Por: Bruno Pinheiro dos Santos — EZ/Security
Em nossos últimos artigos (Reestruturando a Segurança de Perímetro e Dados como Centro de uma Estratégia de Segurança de Perímetro), vimos como a definição de políticas de segurança começam com a classificação dos dados e a identificação dos riscos inerentes ao armazenamento e manipulação destes dados. Vimos ainda que, conforme surgem novas tecnologias a visibilidade e exposição destes dados aumenta, o que torna o perímetro a ser protegido muito mais flexível. Neste artigo, aprofundaremos um pouco esta questão, falando sobre os impactos na segurança informação causados pela migração de dados para a nuvem.
Ocorre que muitas empresas que optam por migrar sistemas e rotinas para a nuvem entendem que a nuvem também é uma solução de segurança, e acabam negligenciando as implicações da adoção de um perímetro elástico para a segurança.
Mesmo no caso em que modelos híbridos são escolhidos por organizações, migrando parte dos seus recursos como um “primeiro passo” no uso de tecnologias em nuvem, algumas empresas não percebem que abrir esse canal entre recursos internos e externos requer cuidados especiais.
O documento “Securing the Hybrid Cloud: Tradicional vs. New Tools and Strategies” do Sans Institute dá uma noção do tamanho destes desafios.
Um deles: “[as empresas] enfrentam desafios com visibilidade e atribuição que surgem da tentativa de validar e medir posturas de segurança em ambientes sobre os quais elas têm pouco ou nenhum controle”; outro desafio destacado está em fatores técnicos como uma realidade em que “muitos provedores de APIs e componentes não são interoperáveis, forçando as organizações a manter múltiplas interfaces de gerenciamento e aprender novas habilidades para cada uma delas”.
Esses são apenas dois exemplos que mostram como implementar a segurança em um perímetro elástico é um desafio e tanto, mas ignorá-lo pode trazer sérias consequências. Nos últimos meses, diversos casos de vazamentos de dados salvos em servidores em nuvem mal-configurados foram amplamente divulgados na mídia — inclusive não-especializada.
No mais recente deles, uma empresa parceira da Honda na Índia deixou dois repositórios do Amazon S3 configurados incorretamente por mais de um ano, um erro que teria afetado cerca de 50 mil usuários do aplicativo Honda Connect, usado para gerenciar serviços e manutenção de automóveis. Entre os dados disponíveis estavam nomes, números de telefone e emails dos proprietários, informações que podem ser usadas em ataques e que, no mínimo, podem marcar a imagem da empresa de forma bastante negativa.
Para além das falhas causadas por eventuais erros de configurações de sua responsabilidade, empresas também tem que ficar atentas para falhas nos próprios serviços contratados como mostra um caso de fevereiro de 2017. Na época, um funcionário da AWS acidentalmente digitou um comando nos sistemas S3 que derrubou um grande número de servidores, causando falhas de serviço no leste dos EUA.
Para evitar ser pego de surpresa, o Sans Institute traz uma série de recomendações, entre as quais estão:
- Avaliar itens de configuração e patches de segurança. Especialmente para Sistemas Operacionais, usuários locais e grupos. O Instituto também destaca a importância de verificar permissões de acesso a arquivos e dados sensíveis. E lembra ainda que certas empresas são reguladas por regras definidas por suas indústrias (como bancos, por exemplo) e os padrões definidos nessas regulamentações também devem ser aplicados na nuvem.
- Definir as rotinas de monitoramento de segurança. Este monitoramento pode ser feito em um de uma série de locais: nas máquinas virtuais (VMs), no switch virtual, no hypervisor (responsável pela administração do acesso aos sistemas de hardware na nuvem) ou na rede física. No entanto, as empresas só possuem acesso às VMs ou a ferramentas de acesso à rede fornecidas pelo próprio provedor do serviço. Logs e eventos gerados precisam ser coletados de uma série de instâncias e enviados para uma plataforma centralizada para que possam ser analisados. Entre os eventos passíveis de análise estão: logins suspeitos ou falhas em acessos, uploads ou downloads de tamanho fora do comum, acessos a chaves criptográficas entre outros.
O Sans alerta, no entanto, que, apesar de alguns controles usados atualmente (como sistemas de monitoramento de vulnerabilidades, gerenciamento de configurações, etc) poderem ser adaptados para funcionar em ambientes em nuvem, profissionais de segurança estão despertando para o fato de que existe a necessidade de novos e melhorados controles voltados especificamente para estes ambientes.
“Para tornar as coisas ainda mais complexas, estamos movendo dados para ambientes SaaS e PaaS o mais rápido que podemos e estamos descobrindo que provedores destes serviços nem sempre oferecem muitas (ou sequer algumas) opções de controle de segurança que estamos acostumados a usar. Um novo modelo de implantação de controles de segurança está surgindo, no entanto, e ele é totalmente orientado pelo uso de APIs orientadas pela segurança e desenvolvidas especificamente para ambientes em nuvem”.
Ou seja, para além de decidir quais dados serão migrados e quais controles serão aplicados a estes dados (primeiro passo do Framework de Cibersegurança do NIST), é preciso atentar que tipo de serviço será contratado, e que controles este serviço oferece.
Em resumo, deve haver uma conscientização, tanto por parte das organizações quanto por parte das pessoas, que a migração de dados para a nuvem depende da observância de uma série de controles e cuidados. Não observá-los pode trazer um grande impacto para o negócio.