Os desafios da segurança em nuvem
Olá, tudo bem? Este é um artigo muito interessante, publicado pelo Vladi Sandler, CEO da Lightspin. Caso queira consultar o artigo na integra, o link é esse aqui :)
Vamos lá!
De acordo com o Gartner, os gastos dos usuários finais em todo o mundo em serviços de nuvem pública devem crescer 18,4% em 2021, para um total de $304,9 bilhões, ante $257,5 bilhões em 2020.
“A pandemia validou a proposta de valor da nuvem”, disse Sid Nag, vice-presidente de pesquisa do Gartner. “A capacidade de usar modelos de nuvem escalonáveis sob demanda para obter eficiência de custos e continuidade de negócios está fornecendo o ímpeto para que as organizações acelerem rapidamente os seus planos de transformação de negócios digitais.”
Desde os primeiros estágios da nuvem, a capacidade de criar um servidor instantaneamente, sem a necessidade de instalação, manutenção e gerenciamento atraiu usuários com visão de futuro. Hoje, o crescimento contínuo da computação em nuvem pode muito bem ser a maior história de sucesso da nossa geração, com a Forrester prevendo que o “nativo da nuvem” é o caminho para impulsionar a transformação digital em 2021 via sem servidor, contêineres e Kubernetes.
No entanto, as novas tecnologias exigem novas habilidades e conhecimentos e, com o tipo de mudança rápida que vemos na computação em nuvem, é fácil entender como pontos cegos e vulnerabilidades escapam pela rede. Afinal, a segurança em ambientes de nuvem está muito longe de proteger a infraestrutura local.
Compreender os riscos da segurança na nuvem
Na última década, vimos um enorme crescimento na adoção de nuvem pública e privada, mas o cenário está longe de ser simples. Pense na diversidade de requisitos, práticas recomendadas e arquitetura para as três categorias a seguir, apenas para começar:
IaaS: Do “Big 3” – AWS, Azure e GCP – ao Alibaba Cloud e Oracle Cloud.
PaaS: AWS Elastic Beanstalk, Heroku, K8S, Cloud Foundry, Apache Mesos, etc.
Tecnologias secundárias: nesta categoria, vamos incluir tecnologias como Terraform e AWS CloudFormation para infraestrutura de provisionamento e IaC, ou Chef para migração para nuvem.
Vamos mergulhar um pouco mais fundo em apenas um destes exemplos: Cloud Foundry é uma plataforma e serviço que é usada para implantar, dimensionar e gerenciar aplicativos sem estado em qualquer estrutura. Para utilizar o Cloud Foundry de forma eficaz, DevOps, segurança e P&D devem compreender o serviço de gerenciamento de identidade de vários inquilinos UAA, o Cloud Controller para direcionar a implantação de aplicativos por meio de endpoints da API REST e também as regras e melhores práticas em torno da implantação de serviço.
Aqui está outro exemplo: para Kubernetes, a equipe precisa compreender os conceitos de Master, Node, Pod, servidor de API, gerenciamento de RBAC e muito mais. Ao contrário do desenvolvimento, onde um desenvolvedor Java talentoso pode obter rapidamente uma compreensão básica de novas linguagens de programação baseadas em C# ou Python, as tecnologias de nuvem são completamente diferentes umas das outras, sem qualquer sobreposição real em sua curva de aprendizado.
Em termos de obtenção de serviços de nuvem seguros, para ficar no topo desse cenário, esperamos que as equipes de hoje sejam nada menos que super-heróis.
Não deixe a segurança na nuvem se tornar um obstáculo para a inovação
Com tanto a aprender e tanta complexidade envolvida em cada um dos elementos da pilha de tecnologia em nuvem, algo tem que acontecer. Para acompanhar o cenário atual de transformação digital em ritmo acelerado, DevOps e TI não podem esperar. Claro, eles estão cientes de que não têm visibilidade total de todas as mudanças que estão fazendo, mas a expectativa é muito grande e, portanto, a segurança cai para o fim da lista de prioridades.
O problema nº 1 aqui são as configurações incorretas da nuvem, que são resultado direto da falta de visibilidade. DevOps e TI, muitas vezes sem culpa própria, não têm conhecimento ou controle suficiente sobre as funções e políticas do IAM que estão aplicando e isso os deixa com lacunas e pontos cegos que podem expor os ativos a ameaças potenciais. Em alguns casos, isso também aciona um modo de solução de problemas reativo, em que políticas excessivamente permissivas podem ocorrer devido à permissão de acesso a usuários e serviços em outras contas.
À medida que o ambiente cresce e novas configurações são implementadas, torna-se cada vez mais improvável que uma organização consiga acompanhar o ritmo. O DevOps não consegue visualizar fisicamente em um ambiente de nuvem dinâmico que muda várias vezes por semana e, portanto, segue em frente, esperando pelo melhor. Obviamente, para aumentar o desafio, novas tecnologias estão sendo criadas o tempo todo, adicionando ainda mais camadas de complexidade às operações.
É exatamente por isso que o Gartner prevê que “até 2025, 99% das falhas de segurança na nuvem serão culpa do cliente”. O ciclo de erro humano pode ser previsível, mas também é impossível para uma empresa controlá-lo manualmente.
Acompanhando as mudanças: soluções de segurança em nuvem que permitem velocidade
O desafio é claro. Os produtos de segurança em nuvem de hoje precisam ser capazes de facilitar o cenário de transformação digital e fornecer uma visualização verdadeira em um ambiente dinâmico nativo da nuvem. Suas equipes de DevOps e segurança devem ser capazes de trabalhar em conjunto, com um único mapa de toda a sua rede, incluindo uma visão granular de possíveis caminhos de ataque nos estágios iniciais da configuração da nuvem.
Para que isso aconteça, as organizações com visão de futuro estão procurando fornecedores que forneçam uma visualização mais profunda e granular em um ambiente nativo da nuvem. Afinal, como você pode proteger o que não pode ver? Frequentemente, isso inclui representações avançadas de sua infraestrutura, por exemplo, a utilização de visualização baseada em gráficos, que pode ajudar muito a descobrir riscos, pois apresenta a mesma visão que os invasores têm do seu ambiente.
O resultado final é que, em vez de simplesmente adicionar uma série de alertas que aumentam a confusão e o cansaço, as empresas precisam saber sobre as vulnerabilidades que realmente se traduzem em ameaças do mundo real, juntamente com a rota mais rápida para a mitigação.
As equipes de segurança e desenvolvimento devem se concentrar nisso em 2021, obtendo melhor visibilidade do caminho de ataque e, assim, reduzindo suas notificações a vetores de riscos críticos da nuvem de acordo com o contexto de negócios. Somente isso pode fornecer a tranquilidade definitiva de que, por mais rápido que a organização se mova, a segurança está acompanhando o ritmo.
Fonte: https://www.helpnetsecurity.com/2021/01/20/understanding-cloud-security-risks/