Um guia passo-a-passo para as melhores práticas de segurança na nuvem

Fase 1: Compreenda a utilização da nuvem e o risco

A primeira fase da segurança da computação em nuvem está centrada na compreensão do seu estado atual e na avaliação do risco. Utilizando soluções de segurança na nuvem que permitem a monitorização da nuvem, pode realizar os seguintes passos:

1. Passo 1: Identifique os dados sensíveis ou regulamentados.
   A sua maior área de risco é a perda ou roubo de dados que resultará em sanções regulamentares ou perda de propriedade intelectual. Os motores de classificação de dados podem categorizar os seus dados para que possa avaliar totalmente este risco.
2. Passo 2: Compreenda como os dados sensíveis estão a ser acedidos e partilhados. Os dados sensíveis podem ser mantidos em segurança na nuvem, mas tem de monitorizar quem lhes acede e para onde vão. Avalie as permissões em ficheiros e pastas no seu ambiente de nuvem, juntamente com o contexto de acesso, como funções de utilizador, localização do utilizador e tipo de dispositivo.
3. Passo 3: Descubra a TI sombra (utilização desconhecida da nuvem).
   A maioria das pessoas não pergunta à sua equipa de TI antes de se inscrever numa conta de armazenamento na nuvem ou de converter um PDF online. Utilize os registos do seu proxy Web, firewall ou SIEM para descobrir que serviços na nuvem estão a ser utilizados sem que tenha conhecimento e, em seguida, faça uma avaliação do respetivo perfil de risco.
4. Passo 4: Audite as configurações da infraestrutura como serviço (IaaS), como AWS ou Azure.
   Os seus ambientes IaaS contêm dezenas de definições críticas, muitas das quais podem criar uma fraqueza explorável se forem mal configuradas. Comece por auditar as suas configurações de gestão de identidade e acesso, configuração de rede e encriptação.
5. Passo 5: Descubra o comportamento malicioso do utilizador.
   Tanto os funcionários descuidados quanto os invasores de terceiros podem exibir um comportamento que indica o uso mal-intencionado de dados na nuvem. A análise do comportamento do utilizador (UBA) pode monitorizar anomalias e mitigar a perda de dados interna e externa.

Fase 2: Proteja a sua nuvem

Depois de compreender a sua postura de risco de segurança na nuvem, pode aplicar estrategicamente a proteção aos seus serviços na nuvem de acordo com o respetivo nível de risco. Existem várias tecnologias de segurança na nuvem que podem ajudá-lo a realizar as seguintes práticas recomendadas:

1. Passo 1: Aplique políticas de proteção de dados.
   Com os seus dados agora classificados como confidenciais ou regulamentados, pode atribuir políticas que regem os dados que podem ser armazenados na nuvem, colocar em quarentena ou remover dados confidenciais encontrados na nuvem e orientar os utilizadores se cometerem um erro e violarem uma das suas políticas.
2. Passo 2: Encripte os dados sensíveis com as suas próprias chaves.
   A encriptação disponível num serviço de nuvem protegerá os seus dados de terceiros, mas o fornecedor do serviço de nuvem continuará a ter acesso às suas chaves de encriptação. Em vez disso, encripte os seus dados utilizando as suas próprias chaves, para que possa controlar totalmente o acesso. Os utilizadores podem continuar a trabalhar com os dados sem interrupção.
3. Passo 3: Defina limitações sobre a forma como os dados são partilhados.
   A partir do momento em que os dados entram na nuvem, aplique as suas políticas de controlo de acesso em um ou vários serviços. Comece com acções como definir utilizadores ou grupos como visualizadores ou editores e controlar que informações podem ser partilhadas externamente através de ligações partilhadas.
4. Passo 4: Impeça a transferência de dados para dispositivos não geridos que desconhece.
   Os serviços na nuvem fornecem acesso a partir de qualquer lugar com uma ligação à Internet, mas o acesso a partir de dispositivos não geridos, como um telemóvel pessoal, cria um ponto cego na sua postura de segurança. Bloqueie os downloads para dispositivos não geridos, exigindo a verificação de segurança do dispositivo antes de efetuar o download.
5. Passo 5: Aplique proteção avançada contra malware à infraestrutura como serviço (IaaS), como o AWS ou o Azure.
   Em ambientes IaaS, é responsável pela segurança dos seus sistemas operativos, aplicações e tráfego de rede. A tecnologia antimalware pode ser aplicada ao sistema operativo e à rede virtual para proteger a sua infraestrutura. Implemente listas brancas de aplicações e prevenção de exploração de memória para cargas de trabalho de finalidade única e proteção baseada em aprendizagem automática para cargas de trabalho de finalidade geral e armazenamentos de ficheiros.

Fase 3: Responda aos problemas de segurança da nuvem

À medida que os seus serviços na nuvem são acedidos e utilizados, haverá incidentes que requerem uma resposta automatizada ou orientada numa base regular, tal como qualquer outro ambiente de TI. Siga estas práticas recomendadas para iniciar a sua prática de resposta a incidentes de segurança na nuvem:

1. Passo 1: Exija uma verificação adicional para cenários de acesso de alto risco.
   Se um utilizador estiver a aceder a dados sensíveis num serviço em nuvem a partir de um novo dispositivo, por exemplo, exija automaticamente a autenticação de dois factores para provar a sua identidade.
2. Etapa 2: Ajuste as políticas de acesso à nuvem à medida que novos serviços forem surgindo.
   Não pode prever todos os serviços em nuvem que serão acedidos, mas pode atualizar automaticamente as políticas de acesso à Web, como as aplicadas por um secure web gateway, com informações sobre o perfil de risco de um serviço em nuvem para bloquear o acesso ou apresentar uma mensagem de aviso. Faça isso por meio da integração de um banco de dados de risco de nuvem com seu secure web gateway ou firewall.
3. Passo 3: Remova o malware de um serviço de nuvem.
   É possível que o malware comprometa uma pasta partilhada que sincroniza automaticamente com um serviço de armazenamento na nuvem, replicando o malware na nuvem sem a ação do utilizador. Analise os seus ficheiros no armazenamento em nuvem com anti-malware para evitar ataques de ransomware ou roubo de dados.

À medida que os serviços na nuvem evoluem, o mesmo acontece com os desafios e ameaças que enfrenta ao utilizá-los. Mantenha-se sempre a par das actualizações das funcionalidades dos fornecedores de serviços em nuvem que envolvam segurança, para que possa ajustar as suas políticas em conformidade. Os fornecedores de segurança também ajustarão os seus modelos de inteligência contra ameaças e de aprendizagem automática para se manterem actualizados. Nas fases e práticas recomendadas acima, várias tecnologias-chave podem ser usadas para realizar cada etapa, muitas vezes trabalhando em conjunto com os recursos de segurança nativos dos provedores de nuvem.

1. Cloud Access Security Broker (CASB):
   Protege os dados na nuvem através de data loss prevention, controlo de acesso e análise do comportamento do utilizador. O CASB é usado adicionalmente para monitorar as configurações de IaaS e descobrir a TI invisível.
2. Proteção de carga de trabalho na nuvem:
   Descobre cargas de trabalho e contentores, aplica proteção contra malware e simplifica a gestão da segurança em ambientes IaaS.
3. Segurança de rede virtual:
   Analisa o tráfego de rede que se move entre as instâncias virtuais mantidas em ambientes IaaS, juntamente com os seus pontos de entrada e saída.