Com o Gartner prevendo outro salto de 20% nos gastos com serviços de nuvem pública e um aumento de 7% nos gastos gerais de TI para 2024, manter o controle sobre subcategorias orçamentárias, como segurança para aplicativos em nuvem e DevOps, parece cada vez mais doloroso.
Neil Clark, diretor de serviços em nuvem do provedor de serviços gerenciados (MSP) QuoStar, diz que as organizações muitas vezes não acompanhamapontando para o ano passado NetScaler violações e vulnerabilidades não corrigidas como exemplo.
Escolher entre uma variedade de ferramentas não é fácil, e alguns compram ofertas demais, muitas vezes incompatíveis. Outros simplesmente escolhem uma solução do Quadrante Mágico do Gartner e passar seis meses tentando ajustá-lo antes de perceber que é a coisa errada para suas circunstâncias.
Nos piores casos, as organizações podem simplesmente continuar assim até serem atingidas por um ataque. Então, qual é a solução?
Para Clark, trata-se de planejar adequadamente para identificar, implementar e otimizar soluções adequadas. Pode ser necessário um especialista para compreender tudo – a perspectiva mais ampla e quais partes se encaixam. Nenhuma solução irá parar tudo ou servir para todos, e a segurança na nuvem não pode ser um exercício de “caixa de seleção” se quisermos manter a produtividade e controlar os custos.
“Você precisa pesar os riscos de forma agnóstica e alinhar as necessidades de segurança com as necessidades operacionais”, observa ele. “É inútil ter a segurança ultrapassando as operações e não ganhar dinheiro – mas se você se concentrar demais nas operações, você se expõe.”
A expansão da segurança pode ser causada mais por implementações “estranhas e complicadas” de três a cinco ferramentas onde potencialmente uma poderia ter feito o trabalho, às vezes porque o ambiente de nuvem mudou ou a organização em algum momento saiu correndo do local em vez de nos aprofundando no planejamento da nuvem.
O que é necessário é limpar tudo isso, retrabalhar e colocar a segurança em camadas de acordo com as melhores práticas e adicionar mitigações essenciais, como backup. Obter transparência do ambiente de dados também pode ser crucial, sugere Clark.
“Gastamos bastante tempo corrigindo esse tipo de coisa para os clientes. O engraçado é que eles não gastam muito mais mensalmente”, diz Clark. “Não mova apenas seus problemas de segurança para a nuvem… nem tudo funcionará nativamente na nuvem. [Think about] o que precisa acessar seus aplicativos e o que não.”
Andrew Green, analista de pesquisa de redes e segurança da GigaOm, recomenda escolher serviços de segurança nativos da nuvem de uma pilha apropriada como chave para otimizar a segurança da nuvem do ponto de vista de custos.
Interfaces de rede de contêineres (CNIs) de código aberto para Kubernetes e contêineres, como Calico e Cilium, têm “excelentes” recursos de segurança para controles de acesso e filtragem de tráfego, tudo feito na camada de rede sem quaisquer outros agentes ou componentes.
“Quando você faz networking no Kubernetes, eles não oferecem recursos nativos”, ressalta Green.
Embora os CNIs possam ser soluções bastante técnicas que requerem configuração e potencialmente um aumento conjunto de habilidadeseles podem lidar com comunicações dentro de bots ou clusters e entre clusters, e podem ajudar a definir políticas, determinando o que precisa se comunicar com os controles de acesso uns dos outros, fazendo segurança com base na identidade.
“Em vez de dizer ‘Quero bloquear o acesso deste recurso IP’, você pode atribuir um rótulo a uma carga de trabalho”, diz Green. “E você faz isso muito próximo do kernel do Linux. É leve, você tem muito controle e pode fazer um monte de coisas.”
Se configurar CNIs com a interface de linha de comando ou por meio de uma integração for muito desafiador, talvez opte por trabalhar por meio da interface gráfica do usuário (GUI). Calico et al oferecem boa documentação técnica, laboratórios e treinamento para auxiliar, diz ele.
Alternativamente, os recursos de código fechado podem fazer parte de uma solução mais ampla, como o F5, se já existir internamente, sugere Green.
Reduza a exposição
Esteja ciente e limite os recursos expostos e vulneráveis. Se não estiver exposta à Internet pública, a organização poderá precisar apenas de uma filtragem de entrada “simples e direta”. Os serviços expostos à Internet e à Internet pública para consumidores ou terceiros exigem recursos de filtragem de entrada mais sofisticados que têm um preço.
Proteção do Yahoo! filtrar bots ou tráfego de compradores negação de serviço distribuída (DDoS) pode exigir um “investimento pesado”, ressalta Green.
“Isso não é especificamente para conformidade, mas para a postura geral de segurança”, acrescenta. “Se tudo o que você está exposto for talvez apenas uma API de parceiro [application programming interface]você pode precisar apenas de alguns Proteção de API que pode validar solicitações.”
Além disso, não levante e mude o pensamento local. Por exemplo, implantar um firewall completo ou dispositivos de firewall de última geração para criar segmentos de nuvem é caro e ineficiente. É melhor procurar tecnologias que utilizem atributos nativos da nuvem, como rótulos ou tags, que possam migrar com a carga de trabalho, diz Green.
Kris Lovejoy, líder global de segurança e resiliência da Kyndryl, opina que a segurança na nuvem tem sido muitas vezes prejudicada por desafios relacionados ao legado, e é em parte por isso que a conversa de anos atrás sobre “benefícios massivos de segurança”, juntamente com o desempenho e a escalabilidade da nuvem, não funcionou como previsto.
A necessidade de refatorar aplicativos para serem nativos da nuvem tem sido frequentemente negligenciada.
“A refatoração pode ser uma discussão muito difícil com os conselhos e a gestão executiva”, diz ela. “Mas os aplicativos legados contêm credenciais codificadas, configurações inseguras, métodos de criptografia desatualizados e, muitas vezes, quando você migra para a nuvem, conteinerização.”
Os aplicativos legados muitas vezes podem apresentar as mesmas vulnerabilidades que apresentariam em um ambiente local, além das quais está em camadas a complexidade encapsulada da conteinerização. A conteinerização é em si uma fonte de “grandes quantidades” de possíveis exposições relacionadas à configuração, explica Lovejoy.
Embora as organizações reconheçam os problemas de segurança, a forma como os aplicativos (muitas vezes soluções legadas com baixo desempenho) e os ambientes foram construídos e implantados muitas vezes deixou enormes dívidas técnicas.
Quão atrasados estão alguns? Quando se trata de processos de desenvolvimento em nuvem, a pesquisa do Enterprise Strategy Group descobriu que um terço das equipes de segurança dos entrevistados tinham visibilidade e controle insuficientes, perderam verificações de segurança e testes de lançamentos, não tinham processos de segurança consistentes entre equipes, ignoraram a segurança para cumprir prazos ou implantaram com configurações incorretas, vulnerabilidades e “outros problemas de segurança”.
Garanta princípios básicos de som
Lovejoy observa que vários ambientes de nuvem híbrida precisam de integração para oferecer a portabilidade e a interoperabilidade necessárias. Muitas vezes, até mesmo o sonho da análise avançada sofre com isso.
“Essa complexidade resultou em custos totalmente inesperados. No entanto, não foi otimizado para nuvem”, diz Lovejoy. “Eles têm ineficiência de recursos, má utilização e custos mais elevados de nuvem e hospedagem, devido ao enorme consumo.”
Eles estão em uma espécie de armadilha da pobreza em TI, por assim dizer. Os gastos com segurança podem, em tais circunstâncias, parecer um extra indesejado.
Para Lovejoy, a melhor solução poderá passar por recuar naquilo que é muitas vezes denominado modernização – retroceder – em prol da construção de uma base mais sólida sobre a qual, em última análise, se possa construir. Mesmo que isso signifique ir para a nuvem privada ou local, reiniciar a grande nuvem é um passo adiante.
“A nuvem pode oferecer benefícios, segurança e resiliência, mas a organização pode precisar aplicar investimentos apropriados na refatoração real de aplicativos”, diz ela, “em vez de montar muitos controles de segurança, por exemplo”.
Isto é “particularmente relevante” considerando a expansão e o âmbito da regulamentação emergente, incluindo a utilização de dados e a transparência.
Em vez de se concentrarem estritamente na segurança separada do resto, sugere Lovejoy, as organizações devem pensar em quais são os seus “serviços empresariais mínimos viáveis” para permitir a operação das organizações, dos dados e dos sistemas. Mapeie tudo isso e priorize a resiliência da segurança em torno disso.
É aí que as organizações devem investir para otimizar os custos da nuvem, incluindo a segurança, enfatiza ela.
“Enquanto confiança zero é ótimo, realmente deveria ser implementado no contexto de uma arquitetura mais moderna. Considere o básico – você tem autenticação multifator (MFA), treinamento e bons patches? – antes de chegar ao ZTNA [zero-trust network access].”