A transformação da infraestrutura de TI das companhias para o modelo de nuvem já é uma realidade em ambientes de serviços SaaS como MS Office365, CRM ou plataformas de colaboração. Cada vez mais o uso de plataforma como serviço (PaaS) e infraestrutura como serviço (IaaS) passam a fazer parte da estratégia de negócio das organizações, com o objetivo de otimizar custos e ganhar agilidade em processos corporativos.
Nesse cenário, a Governança de Segurança da Informação aplicada a ambientes on-premises também precisa passar por uma transformação, considerando os desafios que o ambiente em nuvem inevitavelmente provoca, entre eles:
- Conformidade com regulamentações e leis entre países – A GDPR é um exemplo claro desse caso, em que cada companhia precisa entender seus limites e onde seus serviços são executados para garantir a devida conformidade com leis regionais e regulamentações.
- Privacidade de Dados – A forma de exposição de dados e de proteção e a criptografia de Data-in-Rest e Data-in-transit são preocupações que não existiam em ambientes on-premises.
- Perda de Controle – O comprometimento de credenciais privilegiadas como a conta Root ou Administrativa podem impossibilitar o acesso ao ambiente.
- Multitenancy – Preocupações com Tenants vizinhas não confiáveis que compartilham o mesmo recurso de hardware, quando se trata de ambientes de nuvem pública.
- Falta de Visibilidade – Dificuldade em visualizar configurações e estruturas de relacionamentos entre workloads.
- Vetores de ataque – Uso de APIs maliciosas para interação entre serviços em nuvem.
- Falta de acesso físico – Em ambientes SaaS, a rastreabilidade em níveis mais baixos de plataforma é limitada e fica sob responsabilidade do provedor de nuvem.
Quando elencamos os principais riscos à segurança em ambiente de nuvem, consolidando pesquisas realizadas pelo Cloud Security Alliance e Europe Union Agency for Network and Information Security (Enisa), temos a seguinte classificação:
- Riscos com conformidade em regulamentações e leis
- Perda da Governança
- Vazamento de dados
- Lock-In
- Falha de Isolamento e comprometimento do Management Plane
- Hospedagem de softwares maliciosos
- Sequestro de credenciais de acesso
- Usuários internos maliciosos
- Destruição incorreta de dados ou de forma insegura
- Uso de softwares inseguros ou vulneráveis
Principais incidentes relacionados à perda da Governança da Segurança:
- Comprometimento de chaves de acesso, permitindo que agentes maliciosos criem instâncias sem controle, para uso em ações de criptomining, por exemplo.
- Problemas de erro de configuração, expondo instâncias e serviços de forma indevida para a internet.
- Gestão de vulnerabilidades, permitindo o uso de instâncias vulneráveis de forma não monitorada e sem o devido hardening.
- Falha em classificação de dados, permitindo que dados sensíveis se misturem com dados públicos, dificultando o controle e a devida monitoração.
Não por acaso, o Gartner afirma que, em 2020, 80% das brechas relacionadas ao ambiente de nuvem estarão relacionadas a problemas de configuração em clientes devido a perda da Governança de Segurança e não atrelados aos provedores de nuvem.
Quais são os desafios para uma Governança de Segurança eficaz?
- Cloud Visibility – Ter visibilidade de todos os ambientes de nuvem, independentemente do provedor, de forma consolidada, integrada e prática.
- Cloud Discovery – As companhias devem ser capazes de gerar inventários do seu ambiente de cloud e ter a capacidade de visualizar de forma ágil qualquer transformação no seu ambiente, de maneira integrada, independentemente de qual serviço de nuvem utiliza.
- Conformidade com Leis e Regulamentações – O nível de conformidade com regulamentações (como PCI-DSS, GDPR e LGPD, HIPPA, ISO27001 e leis regionais) deve ser claro e visível.
- Automação de processos e rotinas de forma ágil – Uso de machine learning e Inteligência Artificial para automação do ciclo de vida de instâncias para customização de custos, verificações periódicas de segurança, proatividade para identificação de comportamentos anômalos, e monitoração contínua.
Artigo elaborado por Evandi Manoel, especialista em segurança da informação.