A Check Point Software Technologies Ltd. aponta a estratégia que considera mais adequada às organizações dispostas a mudar a segurança de rede convencional para proteção de rede em nuvem. Essa transformação requer recursos, ferramentas e estratégias adicionais que possivelmente não estão em vigor se suas cargas de trabalho tradicionalmente fossem executadas no local.
“A segurança da rede na nuvem pode não parecer muito diferente da segurança da rede tradicional – e não é, pelo menos em alguns aspectos. As redes em nuvem usam os mesmos paradigmas e protocolos fundamentais das redes locais, portanto, há alguma sobreposição entre a segurança da rede na nuvem e da rede convencional. De acordo com analistas do setor, os firewalls são tão fundamentais na nuvem quanto on premise (ou no seu datacenter local), por exemplo, como observa o Gartner, ‘os firewalls de rede continuam sendo os principais controles de segurança da rede’ ”, explica Fernando de Falchi, gerente de Engenharia de Segurança da Check Point Software Brasil.
De acordo com Falchi, apesar de existir algumas semelhanças entre redes em nuvem e redes locais, há também diferenças cruciais. “Se a organização implementar aplicações nativas da nuvem, por exemplo, provavelmente encontrará redes internas complexas e componentes adicionais de gerenciamento de rede – como malhas de serviço (service mesh) e controladores de entrada (ingress controllers) – que não encontraria na maioria dos ambientes locais. Por isso, é importante primeiro entender a segurança na nuvem em geral.”
Atualmente, um modelo popular a se pensar em relação à segurança na nuvem é o conceito do Gartner de Cloud Native Application Protection Platform, ou CNAPP. As plataformas CNAPPs são projetadas para segurança de aplicações nativas da nuvem, ou seja, aquelas executadas em ambientes baseados em nuvem, e protegendo todas as camadas da pilha de hospedagem e todos os estágios do ciclo de vida de entrega de software.
Como as aplicações nativas da nuvem geralmente incluem arquiteturas de rede complexas, as CNAPPs devem proteger diversas partes da funcionalidade da rede, desde firewalls e balanceadores de carga de próxima geração até aplicativos Web e APIs. Devem também fornecer segmentação granular e proteger o tráfego nos sentidos “norte-sul” e laterais “leste-oeste”.
Segurança de rede em nuvem única, nuvem híbrida e multinuvem
Independentemente da arquitetura de nuvem adotada pela organização, todos os tipos de ambientes – nuvem única, multinuvem e nuvem híbrida – dependem da rede para unir a infraestrutura e as cargas de trabalho. Portanto, todos estão sujeitos a riscos graves quando a segurança da rede na nuvem é comprometida. Isso torna fundamental implementar uma solução de segurança de rede que possa oferecer suporte a todos os recursos de nuvem de maneira consistente e eficiente, independentemente do tipo de nuvem que os hospeda.
Outro ponto a ser observado são os modelos de responsabilidade compartilhada, os quais não isentam as empresas da necessidade de proteger redes em nuvem. Os modelos de responsabilidade compartilhada são acordos que os provedores de nuvem fazem com seus clientes, nos quais o provedor de nuvem é responsável por proteger alguns componentes do ambiente de nuvem e seus clientes são responsáveis por outros.
“Do ponto de vista da segurança da rede, os modelos de responsabilidade compartilhada exigem que os fornecedores de nuvem protejam a infraestrutura de rede física, como switches e roteadores, que fornecem conectividade às suas infraestruturas de nuvem. Mas, a tarefa de proteger quaisquer redes virtuais configuradas pelos clientes e o tráfego que entra e sai do ambiente de nuvem, atravessando essas redes virtuais, cabe aos clientes”, explica Falchi.
Um exemplo disso é que o provedor de nuvem não irá salvar o usuário se ele acidentalmente deixar VMs vulneráveis baseadas em nuvem sem correção. Mas, um bom sistema de prevenção de intrusões ou proteções para aplicações WEB e APIs reduziria esse risco. Cabe ao usuário gerenciar os riscos de segurança de rede em nuvem como esses, adotando o conjunto certo de ferramentas e soluções, sejam elas ferramentas de segurança dos próprios fornecedores de nuvem, soluções DIY (Do It Yourself / Faça você mesmo) ou produtos de fornecedores de segurança cibernética para proteger a nuvem.
Desafios de segurança de rede em nuvem
De certa forma, a segurança da rede na nuvem se assemelha à segurança da rede convencional. Envolve garantir que o acesso aos ativos da nuvem seja restrito por meio de firewalls, que as portas vulneráveis sejam deixadas fechadas, que o tráfego de rede suspeito possa ser identificado e bloqueado e assim por diante.
Mas em outros aspectos, a segurança da rede na nuvem apresenta alguns desafios únicos, incluindo:
• Complexidade da rede em nuvem: as redes em nuvem tendem a ser mais complexas do que as redes locais. Eles podem incluir uma ampla variedade de sub-redes, nuvens privadas virtuais (por exemplo, Amazon VPC), redes de sobreposição e possivelmente até interconexões entre diversas nuvens. Identificar e remediar riscos de segurança é mais difícil dada esta complexidade.
• Menos visibilidade: Na nuvem, as empresas não podem acessar diretamente a infraestrutura de rede física, o que significa que têm menos visibilidade sobre o que está acontecendo em suas redes.
• Natureza dinâmica dos ativos em nuvem: os ativos locais são normalmente mais permanentes e estáticos, enquanto os ativos em nuvem são mais dinâmicos. Na nuvem, os endereços IP podem mudar rapidamente, por exemplo, e os ativos podem aumentar ou diminuir rapidamente. A natureza dinâmica da nuvem pode tornar mais desafiadora a prevenção de riscos de segurança.
• Nenhum perímetro de rede: o usuário pode usar um firewall para segmentar toda a sua rede local a partir da Internet, se desejar, mas não pode desconectar sua nuvem dessa maneira. Isso significa que as redes em nuvem têm perímetros mais complexos. Pode-se usar soluções de fornecedores de nuvem para criar algum isolamento entre os ativos baseados em nuvem e a Internet, mas, no final das contas, esses ativos ainda podem estar expostos a ameaças no nível da rede.
Por estas razões, a segurança da rede na nuvem requer uma abordagem diferente da segurança tradicional, pois não se pode simplesmente transferir as ferramentas e os processos de segurança de rede locais para a nuvem.
Por fim, Falchi reforça as melhores práticas para configurar e manter controles de segurança de rede na nuvem. Além de implementar as ferramentas de segurança certas, seguir práticas recomendadas como as listadas a seguir podem fortalecer ainda mais a segurança da rede em nuvem:
• Zero Trust: Este modelo de segurança inclui não permitir que recursos que ingressam em uma rede em nuvem interajam com outros recursos até que sejam verificados e determinados como seguros.
• Privilégio mínimo: ao restringir as entidades da nuvem aos privilégios mínimos necessários, o usuário pode reduzir o risco e o escopo de violações de segurança devido a configurações de permissões inseguras. A metodologia de privilégios mínimos também contextualiza a segurança da rede, ajudando os administradores a estabelecerem qual função cada usuário deve ter.
• Segmentação: Segmentação significa restringir a comunicação entre redes virtuais dentro da nuvem, o que reduz o risco de violações se espalharem entre redes.