Segurança na nuvem: transformando suposições falsas em garantias com a Illumio

Em nossa postagem anterior no blog, expliquei em alto nível por que foi um erro ignorar os riscos de uma segurança inadequada na nuvem. E apresentei duas suposições falsas que muitas organizações fazem ao adotar serviços em nuvem para apoiar seus negócios.

Neste post, examinaremos mais três suposições e como você pode aproveitar facilmente o poder do Illumio CloudSecure para melhorar a visibilidade e o controle nativos da nuvem.

Suposição #3: Os serviços em nuvem são isolados da Internet.

Para ajudar os clientes a aproveitar ao máximo seus investimentos, os fornecedores de nuvem fornecem recursos de infraestrutura como serviço (IaaS) e plataforma como serviço (PaaS). Isso pode incluir máquinas virtuais, contêineres, funções sem servidor e bancos de dados gerenciados na nuvem.

Mas esses serviços em nuvem podem ser abertos à Internet, geralmente por padrão. Portanto, eles podem ser pontos de entrada para uma possível violação. Limitar seu acesso é responsabilidade do cliente, não do provedor de nuvem. Lembre-se de que a nuvem não é “menos privilegiada” por padrão. Em vez disso, ele opera com base em “privilégios excessivos”. Isso significa que você precisa determinar quais recursos podem se comunicar entre si e bloquear todo o resto.

Sem visibilidade de quais aplicativos estão na nuvem e o que está se comunicando com eles, você pode hospedar recursos essenciais na nuvem sem controles adequados. Isso é especialmente perigoso se você tiver cargas de trabalho e funções de processo na nuvem pública expostas aos recursos internos do data center.

Para garantir uma boa segurança na nuvem, você deve entender os caminhos de comunicação entre suas cargas de trabalho na nuvem e no local. Assim como você faz com o data center, você precisa saber exatamente o que está conectado à Internet. Então, você deve garantir que essas conexões não se tornem caminhos para hackers ou malwares entrarem na sua rede.

Suposição #4: Não há limites para escalar serviços em nuvem.

Do ponto de vista da segurança, nuvens públicas como AWS e Microsoft Azure limitam o número de segmentos que podem ser criados para gerenciar a segurança. Isso impede que você obtenha um controle refinado de seus aplicativos e dados na nuvem.

A resposta dos provedores de nuvem à segmentação é o segmento de rede virtual — no caso da Amazon, a Virtual Private Cloud (VPC) e, no caso da Microsoft, a Azure Virtual Network (VNet). Para esses ambientes, os grupos de segurança criam o perímetro dentro e fora do segmento.

Mas o número de grupos de segurança que podem existir em um segmento de rede virtual é limitado. Se você precisar de mais do que o limite, deverá usar vários hosts em um segmento. Mas, para escalar com eficiência, cada segmento deve ter apenas um host.

Vários hosts em um segmento geram mais complexidade de gerenciamento e maior risco de segurança. Se um host for violado, você não quer que ele fale com (e possivelmente infecte) outro host. Para escalar, você precisará de ajuda adicional além da que seus provedores de nuvem oferecem para segmentar o acesso. Caso contrário, você enfrentará os mesmos problemas que as organizações enfrentaram com a segmentação tradicional de data centers: pouca visibilidade, gerenciamento complexo de políticas e a necessidade de “reconectar” manualmente as configurações de rede e os firewalls.

Suposição #5: Depois de garantir uma carga de trabalho, seu trabalho estará concluído.

Quando as pessoas pensam em segurança da carga de trabalho, muitas assumem erroneamente que suas cargas de trabalho permanecem em um só lugar. Mas na nuvem, suas cargas de trabalho podem se mover por várias nuvens públicas, cada uma com seu próprio modelo de política. Quando isso ocorre, é improvável que os segmentos de segurança compartilhem os mesmos controles de segurança. E mesmo que isso aconteça, sua equipe de segurança deve monitorar constantemente esse movimento para garantir que as cargas de trabalho sejam protegidas pela política apropriada.

Todos os recursos computacionais, recursos sem servidor e objetos na nuvem são dinâmicos. À medida que esses recursos e objetos de nuvem se movem, seus IPs também mudam. Eles podem mudar o local onde residem em uma nuvem pública. Eles também podem se mover entre vários provedores de nuvem. Eles podem até “morrer”, apenas para voltar à vida com um novo endereço IP.

Como resultado, você não pode mais escrever políticas usando uma abordagem tradicional. Em vez disso, examine suas cargas de trabalho na nuvem para entender como os componentes do aplicativo se comunicam entre si. Depois de ter uma visão clara do comportamento do seu aplicativo, você pode escrever políticas de fiscalização apropriadas.

A principal conclusão é que todos os aplicativos em nuvem, independentemente de onde estejam ou dos recursos associados que usem, devem ser protegidos com a mesma diligência que qualquer aplicativo executado em um servidor em um data center tradicional.

A segurança é um importante facilitador de negócios para a nuvem

À medida que organizações grandes e pequenas migram ou consideram transferir mais cargas de trabalho para a nuvem, o que as motiva? A velocidade, a flexibilidade e a escala que a nuvem oferece. No entanto, a segurança — a “criança órfã” — geralmente não faz parte das discussões sobre a migração para a nuvem. Por quê? Porque a segurança é considerada um “complicador de negócios”, não um acelerador de negócios.

Mas o planejamento de segurança deve ser parte de qualquer esforço de migração para a nuvem, não uma reflexão tardia. O CloudSecure monitora e protege continuamente aplicativos, máquinas virtuais e contêineres nativos da nuvem, bem como a infraestrutura sem servidor, PaaS e IaaS. Assim, você pode adotar a nuvem com confiança.

Saiba mais sobre como criar uma segurança mais forte para seus ambientes híbridos e multinuvem: 

• Assista à demonstração para ver o Illumio CloudSecure em ação.
• Leia o resumo do produto. 
• Baixe o Gartner Hype Cycle para Zero TrustNetworking 2023.