“As violações de dados podem ter um claro impacto nos resultados financeiros das empresas, e as equipes de segurança estão desesperadas para evitá-las. No entanto, não é a tecnologia de nuvem subjacente que exacerbou o problema de violação de dados - são as práticas de segurança imaturas, a equipe de TI sobrecarregada e o comportamento arriscado do usuário final em torno da adoção da nuvem. ” Info Security Magazine - 08/07/2019
O Capital One é um exemplo para a nuvem pública - a implementação da AWS é um estudo de caso em destaque no site. Mas a recente falha de segurança que expôs mais de 100 milhões de seus pedidos de cartão de crédito pode custar à empresa até US $ 500 milhões em multas americanas .
Capital One não está sozinho. Em abril deste ano, pesquisadores descobriram queterceiros expuseram mais de 540 milhões de registros de usuários do Facebook na nuvem pública. Da mesma forma, em fevereiro passado, um “terceiro autorizado” expôs2,4 milhões de registros de clientes da Dow Jones. De acordo com o Relatório de Tendências de Vulnerabilidade e Ameaças , as vulnerabilidades de nuvem pública aumentaram 240% no primeiro semestre de 2019 em relação ao mesmo período de 2017.
A segurança da nuvem pública está longe de ser dada
“A infra-estrutura de servidor mal configurada é geralmente considerada uma das causas mais significativas de violações de dados no setor de TI. Esse fenômeno de erro humano geralmente não é intencional, mas pode ter consequências catastróficas em relação à exposição de informações pessoais confidenciais, além de potencialmente prejudicar a reputação de seus negócios. ” Cyber Security Magazine, CS Media 12/26/2018
Havia muita imprensa sobre a violação da Capital One, incluindo alguns artigos apenas no Wall Street Journal. Um deles, Como o Hacker da Capital Acusada Roubou Reatores de Dados da Nuvem, colocou a culpa pela exposição em um servidor mal configurado. O artigo cita um pesquisador de segurança que disse que isso é bastante comum e encontrou mais de 800 contas nos dois principais provedores de nuvem, onde servidores mal configurados permitem acesso de terceiros.
Os líderes de TI geralmente buscam a nuvem pública como solução para dificuldades de segurança no local, como a configuração do firewall e a atualização dos patches. Mas a nuvem pública dificilmente é uma panacéia. A nuvem pública não apenas não elimina servidores e firewalls mal configurados, mas agrava o problema.
Mover um risco de segurança do local para a nuvem pública significa que agora ele é muito mais facilmente visado por hackers na área de nuvem pública altamente exposta. O especialista em segurança e diretor de segurança da informação da Citadel, Christofer Hoff, twittou: "Se sua segurança é uma droga agora, você ficará agradavelmente surpreso com a falta de mudança quando mudar para a Cloud".
Nuvem pública aumenta as demandas de segurança
Um relatório da IDC de julho de 2018, o Cloud Repatriation Accelerates em um mundo com várias nuvens , afirma que metade dos aplicativos em nuvem pública devem voltar para o local nos próximos dois anos. O motorista número um citado pela pesquisa de 400 empresas foi a segurança.
Não apenas um erro de segurança na nuvem pública representa um risco muito maior do que no local, mas a segurança eficaz é muito mais desafiadora. Cada nuvem pública requer conhecimento de segurança especializado em áreas como multilocação (recursos compartilhados), permissões, fluxos de tráfego de rede, intervalos de armazenamento, balanceadores de carga, bancos de dados, gerenciamento de acesso a identidades e assim por diante.
Considere, por exemplo, backup. Um artigo do TechCrunch de 08/09/2019, Centenas de backups na nuvem expostos da Amazon encontrados on-line , afirmam que os administradores de nuvem geralmente não escolhem as configurações de segurança corretas. Isso deixa os snapshots do EBS (backups), "inadvertidamente públicos e não criptografados".
O diretor de estratégia de nuvem da Deloitte Consulting, David Linthicum, deixou claro em um artigo da InfoWorld em 05/08/2018 que mesmo as habilidades profundas de segurança local de TI não se adaptam totalmente aos requisitos específicos de um provedor de nuvem pública:
“O fato é que as empresas fizeram um trabalho ruim ao preparar o pool de talentos para a nuvem… As violações que vejo são causadas por pessoas que fazem coisas estúpidas, não pela falta de tecnologia. As coisas estão mal configuradas, as atualizações não são aplicadas ou as tecnologias erradas são escolhidas. De fato, você pode rastrear a maioria das violações nos últimos cinco anos até a causa raiz do baixo talento. ”
A segurança na nuvem é uma responsabilidade compartilhada
Segurança e conformidade na nuvem é uma responsabilidade compartilhada entre os provedores de serviços em nuvem (CSP) e seus clientes. Sob o Modelo de Responsabilidade Compartilhada, o CSP é responsável pela “segurança da nuvem”, que inclui o hardware, o software, a rede e as instalações que executam os serviços em nuvem. As organizações (clientes do CSP), por outro lado, são responsáveis pela “segurança na nuvem”, que inclui como eles configuram e usam os recursos fornecidos pelo CSP. Diem Shin, fuga 23/01/2019
Os provedores de nuvem pública poderiam, se desejassem, simplesmente implementar segurança de servidor / firewall hermética. Por exemplo, a AWS poderia tornar seu bucket de armazenamento (AWS E3) indisponível para qualquer pessoa na Internet. Mas bloquear o E3 frustraria a capacidade de uma organização de compartilhar facilmente determinadas informações para fins de teste / desenvolvimento ou até mesmo para produção.
Os provedores de nuvem pública construíram suas arquiteturas para rápida integração e escalabilidade. Os clientes da nuvem têm a liberdade de configurar e implantar servidores da maneira que melhor entenderem com o clique de um botão, mas o compromisso é um requisito para assumir grande parte da responsabilidade de segurança resultante. A chave é reconhecer seu nível de apetite ao risco e, em seguida, garantir a conformidade das melhores práticas em relação a uma linha de base de segurança apropriada.
É útil analisar a segurança da nuvem como um espectro de quatro camadas. De um lado está a camada de plataforma de nuvem que é claramente a responsabilidade do provedor de nuvem pública de proteger. No extremo oposto do espectro está a camada de aplicação que está no campo de ação do cliente para proteger. Entre essas duas camadas existe um gradiente em que a responsabilidade do provedor de nuvem declina gradualmente enquanto a responsabilidade do cliente aumenta.
Camada de plataforma de nuvem
Camada de Infraestrutura
Camada de rede
Camada de aplicação
Os clientes da nuvem tendem a ter um histórico ruim quando se trata de cumprir sua responsabilidade pela segurança.
Protegendo Multi-Cloud
Proteger nuvens locais e múltiplas é mais complexo do que proteger uma única nuvem. As organizações exigem um conjunto diferente de controles para nuvem privada, nuvem pública e, em seguida, para diferentes nuvens públicas. E parece haver pouca dúvida de que estamos indo em um mundo híbrido / multi-nuvem. Um estudo da IDC de abril de 2019, Surviving and Thriving em Multicloud World , afirma: “Ambientes de múltiplas nuvens são agora a norma para organizações corporativas.” A Forrester Researchconfirma que os ambientes de nuvem híbrida / multi-nuvem agora abrangem 74% das estratégias de computação corporativa.
Mesmo boas políticas de segurança não garantem segurança se a liderança não tem como garantir a conformidade. Por exemplo, um cliente da Nutanix tinha uma política de sem balanceadores de carga baseados em nuvem com dados não criptografados, mas ao implantar o Xi Beam encontrou 67 dessas instâncias.
A segurança efetiva exige a capacidade de monitorar milhares de variáveis. O depósito está seguro? Os dados estão criptografados? A chave de acesso ao registro foi descartada após 30 dias? Isso não é possível fazer manualmente. O ferramental automatizado deve pesquisar cada ambiente de nuvem pública e privada para verificar as configurações em relação a uma lista conhecida de práticas recomendadas de segurança na nuvem. As ferramentas de gerenciamento de segurança na nuvem devem fornecer:
Visibilidade completa da postura de segurança de uma organização em todas as nuvens, incluindo no local
Recomendações em tempo real para corrigir vulnerabilidades de segurança
Políticas de segurança personalizadas e auditorias que atendem a necessidades comerciais específicas
Uma dessas ferramentas é o Nutanix Xi Beam, que oferece suporte à AWS e ao Azure. O Beam também suporta auditorias de conformidade de segurança para ambientes Nutanix locais que usam o hypervisor nativo Nutanix, AHV. O Beam pode ajudar a detectar e até corrigir erros de configuração de servidor e firewall, as organizações identificam e corrigem seus problemas de segurança em várias contas na nuvem, fornecendo visibilidade , otimização e controle da segurança na nuvem :
Visibilidade Como é o ambiente de várias nuvens? Como os recursos são implantados? Existem bancos de dados expostos? O Beam responde a esses tipos de perguntas, e muitas outras, fornecendo um mapa de calor de segurança e visibilidade global da postura de segurança de um ambiente com várias nuvens. Ele identifica vulnerabilidades de segurança da infraestrutura de nuvem usando mais de 500 verificações de auditoria automatizadas com base nas melhores práticas do setor em nuvens públicas e privadas.
Otimização feixe de otimização inclui um recurso de um clique que pode corrigir facilmente problemas de segurança e melhorar a postura de segurança do cliente. Ele fornece políticas de segurança prontas para uso para automatizar as verificações de políticas comuns de conformidade regulamentar, como HIPAA, PCI-DSS, NIST, etc.
Controle Beam fornece automação para proteger o ambiente com fluxos de trabalho automatizados orientados por políticas que detectam continuamente vulnerabilidades de segurança em tempo real. O Beam implementa as ações necessárias para corrigi-los. Os clientes podem criar suas próprias verificações de auditoria personalizadas para atender às necessidades específicas de conformidade de segurança da empresa.
Para os clientes da Nutanix, estamos lançando as auditorias de conformidade de segurança por meio do Xi Beam.
Se você quiser experimentar, clique aqui .
ASG
https://www.asgit.com.br/
contato@asg.com.br
(51) 3376.1210
Comments