Skip to content
Cloud Security

Cloud Security: Melhores Práticas

As melhores práticas de cloud security cobrem uma grande variedade de processos que incluem controle sobre pessoas, aplicações e infraestrutura. Quais melhores práticas são importantes para suas estratégias de segurança dependem em parte do modelo de serviço de nuvem que você usa.

Modelos de serviço na nuvem

Serviços de computação na nuvem são agrupados em três tipos, listados abaixo com alguns exemplos.

  • Infrastructure as a service (IaaS) – Azure, AWS, data center virtual
  • Platform as service (PaaS) – Redhat Openshift, Apprenda
  • Software as a service (SaaS)Microsoft 365, Salesforce

Cada modelo aborda um conjunto diferente de requisitos e demanda diferentes medidas de segurança.

Cloud Security Boas Práticas

IaaS

No IaaS, o consumidor é o administrador do sistema. Como Sysadmin, você tem autoridade para provisionar armazenamento acessível na rede, controle de processamento, implementação e executar aplicações e sistemas operacionais. Você pode ter controle limitado sobre a seleção de componentes de rede como host firewall. Entretanto, você não pode gerenciar ou controlar a infraestrutura da nuvem.

Para o IaaS, suas responsabilidades incluem, mas não se limitam a:

  • Governança de dados
  • Proteção de endpoint e cliente
  • Identidade e gerenciamento de acesso
  • Controles a nível de aplicação
  • Controles de rede
  • Testes de segurança

PaaS

Com o PaaS, você controla a plataforma do fabricante da nuvem e executa recursos para desenvolver, testar, implantar e administrar aplicações. Ao contrário do modelo de IaaS, você não pode gerenciar ou controlar a infraestrutura da nuvem, incluindo rede, servidores, sistemas operacionais ou armazenamentos. Mas você pode implementar suas aplicações da nuvem para a infraestrutura PaaS usando linguagens de programação e ferramentas suportadas pelo provedor do PaaS.

Para o PaaS, suas responsabilidades de segurança incluem mas não se limitam a:

SaaS

As aplicações SaaS são acessíveis de dispositivos de cliente usando uma interface como um navegador web. Você é autorizado a utilizar aplicações de software específicas sob demanda e realizar tarefas de gerenciamento de dados como configurar backups e compartilhamento de dados entre usuários. Você tem controle limitado a configurações dos aplicativos específicos dos usuários. Você não tem o direito de gerenciar o controle da infraestrutura na nuvem, incluindo a rede, servidores, sistemas operacionais, serviços de armazenamento e aplicações individuais.

Para o SaaS, suas responsabilidades de segurança incluem, mas não se limitam a:

Modelos de implementação na nuvem

O modelo de implementação descreve a relação entre o provedor da nuvem e o consumidor. A forma na qual você  acessa diferentes tipos de computação na nuvem depende das características do seu negócio e dos tipos de dados que você tem.

Modelos de implementação na nuvem incluem:

  • Nuvem privada – Provisionada exclusivamente para uma única organização, que pode agregar diversos consumidores como unidades do negócio. Uma nuvem privada pode ter dono, ser gerenciada e operada pela organização, uma terceira parte ou uma combinação de ambos. Ele pode existir on-premise nas organizações.
  • Nuvem pública – Provisionada para uso do público geral, onde você compartilha o mesmo hardware, armazenamento e recursos da rede com outras organizações (tenants). Com uma nuvem pública, todo hardware, software e infraestrutura de suporte é de propriedade da provedora de nuvem e gerenciado por ela.
  • Nuvem híbrida – Uma combinação de duas ou mais nuvens privadas e públicas. Cada entidade se mantém única, mas elas são colocadas juntos por um padrão ou tecnologia proprietário que permite a portabilidade de dados e aplicações entre eles.

Gerenciamento de risco na nuvem

Antes de adquirir uma nuvem, o consumidor deve analisar os riscos associados com a adoção da solução baseada em nuvem para o sistema de informação em particular e desenvolver um plano para gerenciar esses riscos. Sua avaliação de risco deve determinar:

  • Os componentes que você deve implementar para assegurar a sua nuvem
  • Os controles que você é responsável por implementar no ambiente
  • Os controles que são de responsabilidade do provedor da nuvem

segurança ti auditoria risco

Melhores práticas de cloud security a nível de infraestrutura

Toda a infraestrutura de hardware deve ser controlada, assegurada e firme.

Leia também:  Cybersecurity em 2022: O Que Esperar

Configuração de auditoria

A configuração de auditoria é sobre garantir que o ambiente na nuvem seja configurado de acordo com as políticas da sua organização ou padrões de conformidade relevantes. Implemente auditorias frequentes para checar sinais de configurações erradas. Configurações impróprias podem te colocar em sério risco de perda de dados. Você pode evitar isso auditado regularmente as configurações da sua:

  • Rede e componentes de rede, como firewalls
  • Permissões

Para garantir que as checagens das configurações sejam realizadas regularmente, automatize elas com uma solução de monitoramento e investigue prontamente e faça a remediação de quaisquer alterações suspeitas no seu ambiente da nuvem.

Prevenção, detecção e resposta a incidente

  • Se defenda contra ataques externos – Aplique proteção de malware avançado contra o IaaS. Analise o perímetro para a exposição de ataques de DDoS contra interfaces da nuvem que apontam para o público.
  • Instale sistemas de prevenção e detecção de intrusão – Em ambientes IaaS, implemente detecção de intrusão nos usuários, redes e camadas de bancos de dados. Nos ambientes PaaS e SaaS, a detecção de intrusão é de responsabilidade do provedor.
  • Permita o monitoramento de tráfego – Alto volume de tráfego pode ser sinal de incidentes de segurança.

 

Melhores práticas de cloud security a nível de aplicação

A nível de aplicação, a segurança operacional é essencial. Reduza os riscos de segurança internos e externos e garanta a segurança das credenciais e dispositivos dos colaboradores.

Gerenciamento de permissões

  • Faça a adesão do princípio de privilégio mínimo – Dê a cada usuário apenas as permissões necessárias para realizarem seus trabalhos
  • Conduza revisões de atribuições regulares e revogue direitos excessivos – Reveja regularmente suas permissões e revogue permissões que os usuários não precisam mais.
  • Monitore alterações não autorizadas – Monitore alterações nos membros dos grupos das suas aplicações na nuvem, especialmente alterações a qualquer grupo que conceda privilégios a nível de administrador. Tenha cuidado com quaisquer permissões que sejam atribuídas diretamente ao invés de serem atribuídas pelos grupos.

Autenticação

  • Torne a autenticação de múltiplo fator (MFA) obrigatória – o MFA reduz o risco de usurpar contas.
  • Monitore atividades de login – Se você ver um pico nas falhas de login, investigue todas as contas envolvidas já que essas contas podem ter sido comprometidas. Configure alertas sobre:
    • Tentativas de login de múltiplos endpoints
    • Várias falhas de login de qualquer conta em um curto período de tempo
    • Um alto número de falhas de login durante um período de tempo específico

Monitoramento de atividade

Aproveite a análise de comportamento de usuário para detectar ações suspeitas. Alterações significativas no comportamento de um usuário ou padrões de acesso podem ser indicadores de uma ameaça de segurança. Em particular:

  • Monitore e registre a atividade dos usuários regularmente para desenvolver baselines.
  • Identifique usuários cujo comportamento deriva do baseline dele ou do baseline do grupo.
  • Monitore compartilhamento de arquivos externos ou não autorizados.

Conteúdo Relacionado: A Detecção e Resposta em Cloud é o elemento que falta na segurança

Melhores práticas de cloud security no nível de dados

Descobrimento e classificação de dados

  • Identifique e classifique seus dados – O descobrimento e classificação de dados examina seus dados e os classifica de acordo com seu valor e sensibilidade. Automatize sua classificação de dados e garanta resultados precisos e confiáveis. Use essa informação para priorizar seus esforços de segurança de dados e configurar os controles e políticas de segurança apropriados.
  • Planeje quais dados estarão na nuvem e como eles serão governados – Tenha certeza que você pode proteger qualquer dado sensível que você armazena na nuvem. Alguns dados podem precisar ficar on premise para cumprir padrões de segurança ou requisitos de conformidade.

Conteúdo Relacionado: Como construir uma política de classificação de dados

Padrões de acesso aos dados

  • Estabeleça o gerenciamento de acesso aos dados – Reveja de forma regular os direitos de acesso, especialmente as permissões aos seus  dados mais sensíveis e revogue quaisquer direitos excessivos. Implemente controles de acesso apropriados para cada tipo de dado que você armazena.
  • Imponha limites em como os dados podem ser compartilhados – Isso ajudará a prevenir compartilhamento de dados públicos de forma acidental ou compartilhamento não autorizado além da sua organização.
  • Monitore e controle download de arquivos – Dê atenção especial a downloads excessivos. Bloqueie download de serviços não-gerenciados. Coloque requisitos para verificação de segurança do dispositivo antes de um download. Automatize a atividade de monitoramento através de todo o ambiente da TI para identificar todas as pessoas que estão fazendo o download, modificando ou compartilhando dados na nuvem.
Leia também:  Infográfico - 98% das instituições educacionais recusaram adicionar novos membros para segurança em cloud

Leia também: A segurança do compartilhamento de arquivos no Office 365

Proteção de dados

  • Estabeleça fluxos de trabalho automatizados de remediação de dados – Invista em uma solução que possa mover dados vulneráveis automaticamente para uma área de quarentena segura.
  • Estabeleça práticas de apagamento seguro de dados – Apague dados duplicados desnecessários ou expirados. A ISO e a NIST recomendam usar o apagamento criptográfico, uma técnica padrão da indústria que torna os dados impossíveis de se ler descartando suas chaves de criptografia. As deleções devem ser auditáveis.
  • Use a criptografia para todos os dados, em movimento e em repouso – Criptografe os seus dados antes de realizar o upload para a nuvem adiciona outra camada de proteção. Proteja as chaves criptográficas com um gerenciamento de chave robusto.
  • Implemente um plano de recuperação de dados – Faça backups regulares de dados e garanta que você tem um plano bem testado para recuperar perda de dados acidental ou deliberada.

Melhores práticas para gerenciamento seguro do serviço da nuvem

O objetivo de gerenciar relações de negócio é permitir interações efetivas entre o provedor da nuvem e o consumidor. Seu foco primário é como os requisitos de segurança e preocupações serão abordados.

Investigue contratos e SLAs

O contrato é a única garantia que você tem de serviço e remediação. Reveja os termos e condições do acordo e garanta que ele cumpra todos os seus requisitos de segurança interna.

Tenha certeza que seu provedor te dê respostas claras sobre os seguintes tópicos:

  • Onde os servidores estão localizados?
  • O cliente tem a permissão de monitorar a conformidade do provedor?

Dentre as condições mais importantes está a diferenciação sobre quem é responsável pelos dados armazenados na nuvem e quem tem autoridade sobre os dados. Apenas 37,9% dos provedores especificam os donos dos dados, não deixando os donos dos dados claros legalmente.

Antes de assinar um contrato, negocie os termos. Se os termos não forem negociáveis, decida se o risco de aceitar tais termos é aceitável. Caso seja, desenvolva alternativas para gerenciar o risco através de processos como criptografia ou monitoramento. Se não, encontre outro provedor que possa oferecer os termos que você requer.

Defina as responsabilidades compartilhadas

Defina as responsabilidades compartilhadas para a segurança cibernética entre você e o seu provedor deixando claro:

  • Quais as responsabilidades do provedor?
  • Quais políticas para armazenamento de dados e deleção o provedor da nuvem tem?
  • Quais ferramentas de segurança são usadas para assegurar os seus dados?
  • Quais auditorias e controles de processo são aplicados do lado do provedor e de quais você deve fazer parte?
  • Como a confidencialidade da manutenção dos dados é organizada?

Determine os padrões de conformidade

Ao assinar um provedor de serviço de nuvem, sua organização ainda é responsável pela conformidade regulatória. É de sua responsabilidade desenvolver aplicações e serviços de conformidade na nuvem e manter a conformidade continuamente.

Provedores de nuvem devem ter total transparência, responsabilidade e cumprir com os padrões estabelecidos. Esses provedores irão mostrar certificações como o SAS 70 type II ou a ISO 27001.

O provedor deve te dar acesso a toda documentação e relatórios com detalhes relevantes ao processo de avaliação:

  • Resultados de auditoria devem ser conduzidos de forma independente e baseados em padrões existentes
  • O provedor é responsável por manter as certificações. Eles devem notificar os consumidores em caso de qualquer mudança de status.

Desenvolva um plano de resposta a incidente e de recuperação de desastre

Crie um plano de resposta a incidentes e resposta a desastres (IRDR) em colaboração com o seu provedor na nuvem. Inclua caminhos de comunicação junto às funções e responsabilidades para responder a cada incidente. E então pratique o plano como se tivesse ocorrido um incidente e/ou desastre.

Seu SLA deve incluir detalhes como:

  • Os dados que o serviço de nuvem oferece em caso de evento de incidente.
  • Como a disponibilidade dos dados será mantida.
  • Uma garantia de que o suporte necessário para efetivar a execução de cada estágio do plano IRDR da empresa.

Para uma detecção rápida, realize monitoramento contínuo. Faça o teste em escala total anualmente e use quaisquer testes adicionais sempre que houver uma alteração significativa na arquitetura.

Garanta a segurança do seu ambiente Microsoft 365 com as soluções Netwrix

  • Identifique precisamente a informação sensível na nuvem e reduza automática a sua exposição
  • Aprimore a segurança enxergando através da estrutura de permissões de sistemas baseados em nuvem e encontrando heranças quebradas
  • Saiba de imediato sobre alterações as configurações e permissões que podem comprometer a segurança
  • Detecte até mesmo as mais inesperadas ameaças com a analise avançada de comportamento de usuário
  • Resolva problemas rapidamente com uma busca de auditoria semelhante a pesquisa do Google

 

Cloud Security Boas Práticas
Cloud Security Boas Práticas Cloud Security Boas Práticas
Cloud Security Boas Práticas Cloud Security Boas Práticas

 

Comente o que achou do artigo