A infraestrutura como serviço (IaaS) fornece recursos de computação virtualizados, redes virtuais, armazenamento virtual e máquinas virtuais acessíveis através da Internet. Os serviços de infra-estruturas mais populares incluem o Elastic Compute (EC2) da Amazon, o Google Compute Engine e o Microsoft Azure.
A utilização de IaaS está a aumentar devido ao baixo custo inicial. As organizações que utilizam serviços de infraestrutura não precisam de comprar ou manter hardware. Isto torna o IaaS apelativo para organizações de todas as dimensões.
A IaaS também é mais escalável e flexível do que o hardware. A infraestrutura de nuvem pode ser expandida a pedido e reduzida novamente quando já não for necessária. Este nível de escalabilidade não é possível com hardware no local.
No entanto, o IaaS pode ser um alvo para ciberataques que tentam sequestrar recursos de IaaS para lançar ataques de negação de serviço, executar botnets ou minerar criptomoedas. Os recursos de armazenamento e as bases de dados são um alvo frequente para a exfiltração de dados em muitas violações de dados. Além disso, os atacantes que se infiltram com sucesso nos serviços de infraestrutura de uma organização podem depois aproveitar essas contas para obter acesso a outras partes da arquitetura da empresa.
Como proteger a IaaS
Os clientes de IaaS são responsáveis pela segurança dos seus dados, acesso de utilizadores, aplicações, sistemas operativos e tráfego de rede virtual. As organizações cometem frequentemente os seguintes erros quando utilizam IaaS:
Dados não encriptados: Em ambientes híbridos e multi-nuvem, os dados se movem entre recursos locais e baseados em nuvem, e entre diferentes aplicativos de nuvem. A encriptação é essencial para proteger os dados contra roubo ou acesso não autorizado. Uma organização pode encriptar os dados no local, antes de irem para a nuvem, ou na nuvem. Pode utilizar as suas próprias chaves de encriptação ou a encriptação do fornecedor de IaaS. Um departamento de TI também pode querer encriptar os dados em trânsito. Muitos regulamentos governamentais e industriais exigem que os dados confidenciais sejam encriptados em todos os momentos, tanto em repouso como em movimento.
Erros de configuração: Uma causa comum de incidentes de segurança na nuvem é a configuração incorrecta dos recursos da nuvem. O fornecedor de serviços de nuvem pode oferecer ferramentas para proteger os seus recursos, mas o profissional de TI é responsável pela utilização correcta das ferramentas. Exemplos de erros comuns incluem:
- Portas de entrada ou de saída configuradas incorretamente
- Autenticação multi-fator não activada
- Encriptação de dados desactivada
- Acesso ao armazenamento aberto à Internet
Serviços sombra: As contas de nuvem sombra ou desonestas são mais comuns em soluções de software como serviço (SaaS), mas também podem ocorrer em IaaS. Quando os funcionários precisam de aprovisionar uma aplicação ou um recurso, podem utilizar um fornecedor de serviços na nuvem sem informar o departamento de TI. Para proteger os dados nestes serviços, as TI têm de identificar primeiro os serviços e os utilizadores através de uma auditoria. Para fazer isso, a TI pode usar um cloud access security broker (CASB).
Serviços sombra: As contas de nuvem sombra ou desonestas são mais comuns em soluções de software como serviço (SaaS), mas também podem ocorrer em IaaS. Quando os funcionários precisam de aprovisionar uma aplicação ou um recurso, podem utilizar um fornecedor de serviços na nuvem sem informar o departamento de TI. Para proteger os dados nestes serviços, as TI têm de identificar primeiro os serviços e os utilizadores através de uma auditoria. Para fazer isso, a TI pode usar um cloud access security broker (CASB).
Soluções para segurança IaaS
Muitas organizações utilizam ambientes multi-nuvem, com serviços IaaS, PaaS e SaaS de diferentes fornecedores. Os ambientes multi-nuvem estão a tornar-se mais comuns, mas também podem causar desafios de segurança. As soluções tradicionais de segurança empresarial não foram criadas para serviços em nuvem, que estão fora do firewall da organização. Os serviços de infraestrutura virtual (como máquinas virtuais, armazenamento virtual e redes virtuais) requerem soluções de segurança especificamente concebidas para um ambiente de nuvem.
Quatro soluções importantes para a segurança IaaS são: corretores de segurança de acesso à nuvem, plataformas de proteção de cargas de trabalho na nuvem, plataformas de segurança de redes virtuais e gestão da postura de segurança na nuvem.
- Cloud access security broker (CASB), também conhecido como gateway de segurança na nuvem (CSG): Os CASBs fornecem visibilidade e controlo sobre os recursos da nuvem, incluindo monitorização da atividade do utilizador, monitorização de IaaS, deteção de malware na nuvem, data loss prevention e encriptação. Podem integrar-se com firewalls e APIs de plataformas de nuvem, bem como monitorizar IaaS para detetar configurações incorrectas e dados desprotegidos no armazenamento em nuvem. Os CASBs fornecem auditoria e monitoramento de definições e configurações de segurança, permissões de acesso a arquivos e contas comprometidas. Um CASB também pode incluir monitorização e segurança da carga de trabalho.
- Plataformas de proteção de cargas de trabalho na nuvem (CWPP): As CWPPs descobrem cargas de trabalho e contentores, aplicam proteção contra malware e gerem instâncias de carga de trabalho e contentores que, se não forem geridos, podem fornecer a um cibercriminoso um caminho para o ambiente IaaS.
- Plataformas de segurança de rede virtual (VNSP): As soluções VNSP analisam o tráfego de rede que se desloca de norte a sul e de leste a oeste entre instâncias virtuais em ambientes IaaS. Incluem deteção e prevenção de intrusões na rede para proteger os recursos virtuais.
- Gerenciamento da postura de segurança na nuvem (CSPM): Um gestor de postura de segurança na nuvem audita os ambientes de nuvem IaaS em busca de problemas de segurança e conformidade, além de fornecer correção manual ou automatizada. Cada vez mais, os CASBs estão adicionando a funcionalidade CSPM.
Considerações sobre o fornecedor de IaaS
Os fornecedores de IaaS são responsáveis pelos controlos que protegem os seus servidores e dados subjacentes. Os gestores de TI podem avaliar os fornecedores de IaaS com base nas seguintes características:
- Permissões de acesso físico: Um fornecedor de IaaS é responsável pela implementação de controlos de acesso seguros às instalações físicas, aos sistemas de TI e aos serviços de nuvem.
- Auditorias de conformidade: Os gestores de TI podem solicitar provas de conformidade (auditorias e certificações) com os regulamentos relevantes, como as leis de segurança das informações de saúde ou os requisitos de privacidade para os dados financeiros dos consumidores.
- Ferramentas de monitorização e registo: Um fornecedor de IaaS pode oferecer ferramentas para monitorizar, registar e gerir os recursos da nuvem.
- Especificações e manutenção do hardware: O hardware que sustenta os serviços de infraestrutura de nuvem tem impacto no desempenho desses serviços. Uma organização de TI pode solicitar as especificações de hardware do fornecedor, especialmente os dispositivos de segurança, como firewalls, deteção de intrusão e filtragem de conteúdo.
À medida que os centros de dados se deslocam para a nuvem, os gestores de TI precisam de criar estratégias de segurança IaaS e implementar tecnologias de segurança na nuvem para proteger a sua infraestrutura essencial. A segurança na nuvem da Skyhigh Security permite às organizações acelerar os seus negócios, dando-lhes total visibilidade e controlo sobre os seus dados na nuvem. Saiba mais sobre a tecnologia de segurança na nuvem daSkyhigh Security .