maintitle-ok

18 dicas essenciais para efetivamente migrar com segurança para a nuvem

A necessidade em migrar tecnologias para a nuvem está se tornando cada vez mais inevitável, por conta disso é preciso estabelecer estratégias capazes de permitir esta migração eficaz e segura.

Com o objetivo de apresentar algumas dessas estratégias, este artigo foi produzido com a colaboração de diversos especialistas, oferecendo práticas e orientações essenciais para migrar seguramente para a nuvem. Tendo a pretensão de capacitação na assimilação da responsabilidade pela segurança, conformidade o gerenciamento operacional quando estiver na nuvem.

Alguns itens podem ser considerados como indispensáveis para o gerenciamento adequado das suas aplicações e demais serviços na nuvem, como exemplo:

  • Administrar a infraestrutura híbrida ou totalmente migrada numa mesma central de gerenciamento, ambiente de utilização provendo relatórios de conformidade.
  • Desfrutar da elasticidade da nuvem com apoio de um monitoramento automático e nós recém-implementados mantendo os dados das tarefas descomissionadas
  • Compatível com recursos exclusivos de nuvem como os Serviços em Linux na AWS e aplicações Docker
  • Diminuir o time operacional, otimizando os recursos humanos necessários na operacionalização das plataformas.

1_topic-ok

Primeira etapa: Nuvem versus Local

1. Segurança na Nuvem não deve ser um pensamento Binário

Não considere apenas o conceito seguro ou inseguro, uma vez que muitos aspectos da nuvem existem de maneira diferentemente seguras. Por uma visão você pode estar transferindo o controle físico, por outra está transferindo quase certamente para uma organização melhor estruturada no gerenciamento de seus ambientes de computação que o existente atualmente na sua infraestrutura.

Na sequência surgem as preocupações referentes a crescimento dos ataques nos serviços disponibilizados na nuvem, mesmo assim muitos recursos de proteção podem ser utilizados na implementação de redes virtualizadas promovendo acesso a soluções anteriormente proibitivas financeiramente para muitas organizações como WAF´s, HSM´s entre outros.

Motivos para considerar a nuvem como diferente, beneficiando-se de ambientes híbridos permitindo movimentar gradativamente seus ativos de modo a atender suas próprias necessidades num ambiente confortável para sua organização.

2. Os Processos atuais devem ser revisados

No ambiente de nuvem o plano de gerenciamento deve ser um importante conceito a ser conhecido. Sendo tudo virtual, através do chamado console é possível ter acesso a praticamente tudo nesta plataforma e fraquejar na proteção deste recurso costuma ser um erro grande e preocupantemente comum. No ambiente AWS por exemplo basta procurar usando termos como “Bucket S3 vulneráreis” para receber inúmeras sugestões em como utilizar essas falhas, motivo para estimular a compreensão dos controles de acesso à eles.

No ambiente de nuvem existe uma imensidão de atividades divertidas possíveis de executar, diferente do ambiente de um tradicional data center. Basta executar pesquisas por conceitos como servidores imutáveis e pipelines de CI/CD automatizadas para entender mais ainda sobre as possibilidades e, possuindo uma equipe com as competências compatíveis torna-se mais flexível e fácil manter a segurança no ambiente de nuvem.

3. Assegurar a confidencialidade

Custos indiretos relacionados ao hardware físico podem ser significativamente reduzidos ao operar seus serviços na nuvem, por outro lado os mecanismos de segurança podem estimular novos custos pela substancial diferença dos modelos de proteção utilizados num data center de modelo tradicional.

Considere também que os prestadores de serviço na nuvem possibilitam os clientes em criarem ambientes complexos de rede privada, aptos a processar inclusive tipos de dados mais confidenciais, residindo nos controles de segurança a confidencialidade desses dados então diferentes dos normalmente aplicados num ambiente local onde num pequeno erro pode acarretar a exposição desses dados confidenciais por toda a internet.

Outro motivo para os administradores de rede estarem sempre em alerta na visão externa de todo o seu intervalo de IP´s separados para sua nuvem.

2_topic-ok

Segunda etapa: A Migração para a Nuvem

4. Assimilando suas responsabilidades com a Segurança

Muitos motivos motivam a investigação numa mudança para nuvem, entre algumas delas a escalabilidade, agilidade e melhor controle de custos estão entre os fatores atraentes na migração para a nuvem.

Essas atratividades podem incitar a falsa despreocupação com segurança na utilização dos serviços em nuvem, basta considerar somente a Amazon com centenas de páginas documentadas tratando da configuração para seus serviços.

Mesmo assim continua frequente as empresas que iniciam suas atividades na nuvem cometerem o erro de depositar a questão de segurança em seus ambientes completamente nos seus provedores de serviços na nuvem.

Razão que torna fundamental reservar um tempo para analisar esses controles, aprendendo como implementá-los em suas instâncias no ambiente de nuvem e não concluídos até este ponto, observar quais melhorias de controle adicionais podem ser oferecidas.

Isto pelos sistemas existentes nos ambientes de nuvem oferecerem recursos de proteção que muitas organizações regularmente são impedidas de implementar localmente. Mantendo esse pensamento ao migrar para o ambiente de nuvem, estará no caminho mais adequado na tomada de decisões na implementação desses mecanismos.

5. Auditar suas competências

Após o interesse de uma organização na transição de seus serviços para a plataforma de nuvem senão distribuir num modelo híbrido, local e virtual, existem muitas considerações a serem elencadas como cronograma, orçamento e planejamento de migração destacando apenas alguns deles.

Como primeiro elemento retomamos a preocupação com a segurança, por conta das aplicações assim como os dados e a própria infraestrutura serem componentes subjacentes, detendo seus próprios conjuntos de requisitos de segurança senão também requisitos de conformidade.

Imperativo é também entender a existência de diferenças entre os provedores de serviço em nuvem, por este motivo muitos dos processos de implementação serão feitos de diferentes maneiras nessas diferentes plataformas.

As organizações devem estar alertas quanto a esses requisitos, promovendo suas diligências internas preparando-se para as implicações consequentes na mudança de qualquer dos seus sistemas para o ambiente de nuvem.

6. Jamais negligenciar a segurança das soluções por contêiner

Junto com a disseminação das soluções baseadas em nuvem, as aplicações embarcadas por contêiner também estão se tornando populares. O Docker é um dessas soluções que permitem isolar suas aplicações num esforço na redução de danos em caso de ataque como também facilitar a implementação rápida de serviços essenciais.

Essas soluções por contêiner estão sendo padronizadas como itens no processo de DevOps sendo crucial averiguar a segurança deles antes da sua implantação. Isso deve ser considerado sempre pois muitos ainda aparentemente negligenciam que a segurança é tão importante quanto a preocupação na disponibilização dessas aplicações, mesmo os aplicativos isolados por contêiner são passíveis de vulnerabilidades e continuam alvos dos ataques de hackers.

7.Examinar o modelo de implementação e estratégia de resposta

A intenção será migrar para um modelo privado, público, PaaS ou SaaS ?! É outro ponto a considerar pois compreendendo esses conceitos, as organizações terão mais conhecimento para analisar os riscos implícitos na implementação da arquitetura escolhida.

Como exemplo está a importância na compreensão sobre restrições de conformidade na migração para o ambiente de nuvem, quais registros de atividade poderão ser recuperados, as respostas a incidentes assim como quem será responsável no gerenciamento das chaves de criptografia.

Outro exemplo está no já referenciado risco, alisando configurações incorretas novamente aqui sobre a temida falha pública no bucket do S3 ou na proteção incorreta das chaves de API. Possíveis bloqueis por parte do fornecedor e também quando necessária, a remoção dos dados armazenados nesses ambientes.

Assim como a preocupação na adoção de um provedor de serviços em nuvem, a possibilidade do cancelamento, com a total exclusão do conteúdo registrado ali e a migração para outro serviço é outra atenção que deve fazer parte do seu planejamento.

8.Desempenhar uma avaliação de riscos

Assim como escolher qualquer outra plataforma é a contratação adequada para hospedagem de serviços em nuvem: Entender qual é o seu perfil e depois amparar sua decisão através de uma avaliação de riscos. Num modelo com dados altamente confidenciais, analisar as competências contratuais sobre segurança, relatórios de incidentes e gerenciamento de correções da plataforma na empresa escolhida, em conjunto com os requisitos acordados com os proprietários dos dados e sempre através de um terceiro.

Na possibilidade de manter uma sincronia com um ambiente local na organização, esse arranjo onde os dados são altamente sigilosos pode ser a melhor estratégia, considerando que somente através de análises e estudos a empresa estará confiante na sua decisão.

3_topic-ok

Terceira etapa: Controle dos Recursos da Nuvem

9.Apenas os Controles Essenciais para começar

Os controles de segurança na nuvem existentes nos serviços contratados, em muitos casos são selecionados e implantados com base na tecnologia disponível ao invés do requisito real ser baseado em risco. Sendo esses mesmos serviços geralmente necessários para sistemas locais, privados e públicos, considere que como ponto de partida, a definição desses controles indispensáveis não deve ser dependente da tecnologia, ainda mais pelo multi-nuvem já ser uma realidade e uma tendência com considerável ascensão.

Pode resultar num risco e limitação desnecessário definir controles de segurança restritos a um único provedor de nuvem, motivador para iniciar com os controles necessários ao invés dos de tecnologia específicos. Identificar brechas é estágio importante e mandatório na mitigação de riscos. As organizações devem ter condição de gerenciar seus armazenamentos em nuvem para assegurar que estejam adequadamente preservados.

10.Parametrizar a segurança da arquitetura na nuvem com o negócio

As mudanças para arquiteturas em nuvem irão desencadear preocupações com segurança e por essa condição, mensurá-la deve estar relacionada com a sua segurança perimétrica local, sendo uma perspectiva fundamental por conta das diversas organizações quando expostas, tiveram como origem na ineficaz segurança perimetral.

Associado a essa condição deve estar a combinação cuidadosa da arquitetura de segurança na nuvem com o propósito de negócios a ser suportado, a exemplo do modelo de nuvem pública sustentando o suporte para iniciativas de propaganda e redes sociais, pode ser suficiente o monitoramento de riscos digitais e autenticação aprimorada.

Num outro exemplo contemplando funções críticas e aplicações de negócios virtualizados na nuvem, o suporte dos agentes de segurança para acesso a esses serviços (CASB), em soma com as proteções de microssegmentos com uma criptografia de podam despontam como as melhores escolhas.

11.Aplicando regulares testes de segurança

Tudo o que trafegar pela nuvem deve ser amparado por alguma tecnologia de criptografia de fluxo, as conexões externas à sua nuvem devem estar encapsuladas por protocolos VPNs ou SSH o máximo possível e podendo tornar obrigatório as conexões remotas somente por estas VPNs ou SSH, não exite em implementar.

Cooperar com todos os terceiros envolvidos e profissionais de segurança, na realização de frequentes testes de invasão validando a confiabilidade do seu ambiente deve ser também uma premissa. Dos resultados devem ser convertidos na fortificação da sua rede no ambiente de nuvem, já a frequência dos testes de segurança dependerá de muitos diferentes fatores, mesmo assim um período anual dever ser o mínimo a ser implementado.

12.Riscos comuns reduzidos

Revisar regularmente os controles de segurança. Considere por exemplo se é possível de manter as chaves de criptografia privadas ou estabelecer ambientes acima das linhas iniciais padrão, planejando expor seus ativos mais vitais na nuvem, são satisfatórios seus controles e políticas de segurança atuais ?!

Esses elementos atendem levando em consideração o novo cenário de ameaças ?! Identificando crescimento nos lucros na redução dos riscos mais comuns, as organizações devem considerar a implantação do acesso através da Autenticação Multifator (MFA) e quando possível para todas as contas, ampliar a complexidade na definição de senhas, monitorar os relatórios de acesso e fiscalizar o ambiente AD (ADFS) na intenção de adotar um modelo baseado em privilégio mínimo, especialmente no que compete a informações sensíveis.

13.Implementar estruturas já consolidadas no mercado

Os ambientes em nuvem são territórios sabidamente compartilhados, esta condição já exige um sistema de acesso rígido e rigoroso. Caso tenha escolhido a plataforma Amazon Web Services, revise sobre os recursos de nuvem utilizados estarem em conformidade com os testes de segurança desenvolvidos pelo CIS ( Central para Segurança da Internet).

14.Mantenha rígidos os controles de acesso

As contas de gerenciamento do provedor de nuvem jamais devem fugir do campo de visão na administração, juntas com outras demais medidas de segurança corriqueiras já implementadas no ambiente de nuvem. Sendo sua conta de gerenciamento como o mais elevado nível de administrador de domínio, contemplando todos os recursos de computação da plataforma, usuários e as informações preservadas, deve estar sobre máxima proteção.

Pela diversidade de projetos em ambientes de nuvem praticamente cada provedor desses serviços costumam fornecer inúmeras configurações para reforçar os controles de acesso, também a exposição ao risco dos seus ativos caso as configurações sejam inadequadas.

Ainda na nuvem, de maneira singular devem ser aplicados os controles de segurança contemplando elementos como gerenciamento de identidade e acesso abrangendo até os firewalls da rede. Efetuando ininterruptamente o controle da sua conta de gerenciamento permite garantir estar em conformidade com as políticas da organização, colaborando na adequada manutenção dos ativos na nuvem preservando sua segurança.

15.Criptografar, mais criptografar, sempre criptografar

No ímpeto de manter o ambiente mais seguro possível na nuvem, mantenha tudo criptografado. Na definição de novos projetos considere adotar soluções do tipo NoSQL onde as informações possam ser indexadas por conteúdo e na sequência, criptografados antes de serem preservados como blobs JSON nas tabelas de objetos.

É possível consultar os dados armazenados através de um índice de conteúdos, já a criptografia permite proteger os dados evitando que possam ser interceptados ou roubados, exceto quando o criminoso detiver as chaves de acesso às tabelas. As soluções RDBMS estão próximas do esquecimento nas décadas vindouras até que sejam reescritos todos os dados antigos, migrando para novas plataformas. Está disponível uma diversidade de sistemas e soluções disponíveis como o Apache Cassandra, MongoDB, Amazon DynamoDB e para muitos sistemas o GraphDB.

16.Gerenciamento de acesso e identidade incorporados

Neste novo mundo, estão responsáveis para quem tem acesso aos ambientes os clientes e não os provedores de serviços em nuvem, motivo suficiente para incorporar desde o princípio controles de gerenciamento de identidade e acessos robustos.

Como recomendação está a estruturação de acesso baseado em funções, principalmente para os administradores. Obrigatório MFA (multi-factor authentication) para tarefas de alto nível e adicionar camadas extras de proteção nas contas privilegiadas, valendo-se das ferramentas PIM e IAM dos provedores de nuvem.

17.Certificar a segurança das configurações

A tecnologia de criptografia embora sábia decisão, promovendo a segurança das informações até mesmo da aplicação desde que adequadamente configuradas, caso contrário os riscos de desvio dos dados é quase certo a exemplo da falha no ambiente Bucket S3 há até pouco tempo. Praticamente todos por alguma incorreta configuração deixando exposto até mesmo a memória do kernel, permitindo espiar por imagens virtuais na nuvem.

A certeza deve ser essencial quanto às configurações estarem seguras, através de verificação automatizada e independente para que nenhum outro programa esteja se esgueirando entre os sistemas valendo-se de credenciais furtadas.

18.Chave de criptografia deve ser avaliada

Ainda sobre chaves criptográficas na nuvem é imperativo a certeza que estão em sua posse, por conta de muitos provedores de serviço na nuvem promoverem a segurança de dados vitais através de criptografia, mesmo assim caso tenham configurado e detenham a chave privada para essa criptografia, as informações ficarão a mercê dos controles de segurança deles.

Numa violação de ambiente nesses provedores serão também comprometidos os seus dados, na condição dos provedores precisarem entregar legalmente suas informações a terceiros pode ocorrer de serem entregues também estas chaves.

Mantendo somente com você essas chaves de criptografia, mesmo na condição do provedor precisar entregar seus dados ou ter o ambiente violado, ninguém conseguirá descriptografá-los sem sua permissão ou conhecimento.





18 Dicas essenciais para efetivamente migrar com segurança para a nuvem
Iperius Backup Brasil
*****************************************

PLEASE NOTE: if you need technical support or have any sales or technical question, don't use comments. Instead open a TICKET here: https://support.iperius.net

*****************************************

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

*****************************************

PLEASE NOTE: if you need technical support or have any sales or technical question, don't use comments. Instead open a TICKET here: https://support.iperius.net

*****************************************