Embora a segurança na nuvem certamente tenha percorrido um longo caminho desde os primeiros dias da adoção da nuvem no oeste selvagem, a verdade é que ainda há um longo caminho a percorrer antes que a maioria das organizações hoje tenha realmente amadurecido suas práticas de segurança na nuvem. E isso está custando tremendamente às organizações em termos de incidentes de segurança.

Um estudo de Vanson Bourne no início deste ano mostraram que quase metade das violações sofridas pelas organizações no ano passado tiveram origem na nuvem. Esse mesmo estudo descobriu que uma organização média perdeu quase US$ 4.1 milhões devido a violações na nuvem no ano passado.

Dark Reading conversou recentemente com o padrinho da segurança de confiança zero, John Kindervag, para discutir o estado da segurança na nuvem hoje. Quando era analista na Forrester Research, Kindervag ajudou a conceituar e popularizar o modelo de segurança de confiança zero. Agora ele é o principal evangelista da Illumio, onde em meio a sua divulgação ele ainda é um grande defensor da confiança zero, explicando que é uma forma fundamental de redesenhar a segurança na era da nuvem. De acordo com Kindervag, as organizações devem lidar com as seguintes duras verdades para ter sucesso com isso.

1. Você não fica mais seguro apenas indo para a nuvem

Um dos maiores mitos atuais sobre a nuvem é que ela é naturalmente mais segura do que a maioria dos ambientes locais, diz Kindervag.

“Há um mal-entendido fundamental sobre a nuvem de que, de alguma forma, há mais segurança integrada nela, de que você fica mais seguro indo para a nuvem apenas pelo ato de ir para a nuvem”, diz ele.

O problema é que, embora os provedores de nuvem em hiperescala possam ser muito bons na proteção da infraestrutura, o controle e a responsabilidade que possuem sobre a postura de segurança dos clientes são muito limitados.

“Muitas pessoas pensam que estão terceirizando a segurança para o provedor de nuvem. Eles acham que estão transferindo o risco”, diz ele. “Na segurança cibernética, você nunca pode transferir o risco. Se você é o guardião desses dados, você é sempre o guardião dos dados, não importa quem os guarda para você.”

É por isso que Kindervag não é um grande fã da frase tão repetida “responsabilidade compartilhada”, o que, segundo ele, faz parecer que há uma divisão 50-50 de trabalho e esforço. Ele prefere a frase “aperto de mão desigual”, que foi cunhado por seu ex-colega da Forrester, James Staten.

“Esse é o problema fundamental: as pessoas pensam que existe um modelo de responsabilidade partilhada e, em vez disso, existe um aperto de mão desigual”, diz ele.

2. Os controles de segurança nativos são difíceis de gerenciar em um mundo híbrido

Enquanto isso, vamos falar sobre os controles de segurança nativos da nuvem aprimorados que os provedores desenvolveram na última década. Embora muitos fornecedores tenham feito um bom trabalho oferecendo aos clientes mais controle sobre suas cargas de trabalho, identidades e visibilidade, essa qualidade é inconsistente. Como diz Kindervag: “Alguns deles são bons, outros não”. O verdadeiro problema de todos eles é que são difíceis de gerenciar no mundo real, além do isolamento do ambiente de um único fornecedor.

“São necessárias muitas pessoas para fazer isso, e elas são diferentes em cada nuvem. Acho que todas as empresas com quem conversei nos últimos cinco anos têm um modelo multicloud e um modelo híbrido, ambos acontecendo ao mesmo tempo”, diz ele. “Híbrido é: 'Estou usando minhas coisas locais e nuvens, e estou usando várias nuvens, e posso estar usando várias nuvens para fornecer acesso a diferentes microsserviços para um único aplicativo.' A única maneira de resolver esse problema é ter um controle de segurança que possa ser gerenciado em todas as múltiplas nuvens.”

Este é um dos grandes fatores que impulsionam as discussões sobre a migração da confiança zero para a nuvem, diz ele.

“A confiança zero funciona independentemente de onde você coloca dados ou ativos. Poderia estar na nuvem. Pode ser no local. Pode estar em um ponto final”, diz ele.

3. A identidade não salvará sua nuvem

Com tanta ênfase colocada no gerenciamento de identidade na nuvem atualmente e atenção desproporcional no componente de identidade na confiança zero, é importante que as organizações entendam que a identidade é apenas parte de um café da manhã bem equilibrado para a confiança zero na nuvem.

“Grande parte da narrativa de confiança zero é sobre identidade, identidade, identidade”, diz Kindervag. “A identidade é importante, mas consumimos identidade na política com confiança zero. Não é o fim de tudo. Não resolve todos os problemas.”

O que Kindervag quer dizer é que, com um modelo de confiança zero, as credenciais não fornecem automaticamente aos usuários acesso a qualquer coisa existente em uma determinada nuvem ou rede. A política limita exactamente o que e quando é concedido acesso a activos específicos. Kindervag é um defensor de longa data da segmentação – de redes, cargas de trabalho, ativos, dados – muito antes de começar a mapear o modelo de confiança zero. Como ele explica, o cerne da definição de acesso de confiança zero por política é dividir as coisas em “superfícies protegidas”, uma vez que o nível de risco dos diferentes tipos de usuários que acessam cada superfície protegida definirá as políticas que serão anexadas a qualquer credencial.

“Essa é a minha missão: fazer com que as pessoas se concentrem no que precisam proteger, colocando essas coisas importantes em várias superfícies protegidas, como o banco de dados do seu cartão de crédito PCI deveria estar em sua própria superfície protegida. Seu banco de dados de RH deve estar em sua própria superfície protegida. A IHM do seu sistema IoT ou sistema OT deve estar em sua própria superfície de proteção”, diz ele. “Quando dividimos o problema em pequenos pedaços, resolvemos um pedaço de cada vez e fazemos um após o outro. Isso o torna muito mais escalonável e factível.”

4. Muitas empresas não sabem o que estão tentando proteger

À medida que as organizações decidem como segmentar as suas superfícies protegidas na nuvem, primeiro precisam definir claramente o que estão tentando proteger. Isto é crucial porque cada ativo, sistema ou processo acarretará o seu próprio risco único, e isso determinará as políticas de acesso e o reforço em torno dele. A piada é que você não construiria um cofre de US$ 1 milhão para guardar algumas centenas de centavos. O equivalente em nuvem a isso seria colocar toneladas de proteção em torno de um ativo em nuvem que está isolado de sistemas confidenciais e não armazena informações confidenciais.

Kindervag diz que é extremamente comum que as organizações não tenham uma ideia clara do que estão protegendo na nuvem ou fora dela. Na verdade, a maioria das organizações hoje nem sequer tem necessariamente uma ideia clara do que está na nuvem ou do que está conectado à nuvem, muito menos do que precisa ser protegido. Por exemplo, um estudo da Cloud Security Alliance mostra que apenas 23% das organizações têm visibilidade total dos ambientes de nuvem. E o estudo da Illumio realizado no início deste ano mostra que 46% das organizações não têm visibilidade total da conectividade dos serviços em nuvem da sua organização.

“As pessoas não pensam sobre o que estão realmente tentando realizar, o que estão tentando proteger”, diz ele. Esta é uma questão fundamental que faz com que as empresas desperdicem muito dinheiro em segurança sem configurar adequadamente a proteção no processo, explica Kindervag. “Eles vêm até mim e dizem 'Confiança zero não está funcionando', e eu pergunto: 'Bem, o que você está tentando proteger?' e eles dirão: 'Ainda não pensei nisso', e minha resposta é 'Bem, então você não está nem perto de iniciando o processo de confiança zero. '”

5. Os incentivos ao desenvolvimento nativo da nuvem estão fora de sintonia

As práticas de DevOps e o desenvolvimento nativo da nuvem foram bastante aprimorados por meio da velocidade, escalabilidade e flexibilidade proporcionadas pelas plataformas e ferramentas da nuvem. Quando a segurança é incluída de forma adequada nessa combinação, coisas boas podem acontecer. Mas Kindervag diz que a maioria das organizações de desenvolvimento não são devidamente incentivadas para que isso aconteça – o que significa que a infraestrutura em nuvem e todas as aplicações que nela repousam são colocadas em risco no processo.

“Gosto de dizer que o pessoal dos aplicativos DevOps são os Ricky Bobbys da TI. Eles só querem ir rápido. Lembro-me de conversar com o chefe de desenvolvimento de uma empresa que acabou sendo violada e perguntar a ele o que ele estava fazendo em relação à segurança. E ele disse: 'Nada, não me importo com segurança'”, diz Kindervag. “Eu perguntei: 'Como você pode não se importar com segurança?' e ele diz 'Porque não tenho um KPI para isso. Meu KPI diz que tenho que fazer cinco pushs por dia em minha equipe e, se não fizer isso, não recebo bônus.'”

Kindervag diz que isso é uma ilustração de um dos grandes problemas, não apenas no AppSec, mas na mudança para a confiança zero na nuvem e além. Demasiadas organizações simplesmente não têm as estruturas de incentivos adequadas para que isso aconteça — e, de facto, muitas têm incentivos perversos que acabam por encorajar práticas inseguras.

É por isso que ele defende a construção de centros de excelência de confiança zero em empresas que incluam não apenas tecnólogos, mas também liderança empresarial no planejamento, design e processos contínuos de tomada de decisão. Quando essas equipes multifuncionais se reúnem, diz ele, ele vê “as estruturas de incentivos mudarem em tempo real” quando um poderoso executivo de negócios se apresenta para dizer que a organização irá avançar nessa direção.

“As iniciativas de confiança zero mais bem-sucedidas foram aquelas em que os líderes empresariais se envolveram”, diz Kindervag. “Tive um caso em uma empresa de manufatura onde o vice-presidente executivo — um dos principais líderes da empresa — se tornou um defensor da transformação de confiança zero para o ambiente de manufatura. Tudo correu muito bem porque não havia inibidores.”

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/cloud-security/5-hard-truths-about-the-state-of-cloud-security-2024