A falsa sensação de segurança: 10 controles que podem estar faltando em sua arquitetura de nuvem

Por: Shawna McAlearney

A falsa sensação de segurança: 10 controles que podem estar faltando em sua arquitetura de nuvem. Serviços de nuvem oferecem inúmeros benefícios de custo, eficiência do negócio e vantagens competitivas para as organizações de todos os tamanhos. Apesar dos avanços, a nuvem permanece vulnerável a uma série de questões de segurança, mais particularmente violações de dados e ataques de negação de serviço. Felizmente, podem ser tomadas medidas para definir uma base para uma implementação de “zero-trust‘.

Predrag “Pez” Zivic, CISSP, discutiu recentemente 10 controles para uma arquitetura forte de segurança. Eles são a identificação, autenticação, autorização, vulnerabilidade, antivírus, detecção de ameaças persistentes avançadas, negação de serviço e proteção de dados, a visibilidade com análise de dados e automação do sistema de segurança.

Estas são as coisas que você precisa para atribuir aos seus usuários, aplicativos e dados”, Zivic disse em um webcast do (ISC)² . “Se o usuário se move de um lugar para outro, o serviço de segurança segue. Se o aplicativo mode, os serviços de segurança deverão segui-lo. Se eu preciso mover os dados, os serviços de segurança deverão segui-lo. Os serviços de segurança tem que seguir a informação, a aplicação, ou o serviço e o usuário “.

Identificação

Como você identifica os seus dados? Como você sabe que seus dados estão seguros? “Você pode colocar algum tipo de esteganografia nos dados”, disse Zivic. “Isso pode ser excessivo, mas para certas informações críticas, pode ser algo que você precise olhar quando da implementação do aplicativo na nuvem.

Autenticação

As senhas não são mais suficientes para autenticação do usuário. Zivic recomenda o uso de CASBs, Tokens, OTP, OAuth, OpenAM e FIDO, etc. Para autenticar aplicações, ele sugere o uso de serviços de “cloud built-in IAM”  , certificados e Kerberos. E para os dados, certificados, esteganografia e “code words”.

Autorização

Classificar os dados para autorização e definir quais aplicativos podem acessar quais tipos de informação que você armazena na nuvem. Em seguida, delinear o acesso do usuário às funções da aplicação e aos dados. Isto irá criar uma matriz personalizada para as necessidades da sua organização. Zivic defende fortemente o controle de acesso obrigatório. “As pessoas podem dizer que é impossível, porque elas têm que definir tudo”, disse ele, “mas na nuvem você normalmente implanta aplicativos que são baseados em micro-serviços.

A autorização deve ser aplicada a cada sessão, a cada usuário, a cada vez. Algumas ferramentas de autorização podem ser integradas facilmente, disse Zivic, incluindo OpenAM, Shiro, OAuth 2.0 e AWS nativo.

Vulnerabilidades

Concentre-se em vulnerabilidades de aplicativos; certifique-se de implementar varreduras automatizadas. Bloqueie! Não basta alerta. Lembre-se de corrigir. E considere as vulnerabilidades de dados e que tipo de informações os dados expõe. Será que seus dados mostram a estrutura do seu banco de dados? Essa é uma vulnerabilidade. Se os dados mostram como você trata o acesso, essa é uma vulnerabilidade. Ferramentas de código aberto que podem ajudar incluem:

  • ModSecurity
  • ferro Bee
  • Naxsi
  • WebKnight
  • SDaemon
  • Suricata
  • bufar
  • Bro IDS
  • AJUDA
  • Tripwire
  • Security Onion

Antivírus (e Anti-malware, ransomware) 

Zivic recomenda aplicação do código de inspecções, verificações e atualizações. Proteção de arquivos é extremamente importante; bloquear arquivos e inspecionar aqueles com muitas camadas de compressão. Use um serviço de nuvem sandbox de examinar documentos, links e solicitações de DNS. Para monitorar use análise comportamental de usuário e use a informação para definir políticas. Ele também sugere o uso de WAF, um sistema de prevenção de intrusão avançado e um next generation firewall. As mesmas ferramentas de código aberto sugerido para gerenciar vulnerabilidades também ajudam a bloquear malware.

Advanced Persistent Threat Detection (APT) e ataques Zero-day 

Use cloud-based deception e/ou sandbox threat intelligence. Verifique Arquivos- todos os arquivos -seja compactados ou criptografados. Verifique os links desconhecidos, scripts, padrões e comunicações desconhecidas. Criar assinaturas automáticas. Por exemplo, diz Zivic, “se você tiver a capacidade de negar o serviço para o diretório / bin, não importa se um invasor tenta usar essa vulnerabilidade porque não podem ter acesso quando você bloqueia isto.”

Negação de serviço

Muitas pessoas não consideram a ameaças de negação de serviço. Zivic observou quatro tipos diferentes no webcast: volumetria, vulnerabilidade, memória e computacional. Para volumetria, você deve implementar um serviço DoS nuvem; para a memória, monitorar conexões de aplicativos ociosos; e para computacional, observar usuários solicitando várias sessões, que podem causar uma avalanche em background nos micro-serviços. Para DoS baseada em vulnerabilidades, consulte a seção Vulnerabilidade acima.

Proteção de dados

Registrar todas as ações e todos os eventos, além de seus logs de auditoria, e coletá-los em um local centralizado para análise e correlação de eventos. Aplicar Inteligência Artificial (AI). criptografar os dados em trânsito e armazenados.

Um ponto importante para a nuvem: Uma chave maior não é igual a maior segurança”, disse Zivic. “Chave de 256 simétrica e RSA 2048 assimétrica ou ECXXX 256 são suficientes.” Apesar de que fazer um rollover de chave não ser uma tarefa simples, ele diz que é vital mudar as chaves, pelo menos, a cada três semanas. Use a criptografia de nuvem nativa do AWS ou construa seu próprio serviço. Ele também sugeriu olhar soluções open source de SIEM para construir algo que você possa controlar. Isto inclui SIEMonster, OSSIM e ElasticSearch.

Visibilidade Com Analytics

Você pode criar sua própria inteligência artificial e implementar aprendizagem de máquina em cima de seus dados. Ou seja,  construir recursos distribuídos em cima de dados distribuídos, que você consegue a partir dos registros de log em todas as suas aplicações dentro da nuvem. Ferramentas de AI que Zivic recomenda incluem:

  • OpenAI
  • Apache PredictionIO
  • Apache Mahout
  • Opennn (C ++)

Automação dos Sistemas de Segurança

Esforços que você coloca nesta frente pode ajudá-lo a colher benefícios inesperados. Mapeando suas ferramentas de segurança com as suas informações de log, aumentará a sua segurança na nuvem. Por exemplo, se você estiver executando os mesmos serviços em uma nuvem privada e em uma nuvem pública, você pode aplicar AI para aprender como um serviço em particular se comporta em uma nuvem pública versus em uma nuvem privada, e depois correlacionar.

Com tantos vetores para proteger, Zivic defende os serviços que são automatizados, distribuído, stateless e escalável; declarativo versus imperativo; ágil e de fácil acesso; plug-in-like e dinâmico. “É como controles ‘cherry-picking’ aplicados a uma carga de trabalho. É muito importante que sempre que a carga de trabalho se move, esses serviços se movam também “, concluiu. “Você vai perder em segurança na nuvem, se você não se concentrar na construção de serviços ágeis, distribuídos, Stateles e dinâmicos.

Shawna McAlearney é um escritor freelance baseado em Las Vegas e ex-colaborador do Cloud Security Insights.

 

Fonte : (ISC)² Cloud Security Insights  
Por Shawna McAlearney 

Veja também:

About mindsecblog 2776 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Vem aí o Security Day - principal evento do curso Superior de Tecnologia em SI da FATEC

Deixe sua opinião!