher alguns formulários. Embora algumas normas regulatórias e práticas recomendadas tenham instruções bem específicas, muitas outras são muito mais abstratas. Uma norma abstrata pode exigir que você atinja uma determinada meta sem explicar como. Em casos assim, as ferramentas e os métodos que precisam ser implementados para atender à norma — e o que fazer para garantir a conformidade contínua — são uma incógnita.

Um motivo pelo qual algumas normas são abstratas é que a segurança não é uma prática única para todos. Ambientes de nuvem, em particular, são multidimensionais e dinâmicos, e novas vulnerabilidades surgem constantemente. Além disso, as organizações têm requisitos de conformidade diferentes, dependendo do setor, do porte da empresa e da localização. Mesmo a mais longa lista de instruções específicas de conformidade ainda não conseguiria cobrir todos os cenários de segurança possíveis.

A complexa mistura de regulamentações e estruturas é apenas um dos aspectos que tornam a conformidade de segurança tão desafiadora em ambientes da nuvem. Na maior parte das organizações, muitas equipes e ferramentas trabalham no ecossistema de nuvem da organização, incluindo:

• Equipes de infraestrutura que desenvolvem e mantêm ambientes de nuvem;
• Desenvolvedores que enviam código para produção;
• Profissionais de gerenciamento de identidade e acesso (IAM) que fornecem novos serviços e identidades humanas.

As várias partes interessadas envolvidas fazem com que seja muito demorado para as equipes de segurança mapear detalhes básicos de conformidade, como quais recursos estão em execução e com quais permissões, para análises comparativas do setor. Para complicar ainda mais as coisas, muitas organizações usam mais de um provedor de serviços em nuvem (CSP) em combinação com uma infraestrutura local, fazendo com que as equipes de conformidade fiquem presas em intermináveis reuniões e conversas por e-mail, enquanto trabalham com um inventário de ativos que provavelmente já nasceu desatualizado.

Embora as equipes de conformidade possam aguentar a carga do trabalho, a conformidade é um desafio ainda maior para as equipes de DevOps e infraestrutura. Muitas vezes, elas ficam em meio à confusão para produzir perspectivas detalhadas sobre os recursos que têm na nuvem.

Sem uma visão centralizada da arquitetura da nuvem, as equipes de conformidade não conseguem ter visão em várias nuvens ou monitorar mudanças frequentes nas configurações de aplicações enquanto estão em execução. É ainda mais difícil isolar problemas de conformidade, como um serviço Lambda exposto publicamente ou mau gerenciamento de acesso, imagine priorizar qual deles precisa ser corrigido primeiro.

Aprenda a gostar de auditorias com uma CNAPP

Uma plataforma de proteção de aplicações nativas da nuvem (CNAPP) de alta qualidade, que compreenda gerenciamento de configurações da infraestrutura, visibilidade multinuvem centralizada e relatórios personalizáveis, pode aliviar grande parte do trabalho relacionado à conformidade pelas equipes. Além disso, uma boa CNAPP vai além da conformidade e fortalece a postura de segurança da organização de acordo com as práticas recomendadas. Afinal, como muitos profissionais de segurança experientes sabem, comprovar a conformidade é apenas parte de uma estratégia de segurança holística. Você pode conseguir passar nas auditorias mas, se não estiver acompanhando práticas recomendadas novas e emergentes, sua postura de segurança na nuvem será prejudicada. Uma CNAPP ideal equilibra as práticas recomendadas de conformidade e segurança e oferece os quatro seguintes recursos:

1. Amplitude e profundidade do escopo regulatório

A solução deve abranger uma ampla variedade de práticas recomendadas de segurança e normas líderes de conformidade e do setor. Elas incluem:

• Análises comparativas de órgãos como o Center for Internet Security (CIS), a International Organization for Standardization (ISO) e o National Institute of Standards and Technology (NIST);
• Diretrizes do setor, como o Payment Card Industry (PCI) Data Security Standard (DSS) e o American Institute of Certified Public Accountant (AICPA) Service Organization Control (SOC) tipo 2;
• Regulamentos como o General Data Protection Regulation (GDPR) e o Health Insurance Portability and Accountability Act (HIPAA).

Estas normas devem estar incluídas nos modelos fornecidos pela plataforma e serem atualizadas com frequência. Além de ter uma ampla variedade de normas e políticas prontas para uso, a solução também deve permitir que os usuários as personalizem com base na evolução das necessidades, que podem não se enquadrar em um dos grupos de conformidade existentes.

2. Correlação entre nuvem e conformidade

O contexto é importante para segurança e conformidade. Você deve ser capaz de mapear facilmente cada norma para configurações de nuvem específicas, recursos de nuvem e políticas de atividades de nuvem, enquanto fornece um inventário claro do status de conformidade por ativo/conta. Por exemplo, um serviço Lambda da Amazon Web Services (AWS) exposto publicamente pode estar contornando as normas do Cloud Security Alliance (CSA) STAR Program, as estruturas ISO e NIST ou violando regulamentações de conformidade. Ter esse nível de detalhamento na sua CNAPP pode ajudar você a explorar áreas que estão fora de conformidade e corrigir rapidamente por meio de automação integrada.

3. Monitoramento contínuo

Não deveria levar uma semana útil para entender onde você se encontra perante as normas e as práticas recomendadas do setor. Soluções como o Tenable Cloud Security comparam constantemente todo o ambiente com estruturas e referências para garantir a conformidade e identificar desvios e anomalias. O status da conformidade deve ser visível para você e para todas as partes interessadas, em qualquer ponto, sem aguardar auditorias extenuantes. Qualquer atraso no monitoramento deixa você vulnerável aos invasores.

4. Relatórios flexíveis

Sua CNAPP deve ajudar você a demonstrar conformidade aos auditores por meio de visibilidade e relatórios flexíveis de todos os níveis organizacionais. Por exemplo, sua ferramenta deve permitir que você veja a postura de segurança e a conformidade de toda a organização, mas também permitir que você faça uma busca detalhada em contas e projetos específicos a fim de gerar relatórios de conformidade para auditores internos e externos sem dificuldades.

Conclusão

A conquista da conformidade na nuvem começa com a tradução das diretrizes de conformidade para a realidade da arquitetura da nuvem. Entender quais ativos de nuvem você tem, os tipos de vulnerabilidades às quais estão suscetíveis e como eles estão relacionados às diretrizes de auditoria é essencial para permitir o trabalho contínuo de conformidade de monitoramento, relatórios e correção. Depois de mapear seu ambiente, você pode prosseguir para o monitoramento automatizado com base na conformidade ou em políticas personalizadas. Por fim, você pode gerar um relatório automatizado que ajuda a demonstrar sua conformidade aos auditores. O Tenable Cloud Security pode ajudar você a fazer tudo isso para diminuir os obstáculos de conformidade e possibilitar mais tranquilidade para as auditorias de segurança.

Para obter mais informações sobre o Tenable Cloud Security ou solicitar uma demonstração, acesse a página do produto Tenable Cloud Security: https://pt-br.tenable.com/products/tenable-cloud-security