Um manual de segurança na nuvem

Transcrição

1 Um manual de segurança na nuvem 1 Um manual de segurança na nuvem

2 Um manual de segurança na nuvem Apesar da rápida proliferação da computação na nuvem, não há um plano padrão e único de como as corporações devem distribuir e utilizar modelos de nuvem. As organizações estão utilizando nuvens privadas e públicas e, frequentemente, combinando ambas em nuvens híbridas. Elas estão distribuindo modelos de software como serviço (SaaS), infraestrutura como serviço (IaaS) e plataforma como serviço (PaaS). Algumas equipes de TI estão fornecendo aplicativos críticos para os negócios em uma única nuvem privada, enquanto outras estão utilizando várias nuvens para os mesmos tipos de aplicativos. Algumas estão aprovando iniciativas de TI invisível; outras estão desencorajando tais iniciativas. Seja qual for o grau de diversidade do seu ambiente de nuvem, se você está envolvido na supervisão ou distribuição de serviços de nuvem na sua organização, há uma obviedade inescapável que se deve ter sempre em mente: não importa o quão simples ou complexas sejam as suas distribuições de nuvem, você não pode permitir que a segurança dos seus dados ou aplicativos seja comprometida de alguma forma. Se houver uma violação ou ataque cibernético onde os seus dados estão expostos ou se órgãos reguladores citarem você por falta de conformidade, culpar um provedor de nuvem pública não será a solução. No final das contas, você é responsável pela sua própria segurança mesmo que o seu provedor de nuvem pública tenha um modelo de responsabilidade compartilhada. Nesta era de distribuições de nuvem diversificadas, o que isso significa? Conforme dados e aplicativos fluem por múltiplas nuvens privadas, públicas e híbridas como assegurar proteção o tempo todo? Quando você está utilizando uma nuvem pública, onde termina a sua responsabilidade pela segurança e onde começa a do provedor? Você pode assegurar que não existam brechas na proteção quando os aplicativos e dados saem do perímetro da sua rede? Quando você adota novas tecnologias para nuvens privadas, como o data center definido por software (SDDC), o que você precisa saber sobre exposição a risco adicional? 2 Um manual de segurança na nuvem

3 Este white paper discute os desafios de segurança dos diversos modelos de nuvem que você talvez esteja distribuindo ou cogitando distribuir. Também oferecemos diretrizes para ajudar a garantir que a proteção não seja comprometida, não importa o quão diversificado ou complexo seja o seu uso dos modelos de nuvem. Finalmente, oferecemos uma breve visão geral de algumas das tecnologias críticas que formam a base de uma fundação sólida de segurança para a era da nuvem. Desafios de segurança dos diversos modelos de nuvem Não é um exagero afirmar que a nuvem muda tudo, especialmente no que se refere à segurança. A computação na nuvem constitui desafios de segurança muito diferentes dos desafios do passado, até mesmo do passado recente. Para os profissionais de segurança, não se trata apenas de defender o perímetro, criar uma zona desmilitarizada ou utilizar os mais recentes produtos antivírus ou antimalware. A questão é ter uma estratégia de segurança de ponta a ponta, que viabilize novos níveis de visibilidade, insights, controle e proteção especialmente quando aplicativos e dados se movimentam livremente entre ambientes cada vez mais heterogêneos. Estes são os principais desafios apresentados por cada um dos vários modelos de nuvem: Nuvem híbrida A nuvem híbrida é um ambiente de computação na nuvem que utiliza uma combinação de nuvem privada no local e serviços de nuvem pública de terceiros, com orquestração entre ambas as plataformas. 1 As organizações estão utilizando cada vez mais os modelos de nuvem híbrida porque eles proporcionam à TI modelos de distribuição versáteis. Alguns aplicativos críticos para os negócios podem permanecer sob o controle da TI em uma nuvem privada. Outros aplicativos são mais adequados para modelos de nuvem pública, para aproveitar vantagens como expansibilidade elástica, redução de custos e provisionamento de serviços. As nuvens híbridas constituem desafios de segurança muito específicos porque os dados e aplicativos podem fluir para dentro e para fora de vários ambientes de nuvem: do seu data center para nuvens públicas e novamente de volta para a sua rede. Quando os seus aplicativos e dados fluem para a infraestrutura de um provedor de nuvem pública, você corre o risco de perder visibilidade e controle. Isso pode se tornar um ponto de inserção para o malware. O desafio não é apenas estender a visibilidade por todos os recursos computacionais no local e na nuvem pública mas também aplicar monitoramento, proteção, geração de relatórios e correção de maneira consistente por todo o ambiente de nuvem híbrida de ponta a ponta. Não importa o quão simples ou complexas sejam as suas distribuições de nuvem, você não pode permitir que a segurança dos seus dados ou aplicativos seja comprometida de alguma forma. 3 Um manual de segurança na nuvem

4 Com a nuvem híbrida, você precisa de uma estratégia de segurança de ponta a ponta que estenda a visibilidade e o controle. Você precisa aplicar proteções e políticas facilmente a todas as suas máquinas virtuais (VMs), onde quer que estas se encontrem seja na sua nuvem privada ou dentro da infraestrutura de um provedor de nuvem pública como parte do seu ambiente de nuvem híbrida. Nuvem pública Uma nuvem pública é uma infraestrutura de nuvem aberta para uso pelo público em geral. Ela pertence a e é administrada e operada por uma organização empresarial, acadêmica ou governamental ou alguma combinação dessas três possibilidades. Ela existe nas instalações do provedor de nuvem. 2 Do ponto de vista da segurança, a nuvem pública apresenta muitos dos mesmos riscos que acabamos de discutir na seção sobre nuvem híbrida. Os seus dados e aplicativos estão saindo da sua visibilidade e controle e entrando na infraestrutura de um fornecedor de nuvem pública. Você precisa saber onde terminam suas responsabilidades e onde começam as do seu provedor de nuvem pública. Você não pode delegar a responsabilidade pela segurança e pela conformidade aos provedores de nuvem pública e achar que eles cuidarão disso. Você precisa estar completamente ciente do modelo de responsabilidade compartilhada de cada provedor de nuvem para cada um dos diversos modelos de nuvem a serem distribuídos: SaaS, PaaS e/ou IaaS. A maioria dos principais provedores de nuvem pública, como Amazon, Google e Microsoft, descreve detalhadamente seus modelos de responsabilidade compartilhada em seus respectivos sites. Reserve um tempo para compreender esses modelos e aplicá-los aos vários tipos de modelos de distribuição que você estiver utilizando. E, antes de assinar qualquer contrato, certifique-se de que as responsabilidades estejam claramente definidas, caso a caso, para cada tipo de serviço. 4 Um manual de segurança na nuvem

5 Um exemplo de modelo de responsabilidade compartilhada de nuvem pública pode ser visto na tabela seguinte, na qual as camadas da pilha são diferenciadas por quem é responsável por esses itens. Um dos maiores desafios de segurança na nuvem pública é sua facilidade de distribuição. Um gerente de linha de negócios, ou mesmo um usuário individual, pode simplesmente ir ao site de um fornecedor de nuvem pública e se inscrever em um serviço com apenas alguns cliques e um cartão de crédito. Esse tipo de distribuição de TI invisível pode expor a organização a riscos de segurança incrementais. A equipe de TI pode até não saber disso e o usuário pode não estar familiarizado com os tipos de controles de segurança necessários para manter a empresa segura. Um dos desafios incrementais ao se lidar com uma nuvem pública é obter uma conscientização de quem, na sua organização, está utilizando serviços de nuvem pública, que tipos de serviços estão utilizando SaaS, PaaS e/ou IaaS e como e quando estão utilizando. Modelo de responsabilidade compartilhada Para os profissionais de segurança, não se trata apenas de defender o perímetro, criar uma zona desmilitarizada ou utilizar os mais recentes produtos antivírus ou antimalware. A questão é ter uma estratégia de segurança de ponta a ponta, que viabilize novos níveis de visibilidade, insights, controle e proteção. IaaS (Infrastructure as a Service) PaaS (Platform as a Service) SaaS (Software as a Service) Acesso/identidade do usuário Dados Aplicativo Sistema operacional Virtualização Rede Infraestrutura Camada física Acesso/identidade do usuário Dados Aplicativo Sistema operacional Virtualização Rede Infraestrutura Camada física Acesso/identidade do usuário Dados Aplicativo Sistema operacional Virtualização Rede Infraestrutura Camada física Gerenciado pela empresa Gerenciado pelo provedor 5 Um manual de segurança na nuvem

6 Uma vez obtido esse conhecimento, você precisa utilizar soluções tecnológicas sobre as quais seja possível exercer algum nível de controle, o que pode variar dependendo do tipo de serviços utilizados. Em referência ao modelo de segurança compartilhada, é evidente que o acesso, o controle de identidade e a proteção dos dados devem ser prioridades na segurança da nuvem, especialmente com serviços SaaS. Para ambientes IaaS, procure um produto de segurança que permita controle e monitoramento da integridade dos arquivos, que proíba a instalação de software não autorizado e monitore quaisquer alterações que sejam feitas. Além disso, certifique-se de utilizar uma solução que proporcione visibilidade baseada em host sobre todos os seus aplicativos. Nuvem privada Uma nuvem privada é um tipo de computação na nuvem que proporciona vantagens semelhantes às da nuvem pública, incluindo expansibilidade e autoprovisionamento de serviços, mas por meio de uma arquitetura própria. Diferentemente das nuvens públicas, que oferecem serviços para várias organizações, uma nuvem privada é específica de uma única organização. 3 A nuvem privada mantém dados e aplicativos sob o controle da sua organização, de maneira que não saiam do seu perímetro para a infraestrutura de um outro fornecedor. A princípio, isso parece tornar a segurança muito mais simples do que com distribuições de nuvem pública ou híbrida. De algumas formas isso pode ser verdade, mas conforme observado anteriormente, a nuvem muda tudo. As nuvens privadas exigem novos modelos de distribuição para data centers que estendem a virtualização por toda a infraestrutura e permitem que as organizações utilizem capacidades de nuvem pools de recursos, expansibilidade elástica, capacidades de autoatendimento e cancelamentos automáticos de pagamentos. Isso permite que a empresa se beneficie de um modelo de TI mais centrado em serviços. Porém, esse modelo pode trazer riscos de segurança incrementais que exigem previsão e planejamento. Um exemplo: conforme a virtualização se expande dentro do seu data center para além dos servidores e chegando a redes e armazenamento, a quantidade de tráfego horizontal que flui entre máquinas virtuais (VMs) aumenta consideravelmente. Tecnologias tradicionais com foco no perímetro não têm visibilidade sobre esse tráfego e não são capazes de oferecer proteção para ele. Você precisa da capacidade de aplicar controles de segurança com inspeção profunda de pacotes a todo esse tráfego entre VMs. Outro exemplo: conforme VMs novas são constituídas, pode haver brechas de segurança se as políticas e proteções não forem aplicadas a elas imediatamente. Você não pode permitir que isso aconteça, portanto, na nuvem privada, é preciso aplicar a segurança através de um modelo definido por software que utilize automação e orquestração das políticas de segurança. Isso limita o tempo e o risco envolvido em distribuições e provisionamentos manuais. Se e quando a VM for movida, todas as proteções e configurações de segurança deverão ser movidas automaticamente com ela. Você não pode delegar a responsabilidade pela segurança e pela conformidade aos provedores de nuvem pública. 6 Um manual de segurança na nuvem

7 Um terceiro exemplo: a natureza dinâmica do provisionamento de VMs e sua carga total sobre os servidores em um ambiente de nuvem privada podem dificultar o planejamento da capacidade. Se você executa uma solução antivírus que não foi desenvolvida para ambientes virtuais dentro de uma nuvem privada, isso pode ser uma tarefa quase impossível. Muito embora antivírus tradicionais funcionem nessas VMs, o impacto acumulado sobre o desempenho da infraestrutura seria imenso. Isso afeta diretamente quantas VMs podem ser executadas em um servidor, afetando assim a relação desejada entre VMs e servidores e, consequentemente, o retorno operacional. Uma solução antivírus virtual otimizada é uma solução mais adequada para proteger esse ambiente elástico sem afetar o desempenho e a expansibilidade. O próximo passo A migração para a computação na nuvem é uma das iniciativas de TI mais significativas de nosso tempo. A IDC já afirmou: A nuvem em primeiro lugar será o novo mantra da TI corporativa. 4 Segundo um relatório recente da McAfee sobre o estado da adoção da nuvem, 80% dos orçamentos de TI irão para os serviços de computação na nuvem nos próximos 16 meses e 96% das organizações aumentarão seus investimentos na nuvem. 5 Além disso, as empresas estão utilizando, em média, 43 serviços de nuvem diferentes e 40% já processam ou armazenam dados confidenciais na nuvem. E, embora 77% dos entrevistados tenham respondido que confiam na nuvem mais do que um ano atrás, 66% também disseram acreditar que a diretoria não compreende totalmente os riscos de se armazenar dados confidenciais na nuvem. As corporações não perdem tempo em migrar para a nuvem 80% dos orçamentos de TI irão para serviços de computação na nuvem no prazo de 16 meses 79% das empresas planejam investir em soluções Security-as-a-Service 43 serviços de nuvem diferentes são utilizados, em média Para os profissionais de segurança, a nuvem requer uma nova abordagem. A segurança na nuvem é um desafio de ponta a ponta, em que as soluções precisam ser incorporadas no ambiente de TI como um todo e não encaradas como um paliativo. As equipes de TI e de segurança precisam utilizar ferramentas e tecnologias desenvolvidas especificamente para enfrentar os desafios da era da nuvem. Finalmente, essas tecnologias e ferramentas precisam ser distribuídas como parte de um modelo de distribuição integrado. Você quer assegurar que essa proteção seja consistente entre todos os ambientes de nuvem. Recursos como detecção de ameaças e prevenção de intrusões devem ser oferecidos em tempo real para proteger toda a organização o tempo todo, sem importar onde estejam os dados e os aplicativos. As soluções de segurança precisam ser incorporadas no ambiente de TI como um todo e não encaradas como um paliativo. As equipes de TI e de segurança precisam utilizar ferramentas e tecnologias desenvolvidas especificamente para enfrentar os desafios da era da nuvem. 7 Um manual de segurança na nuvem

8 Ao construir a sua estratégia de segurança na nuvem, é importante trabalhar com um fornecedor que ofereça um modelo integrado de segurança na nuvem, bem como um conjunto diversificado de soluções específicas para a nuvem. Entre tecnologias críticas que deverão ser distribuídas, podemos citar um controlador de segurança definido por software, uma plataforma de segurança de rede virtual, proteção antimalware virtual, proteção de nuvem pública baseada em host, inteligência sobre ameaças avançadas e gerenciamento centralizado. Essas soluções, integradas entre si, formarão a base da sua estratégia de segurança na nuvem, agora e no futuro. E, como sempre parece ocorrer na TI corporativa, o futuro é agora. Se você está pronto para dar o próximo passo no sentido de garantir a segurança dos seus ambientes de nuvem, entre em contato com a McAfee em www. mcafee.com/cloudsecurity. 1. Hybrid Cloud (Nuvem híbrida), SearchCloudComputing, TechTarget 2. The NIST Definition of Cloud Computing (Definição de computação na nuvem segundo o NIST), Computer Security Division, Information Technology Laboratory, National Institute of Standards and Technology, setembro de Private Cloud (Nuvem privada), SearchCloudComputing, Tech Target 4. IDC Predicts the Emergence of the DX Economy in a Critical Period of Widespread Digital Transformation and Massive Scale Up of 3rd Platform Technologies in Every Industry (IDC prevê o surgimento da Economia DX em um período crítico de ampla transformação digital e ampliação imensa de tecnologias da terceira plataforma em todos os setores), IDC, 4 de novembro de Céu azul à frente? O estado da adoção da nuvem, McAfee, abril de Um manual de segurança na nuvem

9 Sobre a McAfee A McAfee é uma das maiores empresas independentes de segurança cibernética do mundo. Inspirada pelo poder do trabalho em equipe, a McAfee cria soluções que tornam o mundo um lugar mais seguro para as empresas e os consumidores. Ao criar soluções que operam com produtos de outras empresas, a McAfee ajuda as empresas a orquestrar ambientes cibernéticos verdadeiramente integrados, onde a proteção, a detecção e a neutralização de ameaças ocorrem de forma simultânea e colaborativa. A McAfee protege todos os dispositivos dos clientes para que eles tenham segurança em seu estilo de vida digital, tanto em casa quanto em trânsito. Com sua iniciativa de trabalhar ao lado de outras empresas de segurança, a McAfee lidera os esforços de unificação contra os criminosos cibernéticos. O resultado? Todos saem ganhando. Av. Nações Unidas, º andar Pinheiros São Paulo SP CEP , Brasil McAfee e o logotipo da McAfee são marcas comerciais ou marcas registradas da McAfee, LLC ou de suas afiliadas nos EUA e em outros países. Outros nomes e marcas podem ser propriedade de terceiros. Copyright 2017 McAfee, LLC _0416 ABRIL DE Um manual de segurança na nuvem