"Saiba como proteger identidade e acesso à nuvem"

Post content – O uso de nuvem, sem dúvida, oferece uma infinidade de benefícios para as empresas, mas ao mesmo tempo exige uma série de medidas para se evitar vazamentos. Com o atual custo total médio de um vazamento de dados em US$ 3,92 milhões, não surpreende que ele seja classificado como a maior ameaça na nuvem.

Conforme mais dados são transferidos para a nuvem, aumenta o número de usuários e aplicativos com acesso privilegiado que tem acesso a ela. Como se sabe, o fator humano é responsável pelos maiores incidentes de segurança. Portanto, o desafio é gerenciar identidades humanas e não humanas (como M2M e IoT) é um desafio para as equipes de TI.

Erros de configuração, entre eles a concessão de permissões excessivas ou credenciais predefinidas inalteradas, ocorrem quando os recursos de informática e o acesso são configurados incorretamente. A configuração incorreta de recursos da nuvem é a principal causa de vazamentos de dados e pode causar a exclusão ou modificação de recursos e interrupções de serviço.

Outro fator é a gestão insuficiente de identidades, credenciais, acessos e chaves. A nuvem trouxe uma série de mudanças e desafios relacionados à gestão de identidades e acesso (Identity and Access Management, IAM) e, especialmente, à gestão de acesso privilegiado (Privileged Access Management, PAM), pois credenciais privilegiadas associadas a usuários humanos, bem como aplicativos e identidades de máquina, têm uma força excepcional e são extremamente suscetíveis a comprometimento em ambientes de nuvem. Depois que um invasor obtém credenciais privilegiadas, ele pode ter acesso total a bancos de dados confidenciais ou até mesmo a todo o ambiente de nuvem de uma organização. E eles sabem disso. Muitos ataques recentes cujos alvos são ambientes de IaaS e PaaS exploraram credenciais de baixa segurança, levando ao criptojacking (sequestro de criptografia), vazamentos de dados e destruição de propriedade intelectual e outros dados confidenciais.

Usando métodos de phishing, exploração de vulnerabilidades ou credenciais roubadas, os invasores mal-intencionados procuram maneiras de acessar contas altamente privilegiadas na nuvem, como contas de serviço de nuvem. O sequestro de contas significa comprometimento total: controle da conta, de seus serviços e dos dados nela contidos. O sequestro permite que agentes mal-intencionados possam usar cargas de trabalho na nuvem para criptomineração, roubo dados e ataque a outros alvos. As

consequências desses sequestros podem ser graves, desde interrupções consideráveis da operação e dos negócios até a eliminação completa de recursos e dados da organização.

Ameaças internas

Pessoas mal-intencionadas dentro da empresa podem ser funcionários ou ex-funcionários, contratados ou terceiros de confiança que usam seu acesso privilegiado para afetar negativamente a organização. Como esses funcionários têm acesso legítimo, pode ser extremamente difícil localizar possíveis problemas de segurança, e a correção dos incidentes pode ter um custo elevado.

A nuvem mudou drasticamente a noção sobre privilégio. Agora, até mesmo as credenciais de usuário comuns nos ambientes de nuvem e DevOps podem ter tanto poder de acesso quanto as credenciais de administrador para outros tipos de sistemas. Acrescente a isso uma combinação complexa e altamente dinâmica de máquinas e aplicativos, e a superfície de ataque relacionada aos privilégios aumenta radicalmente.

Controles rígidos de acesso privilegiado ajudam a garantir que pessoas, aplicativos e máquinas tenham apenas os níveis necessários de acesso a aplicativos e a infraestruturas confidenciais para trabalhar, e que as atividades ocorridas no ambiente de nuvem não sejam arriscadas (ou, se forem, os controles de acesso privilegiado permitem que Equipes de SecOps atuem rapidamente).

Como proteger o acesso privilegiado na nuvem

Embora a jornada de cada organização até a nuvem seja diferente, é recomendável impor e manter em toda a empresa políticas uniformes para a gestão do acesso privilegiado. Ninguém quer ter várias ferramentas exclusivas e processos de acesso privilegiado para diversas situações de implementação de nuvem, pois isso cria complexidade operacional.

Apresentamos abaixo quatro tópicos que se destacam como práticas recomendadas de proteção do acesso privilegiado e de identidades para sua infraestrutura e aplicativos na nuvem.

Proteção da conta raiz e do console de gestão da nuvem
Proteção da infraestrutura dinâmica de nuvem da sua organização
Proteção dos aplicativos nativos da nuvem e do pipeline de DevOps
Proteção dos aplicativos SaaS
Seguir essas práticas recomendadas permitirá implantar de maneira uniforme o acesso privilegiado e os controles de gestão de identidade em toda a sua organização, desde a nuvem híbrida à nuvem múltipla

Proteção da conta raiz e do console de gestão da nuvem

Os consoles e portais de gerenciamento de nuvem permitem gerenciar de maneira abrangente os recursos de nuvem de uma organização. O acesso não autorizado ao console de gerenciamento e às contas raízes traz grandes risco, por isso, é fundamental proteger ambos.

Cada provedor de nuvem pública tem contas com privilégios administrativos irrevogáveis, como a conta de usuário raiz da AWS, a função de administrador global do Azure e a conta de superusuário do Google Cloud Platform (GCP). Essas contas não devem ser usadas para tarefas administrativas do dia a dia. Além disso, a autenticação multifatorial (MFA) deve ser exigida para acesso à raiz, e as práticas recomendadas de acesso privilegiado sempre exigem o monitoramento e o registro de todas as sessões em que a conta raiz for usada.

Proteção da infraestrutura dinâmica de nuvem da sua organização

Uma grande vantagem da infraestrutura em nuvem é que novos servidores virtuais, armazenamento, contêineres e outros recursos podem ser distribuídos dinamicamente conforme a necessidade. Cada servidor virtual ou recurso de infraestrutura recebe credenciais privilegiadas quando é iniciado e colocado em operação.

Seja a sua infraestrutura de natureza dinâmica ou estática, a descoberta de todas as entidades privilegiadas com acesso à infraestrutura deve ser realizada, e novas entidades devem ser automaticamente integradas. Isso é especialmente importante conforme seu ambiente se torna mais dinâmico e escalonável, para garantir que o rastreamento e a proteção do acesso a todas as contas sejam eficientes do ponto de vista operacional. Depois de descobrir a infraestrutura essencial atual, a gestão programática por meio de APIs de integração pode ser usada para simplificar o gerenciamento

Como proteger os aplicativos nativos da nuvem e o pipeline de DevOps

Os aplicativos de hoje mudam constantemente. Mesmo sem ter como base as práticas de Integração Contínua/Entrega Contínua (CI/CD), os aplicativos de hoje usam APIs para interconexões dinâmicas com outros aplicativos e recursos. As chaves de acesso de API também são usadas para acionar solicitações programáticas ao ambiente de nuvem, como provisionar um contêiner, ou quando um serviço precisa acessar dados de outro serviço.

Proteja os aplicativos personalizados e seus códigos

Os aplicativos, assim como as pessoas, precisam de credenciais para ter acesso a bancos de dados e outros recursos confidenciais. Entre essas credenciais estão as chaves de acesso de API, amplamente utilizadas pelos aplicativos, e elas devem ser protegidas. O código do aplicativo também pode ser um alvo dos invasores, pois é publicado por desenvolvedores em repositórios públicos no GitHub com segredos incorporados.

Por isso, a prática recomendada exige que se usem menos credenciais codificadas de maneira fixa. Remover todas as credenciais codificadas de maneira fixa é uma prática recomendada fundamental. Nunca conceda a usuários humanos acesso direto às chaves de uma API. Todas as chaves de API devem ser armazenadas num cofre digital protegido e centralizado. Um repositório centralizado permite a implantação de políticas de segurança uniformes em toda a empresa, como o rodízio automático de credenciais.

Os invasores têm usado chaves de acesso, roubadas de endpoints com phishing ou publicadas inadvertidamente em repositórios públicos de código e outras fontes, para roubar dados do cliente de forma destrutiva e excluir o código-fonte e outras propriedades intelectuais, além de causar outros estragos nas organizações.

Proteção dos aplicativos SaaS

Os aplicativos SaaS atualmente são o padrão na maioria das empresas, e podem ser usados para gerenciar quase todos os aspectos das operações internas. Infelizmente, a facilidade com que esses aplicativos podem ser implementados e adotados por usuários ou departamentos individuais (uma vantagem em relação aos aplicativos locais tradicionais) possibilita o surgimento da "Shadow IT" e oferece aos criminosos cibernéticos oportunidades para invasões de segurança. Portanto, numa empresa moderna, é essencial proteger e gerenciar os aplicativos SaaS.

As políticas de segurança devem ser aplicadas de maneira uniforme

Os líderes de TI e segurança devem aplicar políticas de segurança e acesso de maneira uniforme em toda a organização, independentemente da infraestrutura ou do aplicativo selecionado ou da filosofia de desenvolvimento. Isso deve ser feito em escala e acompanhar o ritmo de evolução da organização e de suas cargas de trabalho na nuvem. Só é possível realizar isso a partir de um ponto de controle centralizado que permita o gerenciamento uniforme de contas privilegiadas, identidades humanas e não humanas, dispositivos e segredos em ambientes híbridos e de nuvens múltiplas.


Fonte: TIINSIDE