Entenda as CNAPPs com o nosso guia
Veja os benefícios e as dicas de integração para Plataformas de Proteção de Aplicações Nativas em Nuvem. Aprimore sua estratégia de segurança na nuvem.
Faça o download do guia agora mesmo
Entenda as CNAPPs com o nosso guia
Veja os benefícios e as dicas de integração para Plataformas de Proteção de Aplicações Nativas em Nuvem. Aprimore sua estratégia de segurança na nuvem.
Faça o download do guia agora mesmo
O que é o Modelo de Responsabilidade Compartilhada?
O Modelo de Responsabilidade Compartilhada é um framework de segurança e conformidade que descreve as responsabilidades dos provedores de serviços de nuvem (CSPs) e clientes para proteger todos os aspectos do ambiente de nuvem, incluindo hardware, infraestrutura, endpoints, dados, configurações, definições, sistema operacional (SO), controles de rede e direitos de acesso.
Em termos mais simples, o Modelo de Responsabilidade Compartilhada determina que o provedor de nuvem — como Amazon Web Service (AWS), Microsoft Azure ou Google Cloud Platform (GCP) — deve monitorar e responder a ameaças de segurança relacionadas à própria nuvem e sua infraestrutura subjacente. Enquanto isso, os usuários finais, incluindo indivíduos e empresas, são responsáveis por proteger os dados e outros ativos que armazenam em qualquer ambiente de nuvem.
Infelizmente, essa noção de responsabilidade compartilhada pode ser mal compreendida, levando à suposição de que as workloads da nuvem, bem como quaisquer aplicações, dados ou atividades associadas a elas, são totalmente protegidas pelo provedor de nuvem. Isso pode fazer com que os usuários executem, sem saber, workloads em uma nuvem pública que não estão totalmente protegidas, tornando-os vulneráveis a ataques que visam o sistema operacional, os dados ou as aplicações. Mesmo workloads configuradas com segurança podem se tornar um alvo em tempo de execução, pois são vulneráveis a exploits de dia zero.
NETAPP
Jyoti Wadhwa, chefe de produtos globais e segurança de nuvem da NetApp, compartilha suas ideias sobre mulheres na cibersegurança e como o CrowdStrike Falcon® Cloud Security oferece proteção em tempo de execução para o ambiente multinuvem da NetApp.
Assista à história do clienteResponsabilidade compartilhada entre os três modelos de entrega de serviços em nuvem
Existem três modelos principais de serviços em nuvem:
Cada um desses modelos de entrega em nuvem está sujeito ao conceito de responsabilidade compartilhada. No entanto, a propriedade de tarefas e funções de segurança varia dependendo do modelo de entrega em uso.
Software como serviço (SaaS): SaaS é um modelo de entrega de software em que o fornecedor hospeda centralmente uma aplicação na nuvem que pode ser usada por um assinante. Nesse modelo, o provedor é responsável pela segurança da aplicação, bem como sua manutenção e gerenciamento.
Plataforma como serviço (PaaS): PaaS é um modelo de entrega de plataforma que pode ser adquirido e usado para desenvolver, executar e gerenciar aplicações. No modelo de plataforma de nuvem, o fornecedor oferece tanto o hardware quanto o software geralmente usados pelos desenvolvedores de aplicações; o provedor de serviços também é responsável pela segurança da plataforma e sua infraestrutura.
Infraestrutura como serviço (IaaS): IaaS é um modelo de entrega de infraestrutura em que um fornecedor oferece uma ampla gama de recursos de computação, como servidores virtualizados, armazenamento e equipamentos de rede pela Internet. Nesse modelo, a empresa é responsável por manter a segurança de tudo o que possui ou instala na infraestrutura de nuvem, como sistema operacional, aplicações, middleware, containers, workloads, dados e código.
| Tipo de serviço | Responsabilidade do fornecedor | Responsabilidade do usuário |
|---|---|---|
| SaaS | Segurança de aplicações | Endpoints, segurança de usuários e redes; erros de configuração, workloads e dados |
| PaaS | Segurança da plataforma, incluindo todo o hardware e software | Segurança de aplicações desenvolvidas no endpoint da plataforma, segurança de usuários e redes e workloads |
| IaaS | Segurança de todos os componentes da infraestrutura | Segurança de qualquer aplicação instalada no endpoint da infraestrutura (por exemplo, SO, aplicações, middleware), segurança de rede e usuário, workloads e dados |
| Elemento | SaaS | PaaS | IaaS |
|---|---|---|---|
| Segurança de aplicações | CSP | Usuário | Usuário |
| Segurança da plataforma | CSP | CSP | Usuário |
| Infraestrutura | CSP | Usuário | CSP |
| Segurança de Endpoint | Usuário | Usuário | Usuário |
| Segurança de dados/Proteção de dados | Usuário | Usuário | Usuário |
| Segurança de rede | CSP | CSP | Usuário |
| Segurança do usuário | Usuário | Usuário | Usuário |
| Containers e workloads na nuvem | Usuário | Usuário | Usuário |
| APIs e Middleware | CSP | Usuário | Usuário |
| Código | Usuário | Usuário | Usuário |
| Virtualização | CSP | CSP | Usuário |
O modelo de responsabilidade compartilhada na prática
Controle direto
Embora o Modelo de Responsabilidade Compartilhada seja baseado na ideia de que duas ou mais partes desempenham um papel na garantia da segurança de elementos distintos dentro do ambiente de nuvem pública, é importante observar que o cliente e o CSP não compartilham a responsabilidade pelo mesmo ativo.
Em vez disso, o CSP ou o cliente tem total e completa responsabilidade pela segurança de todos os ativos sob seu controle direto, independentemente do tipo de modelo de serviço.
Por exemplo, o cliente sempre será responsável pela segurança, conformidade e acesso dos dados, independentemente de estar seguindo um modelo SaaS, PaaS ou IaaS. Na prática, isso ocorre porque os CSPs não têm visibilidade dos dados armazenados na nuvem pública e, portanto, não podem gerenciar efetivamente a segurança ou o acesso aos dados.
Geralmente, os clientes também são responsáveis por:
- Gerenciamento de identidade e acesso (IAM)
- Segurança do usuário e credenciais
- Segurança de Endpoint
- Segurança de rede
- Segurança de workloads e containers
- Configurações
- APIs e middleware
- Código
Enquanto isso, o provedor de nuvem — como Amazon, Microsoft ou Google — é responsável por áreas sobre as quais possui controle direto. Isso normalmente inclui a segurança de:
- A camada física e todo o hardware e infraestrutura associados
- A camada de virtualização
- Controles de rede e serviços de provedores
- Instalações que executam recursos de nuvem
Responsabilidades divididas
Em alguns modelos de IaaS e PaaS, as responsabilidades de segurança podem variar dependendo do provedor de nuvem ou dos termos descritos no contrato de nível de serviço (SLA).
Por exemplo, quando se trata de um controle de rede como um firewall, o provedor de serviços de nuvem pode ser responsável por fornecer o serviço de firewall. No entanto, cabe ao usuário gerenciar todos os outros aspectos, como configuração, regras, monitoramento e resposta. Embora ambas as partes desempenhem um papel no elemento de segurança, as responsabilidades ainda são claramente definidas e divididas.
Da mesma forma, se um cliente estiver usando um serviço de armazenamento de dados em nuvem pública oferecido por um CSP, o provedor de nuvem será responsável por todos os aspectos desse data center em nuvem, incluindo segurança, monitoramento, manutenção e atualização. No entanto, o cliente ainda é totalmente responsável por proteger todos os dados no ambiente de nuvem, bem como garantir que somente usuários autorizados possam acessá-los.
Com base no conceito de responsabilidade dividida, nenhuma parte tem autoridade sobre a outra em termos de como proteger seus ativos. Por exemplo, um cliente não pode ditar como ou quando seu CSP realiza monitoramento e testes. Dito isso, o contrato de serviço deve descrever as etapas que o provedor tomará para proteger os clientes, bem como como a documentação dessa atividade será compartilhada. Normalmente, os fornecedores de nuvem produzem relatórios de auditoria regulares para confirmar que estão tomando as medidas necessárias e adequadas para proteger seus clientes.
Vantagens do modelo de responsabilidade compartilhada
Embora um modelo de segurança compartilhada seja complexo e exija consideração e coordenação cuidadosas entre o CSP e o cliente, a abordagem oferece vários benefícios importantes aos usuários. Incluindo:
- Eficiência: embora o cliente tenha níveis significativos de responsabilidade sob o Modelo de Responsabilidade Compartilhada, alguns aspectos importantes da segurança, como segurança de hardware, infraestrutura e camada de virtualização, são quase sempre gerenciados pelo CSP. Em um modelo local tradicional, esses aspectos eram gerenciados pelo cliente. A migração para a nuvem libera a equipe de TI para reconcentrar esforços em outras tarefas e necessidades, além de dedicar recursos e investimentos disponíveis às áreas pelas quais são responsáveis.
- Proteção aprimorada: os provedores de serviços de nuvem estão extremamente focados na segurança de seu ambiente de nuvem e normalmente dedicam recursos significativos para garantir que seus clientes estejam totalmente protegidos. Como parte do contrato de serviço, os CSPs realizam monitoramento e testes robustos, além de correções e atualizações oportunas.
- Especialização: os CSPs geralmente têm um nível mais alto de conhecimento e especialização quando se trata do campo emergente de segurança em nuvem. Quando os clientes contratam um fornecedor de nuvem, eles beneficiam-se da experiência, dos ativos e dos recursos da organização parceira.
Práticas recomendadas de responsabilidade compartilhada
À medida que as organizações migram para a nuvem, muitas estão definindo seus relacionamentos com CSPs pela primeira vez. Conforme as empresas navegam neste território complexo, oferecemos as seguintes práticas recomendadas:
- Analise cuidadosamente o SLA. As responsabilidades de segurança variam dependendo do modelo de nuvem, do provedor de nuvem e de outras variáveis. É essencial que as organizações revisem cuidadosamente o SLA com seu fornecedor de nuvem para garantir que estejam totalmente cientes de suas responsabilidades de segurança e para identificar quaisquer possíveis áreas de dúvidas que precisam ser esclarecidas. Caso a organização esteja trocando de provedor de nuvem ou migrando para um novo modelo de entrega, ela deve reavaliar cuidadosamente seu contrato e identificar quaisquer alterações. Embora o SLA possa parecer muito semelhante a um acordo anterior, mesmo pequenas alterações na redação podem deixar a organização vulnerável a sérios riscos de segurança. Por fim, para organizações que operam um ambiente multinuvem, é crucial analisar cada SLA individualmente, pois os termos não são padronizados entre os fornecedores. Pequenas diferenças entre esses acordos devem ser consideradas na estratégia e arquitetura abrangentes de segurança em nuvem.
- Priorize a segurança dos dados. Os clientes da nuvem são sempre totalmente responsáveis por quaisquer dados armazenados na nuvem ou produzidos por aplicações na nuvem. Dessa forma, as organizações devem desenvolver uma estratégia de segurança de dados robusta, projetada especificamente para proteger os dados baseados na nuvem, estejam eles em uso, em repouso ou em movimento.
- Garanta um gerenciamento robusto de identidade e acesso. O cliente da nuvem também é totalmente responsável por definir direitos de acesso aos recursos baseados na nuvem e conceder acesso a usuários autorizados. Esses esforços devem ser incorporados à política de IAM e ao conjunto de soluções mais amplos da organização.
- Adote o DevSecOps. DevSecOps – abreviação de Development Security and Operations (Segurança e Operações de Desenvolvimento) – é a prática de integrar a segurança continuamente ao longo do ciclo de vida de desenvolvimento de software e/ou aplicações, a fim de minimizar vulnerabilidades de segurança e melhorar a conformidade, tudo isso sem afetar a velocidade dos ciclos de lançamento. Uma mentalidade DevSecOps ou shift-left é absolutamente necessária para qualquer organização de TI que utilize containers ou a nuvem, pois ambos exigem novas diretrizes, políticas, práticas e ferramentas de segurança.
- Identifique um parceiro confiável em cibersegurança. A segurança em nuvem é fundamentalmente diferente da proteção de redes no local. Atualizar e adaptar a estratégia e o conjunto de ferramentas de cibersegurança para lidar com novos riscos baseados na nuvem pode ser desafiador e complicado, especialmente se a organização estiver operando um ambiente híbrido ou multinuvem. Um parceiro de cibersegurança pode auxiliar a equipe de segurança interna da organização no gerenciamento de todos os aspectos de segurança em nuvem, desde a seleção de um CSP até a compreensão de suas responsabilidades específicas de segurança e a implementação e integração de ferramentas e soluções que protegerão o negócio.
Soluções de segurança em nuvem da CrowdStrike
A CrowdStrike redefiniu a segurança com a plataforma nativa em nuvem mais avançada do mundo que protege e capacita pessoas, processos e tecnologias que impulsionam as empresas modernas. O setor continua reconhecendo a CrowdStrike como líder, mais recentemente com a CRN nomeando a CrowdStrike como Vencedora do Prêmio Tech Innovator de 2022 de Melhor Segurança em Nuvem.
Alimentada pela CrowdStrike Security Cloud™, a plataforma CrowdStrike Falcon® aproveita indicadores de ataque em tempo real, inteligência de ameaças, evolução sobre estratégia adversária e telemetria enriquecida vinda de toda a empresa para fornecer detecções, proteção e remediação automatizadas hiper precisas, investigação de ameaças de elite e visibilidade priorizada de vulnerabilidades.
Saiba mais sobre as soluções de segurança em nuvem da CrowdStrike – incluindo nossos serviços específicos para AWS, GCP e Azure, abaixo:
Guilherme (Gui) Alvarenga é Gerente Sênior de Marketing de Produtos do portfólio de Segurança de Nuvem da CrowdStrike. Ele tem mais de 15 anos de experiência com soluções de nuvem, software como serviço (SaaS), rede e ML para empresas como Check Point, NEC e Cisco Systems. Guilherme formou-se em Publicidade e Propaganda pela Universidade Paulista, no Brasil, e fez seu MBA na Universidade Estadual de San Jose. Estudou Computação Aplicada na Universidade de Stanford e especializou-se em Segurança de Nuvem e Investigação de Ameaças.
