Você está na página 1de 7

OS CINCO PRINCIPAIS DESAFIOS

E RECOMENDAÇÕES
PARA MONITORAMENTO DA NUVEM
A transição para aplicativos baseados em nuvem parece
ininterrupta. No entanto, executar aplicativos em
plataformas de nuvem como Amazon Web Services
ou Microsoft Azure acarreta uma série de desafios de
segurança que não são observados em implantações
locais.

Este informe analisará alguns dos desafios que geram


problemas ao capturar e utilizar dados de registro, seguido
por várias recomendações sobre como encará-los. É
impossível colocar em prática a segurança dos aplicativos
baseados em nuvem se você não sabe o que está
enfrentando.
OS DESAFIOS DO REGISTRO EM ARQUITETURAS BASEADAS EM NUVEM
A atividade mais fundamental para assegurar o monitoramento e a resposta é a coleta e a análise
de dados de registro. Toda regulamentação de conformidade exige essa atividade de alguma
forma, e por um bom motivo. Portanto, toda organização que estiver migrando para a nuvem
precisa compreender como o ambiente mudará com relação ao registro. Embora uma descrição
verdadeiramente completa de todos os aspectos das arquiteturas de nuvem que afetam o registro,
o processamento e a resposta a eventos de segurança esteja além do escopo deste informe, há um
número mais tangível de desafios altamente impactantes e onipresentes. Eles estão descritos a
seguir. Observe que a prioridade relativa desses problemas variará em função do ambiente e ao longo
do tempo, mas é provável que todos eles surjam em algum momento.

1
2
A NATUREZA EFÊMERA DOS ATIVOS
DIFERENÇAS TECNOLÓGICAS
TAXA DE ALTERAÇÃO E AUTOMAÇÃO
AUMENTO DO VOLUME DE DADOS
3
FALTA DE CONTEXTO

4
5

| 3
1 A NATUREZA EFÊMERA DOS ATIVOS
A infraestrutura e os aplicativos no local são relativamente estáticos: portas e endereços de IP internos,
entradas DNS, atribuições VLAN e sistemas operacionais persistentes tendem a ser configurados
e, depois, raramente alterados. Na verdade, sempre que possível, a maioria das divisões de TI evita
alterações, temendo que uma mudança aparentemente pequena (por exemplo, o redirecionamento
de uma sub-rede) possa causar uma interrupção, por exemplo, ao corromper um script de que todos
haviam se esquecido. Isso facilita o uso dessas definições estáticas para a segurança, por exemplo, em
tabelas de regras de firewall ou na correlação de registros com ativos essenciais.

No entanto, as implantações de nuvem dizem respeito à flexibilidade e à agilidade: por definição, os


objetos vêm e vão, e, em alguns casos, são deliberada e periodicamente falhos para testar a resiliência.
Praticamente nada é estático. Então é impossível basear os pilares da segurança em definições de
objetos estáticos.

2 DIFERENÇAS TECNOLÓGICAS
Determinados pilares na infraestrutura de TI do local desempenham um papel fundamental para a
inserção da segurança e a extração de registros. Dentre eles:
• Inserção de rede via bridging transparente;
• Monitoramento de portas de SPAN;
• Agentes implantados em um conjunto limitado de sistemas operacionais aprovados ou na camada de
virtualização;

Na nuvem, muitos desses pilares ou não existem ou sua implantação é dispendiosa,


dificultando implementar a geração de eventos sem mudanças arquitetônicas significativas.

3 TAXA DE ALTERAÇÃO E AUTOMAÇÃO


Já afirmamos que os ativos de nuvem são efêmeros. Mas a natureza altamente cambiável da nuvem vai
muito além disso. Em especial, os próprios aplicativos mudam rapidamente. Diferente dos aplicativos
no local que podem ser atualizados várias vezes por ano em cascata, os aplicativos de nuvem podem
mudar diariamente. Isso dificulta sua modelagem, tornando complexo diferenciar o comportamento
normal do aplicativo da atividade conduzida por adversários. Além disso, o processo de alteração é
altamente automatizado, o que significa que não é viável inserir pontos de controle manuais no processo
de desenvolvimento.

AS IMPLANTAÇÕES DE NUVEM DIZEM RESPEITO À FLEXIBILIDADE E


À AGILIDADE; É IMPOSSÍVEL BASEAR OS PILARES DA SEGURANÇA
EM DEFINIÇÕES DE OBJETOS ESTÁTICOS
VOCÊ PODE PASSAR HORAS
VASCULHANDO REGISTROS
EM BUSCA DE PADRÕES OU
MOTIVOS, OU PODE ADOTAR UMA
SOLUÇÃO DE TERCEIROS QUE
FORNEÇA CONTEXTO

4 AUMENTO DO VOLUME DE DADOS


O volume de dados em trânsito nas arquiteturas de nuvem é normalmente muito maior do que nos data
centers tradicionais. Isso acarreta um problema de escala: uma metodologia de segurança que funciona
no local poderá não funcionar na nuvem porque não pode ser expandida. Isso se verifica especialmente
se houver pessoas envolvidas, pois a equipe de segurança não tem acompanhado o aumento das
responsabilidades relacionadas à proteção de um ambiente multinuvem híbrido.

5 FALTA DE CONTEXTO
Picos no tráfego podem ocorrer por diversos motivos. Mesmo após o ajuste fino do sistema de sua
infraestrutura de nuvem, as soluções de nuvem pública podem ser vagas em um nível frustrante. Você
pode passar horas vasculhando registros em busca de padrões ou motivos, ou pode adotar uma solução
de terceiros que forneça contexto.

Um exemplo dessa imprecisão é o sistema de alertas CloudWatch do Amazon Web Services. O


CloudWatch enviará um e-mail de alerta informando que alguma condição foi atingida, mas o e-mail
normalmente não contém informações contextuais suficientes para tornar o alerta realmente acionável.
Você sabe que uma ameaça foi identificada, mas não do que se tratava e como deve responder. A
resposta requer pesquisas adicionais para descobrir o que acarretou a condição e se realmente é motivo
de preocupação.

Um resultado claro desses problemas tem sido uma diminuição na eficácia de soluções de registro nativo da
nuvem e de SIEM. Essas soluções desempenham um papel fundamental na segurança e na conformidade,
mas se os dados que elas geram não puderem ser correlacionados a pessoas, ativos e dados, serão ineficazes
para a gestão de riscos. Isso sempre foi um desafio, mas a situação é muito pior do que costumava ser e, em
muitas implantações de nuvem híbrida, essas soluções perderam sua viabilidade em termos de conscientização
situacional e resposta eficiente a incidentes. Trata-se de um problema enorme, uma vez que os registros são a
ferramenta pós-incidente mais importante que existe.

| 5
RECOMENDAÇÕES PARA O MONITORAMENTO VIÁVEL EM NUVEM
Diante de todos esses desafios, que medidas concretas podem ser adotadas para aprimorar o registro de
segurança na nuvem? Eis algumas recomendações dignas de consideração.

Combinar dados de configuração com a instrumentação em tempo real


Considerando a natureza efêmera dos ativos de nuvem, é fundamental combinar a telemetria de configuração
em tempo real com dados de registro. Todas as plataformas de nuvem oferecem suporte a APIs para a
mineração de dados da configuração dos locatários, e esse contexto é essencial para complementar os dados
de registro da infraestrutura (por exemplo, fluxos de rede) com informações no nível do aplicativo. O segredo
é fazer isso de uma forma que seja precisa ao longo do tempo, o que não é fácil, levando-se em consideração a
taxa de alterações e possíveis preocupações com a exposição dos dados de configuração (confidenciais).

Usar o contexto empresarial para priorizar operações de segurança


Praticamente todas as equipes de segurança enfrentam dificuldades relacionadas à priorização: considerando
uma série de alertas e anomalias, quais devem ser abordados primeiro? O simples mapeamento dos fluxos que
remetem aos aplicativos não é suficiente; fundamental é saber quais aplicativos são os mais importantes. E
como a implementação dos aplicativos na nuvem é mais dinâmica, esse problema geralmente é mais complexo.
Portanto, a segurança de TI deve recorrer a um parceiro que disponha de desenvolvedores de aplicativos para
ao menos integrar metadados mínimos dos aplicativos aos processos de DevOps. Em seguida, isso pode ser
usado para aprimorar o contexto incluído nos dados de registro a fim de priorizar os processos de detecção de
ameaças e de resposta a incidentes.

Usar IA para desenvolver modelos e expandir


Diante da ampla gama de dados gerados na nuvem, a automação é obrigatória para expandir. Com relação à
detecção e à resposta a ameaças, a inteligência artificial (IA) desempenhará um papel cada vez mais importante.
Longe de ser uma panaceia, a IA permite o rápido estabelecimento de parâmetros e a detecção de anomalias
com base em dados de registro com requisitos mínimos de equipe. Isso a torna um filtro eficaz para manter a
carga de trabalho humana gerenciável. Mas como os algoritmos estão evoluindo rapidamente, é importante
traçar uma estratégia que corrobore a experimentação.

CONSIDERANDO A NATUREZA EFÊMERA


DOS ATIVOS DE NUVEM, É FUNDAMENTAL
COMBINAR A TELEMETRIA DE
CONFIGURAÇÃO EM TEMPO REAL COM
DADOS DE REGISTRO

| 6
Ponto decisivo: consolidação multinuvem x ferramentas nativas
Todas as plataformas de nuvem (por exemplo, AWS, Azure, GCP) estão começando a oferecer serviços de
segurança, pois os provedores de nuvem sabem que as preocupações com a segurança são um importante
impeditivo para a adoção da nuvem. Como esses serviços são oferecidos pelo provedor da plataforma, eles
podem ter um alto grau de integração com a infraestrutura da nuvem e, em alguns casos, até com os próprios
aplicativos.

Contudo, o desafio em relação às ferramentas nativas é que elas são exclusivas de cada provedor de nuvem,
enquanto a maioria das organizações está buscando uma estratégia multinuvem híbrida. Portanto, o uso de
ferramentas de nativas acarreta problemas quanto à consistência das políticas e poderá inibir a agilidade da
carga de trabalho, já que será difícil impor a política de segurança de um aplicativo de forma transparente entre
as plataformas. Isso sugere que as ofertas de terceiros que corroboram a consistência e a normalização do
registro através da multinuvem híbrida proporcionarão vantagens significativas.

Log.ic para segurança da nuvem


A Check Point busca constantemente maneiras de apoiar melhor as organizações que buscam otimizar suas
necessidades de segurança e conformidade. Estamos continuamente adicionando novas soluções de segurança
da nuvem ao nosso portfólio para ajudar a resolver os desafios discutidos neste informe. Por exemplo, nossa
oferta Log.ic tem como objetivo complementar os registros das plataformas de nuvem em termos de visibilidade
da segurança, detecção de ameaças, resposta a incidentes e conformidade. A Log.ic foi desenvolvida para
abordar vários dos desafios descritos neste informe de uma maneira expansível em um ambiente multinuvem.

Saiba mais sobre como a Check Point Log.ic está transformando registros em lógica ao fornecer detecção de
invasão da nuvem, visualização do tráfego de rede e análise das atividades dos usuários para ajudar sua equipe
de operações de segurança a reduzir o tempo de resposta a incidentes de dias para horas e minutos:
checkpoint.com/products/public-cloud-security-analytics/

©2019 Check Point Software Technologies Ltd. Todos os direitos reservados.