Por Michael Massimi | Global Business Leader, Cloud Security Services, IBM
As organizações que embarcam em sua jornada para a nuvem enfrentam uma avalanche de palavras, que às vezes são confusas. Nuvem híbrida, multicloud, transformação digital, microsserviços e muitas outras. Embora esses termos possam ser confusos, o principal elemento a ser lembrado é que a segurança de dados na nuvem deve ser parte inerente da estratégia e da discussão em nível de negócios para qualquer migração de nuvem bem-sucedida.
A importância de atender às principais necessidades de segurança e conformidade pesa sobre muitas organizações. É certamente uma preocupação válida: estima-se que cerca de 990 milhões de servidores em nuvem estão mal configurados.
Além das configurações incorretas da nuvem, algumas das principais preocupações sobre a nuvem híbrida e multicloud incluem:
• Estabelecimento uma estratégia de segurança pronta para a nuvem
• Falta de experiência juntamente com o aumento dos requisitos de qualificação
• Necessidade de atender aos requisitos de conformidade
• Visibilidade centralizada e gerenciamento de ameaças
• Uma sobrecarga de novas ferramentas e tecnologias
• Manter políticas de segurança no cenário público / privado
Com tantos problemas a ser considerados ao mesmo tempo, pode ser difícil resolvê-los com eficiência. Para economizar tempo e aumentar a produtividade, comece com estes cinco princípios básicos que irão melhorar os resultados de qualquer programa de segurança na nuvem.
Governança e estratégia na nuvem
No centro de todo programa de segurança na nuvem bem-sucedido fica uma estratégia bem definida que inclui os seguintes critérios:
• Estabelecimento de uma linha de base de segurança para ambientes em nuvem
• Compreensão de onde estão os dados críticos, o que são e quem tem acesso a eles
• Definição dos requisitos de segurança, conformidade, indústria ou regulamentares
• Racionalização do conjunto correto de controles para atender a esses requisitos
• Construção de uma meta e de um roteiro a partir do qual executar
Segurança nativa na nuvem
Em algum ponto, pode ser considerado se os controles de segurança nativos do Cloud Service Provider (CSP) são viáveis ou adequados para gerenciar a segurança de um ambiente. Os CSPs têm vários conjuntos de controles de segurança em suas plataformas de nuvem. Eles podem oferecer muitas vantagens, incluindo um limite no número de licenças de terceiros que estão sendo gerenciadas, consumo flexível, facilidade de integração e muito mais.
No entanto, uma abordagem de segurança nativa da nuvem levanta algumas questões a serem atendidas:
• Os controles nativos têm o nível apropriado de maturidade ou fornecem o nível adequado de visibilidade para atender aos requisitos de conformidade?
• Quais controles nativos de nuvem fazem mais sentido para o ambiente de nuvem híbrida e multicloud?
• Você tem as habilidades certas para gerenciar um novo conjunto de tecnologias de segurança em rápido crescimento?
• Como esses controles são adequadamente projetados, implementados, configurados e integrados ao restante das operações de segurança?
• O que você faz com todos esses novos dados de telemetria e de segurança em nuvem, e quais decisões ou ações você pode tomar com eles?
Depois de decidir quais controles de segurança nativos são apropriados para sua organização, o gerenciamento eficaz desses controles e políticas requer primeiro garantir que você tenha a arquitetura e as políticas corretas para oferecer suporte aos requisitos regulatórios e de negócios. E uma forte camada de governança deve estar implementada, para converter telemetria e alertas nativos da nuvem em uma tomada de decisão acionável e priorizada.
Gerenciamento da postura de segurança na nuvem
Ter a configuração correta e a conformidade contínua de seus ambientes de nuvem é vital para seu programa de segurança cibernética em nuvem, mas isso pode ser complexo de monitorar. Você pode ter várias equipes ou linhas de negócios usando seus serviços em nuvem e, ao mesmo tempo, ter que demostrar conformidade com os padrões globais de organizações como o Center for Internet Security (CIS). Para complicar a sua situação, pode existir uma incapacidade de obter o contexto e a correlação da nuvem com rapidez suficiente para ajudar a detectar e responder aos problemas de segurança da nuvem.
Deve-se considerar o uso do gerenciamento de postura de segurança na nuvem para lidar com essas complicações e atingir os seguintes objetivos:
• Monitorar continuamente um inventário de ativos de nuvem em tempo real para fins de conformidade, relatórios regulatórios e auditoria
• Evitar violações através da detecção ágil e resposta rápida à configuração incorreta da nuvem
• Fortalecer continuamente sua postura de segurança e conformidade
• Incorporar insights de segurança e de automação para anomalias na nuvem
Cargas de trabalho em nuvem e segurança de contêiner
O ambiente de contêiner de aplicações pode enfrentar a complexidade dos desafios de segurança e visibilidade, tempo de teste limitado durante o rápido aumento de escala e entrega, aumento do tráfego e ameaças que podem comprometer o contêiner. As seguintes fases de ambientes de contêiner são riscos significativos que podem atuar como vetores de ameaças:
• Criação de imagens, testes e credenciamento
• Registro para armazenamento de imagens
• Orquestração para recuperação
• Contêiner para implementação
• Sistema operacional host para gerenciamento
Felizmente, a cobertura existe para proteger as cargas de trabalho do contêiner em um ambiente híbrido e com várias nuvens. Ao seguir uma estratégia e avaliação abrangentes, você deve considerar os serviços de integração, design e implementação, bem como o gerenciamento contínuo para todas as fases do ciclo de vida do contêiner. Quando esses recursos estão disponíveis, você tem os seguintes benefícios de segurança para Red Hat OpenShift, Kubernetes, Docker e outras plataformas de contêiner:
• Maior postura de segurança nos serviços existentes em contêineres em nuvem
• Serviços de segurança gerenciados distribuídos em ambientes de nuvem híbrida
• Ajuda na obtenção de mandatos de conformidade para ambientes de contêineres
• Painel único para gerenciar todas as funcionalidades de segurança
DevSecOps e segurança de aplicações
As equipes de desenvolvimento se concentram principalmente na produção de novas aplicações e de funcionalidades para os consumidores o mais rápido possível. As equipes de operações trabalham para garantir um sistema ágil e estável. Para atender à crescente demanda por inovação em nuvem, o desenvolvimento e as operações devem ser integrados para promover a colaboração e o equilíbrio entre desenvolvimento e qualidade.
A segurança busca garantir que as implantações rápidas de aplicações estejam livres de vulnerabilidades e que cumpram os requisitos regulatórios e corporativos.
Para atender à maioria das metas críticas dessas equipes, uma mudança de cultura em direção às metodologias DevSecOps deve ser considerada. DevSecOps é o conjunto consolidado de práticas que representa uma combinação de cultura, processos e tecnologia para profissionais.
Ao adicionar DevSecOps e garantir práticas de desenvolvimento nas cargas de trabalho, alguns dos benefícios incluem:
• Cultura com uma mentalidade ágil, lean e contínua de feedback, alinhada com a estratégia de segurança, risco, governança e conformidade
• Automatização de cada processo para maior agilidade, confiabilidade e segurança, tudo isso com ferramentas modernas
• Mais oportunidades para fomentar a inovação, como um círculo de feedback e colaboração que leva a maior autonomia e implantações seguras
Este artigo foi publicado originalmente em SecurityIntelligence.com. Para ver a versão original, visite: https://securityintelligence.com/posts/5-cloud-data-security-must-haves-in-2021/