BLOG

Aperfeiçoamento da segurança operacional na nuvem

Miniatura de Lori MacVittie
Lori MacVittie
Publicado em 03 de junho de 2019

Se você deseja manter baixos os custos de operação na nuvem, dê uma olhada em suas práticas de segurança no lado do gerenciamento de operações.

A maior parte da atenção em segurança hoje em dia vai para protocolos de aplicativos e vulnerabilidades na própria pilha de aplicativos. Isso não é surpresa, já que a maioria das violações ocorre porque vulnerabilidades em plataformas e estruturas comuns oferecem um rico conjunto de alvos fáceis.

Mas não vamos ignorar o lado cada vez mais acessível da gestão do negócio. À medida que movemos os aplicativos para a nuvem pública, muitas vezes perdemos o foco na importância de isolar o tráfego de gerenciamento do acesso fácil. No local, isso foi fácil. A rede de gerenciamento estava inacessível ao público. Nós os mantivemos bloqueados em uma rede não roteável que só era acessível internamente. Como migramos os aplicativos e sua infraestrutura de serviços de aplicativos para a nuvem, precisamos de gerenciamento acessível publicamente porque os operadores agora estão remotos.

Embora tenhamos feito a transição do Telnet (exceto todos os dispositivos IoT que precisam se atualizar) para o SSH e até mesmo praticado bons comportamentos de geração de senhas, não necessariamente analisamos como aproveitar melhor a segurança nativa da nuvem junto com nossas próprias práticas.

É o uso de serviços de segurança de provedores de nuvem que pode impactar drasticamente os custos operacionais de fazer negócios na nuvem, especialmente quando se trata de gerenciar a infraestrutura de serviços de aplicativos.

A ameaça é real

Se você não teve a oportunidade de ler o artigo do F5 Labs sobre os nomes de usuário e senhas mais atacados, deveria. Nele, você aprenderá que o SSH é um serviço altamente segmentado. Mais do que qualquer outro, ao que parece.

Do artigo:

Em termos de volume de ataque, os invasores concentram mais tempo e esforço atacando SSH do que qualquer outro serviço online. O acesso forçado a logins administrativos de aplicativos de produção via SSH ocorre 2,7 vezes mais do que ataques contra o próprio aplicativo via HTTP (invasores tentando explorar vulnerabilidades de aplicativos web).

E por que não? O controle administrativo sobre a infraestrutura de serviços de aplicativos oferece muito poder, incluindo a capacidade de modificar políticas que poderiam impedir o acesso fácil a aplicativos da web. No caso do Kubernetes — frequentemente visado devido à falha em exigir credenciais — o acesso é desejado para cultivar recursos às custas de outra pessoa.

Mas você é especialista em segurança e exige senhas fortes para todo acesso à infraestrutura. Sua senha SSH é tão forte que você precisa parar e pensar sobre qual é a senha para digitá-la. Toda vez.

Agora, a declaração óbvia do século: senhas fortes não impedem ataques. Eles apenas atenuam ataques bem-sucedidos. Você não pode impedir alguém de lançar um ataque. Você realmente não pode. Você só pode detectar e impedir que ele seja bem-sucedido.

Mas, enquanto isso, esse ataque tem custos operacionais reais associados. Porque você pratica uma segurança inteligente e todas essas tentativas frustradas são registradas. Todo. Solteiro. Um.

E para cada tentativa frustrada que você bloqueia, você está consumindo recursos. Largura de banda. Armazenar. Calcular.  

Use serviços nativos da nuvem para aumentar as práticas de segurança

Todos os principais provedores de nuvem (e provavelmente os menores também) fornecem controles básicos de segurança de rede que podem ser usados para bloquear o acesso de gerenciamento à infraestrutura de serviços de aplicativos. Os grupos de segurança da AWS (SGs) e os grupos de segurança de rede do Azure (NSG) funcionam da mesma forma que um firewall: eles filtram o tráfego que entra (e sai) de uma instância. No caso de acesso de gerenciamento, esta pode ser uma ferramenta importante no seu conjunto de ferramentas de segurança. Ao bloquear o acesso apenas a endereços IP conhecidos (ou intervalos especificados), você pode reduzir drasticamente o volume de ataques que atingem sua infraestrutura. Isso pode manter os custos baixos evitando o consumo excessivo de computação, largura de banda e armazenamento.

Este é o mesmo princípio que incentiva o uso de firewalls de aplicativos da web na nuvem como proteção para aplicativos e melhores práticas operacionais. A intenção é interromper o ataque antes que ele consuma quantidades excessivas de recursos.  Mesmo que esse ataque tivesse falhado, o fato é que as tentativas provavelmente forçariam eventos de dimensionamento automático que custariam dinheiro à empresa ou interromperiam a disponibilidade para usuários legítimos. Nenhum dos dois é um resultado desejável.

Como regra geral, quanto mais perto da fonte do ataque você puder impedi-lo, mais seguro estará e menor será o custo para o negócio.

Aumentar. Não substitua.

A chave para usar serviços nativos da nuvem em sua prática de segurança é "aumentar". O uso de senhas SSH fortes é bom. Combiná-lo com um forte controle de acesso é melhor. Mas nunca, jamais, abandone práticas de senhas fortes em favor apenas de grupos de segurança. Use os dois juntos para garantir a segurança e restringir o custo de fazer negócios na nuvem.