O atual cenário de ameaças está cada vez mais diversificado, o que influencia na necessidade de uma abordagem integrada de defesa em profundidade para focar em configurações reforçadas, automação, segmentação e monitoramento de serviços.
Essa abordagem se baseia no princípio de que nenhum sistema de segurança único é suficiente para proteger totalmente uma rede ou sistema.
Para saber mais, leia o post até o final.
O que é Defesa em Profundidade?
A defesa em profundidade é uma estratégia de segurança em camadas que envolve a implementação de várias medidas de proteção de um sistema ou uma rede.
Cada camada existe para fornecer uma linha de defesa exclusiva, de modo que se uma camada se comprometer, haverá outras camadas para evitar ou atenuar os demais riscos. Isso torna mais difícil para os invasores obterem acesso não autorizado e comprometerem os sistemas ou redes.
As camadas são divididas em segurança física; identidade e acesso; perímetro (ligação entre identidade e rede); rede; compute (funcionamento da rede, workloads) e aplicação.
O objetivo dessa estratégia é criar uma postura de segurança mais robusta e resiliente, por meio de controles de segurança diversificados em vários níveis, como proteções físicas, técnicas e administrativas.
Por que ela é importante?
Os provedores de serviços em nuvem fornecem seus serviços de forma escalável, ao compartilharem infraestrutura, plataformas ou aplicativos.
Os componentes que compõem essa infraestrutura (por exemplo, caches de CPU, GPUs, etc.) podem não ter sido projetados para oferecer propriedades de isolamento capazes de atender todos os modelos de serviço (Iaas, Paas e Saas).
Isso pode levar a vulnerabilidades que podem comprometer todo o ambiente. Por isso, é recomendado seguir uma estratégia de defesa em profundidade com base em computação, armazenamento, rede, aplicação e monitoramento da segurança do usuário, seja qual for o modelo de serviço.
Os pilares da Defesa em Profundidade
Existem três tipos de controles utilizados na estratégia de defesa em profundidade e quando combinados eles ajudam a mitigar os riscos das violações de segurança.
Controles físicos
Eles são projetados para proteger a infraestrutura física e dos ativos, como servidores, data centers e dispositivos de rede. Alguns exemplos são:
- Segurança do perímetro: essa camada envolve a proteção do perímetro da rede para impedir o acesso físico não autorizado de fontes externas. Os principais componentes são cercas, portões, barreiras e câmeras de vigilância;
- Controles de acesso: medidas como fechaduras, cartões-chave, autenticação biométrica e guardas de segurança para controlar o acesso físico a edifícios, salas e data centers;
- Controles ambientais: sistemas como supressão de incêndio, controle de temperatura e monitoramento de umidade ajudam a proteger os equipamentos e evitar danos;
- Descarte seguro: existem métodos adequados de descarte de documentos confidenciais e mídia eletrônica para evitar o acesso não autorizado às informações descartadas.
Controles técnicos
Esses controles são implementados por meio da tecnologia e visam proteger sistemas, redes, aplicativos e dados, para remediar as vulnerabilidades e mitigar riscos. Alguns exemplos são:
- Firewalls: dispositivos de segurança de rede que monitoram e controlam o tráfego de entrada e saída para filtrar possíveis ameaças;
- Sistemas de detecção e prevenção de intrusões (IDS/IPS): sistemas que detectam e bloqueiam atividades não autorizadas ou comportamentos suspeitos na rede;
- Antivírus e antimalware: soluções de software que verificam e removem ou colocam em quarentena softwares mal-intencionados;
- Segmentação de rede: envolve a divisão de uma rede em segmentos menores e isolados para aumentar a segurança e controlar o acesso aos recursos. Isso ajuda a minimizar o possível impacto de uma violação de segurança ao conter as ameaças em segmentos específicos da rede;
- Criptografia: é o processo de conversão de dados em um formato seguro para impedir o acesso não autorizado, caso ocorra a intercepção dos dados;
- Sistemas de controle de acesso: existem tecnologias como RBAC (controle de acesso baseado em função), listas de controle de acesso (ACLs) e métodos de autenticação segura para controlar o acesso do usuário a sistemas e dados;
- Prevenção contra perda de dados (DLP): é uma estratégia que busca manter a confidencialidade, integridade e disponibilidade de dados confidenciais, para evitar o vazamento ou a perda de dados;
- Segurança zero trust: esse conceito pressupõe que nenhuma entidade deve ser 100% confiável e tem como objetivo minimizar as suposições de confiança e reduzir a superfície de ataque;
- Avaliação e gerenciamento de riscos: identificação e avaliação de possíveis riscos e implementação de medidas para mitigá-los;
- Monitoramento de segurança: inclui soluções que coletam, analisam, alertam e oferecem a remediação sobre incidentes de segurança;
- Gerenciamento de patches: atualizações e patches regulares aplicados a sistemas e softwares para solucionar vulnerabilidades conhecidas.
Controles administrativos
Esses controles se concentram em políticas, procedimentos e treinamentos para estabelecer uma cultura consciente de segurança na organização entre os colaboradores, parceiros e clientes. Alguns exemplos são:
- Políticas de segurança: diretrizes documentadas que definem os requisitos, as expectativas e os procedimentos de segurança para os colaboradores;
- Conscientização e treinamento sobre segurança: programas de treinamento regulares para instruir os funcionários sobre riscos de segurança, práticas recomendadas e suas responsabilidades;
- Planejamento de resposta a incidentes: desenvolvimento de planos e procedimentos para responder possíveis ameaças e minimizar os danos. Ela inclui sistemas de gerenciamento de eventos e informações de segurança (SIEM);
- Gerenciamento de acesso: essa camada foca na verificação da identidade dos usuários e no controle do acesso a sistemas e dados, com base nas responsabilidades definidas. Isso inclui senhas fortes, autenticação de dois fatores (MFA), princípio do privilégio mínimo e gerenciamento de identidade e acesso (IAM);
- Auditorias de segurança e conformidade: avaliações regulares para promover adesão às políticas de segurança, aos padrões e regulações do setor.
Checks do CleanCloud Score
- Microsoft Defender para Contêineres desabilitado: esse check atua na camada de Compute. A ativação permite detectar ameaças por meio do Microsoft Security Response Center (MSRC), que investiga todos os relatórios de vulnerabilidades de segurança que afetam os produtos e os serviços da Microsoft;
- Bancos de dados RDS não criptografados: aqui o foco é na camada de armazenamento de dados. Para reduzir riscos do acesso indevido, é indicado habilitar a criptografia do banco de dados para aumentar a segurança dos dados em repouso e criptografar réplicas de leitura e snapshots do RDS;
- Acesso irrestrito às regras de firewall: é importante remover essas regras ou determinar o escopo delas para os intervalos ou portas de IP de origem que são necessárias, de forma explícita, para evitar a exposição dos recursos a ataques de fontes externas.
Defesa em Profundidade com o CleanCloud Score
Para estabelecer uma estratégia de defesa em profundidade completa, é essencial contar com uma solução de segurança na nuvem durante a implementação das camadas de segurança.
Isso fortalece a postura geral de segurança e a resiliência de uma organização contra ameaças cibernéticas.
O CleanCloud Score é um produto que oferece +400 verificações dos ativos no ambiente para obter visibilidade e identificar vulnerabilidades, com um passo a passo de remediação para corrigi-las e mitigar os riscos.
Saiba mais em nosso site: https://cleancloud.io/
