Segurança de nuvem híbrida

O que é segurança em nuvem híbrida?

Segurança em nuvem híbrida é o conjunto de ferramentas e processos projetados para a proteção de dados e infraestrutura que combina elementos de nuvem privada, nuvem pública e infraestrutura no local em uma arquitetura unificada. Uma nuvem híbrida é o ambiente de TI que combina esses elementos. A nuvem híbrida oferece alta flexibilidade para mover workloads para diferentes ambientes rapidamente, aproveitando ao mesmo tempo as melhores funcionalidades fornecidas nesses ambientes.

Há fortes motivações para usar uma arquitetura de nuvem híbrida, mas ela também traz desafios de segurança adicionais que serão discutidos neste artigo. Vamos começar com os casos de uso para uma nuvem híbrida.

Desafios de segurança da nuvem híbrida

A nuvem híbrida não resolve nem melhora nenhuma desvantagem de segurança da infraestrutura de nuvem única. Pelo contrário, a nuvem híbrida apresenta os seguintes desafios de segurança.

Quando as aplicações são distribuídas em várias nuvens, elas precisam se conectar entre si e transmitir dados. Isso significa que o tráfego entre nuvens deve ser seguro e criptografado. Criar uma conexão segura de ponta a ponta entre diversas infraestruturas de nuvem se torna um desafio, principalmente quando os modelos de rede são diferentes.

As funcionalidades de segurança de cada oferta de nuvem se concentram na proteção de seus próprios serviços e infraestrutura. Por exemplo, você pode limitar o acesso aos recursos da nuvem usando funções do AWS IAM, mas elas funcionam apenas para a workload em execução dentro da infraestrutura da AWS.

As configurações de rede, que já são desafiadoras em um único serviço de nuvem, tornam-se mais complicadas quando há várias ofertas de nuvem. Por exemplo, para criar ambientes de nuvem privada, você precisa configurar Amazon Virtual Private Cloud (VPC), Azure Virtual Network (VNet) e Google Virtual Private Cloud (VPC) separadamente. Ataques à segurança são inevitáveis quando não é dada atenção suficiente a esses ambientes ou alguns parâmetros são ignorados.

Quando várias infraestruturas de nuvem estão conectadas, os sistemas de detecção de ameaças em tempo real podem gerar alarmes falsos ao identificar erroneamente o tráfego entre nuvens e/ou no local como malicioso ou, pelo menos, fora do comum. Quando a infraestrutura geral se torna mais complexa, os sistemas de monitoramento e alerta devem ser configurados em grande profundidade para detectar ataques à segurança reais.

Gerenciadores de segredos na nuvem, como o GCP Secret Manager ou o AWS Secrets Manager, são ótimas ferramentas para armazenar senhas, chaves, certificados ou quaisquer outros dados confidenciais. No entanto, eles são projetados para funcionar em suas próprias plataformas de nuvem. Para distribuir e gerenciar segredos em uma infraestrutura híbrida, você precisa implementar ferramentas centrais e externas como o Vault.

3 componentes de segurança da nuvem híbrida

Existem três componentes essenciais para criar uma infraestrutura unificada que funcionará em harmonia: controles físicos, técnicos e administrativos.

1. Controles físicos

Acordos de Nível de Serviço (SLAs)

Sua organização pode ter um acordo de nível de serviço (SLA) com seu provedor de nuvem pública. É essencialmente um acordo que define os padrões de segurança física que precisam ser atendidos.  Isso ajuda a evitar que certos funcionários sem permissão acessem hardware físico, o que pode ser prejudicial se chegar às mãos erradas.

2. Controles técnicos

Networking

A conexão entre diversas infraestruturas de nuvem as torna uma configuração de nuvem híbrida. Conexões de rede diretas entre o local e as nuvens ou túneis VPN são as soluções mais comuns e são usadas principalmente em conjunto, onde a conexão direta é o método principal e a VPN é um modo de espera.

Criptografia

A criptografia permite codificar dados para que somente as partes autorizadas tenham acesso a eles. Quando há diferentes infraestruturas e serviços de nuvem conectados entre si, é fácil usar uma solução externa — que também pode ser oferecida por um dos provedores de nuvem em seu cenário de nuvem híbrida — para uma comunicação segura e criptografada.

Autenticação

Uma nuvem híbrida cria um ambiente onde as aplicações podem consumir serviços de outros provedores de nuvem. Por exemplo, vamos supor que a workload na nuvem A (ou no local) precisa ser autenticada na nuvem B, o que é feito por meio de um conjunto de credenciais.

Você deve gerenciar essas credenciais com cuidado, especialmente em termos de como elas são distribuídas. Porque vazar tais credenciais pode ter consequências potencialmente devastadoras. Você também precisa fazer rodízio delas regularmente. Portanto, há uma necessidade sólida de arquitetura de segurança de nuvem híbrida para conectar aplicações que vivem em diferentes infraestruturas.

A descoberta e a visibilidade na nuvem são necessárias para gerenciar, configurar e monitorar esses componentes em uma infraestrutura distribuída. O Falcon Cloud Security se concentra no gerenciamento de postura de segurança na nuvem (CSPM) para detectar erros de configuração e ameaças potenciais, ao mesmo tempo em que garante a conformidade entre vários provedores de nuvem, como AWS, Azure e Google Cloud.

3. Controles administrativos

Preparação para desastres

Uma parte essencial para manter a nuvem híbrida funcionando é ter um plano de preparação para desastres pronto para ser acionado quando necessário. O plano deve delinear as principais funções e responsabilidades para que todas as partes interessadas saibam o que fazer em caso de desastre. Ele também deve descrever os principais protocolos que essas partes interessadas devem seguir para garantir a recuperação total dos dados.

Por fim, um plano de preparação para desastres também deve levar em conta erros humanos. Como a nuvem híbrida é extremamente interconectada entre ambientes, a segurança deve se tornar um foco para todos os usuários da nuvem.

Melhores práticas

Proteger uma nuvem híbrida é desafiador com seus múltiplos componentes e natureza distribuída. Portanto, é sempre uma boa ideia começar com as melhores práticas comumente aceitas no setor:

• Especialistas em rede e segurança devem revisar cuidadosamente a topologia de rede.
• Certifique-se de planejar cuidadosamente o gerenciamento de segredos — credenciais, certificados, chaves, senhas — para evitar vazamentos. Você também deve rotacionar certificados e segredos regularmente.
• Sua equipe deve executar uma varredura nas imagens do container em busca de vulnerabilidades e implementar apenas as seguras. Você pode conferir a segurança do CrowdStrike Falcon® Container para identificar vulnerabilidades mais cedo e automatizar os princípios do DevSecOps.
• Realize auditorias contínuas para visibilidade em tempo real e verificações de conformidade.
• Implemente uma abordagem de confiança zero para novas aplicações, ambientes e ferramentas.

Conclusão

A nuvem híbrida traz o melhor dos sistemas no local e dos provedores de nuvem. Mas também traz desafios de segurança adicionais em comparação a executar tudo em uma nuvem. Felizmente, os benefícios de uma configuração de nuvem híbrida podem muito bem justificar os custos adicionais necessários para proteger o sistema geral. Ainda assim, é importante envolver especialistas em segurança geral e rede, bem como engenheiros especializados em cada um dos fornecedores de nuvem incluídos no design do sistema.

A CrowdStrike oferece soluções de segurança em nuvem de ponta a ponta para segurança de workload, CSPM e segurança de container. Inicie uma avaliação gratuita agora mesmo e obtenha proteção rápida e fácil contra todas as ameaças em seu ambiente de nuvem híbrida.