Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
LarComo conduzir uma avaliação de segurança na nuvem
Getty Images/iStockphoto
A nuvem apresenta às organizações um desafio de segurança. Ao realizar uma avaliação de segurança na nuvem, as organizações podem descobrir vulnerabilidades antes que os adversários o façam.
Uma avaliação de segurança em nuvem (CSA) avalia a infraestrutura em nuvem em busca de vulnerabilidades, pontos fracos de configuração e ameaças potenciais. Ele analisa a configuração de contas ou assinaturas de provedores de serviços em nuvem e analisa as possíveis ameaças da Internet e da própria infraestrutura em nuvem. A organização obtém uma análise das possíveis lacunas no design e na implementação dos controles, bem como a área de superfície potencialmente atacável e seus riscos.
As organizações devem realizar CSAs regularmente para se manterem atualizadas contra ameaças em evolução.
Uma avaliação de segurança em nuvem avalia a infraestrutura em nuvem de uma organização quanto ao seguinte:
Para começar, peça à equipe de segurança da organização que faça um inventário de todas as contas e assinaturas de nuvem em uso. Organizações maiores com muitas contas podem amostrar seletivamente várias para manter o CSA gerenciável. Escolha contas ou assinaturas com dados confidenciais ou alto nível de exposição.
Com um inventário de contas e assinaturas na nuvem concluído, a equipe de segurança deve avaliar serviços e ativos. Comece revisando as políticas do IAM para a conta de nuvem e os privilégios e permissões permitidos nessas políticas. A partir daí, observe os serviços de proteção de segurança, como Amazon GuardDuty ou Microsoft Defender, incluindo sua configuração e estado de execução. Verifique imagens usadas para implantar contêineres e cargas de trabalho de VM em busca de vulnerabilidades, especialmente se expostas à Internet. Revise serviços e objetos de acordo com padrões e estruturas de segurança cibernética, como diretrizes do NIST, Cloud Security Alliance ou Center for Internet Security.
Se existirem padrões de configuração interna, considere-os como parte do CSA. Certifique-se de que as cargas de trabalho em execução e o armazenamento expostos à Internet sejam documentados. Avalie firewalls, segmentação de rede e firewalls de aplicativos da web para possíveis configurações incorretas.
A partir daí, analise contas de nuvem para quaisquer modelos de infraestrutura como código (IaC) em implantação. Esses modelos geralmente contêm itens de configuração e serviços críticos em uso. Ferramentas de gerenciamento de postura de segurança em nuvem capazes de digitalizar modelos IaC podem melhorar a eficiência nesse processo.
Com ativos, exposição e postura de configuração documentados, as organizações devem realizar exercícios de modelagem de ameaças para avaliar os limites de confiança existentes e possíveis ataques contra ativos e serviços em nuvem. As análises de modelagem de ameaças devem testar possíveis ataques e ameaças ao ambiente de nuvem, a facilidade de ataques com base na exposição e suscetibilidade e o estado dos controles preventivos e de detecção em vigor. As organizações com implantações multinuvem devem conduzir sessões separadas de modelagem de ameaças para cada serviço de nuvem respectivo.
Opcionalmente, as organizações podem realizar testes de penetração e varreduras ao vivo em contas e assinaturas de nuvem para testes e análises adicionais.
Com base na análise, a equipe de segurança deve criar um relatório de alto nível. Descreva todas as auditorias, documente os riscos e possíveis lacunas nos controles e forneça recomendações de correção para vulnerabilidades e pontos fracos.