Segurança na nuvem tem sido uma constante preocupação para os CISOs (Chefes de Segurança da Informação) e CFOs (Diretores Financeiros).
A maioria das empresas ou já fizeram ou estão passando por uma migração para estruturas em nuvem. A maioria dos provedores de serviços em nuvem (CSP) escolhidos são Azure, Amazon Web Services (AWS) e Google Cloud Platform.
Entretanto, essas plataformas fornecem ferramentas básicas de segurança na nuvem e de gerenciamento de segredos, ou seja, são insuficientes em vários aspectos importantes. Outro ponto alarmante, 74% das empresas não sabem quantas chaves ou certificados possuem em toda a organização, aumentando a complexidade operacional.
Migrar para a nuvem introduz novas vulnerabilidades, uma vez que o crescimento de ativos e tecnologias na nuvem amplia as superfícies de ataque. Consequentemente, criminosos adotam técnicas cada vez mais sofisticadas.
Hackers utilizando credenciais comprometidas são responsáveis por 61% das violações de segurança, resultando em vazamentos generalizados de informações sensíveis e em consequências potencialmente catastróficas.
Segurança na nuvem: principais problemas para CISOs e CFOs
CISOs
Para os CISOs uma ferramenta básica de gerenciamento de segredos de servidores e ainda uma segurança na nuvem limitada, podem causar sérios danos. Além disso, precisam lidar com complexidades operacionais como por exemplo, não saberem quantas chaves ou certificados possuem em toda organização
Distribuição e rotação de segredos: Dificuldade em distribuir e alternar segredos de forma eficiente e segura sem interromper serviços críticos. Caso essa a alternância de segredos sofra vazamentos pode resultar em acesso não autorizado e violação de dados.
Gestão Multiplataforma: A complexidade de gerenciar segredos através de diferentes plataformas de nuvem (AWS, Azure, GCP) e ambientes locais.
Conectividade Limitada com Terceiros: Dificuldades na integração com plataformas e ferramentas de terceiros, como sistemas CI/CD autoimplantados e clusters Kubernetes não gerenciados.
Federação e Autenticação: A falta de um serviço federado para autenticação pode dificultar a centralização e a padronização dos processos de segurança.
Compliance e Segurança: Conformidade Regulamentar: Manter a conformidade com diversas regulamentações de proteção de dados e privacidade.
Acesso do CSP a Dados Críticos: Preocupação com a possibilidade de CSPs terem acesso às chaves de criptografia e dados críticos, especialmente devido a leis como a CLOUD Act.
CFOs
Na maioria das vezes, as pessoas nesse cargo precisam encontrar soluções com um ótimo custo-benefício e ainda demonstrar que o investimento aumentou a produtividade, eficiência e em alguns casos, gerou lucro.
1 . Custos e Orçamento:
Custo de Implementação e Manutenção: Controlar os custos associados à implementação e manutenção de soluções complexas de gestão de segredos e segurança na nuvem.
ROI de Investimentos em Segurança: Dificuldades em justificar o retorno sobre o investimento (ROI) em soluções de segurança avançadas.
2 . Riscos Financeiros:
Impacto Financeiro de Violações de Dados: Os custos associados a violações de dados podem ser astronômicos, incluindo multas, indenizações e perda de confiança dos investidores.
Mitigação de Riscos: A necessidade de implementar soluções que minimizem os riscos financeiros sem extrapolar os orçamentos disponíveis.
3 . Operações Integradas e Escalabilidade:
Eficiência Operacional: Garantir que as soluções de segurança não interfiram na eficiência operacional e no desempenho dos negócios.
Escalabilidade: Adotar soluções que possam escalar de forma eficaz com o crescimento da empresa e a expansão da infraestrutura de TI.
Assim, diante dos desafios apresentados anteriormente pelos provedores e da necessidade crucial de um gerenciamento eficiente de segredos e segurança na nuvem, é essencial adotar uma solução que suporte ambientes híbridos e multinuvem.
Ao fazer isso, é possível reduzir significativamente os riscos, diminuindo em até 70% os impactos negativos para CISOs e CFOs. Uma solução robusta e integrada proporciona maior controle sobre os segredos, assegura conformidade regulatória, e promove maior tranquilidade nas operações empresariais.
Segurança na nuvem e as limitações do AWS, Azure e Google Cloud
Provedores de serviços em nuvem (CSPs), como Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP), são uma parte importante da migração das organizações para a nuvem. Mas eles estão seguros?
Embora as plataformas CSP forneçam ferramentas básicas de gerenciamento de segredos, essas ferramentas são insuficientes em vários aspectos importantes.
Suporte para nuvem híbrida e multinuvem
Atualmente, os recursos e as cargas de trabalho das organizações abrangem frequentemente ambientes locais e em nuvem e geralmente incluem mais de uma plataforma em nuvem.
No entanto, uma solução de gerenciamento de segredos específica para um provedor de serviço em nuvem não se destina a oferecer suporte a processos locais ou outras plataformas em nuvem. As soluções CSP não possuem um serviço de federação para autenticação.
Portanto, uma solução de gerenciamento de segredos proprietária de uma plataforma de nuvem não pode oferecer suporte a serviços e recursos encontrados em uma plataforma de nuvem diferente o que deixa a segurança de dados na nuvem limitada e dependente de outros fornecedores.
Além disso, as cargas de trabalho locais não podem aproveitar o cofre de segredos do CSP sem uma chave de acesso. Isto resulta no dilema de onde e como esta chave pode ser protegida.
Acesso a chaves e dados
Uma grande preocupação para organizações que lidam com dados confidenciais é que, ao utilizar uma solução de segredos do provedor de serviço em nuvem (CSP), a empresa concede ao CSP acesso total às chaves de criptografia. Consequentemente, aos dados da empresa.
Isto torna a organização vulnerável, especialmente porque a lei CLOUD obriga os servidores a entregar as chaves e os dados ao governo, se solicitado.
Assim, a maioria das organizações que escolhe uma solução de segredos CSP sacrifica a cobertura de segredos e processos encontrados no local ou em outras plataformas de nuvem. Ocasionando mais uma vez vulnerabilidades da segurança de dados na nuvem.
Tal situação é potencialmente perigosa e pouco contribui para resolver o problema crescente da “expansão secreta”. Pois, os segredos ainda podem ser encontrados nos bancos de dados, repositórios de código e ferramentas de CI/CD da empresa.
Funcionalidade de segredos: segredos girados e dinâmicos
Uma parte importante do gerenciamento de segredos é a necessidade de alternar segredos regularmente. Sem essa capacidade, qualquer segredo vazado pode ser ativado a qualquer momento, colocando em risco os dados e processos organizacionais.
Na verdade, à medida que as organizações procuram melhorar a sua postura de segurança na nuvem, muitas começaram a utilizar segredos dinâmicos Just-In-Time (JIT). Entretanto, eles expiram automaticamente e aumentam mais a janela de oportunidade para um ataque malicioso.
As soluções de segredos dos provedores de serviços em nuvem geralmente tratam apenas de segredos estáticos. Não oferecem rotação regular nem a criação de segredos dinâmicos Just-In-Time, necessários para recursos efêmeros.
Isso exige conectividade contínua com serviços fora ou dentro da plataforma. Sem essas funcionalidades, as organizações ficam com a segurança de dados na nuvem vulneráveis a hacks e vazamentos. Pois, os segredos estáticos não são alterados ou revogados.
Os provedores utilizam uma abordagem de “jardim murado” que é inadequada para o ambiente de TI moderno. Apenas visam processos dentro da plataforma de nuvem e possuem pouca conectividade com plataformas de terceiros. Como ferramentas de CI/CD autoimplantadas e clusters Kubernetes não gerenciados.
Isso causa grandes problemas para equipes de DevOps que precisam desenvolver aplicativos rapidamente, pois elas necessitam injetar segredos de forma ágil e contínua.
Ferramenta para segurança na nuvem: CipherTrust Secrets
O CipherTrust Secrets Management (CSM) da Thales foi desenvolvido para oferecer suporte a ambientes híbridos multinuvem e DevOps. Ele fornece um serviço centralizado que lida com segredos para múltiplas plataformas de nuvem e ambientes locais.
Além disso, o CSM autentica plataformas em nuvem usando a conectividade padrão do provedor e autentica com segurança serviços e recursos locais por meio de sua Identidade Universal recurso, o que aumenta a segurança na nuvem.
Também permite que suas equipes de segurança, nuvem e DevOps gerenciem facilmente segredos estáticos, alternados e dinâmicos (Just-In-Time). Isso é feito por meio de uma CLI ou de uma interface web fácil. As equipes podem configurar uma ampla variedade de segredos alternados e segredos dinâmicos para qualquer protocolo, plataforma de nuvem, banco de dados ou serviço.
O CSM se adapta facilmente às ferramentas e processos DevOps existentes, com múltiplas integrações e plug-ins que permitem aos desenvolvedores injetar ou criar segredos automaticamente conforme necessário, sem retardar o desenvolvimento.
Ademais, e alimentado pelo Akeyless Vault, e integra facilmente com outras aplicações de terceiros, como GitHub, Kubernetes, OpenShift e muito mais.
Sobre a Eval
Somos líderes em serviços e soluções de alta tecnologia, com foco em Assinaturas Eletrônicas, Autenticação, Proteção de Dados e Inteligência Artificial. Com expertise na criação de soluções e tecnologias emergentes, oferecemos valor real e melhorias palpáveis aos nossos clientes.
Nossa equipe, composta por especialistas inovadores, está constantemente buscando novas formas de resolver desafios, garantindo que seu projeto esteja em boas mãos.
Entre em contato conosco hoje mesmo para descobrir como podemos ajudá-lo a reduzir custos, mantendo elevados padrões de segurança e confiabilidade.
