As nuvens públicas criaram ambientes elásticos sob demanda, que podem ser facilmente dimensionados para atender às necessidades de negócios em constante transformação. Os aplicativos fizeram a transição de blocos de código monolíticos e estáticos para microsserviços, um tipo inovador de arquitetura de software, que consiste em construir aplicações desmembrando-as em serviços independentes.
Estes serviços comunicam-se entre si e promovem grande agilidade aos times de desenvolvimento. Os microsserviços podem ser implantados em diferentes provedores de nuvem pública, em diferentes regiões e com diferentes sistemas operacionais baseados em automação em escala, impondo desafios para as práticas de segurança existentes que visam reduzir a exposição ao risco e evitar o movimento lateral de malfeitores.
Como a escala e o escopo dos ataques cibernéticos estão em constante evolução, cada vez mais organizações estão implementando a microssegmentação como parte essencial de uma estratégia de defesa mais abrangente. De acordo com a pesquisa “The State of Security Segmentation” realizada pela Illumio em 2020 com mais de 300 profissionais de TI, 45% dos entrevistados declararam já ter um projeto de segmentação ou estão planejando um.
Todos os principais provedores de nuvem pública têm suas próprias soluções de segurança em nuvem, permitindo também níveis básicos de aplicação de políticas de controle. À medida que sua computação em nuvem expande, é possível solicitar ao seu provedor de nuvem pública um aumento nas funções de segurança, elevando a complexidade operacional e ampliando o risco de quebra de serviços impostos pelo excesso de regras. Além disso, essas ferramentas de segurança em nuvem estão isoladas na arquitetura geral. Cada solução de segurança não funciona bem na sandbox com outras e correlacionar uma violação de segurança entre todas elas é uma tarefa complicada que apresenta grandes atrasos na resolução.
Os controles de segurança evoluíram e agora fornecem a capacidade de ver a instância de computação em nuvem no contexto do aplicativo e do processo de negócios, permitindo que os usuários entendam melhor o risco e definam políticas de controle, aproveitando o firewall nativo integrado, disponível em cada instância de computação.
A primeira etapa na vida de um pacote, após sua criação, é associar uma política de controle. No momento em que um pacote atinge o ponto de encaminhamento para a rede, a segurança já foi aplicada. Essa abordagem aproxima a segurança da nuvem de onde estão as ações e os controles, independentemente da rede. Rede e segurança são dissociadas para obter o melhor dos dois mundos.
Abaixo, responderemos a cinco perguntas sobre segurança em nuvem pública, que normalmente surgem quando as organizações estão considerando a microssegmentação:
- A segurança na nuvem pode ser aplicada durante todo o ciclo de vida de uma carga de trabalho?
Certamente. Os controles de segurança da nuvem são aplicados automaticamente em uma carga de trabalho durante todo o ciclo de vida, desde a criação até o encerramento.
Ao integrar ferramentas de orquestração (como Ansible, Chef, Puppet) com a API da Illumio, as cargas de trabalho são sincronizadas com o PCE (Policy Compute Engine) da Illumio. Durante o emparelhamento, as tags associadas a uma carga de trabalho são mapeadas para rótulos (labels) no PCE e a carga de trabalho herda o conjunto certo de políticas de segurança criadas usando rótulos no PCE. Se uma carga de trabalho for rotulada incorretamente, a alteração dos rótulos acionará automaticamente as alterações apropriadas da política. Se um endereço IP de carga de trabalho for alterado, o PCE seleciona o novo endereço IP automaticamente. Como as políticas de segurança são desacopladas da rede, nenhuma alteração adicional é necessária. Quando uma carga de trabalho é encerrada, o PCE aciona automaticamente as mudanças de política apropriadas.
Ao desacoplar a rede da segmentação, as alterações de política são acionadas automaticamente, impondo o conjunto certo de controles de segurança em uma carga de trabalho, durante seu ciclo de vida completo. A segurança sempre foi importante, mas à medida que as organizações se tornam mais dependentes dos softwares para conduzir seus negócios, está se tornando cada vez mais crítico obter a segurança certa para minimizar os riscos.
- É possível obter visibilidade dos aplicativos em tempo real na nuvem pública?
Sim. Os aplicativos não ficam em uma ilha. Eles conversam e é assim que os processos de negócios funcionam.
A visibilidade em tempo real das dependências dos aplicativos nos ajuda a entender o seu comportamento que conduz a políticas de segmentação precisas. A visibilidade centrada em aplicativos é a base vital para uma boa segurança, pois os microsserviços são implantados em diferentes provedores de nuvem pública e em diferentes regiões.
O Illumio Core (anteriormente conhecido como Illumio ASP) fornece um mapa de dependência de aplicativos em tempo real chamado Illumination, que visualiza as comunicações entre cargas de trabalho e aplicativos. As linhas no mapa representam fluxos de tráfego detectados entre cargas de trabalho na nuvem ou no local. O Illumio pinta as linhas de vermelho e verde para indicar se a conexão é permitida ou bloqueada pela política de microssegmentação.
A captura de tela abaixo mostra o mapa de dependência de aplicativos do aplicativo AssetManagement no ambiente de produção. Aqui, as linhas no mapa representam os fluxos de tráfego detectados entre as cargas de trabalho. A Illumio pinta as linhas de vermelho e verde para indicar se a conexão é permitida ou bloqueada pela política de microssegmentação. Uma linha verde significa que uma política foi escrita para permitir a conexão. Uma linha vermelha significa que não existe política e que a conexão será bloqueada ao passar para o modo de aplicação. As linhas vermelhas e verdes tornam incrivelmente fácil visualizar sua política de segmentação e violações de política.
Figura1. Tela AssetManagement
Quando o agente Virtual Enforcement Node (VEN) da Illumio é instalado em uma carga de trabalho e emparelhado com o PCE, a visibilidade e a política estão ativas. O emparelhamento de um VEN a um PCE é automatizado usando ferramentas como Ansible e Terraform.
Quando o VEN não está instalado em uma carga de trabalho, usando soluções compartilhadas pelo Illumio Labs, os clientes podem visualizar a dependência do aplicativo de cargas de trabalho em execução no Microsoft Azure e Amazon AWS no PCE.
- Posso validar meus controles de segurança em nuvem em várias nuvens?
Sim pode, sem interferir na execução do seu aplicativo. Um dos maiores desafios em uma implantação de várias nuvens é a falta de segurança consistente, pois cada provedor oferece um conjunto de controles que podem ser conceitualmente semelhantes, mas diferem significativamente na implementação. A Illumio não considera a nuvem subjacente do aplicativo sem precisar depender do conhecimento ou controle da infraestrutura para desenvolver políticas de segurança.
A Illumio oferece duas soluções para validar seus controles de segurança:
- Alternar Illumination para Draft View, para visualizar o esboço da política e ver o que acontecerá quando você provisionar as alterações.
- Alternar o estado da política de cargas de trabalho para Test para aplicar todas as regras de seu conjunto de regras e visualizar todo o tráfego que seria bloqueado quando você colocasse as cargas de trabalho no estado de aplicação da política. Nenhum tráfego é bloqueado no estado de teste.
- A microssegmentação é possível em Platform as a Service (PaaS)?
Sim. O Illumio Labs compartilhou soluções que oferecem visibilidade e aplicação para bancos de dados Microsoft Azure SQL e Amazon AWS RDS.
A Illumio Labs apresenta três etapas para visibilidade e controle. Neste caso, o firewall no nível do servidor que protege o servidor de banco de dados SQL do Azure é programado usando as políticas de segurança definidas no PCE.
A Illumio Labs também oferece seis etapas para visibilidade e controle. Buckets S3 são usados para armazenar logs de fluxo que acionam uma função Lambda que reprograma os grupos de segurança VPC com base em políticas de segurança definidas no PCE.
- A Illumio pode ajudar em uma grande violação de segurança na nuvem?
Sem dúvida. Errar na segurança pode significar perda dados, violação de dados, exposição de dados confidenciais, com impacto na receita e efeitos danosos à marca e até penalidades relacionadas com a conformidade legal. A segurança não acompanhou a evolução que vimos na infraestrutura e nos aplicativos. É preciso abordar a segurança de uma nova maneira e pensar de forma diferente sobre os ambientes de aplicativos e como você os protege.
Um dos maiores desafios relacionados com uma violação na segurança é o movimento lateral. A solução Illumio foi projetada para interromper o movimento lateral e reduzir o raio de ataque. Por definição, a Illumio segue um modelo de “lista de permissões”, portanto, quando uma carga de trabalho fica comprometida, as políticas de segurança em todas as outras cargas de trabalho são atualizadas automaticamente para bloquear o tráfego da carga de trabalho comprometida.
As iniciativas de Controles de Segurança do Centro de Segurança da Internet (Center for Internet Security – CIS) são amplamente adotadas e existem há mais de 10 anos. Os controles são derivados dos padrões de ataque mais comuns destacados nos principais relatórios de ameaças e examinados por uma comunidade muito ampla de profissionais do governo e da indústria. Eles refletem o conhecimento combinado de profissionais forenses e especialistas em resposta a incidentes. Os recursos da Illumio ajudam as organizações a atender ou apoiar diretamente os controles básicos e organizacionais do CIS.
Conclusão
A microssegmentação é uma abordagem muito eficaz para evitar movimentos laterais não autorizados dentro de sua organização e não é por acaso que se tornou um princípio fundamental para uma arquitetura Zero Trust.
Conforme sua organização se expande para atender às demandas de negócios, a criação de controles de segurança consistentes que funcionem em provedores de nuvem pública torna-se crítica, para diminuir sua exposição a riscos e reduzir a complexidade. Pronto para dar o primeiro passo em sua jornada de microssegmentação?
Clique aqui e entre em contato conosco para conhecer nossas soluções. Nossa especialidade e compromisso com nossos clientes é a segurança de dados sensíveis e análise preventiva da performance de aplicações corporativas.
Fonte:
“5 Use cases for deploying micro-segmentation in public cloud environments”, Illumio, 2020 (https://www.illumio.com/blog/cloud-security)
Autor: HARISH CHAKRAVARTHY – Senior Technical Marketing Engineer
Comments are closed.
Recent Comments