MODELO DE SEGURANÇ A EM NUVEM 2.

0:
ARQUITETURAS E SOLUÇÕES
 MODELO DE SEGURANÇA EM NUVEM 2.0: ARQUITETURAS E SOLUÇÕES | 2

Índice
Introdução................................................................................................................. 3

CloudGuard IaaS: prevenção de ameaça avançada e segurança de rede em nuvem............. 4

Apresentando o modelo Hub-and-Spoke........................................................................ 5

CloudGuard Dome9: conformidade e orquestração em nuvem........................................... 7

CloudGuard Log.ic: Monitoramento e análise de segurança em nuvem.............................. 8

Modelo 2.0: princípios e soluções arquitetônicas......................................................... 10

Security by Design

Segurança do perímetro da rede

Segmentação

Agilidade e automação

Conformidade em nuvem

Visibilidade

Sem fronteiras

Gerenciamento unificado

Resumo................................................................................................................... 18
 MODELO DE SEGURANÇA EM NUVEM 2.0: ARQUITETURAS E SOLUÇÕES | 3

Introdução
Em Introdução ao Modelo de segurança em nuvem 2.0, discutimos os conceitos
básicos (modelo de responsabilidade compartilhada, zero trust), bem como os
desafios avançados que devem ser abordados por uma arquitetura de segurança
em nuvem moderna. Esses desafios incluem superfícies de ataque maiores,
visibilidade reduzida, cargas de trabalho dinâmicas e efêmeras, processos de DevOps
automatizados, privilégios excessivos e vários ambientes de nuvem.

Descrevemos, então, princípios arquitetônicos de segurança em nuvem que são

essenciais para enfrentar esses desafios de forma eficaz. Esses princípios abrangem:

• Proteção contra ameaças avançadas para a segurança do perímetro da rede

• Proteção de outros vetores de ataque, como identidade, plano de controle e dados

• Security by design: projetar a arquitetura de forma a preservar a segurança como

parte do próprio ambiente, além dos controles baseados em configuração

• Segmentação para minimizar as superfícies de ataque e reduzir o raio de alcance

• Agilidade, automação, elasticidade sem comprometer a segurança

• Sem fronteiras, agnóstico para as especificações da plataforma em nuvem

Neste segundo artigo técnico, discutimos arquiteturas

e soluções do Modelo de segurança em nuvem 2.0.

Primeiro, apresentamos as soluções de segurança em nuvem da Check Point,

CloudGuard IaaS, CloudGuard Dome9 e CloudGuard Log.ic, que podem ser usadas
para projetar uma implantação segura na nuvem. Em seguida, mostramos como
essas soluções respondem aos desafios de segurança em nuvem e os princípios
arquitetônicos abordados no artigo técnico introdutório.
 MODELO DE SEGURANÇA EM NUVEM 2.0: ARQUITETURAS E SOLUÇÕES | 4

CloudGuard IaaS: prevenção de ameaça avançada e

segurança de rede em nuvem
O CloudGuard IaaS (CGI) da Check Point fornece segurança avançada para prevenção de ameaça para aplicativos
e dados em nuvens privadas, públicas e híbridas. O CGI é essencialmente parecido com os gateways de segurança
da Check Point para dispositivos físicos, mas foi adaptado e configurado especificamente para implantação
em plataformas de nuvem e data centers definidos por software. Os principais recursos e benefícios do uso do
CloudGuard IaaS são:

• Segurança avançada multicamadas de prevenção de ameaça de nível empresarial para infraestruturas

de nuvem dinâmicas e elásticas: protege serviços e aplicativos em nuvem contra acesso não autorizado
e ataques de negação de serviço, fornece conectividade segura para recursos em nuvem, implementa
autenticação de dois fatores para acesso de dispositivos móveis, previne a perda de dados e protege contra
malware e ataques de dia zero.

• Sem fronteiras: Trabalha com vários provedores de serviços de nuvem pública (AWS, Azure, GCP etc.)
e provedores de soluções de data centers definidos por software (VMware NSX, Microsoft Hyper-V,
Openstack, Cisco ACI, Nuage Networks etc.).

• Implantação rápida: disponível em todos os principais mercados de nuvem pública e oferece

suporte aos modelos Pay as You Go e Bring Your Own License; a implantação e a configuração dos
gateways do CloudGuard são concluídas em minutos. Fluxos de trabalho e modelos autorizados por TI
específicos do provedor podem ser aproveitados para assegurar o alinhamento com o ecossistema de
segurança corporativa.

• Agilidade por meio de políticas dinâmicas e automatizadas: integrado com todas as principais soluções
de gerenciamento de nuvem pública, o CloudGuard IaaS garante que todos os elementos definidos na
nuvem, como tags de ativos, objetos e grupos de segurança, sejam atualizados em tempo real. As políticas
de segurança são, então, ajustadas automaticamente de acordo com as alterações realizadas no ambiente
de nuvem. Dessa forma, as equipes de DevOps e de linha de negócios podem ter a liberdade de fornecer e
consumir recursos em nuvem sem comprometer a postura de segurança corporativa.

• Gerenciamento centralizado em infraestruturas de nuvem e localmente: impõe uma política de

segurança corporativa consistente a partir de um único console de gerenciamento, visualiza eventos de
segurança em ambientes complexos e correlaciona eventos a aplicativos e políticas.

• Registros e relatórios consolidados: visibilidade de ponta a ponta e análise forense aprimorada por meio
de registros e relatórios consolidados para ambientes de nuvem híbrida.
 MODELO DE SEGURANÇA EM NUVEM 2.0: ARQUITETURAS E SOLUÇÕES | 5

Apresentando o modelo Hub-and-Spoke

Ao projetar um ambiente de nuvem seguro usando o CloudGuard IaaS, é altamente recomendável usar o modelo
hub-and-spoke que foi introduzido no Modelo 1.0. Para alcançar os princípios arquitetônicos de segurança em
nuvem já descritos, neste modelo, o ambiente é configurado como um sistema de conexões dispostas como
uma roda de bicicleta, em que todos os raios (spokes) são conectados a um agente central (hub) e todo o tráfego
que circula pelos raios atravessa um agente (hub). O desenho do modelo pode ser um hub único ou vários hubs,
conforme mostrado na Figura 1.

Spoke HUB HUB Spoke

Spoke Spoke

Spoke Spoke
Spoke Spoke Spoke

Figura 1: modelo hub-and-spoke (desenho multi-hubs)

Os spokes
Um spoke é um ambiente de rede isolado que contém uma coleção de uma ou mais sub-redes de rede a partir
das quais cargas de trabalho podem ser instaladas e executadas. Um caso comum de uso de spoke são vários
servidores virtuais que, juntos, compreendem uma pilha de aplicativos (ou seja, Web, aplicativo e banco de dados).
Outro caso de uso é um spoke que atua como uma extensão de uma rede local existente, como um conjunto de
servidores de GQ para fins de teste ou um conjunto de servidores de processamento de dados que utilizam o
provisionamento sob demanda da nuvem para reduzir custos e melhorar a agilidade.

Os spokes são altamente versáteis e temos visto nossos clientes os utilizarem em seus ambientes para uma
ampla gama de casos de uso. O denominador comum para esses casos de uso, no entanto, é que os spokes são
as entidades nas quais as atividades comerciais são implementadas no ambiente de nuvem.
 MODELO DE SEGURANÇA EM NUVEM 2.0: ARQUITETURAS E SOLUÇÕES | 6

Os hubs
A Figura 2 abaixo ilustra um desenho de dois hubs que promove flexibilidade e a separação sistemática dos tipos
de comunicação em todo o ambiente. Um dos hubs é designado para o tráfego de entrada da internet, enquanto o
outro hub é designado para tráfego lateral entre spokes, tráfego interno e externo da rede corporativa e tráfego de
saída para a Internet ou para outros ambientes de nuvem.

A exemplo dos spokes, o que descrevemos aqui são apenas os casos de uso mais comuns. Na realidade, cada
cliente implementa seus hubs de acordo com suas necessidades e seus requisitos exclusivos. Nos artigos
técnicos desta série que descrevem como o modelo é implantado em plataformas específicas de provedores de
nuvem, fornecemos as principais alternativas e desenhos.

Fluxo de tráfego dentro do ambiente

No desenho de dois hubs mostrado na Figura 2 abaixo, os hubs são a única entrada e saída do ambiente,
bem como a única maneira de atravessar dentro e entre os spokes. Os spokes não estão conectados entre si
diretamente e são acessíveis apenas através de um dos hubs.

WWW

North Hub

Spoke 1 Spoke 2 Spoke 3 ... Spoke N

South Hub

VPN

Figura 2: todo o tráfego é direcionado através dos hubs. O hub norte é para o tráfego de entrada e o hub sul
é para o tráfego que circula pela rede corporativa, para o tráfego para a internet e para acesso leste-oeste entre spokes.
Cada spoke compreende máquinas virtuais em nuvem com níveis de segurança e de acesso variados.
 MODELO DE SEGURANÇA EM NUVEM 2.0: ARQUITETURAS E SOLUÇÕES | 7

CloudGuard Dome9:
conformidade e orquestração em nuvem
Agora, parte da família de produtos CloudGuard, o CloudGuard Dome9 é uma plataforma SaaS baseada em API
que se integra nativamente com clusters AWS, Microsoft Azure, GCP e Kubernetes implantados em qualquer
lugar. O CloudGuard Dome9 é uma solução de gerenciamento de postura de segurança em nuvem (cloud
security posture management, CSPM) para orquestração de políticas multinuvens. O CloudGuard Dome9 usa
controles nativos em nuvem para implementar políticas de conformidade em cada nuvem. Ele permite que uma
organização visualize e imponha sua postura de segurança em nuvem de forma consistente por meio desses
serviços de nuvem pública, assegurando a conformidade com as práticas recomendadas e regulamentações de
segurança em nuvem e ajudando a evitar desvios de configuração.

Figura 3: diagrama esquemático do CloudGuard Dome9

As capacidades e os recursos do CloudGuard Dome9 têm um papel particularmente importante na defesa de

muitos dos principais requisitos arquitetônicos de segurança em nuvem subjacentes ao Modelo 2.0, conforme
descrito no restante desse artigo técnico.
 MODELO DE SEGURANÇA EM NUVEM 2.0: ARQUITETURAS E SOLUÇÕES | 8

CloudGuard Log.ic:
monitoramento e análise de segurança em nuvem
O CloudGuard Log.ic é uma solução nativa da nuvem de proteção de ameaça e de inteligência de segurança para
a nuvem pública. A mais recente inclusão à família CloudGuard, aprimora os registros em nuvem com contexto,
transforma-os em lógica de segurança legível e permite que as equipes de segurança elevem a segurança da
nuvem para o próximo patamar. Ao usar o CloudGuard Log.ic, as empresas podem ver cada fluxo de dados e trilha
de auditoria nos ambientes elásticos de nuvem atuais e compreender os dados e as atividades em nuvem para
agilizar processos de investigação.

O CloudGuard Log.ic oferece detecção de invasão da nuvem, visualização do tráfego de rede e análise da atividade
do usuário. Seus algoritmos de mapeamento de objetos combinam informações de inventário e de configuração
na nuvem com dados de monitoramento em tempo real a partir de uma variedade de fontes, incluindo:

• VPC Flow Logs, CloudTrail, Amazon GuardDuty, AWS Inspector (para clientes AWS);
• Azure vNET Flow Logs e blobs, Azure Monitor, Azure Advanced Threat Protection, Azure Security Center
(para clientes Azure),
bem como feeds do ThreatCloud da Check Point, a reputação IP e os bancos de dados geográficos.

O resultado é uma rica informação contextualizada usada para visualização, consulta, alertas de invasão e
notificações aprimoradas de violações de políticas. Ele também pode ser canalizado para soluções SIEM
de terceiros, em qualquer lugar. Com detecção robusta de ameaças no núcleo, a tecnologia CloudBots do
CloudGuard Log.ic também estende as capacidades de resolução indefinidamente, permitindo que você crie uma
resposta personalizada a qualquer tipo de alerta de rede ou trilha de auditoria. O CloudGuard Log.ic é a única
plataforma que atribui tráfego de rede a serviços efêmeros nativos da nuvem, como:

• funções do Amazon Lambda, bem como outros componentes da plataforma nativa da nuvem (RDS,
Redshift, ELB, ALB, ECS) para clientes AWS,

• funções da Azure Automation, bem como outros componentes Microsoft Azure nativos da nuvem (SQL
Azure, Data Warehouse, Azure Virtual Machine, Azure Functions e Azure Container Service) para clientes
Azure,
para fornecer uma visão e uma compreensão completas da sua infraestrutura em nuvem ao longo do tempo.
 MODELO DE SEGURANÇA EM NUVEM 2.0: ARQUITETURAS E SOLUÇÕES | 9

Feeds de inteligência de ameaças Percepções ricas em contexto

Bancos de dados geográficos Visualização simplificada
Configurações de inventário e nuvem Alertas de invasão
Registros de fluxo VPC e vNET Notificações de governança organizacional
AWS CloudTrail e Azure Search Fluxos de dados aprimorados

Figura 4: fluxo esquemático do CloudGuard Log.ic

O CloudGuard Log.ic usa práticas de segurança recomendadas de detecção de assinatura, regras internas, feeds
de inteligência de ameaças e fluxo de tráfego existente para criar uma referência de sua rede e atividade do
usuário. Também usa algoritmos de detecção de IA e de anomalias para identificar atividades potencialmente
não autorizadas ou maliciosas em seus ambientes de nuvem, incluindo aplicativos sem servidor. O Log.ic pode
fornecer alertas de violação de política e de detecção de invasão em tempo real, com base em critérios definidos
pelo usuário para a equipe de administração de segurança.

Tirando proveito de feeds do maior banco de dados de IOC do mundo: o CloudGuard Log.ic utiliza o ThreatCloud
da Check Point para aprimorar registros com inteligência de vários feeds, incluindo:
• Mais de 750 milhões de verificações, sites e endereços de C&C maliciosos
• 11 milhões de assinaturas comportamentais
• 2,5 milhões de detecções diárias
• Dezenas de feeds externos

Correção automática com CloudBots: o CloudBots é uma estrutura sem servidor que aciona uma função
de correção com implantação de clique único, sendo inteiramente executado dentro do seu ambiente. Adicione o
CloudBots para criar respostas personalizadas para qualquer tipo de alerta de rede, trilha de auditoria ou outros,
e para resolver ameaças de uma só vez com o CloudGuard Log.ic.

O CloudGuard Log.ic Explorer é uma ferramenta de exploração visual que permite analisar a atividade da rede e o tráfego
de entrada e de saída do ambiente de nuvem. Você pode escolher entre um vasto conjunto de consultas predefinidas
ou criar consultas personalizadas usando a linguagem de consulta expressiva, porém concisa, do CloudGuard Dome9.
O recurso de visualização do Explorer permite que você veja rapidamente todos os elementos e o tráfego em sua AWS
VPC ou Azure vNET e, a partir daí, amplie a respectiva entidade ou a conexão. Use a rica visualização contextualizada
do CloudGuard Log.ic para fomentar: investigação profunda, resposta a incidentes e caça a ameaças.

O conector firehouse do CloudGuard Log.ic alimenta o tráfego de registros aprimorados em um formato

JSON altamente contextualizado para vários produtos SIEM para investigação adicional. Canalize para
Splunk, ArcSight, LogRythm, entre outros, para obter orientação a partir de dados críticos sobre ativos
efêmeros e conscientização da postura de segurança.
 MODELO DE SEGURANÇA EM NUVEM 2.0: ARQUITETURAS E SOLUÇÕES | 10

Modelo 2.0: princípios e soluções arquitetônicas

O Modelo de segurança em nuvem 2.0 (como um design de alto nível) é aplicável a todos os principais ambientes
de nuvem pública, incluindo Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP), Oracle
Cloud Infrastructure, Alibaba Cloud, IBM Cloud, entre outros.

Nesta seção, explicamos detalhadamente como o design do Modelo 2.0 pode ser implementado usando produtos
da Check Point para manter as diretrizes arquitetônicas de segurança em nuvem discutidas na Introdução ao
Modelo de segurança em nuvem 2.0, como proteção por meio de vários perímetros (rede, dados, computação e
identidade), separação sistemática de fluxos de tráfego dentro do ambiente, segmentação e microssegmentação,
agilidade, automação e gerenciamento unificado através de várias plataformas.

Security by Design
Security by design é uma
abordagem de segurança
multicamadas que aproveita
as características inerentes à
internet como um meio adicional
para bloquear padrões de tráfego
indesejáveis, de uma forma que
não possa ser substituída pela
política de segurança. A Figura
5 mostra esquematicamente
como o modelo hub-and-
spoke do Modelo 2.0, conforme
implementado usando o
CloudGuard IaaS, oferece suporte
à abordagem security by design.

Quando possível, o hub norte usa

uma conexão não hierárquica
e não transitiva com os spokes
Figura 5: modelo hub-and-spoke do CloudGuard IaaS
para controlar o fluxo de tráfego
onde:
desde a concepção do desenho.
1 = hub norte para tráfego de entrada da internet
Por definição, a conexão não
2 = hub sul para tráfego que circula pela rede corporativa, acesso leste-oeste entre spokes e
hierárquica e não transitiva isola tráfego de saída para a internet

sistematicamente os recursos 3 = spoke para segmentar VMs de nuvem com diferentes níveis de segurança e de acesso
4 = autoexpansão do CloudGuard: um conjunto elástico de firewalls para aplicação de
da nuvem a partir do caminho segurança baseada na internet
principal de tráfego de entrada. 5 = cluster de alta disponibilidade do CloudGuard IaaS.
 MODELO DE SEGURANÇA EM NUVEM 2.0: ARQUITETURAS E SOLUÇÕES | 11

Por exemplo, a arquitetura de segurança em nuvem pode utilizar a conexão não hierárquica da Amazon VPC, que
é não transitiva (uma limitação documentada), para conectar o caminho de tráfego de entrada a ambientes de
rede isolados. Isso garante que a movimentação lateral do tráfego entre os segmentos isolados seja realizada
exclusivamente por meio desse hub.

O exemplo de desenho acima também permite que um spoke não seja conectado ao hub norte, impedindo
qualquer possível exposição à internet.

Segurança do perímetro da rede

A determinação do perímetro da rede é realizada nos hubs norte e sul, com várias proteções de segurança
habilitadas de forma eficiente e sob demanda. O tráfego de entrada ou de saída de/para a internet é inspecionado
pelos gateways de segurança do CloudGuard IaaS implantados nos hubs, impondo, assim, a política de segurança
da organização.

Observe que é possível (e recomendado) que diferentes políticas e blades de proteção sejam aplicadas aos hubs
norte e sul. Por exemplo, recomenda-se que o hub sul seja configurado com proteção antimalware para prevenir
a movimentação lateral de ameaças. O tráfego que se movimenta pelo hub de segurança é inspecionado pelos
gateways e comparado com a política de segurança.

Segmentação
O CloudGuard IaaS oferece suporte à segmentação inter-VPC/vNET ao inserir cargas de trabalho em nuvem
em diferentes spokes e impor controles de segurança ao tráfego de entrada ou de saída de um spoke. Os três
principais tipos de spokes no Modelo 2.0 são:

• Voltado somente para a internet (por exemplo, SPOKE-1 na Figura 5): esses spokes são conectados
apenas aos hubs norte e são acessíveis apenas para o tráfego de entrada da internet. Esses spokes
normalmente hospedam servidores de primeira linha que precisam ser acessíveis pela internet, como,
por exemplo, sites da web que hospedam campanhas públicas. Para evitar a exposição pública indesejada
de recursos privados (corporativos), a conectividade desses spokes a recursos corporativos ou a outros
spokes no ambiente é bloqueada sistematicamente e não pode ser habilitada por uma configuração
simples de roteamento/política.

• Voltado somente para o público (corporativo) (por exemplo, SPOKE-2 na Figura 5): esses spokes são
conectados apenas aos hubs sul e, portanto, sistematicamente não são acessíveis pela internet. Eles são
acessíveis por meio de qualquer combinação de VPN, conectividade direta da rede corporativa ou de outros
spokes no ambiente (de acordo com a política de segurança em firewalls do hub sul). Um caso de uso
típico para um spoke privado é a hospedagem de servidores de banco de dados aos quais queremos ter
conectividade segura, mas não queremos que eles estejam diretamente acessíveis a partir da internet.
 MODELO DE SEGURANÇA EM NUVEM 2.0: ARQUITETURAS E SOLUÇÕES | 12

• Combinado (por exemplo, SPOKE-3 na Figura 5): esses spokes são adequados para servidores que
precisam estar acessíveis pela internet, mas também exigem acesso de backend a outros spokes ou à rede
corporativa. Um exemplo seria um servidor da web que, em uma extremidade, é exposto à internet e, na
outra, precisa de acesso a um servidor de aplicativos ou a um servidor de banco de dados.

O CloudGuard Dome9 oferece suporte à segmentação intra-VPC/vNET usando controles de segurança nativos
da nuvem para bloquear o tráfego entre cargas de trabalho dentro de uma sub-rede. O gerenciamento de painel
único do Dome9 de listas de acesso à nuvem e de grupos de segurança é especialmente útil em ambientes
multinuvens. Usando o CloudGuard Dome9, você pode obter granularidade maior do que o nível de sub-rede e,
teoricamente (e também praticamente - caso opte por fazê-lo), criar uma política/isolamento específico de VM/
instância na camada 4.

Nesse caso de uso específico, a funcionalidade do CloudGuard Dome9 estende a do CloudGuard IaaS: embora
o CloudGuard IaaS seja usado principalmente para segmentação e proteções de nível de infraestrutura, o
CloudGuard Dome9 oferece suporte à implementação de microssegmentação desempenhada usando os controles
nativos da nuvem.

O CloudGuard Dome9 adiciona outra camada de segmentação (entre serviços e entre usuários) com elevação
privilegiada baseada em intervalo de tempo, além dos serviços IAM nativos da nuvem, a fim de proteger
operações administrativas sensíveis. Usuários de IAM que desejam acessar serviços protegidos podem elevar
seu privilégio ou podem ser elevados pelo administrador do Dome9. A janela de autorização é fornecida por um
período limitado. Durante esse período, o usuário de IAM pode acessar os serviços protegidos. No final da janela,
o acesso aos serviços será bloqueado novamente.

Esse recurso fortalece o console da conta do provedor e impede que os usuários façam alterações não
autorizadas ou acidentais às configurações da conta sem o conhecimento e a autorização de um administrador.
Também reduz significativamente o raio de alcance se um hacker tentar assumir o controle da identidade de uma
conta com privilégios excessivos.

Agilidade e automação
Hoje, a TI busca operar de forma eficiente e ser um facilitador de negócios, em vez de um obstáculo. O modelo
hub-and-spoke do Modelo 2.0 oferece suporte à agilidade dos negócios, uma vez que spokes podem, além de ser
criados, consistir em propriedade exclusiva das diferentes linhas de negócios da organização ou, na verdade, de
qualquer pessoa dentro da organização. O CloudGuard Dome9 pode impor o princípio de nenhuma conectividade
direta entre spokes, obrigando o tráfego de spoke a passar pelo hub sul e por seus controles de segurança. Dessa
forma, os proprietários de spokes podem ter liberdade para deter e processar a segurança dentro de seus spokes,
sem comprometer a segurança.
 MODELO DE SEGURANÇA EM NUVEM 2.0: ARQUITETURAS E SOLUÇÕES | 13

O CloudGuard IaaS assegura que essa agilidade não impacte a postura de segurança corporativa através
da automação em várias camadas. No nível da infraestrutura, a implantação de recursos do CGI pode ser
automatizada usando modelos de implementação, como AWS CloudFormation ou Azure Resource Manager
Template. Esses scripts pré-configurados simplificam a implementação de gateways do CGI em diferentes
configurações de implantação, como independente, cluster e autoexpansão. O ambiente exigido (sub-redes,
acesso à internet, configuração de roteamento, entre outros) é criado imediatamente.

Outra camada de automação fornecida pelo CloudGuard IaaS envolve o uso da CME (Cloud Management
Extension) para automaticamente fornecer recursos em configurações dinâmicas de nuvem pública, como
autoexpansão e balanceamento de carga. Qualquer adição ou exclusão de gateways de segurança dentro
do ambiente invoca um processo automatizado para ativar ou desativar o gateway da camada de política/
SmartConsole. Por exemplo, sempre que um novo gateway for adicionado ao ambiente, o processo de automação
baseado em CME irá descobrir automaticamente o novo gateway, desempenhar a configuração inicial “assistente
para primeira vez”, reinicializar o gateway, estabelecer SIC (Secure Internal Communication) com o servidor de
gerenciamento e impor a política de segurança ao gateway.

Da mesma forma, o CME também pode automatizar a configuração de segurança das configurações de
balanceamento de carga, já que ele detecta a configuração do ouvinte no balanceador de carga e cria
automaticamente as regras relevantes em relação à política de segurança. Esse comportamento traz benefícios
significativos para as operações diárias, com a segurança tornando-se parte da operação, em vez de um
obstáculo. As alterações no balanceador de carga são automaticamente refletidas na política de firewall, sem
interrupções.

O comportamento automático também é alcançado no nível das regras da política de segurança, com o
CloudGuard Controller permitindo que objetos nativos da nuvem sejam usados na política de segurança. Os
objetos nativos da nuvem adicionados são automaticamente e continuamente rastreados pelo servidor de
gerenciamento e quaisquer alterações feitas no lado da nuvem (como identificação de uma instância com
uma tag que está incluída na política de segurança, alteração de um IP ou do nome de uma instância etc.)
são automaticamente aplicadas e instantaneamente impostas a todos os gateways conectados ao servidor
de gerenciamento. Desta forma, os gerentes das linhas de negócios podem avançar sem demora enquanto
asseguram que as políticas e os padrões de segurança da empresa sejam mantidos.

O CloudGuard Dome9 também protege ativamente cargas de trabalho, PaaS e funções sem servidor executadas
na nuvem pública, cercando-as com proteções que as mantêm seguras sem perda de agilidade. Por exemplo,
ele pode verificar se há possíveis vazamentos no texto em uma função sem servidor (por exemplo, chaves API),
conferir a lista de permissões e de privilégios em seu código e conferir a comunicação de funções sem servidor
em relação a listas de URLs suspeitas. Esses, juntamente com outros recursos do CloudGuard Dome9, diminuem
as superfícies de ataque e previnem muitas e várias tentativas de exploit de formas transparentes para os
proprietários de spokes, que são livres para exercer suas atividades comerciais.
 MODELO DE SEGURANÇA EM NUVEM 2.0: ARQUITETURAS E SOLUÇÕES | 14

Conformidade e governança da nuvem

Devido à falta de visibilidade dos ativos na nuvem, bem como à natureza altamente dinâmica do ambiente de
nuvem, a nuvem apresenta desafios significativos de conformidade e de auditoria de conformidade. Se você
considerar o impacto de ambientes híbridos complexos e multinuvens, manter uma postura de segurança em
nuvem que esteja em conformidade com os requisitos de governança corporativa e regulatórios às vezes pode
parecer impossível.

Embora não seja uma solução voltada principalmente para a conformidade na nuvem, o CloudGuard IaaS
contribui para a conformidade na nuvem por meio da aplicação automatizada de alterações nas regras das
políticas de segurança para todos os gateways de segurança conectados ao servidor de gerenciamento. Além
disso, o CloudGuard IaaS utiliza a blade GRC (Governança, Risco, Conformidade) da Check Point para monitorar
gateways de segurança 24 horas por dia, sete dias por semana, e entregar:
• alertas instantâneos sobre alterações nas políticas que poderiam comprometer a segurança, com
recomendações para resolução
• avaliações em tempo real de conformidade com as regulamentações
• relatórios de auditoria que destacam definições de configuração insatisfatórias e pontos fracos de segurança
O mecanismo de conformidade do CloudGuard Dome9 testa ambientes de nuvem em relação à conformidade
com padrões do setor e práticas recomendadas ou em relação às próprias políticas de segurança da organização.
Ele também pode testar a conformidade usando conjuntos de regras (conjuntos de regras do Dome9) que estão
disponíveis para uso imediato.

Os conjuntos de regras abrangentes de segurança em nuvem do CloudGuard Dome9 compreendem muitos dos
padrões comuns, como PCI-DSS e HIPAA, ISO 27001, GDPR, NIST, CIS, entre outros. Eles podem ser executados
imediatamente “como estão” em todas as contas na nuvem da organização. Além disso, novas regras podem
ser criadas e testadas ou as regras existentes podem ser modificadas usando um construtor intuitivo de regras
gráficas, personalizando as políticas para as necessidades e metas específicas de conformidade de cada
organização. De todas essas maneiras, o robusto mecanismo de conformidade do CloudGuard Dome9 permite
que a organização cumpra as regulamentações de terceiros e políticas de segurança corporativa específicas, e
responda rapidamente a erros de configuração e a alterações acidentais.

O mecanismo de conformidade é compatível com os três principais provedores de nuvem (AWS, Azure e GCP)
para verificar facilmente a conformidade em ambientes multinuvens. Ele também pode executar avaliações em
clusters Kubernetes, fazendo a verificação em relação a padrões de conformidade como CIS Benchmarks para
Kubernetes e outros.

O mecanismo de conformidade testa continuamente as contas na nuvem e envia notificações quando problemas
são detectados. Ele também tem recursos de relatórios completos, de resultados de testes detalhados a
relatórios resumidos de descobertas em várias regiões e contas VPC/vNET. É fácil detalhar resultados de alto
nível. Para obter percepções mais rápidas, os relatórios podem ser organizados e filtrados de acordo com níveis
de gravidade, entidades testadas, entre outros. Relatórios históricos podem ser usados para destacar tendências
para uma ampla gama de parâmetros.
 MODELO DE SEGURANÇA EM NUVEM 2.0: ARQUITETURAS E SOLUÇÕES | 15

Visibilidade
Os clientes da nuvem reclamam com frequência da falta de visibilidade que dificulta a identificação e a
quantificação de seus ativos na nuvem. Esses ativos invisíveis e não gerenciados geram graves lacunas na
aplicação da segurança. Os clientes da nuvem exigem ferramentas de orquestração orientadas à nuvem para
identificar e monitorar de forma eficaz seus ativos na nuvem, bem como visualizar seus ambientes de nuvem.

Na arquitetura hub-and-spoke, todo o tráfego de rede atravessa os hubs, tornando possível obter visibilidade por
meio do uso de registros de segurança.

O CloudGuard IaaS usa a blade de software de gerenciamento de eventos SmartEvent para fornecer visibilidade
total das ameaças com uma visão unificada dos riscos de segurança, acelerando, assim, a resposta a incidentes.
Os usuários podem assumir o controle e comandar o evento de segurança por meio de investigação forense e
de eventos em tempo real, conformidade e relatórios. Além disso, eles podem usar essa funcionalidade para
responder a incidentes de segurança imediatamente e obter percepções verdadeiras da rede.

O CloudGuard Dome9 permite que as organizações visualizem todos os ativos que estão sendo executados na
nuvem, avaliem a postura de segurança (incluindo grupos de segurança, instâncias, entre outros), corrijam erros
de configuração para antecipar ameaças, gerenciem grupos de segurança nativos da nuvem e coloquem em vigor
a segurança de uma única fonte de autoridade da rede.

Além disso, o CloudGuard Log.ic é uma tecnologia de inteligência de segurança nativa da nuvem que combina
informações de inventário e de configuração da nuvem com dados de monitoramento em tempo real e diversos
para fornecer detecção de invasão da nuvem, visualização do tráfego de rede e análise da atividade do usuário.

O CloudGuard Log.ic analisa os registros de eventos e de tráfego de rede dos provedores de nuvem, tornando-os
legíveis por humanos e fornecendo um contexto que, de outra forma, não é compartilhado.

O CloudGuard Log.ic permite que a organização veja todos os ativos em qualquer conta específica, quais estão
conectados e enviando tráfego entre si, além das estatísticas de cada elemento. O Log.ic também visualiza os
eventos da rede na nuvem. Assim, por exemplo, as organizações podem ver qual função sem servidor foi invocada,
por meio de qual gateway o tráfego está fluindo, que tipo de ativo está realizando a comunicação e a qual VPC/
vNET ele pertence.

O CloudGuard Log.ic integra-se com um importante feed de inteligência de ameaças, identificando o tráfego de
entrada e de saída que circula em hosts maliciosos. O CloudGuard Log.ic alertará para a atividade maliciosa ou
suspeita e para eventos indesejados, e alertará o usuário para adotar medidas apropriadas. Consultas para uso
imediato ou personalizadas podem ser utilizadas para pesquisar pelos registros de eventos de interesse, e tudo
isso acontece em tempo real.
 MODELO DE SEGURANÇA EM NUVEM 2.0: ARQUITETURAS E SOLUÇÕES | 16

Sem fronteiras
Há uma tendência bem documentada de empresas que implementam ambientes complexos multinuvens e híbridos.
O desenho do modelo de segurança em nuvem é inerentemente compatível com a expansão para além dos limites
de uma única plataforma de nuvem. Ele também gerencia a conectividade entre plataformas de nuvem, enquanto
mantém os mesmos princípios arquitetônicos e a mesma postura de segurança em todos os ambientes.

Para minimizar os riscos associados ao monitoramento e à proteção desses ambientes complexos, o CloudGuard
IaaS implementa uma malha de VPN (veja a Figura 6) que assegura a conectividade entre os vários locais.

Figura 6: implementação de gateways do CloudGuard IaaS pelas plataformas

para controle de tráfego em locais específicos e aplicação das políticas de segurança em todos os locais
onde:
1 = um VPC da web, que consiste em servidores da web acessíveis publicamente pela internet
2 = um VPC de aplicativos de servidores de aplicativos acessível apenas a partir de um VPC da Web e através da malha de VPN
3 = o Azure MSSQL DB
4 = a malha de VPN que é usada para conectividade privada segura entre os locais

O caso de uso de arquitetura multinuvens ilustrado na Figura 6 refere-se a uma empresa de jogos on-line
que implementa seus serviços na AWS, no Azure e em um data center no local em uma abordagem “melhor
da categoria” em que cada plataforma é escolhida com base na especialização da equipe e na superioridade
tecnológica. Em nosso exemplo, as camadas frontend da web e de aplicativos são hospedadas na AWS por meio de
várias zonas de disponibilidade visando à redundância, enquanto a identidade e a autenticação são fornecidas pelo
servidor AD situado no local. As camadas do banco de dados e de armazenamento são hospedadas no Azure.

Implementar gateways de CloudGuard IaaS por diferentes plataformas nos permite controlar o tráfego em cada
local especificamente, bem como colocar em vigor políticas de segurança através dos locais e entre eles.
 MODELO DE SEGURANÇA EM NUVEM 2.0: ARQUITETURAS E SOLUÇÕES | 17

O CloudGuard Dome9 também sustenta o princípio sem fronteiras ao fornecer e orquestrar suas capacidades de
segurança em todos os três principais provedores de nuvem: Amazon Web Services, Microsoft Azure e Google
Cloud Platform (GCP). O Dome9 também oferece suporte à integração de clusters Kubernetes no inventário de
nuvens do Dome9 para que as avaliações de conformidade possam ser executadas neles. O cluster pode estar no
local ou em um ambiente de nuvem, incluindo ambientes de nuvem gerenciados.

Gerenciamento unificado
Implementar e operar a segurança em um ambiente multinuvens pode ser desafiador, já que envolve gerenciar
e controlar recursos que usam diferentes ferramentas de gerenciamento em diversos locais. Tentar manter uma
política de segurança unificada em tais condições não é apenas tedioso e ineficiente, mas, com frequência, é um
erro. Também é difícil solucionar problemas de conectividade ou resolver de forma rápida e eficiente eventos de
segurança em tal ambiente.

O Modelo 2.0 oferece suporte ao gerenciamento de segurança integrado que permite às organizações traduzir
suas definições de segurança em um conjunto simples de regras e implementar consistentemente essas regras
em ambientes complexos multinuvens e de nuvem híbrida.

Outros desafios frequentemente encontrados em ambientes multinuvens são a implementação de uma política de
segurança unificada e a obtenção de visibilidade de ponta a ponta em eventos de segurança.

O servidor de gerenciamento de segurança (security management server, SMS) Check Point R80 é uma solução
integrada de gerenciamento de segurança que inclui política, registro, monitoramento, correlação de eventos
e relatórios. Compatível com todos os principais provedores de nuvem pública e privada, o SMS permite que
as organizações traduzam suas definições de segurança em um conjunto simples de regras que podem ser
administradas e aplicadas de forma eficiente como uma política de segurança unificada. Os administradores
também podem identificar facilmente os riscos de segurança em todo o ambiente.

Figura 7: servidor de gerenciamento de segurança Check Point R80 para gerenciamento unificado
 MODELO DE SEGURANÇA EM NUVEM 2.0: ARQUITETURAS E SOLUÇÕES | 18

A implantação do R80 SMS é flexível e ele pode estar localizado em qualquer ponto no ambiente. Também é
possível configurar o servidor de gerenciamento no modo de alta disponibilidade entre plataformas (por exemplo,
um servidor de gerenciamento principal situado no local com um servidor de backup situado em um local
secundário de recuperação de desastres).

A gestão unificada também é uma das principais propostas de valor do CloudGuard Dome9, com sua interface
centralizada que simplifica o gerenciamento e a orquestração da segurança em todos os ativos da nuvem.

Resumo
O modelo de segurança em nuvem 2.0 é uma estrutura de design com práticas recomendadas de segurança em
nuvem para criar uma infraestrutura segura baseada em nuvem segundo princípios arquitetônicos essenciais
de segurança em nuvem de proteção contra ameaça avançada em todos os vetores de ataque (rede, dados,
mensagens de identidade, usuários), security by design, segmentação, agilidade segura, automação robusta,
além da independência do provedor.

O desenho do modelo 2.0 assegura que todo o tráfego que circula em ambientes de rede isolados deve
atravessar os controles de segurança de um agente central. Cada ambiente isolado é um segmento cujos
controles de segurança podem ser ajustados para o tipo de tráfego de entrada e de saída. Os segmentos
voltados para a internet, por exemplo, serão configurados para monitorar o tráfego externo de entrada em
relação a ameaças ou anomalias e podem bloquear sistematicamente a movimentação lateral do tráfego. Por
outro lado, os segmentos privados (corporativos) podem ser configurados para inspecionar e proteger o tráfego
lateral de forma eficaz.

O desenho do Modelo 2.0 também oferece suporte à agilidade dos negócios. Proprietários de segmentos,
como diferentes linhas de negócios, têm a liberdade de operar, mas controles de segurança gerenciados
centralmente garantem que as políticas de segurança da organização sejam mantidas de forma consistente em
todas as plataformas e contas.

Os produtos de segurança em nuvem da Check Point, CloudGuard IaaS, CloudGuard Dome9 e CloudGuard Log.
ic, trabalham juntos para garantir implementações contínuas do Modelo 2.0.

O CloudGuard IaaS, por exemplo, aplica segurança de perímetro avançada nos hubs, implementa uma malha
de VPN visando à conectividade segura em vários provedores, contas e ativos e permite que as organizações
eficientemente administrem e coloquem em vigor uma política de segurança baseada em regras em
ambientes complexos. O CloudGuard IaaS também é compatível com a automação e a orquestração no nível de
implantação da infraestrutura (usando modelos de implementação), bem como provisionamento dinâmico de
recursos durante o período de execução para oferecer suporte seguro a serviços de nuvem de autoexpansão e
balanceamento de carga. Além disso, a automação no nível das políticas permite que objetos nativos da nuvem
se adaptem automaticamente à política de segurança da organização. O CloudGuard IaaS também é compatível
com implantações resilientes em várias zonas.
 MODELO DE SEGURANÇA EM NUVEM 2.0: ARQUITETURAS E SOLUÇÕES | 19

O CloudGuard Dome9 é uma solução de gerenciamento de postura de segurança em nuvem (cloud security
posture management, CSPM) SaaS robusta que visualiza e aplica consistentemente a postura de segurança
de uma organização em todos os provedores e serviços. O CloudGuard Dome9 identifica e alerta rapidamente
o tráfego anômalo em qualquer lugar do ambiente da organização, assegurando respostas rápidas e, quando
relevante, acionando fluxos de trabalho de resolução automatizados. Seu mecanismo de conformidade monitora
continuamente a conformidade com requisitos de terceiros ou corporativos, fornecendo conjuntos de regras
que podem ser usados “como estão” ou personalizados para as necessidades de conformidade específicas
da organização. O CloudGuard Dome9 fortalece os serviços de IAM nativos da nuvem para proteger ativos e
operações sensíveis com elevações de privilégios por tempo limitado.

Por último, mas não menos importante, o CloudGuard Log.ic é uma ferramenta de inteligência de segurança em
nuvem que gera percepções acionáveis e contexto acionáveis a partir dos registros de eventos e de tráfego de rede
dos provedores de nuvem.

Entre em contato com a Check Point para obter mais informações ou para agendar uma demonstração de uma
ou mais das soluções de segurança em nuvem acima para ajudá-lo a desenhar uma arquitetura de nuvem segura.

Sede mundial
5 Ha’Solelim Street, Tel Aviv 67897, Israel | Tel: 972-3-753-4555 | Fax: 972-3-624-1100 | E-mail: info@checkpoint.com
U.S. Headquarters
959 Skyway Road, Suite 300, San Carlos, CA 94070 | Tel: 800-429-4391; 650-628-2000 | Fax: 650-654-4233
www.checkpoint.com
© 2020 Check Point Software Technologies Ltd. Todos os direitos reservados.