Sobre o blog

terça-feira, 20 de maio de 2025

Cloud Security Alliance (CSA)

    Organização que define e fomenta práticas de segurança em nuvem. Fornecem orientações organizadas em quatorze domínios separados em conceitos, governança e operação. Os domínios são:


Domain 1: Conceitos e arquiteturas de computação em nuvem

    O domínio de conceito. O mais fundamental. Fornece uma estrutura (framework) pra entender a computação em nuvem, com definições, termos e descrições das arquiteturas envolvidas. É menos didático e mais prático.

    As técnicas chaves pra criar uma nuvem são:
  • ABSTRAÇÃO: O provedor abstrai os recursos da infraestrutura física pra criar o pool de recursos. O cliente nem sabe o que tá por trás do que ele tá usando, ele só usa como um recurso, não entende como é implementado.
  • ORQUESTRAÇÃO: O provedor usa a orquestração pra coordenar a montagem e entrega do pool de recursos pros clientes. Ele diz "esse recursos vai pra esse cara, esse outro vai pra esse" e o recurso pra um não atrapalha o oferecimento do recurso pra outro graças a segregação.
  • SEGREGAÇÃO: Deixa o provedor dividir os recursos pra diferentes grupos. Sem que haja interferência sob esses grupos.
  • ISOLAMENTO: Garante que um grupo não possa ver ou mudar os ativos uns dos outros.
    Segregação + isolamento = multilocação. Não se aplica só a empresas diferentes (empresa X não pode ver o que empresa Y tem), dentro de uma empresa pode ter multilocação entre cada grupo de usuário (cozinheiro não pode ver o que zelador tem).

Arquitetura de referência

    Organiza os pontos de corte nos modelos de serviço. Um modelo que descreve os principais papéis, componentes e interações em um ambiente de nuvem. Divide em camadas como funciona um serviço de nuvem e mostra como os 3 modelos de serviço se relacionam com essas camadas.

    Essas divisões não são rígidas, e podem se sobrepor dependendo do provedor e do modelo de uso. Acima delas todas estão os dados.

Arquitetura funcional

    Significa "eu olho e tento explicar como as coisas funcionam" segundo o professor. É uma empresa que tenta ensinar como as coisas funcionam, e elas funcionam baseadas em 4 camadas:
  1. INFRAESTRUTURA: Funcionalmente falando, tem os principais componentes de um sistema de computação: computação, rede e armazenamento. Os serviços. Partes móveis. Funcionam como base sob qual o resto é construído.
  2. METAESTRUTURA: Estão os mecanismos que fornecem a interface entre a camada dos componentes físicos e as camadas das aplicações, onde está toda a lógica do serviço. Uma amalgama que liga a infraestrutura a camada de aplicações.
  3. APLIESTRUTURA: Uma contração entre os aplicativos na nuvem e os serviços usados pra construí-los. Como os recursos PaaS, serviço de IA, notificação, e todos de mais alto nível de abstração no geral.
  4. INFOESTRUTURA: Camada de dados e informação. Banco de dados, armazenamento de arquivos. É onde fica seus dados e suas informações.

Processo

    Eu sou um cliente querendo contratar um modelo de segurança de nuvem. A CSA recomenda:
  • CSA Enterprise Architecture
  • CSA Cloud Controls Matrix
  • NIST – Cloud Computing Security Reference Architecture (NIST Special Publication 500-299);
  • ISO/IEC FDIS 27017 – Information technology – Security techniques – Code of pratice for information security controls based on ISO/IEC 270002 for cloud services.
    Como eu estruturo minhas ações até tudo estar com a segurança perfeita e gerenciada? Com esses 7 passos. Obviamente, no ponto de vista da SEGURANÇA, é o que a CSA fomenta.
  1. Identificar os requisitos de segurança e conformidade necessários pro meu negócio e quaisquer controles existentes.
  2. Selecionar o provedor de nuvem, serviços e modelos de implantação. (Quero IaaS, quero esse provedor, etc.)
  3. Definir a arquitetura (Vou contratar um VPS com essas características, um outro com essas outras, uma base de dados gerenciada, coisa do tipo. Definir como teu negócio vai ser implantado na nuvem.)
  4. Avaliar os controles de segurança. Pra cada camada da pilha de arquitetura tu vê qual mecanismo de segurança tem que colocar lá.
  5. Identificar lacunas de controle.
  6. Projetar e implementar controles pra preencher as lacunas. (Colocar os controles avaliados pra funcionar. Ver até que ponto o provedor ou você é responsável pela segurança.)
  7. Gerenciar as mudanças ao longo do tempo.
    Isso tudo ai foi só um domínio. É o mais importante, por isso foi o mais longo, os outros são menores e mais simples. Agora vamos aos próximos, divididos em governança e operação.

Domain 2: Governança e gestão de risco corporativo

    Governança. Gestão de riscos mais pelo viés de uma empresa. A empresa tem que gerir os riscos dela. Avaliar riscos adequadamente, ver como leis e limites internacionais podem afetar esses problemas, precedência legal pra caso de violação de acordos, etc.

Domain 3: Questões legais, contratos e descoberta eletrônica

    Governança. Se preocupa com possíveis problemas legais no uso da computação em nuvem.

Domain 4: Gestão de conformidade e auditoria.

    Governança. Implantou o seu serviço e deixou tudo conforme? Esse domínio vai regularmente fazer testes e acompanhar essa conformidade pra ver se tá realmente tudo nos conformes.

Domain 5: Governança da informação.

    Governança. Se preocupa com a governança dos dados que são colocados na nuvem. Tem controles e credenciais específicos pra acessar os dados.

Domain 6: Plano de gestão e continuidade do negócio

    Operação. Bem operacional. Se preocupa com a proteção do plano gestão e de todas as interfaces administrativas pra acessar a nuvem, incluindo consoles da web e APIs.

Domain 7: Segurança da infraestrutura

    Operação. Se preocupa com os fundamentos pra se operar seguramente. Desde o controle de acesso físico (quem entra na sala, quem liga o cabo) até o lógico.

Domain 8: Virtualização e contêiners

    Operação. Se preocupa com os aspectos de segurança que cobrem a camada de tecnologia associada a virtualização e a conteinerização. Segurança dos hipervisores, contêiners e redes de software. Fundamental pra implementar a segurança na nuvem.

Domain 9: Resposta a incidentes

    Operação. Se preocupa com a detecção, resposta, notificação e remediação de incidentes de formas apropriadas. Se algo rolou, tem que fazer isso tudo aí.

Domain 10: Segurança de aplicativos

    Operação. Protege os softwares e aplicativos executados e implantados na nuvem. Diz se é apropriado migrar ou projetar um aplicativo pra ser executado na nuvem e qual tipo de plataforma é mais apropriada.

Domain 11: Segurança e criptografia de dados

    Operação. Implementa mecanismos de segurança e criptografia de dados e toda garantia de gerenciamento de chaves. Considerando a escalabilidade dos serviços e aplicativos que rodam na nuvem.

Domain 12: Gerenciamento de identidade, direitos e acesso

    Operação. Basicamente controle de acesso. IAM, que identifica quem está acessando.

Domain 13: Segurança como serviço

    Operação. SECaaS. Contrato o serviço de segurança já pronto pra mim e com poucas configurações já faço ele funcionar.

Domain 14: Tecnologias relacionadas

    Operação. Se preocupa com as tecnologias estabelecidas e emergentes. Coisas que vão surgindo e tendo os atributos de segurança já incorporada nelas, como Big Data, Internet das Coisas, computação móvel, etc.


às

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)

Sobre o blog

    Essa vai ser uma postagem que vou tentar deixar fixada, talvez no cabeçalho, pra todo mundo ver. Só pra explicar direitinho esse blog, c...