Saiba como proteger as sete camadas mais importantes da infraestrutura em nuvem: contas, servidores, hipervisores, armazenamento, bancos de dados, rede e contêineres/Kubernetes.
O que é segurança para a infraestrutura em nuvem?
A segurança da infraestrutura em nuvem é o processo de proteção de recursos e sistemas que são usados em um ambiente de nuvem.
De muitas maneiras, a infraestrutura de nuvem pública é mais vulnerável do que a infraestrutura local porque é fácil de se conectar a redes públicas e não está localizada atrás de um perímetro de rede seguro. Porém, a segurança ainda é um problema em uma nuvem privada ou híbrida, pois o ambiente é altamente automatizado e há muitos pontos de integração com sistemas de nuvem pública.
Pelo menos sete camadas básicas compõem a infraestrutura em nuvem. Isso inclui contas de usuário, servidores, sistemas de armazenamento, redes e muito mais. Os ambientes de nuvem estão sempre mudando, com recursos que duram apenas um curto período de tempo sendo configurados e retirados muitas vezes ao dia. Isso significa que cada um desses blocos de construção precisa ser protegido de maneira automatizada e metódica. Continue lendo para descobrir quais são as melhores maneiras de proteger cada uma dessas coisas.
Este artigo vai te ensinar:
Segurança em nuvens públicas, privadas e híbridas.
Como proteger sete camadas principais de sua infraestrutura em nuvem
Segurança em nuvens públicas, privadas e híbridas.
Em diferentes modelos de infraestrutura em nuvem, segurança na nuvem significa coisas diferentes. Aqui estão algumas coisas para se pensar quando se trata de segurança para os três modelos mais comuns: a nuvem pública, a nuvem privada e a nuvem híbrida.
Segurança na nuvem pública
Em uma nuvem pública, o provedor de nuvem é responsável por manter a infraestrutura segura e fornece à organização as ferramentas que ela pode usar para manter suas cargas de trabalho seguras. Cabe à sua organização:
– Protegendo cargas de trabalho e dados, seguindo todos os padrões de conformidade relevantes e garantindo que todas as atividades sejam registradas para que possam ser verificadas.
– Usando ferramentas automatizadas como uma plataforma Cloud Security Posture Management (CSPM) para garantir que as configurações de nuvem permaneçam seguras e que quaisquer novos recursos de nuvem também sejam seguros.
– Saiba quais acordos de nível de serviço (SLAs) do seu provedor de nuvem oferecem serviços e monitoramento relevantes.
– Se você usar serviços, imagens de máquina, imagens de contêiner ou outro software de fornecedores terceirizados, verifique as medidas de segurança e troque de fornecedor se não forem bons o suficiente.
Segurança de nuvem privada
Com o modelo de nuvem privada, você tem controle sobre todas as camadas da pilha. Na maioria das vezes, a Internet pública não tem acesso a esses recursos. Isso significa que as formas tradicionais de proteção do perímetro da rede corporativa podem fornecer um certo nível de segurança. Mas há outras coisas que você deve fazer para manter sua nuvem privada segura:
– Use ferramentas de monitoramento nativas da nuvem para ver se alguma de suas cargas de trabalho em execução está agindo de maneira estranha.
– As ameaças internas podem ser encontradas ao ficar de olho em contas e recursos privilegiados em busca de atividades suspeitas. Como é fácil automatizar recursos em uma nuvem privada, usuários mal-intencionados ou contas invadidas podem causar muitos danos.
– Certifique-se de que as máquinas virtuais, contêineres e sistemas operacionais host estejam completamente separados uns dos outros. Dessa forma, se uma VM ou contêiner for comprometido, ele não permitirá que o host também seja comprometido.
– As máquinas virtuais devem ter suas próprias NICs ou VLANs, e os hosts devem usar uma interface de rede separada para se comunicarem pela rede.
– Planeje com antecedência e prepare-se para a nuvem híbrida implementando medidas de segurança que permitirão que você se conecte com segurança a serviços de nuvem pública.
Segurança para nuvem híbrida
Nuvens híbridas são uma mistura de uma nuvem pública, uma nuvem privada e um data center no local. Em um ambiente de nuvem híbrida, é importante pensar nas seguintes coisas quando se trata de segurança:
– Certifique-se de que todas as práticas recomendadas sejam usadas para proteger os sistemas de nuvem pública.
– As melhores práticas para segurança de nuvem privada devem ser usadas por sistemas de nuvem privada, juntamente com as medidas usuais de segurança de rede para o data center local.
– Não use ferramentas e estratégias de segurança diferentes para cada ambiente. Em vez disso, use uma única estrutura de segurança que possa fornecer controles para todo o ambiente híbrido.
– Encontre todos os locais onde dois ambientes se conectam, trate-os como partes de alto risco e certifique-se de que estejam todos seguros.
Como proteger sete camadas principais de sua infraestrutura em nuvem
Aqui estão algumas das melhores maneiras de manter seguras as partes mais importantes de um ambiente de nuvem típico.
Contas
Na nuvem, as contas de serviço geralmente são contas privilegiadas que podem acessar infraestruturas importantes. Depois que as redes em nuvem são invadidas, os invasores podem acessar dados e recursos confidenciais.
Ao criar novos recursos de nuvem, dimensionar recursos de nuvem existentes ou configurar ambientes usando infraestrutura como código, as contas de serviço podem ser criadas automaticamente (IaC). As configurações padrão para as novas contas podem ser fracas ou inexistentes em alguns casos.
Usando o gerenciamento de identidade e acesso (IAM), você pode definir políticas que controlam quem pode acessar as contas de serviço e como elas são autenticadas. Use uma ferramenta de monitoramento de configuração de nuvem para encontrar contas não seguras e corrigi-las automaticamente. Por fim, fique de olho em como as contas confidenciais são usadas para detectar qualquer comportamento estranho e agir.
Servidores
Embora um ambiente de nuvem seja virtualizado, ele é composto de hardware real configurado em diferentes lugares do mundo. Isso inclui servidores físicos, dispositivos de armazenamento, balanceadores de carga e equipamentos de rede, como switches e roteadores.
Aqui estão algumas maneiras de proteger um servidor em nuvem, que geralmente é configurado usando um serviço como o Amazon EC2:
– Controle como a comunicação entra e sai. Seu servidor deve ser capaz de se conectar apenas a redes e intervalos de IP que ele precisa para ser executado. Por exemplo, um servidor de banco de dados não deve ter acesso à Internet pública ou a qualquer IP que não seja o das instâncias do aplicativo que ele atende.
– Os ataques Man in the middle (MiTM) podem ser interrompidos criptografando as comunicações, sejam elas enviadas por uma rede pública ou uma rede privada segura. Nunca use protocolos como Telnet ou FTP que não sejam seguros. Envie todas as informações usando HTTPS ou outros protocolos seguros como SCP ou SFTP (FTP seguro).
– Use chaves SSH para se conectar a servidores em nuvem em vez de senhas, que podem ser facilmente quebradas porque podem ser usadas em ataques de força bruta. Use chaves SSH, que usam criptografia com chaves públicas e privadas para tornar o acesso mais seguro.
– Reduza o número de privilégios. Somente usuários ou funções de serviço que precisam de acesso a um servidor devem receber acesso. Gerencie cuidadosamente o nível de acesso de cada conta para garantir que ela possa acessar apenas os arquivos e pastas e realizar as tarefas necessárias para sua função. Não use o usuário root; todas as operações devem ser feitas com contas de usuário conhecidas.
Hipervisores
Um hipervisor é um software executado em hardware real e permite executar várias máquinas virtuais (VMs), cada uma com seu próprio sistema operacional.
Os hipervisores são o núcleo de todos os sistemas em nuvem. Por causa disso, os hipervisores são uma grande preocupação de segurança porque um ataque chamado “hyperjacking” dá ao invasor acesso a todos os hosts e máquinas virtuais em execução no hipervisor.
Em sistemas de nuvem pública, o provedor de nuvem é responsável pela segurança do hipervisor, então você não precisa se preocupar com isso. Há uma exceção: se você usa sistemas como VMware Cloud para executar cargas de trabalho virtualizadas em uma nuvem pública, você é responsável por proteger o hipervisor.
Em um sistema de nuvem privada, você sempre precisa cuidar do hipervisor. Aqui estão algumas coisas que você pode fazer para garantir que seu hipervisor esteja seguro:
– Certifique-se de que as máquinas em seu data center que executam hipervisores sejam protegidas, corrigidas, cortadas de redes públicas e fisicamente seguras.
– Dê às contas de usuários locais o mínimo de privilégios possível e controle cuidadosamente o acesso ao hipervisor.
– Proteja, proteja e observe de perto as máquinas que executam o monitor de máquina virtual (VMM) e o software de gerenciamento de virtualização, como o VMware vSphere.
– Proteja e fique de olho nos caches e redes de hardware compartilhados do hipervisor.
– Preste atenção especial aos hipervisores em ambientes de desenvolvimento e teste. Quando um novo hipervisor for colocado em produção, certifique-se de que as medidas de segurança corretas estejam em vigor.
Armazenar
A virtualização é usada em sistemas em nuvem para separar o armazenamento dos sistemas de hardware. Os sistemas de armazenamento tornam-se pools elásticos de armazenamento ou recursos virtualizados que podem ser configurados e dimensionados automaticamente.
Aqui estão algumas maneiras de manter seus serviços de nuvem seguros:
– Descubra quais dispositivos ou aplicativos se conectam ao armazenamento em nuvem e quais serviços de armazenamento em nuvem são usados em toda a organização. Além disso, faça um mapa de como os dados se movem pela organização.
– Os usuários internos que não precisam de armazenamento em nuvem não devem poder usá-lo, e os usuários finais não devem poder usar serviços de nuvem em segundo plano.
– Existem muitas ferramentas automatizadas que podem ajudá-lo a classificar os dados de acordo com a sua sensibilidade. Isso pode ajudá-lo a prestar atenção aos dados armazenados na nuvem que são importantes para segurança ou conformidade.
– Remova os dados que não estão sendo usados. O armazenamento em nuvem é fácil de crescer, por isso é comum manter dados que não são necessários ou volumes de dados inteiros ou instantâneos que não estão sendo usados. Encontre esses dados não utilizados e livre-se deles para tornar seu sistema menos vulnerável a ataques e atender às suas necessidades de conformidade.
– Use sistemas de gerenciamento de identidade e acesso (IAM) para controlar cuidadosamente quem pode acessar os dados e use as mesmas políticas de segurança para sistemas na nuvem e locais.
– Use ferramentas de prevenção de perda de dados na nuvem (DLP) para localizar e interromper transferências de dados suspeitas, alterações ou exclusões de dados ou acesso a dados, sejam eles feitos de propósito ou por acidente.
Bancos de dados
Os bancos de dados na nuvem são fáceis de compartilhar com redes públicas e quase sempre contêm informações confidenciais, o que representa um sério risco de segurança. Como os bancos de dados estão intimamente ligados aos aplicativos que atendem e a outros sistemas em nuvem, a segurança desses outros sistemas também deve ser reforçada para evitar que o banco de dados seja invadido.
Aqui estão algumas maneiras de tornar os bancos de dados na nuvem mais seguros:
– Configurações e instâncias de proteção: se você configurar seu próprio banco de dados em uma instância de computação, é seu trabalho proteger a instância e configurar o banco de dados com segurança. Se você usar um serviço de banco de dados gerenciado, o provedor de nuvem geralmente cuidará dessas coisas.
– Políticas de segurança do banco de dados — certifique-se de que as configurações do banco de dados estejam alinhadas com as políticas de segurança e conformidade de sua organização. Mapeie suas necessidades de segurança e obrigações de conformidade para configurações específicas em sistemas de banco de dados em nuvem. Use ferramentas automatizadas como CSPM para garantir que todas as instâncias de banco de dados tenham as mesmas configurações seguras.
– Acesso à rede: Como regra geral, os bancos de dados nunca devem ser conectados a redes públicas e devem ser mantidos separados de infraestruturas que nada têm a ver com eles. Se possível, um banco de dados deve permitir apenas conexões dos aplicativos para os quais foi criado.
– Permissões: conceda apenas aos usuários, aplicativos e funções de serviço as permissões de que precisam. Evite “super usuários” e usuários administrativos que têm acesso total a tudo. Cada administrador deve poder ver os bancos de dados pelos quais é responsável.
– A segurança não acontece apenas na nuvem; isso também acontece nos dispositivos dos usuários finais. Você deve saber quais dispositivos de endpoint estão sendo usados para se conectar ao seu banco de dados pelos administradores. Esses dispositivos devem ser bloqueados e você não deve permitir que eles se conectem a dispositivos desconhecidos ou não confiáveis. Você também deve ficar de olho nas sessões para ver se algo suspeito está acontecendo.
Rede
Aqui estão algumas maneiras de manter as redes na nuvem seguras:
Os sistemas em nuvem geralmente se conectam a redes públicas, mas os componentes dentro de uma nuvem também podem se comunicar por meio de redes virtuais. Você pode configurar uma rede privada virtual segura para seus recursos de nuvem com todos os provedores de nuvem pública (chamados de VPC na Amazon e VNet no Azure).
– Use grupos de segurança para definir regras para quais tipos de tráfego podem ser movidos entre recursos de nuvem. Lembre-se de que os grupos de segurança estão fortemente vinculados a instâncias de computação e que, se uma instância for comprometida, a configuração do grupo de segurança poderá ser acessada. Isso significa que você precisa de mais camadas de segurança.
– Use as listas de controle de acesso à rede (ACL) para controlar quem pode entrar em redes privadas virtuais. As ACLs têm regras de “permitir” e “negar” e são melhores no controle de segurança do que grupos de segurança.
– Use soluções de segurança adicionais, como firewalls como serviço (FWaaS) e firewalls de aplicativos da Web (WAF) para localizar e bloquear ativamente o tráfego malicioso.
– Use as ferramentas do Cloud Security Posture Management (CSPM) para revisar redes em nuvem automaticamente, encontrar configurações que não são seguras ou vulneráveis e corrigi-las.
Kubernetes
Ao executar o Kubernetes na nuvem, é quase impossível separar o cluster Kubernetes de outras camadas de computação em nuvem. Esses são o próprio aplicativo ou código, bem como as imagens de contêiner, instâncias de computação e camadas de rede. Para defesa em profundidade, cada camada é construída em cima da camada abaixo dela e todas as camadas devem ser protegidas.
O projeto Kubernetes sugere que a segurança seja vista de quatro pontos de vista diferentes, ou “4 Cs”:
– Código—certificando-se de que o código em contêineres não é prejudicial e segue práticas de codificação seguras
– Contêineres — verificando as imagens de contêiner quanto a falhas de segurança e protegendo-os enquanto estão em execução para garantir que sejam configurados com segurança de acordo com as práticas recomendadas.
– Clusters: manter os nós mestres do Kubernetes seguros e garantir que o cluster esteja configurado de acordo com as práticas recomendadas de segurança
– Nuvem (Cloud) — usando ferramentas de um provedor de nuvem para proteger a infraestrutura subjacente, como instâncias de computação e nuvens privadas virtuais (VPC)
Em um ambiente nativo da nuvem, também pode ser difícil seguir as melhores práticas de segurança, padrões e benchmarks do setor e estratégias organizacionais internas.
As organizações devem não apenas permanecer em conformidade, mas também apresentar provas de conformidade. Você precisa alterar sua estratégia para que os controles que você fez para sua arquitetura de aplicativo existente funcionem em seu ambiente Kubernetes.
Conheça a Golden Solutions
A Golden Solutions é certificada nas ISO 27001, 270017, 27018 e conta com centenas de clientes atendidos, comercializando licenças de software e desenvolvendo serviços como gestão de nuvem, consultoria e serviços gerenciados, além de um portfólio amplo de soluções verticalizadas com foco em inovação e transformação digital.
Conte com o nosso apoio para implantar a melhor estratégia multicloud e com nossa plataforma para gerenciamento de ambientes híbridos em cloud, o Edge Cloud.
