Ameaças à segurança na nuvem

Os ambientes de nuvem não significam menos problemas relacionados à segurança. Muitas das mesmas questões de ambientes tradicionalmente hospedados existem na nuvem. A segurança na nuvem deve ser tratada com muita seriedade, tão seriamente quanto em qualquer outra situação em que você tenha serviços de críticos, dados importantes e processos de negócios dos quais você depende para manter as coisas em movimento. Para entender os tipos de ameaças que existem na nuvem e como eles podem afetar seu ambiente, veremos uma lista de problemas de segurança que são universalmente reconhecidos como sendo os maiores, mas não os únicos enfrentados pelos ambientes na nuvem:

  • Uma violação de dados única resultando em uma perda de um único registro é ruim, e uma violação resultando na perda de vários registros é pior, mas uma perda maciça de registros é catastrófica. Em 2013, a Target Corporation perdeu pelo menos 110 milhões de cartões de crédito e informações pessoais para hackers; Este roubo ainda está provando o custo caro quanto a sua imagem. Em 2015, foi revelado que o Office of Personal Management (OPM) nos Estados Unidos perdeu 22 milhões de registros em uma única violação de dados. Incluídos nesse número eram cerca de 2 milhões de registros que incluíam dados biométricos sobre indivíduos. Ambas as violações foram horrendas e resultaram em ações legais dispendiosas e outras questões.
    Violações de dados na escala da Target e OPM são mais do que possíveis na nuvem, e assim você precisa estar ciente e gerenciar as fraquezas que podem levar a tal perda. Você deve usar criptografia para armazenamento e transmissão. Além disso, você pode empregar máquinas virtuais para isolar operações e processos na nuvem. Em alguns ambientes, o potencial de perda é tão grande que nuvens privadas devem ser usadas em vez de soluções comerciais.
  • Perda de dados é outro perigo potencial que deve ser abordado pelos adotantes da nuvem ou qualquer tecnologia que armazena dados. Ao contrário de uma violação de dados, a perda de dados é o processo de perda de dados por meios inadvertidos ou acidentais. Por exemplo, a perda de dados devido à falta de backup seria a perda de dados. Perda de dados em larga escala é possível, mas perda em pequena escala de dados é muito mais provável de ocorrer.
  • O sequestro de tráfego de contas e serviços é outra preocupação com aplicações e serviços em nuvem, assim como acontece com aplicações tradicionais. Ao se aproveitar das falhas de software, buffer overflows, senhas fracas ou criptografia fraca, um intruso pode obter controle sobre uma conta e até mesmo usar ataques phishing, sniffing e MitM para comprometer o sistema. Transações alteradas, dados manipulados, aplicações sofrendo crashes e informações falsas são apenas alguns dos possíveis resultados dessa situação.
    Um problema muito real é uma conta sendo comprometida por um intruso capturando na rede ou usando outros meios para interceptar credenciais. Uma vez em posse dessas credenciais, o hacker pode tomar ações adicionais, incluindo implantar um software, fazer mudanças de configurações, ou mesmo usar um sistema como um pivô para mergulhar mais fundo na aplicação ou ambiente. Dependendo da situação, é inteiramente possível para um intruso obter acesso a uma conta de alto nível e ter acesso quase ilimitado ao ambiente.
  • As APIs inseguras causaram inúmeros problemas. As mesmas APIs implementadas para permitir que desenvolvedores de terceiros conectem seus aplicativos em serviços em nuvem também podem permitir que um invasor explore profundamente um sistema e execute ações ilegais e obtenha informações. Esse problema não leva em conta os aplicativos de terceiros que podem ter suas próprias APIs que podem ser falhas.
  • A negação de serviço também é possível em uma aplicação baseada na nuvem, tal como acontece com os sistemas tradicionais. Embora os serviços em nuvem possam ser menos vulneráveis na maioria dos casos, eles ainda são vulneráveis e podem ser derrubados por um intruso determinado. Adicione a esta situação baseadas em DDoS, e um determinado intruso poderia derrubar um serviço em nuvem.
  • Um problema que ocorre com a nuvem que não aparece em muitos outros lugares é o potencial para diferentes tipos de impacto financeiro. Com serviços em nuvem, o cliente pode ser cobrado pelos recursos extras que estão sendo consumidos na forma de tráfego. Em alguns casos, o aumento da despesa pode causar um negócio para desligar ao invés de pagar uma conta enorme por causa de um ataque.
  • Insiders maliciosos têm sido o foco de uma série de conversas sobre a nuvem. Uma vez que você não está hospedando sua solução localmente, você tem que confiar que o provedor do serviço tem controlado adequadamente e está monitorando seus funcionários. Um único informante mal-intencionado poderia facilmente causar problemas na forma de dados perdidos ou roubados. Este problema não só pode afetar a operação da sua empresa, mas também ter um impacto incrível quando os dados acaba nas mãos erradas.
  • Graças ao poder aumentado e agregado que está presente nas soluções em nuvem, é possível reunir recursos para quebrar senhas e chaves de criptografia. Este tipo de ataque já foi visto com a computação distribuída, mas com a introdução da nuvem tornou-se muito mais fácil de realizar.
  • A falta de segurança ou falta de diligência do prestador de serviços é possível e pode ser muito prejudicial para o cliente. A falta de monitoramento, política, rastreio de funcionários, manutenção e similares podem ser catastróficas. Softwares sem patches devido à má manutenção, má concepção, ou programação pobre poderia facilmente resultar em problemas de segurança.
  • Os ambientes multi-tenancy são uma configuração comum para a nuvem (a menos que você esteja construindo uma nuvem privada). Em ambientes multi-tenant há um potencial aumentado para uma violação de dados ou outro comprometimento. Com os recursos compartilhados entre os inquilinos dentro da nuvem, pode haver uma situação em que outro inquilino é privada de seus dados, quer por meios maliciosos ou acidentalmente.
  • Lembre-se, a menos que você esteja em um ambiente que você possui completamente, como uma nuvem privada, você está em um ambiente compartilhado. Em qualquer ambiente compartilhado, um lapso de segurança pode levar a uma exposição e, portanto, você deve tomar cuidado para garantir que a proteção de ponta a ponta existe.

As ameaças listadas aqui não são as únicas ameaças na nuvem. Muitas das ameaças que existem na nuvem são as mesmas ou quase as mesmas que as implementações tradicionais não-cloud. No entanto, isso não significa que tudo é o mesmo em toda a linha.
Sugestões de livros:

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

One Response to “Ameaças à segurança na nuvem”

  1. Alex Casañas disse:

    Excelente artigo.

    Os desafios impostos na Cloud, com relação a segurança, demandam grande preocupação da equipe de tecnologia da Informação. Desde 2006, quando ouvi pela primeira vez o conceito de Cloud da forma que trabalhos atualmente, o grande questionamento é: “O que devo manter localmente, e o que eu posso migrar para a Nuvem?”.

    Cada empresa, tem um contexto diferente, entretanto, a preocupação e a mesma para todos que pretendem utilizar a Nuvem como opção. Cada vez mais os orçamentos são escassos , e a Nuvem se apresenta como uma das melhores alternativas, devido a sua sofisticação e facilidade de escala.

    Alex Casañas
    Perito em Informática
    @casanasdf Twiitter

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *