Exposição indevida de dados confidenciais: um problema de falta de gestão

Nos últimos dias, alguns veículos especializados em segurança deram visibilidade a uma revelação feita por Ben Morris, um analista da empresa de segurança Bishop Fox, durante a conferência de segurança DefCon 2019. O executivo apresentou um estudo que mostra como empresas, startups e governos estão, inadvertidamente, vazando seus próprios arquivos na nuvem. Segundo Morris, os backups de certas companhias estão vazando centenas de informações sigilosas de clientes, com dados como chaves de acesso, credenciais administrativas e códigos-fonte de certas aplicações.

O acontecido levanta uma discussão relevante no mercado de TI sobre a importância da governança do ambiente de cloud.

De fato, a falta de gestão do ambiente de nuvem pode trazer grandes prejuízos para as corporações, como custo elevado de manutenção e falhas de segurança relacionadas a configuração das soluções. Neste caso específico revelado por Ben Morris, vale lembrar que a solução utilizada (EBS Snapshots) possui acesso privado por default, ou seja, este foi um erro de configuração cometido pelos responsáveis pela arquitetura da aplicação que roda na nuvem.

Para entender de quem é a incumbência por garantir a segurança da nuvem, é essencial ter em mente que o mercado, assim como a Amazon Web Services (AWS), citada nesse caso, trabalha com o modelo de “Responsabilidade Compartilhada”. Isso equivale a dizer que segurança e conformidade são atribuições compartilhadas entre o provedor e o cliente que roda suas aplicações na nuvem.

Segundo este modelo, a AWS é responsável por proteger a infraestrutura que executa todos os serviços oferecidos na nuvem. Essa infraestrutura é composta por hardware, software, redes e instalações que executam os serviços da provedora. Por sua vez, o cliente  tem a responsabilidade determinada pelos serviços de nuvem que ele mesmo selecionou. Isso inclui a quantidade de operações de configuração que ele deverá executar como parte de suas responsabilidades de segurança. Por exemplo, um serviço como o Amazon Elastic Compute Cloud (Amazon EC2) é categorizado como Infrastructure as a Service (IaaS – Infraestrutura como serviço) e, dessa forma, exige que o cliente execute todas as tarefas necessárias de configuração e gerenciamento da segurança.

Aqueles que implantam uma instância do Amazon EC2 são responsáveis pelo gerenciamento do sistema operacional convidado (o que inclui atualizações e patches de segurança), por qualquer utilitário ou software de aplicativo instalado nas instâncias, bem como pela configuração do firewall disponibilizado pela AWS (chamado de grupo de segurança) em cada instância. Para serviços abstraídos, como o Amazon S3 e o Amazon DynamoDB, a AWS opera a camada de infraestrutura, o sistema operacional e as plataformas, e os clientes acessam os endpoints para armazenar e recuperar dados. Os clientes são responsáveis por gerenciar os dados deles (o que inclui opções de criptografia), classificando os ativos e usando as ferramentas de IAM para aplicar as permissões apropriadas de acesso, bem como outros recursos nativos de segurança na nuvem para controlar regras de acesso de rede e proteção de dados.

Neste contexto, ter um parceiro para sustentação do seu ambiente em nuvem pública é importante para que sejam seguidas as melhores práticas de compliance, além de gerir de forma inteligente e segura todas as soluções fornecidas pela AWS.

A partir do momento em que uma empresa inicia sua jornada pelo cloud computing,  é importante que seja implementada a governança do ambiente, além da definição de padrões e automatização do máximo de suas implantações para evitar erros nas configurações de segurança.

O AWS Trusted Advisor, por exemplo, analisa todo o ambiente da AWS e disponibiliza recomendações de melhores práticas em cinco categorias: otimização de custos, Performance, Segurança, Fault Tolerance e  Service Limits. Todos os clientes AWS têm acesso às principais verificações do Trusted Advisor para ajudar a melhorar sua segurança, com análises das permissões de bucket do S3, Security Groups – Specific Ports Unrestricted, IAM Use, MFA on Root Account,  Snapshots públicos do EBS e Snapshots públicos do RDS.

Por fim, se você já possui uma aplicação na nuvem da AWS, é importante fazer uma análise do seu ambiente com a ajuda do AWS Trusted Advisor. Após tomar nota sobre os pontos a melhorar, é hora de corrigir as falhas e contar com uma boa parceria para a sustentação da sua Cloud. Por isso mesmo, encontre um parceiro de confiança e que esteja disposto a atender todas suas necessidades em Cloud Computing.

*Por Luiz Pessol, Technical Account Manager da Claranet Brasil