*Yuri Carneiro
A utilização da tecnologia de computação em nuvem mudou bastante o cenário de provisão de serviços de infraestrutura. Ela é construída como um recurso sob demanda que permite dividir capacidades computacionais para rodar aplicações, banco de dados, máquinas virtuais, servidores e outras infraestruturas de TI, conforme necessário.
Tipos de tecnologia em nuvem
Hoje estão disponíveis três tipos de tecnologia em nuvem:
• Nuvens Públicas: são provisionadas para uso aberto e hospedadas nas instalações de provedores de serviço de cloud. São geralmente acessadas por navegadores de internet, então gestão de identidades, autenticação e controle de acesso são essenciais;
• Nuvens Privadas: são geralmente dedicadas e acessíveis somente para uma organização. Podem ser gerenciadas e operadas pela organização, um parceiro ou em modo compartilhado, sendo que podem estar dentro ou fora das instalações da companhia. Importante salientar que elas ainda estão vulneráveis a violações de acesso, engenharia social e outras explorações;
• Nuvens Híbridas: combinam vários aspectos de nuvens públicas e privadas, permitindo que as organizações exerçam mais controle sobre seus dados e recursos do que em um ambiente de nuvem pública, e ainda assim possam aproveitar a escalabilidade e outros benefícios da nuvem pública quando necessário. Com nuvens híbridas, as cargas de trabalho podem ser executadas em seu ambiente ideal.
Categorias de serviço em nuvem
Os serviços de nuvem podem ser classificados em três categorias:
• IaaS: é um modelo de nuvem que permite autoatendimento para gerenciar a infraestrutura virtualizada do Data Center. Paga-se pelo acesso sob demanda a recursos de computação pré-configurados, como rede, armazenamento e sistemas operacionais. Isso pode envolver a automação da criação de máquinas virtuais em escala, por isso é fundamental considerar como as máquinas virtuais são provisionadas, gerenciadas e retiradas. Nessa modalidade, o ônus de proteger e gerar relatórios sobre a infraestrutura recai sobre o provedor, mas toda a responsabilidade pelos softwares do sistema operacional para a aplicação é de responsabilidade do cliente;
• PaaS: é um modelo de camada de nuvem que fornece ferramentas e outras infraestruturas de computação, permitindo que as organizações se concentrem na criação e execução de aplicativos e serviços da Web. Os ambientes PaaS suportam principalmente desenvolvedores e operações. Aqui, o gerenciamento e a configuração de direitos e privilégios de autoatendimento são essenciais para controlar os riscos. Nessa categoria, o provedor de serviços é responsável por proteger a infraestrutura e a plataforma, e a responsabilidade da aplicação é do cliente;
• SaaS: consiste em aplicativos hospedados por terceiros e geralmente entregues como serviços de software em um navegador da web acessado no lado do cliente. Embora o SaaS elimine a necessidade de implantar e gerenciar aplicativos em dispositivos de usuário final, potencialmente qualquer funcionário pode acessar serviços da Web e baixar conteúdo. Portanto, é importante ter controles adequados de visibilidade e acesso para monitorar os tipos de aplicativos SaaS acessados, uso e custo. Nessa modalidade, o provedor de serviços é o responsável pela maioria dos aspectos de segurança.
E a Segurança da Informação?
Segurança em cloud é a disciplina e prática de aplicar controles de segurança em ambientes baseado em nuvem. Ela é utilizada para proteger ambientes cloud de acessos não autorizados, ataques e outros riscos inerentes à tecnologia. Para isso, estratégias de segurança em cloud utilizam políticas, processos, melhores práticas e tecnologias.
Ao utilizar soluções hospedadas em nuvem, é necessário seguir algumas diretrizes para maior garantia de proteção quanto à confidencialidade, integridade e disponibilidade das informações que nelas estão hospedadas. O nível dos controles de segurança a ser utilizado deve ser igual ou maior que os que são utilizados na infraestrutura tradicional.
No mercado, há alguns frameworks criados especificamente para avaliação de riscos de segurança em ambientes cloud. Podemos citar as normas ISO/IEC ISO27017, o CSA STAR (Cloud Security Assessment) e o Center for Internet Security (CIS) 7.1 control framework.
Em linhas gerais, as principais vertentes a serem avaliadas num programa de segurança em cloud são as seguintes:
• Auditoria: A auditoria periódica e independente do ambiente é de suma importância para levantamento de riscos no ambiente. O objetivo é garantir que os controles de segurança da informação atendam aos requisitos de negócio.
É recomendável que o provedor de serviços de nuvem seja certificado em padrões internacionais, como a norma ISO/IEC 27001, CSA STAR, ou garantir a entrega do relatório SOC 2 Tipo II, facilitando o processo de auditoria. Ao menos anualmente, é recomendado a condução a execução de pentests na camada de redes e aplicação da plataforma de cloud, de forma a garantir a identificação e tratamento de não-conformidades e riscos tecnológicos;
• Gestão de Identidades: O provedor de serviços da nuvem deve possibilitar o gerenciamento de papéis e níveis de autorização para cada um de seus usuários e aplicar o princípio de privilégio mínimo. Esses papéis e autorizações de acesso devem ser aplicados por recurso, serviço ou aplicação. O provedor de serviços também deve possuir um sistema seguro de provisionamento e gerenciamento de identidades, idealmente integrado com a solução de controle de acesso da organização do cliente;
• Proteção de dados e informações: Os dados são um ativo de negócio crítico e o centro das preocupações em Segurança da Informação, independentemente do tipo de infraestrutura que é utilizado. A computação em nuvem não muda esse paradigma, e traz novos desafios devido à natureza do serviço ser distribuído e das responsabilidades compartilhadas com os provedores de serviço.
A segurança deve se preocupar tanto com dados estáticos (como os armazenados em storages) quanto com os dados em trânsito (como os que estão transitando por uma rede). Devem ser considerados os riscos de roubo ou divulgação não autorizada de dados, riscos de alterações indevidas, riscos de perda ou indisponibilidade de dados e o risco de manter dados disponíveis por mais tempo que o necessário. Dessa forma, os dados devem ser classificados e seu tempo de retenção estabelecido conforme regras de negócio;
• Provisão segura de aplicações: Deve-se proteger a infraestrutura de aplicações críticas de forma proativa contra ameaças internas e externas ao longo de todo o seu ciclo de vida, desde a especificação até a implementação em ambiente de produção. Políticas e processos de segurança claros são essenciais para garantir que aplicações estão gerando valor para o negócio, ao invés de novos riscos. Para soluções na nuvem, deve-se aplicar a mesma diligência utilizada em segurança de infraestruturas tradicionais, pois se uma aplicação é comprometida, pode gerar impactos financeiros e problemas de reputação tanto para o provedor quando para o cliente;
• Segurança nas redes e conexões: O provedor de serviços cloud deve autorizar tráfegos de rede legítimos e bloquear tráfegos maliciosos, da mesma forma que qualquer outro provedor de internet faz. Porém, diferente de organizações de TI tradicionais, o provedor cloud não necessariamente saberá quais tráfegos o cliente planeja enviar e receber. Dessa forma, é esperado que o provedor viabilize ferramentas para segmentação e proteção dos sistemas, bem como realizar o controle de tráfego, garantir proteção contra ataques DDoS, spams, vírus e registrar logs de auditoria e notificações;
• Acordo de serviço da nuvem: Como serviços em cloud tipicamente envolvem ao menos duas organizações, as responsabilidades de cada parte devem estar claramente descritas. A formalização desses termos se dá pelo Acordo de Serviço Cloud (CSA), que especifica os serviços que serão fornecidos e os termos de contrato entre o provedor e o cliente. Recomenda-se que esteja no CSA e que todos os requisitos impostos ao provedor de serviços em nuvem também sejam repassados a qualquer provedor que possa usar para fornecer qualquer parte de seus serviços. O CSA deve documentar explicitamente que o provedor de serviços notifique o cliente de forma tempestiva caso haja algum tipo de violação no serviço, independente das partes ou dados envolvidos;
• Processo de retirada: Da perspectiva de segurança da informação, é importante que uma vez que o contrato com o provedor seja rescindido e as máquinas sejam destruídas e que esse processo seja irreversível. O contrato deve assegurar que quaisquer cópias de dados sejam permanentemente apagadas do seu ambiente, onde quer que elas tenham sido armazenadas (incluindo cópias de backup e ferramentas de armazenamento online). No entanto, há uma exceção: caso seja necessário, o provedor de serviços deve manter dados derivados do serviço de nuvem, como logs e trilhas de auditoria. Assim, o processo de retirada deve permitir que se recupere esses dados de forma adequada, os backups devem ser retidos por períodos acordados antes de serem eliminados, os logs de eventos associados e os dados de relatório também devem ser retidos até que o processo de saída seja concluído.
Para auxiliar na implementação de controles de segurança em ambientes na nuvem, provedores de serviço tem disponibilizado na plataforma de Gestão da Cloud ferramentas que medem o nível de segurança do ambiente. Exemplo disso é a iniciativa da Microsoft de criar um baseline de segurança (chamado de Azure Security Benchmark) inspirado no Center for Internet Security (CIS) 7.1 e no NIST, integrando esses controles no Azure Security Center. Dessa forma, o cliente verifica os itens que não estão em conformidade com as melhores práticas e vão realizando as melhorias no ambiente.
Conclusão
Com o advento da tecnologia Cloud, a Segurança da Informação nunca se mostrou tão necessária.
A possibilidade de criação de infraestruturas virtuais em larga escala multiplica a possibilidade de criarem-se riscos no ambiente, deixando sua organização exposta a uma série de ameaças. Sendo assim, os requisitos de segurança devem ser levantados e terem sua aplicação garantida em todo ciclo de desenvolvimento e provisão de novas infraestruturas.
Recomenda-se também utilizar as ferramentas disponibilizadas pelos fabricantes para avaliação de segurança do ambiente e implementar os controles sugeridos.
*Yuri Carneiro é Especialista de GRC e Segurança da Informação
Sobre a [SAFEWAY]
A SAFEWAY é uma empresa de consultoria em Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.
Hoje através de mais de 20 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. A SAFEWAY também pode ajudar sua organização validando o nível de aderência e maturidade aos requisitos do GDPR (Regulamento Geral de Proteção de Dados) e LGPD (Lei Geral de Proteção de Dados) considerando o ambiente de negócio ao qual está inserido, de modo à identificar os principais planos de ações para o cumprimento aos regulatórios, visando melhorias no processo e ganhos para a sua organização.
