Vídeo: Webinar - On Premises ou Nuvem (Outubro 2024)
O próximo ano promete um crescimento substancial para provedores de serviços de nuvem pública e fornecedores de soluções de Software como Serviço (SaaS). Por um lado, as novas tecnologias de nível básico, como implantações de microsserviços e blockchain, entre outras, estão oferecendo caminhos inexplorados para inovação. Mas talvez ainda mais importante, um dos bloqueadores de adoção de nuvem mais citados pelo CIO (segurança e segurança de dados) parece finalmente estar mudando para segundo plano, especialmente para empresas e empresas de médio porte.
Embora os analistas concordem que a maioria das empresas hoje - incluindo os segmentos corporativo e de médio porte - possua algumas implantações na nuvem em graus variados, eles também concordam que as organizações maiores demoraram a transferir grandes cargas de trabalho para a nuvem, com o principal motivo dado a segurança e os dados na nuvem segurança. Isso é importante para esses clientes, não apenas pelo grande volume de dados que essas organizações migrariam, mas também porque a aprovação de rigorosas verificações de conformidade e regulamentares, como a Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA) e a ISO 27001, é fundamental para eles. fazer negócio. A segurança é essencial para esses CIOs e, até recentemente, simplesmente não era robusta o suficiente para que eles adotassem a nuvem em larga escala.
Mas, de acordo com as previsões dos analistas para 2017, tudo está prestes a mudar. A segurança na nuvem percorreu um longo caminho na última meia década e parece que muitos profissionais de TI e CIOs concordam. Isso significa que os analistas estão prevendo que veremos uma absorção muito maior de infraestrutura e serviços em nuvem do setor corporativo em 2017.
Conduzi uma entrevista por e-mail com Brian Kelly, diretor de segurança do conhecido provedor de nuvem gerenciada Rackspace, para descobrir o que está mudando sobre a segurança na nuvem no próximo ano - e para ver se ele concordou com as previsões desses analistas.
PCMag: Exatamente como a Rackspace vê seu papel em relação ao da equipe de TI de seus clientes quando se trata de segurança e proteção de dados?
Brian Kelly (BK): Estamos vendo evidências diretas de que os clientes estão vindo para a nuvem por causa da segurança, em vez de fugir dela. Com poucas exceções, as empresas simplesmente não têm os recursos e as habilidades para defender efetivamente suas organizações das ameaças mais sofisticadas e persistentes. Da mesma forma, os provedores de nuvem reconhecem que o futuro de nossos negócios depende da entrega de confiança por meio de práticas eficazes de segurança. Apesar do aumento dos investimentos em segurança em fornecedores, a proteção dos ativos organizacionais sempre será uma responsabilidade compartilhada. Embora o provedor de nuvem seja diretamente responsável pela proteção de instalações, datacenters, redes e infraestrutura virtual, os consumidores também têm a responsabilidade de proteger sistemas operacionais, aplicativos, dados, acesso e credenciais.
A Forrester cunhou o termo "handshake desigual" em referência a essa responsabilidade compartilhada. Em alguns aspectos, os consumidores acreditam que estão assumindo o ônus pela segurança de seus dados. Isso pode ter sido verdade há alguns anos atrás; no entanto, estamos testemunhando um equilíbrio do aperto de mão. Ou seja, os provedores de nuvem podem e devem fazer mais para que os consumidores compartilhem a responsabilidade pela segurança. Isso pode assumir a forma de simplesmente fornecer maior visibilidade e transparência às cargas de trabalho hospedadas, fornecer acesso aos planos de controle ou oferecer serviços de segurança gerenciados. Embora as responsabilidades de segurança de um consumidor nunca desapareçam, os provedores de nuvem continuarão assumindo mais responsabilidades e entregando ofertas de segurança gerenciadas com valor agregado para criar a confiança necessária para que ambos os lados operem com segurança na nuvem.
PCMag: Você tem algum conselho para profissionais de TI e clientes corporativos sobre o que eles podem fazer, além do que um provedor fornece para ajudar a proteger eles mesmos os dados baseados na nuvem?
BK: Eles devem continuar implementando as melhores práticas de segurança em seus enclaves. Eles precisam segmentar as cargas de trabalho no enclave de forma responsável para limitar o escopo dos compromissos, garantir que os ambientes de carga de trabalho (sistemas operacionais, contêineres, LANs virtuais) estejam adequadamente protegidos e corrigidos, aproveitando as tecnologias de detecção e resposta em nível de ponto de extremidade e de rede (IDS / IPS, detecção e contenção de malware) e gerencia ativamente contas e acessos. Freqüentemente, os clientes podem incluir esses serviços e tecnologias em seus contratos de uso da nuvem, mas, caso contrário, o consumidor deve garantir que isso aconteça do seu lado.
PCMag: Uma pergunta importante que vimos os leitores fazerem é sobre a defesa eficaz contra ataques massivos de negação de serviço (DDoS) acionados pela Internet das Coisas (IoT), semelhante ao incidente ocorrido em outubro passado, em que um fornecedor chinês de IoT inadvertidamente contribuiu fortemente para o ataque. Esses ataques funcionam com os provedores de serviços da Internet (ISPs)? E como eles impedem que um ataque contra um cliente derrube todos em uma instalação?
BK: O principal objetivo da defesa contra DDoS é manter a disponibilidade quando sob ataque. Os recursos de ataque de DDoS da IoT são bem conhecidos e podem ser mitigados com êxito implementando as práticas recomendadas de segurança e usando sistemas inteligentes de mitigação de DDoS. A maior ameaça não é o método dos ataques da IoT, mas o imenso número de dispositivos vulneráveis habilitados para Internet. As redes precisam ser bloqueadas para limitar a exposição a ameaças na internet. Os operadores de rede precisam ser proativos na detecção de todas as ameaças possíveis e conhecer as técnicas mais eficazes para mitigá-las, mantendo a capacidade de analisar e classificar todo o tráfego de rede.
Uma forte estratégia de mitigação de DDoS exige uma abordagem defensiva e em camadas. O grande número de dispositivos de IoT dificulta os ataques de IoT para redes de pequena escala. A eficácia de um ataque de IoT é sua flexibilidade para gerar diferentes vetores de ataque e produzir tráfego DDoS massivo e de alto volume. Até a rede mais reforçada pode ser rapidamente sobrecarregada pelo enorme volume de tráfego que a IoT pode gerar nas mãos de um invasor capaz. Os ISPs upstream geralmente estão mais bem equipados e com equipes para lidar com esses ataques em larga escala que saturariam rapidamente pequenos links de rede. Além disso, a escala de operação de uma rede e as ferramentas necessárias para mitigar esses ataques colocam a detecção e a resposta efetivas fora do alcance da maioria das organizações. Uma solução melhor é terceirizar essas operações para os ISPs upstream de provedores de nuvem que já estão trabalhando com essa escala de rede.
Os ISPs upstream têm muitas vantagens por meio da diversidade robusta de pontos de acesso à Internet nos quais eles podem mudar o tráfego. Eles também costumam ter canais de dados grandes o suficiente para absorver muito tráfego DDoS inicialmente, enquanto as atividades de resposta do tráfego de roteamento estão aumentando. "Rio acima" é um bom termo, porque é algo análogo a uma série de barragens ao longo de um rio. Durante uma inundação, você pode proteger as casas a jusante usando cada barragem para capturar progressivamente mais água em cada lago criado pela barragem e medir o fluxo para evitar inundações a jusante. A diversidade de largura de banda e ponto de acesso para os ISPs upstream fornece o mesmo tipo de resiliência. Eles também têm protocolos negociados na comunidade da Internet para desviar o tráfego DDoS mais próximo das fontes que eles podem ativar.
Como em outras atividades de resposta a incidentes, o planejamento, a preparação e a prática são essenciais. Como não há dois ataques exatamente iguais, é crucial prever opções e circunstâncias, e planejar e praticar para eles. Para cenários de ataque da IoT, isso inclui a varredura de sua rede em busca de dispositivos vulneráveis e a ação corretiva. Você também deve inibir a digitalização de fora da rede para dispositivos IoT vulneráveis. Para ajudar, implemente rigoroso controle de acesso e proteção do sistema operacional e desenvolva procedimentos para aplicar patches em diferentes versões de código, dispositivos em rede e aplicativos.
Clique na imagem para obter o infográfico completo. Crédito da imagem: Twistlock
PCMag: Outra pergunta que os leitores nos fazem é sobre segurança de contêineres. Você se preocupa com contêineres armados que possam conter sistemas de ataque complexos ou você acha que a arquitetura protege contra explorações como essa?
BK: A segurança com qualquer tecnologia recentemente enfatizada é sempre uma preocupação crescente - os contêineres não são exclusivos nesse aspecto. Mas, como em muitos desafios de segurança, existem compensações. Embora possa haver risco aumentado, também acreditamos que existem estratégias de mitigação eficazes para os riscos que podemos controlar.
Um contêiner, essencialmente, é um ambiente de sistema operacional virtualizado, altamente transitório e leve. As máquinas virtuais são menos seguras que os servidores físicos separados? Eles são, na maioria dos casos. No entanto, muitas empresas vêem os benefícios de custo da virtualização (menos gastos, mais fáceis de gerenciar, podem redirecionar máquinas com facilidade) e optam por alavancá-las enquanto atenuam o maior número de riscos possível. A Intel até percebeu que poderia ajudar a mitigar alguns dos riscos e é daí que a Intel VT veio.
Os contêineres aumentam ainda mais a economia inicial de custos e a flexibilidade da virtualização. eles também são mais arriscados, pois há uma parede muito fina entre cada contêiner e o sistema operacional host. Não tenho conhecimento de nenhum suporte de hardware para isolamento, portanto, cabe ao kernel manter todos alinhados. As empresas precisam avaliar os benefícios de custo e flexibilidade dessa nova tecnologia, além desses riscos.
Os especialistas em Linux estão preocupados porque cada contêiner compartilha o kernel do host, o que torna a área de superfície para explorações muito maior do que as tecnologias de virtualização tradicionais, como KVM e Xen. Portanto, há potencial para um novo ataque em que um invasor corrompe privilégios em um contêiner para acessar - ou afetar as condições dentro - outro contêiner.
Ainda não temos muito em termos de sensores de segurança específicos para cada contêiner. Essa área do mercado deve amadurecer, na minha opinião. Além disso, os contêineres não podem usar os recursos de segurança embutidos nas CPUs (como o Intel VT) que permitem que o código seja executado em diferentes anéis, dependendo do seu nível de privilégio.
No final, existem inúmeras explorações para servidores físicos, máquinas virtuais e contêineres. Novos surgem o tempo todo. Até máquinas com folga de ar são exploradas. Os profissionais de TI devem se preocupar com comprometimentos de segurança em todos esses níveis. Muitas das defesas são iguais para todos esses tipos de implantação, mas cada uma possui suas próprias defesas de segurança extras que devem ser aplicadas.
O provedor de hospedagem deve usar os Módulos de segurança Linux (como SELinux ou AppArmor) para isolar contêineres e esse sistema deve ser monitorado de perto. Também é essencial manter o kernel do host atualizado para evitar explorações de escalação de privilégios locais. O isolamento de ID exclusivo (UID) também ajuda, pois evita que um usuário root no contêiner seja realmente root no host.
PCMag: Uma razão pela qual o PCMag.com não fez uma comparação em larga escala de MSSPs (Managed Security Service Providers) é porque há uma confusão no setor sobre exatamente o que esse termo significa e o que essa classe de provedor pode e deve oferecer. Você pode quebrar o serviço de segurança gerenciado da Rackspace? O que faz, como isso difere de outros provedores e aonde você vê isso para que os leitores possam ter uma boa idéia do que estão se inscrevendo quando empregam esse serviço?
BK: Os MSSPs precisam aceitar que a segurança não está funcionando e ajustar sua estratégia e operações para serem mais eficazes no cenário de ameaças atual - que contém adversários mais sofisticados e persistentes. Na Rackspace, reconhecemos essa mudança de ameaça e desenvolvemos novos recursos necessários para mitigá-las. O Rackspace Managed Security é uma operação avançada de detecção e resposta 24/7/365. Ele foi projetado não apenas para proteger as empresas contra ataques, mas para minimizar o impacto nos negócios quando os ataques ocorrem, mesmo depois que um ambiente é invadido com sucesso.
Para isso, ajustamos nossa estratégia de três maneiras:
Focamos nos dados, não no perímetro. Para responder efetivamente a ataques, o objetivo deve ser minimizar o impacto nos negócios. Isso requer uma compreensão abrangente dos negócios da empresa e o contexto dos dados e sistemas que estamos protegendo. Somente então podemos entender como é normal, entender um ataque e responder de uma maneira que minimize o impacto nos negócios.
Assumimos que os invasores conseguiram entrar na rede e usamos analistas altamente qualificados para procurá-los. Uma vez na rede, os ataques são difíceis de identificar pelas ferramentas, porque, para as ferramentas de segurança, os invasores avançados parecem administradores que realizam funções comerciais normais. Nossos analistas buscam ativamente padrões de atividade que as ferramentas não podem alertar - esses padrões são as pegadas que nos levam ao invasor.
Saber que você está sob ataque não é suficiente. É fundamental responder aos ataques quando eles ocorrem. Nosso Centro de Operações de Segurança do Cliente usa um portfólio de "ações pré-aprovadas" para responder a ataques assim que os veem. Estes são essencialmente livros executados que tentamos e testamos para lidar com sucesso com ataques quando eles acontecem. Nossos clientes veem esses livros de execução e aprovam nossos analistas para executá-los durante o processo de integração. Como resultado, os analistas não são mais observadores passivos - eles podem desligar ativamente um invasor assim que são detectados, e geralmente antes que a persistência seja alcançada e antes que os negócios sejam impactados. Essa capacidade de responder a ataques é exclusiva da Rackspace, porque também gerenciamos a infraestrutura que estamos protegendo para nossos clientes.
Além disso, descobrimos que a conformidade é um subproduto da segurança bem-feito. Temos uma equipe que capitaliza o rigor e as melhores práticas que implementamos como parte da operação de segurança, evidenciando e relatando os requisitos de conformidade que ajudamos nossos clientes a cumprir.
PCMag: A Rackspace é um grande proponente, de fato um fundador creditado, do OpenStack. Alguns de nossos leitores de TI perguntaram se o desenvolvimento de segurança para uma plataforma aberta é realmente mais lento e menos eficaz do que o de um sistema fechado como o Amazon Web Services (AWS) ou o Microsoft Azure devido ao dilema percebido de "muitos cozinheiros demais" que assola muitos grandes projetos de código aberto. Como você responde a isso?
BK: Com o software de código aberto, "bugs" são encontrados na comunidade aberta e corrigidos na comunidade aberta. Não há como ocultar a extensão ou o impacto do problema de segurança. Com o software proprietário, você está à mercê do provedor de software para corrigir vulnerabilidades. E se eles não fizerem nada sobre uma vulnerabilidade por seis meses? E se eles perderem um relatório de um pesquisador? Vemos todos esses "cozinheiros demais" a que você se refere como um grande facilitador de segurança de software. Centenas de engenheiros inteligentes costumam examinar cada parte de um pacote importante de código aberto como o OpenStack, o que dificulta muito a falha das falhas. A discussão da falha e a avaliação das opções para repará-la acontecem em campo aberto. Pacotes de software privados nunca podem receber esse tipo de análise por nível de linha de código e as correções nunca terão uma verificação tão aberta.
O software de código aberto também permite mitigações fora da pilha de software. Por exemplo, se um problema de segurança do OpenStack aparecer, mas um provedor de nuvem não puder atualizar ou corrigir a vulnerabilidade imediatamente, outras alterações poderão ser feitas. A função pode ser temporariamente desabilitada ou os usuários podem ser impedidos de usá-la por meio de arquivos de políticas. O ataque pode ser efetivamente mitigado até que uma correção de longo prazo seja aplicada. O software de código fechado geralmente não permite isso, pois é difícil ver o que precisa ser mitigado.
Além disso, as comunidades de código aberto espalham o conhecimento dessas vulnerabilidades de segurança rapidamente. A questão de "Como impedimos que isso aconteça mais tarde?" é perguntado rapidamente e a deliberação é conduzida de forma colaborativa e aberta.
PCMag: Vamos terminar com a pergunta original para esta entrevista: Você concorda com os analistas que 2017 será um ano "inovador" em termos de adoção da nuvem corporativa, principalmente ou pelo menos parcialmente devido à aceitação corporativa da segurança do provedor de nuvem?
BK: Vamos voltar um pouco para discutir os diferentes ambientes de nuvem. A maioria das suas perguntas aponta para o mercado de nuvem pública. Como mencionei acima, os pesquisadores da Forrester observaram o "aperto de mão desigual" entre provedores e consumidores de nuvem, pois os provedores de nuvem fornecem um conjunto de serviços, mas os consumidores de nuvem geralmente assumem que estão recebendo muito mais em termos de segurança, backup, resiliência, etc. Desde que ingresso na Rackspace, defendo que os provedores de nuvem precisam equilibrar esse aperto de mão, sendo mais transparentes com nossos consumidores. Em nenhum lugar o aperto de mão é menos uniforme, ainda hoje, do que em ambientes de nuvem pública.
Os ambientes de nuvem privada, no entanto, e especialmente os implementados no próprio consumidor, não sofrem tanto com essas ilusões. Os consumidores são muito mais claros sobre o que estão comprando e o que os fornecedores estão dando a eles. Ainda assim, à medida que os consumidores aumentam as expectativas no processo de compra e os fornecedores de nuvem aumentam nossos jogos para oferecer serviços e transparência mais completos, as barreiras emocionais e relacionadas ao risco de mover cargas de trabalho de um data center tradicional para um ambiente de nuvem pública estão caindo rapidamente.
Mas não acho que isso criará uma debandada em relação à nuvem em 2017. A movimentação de cargas de trabalho e datacenters inteiros implica um planejamento significativo e alterações organizacionais. É muito diferente de atualizar o hardware em um data center. Encorajo seus leitores a estudar a transição do Netflix; eles transformaram seus negócios mudando para a nuvem, mas foram necessários sete anos de trabalho duro. Por um lado, eles re-fatoraram e reescreveram a maioria de seus aplicativos para torná-los mais eficientes e melhor adaptados à nuvem.
Também vemos muitos consumidores adotando nuvens privadas em seus datacenters usando uma arquitetura de nuvem híbrida como ponto de partida. Estes parecem estar se acelerando. Acredito que a curva de adoção poderá subir em 2017, mas levará alguns anos para o swell realmente crescer.
