Serviços como o AWS Lambda destacam a
crescente dificuldade de integrar serviços nativos da nuvem a recursos privados
do data center.
Durante o recente evento Tech Field Day 16 , a Forcepoint
provocou o início do que acredito ser uma mudança muito necessária na segurança
de TI híbrida. Na conferência FutureNet, patrocinada pela VMware, um porta-voz
da Verizon compartilhou o desafio fundamental com a segurança de TI híbrida:
não há uma construção consistente na qual se possa criar um plano de
fiscalização de segurança em toda a nuvem pública e privada.
A abordagem tradicional da segurança corporativa depende do
controle de acesso à rede (NAC). O NAC provou ser uma muleta para a segurança
da empresa durante anos, pois os profissionais de segurança podem basear a
identidade no nó em que o tráfego se origina.
Um exemplo é identificar todo o tráfego proveniente de um
segmento de rede específico como originário do departamento de contabilidade.
Os profissionais de segurança usariam uma função de firewall para permitir o
tráfego do segmento de rede contábil para um servidor de arquivos que hospeda
as finanças da organização. O mesmo dispositivo de firewall pode restringir o
tráfego de segmentos de rede não contábeis.
A prática é aprimorada usando conceitos como certificados
que rastreiam os serviços de identidade, como o Active Directory. No entanto, o
ponto de imposição continua sendo o firewall, embora com atributos de
identidade adicionais.
Levante e desloque a segurança
As implantações iniciais de nuvem corporativa eram simples -
as zonas de serviços e segurança de dados eram um pouco estáticas. As empresas
poderiam esperar controlar razoavelmente a segurança na borda das redes. Um
exemplo é mover o desenvolvimento e testar para a nuvem pública. Os profissionais
de segurança podem replicar seu projeto de segurança na nuvem pública usando o
NAC por meio de firewalls baseados em host ou implantar firewalls virtuais na infraestrutura
de nuvem pública.
À medida que as organizações amadurecessem, poderiam usar as
ferramentas do plano de controle de nuvem para criar regras de NAC. Enquanto a
interface exigia treinamento, os conceitos eram semelhantes. O tráfego de um
conjunto de hosts foi permitido ou não permitido. No entanto, o plano de
controle de segurança na nuvem representa um dos primeiros desafios iniciais na
segurança de TI híbrida - um plano de controle de operações consistente.
À medida que os serviços de TI híbridos se tornam mais
complexos, os profissionais de segurança precisam de controles mais detalhados
entre a nuvem pública e a infraestrutura privada. Veja o exemplo universal das
camadas da Web e do aplicativo em um aplicativo de três camadas como exemplo. A
simples criação de uma regra de firewall que permite que o tráfego da camada da
Web até a camada do aplicativo seja complexo.
Os avanços no aprendizado profundo estão adquirindo um
tremendo momento - do desenvolvimento de software especializado a grandes
inovações em recursos de hardware. Este ebook analisa o que a aprendizagem
profunda tem feito até agora e onde é provável que vá ...
Firewalls antigos do data center privado não tinham o
contexto de objetos de segurança de nuvem efêmeros. Se a camada Web alavancava
o cálculo elástico, o administrador da nuvem pública precisava garantir que
todos os servidores da Web dimensionados automaticamente fossem criados no
mesmo escopo de rede para que o firewall estático filtrasse adequadamente o
tráfego. No entanto, os firewalls de geração mais recentes integrados a
serviços em nuvem podem identificar objetos em nuvem e permitir a filtragem com
base no conceito de nó a nó herdado.
Serviços de nuvem nativa
É com serviços nativos da nuvem que o conceito tradicional
de firewall é quebrado. Pegue o Amazon Web Services (AWS) Lambda, por exemplo.
O AWS Lambda é um serviço acionado por eventos que não possui um conceito de nó
de computação exposto ao consumidor de serviços - portanto, o termo sem
servidor. O Lambda introduz uma ruga no tradicional modelo de segurança baseado
em firewall. Como um firewall filtra o tráfego de um evento do Lambda destinado
ao nó do datacenter particular?
Eu recebo um olhar curioso sempre que apresentar este
cenário. Pense em uma função do Lambda que copia uma imagem gravada em uma
função do S3 em um banco de dados Oracle local. Como um firewall diferencia
essa atividade de qualquer outra atividade do Lambda?
A firma de segurança cibernética Forcepoint adquiriu muitos
produtos de segurança no último ano. Incluídos em sua série de aquisições estão
um produto de firewall e um agente de segurança de acesso à nuvem (CASB). Os
produtos CASB integram-se nativamente a serviços baseados em nuvem, como o
Office 365. Conforme o Forcepoint amadurece, em teoria, a empresa pode integrar
os produtos firewall e CASB para fornecer a granularidade nos controles de
segurança exigidos para TI híbrida de ponta a ponta.
O Forcepoint não é o único fornecedor que vê esse desafio.
Conversei com a equipe do VMware NSX e eles estão confiantes de que o NSX está
em um caminho para oferecer um recurso semelhante. Até lá, uma organização deve
estar ciente dos designs de aplicativos que integram serviços nativos da nuvem,
como o Lambda, com recursos de data center privados. Até que uma solução entre
domínios seja disponibilizada, as organizações devem usar os controles
granulares fornecidos pelos provedores de nuvem pública e os controles baseados
em rede do firewall corporativo para criar uma solução totalmente segura.
Nenhum comentário:
Postar um comentário