As 23 melhores práticas para segurança na nuvem

Por Fevereiro 15, 2018

Preparar-se para a segurança na nuvem não é mais um luxo, mas um procedimento padrão. Primeiro, você deve considerar e entender os três modelos de computação em nuvem: infraestrutura-como-serviço (IaaS), plataforma-como-serviço (PaaS) e software-como-serviço (SaaS).

  • Com IaaS, a infraestrutura básica é oferecida pelo provedor e os outros componentes e aplicativos são de responsabilidade do contratante. Nesta modalidade, o sistema operacional está disponível, mas o cliente é responsável por instalar, configurar e manter os servidores de aplicativos e a aplicação.
  • Com PaaS, o contratante entra na solução do aplicativo e os outros serviços são de responsabilidade do provedor de serviços. Nesta modalidade, mesmo o servidor de aplicativos está disponível. No entanto, a aplicação e suas vulnerabilidades ocasionais são de responsabilidade do cliente.
  • Com SaaS, cada solução está sob a responsabilidade do provedor de serviços, o que não prejudica o compromisso do proprietário da informação.

Basicamente, a responsabilidade pela segurança da nuvem vai do contratante ao fornecedor, sendo que o modelo SaaS requer um contrato extremamente elaborado. É importante lembrar que, independentemente do modelo, o contratante é sempre o proprietário da informação.

Agora que mapeamos os modelos, as seguir estão recomendações para organizações, considerando uma parceria com um fornecedor externo:

  1. Estabelecer SLAs no contrato, incluindo nos casos de incidentes de segurança

Um detalhe sólido do acordo de nível de serviço (SLA) em seu contrato é extremamente importante, pois o controle vem totalmente das equipes internas de TI e segurança. Se as indisponibilidades de infraestrutura, ataques de negação de serviço distribuídos (DDoS), vulnerabilidades ou outros incidentes de segurança não estiverem estabelecidos no contrato, você não poderá prevenir corretamente penalidades e multas no caso de um incidente de segurança.

  1. Forneça o desenho da arquitetura de segurança

Seu fornecedor deve alinhar com você e detalhar no contrato a arquitetura de segurança usada neste ambiente. O fornecedor pode não necessariamente informar o fabricante, mas deve garantir que haja aspectos como ambientes de segregação de firewall (internet, operador, dados do cartão, etc.), soluções antivírus e de detecção de intrusão.

  1. Tenha proteções especializadas para o perímetro

Segurança tecnológica não se restringe a firewalls. Seu parceiro de negócios, que está disponibilizando as soluções em nuvem, deve estar preparado para proteger o perímetro da maneira mais eficaz possível.

Uma solução de e-mail na nuvem deve ter o seguinte:

  • Antivírus;
  • AntiSpam;
  • Controle de vazamento de informações;
  • Possibilidade de criar regras específicas para o bloqueio, incluindo anexos;
  • Monitoramento de e-mail.

Uma solução de aplicativo na nuvem deve ter o seguinte:

  • Ferramentas de detecção de intrusão;
  • Firewall de aplicativos;
  • Firewall de nova geração;
  • Ferramentas de mitigação de ataque para DDoS;
  • Correlação de log;
  • Rede de entrega de conteúdo.
  1. Mantenha o firewall segregando todas as redes, incluindo operadores e usuários do ambiente de servidor

É importante abordar a segregação para além do perímetro, incluindo servidores de aplicativos e o banco de dados geral, database, informações do cartão de crédito e o ambiente operacional e do servidor.

  1. Segregar funções dentro do provedor

O fornecedor que atua dentro do data center pode não ser a mesma pessoa que opera o sistema. Isso garante que alguém que tenha acesso direto ao equipamento não tenha necessariamente acesso lógico a esse equipamento. Esta medida reduz vários problemas potenciais, como alguém que liga um HD externo e copia informações internas ou acessa diretamente um servidor para manipular seus arquivos de configuração.

  1. Permitir análise de vulnerabilidade e hacking ético

No contrato, o provedor de soluções em nuvem deve permitir análises de vulnerabilidade e correção ética planejada adequadamente para o ambiente. Esse tipo de análise deve ser feito por uma empresa terceirizada contratada pelo fornecedor que você considerou confiável.

  1. Permitir acesso ao log de ambiente e sistemas

É importante alinhar com o provedor para permitir o acesso ao log do ambiente. É necessário ver todo o gerenciamento de rastreabilidade de usuários e perfis de acesso. Isso inclui a criação, alteração e exclusão de perfis e alterações de senha além de registrar quem está executando determinadas transações extremas. Por exemplo, isso pode estar disponível por meio de um portal.

  1. Permitir o uso de ferramentas de correlação e retenção de logs

O provedor deve permitir o uso de coletores de log para enviar as ferramentas de correlação e a retenção de logs que estão dentro de sua empresa (no local). Depois disso, é responsabilidade do correlator atravessar este log com outros logs para identificar possíveis ameaças de segurança.

  1. Tenha uma pessoa de ponto de segurança para servir o contratante durante o período do contrato

O provedor deve ter uma pessoa que seja a ponte entre segurança e o cliente final. Esta pessoa é responsável por gerenciar os pedidos e problemas relacionados à segurança que podem acontecer. Ele ou ela também é responsável por organizar relatórios de segurança para o contratante.

  1. Gerenciar vulnerabilidades, ameaças e riscos alinhados com o contratado

Basicamente, o ciclo de gerenciamento de vulnerabilidades, ameaças e riscos deve ser alinhado com a área de segurança da informação do contratado para que a empresa contratante tenha controle dos riscos de segurança sem ter os olhos vendados. Este é o aspecto mais complicado porque os fornecedores geralmente não se sentem confortáveis compartilhando esta informação. É por isso que as análises de vulnerabilidade e o hacking ético são uma parte essencial da determinação de falhas de segurança.

  1. Compartilhe a Política de continuidade de negócios e o Plano de recuperação de desastre

Neste caso, recomenda-se que o contrato estabeleça como o fornecedor gerencia esses pontos para garantir a continuidade do negócio.

  1. Tenha a Certificação SAS 70 ou similar

O SAS 70 e as novas certificações similares estão relacionadas a datacenters, não necessariamente soluções em nuvem. Embora esse tipo de certificação seja obrigatório para um data center, não é suficiente para verificar outros itens de computação em nuvem.

  1. Detalhe o processo de finalização de operação de negócio no contrato

É importante detalhar no contrato como as informações serão tratadas no caso de o contrato de serviço na nuvem terminar. Deve ser determinado quem é responsável pela exportação e entrega de informações e pela destruição de backups e faixas de dados.

  1. Detalhe o processo de disposição de dados no contrato

Os métodos utilizados para a eliminação de dados, armazenamento do servidor e as fitas de backup relacionadas à empresa devem ser estabelecidos no contrato.

  1. Detalhe o processo para responder aos requisitos legais

Um provedor de serviços na nuvem pode, ocasionalmente, ser legalmente obrigado a fornecer informações, que podem variar de acordo com as leis de cada país. É necessário estabelecer um processo de comunicação com o contratante em casos de requisitos legais em que o contratado seja informado se a entrega de informações é necessária.

  1. Detalhe no contrato o processo de backup e armazenamento de fita

A frequência de backup deve ser acordada e definida no contrato e o armazenamento de backup deve estar em um local seguro.

  1. Detalhe o quanto o ambiente / infraestrutura é compartilhado com outros clientes

Este aspecto precisa ser claramente estabelecido entre as partes e documentado no contrato. Existem várias possibilidades de segregação que podem ocorrer em um ambiente de solução em nuvem, como as seguintes:

  • Infraestrutura compartilhada (firewall, rede, servidores Web) e dados em servidores separados;
  • Infraestrutura e dados em ambientes compartilhados;
  • Dados segregados na lógica de programação (pior caso de cenário), no qual o código do programa define o que será mostrado a cada cliente.

Este é um dos principais pontos de confidencialidade de segurança da nuvem, pois uma vulnerabilidade de código ou infraestrutura pode liberar dados inadequadamente. As possibilidades de segregação de dados devem ser analisadas no caso de vazamento de informação.

  1. Notificar como o controle de vazamento de informação é gerenciado

Suas informações estão em um lugar que é operado por outras pessoas, fora do seu controle. Por isso, é necessário entender e detalhar em seu contrato como o vazamento de informações será gerenciado pelo contratante. Pode ser um ambiente extremamente restritivo no qual os operadores não acessam à Internet ou mídia removível (USB, CD, DVD, etc.) ou em um ambiente com uma solução de prevenção de perda de dados instalada.

  1. Procedimentos detalhados em caso de ataques DDoS

É vital detalhar no contrato como sua prevenção DDoS funciona e como o procedimento de comunicação funciona.

  1. Identifique onde o Centro de Dados da solução atenderá às particularidades legais locais

Basicamente é importante definir no contrato onde os Centros de Dados contendo sua solução estarão. Isso influenciará os requisitos legais que devem ser atendidos de acordo com o país.

  1. Demonstrar o processo de gerenciamento de chaves criptográficas

Esta é uma das partes mais importantes da segurança da computação em nuvem, pois é crucial em relação à confidencialidade dos dados. Os dados devem ser criptografados e as chaves criptográficas devem estar nas mãos dos contratados. Se eles estão nas mãos do contratado, há mais risco de alguém roubar e usá-los.

  1. Controle de acesso

Imagine que sua aplicação está agora fora de sua empresa. Como funciona a questão de gerenciar usuários e perfis de acesso? As opções incluem o gerenciamento por meio de uma interface fornecida pelo contratante ou usando um recurso conhecido como federação.

A federação consiste em uma base de usuários de confiança para fins externos. Por exemplo, o aplicativo da nuvem pode consultar um usuário dentro de sua própria empresa e base de rede. Isso traz uma série de vantagens como o controle dos usuários mais próximos bloqueando facilmente um usuário e possuindo senhas exclusivas.

Outra preocupação relacionada ao controle de acesso é o uso de autenticação forte. Considerando que o serviço estará mais exposto na Internet, o método mais apropriado é fazer o usuário recorrer algo extra além do par de senha e nome de usuário tradicional. Nesse caso, recomenda-se que use uma ou mais das seguintes opções:

  • Token físico;
  • Cartão de senha;
  • Certificado digital;
  • Biometria;
  • Senha por SMS.
  1. Permissão para auditorias externas para segurança em nuvem

Depois que o fornecedor prometeu os tantos itens acima, é hora de considerar no contrato que você, o contratante, pode visitar para realizar auditorias regulares para avaliar o curso dos compromissos relacionados à segurança descritos em seu contrato. Sugere-se que seja feita uma lista de verificação para isso.

Escrito por Alfredo Santos
Ajudando clientes a planejar e executar suas iniciativas estratégicas de transformação digital
LinkedIn: @alfredosantos