São Paulo/SP – 04 de agosto de 2023 – Por que a segmentação de contas, além da tradicional segmentação de redes, é essencial para ambientes em nuvem?
*Por Leandro Lima
A segmentação de redes, fundamental para elevar a maturidade da segurança da informação em ambientes corporativos, ganha uma abordagem adicional em ambientes de nuvem. Por que, além da segmentação de rede, os ambientes em nuvem também possuem a segmentação por contas? Será este conceito superior? Representa o futuro? Quais são as vantagens e desvantagens associadas? Existem alternativas viáveis? E se a segmentação não for adotada, há motivo para preocupação?
Antes de responder a estas indagações, é essencial esclarecer os fundamentos subjacentes. O que é exatamente a segmentação de redes e por que ela é tão relevante para a segurança da informação? De acordo com a publicação especial NIST 800-215 de novembro de 2022, a segmentação de redes envolve a divisão e isolamento do tráfego de comunicação que adentra e deixa uma rede (tráfego de entrada e saída). Seu propósito principal é prevenir que um ataque cibernético dirigido a uma rede segmentada venha a afetar outras redes.
Cada provedor de serviços em nuvem atribui diferentes nomenclaturas a seus recursos. A AWS se refere a eles como “Contas”, significando múltiplas Consoles da AWS pertencentes a uma única organização. A gestão de várias contas requer a adoção do AWS Organizations. O Microsoft Azure chama esses recursos de “Assinaturas” ou “Subscriptions”. A administração de múltiplas Subscriptions da organização é realizada através da “Azure landing zone”. Enquanto isso, o Google GCP os denomina “Pastas” ou “Suborganizações”. Neste artigo, utilizamos o termo “Conta” para se referir a uma entidade organizacional na nuvem.
É relevante ressaltar que a utilização de múltiplas contas não envolve simplesmente a união de múltiplas VPCs, Organizações (AWS), Domínios (Google) ou Inquilinos (Microsoft), e a gestão deles sob uma única estrutura. O conceito que estamos explorando aqui é a segmentação de redes e grupos dinâmicos dentro do mesmo contexto organizacional.
A partir dessa contextualização, torna-se pertinente questionar por que os provedores de nuvem recomendam a segmentação por contas, além da segmentação de redes, em vez de seguir apenas a orientação do NIST de dividir as redes.
Observemos o que três gigantes da computação em nuvem têm a dizer sobre o assunto:
– AWS: “Embora seja possível começar sua jornada na AWS com uma única conta, a AWS recomenda configurar várias contas à medida que suas cargas de trabalho crescem em tamanho e complexidade. O uso de um ambiente com várias contas é uma prática recomendada da AWS, com inúmeros benefícios.”
(Fonte: https://aws.amazon.com/pt/organizations/getting-started/best-practices/)
– Google: “Em muitas organizações, diferentes políticas e controles de acesso são definidos para diferentes ambientes de aplicativos, como desenvolvimento, produção e teste. A existência de políticas separadas, porém padronizadas para cada ambiente, facilita a gestão e configuração.”
(Fonte: https://cloud.google.com/architecture/landing-zones/decide-resource-hierarchy?hl=pt-br)
– Microsoft Azure: “Organizações frequentemente utilizam várias assinaturas do Azure para evitar limitações de recursos por assinatura e para uma gestão e controle mais eficazes dos recursos do Azure.”
(Fonte: https://learn.microsoft.com/en-us/azure/cloud-adoption-framework/ready/azure-best-practices/scale-subscriptions)
Essas três empresas aderem a uma abordagem semelhante, destacando a necessidade de compartilhamento de contas à medida que as corporações crescem ou diversificam suas atividades. Segundo elas, quanto mais segmentado o ambiente, mais eficaz é a administração. Tais vantagens extrapolam os limites da segurança cibernética, abrangendo aspectos como visibilidade sobre o consumo de recursos financeiros por cada conta, divisões conforme diferentes regulamentações, políticas distintas, conformidade e setores de mercado específicos.
O benefício principal para a segurança da informação reside em reservar espaços com privilégios mínimos e alto potencial de monitoramento. Para ilustrar os ganhos mencionados acima, considere dois cenários, ambos focados no desenvolvimento de uma aplicação.
No primeiro cenário, utilizando apenas a segmentação de rede tradicional em um ambiente corporativo, um grupo de usuários obtém um conjunto de endereços IP e máquinas virtuais. Equipes envolvidas no desenvolvimento, como Analistas de Infraestrutura, Desenvolvedores, Gerentes e profissionais de segurança da informação, bem como terceirizados, necessitam de permissões detalhadas para acessar apenas o ambiente específico, com permissões restritas.
Os desenvolvedores enfrentam restrições quanto à criação de máquinas, enquanto gestores lutam com prazos apertados e escassa visibilidade das operações. Terceirizados entram e saem do projeto, tornando a conclusão de projetos uma tarefa desafiadora.
Caso ocorram mudanças significativas durante o projeto, as permissões e acessos podem requerer uma revisão completa. A escalabilidade da gestão e monitoramento torna-se um desafio quando multiplicamos esse cenário por 10 aplicações. A concessão excessiva de permissões, para além do necessário, não é incomum nesses contextos.
No segundo cenário, considerando a segmentação completa conforme sugerido pelas principais provedoras de nuvem, grupos distintos de diferentes setores continuam a receber suas permissões. Entretanto, em contraste com a abordagem anterior, os desenvolvedores possuem a liberdade de criar e desativar máquinas conforme necessário, conferindo dinamismo e escalabilidade. Gestores monitoram o progresso através de informações online separadas por grupos de trabalho. A equipe de segurança da informação concede permissões restritas e audita atividades através de registros na console da nuvem. O acesso de terceiros é mais bem gerenciado por meio de permissões de grupo e autenticação multifator (MFA). Tudo isso ocorre em um espaço segregado, com permissões adequadas.
Diante disso, podemos agora responder às perguntas que foram formuladas no início:
– Por que, além da segmentação de rede, os ambientes em nuvem adotam a segmentação por contas?
A nuvem oferece dinamismo, diversas ferramentas de controle e monitoramento que tornam a segmentação por contas mais eficiente.
– A segmentação por contas é um conceito superior?
Deve ser considerado como complementar, representando uma evolução da mera segmentação de redes.
– É o futuro?
É uma abordagem atual, na qual a segmentação por contas otimiza a administração.
– Quais são as vantagens?
As vantagens englobam escalabilidade, dinamismo, monitoramento, gestão de recursos, permissões e até economia de tempo e recursos financeiros.
– Existem desvantagens?
A segmentação por contas implica na contratação de serviços adicionais, como o AWS Organizations e a Azure landing zone.
– Quais são as alternativas?
A alternativa é manter apenas a segmentação por redes. Contudo, é importante ter em mente que, ao crescer excessivamente, uma única conta pode tornar-se insuficiente.
– Devo me preocupar se não implementar a segmentação por contas?
Não é necessário preocupar-se. Como mencionado anteriormente, a segmentação convencional ainda pode ser eficaz. Se implementada de maneira apropriada, ela pode assegurar a sustentabilidade de um ambiente.
Além de reforçar a segurança cibernética, a segmentação por contas traz amplas vantagens em outras áreas. Portanto, empresas ao redor do mundo estão adotando esse conceito para elevar a maturidade da segurança da informação. Ignorar ou negligenciar o planejamento dessa implementação resultará em uma subutilização das vantagens oferecidas pela flexibilidade proporcionada por ambientes de nuvem.
**FONTES**:
– https://www.nist.gov/publications/guide-secure-enterprise-network-landscape
– https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-215.pdf
– https://aws.amazon.com/pt/organizations/getting-started/best-practices/
– https://cloud.google.com/architecture/landing-zones/decide-resource-hierarchy?hl=pt-br
– https://learn.microsoft.com/en-us/azure/cloud-adoption-framework/ready/azure-best-practices/scale-subscriptions
*Leandro Lima é Cyber Security Manager na Safeway
Como podemos Ajudar?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 15 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje através de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. A SAFEWAY pode ajudar sua organização com a implementação de uma solução de IA de forma segura. Caso deseje mais informações, entre em contato com nossos especialistas!
