Proteger os dados e operações na nuvem é um desafio. Mas muitos desastres de Segurança poderiam ser evitados com dicas simples, sem criar funis para o time de tecnologia e abrindo espaço para a inovação.
A computação em nuvem já é a realidade da grande maioria das empresas no mundo. De baixo custo operacional, alta confiabilidade garantindo a disponibilidade de um serviço e um gerenciamento relativamente simples, a Cloud parece não ter defeitos. Uma pesquisa do Gartner diz que até o ano que vem, 75% de todos os bancos de dados já estarão na nuvem.
Esse número não surpreende founders e CTOs de startups, que há anos já dependem de plataformas como AWS, Azure, Google Cloud e tantas outras.
Os desafios da Segurança das Informações na Nuvem
Quando o assunto em questão é Cloud, é preciso redobrar os cuidados. Ambientes de Cloud são altamente complexos e dinâmicos, aumentando potencialmente o nível de exposição de uma empresa a ciberataques. Serviços mal configurados e um gerenciamento fraco de acessos e identidades são algumas das vulnerabilidades mais comuns exploradas por atacantes para ganhar acesso não autorizado aos dados de uma organização.
Enquanto isso, um estudo da IBM mostra que criminosos nunca estiveram mais focados na tecnologia. Afinal, o armazenamento de todos os dados críticos das empresas foi confiado a estes provedores. Ainda que o roubo de dados seja a principal ameaça, a criatividade dos ataques vai desde usar a Cloud do alvo para mineração ilegal de cripto moedas até o sequestro dos dados em troca de resgates milionários via ransomware. Importante lembrar que quando a sua empresa tem dados na nuvem, a responsabilidade por eles é inteiramente da sua organização. Estar na Cloud não significa estar seguro de forma automática. É necessário pensar em uma arquitetura de sistemas que seja segura e mantenha os dados protegidos - isso também é responsabilidade da sua organização, e não do provedor.
É possível proteger o negócio sem engessar os processos?
É aqui que pegamos em um nervo. Para a proteção da Nuvem, é claro que o ideal é um time dedicado para Segurança, incluindo especialistas em Cloud Security. Mas e quem não possui esse time, ou mesmo budget e tempo escassos? A tarefa por muitas vezes acaba recaindo sobre o time de Infra, DevOps e SRE.
Pé no chão e cabeça na Nuvem
É possível, sim, cobrir o perímetro de segurança para a Nuvem com os recursos à mão, evitando criar um funil para o time de Tecnologia, e sem depender de um especialista o tempo todo. A checklist abaixo visa agilizar seus processos sem correr riscos desnecessários, com algumas das melhores práticas de Segurança em Cloud.
1. Monitoramento constante da sua superfície de exposição na Nuvem Seus ativos são a base do seu negócio. Neles estão os dados que regem o valor comercial de uma organização: dados relacionados ao produto, dados dos clientes, segredos de negócio, além de protocolos de integração com outros bancos de dados. A velocidade exigida nos ciclos de DevOps e a demanda constante por evolução de produtos digitais com a criação de novos serviços potencialmente aumenta a superfície de exposição de uma empresa, termo que se refere à soma de todos os riscos de cibersegurança que expõem o seu negócio. É por isso que a dica número 1 é monitorar constantemente os ativos. A Unxpose não só monitora os ativos de forma contínua, como também busca por vulnerabilidades pertinentes ao negócio e seus processos, baseando-se sempre nas ameaças mais recentes. O serviço acaba até mesmo tirando uma carga onerosa de trabalho da equipe, servindo como um braço extra.
2. Nada de configurações padrão!
Pode parecer uma dica óbvia e até mesmo batida, mas manter configurações padrão
do provedor da Cloud ainda é o maior erro de muitos negócios. Para se ter uma ideia, em diversos provedores de nuvem, quando você cria um novo workload, ele fica automaticamente exposto na internet. Por causa disso, mais de 35% de todas essas cargas do AWS, Azure e GCP estão expostas à internet de forma completamente pública. E ainda, 8,3% destas usam servidores RDP (Remote Desktop Protocol) expostos - um dos vetores mais populares de ataques de criminosos.
3. Security by Design: Segurança em primeiro lugar
Cultivar Segurança como uma cultura da empresa, existente desde o início de todos os seus processos (seja de Desenvolvimento com DevSecOps, sejam organizacionais, sejam processos jurídicos), é o que os líderes de Tecnologia e Segurança recomendam. Isso significa que a Segurança será implementada com o início de qualquer projeto, e não às pressas, em desespero, depois de um incidente ou mesmo em produção.
4. Acessos e Autenticação
Dos 97% de aplicações inseguras citadas no item anterior e usadas sem o conhecimento das áreas de TI e Segurança, a maioria delas possui permissões de acesso à nuvem, podendo gerenciar arquivos, dentre outros perigos. Em se tratando de aplicações que rodam na nuvem, o ideal é conceder o mínimo de privilégio para uma aplicação funcionar e manter aplicações de uso interno da empresa acessíveis apenas através de VPN. Uma boa conduta é evitar ou restringir a concessão de acesso administrativo para funcionários e não utilizar a conta root.
5. Criptografando os Dados
Criptografar corretamente os dados trafegados e armazenados na Nuvem é uma outra precaução contra vazamentos, acessos não autorizados e até mesmo contra roubo de informação, sendo os dados acessíveis apenas àqueles que possuem sua chave. Habilite e torne obrigatória a criptografia em trânsito (in transit) e em repouso (at rest) em discos e bancos de dados.
6. Backups
Mantenha uma rotina de backup automático de todos os servidores e de todos os bancos de dados da Cloud. E importante: não adianta criar uma rotina de backups e não testar se ela funciona. Você pode ter uma surpresa muito ruim no dia que precisar restaurar os backups. Atente-se especialmente a arquivos críticos, como planilhas, bancos de dados, arquivos financeiros, informações de recursos humanos, dados de pagáveis e recebíveis. Sua empresa é baseada em dados, guarde-os bem.
7. Busque parceiros para te ajudar Nem todo mundo no seu time precisa ser especialista em Cloud, busque ajuda e não tente desenvolver soluções de segurança interna. Seguramente alguém já automatizou para você. Foco total no crescimento da empresa.
Conte com a Unxpose para monitorar a sua Cloud de forma contínua e automatizada, incluindo serviços que não deveriam estar expostos. Com a solução você também verifica boas práticas que não são utilizadas de forma didática e simples.
Conte com a Unxpose para automatizar a proteção digital do seu negócio. Unxpose é uma solução de cibersegurança que monitora, identifica e corrige falhas de segurança e vazamento de dados de forma automatizada e contínua. A solução cuida da segurança da sua empresa enquanto você faz ela crescer.
Comments