Menu English version
Blog Infra como Código

7 habilidades indispensáveis de um profissional de segurança na nuvem

Qual é a importância da segurança na nuvem? De acordo com uma pesquisa de mais de 2.100 organizações citadas em um relatório recente da Gartner (“Como desenvolver habilidades de segurança de infraestrutura como serviço”, 22 de fevereiro de 2018), a categoria de segurança e gerenciamento de riscos representou a terceira maior lacuna de talentos e isso inclui um profissional de segurança na nuvem.

A diferença entre as organizações com melhor e pior desempenho foi maior para a lacuna de talentos em segurança do que para qualquer outra categoria, de acordo com o relatório da Gartner. Organizações com baixo desempenho, que aplicam a  segurança tradicional baseada em rede, provavelmente terão uma lacuna de talentos ainda maior quando se trata de segurança baseada em nuvem, apresentando maior risco de falhas de segurança catastróficas quando finalmente evoluírem para a nuvem.

Isso acontece porque a migração para a nuvem traz inúmeros desafios para os profissionais que trabalharão neste processo. Quais são essas barreiras e como as equipes podem superá-las? Nesta postagem, veremos alguns dos principais problemas de segurança na nuvem e as habilidades que ajudarão você a lidar com eles.

 

1. Entenda a divisão de responsabilidades envolvida na segurança

Existe uma divisão natural de responsabilidades entre os CSPs (provedores de serviços em nuvem) e os clientes quando se trata de segurança. O CSP controla necessariamente toda a infraestrutura física, bem como a conexão entre ela e os  serviços de nuvem usados pelo cliente. Os clientes só têm controle dos recursos dentro do escopo dos serviços que eles alugaram. Se você está acostumado a lidar com toda a responsabilidade pela segurança em apenas um local, isso pode exigir algumas mudanças importantes, tanto em termos de hábitos de pensamento, quanto nos conceitos utilizados no trabalho diário.

 

2. Confie no seu provedor

Você precisa estar preparado para ceder psicologicamente ao controle de hardware e a segurança de infraestrutura de nível inferior ao CSP, confiando que ele faça um trabalho adequado, simplesmente porque não há mais nada que você possa fazer. Você pode e deve, no entanto, desenvolver pelo menos um entendimento geral de suas políticas e suas práticas de segurança, bem como das atividades que foram realizadas anteriormente. Se você está agora na posição de cliente, deve ser um cliente bem informado e entender o que está sendo ofertado para você.

 

3. Conheça as suas responsabilidades

Como um profissional de segurança na nuvem, você precisa ter uma visão clara e completa dos aspectos que você pode controlar, porque eles são de sua responsabilidade no papel de cliente. Isso inclui praticamente todos os problemas de segurança tradicionais baseados em software: autenticação, controle de acesso e intrusão, monitoramento, detecção e resposta no nível de infraestrutura virtualizada e de aplicativos. A melhor regra básica a ser seguida é que, se você fez o deploy, será responsável por sua segurança e, se você fez uma conexão a um recurso, será responsável por toda a segurança associada ao final dessa conexão.

 

4. Entenda a segurança da infraestrutura de nuvem

Seu CSP pode ser responsável pela segurança no hardware e pelos níveis mais baixos da infraestrutura, mas sua responsabilidade começa nos pontos nos quais seu aplicativo e sua infraestrutura virtualizada se encontram com a nuvem. Isso significa que você precisa ter total compreensão dos possíveis problemas de segurança de qualquer máquina virtual ou sistema de deploy de contêineres que serão utilizados, incluindo as possíveis vulnerabilidades a serem encontradas.

Isso também significa que você precisa estar ciente de quaisquer vulnerabilidades potenciais envolvendo APIs na nuvem (que operam acima dos níveis de infraestrutura nos quais o CSP tem controle e responsabilidade exclusivos). Em uma plataforma de nuvem completa, é provável que você faça um uso intenso dos serviços fornecidos por essa ferramenta. Toda conexão API para um serviço baseado em nuvem é um ponto de entrada potencial para intrusos em seu sistema, da mesma forma que qualquer interação do usuário representa um risco de invasão.

 

5. Adote um conjunto de ferramentas para a segurança na nuvem

Depois de entender os problemas de segurança e vulnerabilidades associados à implantação na nuvem da sua organização, você pode desenvolver um conjunto de ferramentas de segurança específicas da nuvem para uso pela equipe de desenvolvimento de software. Ademais, você pode incluir regras, serviços de autenticação e recursos criptografados.

Seu regime de testes também pode incluir testes de segurança na nuvem, incluindo um conjunto de APIs virtualizadas, para testar possíveis vulnerabilidades do aplicativo e os dados mal formados. Você também pode testar o uso correto de ferramentas e de bibliotecas de segurança pré-configuradas. De qualquer maneira, o objetivo geral deve ser que o código seguro seja implementado, com um padrão superior de qualidade.

 

6. Saiba quando terceirizar a segurança

Tudo o que apresentamos até agora realmente se encaixa nas melhores práticas básicas, mas até mesmo ações aparentemente simples podem apresentar uma curva de aprendizado complexa, dependendo do time. A maneira mais eficaz de ir além do básico é geralmente envolver os serviços de especialistas, e a segurança na nuvem não é exceção.

Isso é especialmente verdadeiro para a segurança dos contêineres: o deploy, neste caso, é um processo complexo que envolve um número muito grande de instâncias que aparecem e desaparecem rapidamente e que não podem ser rastreadas com facilidade. Por isso, o gerenciamento de contêineres e a descoberta de serviços em si exigem serviços altamente especializados. Dessa maneira, trabalhar com uma ferramenta que faça a segurança dos contêineres permite que o seu time se concentre apenas nos problemas de segurança na nuvem específicos de seu aplicativo.

 

7. Assuma a responsabilidade pela segurança na nuvem na sua organização

Seja a voz da sua empresa para a segurança na nuvem. Explique por que é importante, como funciona e como sua equipe de DevOps pode incorporar segurança em todos os aspectos de sua cadeia de entrega contínua. Forneça informações e recursos e apresente planos prontos para implementação da segurança na nuvem. Procure maneiras de trazer a bordo do seu projeto os membros da equipe que são relutantes ou céticos.

Não se esqueça de olhar para o futuro:  à medida na qual a sua equipe aplica mais práticas recomendadas de segurança na nuvem no pipeline de entrega contínua, o DevOps, conforme praticado por sua organização, naturalmente se transforma em DevSecOps – DevOps com segurança incorporada no nível do design. Quando isso acontece, você e o resto da sua equipe de DevOps se tornarão não apenas praticantes, mas também líderes naturais e referências em segurança na nuvem na sua organização.

 

Conheça o Twistlock Enterprise

O Twistlock Enterprise é a solução para promover a segurança de contêineres mais abrangente, automatizada e escalável disponível no mercado. Há suporte disponível para Docker, Kubernetes e outras ferramentas nativas da nuvem. O sistema atua com o controle de containers em execução, para garantir a conformidade em todo o pipeline CI / CD e os protege contra inúmeras ameaças. Para saber mais, clique aqui.

Post produzido em parceria com a Twistlock.