Durante a última década, as organizações têm planeado – ou já o fizeram – moveram todos os seus dados para a nuvem. À primeira vista, a computação em nuvem parece ótima: custos operacionais mais baixos, implantações geográficas infinitas e poder de computação exponencial (e armazenamento de dados)... mas e quanto aos riscos associados a protegendo dados em seu ambiente de nuvem?
Vamos dar uma olhada em alguns dos riscos potenciais de jogar todos os seus dados na nuvem sem visibilidade adequada, conhecimento, estratégia de segurança (ou portões) ou um plano de remediação de risco.
Implantação com um clique (ou implantações de infraestrutura como código)
A computação em nuvem permitiu que a infraestrutura fosse implantada de forma integrada (incluindo armazenamentos de dados). Os sistemas de modelo são facilmente implantados e, em escala, facilitam muito para as equipes de engenharia a construção de sistemas complexos. ambientes de nuvem. Com toda essa facilidade de implantação, surge o risco de uma simples configuração incorreta que deixa o acesso aos bancos de dados/armazenamentos de dados (AWS s3) totalmente aberto ou um invasor obtendo acesso aos seus pipelines de construção e injetando código malicioso.
Nos últimos meses, observamos um aumento no número de agentes de ameaças – como a TeamTNT, que comprometeu modelos de AMI (Imagem de Máquina da Amazon) em empresas e os injetou com criptomineradores. Quando as equipes de engenharia extraíam automaticamente os modelos em seus pipelines de construção, frequentemente implantavam modelos comprometidos. Embora se tratasse apenas de uma instância de criptominerador, poderia facilmente ter sido um malware de acesso remoto ou uma rota expressa para o IP do invasor.
Lacuna de conhecimento
Com qualquer nova tecnologia ou plataforma, inevitavelmente haverá dificuldades de crescimento. A computação em nuvem não é diferente. Cada provedor de nuvem tem um nome diferente para computação (EC2 x VM), armazenamento (S3 x Blob) e rede (Route 53 x DNS), o que pode dificultar a busca por engenheiros experientes na configuração de ambos. Já existe uma escassez de talentos para engenheiros altamente qualificados, o que faz com que as empresas precisem treinar recursos (ou fiquem com falta de pessoal) às pressas. Enquanto isso, elas continuam seus negócios normalmente, enquanto armazenam terabytes ou petabytes de dados em armazenamento em nuvem que não está configurado com segurança.
Olha o Violação de dados da Optus Isso foi noticiado há poucos dias... "Um funcionário pretendia abrir o banco de dados de identidade de clientes da Optus por meio de uma API, mas não exigiu autenticação e o banco foi deixado acessível por meio de uma rede de teste". Isso acabou resultando em um hacker comprometendo aproximadamente 11 milhões de registros de clientes e ameaçando divulgar os dados se a Optus não pagasse $1 milhões (USD).
O que você pode fazer para combater os riscos da nuvem?
Então, embora tudo isso pareça indicar que você está condenado... você não precisa estar. Se você colocar seus dados na nuvem, não precisa ser só desgraça, risco e vulnerabilidade. Os provedores de nuvem aprimoraram seus recursos de segurança e há vários deles que precisam ser essenciais na sua jornada. pilha de segurança em nuvemAcredite ou não, no fim das contas, tudo o que os invasores (pelo menos o 99%) querem são seus dados ou seus recursos de computação. O objetivo final dos invasores é obter ganhos financeiros.
1. Visibilidade de dados –
- Se você não sabe onde estão seus dados, como pode protegê-los? Não é mais aceitável presumir que seus dados estão apenas no bucket do S3 em que você pensava que estavam ou armazenados naquele banco de dados.
- Você precisa visibilidade total dos dados em seu ambiente de nuvem e a capacidade de remediar quando você encontrar dados não criptografados, externos ou obsoletos.
2. Gestão de postura de segurança em nuvem (CSPM) –
- Você ao menos sabe o que está sendo implantado?
- ...e quando você sabe o que está sendo implantado, você está ciente de vulnerabilidades ou configurações incorretas?
- É aqui que um CSPM é crucial. Ser capaz de escanear sistemas em tempo real e identificar vulnerabilidades/configurações incorretas é absolutamente essencial para proteger seu ambiente de nuvem.
3. Acesso controlado –
- Quem na sua organização tem a capacidade de acessar seu ambiente de nuvem?
- Quem tem a capacidade de implantar sistemas/cargas de trabalho?
- O controle de acesso pode ser feito usando seu provedor de identidade e implementando o Controle de Acesso Baseado em Função (RBAC). É extremamente importante limitar o acesso ao seu ambiente de nuvem e quem pode implantar sistemas. É necessário garantir a aprovação adequada para implantações de cargas de trabalho. É muito difícil gerenciar sistemas em nuvem se todos podem acessar seu ambiente de nuvem e iniciar uma carga de trabalho.
- Se você é uma empresa SaaS que hospeda um produto(s) para clientes: eu recomendo fortemente soluções de acesso self-service/just-in-time que permitem acesso específico com base em funções (por exemplo, Suporte) e garantem que o acesso seja revogado após um período de tempo definido.
4. Varredura de infraestrutura como código (IAC) –
- À medida que as implantações em nuvem se tornaram codificadas, é importante que os modelos, arquivos, módulos e variáveis sejam verificados por um scanner IAC em seus pipelines de compilação em busca de configurações incorretas e vulnerabilidades antes de serem enviados para produção.
A nuvem é uma coisa maravilhosa. Abrace-a. Mas seja inteligente: certifique-se de ter suas bases cobertas – desde os dados que você está armazenando na nuvem, à configuração, aos controles que você colocará em prática para gerenciar riscos.
Obtenha uma demonstração 1:1 com nossos especialistas em segurança hoje mesmo!
Autor
