Responsabilidade Compartilhada na Nuvem. O que você tem a ver com isso?

Temos experimentado uma mudança muito grande na forma como arquitetamos e executamos nossas aplicações. Muita coisa mudou desde a utilização de modelos arquiteturais mais antigos até a explosão da utilização da computação em nuvem.

Se alguém te dissesse – a dez ou quinze anos atrás – que suas aplicações estariam fora do seu data center, você acreditaria? Ou melhor, você confiaria?

A gestão e o controle da infraestrutura e das aplicações mudaram consideravelmente. Enquanto no ambiente on premises estávamos muito acostumados a ter o controle de praticamente tudo, passamos a ter maior dificuldade em alcançarmos os mesmos níveis quando estamos na nuvem.

Uma das considerações mais importantes nessa jornada para a nuvem é o Modelo de Responsabilidade Compartilhada. Nesse modelo, as responsabilidades são divididas entre o cliente e o provedor de nuvem. Até aqui tudo bem, pois ainda estamos na teoria. A prática é um pouco diferente, pois exige que as equipes tenham conhecimento profundo desse modelo e quais são as responsabilidades reais de cada uma delas nesse acordo entre as partes.

Dependendo do serviço consumido na nuvem, o cliente ainda é o único responsável por executar todas as tarefas necessárias de configuração e gerenciamento, classificar os ativos, garantir a conformidade com a baseline de Segurança adotada, entender o correto funcionamento de todos os controles, e assim por diante. O provedor é o responsável por garantir a segurança da infraestrutura na nuvem (as máquinas, os data centers, os serviços que são oferecidos, etc) mas o cliente é o responsável pela Segurança do seu serviço dentro da nuvem (configurar os controles de segurança nativos do ambiente, configurações de rede, criptografia, sistemas operacionais, gestão da identidade, dados, entre outros).

A Segurança da nuvem é boa mas se você não souber configurar e monitorar corretamente, você estará exposto a muitos ataques. O ponto importante que quero destacar é que o provedor de nuvem não é o único responsável.

Três importantes pontos que devemos levar em consideração (e que são reforçados por pesquisas na área que estamos discutindo):

1)     Visibilidade: uso de APIs para descobrir o estado atual na nuvem, ou seja, quais são os seus ativos, controles de segurança e os metadados associados a esses ativos. Ao descobrir o estado atual é possível detectar problemas que porventura existam nas aplicações e gerar alertas que ajudarão a melhorar a postura de Segurança na nuvem.

2)     Conformidade: de acordo com o Gartner, o problema número um de ataques na nuvem é a configuração incorreta dos controles de Segurança. Muitos ainda não conhecem os “guardrail policies” que nada mais são do que regras em torno do uso de recursos self-service, dando aos usuários a velocidade que eles precisam para consumirem os recursos da nuvem mas dentro dos padrões de conformidade e controles (preventivos ou detectivos) estabelecidos pela empresa.

3)     Governança: um dos tópicos que podemos explorar aqui é a habilidade de detectar problemas de Segurança usando a técnica de microsegmentação, por exemplo. Vamos imaginar um cenário comum de arquitetura de uma aplicação de três camadas: Web, Aplicação e Banco de dados. Tipicamente o tráfego entra pelo servidor Web, que repassa a requisição para o servidor de Aplicação, que trata as lógicas de negócio e, por fim, chega ao servidor de Banco de dados. O servidor Web nunca precisaria se comunicar diretamente com o servidor de Banco de dados. Se alguém colocar um malware dentro do servidor Web, por exemplo, e tentar acessar o servidor de Banco de dados, a política de microsegmentação não vai deixar. Na nuvem isso é feito através da utilização dos Cloud Native Firewalls, que na AWS são chamados de Security Groups. A ideia é aplicar o príncipio de menor privilégio (least privilege), permitindo somente o tráfego necessário para a aplicação funcionar.

Muito mais pode ser dito a respeito dos desafios envolvidos na jornada para a nuvem e aos poucos vamos tratando cada um deles. A minha ideia aqui é criar uma série de artigos explorando o tema.

Espero que essa informação seja útil de alguma forma para você que está lendo. Fique à vontade para comentar e enriquecer o tema.

Até a próxima!