Os provedores de serviços em nuvem (CSPs) amadureceram para oferecer serviços ricos em recursos que proporcionam benefícios de custo significativos para as empresas clientes. Ao usar uma estratégia multicloud, as empresas clientes podem combinar os melhores recursos disponíveis de diferentes CSPs ao construir suas arquiteturas de aplicativos.
Embora uma estratégia multicloud ajude as empresas a acompanhar a inovação e a melhorar a escalabilidade, ela apresenta desafios para as equipes de segurança. O modelo tradicional de segurança baseado em perímetro não é páreo para as atuais implantações dinâmicas e multicloud. A segurança de confiança zero, baseada no princípio “nunca confie, sempre verifique”, está emergindo como uma abordagem fundamental para a segurança multicloud. O modelo zero trust funciona autenticando, autorizando e criptografando todas as solicitações de acesso antes de concedê-las, independentemente da localização, dispositivo ou rede do usuário.
Ao delinear os fundamentos de uma estratégia de segurança multicloud baseada em confiança zero, três questões de segurança na nuvem nos guiam:
Quais desafios de segurança específicos da nuvem as organizações enfrentam hoje?
Como uma abordagem de segurança de confiança zero pode lidar com esses problemas?
Quais são as etapas para implementar um programa de segurança em nuvem de confiança zero?
Desafios comuns de segurança na nuvem
Compreender o modelo de responsabilidade compartilhada de cada CSP é crucial para as organizações que adotam uma estratégia que prioriza a nuvem e desenvolvem sistemas multicloud. O modelo de responsabilidade compartilhada coloca os clientes no comando da segurança dos dados e dos aplicativos, enquanto os CSPs permanecem responsáveis pela segurança física. Essas obrigações variam de acordo com o CSP e o modelo de serviço (por exemplo, Software como Serviço, Plataforma como Serviço ou Infraestrutura como Serviço), portanto, os clientes devem compreender seus limites e deveres fornecedor-cliente. Os desafios e ameaças que enfrentam incluem configurações incorretas de recursos, tratamento de ameaças internas, gerenciamento de dispositivos e endpoints, gerenciamento de grandes volumes de alertas e monitoramento contínuo.
Como Zero Trust aborda esses desafios de segurança na nuvem
As ameaças e desafios de segurança que as empresas enfrentam hoje exigem estratégias e soluções exclusivas dentro do seu programa de segurança na nuvem. Um modelo de segurança de confiança zero pode ajudar a mitigar muitos destes desafios, aplicando controlos de acesso rigorosos, minimizando superfícies de ataque e melhorando a visibilidade dos recursos da nuvem.
Construindo uma estratégia de segurança em nuvem Zero Trust
A abordagem de confiança zero pode resolver muitos desafios de segurança na nuvem, incluindo violações de dados e sequestro de contas, questões regulatórias e de conformidade, visibilidade e controle insuficientes e treinamento e conscientização inadequados. Esta abordagem enfatiza fortes controles de acesso, contenção de malware, configurações seguras, verificação completa de fornecedores terceirizados, monitoramento contínuo, autenticação segura e estratégias robustas de resposta a incidentes. O modelo de confiança zero do Instituto Nacional de Padrões e Tecnologia (NIST) fornece um conjunto em evolução de protocolos de segurança cibernética que se concentram na proteção de usuários, ativos e recursos.
As recomendações do NIST incluem:
Gestão de ativos
Identifique e classifique ativos e dados para determinar a propriedade e documentar metadados de ativos (pilha de tecnologia, ambiente de produção/não produção).
Classifique ativos e dados para determinar quais precisam de proteção. Bancos de dados, servidores de aplicativos e arquivos comprometidos podem prejudicar uma organização.
Plano estratégico ou processos
Aplique o princípio fundamental do modelo de confiança zero, “nunca confie, sempre verifique”, a todos os componentes de negócios, independentemente da localização.
Use segurança baseada em políticas para praticar segurança e conformidade consistentes.
Gerenciamento de acesso à rede
Microssegmente a rede em segmentos menores e isolados para restringir a mobilidade lateral e manter os ataques em uma região.
Desenvolva um processo independente de nuvem para gerenciar a infraestrutura em vários CSPs.
Gerenciamento de acesso e identidade
Gerencie identidades de usuários e dispositivos, fornecendo a cada usuário e dispositivo um ID exclusivo. Encontre um sistema que ofereça suporte a vários modelos de autenticação CSP e que permita configurar centralmente contas de usuários e principais de serviço, funções e permissões e políticas de acesso.
Habilite e aplique uma política de senha forte.
Exija que os usuários utilizem autenticação multifator para evitar que invasores obtenham acesso se as credenciais forem comprometidas.
Use o gerenciamento de identidade de privilégios para separar usuários privilegiados e de terceiros.
Estabeleça uma política de acesso condicional para conceder permissões de acesso por identidade do usuário e do dispositivo, localização do dispositivo, horário de acesso e assim por diante, para evitar acesso incomum do usuário. Isto também se aplica ao acesso principal aos recursos da nuvem.
Aplique acesso com privilégios mínimos para conceder aos usuários apenas os privilégios necessários para trabalhar. Revise e atualize os privilégios regularmente.
Gerencie fornecedores para garantir que fornecedores terceirizados atendam aos seus critérios de segurança e apoiem o conceito de confiança zero.
Proteção de dados
Proteja os dados, criptografe-os tanto em repouso quanto em trânsito para que os dados interceptados ou acessados sem autorização não possam ser compreendidos.
Segurança de aplicativos
Implemente um ciclo de vida de desenvolvimento de software seguro (SDLC) para desenvolver aplicativos com segurança usando os princípios do SDLC. Atualize e corrija aplicativos regularmente para corrigir vulnerabilidades.
Acelere a implantação de aplicativos e o gerenciamento do ciclo de vida com automação.
Visibilidade contínua e resposta a incidentes
Acompanhe a atividade usando ferramentas de monitoramento para rastrear o tráfego de rede e a atividade do usuário. Isso pode ajudar a identificar condutas suspeitas e informar a resposta a incidentes.
Analise o comportamento do usuário com análises de comportamento de usuários e entidades para detectar ameaças à segurança.
Use soluções de resposta automatizada. As ferramentas de orquestração, automação e resposta de segurança aceleram a resposta a incidentes e reduzem o tempo de inatividade.
Auditorias internas e de terceiros
Audite e avalie periodicamente os fornecedores para verificar se a abordagem de confiança zero está funcionando e identificar oportunidades de melhoria.
Treinamento de segurança
Realizar treinamento de conscientização de segurança. Ensine regularmente os funcionários sobre confiança zero, perigos e segurança online para que todos os funcionários entendam suas responsabilidades de segurança.
Fornece treinamento periódico de desenvolvimento seguro. Como a nuvem está inovando e os CSPs oferecem regularmente novos serviços e recursos, os arquitetos e desenvolvedores de soluções em nuvem devem participar regularmente de treinamentos em segurança.
Melhoria contínua
Acompanhe métricas para avaliar o desempenho do processo e os riscos de remediação usando indicadores-chave de desempenho e indicadores-chave de risco.
A confiança zero é um esforço contínuo, portanto, revise, atualize e atualize sua estratégia de segurança à medida que as ameaças e as necessidades de negócios mudam.
Desenvolva uma estratégia de segurança multicloud
Adotar a confiança zero é uma jornada, não um destino. Requer exame e adaptação constantes a novas ameaças e demandas de negócios. Uma estratégia dinâmica ajuda a manter sua segurança resiliente e eficaz à medida que o cenário de segurança muda.
Construir uma estratégia abrangente de segurança multicloud é uma tarefa complexa que requer um modelo de segurança de confiança zero. Um lugar para começar é com nosso white paper Construindo uma Estratégia de Segurança Multicloud: Uma Abordagem de Confiança Zero. Este documento detalha como as organizações podem implementar estratégias de confiança zero para superar os desafios associados aos ambientes multicloud, garantir uma postura de segurança consistente e unificada e proteger seus valiosos dados e aplicações na nuvem.
YOUTUBE.COM/THENEWSTACK
A tecnologia avança rápido, não perca um episódio. Inscreva-se em nosso canal no YouTube para transmitir todos os nossos podcasts, entrevistas, demonstrações e muito mais.
SE INSCREVER
Monika Chakraborty, CCSP, é líder global de prática de segurança em nuvem na Synopsys. Ela tem mais de 30 anos de experiência em vários domínios e atualmente está focada em segurança em nuvem, com experiência em arquitetura baseada em AWS/Azure. Ela possui diversas certificações técnicas de…
Este site utiliza cookies para melhorar sua experiência de navegação. Ao continuar, você concorda com o uso de cookies. Para mais informações, consulte nossa Política de Privacidade.
Funcional
Sempre ativo
O armazenamento ou acesso técnico é estritamente necessário para a finalidade legítima de permitir a utilização de um serviço específico explicitamente solicitado pelo assinante ou utilizador, ou com a finalidade exclusiva de efetuar a transmissão de uma comunicação através de uma rede de comunicações eletrónicas.
Preferências
O armazenamento ou acesso técnico é necessário para o propósito legítimo de armazenar preferências que não são solicitadas pelo assinante ou usuário.
Estatísticas
O armazenamento ou acesso técnico que é usado exclusivamente para fins estatísticos.O armazenamento técnico ou acesso que é usado exclusivamente para fins estatísticos anônimos. Sem uma intimação, conformidade voluntária por parte de seu provedor de serviços de Internet ou registros adicionais de terceiros, as informações armazenadas ou recuperadas apenas para esse fim geralmente não podem ser usadas para identificá-lo.
Marketing
O armazenamento ou acesso técnico é necessário para criar perfis de usuário para enviar publicidade ou para rastrear o usuário em um site ou em vários sites para fins de marketing semelhantes.