Em abril deste ano, o caso de invasão e tentativa de extorsão do Banco Inter trouxe novamente à discussão a proteção de dados, principalmente na nuvem AWS. Em uma breve síntese, o hacker conseguiu acessar dados de milhares de clientes, funcionários e executivos da instituição financeira – uma das maiores totalmente digitais do país – e disponibilizou tudo em um arquivo criptografado de 40 GB.
Além disso, em um manifesto, o invasor detalhou tecnicamente como acessou todas as informações e quais foram os motivos para tal ação. Mas um detalhe chamou bastante a atenção: em seu texto, também enfatizou a fragilidade e despreparo do sistema bancário brasileiro para a migração massiva à nuvem, como pode ver na matéria no site Tech Mundo.
Esse caso deixa bem evidente que muitas empresas não estão prontas para lidar com a segurança na nuvem AWS, em um mundo cada vez mais conectado, negligenciando muitas vezes práticas simples e colocando as informações de seus usuários e das empresas em risco.
De acordo com uma pesquisa realizada pelo Instituto Gartner, divulgada no ano passado, até 2020, 95% das falhas de segurança ocorridas em cloud serão causadas unicamente por falhas do cliente e não da infraestrutura. É justamente neste cenário que o Shared Responsability Model (Modelo de Responsabilidade Compartilhada) – destaca-se, pois ajuda a determinar com mais clareza quem é responsável pelo controle de cada item de segurança na nuvem AWS: cliente e fornecedor.
Confira algumas dicas dos nossos especialistas para proteção do seu sistema.
Verifique as permissões e acessos
Um hacker que tiver acesso às credenciais de acesso compartilhado ou aos tokens, além de assumir totalmente o controle da sua nuvem, pode excluir ou roubar dados importantes e instalar softwares mal-intencionados.
Para evitar este acesso, crie usuários administradores no Gerenciamento de Identidade e Acesso (IAM) e ative a Autenticação Multifator (MFA) para proteger ainda mais as suas contas contra o roubo de senhas.
Outra falha muito comum é a de não remover usuários que deixaram a empresa ou dar permissão de administrador para todas as contas, quando deveria limitar-se aos principais integrantes corporativos. Outra dica é nunca codificar chaves de acesso diretamente no código ou enviar credenciais da AWS por e-mail, mas mantê-las seguras e criptografadas através, por exemplo, do serviço de gerenciamento de chaves da própria AWS (AWS KMS, ou Key Management Service).
Encriptação de dados sensíveis
É importante que as informações que um sistema utiliza sejam classificadas e aquelas que forem consideradas sensíveis – como números de cartão de crédito e dados pessoais – sejam armazenadas de forma criptografada. Assim, não correm o risco de serem violadas se caírem em mãos criminosas.
Por exemplo, você pode usar a criptografia ao lado do S3 para dados em repouso com o auxílio do SSE (Server Side Encryption). O processo é totalmente transparente, quando inserir um objeto e solicitar criptografia é gerada uma chave exclusiva que criptografa seus dados e, logo em seguida, ela é novamente criptografada com uma chave mestra.
Como proteção adicional, as chaves são armazenadas em hosts separados e distintos daqueles usados para guardar os dados.
Atualize os serviços
A atualização é fundamental, pois evita que a maioria dos malwares comprometam o seu sistema operacional usando vulnerabilidades da própria rede.
Na AWS, ele é gerenciado com as AMIs (Amazon Machine Images) que ao ser iniciada, realiza o download e aplica os patches de segurança mais recentes. Por exemplo, as instâncias Amazon EC2 que executam o Microsoft Windows podem ser atualizadas usando o Amazon EC2 Systems Manager.
Para finalizar, mantenha o acompanhamento periódico dos itens de segurança na nuvem AWS, como firewall, logs e grupos de segurança. Lembre-se que qualquer brecha pode deixar o sistema seriamente exposto e, acima de tudo, os protocolos de segurança devem fazer parte da mentalidade da sua empresa.
E vale lembrar que a CleanCloud analisa diariamente mais de 30 itens de segurança e traz recomendações para corrigir estas falhas. Teste gratuitamente por 7 dias, sem qualquer compromisso, e descubra se sua infraestrutura está segura.
