O que é segurança da infraestrutura de nuvem?

A segurança da infraestrutura de nuvem refere-se às tecnologias, aos controles e às políticas projetadas para aprimorar a postura de segurança da infraestrutura de nuvem subjacente. A forte segurança da infraestrutura de nuvem ajuda a proteger contra ameaças como eventos de DDoS, perda de dados e configurações incorretas que podem levar a eventos de segurança inesperados. A segurança da infraestrutura de nuvem é um componente essencial da segurança na nuvem.

O modelo de responsabilidade compartilhada é um sistema que determina quem é responsável por medidas específicas de segurança cibernética entre um provedor de nuvem e você. As responsabilidades podem recair sobre você, o provedor de nuvem, ou ser uma responsabilidade compartilhada entre as duas partes.

Confira as principais responsabilidades de cada parte no modelo de responsabilidade compartilhada.

Responsabilidades do provedor de nuvem

Um provedor de nuvem é responsável por proteger a infraestrutura física que executa seus serviços em nuvem. Hardware, software, rede e quaisquer instalações vinculadas aos serviços são de responsabilidade do provedor de nuvem.

Suas responsabilidades

Suas responsabilidades no modelo de responsabilidade compartilhada são determinadas pelos serviços em nuvem que você seleciona. Em conjunto, esses serviços determinam o volume de configurações que você deve realizar como parte de suas responsabilidades de segurança. Você é responsável por tarefas como gerenciar seus dados, incluindo opções de criptografia, classificar seus ativos e usar ferramentas de gerenciamento de identidade e acesso (IAM) para aplicar as permissões apropriadas.

Responsabilidades compartilhadas

Alguns controles se aplicam tanto à camada de infraestrutura do provedor quanto às camadas do cliente, mas em perspectivas ou contextos separados. Onde a responsabilidade é compartilhada, o provedor de nuvem aplica os requisitos para a infraestrutura e o cliente fornece uma implementação de controles no uso dos serviços em nuvem. Exemplos disso incluem o gerenciamento de configuração, a conscientização e o treinamento.

A infraestrutura de nuvem sustenta todos os serviços em nuvem, tornando sua segurança vital para todas as workloads na nuvem.

Confira vários motivos pelos quais a segurança da infraestrutura de nuvem é importante para as empresas.

Ajude a impedir o acesso não autorizado em ambientes de nuvem

Os agentes de ameaças têm como alvo os ambientes de nuvem devido aos grandes volumes de dados que eles contêm. Configurações incorretas, controles fracos ou vulnerabilidades subjacentes na infraestrutura de nuvem podem introduzir pontos de entrada para grupos de terceiros não autorizados. As medidas de segurança da infraestrutura de nuvem devem identificar e controlar esses pontos de entrada, ajudando a manter os dados da sua empresa seguros e promovendo a confidencialidade dos dados.

Reduza as interrupções na continuidade dos negócios

Ameaças cibernéticas específicas, como eventos de negação de serviço distribuída (DDoS), visam reduzir a capacidade de uma organização funcionar conforme o esperado. Medidas de segurança de infraestrutura de nuvem, como a segmentação de rede, ajudam na defesa proativa contra ameaças internas e externas e na manutenção do tempo de atividade das operações da empresa.

Mantenha a confiança

Quando uma organização está envolvida em um evento de segurança cibernética, especialmente um relacionado aos dados do cliente armazenados na nuvem, essa questão pode causar danos à reputação. A segurança da infraestrutura de nuvem protege melhor os serviços virtualizados executados na nuvem, ajudando a garantir que os dados sensíveis da empresa permaneçam privados.

As soluções de segurança de infraestrutura de nuvem geralmente são nativas da nuvem.

Confira os principais componentes da segurança da infraestrutura de nuvem.

Gerenciamento de identidade e acesso

As organizações hospedam dados e informações sensíveis na nuvem e ajudam a garantir que usuários autorizados possam acessar esses recursos na nuvem. O gerenciamento de identidade e acesso (IAM) define quais perfis de usuário podem interagir ou localizar dados. Além dos sistemas de permissão, o IAM pode verificar a propriedade de contas na nuvem com autenticação multifator, ajudando a impedir a entrada de usuários não autorizados.

Registro em log e telemetria

Os serviços de registro em log e telemetria visam documentar ações e eventos específicos em um sistema em nuvem. Ao registrar em log cuidadosamente os eventos de acesso, a movimentação de informações e as ações de segurança cibernética, as organizações obtêm maior visibilidade de sua infraestrutura de nuvem. A telemetria operacional emitida por sistemas críticos pode criar um rastro de informações, frequentemente usado em auditorias.

Analytics

As soluções de analytics podem usar telemetria operacional e dados de logs existentes para determinar inconsistências, anomalias ou eventos inesperados que precisam de mais investigações. Sistemas de analytics, como o Security Information and Event Management (SIEM), agregam pontos de dados para alertar e rastrear possíveis eventos de segurança e ajudam a garantir que os sistemas de monitoramento de segurança da infraestrutura de nuvem estejam funcionando conforme o esperado.

Segurança de rede e dispositivos

Os funcionários acessam seu ambiente de nuvem e os recursos de nuvem armazenados nele em uma ampla gama de locais e dispositivos. Para fortalecer essa vasta superfície contra possíveis ameaças, é possível implementar uma série de soluções. Essas soluções abrangem a segurança de redes e dispositivos para o controle de tráfego de entrada e saída, a filtragem de tráfego malicioso e o isolamento de workloads, visando garantir a compartimentação das redes.

Criptografia de dados

A segurança de dados é o processo geral de garantir que todos os dados, tanto em trânsito quanto em repouso, estejam protegidos contra acesso não autorizado. A segurança da infraestrutura de nuvem pode usar políticas de classificação de dados para marcar dados com base em sua sensibilidade e aplicar várias práticas de segurança para proteger os dados. Você pode criptografar dados em repouso e em trânsito para ajudar a garantir que somente pessoas autorizadas possam acessar os dados sensíveis. A segurança de dados também envolve o desenvolvimento e a implementação de estratégias de prevenção de perda de dados para aprimorar a segurança das informações.

Confira algumas das práticas recomendadas para aprimorar sua estratégia de segurança na nuvem e ajudar a proteger sua infraestrutura subjacente de computação em nuvem.

Crie camadas de rede

A criação de camadas de rede envolve organizar seus componentes de workloads em grupos lógicos com base em sua função e sensibilidade, como servidores web voltados para a internet ou bancos de dados de backend. Ao colocar esses componentes em sub-redes separadas, você ajuda a estabelecer limites claros e a criar oportunidades para ajudar a controlar como o tráfego flui entre eles.

Essa abordagem em camadas oferece suporte a uma estratégia de defesa aprofundada, em que cada camada atua como um ponto de verificação de segurança. Por exemplo, somente recursos na camada mais externa devem ser expostos à internet, enquanto sistemas mais sensíveis, como bancos de dados, permanecem isolados e acessíveis somente por meio de redes internas.

As nuvens privadas virtuais e a infraestrutura de nuvem privada ajudam a criar redes e infraestruturas logicamente isoladas na nuvem. A criação de políticas de segurança consistentes que definam as redes e o uso da nuvem ajuda a promover um ambiente de nuvem seguro.

Controle o fluxo de tráfego

O controle do fluxo de tráfego pode envolver a segmentação do ambiente para permitir somente a comunicação necessária entre workloads, usuários e sistemas externos. Esse controle de tráfego inclui o gerenciamento do tráfego entre sua rede e a internet (tráfego norte-sul) e entre sua rede e a internet (tráfego leste-oeste).

Um erro comum é confiar exclusivamente em defesas de perímetro ou presumir confiança dentro das camadas da rede. Em vez disso, as práticas recomendadas enfatizam uma abordagem de privilégio mínimo, em que você concede acesso ponto a ponto entre usuários e ativos em nuvem, incluindo servidores em nuvem. Controlar o tráfego de entrada e saída dessa forma ajuda a limitar o impacto do acesso não autorizado e melhora os tempos de detecção e resposta durante eventos de segurança.

Implemente proteção baseada em inspeção

Implementar a proteção baseada em inspeção significa examinar o tráfego à medida que ele se move entre as camadas da rede em um nível granular. Por exemplo, analisar o conteúdo real, os metadados e o comportamento dos dados em trânsito. A proteção baseada em inspeção permite que você detecte anomalias ou possíveis acessos não autorizados com base na inteligência de ameaças em tempo real. Você pode criar regras com base no contexto da aplicação, na identidade do usuário ou em ameaças conhecidas e tornar-se mais exigente em relação a workloads sensíveis.

Automatize a proteção de rede

Automatizar a proteção de rede usando práticas de DevOps, como infraestrutura como código (IaC) e pipelines de CI/CD, ajuda as organizações a implantar configurações de rede mais seguras, consistentes e reproduzíveis. No caso de uma mudança, os pipelines automatizados iniciam fluxos de trabalho de teste e implantação. As alterações são implantadas primeiro em um ambiente de teste para validação, em que você pode testar se elas funcionam conforme o esperado antes de serem publicadas.

AWS Well-Architected Framework

O AWS Well-Architected Framework oferece um conjunto de práticas recomendadas e práticas de design de segurança na nuvem para ajudar a proteger as workloads da AWS. O pilar de segurança desse framework oferece recomendações sobre como proteger melhor seus sistemas, dados e informações com uma segurança de nuvem forte e em camadas e proteções proativas.

Ao revisar as diretrizes do Well-Architected com frequência, as organizações podem melhorar sua postura de segurança na nuvem, ajudando a garantir que suas estratégias de segurança de infraestrutura de nuvem permaneçam eficazes.

A segurança na nuvem é uma prioridade máxima na AWS, e o design de nossa infraestrutura global oferece suporte a operações contínuas. Mantemos a confiança de clientes e parceiros fornecendo as ferramentas e os serviços necessários para ajudar a proteger aplicações, dados e workloads em grande escala. A infraestrutura da AWS abrange várias regiões geográficas e zonas de disponibilidade, cada uma projetada com camadas de controles físicos e lógicos. Essas salvaguardas são orientadas por uma modelagem de ameaças contínua e testes rigorosos ao longo de todo o seu ciclo de vida.

A AWS oferece uma gama de serviços de segurança de infraestrutura de nuvem para ajudar a proteger a segurança de sua infraestrutura organizacional na AWS.

• O Amazon GuardDuty ajuda a proteger suas contas de usuário, workloads e dados da AWS com a detecção inteligente de ameaças.
• O AWS Identity and Access Management (IAM) gerencia e escala a workload e o acesso da força de trabalho para apoiar com segurança sua agilidade e inovação na AWS.
• O Amazon Inspector descobre automaticamente workloads, como instâncias do Amazon Elastic Compute Cloud (Amazon EC2), imagens de contêineres e funções do AWS Lambda, bem como repositórios de código, e verifica se há vulnerabilidades de software e exposição não intencional à rede.
• O Amazon Macie descobre dados sensíveis por meio de machine learning e correspondência de padrões, proporciona visibilidade dos riscos à segurança dos dados e oferece proteção automatizada contra esses riscos.
• O AWS Security Hub prioriza seus problemas críticos de segurança e ajuda você a responder em grande escala para proteger seu ambiente. Ele detecta problemas críticos ao correlacionar e enriquecer sinais para gerar insights acionáveis, permitindo uma resposta automatizada. O AWS Security Hub inclui gerenciamento de postura de segurança na nuvem (CSPM) para entender sua postura de segurança atual.

Comece a usar a segurança da infraestrutura de nuvem na AWS criando uma conta gratuita hoje mesmo.