Segurança da computação em nuvem

    Segurança é importante pra empresa. Antigamente você tinha que lidar com tudo, hoje em dia, pode só contratar um serviço e nuvem e eles gerenciam tudo. A empresa foca só em seu negócio.

    Cloud security = nuvem segura. Os mesmos princípios da Segurança da Informação devem ser adaptados e aplicados aqui.

Gestão de vulnerabilidades: on premise vs em nuvem

• Segurança física: Antes, a própria empresa cuidava disso, agora, é responsabilidade do provedor.
• Onde está localizado o dado: No on premise, a empresa tinha total controle e todos os equipamentos em suas instalações. Na nuvem ,os dados estão em qualquer canto do mundo onde o provedor tenha seus equipamentos. Dependendo do modelo de implantação, talvez a empresa ainda tenha um nível de controle, sim.
• Gestão de vulnerabilidades: Normalmente, o provedor cuida de tudo. Dependendo do modelo de serviço, a empresa cuida junto.
• Respostas a incidentes: Antes a empresa era responsável. Hoje em dia é compartilhada entre provedor e empresa, cada um atua em esferas de ações.
• Cumprimento de regulações normativas e leis: Novamente, responsabilidade dos dois.

    Empresas com muitos dados sensíveis são relutantes a migrar pra nuvem com receio de segurança. Por isso, provedores de serviço investem mais e mais em segurança e na proteção de seus datacenters, pra gerar confiança.

Cumprimento de regulações normativas e legais

    A responsabilidade não é binária. Dependendo do modelo de serviço, a maior responsabilidade pode ser ou do cliente ou do provedor.

    A CSA é uma organização com objetivo de promover a segurança em nuvem. Ela sabe qual modelo pede mais responsabilidade que o outro. Vamos ver o nível de responsabilidade em cada modelo (IaaS, PaaS e SaaS) e usando o modelo de implantação "nuvem pública".

    PROVEDOR < SaaS - PaaS - IaaS > CLIENTE

    Ou seja:

• SaaS: O provedor é responsável pela maioria da segurança. O cliente é responsável por proteger seu login contra phishing e engenharia social.
• PaaS: O provedor é responsável pelos softwares e os sistemas operacionais da plataforma. Qualquer código e dados feitos pelo usuário na plataforma é responsabilidade do próprio. O provedor cuida das camadas abaixo da virtualização, não se preocupa com a segurança do que é executado nas máquinas virtuais.
• IaaS: O provedor é responsável pela infraestrutura e recursos básicos, como central de dados, armazenamento, etc. O resto é responsabilidade do usuário. O usuário é responsável por tudo acima do sistema operacional.

    Então, resumidamente. Saas < PaaS < IaaS

Serviços em nuvem

1. MÁQUINAS VIRTUAIS: Serviço básico em IaaS. O serviço mais comum e básico é a computação, engloba desde as VMs bancos de dados gerenciados, até contêiners e serveless computing.
1. Passo a passo pra usar uma VM na nuvem:
1. Escolhe o tipo de máquina. O tamanho, o quanto de memória ela vai ter. Um PC mais leve ou um superpotente?
2. Escolhe o SO. Windows? Linux?
3. Configura o armazenamento, usando discos virtuais se quiser mais espaço, se conectando com sistemas de arquivos compartilhados.
4. Definir a rede e suas configurações. Quem pode acessar? 
5. Configurar permissões de acesso. Realmente quem pode acessar cada arquivo.
6. Instalar os aplicativos que você vai usar.
7. Ligar tudo e usar.
8. Agora você é responsável por ela e vai manter ela e atualizar ela.
2. BASE DE DADOS GERENCIADA: Se o cliente só quer um banco de dados funcional, sem se preocupar com os detalhes técnicos da infraestrutura. Ao invés do cliente criar uma máquina virtual e instalar tudo sozinho, ele pode usar uma solução pronta, onde a maior parte da responsabilidade é do próprio provedor de nuvem. Mesmo assim, o cliente ainda tem que:
1. Escolher o tipo de banco
2. Escolher o sistema
3. Definir o tamanho da máquina que vai rodar o banco
4. Ver se precisa de alta disponibilidade
5. Configurar segurança de rede e acesso
6. Ativar logs, backups e conectar o app ao banco
1. As vantagens desse modelo são:
1. O provedor cuida da manutenção, atualizações e segurança
2. Backups e criptografia já vem incluídos
3. Monitoramento e auditoria também são oferecidos pelo serviço

Serviço de rede

    Além dos serviços tradicionais, tem DNS, CDN, VPN, WAF e proteção contra DDoS. Na rede da nuvem, o provedor cuida da camada física e o cliente gerencia a camada virtual que conecta servidores, armazenamento e banco de dados.

• SERVIÇOS:

1. DNS: Traduz nomes de host em IPs, oferece vários tipos de registros e balanceamento de carga.
2. CDN: Entrega conteúdo armazenado em cachê em vários locais próximos ao cliente, aumentando a velocidade e ajudando a mitigar ataques DDoS.
3. VPN: Cria túneis seguros e criptografados para acesso remoto, geralmente usando autenticação multifator.
4. WAF: É um firewall focado em proteger aplicações web contra ataques HTTP/HTTPS.
5. PROTEÇÃO CONTRA DDOS: Feita com recursos escaláveis e balanceamento de carga pra manter a disponibilidade dos serviços.

    A Amazon usa o AWS Shield, que no modo avançado funciona junto com o Route53 (DNS), CloudFront (CDN) e Elastic Load Balancing (ELB) para proteger contra ataques DDoS. A Microsoft (Azure) oferece o Azure DDoS Protection, que em modo avançado se integra com ferramentas como gateway e WAF para defesa reforçada. E a Google (Google Cloud) usa o Google Cloud Armor Standard para proteção básica e o Managed Protection Plus, que é integrado a outros serviços pra proteção avançada contra DDoS.

Serviço de monitoramento e auditoria

    Monitora tudo, desde login (sucessos e falhas) e ações tomadas (quem fez o que, quando, e qual foi o resultado final com sucessos ou falhas). O registro disso é chamado trilha de auditoria. É armazenado num repositório central de logs.

    Sistemas de geração de alertas configurados pra disparar só em situações específicas (por exemplo, quando um administrador faz login com sucesso no console) fazem parte dos serviços de monitoramento e auditoria.

    Todos os serviços vistos nesse tema tem que enviar logs pra um serviço centralizado. E tem que se fazer uma análise de risco pra decidir quais eventos registrar, pois armazenar muitos logs custa muito e nem sempre compensa.

    Uma classe de produto chamada Security Information and Event Management (SIEM) são usadas pra monitoramento avançado, elas correlacionam eventos de vários serviços ao mesmo tempo e só disparam alertas quando a combinação desses eventos indica um risco real, evitando alertas falsos e reduzindo o uso desnecessário de recursos.