As soluções de armazenamento em nuvem e SaaS trazem velocidade, agilidade e flexibilidade sem precedentes para uma empresa. No entanto, confiar a fornecedores terceirizados seus dados sigilosos podem acarretar em vários riscos inerentes, como:

• Pontos de acesso inseguros podem aumentar a probabilidade de violações;

• Os serviços em nuvem introduzem várias mudanças nas práticas tradicionais de gerenciamento de identidade e acesso (IAM);

• Confiar seus dados confidenciais a um fornecedor o torna dependente de suas práticas de segurança;

• Seus dados se tornam mais vulneráveis ​​a desastres naturais, ataques DDoS e sequestros; e

• Pode haver uma falta de visibilidade e controle de seus dados.

As implantações em nuvem oferecem acessibilidade, mas também criam redes abertas e descentralizadas com maior vulnerabilidades. É aqui que entram as estruturas de conformidade em nuvem (frameworks). Ao alinhar suas políticas e procedimentos de segurança de dados às estruturas de conformidade em nuvem (cloud compliance frameworks) poderá ajudá-lo a mitigar os riscos de implantação de infraestrutura em nuvem de terceiros e soluções SaaS.

Principais componentes de uma estrutura de conformidade com a nuvem

Governança

Esses controles predefinidos protegem seus dados sigilosos da perigosa exposição pública. As áreas essenciais da governança em nuvem incluem:

• O gerenciamento de ativos envolvendo as organizações e fazendo um inventário de todos os serviços de nuvem e dados contidos e, em seguida, definindo todas as configurações para evitar vulnerabilidades;

• A estratégia e a arquitetura da nuvem incluem a caracterização da estrutura de nuvem, propriedade/proprietários e suas responsabilidades, além de integrar a segurança da nuvem.

• Os controles financeiros tratam de um processo para autorizar compras de serviços em nuvem e equilibrar o uso da nuvem para obter economia e eficiência.

Controle de Mudança

Duas das maiores vantagens da nuvem, velocidade e flexibilidade, tornam o controle das mudanças mais difícil. O controle de mudança inadequado geralmente resulta em configurações incorretas e problemáticas na nuvem. As organizações devem considerar o aproveitamento da automação para verificar continuamente as configurações de nuvem em busca de problemas e garantir que os processos de mudança sejam bem-sucedidos.

Os controles de gerenciamento de identidade e acesso (IAM) costumam passar por várias mudanças na nuvem. Algumas práticas recomendadas de IAM:

• Monitore continuamente as contas root, pois podem permitir acesso irrestrito perigoso/crítico. Desative-os se possível ou monitore com filtros e alarmes , além de exigir autenticação multifator (MFA);

• Utilize acesso baseado em funções (role-based access) e privilégios de nível de grupo, concedendo acesso com base nas necessidades de negócios e no princípio de privilégios mínimos; e

• Desabilite contas inativas e institucionalize credenciais eficazes e políticas de gerenciamento de chaves.

Monitoramento Contínuo

A complexidade e a natureza dispersa da nuvem tornam o monitoramento e o registro de todas as atividades extremamente importantes. Capturar quem, o quê, quando, onde e como dos eventos mantém as organizações prontas para auditoria e é a espinha dorsal da verificação de conformidade. Ao monitorar e registrar dados em seu ambiente de nuvem, é essencial:

• Lembrar-se de habilitar o registro (logging) de todos os recursos da nuvem;

• Proteger os registros com criptografia e não os mantenha em armazenamento público;

• Definir suas métricas e alarmes e registre todas as atividades; e

• Realizar a Gestão de Vulnerabilidade.

Comunicando/Relatórios

Os relatórios fornecem comprovação de conformidade atual e histórica. Pense nesses relatórios como seu “footprint” ou uma fotografia de sua conformidade e muito úteis na hora da auditoria. Um cronograma completo de todos os eventos antes e depois de um incidente pode fornecer evidências críticas caso sua conformidade seja questionada.

Estruturas comuns de conformidade com a nuvem

Essas estruturas falam especificamente para os requisitos de conformidade da nuvem. Os fornecedores e clientes de nuvem devem ser bem versados ​​nas especificações dessas estruturas.

Cloud Security Alliance Controls Matrix: esse agrupamento básico de controles de segurança fornece uma orientação básica para fornecedores de segurança, aumentando a força dos ambientes de controle de segurança e simplificando as auditorias. Além disso, essa estrutura ajuda os clientes em potencial a avaliar a postura de risco de fornecedores de nuvem em potencial.

FedRAMP: Atender a esse conjunto de regulamentações de segurança de dados específicas da nuvem é uma obrigação para organizações que buscam fazer negócios com qualquer agência federal dos EUA. O objetivo do FedRAMP é garantir que todas as implantações de nuvem usadas pelo governo federal tenham o nível mínimo de proteção necessário para dados e aplicativos.

Sarbanes-Oxley (SOX): um conjunto de diretrizes que regem como as empresas de capital aberto relatam dados financeiros para proteger os clientes de erros em relatórios ou fraudes. As regulamentações da SOX não são específicas de segurança, mas uma variedade de controles de segurança de TI estão incluídos no escopo da SOX porque oferecem suporte à integridade dos dados.

Estruturas centradas em segurança

As organizações que lidam com dados confidenciais podem se beneficiar ao aderir aos padrões definidos pelos seguintes regulamentos específicos de segurança. Essas estruturas fornecem a metodologia e a estrutura para ajudar a evitar incidentes de segurança prejudiciais.

ISO 27001: Desenvolvido pela International Organization for Standardization, este conjunto de padrões para sistemas de gerenciamento de segurança da informação demonstra que sua organização opera dentro das melhores práticas de segurança da informação e leva a proteção de dados a sério;

NIST Cybersecurity Framework: Esta política básica e padrão de procedimento para organizações do setor privado avaliam sua capacidade de gerenciar e mitigar ataques cibernéticos. Um guia de melhores práticas recomendadas para profissionais de segurança, cuja estrutura auxilia na compreensão e gerenciamento de riscos; e

CIS Controls : Criada pelo Center for Internet Security, esta estrutura oferece práticas de defesa acionáveis ​​com base em uma lista de 18 Controles de Segurança Críticos (CIS 8) que se concentram em restringir os controles de acesso, fortalecer o sistema de defesa e monitorar continuamente os ambientes.

Estruturas de Nuvem bem arquitetadas

Essas estruturas podem ser consideradas diretrizes de práticas recomendadas para arquitetos de nuvem, geralmente abordando questões de eficiência operacional, segurança e valor de custo.

AWS Well-Architected Framework: esta diretriz ajuda os arquitetos da Amazon Web Services a projetar cargas de trabalho e aplicativos na nuvem da Amazon. Esta estrutura opera em torno de um conjunto de questões para a crítica de ambientes de nuvem e fornece aos clientes um recurso sólido para avaliação de arquitetura. Cinco princípios fundamentais orientam os arquitetos da Amazon – excelência operacional, segurança, confiabilidade, eficiência de desempenho e otimização de custos.

Google Cloud Architected Framework: esta diretriz fornece uma base para construir e aprimorar as ofertas de nuvem do Google. Essa estrutura orienta os arquitetos ao se concentrar em quatro princípios-chave – excelência operacional, segurança e conformidade, confiabilidade e otimização de custos de desempenho.

Estrutura da Arquitetura do Azure: este conjunto de diretrizes auxilia arquitetos na construção de ofertas baseadas em nuvem no Microsoft Azure. Este guia ajuda a maximizar as cargas de trabalho da arquitetura.

Clavis é certificada com o MSP Cloud Verify Program®

Como membro do MSP/Cloud Verify Program® (MSPCV), a Clavis passou a ser considerada uma das referências em provedores de serviços gerenciados e de nuvem do mundo. Com essa conquista, somada à certificação ISO 27001, a empresa aumenta a confiança de seus clientes de que suas necessidades de Segurança da Informação e Compliance estão sendo bem atendidas. Clique aqui e confira o post na íntegra

Fonte: cloudsecurityalliance.org

Posts relacionados: Novos Benchmarks CIS AWS ajudam a proteger produtos e serviços em nuvem / Cinco recomendações para proteger os containers de nuvem e Nova Estrutura de resposta a incidentes serve como um plano comum para compartilhar as melhores práticas