Nos últimos dois anos, iniciativas como Cloud First e o Federal Risk and Authorization Management Program levaram os líderes governamentais de TI a dar as plataformas de nuvem públicas um segundo aspecto. Os provedores desse tipo de nuvem, investiram recursos para garantir que suas ofertas sejam mensuravelmente mais seguras do que costumavam ser. Mesmo assim, as nuvens públicas ainda representam um risco para as agências, que operam sob rígidos regulamentos de privacidade, segurança e conformidade.

Apesar do fato de que muitos provedores de nuvem pública possuem equipes dedicadas a fornecer segurança nas camadas de software-como-serviço, plataforma-como-um-serviço ou infra-estrutura-como-serviço, os profissionais de TI da agência também devem desempenhar seu papel. Suas próprias equipes devem assumir a responsabilidade de garantir a última milha – o estiramento entre a responsabilidade do fornecedor da nuvem e a responsabilidade da agência.

 As equipes de TI da Agência devem considerar o seguinte, ao reforçar a segurança de seus ambientes em nuvem:

SaaS: Defina permissões corretamente

Os provedores de SaaS são responsáveis ​​por garantir suas aplicações, mas cabe aos profissionais federais de TI estabelecer permissões de conteúdo corretamente. Essas permissões variam dependendo da agência, e elas devem ser regularmente verificadas e ajustadas, conforme necessário. Muitos provedores SaaS permitem que os administradores gerenciem permissões de compartilhamento de usuários para que eles possam atingir seu desejado equilíbrio de conveniência e segurança.

Os administradores devem aplicar o “princípio do mínimo de privilégio” configurando as ferramentas SaaS, para que as permissões de leitura e gravação sejam concedidas apenas para aqueles que precisam delas. Por exemplo, os trabalhadores que não têm um bom senso das configurações de segurança de seus documentos baseados na web, podem acabar expondo esse conteúdo a um mundo amplo além dos colaboradores pretendidos. Os privilégios de acesso de leitura excessivamente permissivos podem dar às pessoas erradas acesso a informações confidenciais, como foi o caso no ano passado, quando milhões de informações dos clientes da Dow Jones foram comprometidas . As permissões de gravação aberta podem dar aos usuários mal-intencionados a oportunidade de criar “conteúdo falso”, o que faz com que os usuários legítimos se desconfiam do conteúdo inicialmente válido.

Os administradores de TI devem definir permissões de usuários como as de Goldilocks – não muito apertado, e não muito solto, mas apenas correto – para impedir o uso indevido das permissões de leitura (vazamentos) e de gravação (corrupção de dados ou corrupção que podem levar a desconfiança) .

PaaS: avalie a segurança do contêiner

Os recipientes Linux  se tornam cada vez mais populares devido à sua conveniência e promessa de maior velocidade e flexibilidade, mas a segurança continua sendo uma questão para muitos provedores. Os administradores de TI devem verificar e corrigir imagens de contêiner para garantir que não tenham falhas de segurança conhecidas, ou divergem das linhas de base de segurança de uma agência. Idealmente, eles podem trabalhar com equipes de desenvolvimento usando técnicas de DevOps para automatizar a verificação e correção de segurança nas conexões contínuas de integração e implantação de seus desenvolvedores. Isso evitará que os desenvolvedores sejam abrandados por processos manuais de segurança sempre que desejam empurrar as atualizações de aplicativos para a produção.

Os fornecedores devem ser obrigados a ter transparência sobre o estado de segurança das imagens de contêineres. Os “índices de saúde do recipiente” podem ajudar. Esses repositórios fornecem avaliações diárias e on-demand da segurança das imagens de contêiner do Linux, permitindo que os administradores julguem quais containers são seguros de usar, e quais que contêm vulnerabilidades conhecidas.

IaaS: proteja a plataforma

Os provedores da IaaS são responsáveis ​​por iluminar seu hardware e criar um espaço virtual eficiente e seguro para as máquinas virtuais na nuvem dos clientes. Mas, os administradores da agência devem garantir que seus sistemas operacionais convidados estejam totalmente remendados e compatíveis com as linhas de base de segurança.

Os administradores devem usar as mesmas plataformas de gerenciamento e ferramentas que empregam para verificar e remediar sistemas de infraestrutura física e virtualizada em suas próprias máquinas virtuais da nuvem. Uma plataforma comum pode eliminar a necessidade de equipes separadas qualificadas em diferentes softwares de gerenciamento, ou “administração de cadeira giratória” entre as ferramentas de gerenciamento. As ferramentas unificadas podem oferecer uma visão holística da segurança das agências em sistemas físicos, infraestrutura virtualizada ou a nuvem.

Existem outras medidas de segurança importantes que os administradores podem tomar. Eles devem desligar e, possivelmente, colocar em quarentena, as máquinas virtuais não estão em uso, evitando assim que um invasor inicie uma VM em nuvem não modificada e de baixo valor e, em seguida, se mova lateralmente na infra-estrutura da nuvem para alvos mais lucrativos. O Linux com segurança aprimorada pode impor controles de acesso e políticas de segurança, e o gerenciamento de identidade permite aos profissionais de TI consolidar, minimizar e auditar quem tem acesso administrativo aos seus sistemas. Eles devem impor a autenticação multi-fator para ajudar a garantir que as pessoas são quem eles dizem que são.

Finalmente, os ambientes IaaS devem ser automatizados, tanto quanto possível, para reduzir o potencial de erro humano, resultando em uma melhor segurança. Os administradores podem usar painéis e ferramentas de comando remoto para monitorar facilmente suas infra-estruturas automatizadas e corrigir rapidamente problemas de segurança.

As plataformas públicas de nuvem certamente podem fornecer grandes benefícios desde que, os administradores federais de TI tomem alguma medida de responsabilidade e façam sua parte para proteger seus ambientes.

%d blogueiros gostam disto: