Por: Lucas Santos Ferreira | Sales Engineer na M3Corp | setembro 2024 | DevSecOps e Cloud Security
No desenvolvimento moderno de aplicações, os ambientes em nuvem oferecem possibilidades de utilizar tecnologias que permitem lançar novas aplicações, serviços e provisionar infraestruturas de maneiras muito rápidas. Devido a essa natureza, esses ambientes ampliam os riscos e a superfície de ataque, promovendo maiores possibilidades no aumento das ameaças, acessos não autorizados, vazamento de dados sensíveis e ataques direcionados.
Segundo estudo do Garner, estima-se que 90% das organizações globais irão utilizar aplicações “conteinerizadas” em produção até 2026, o que comprova que manter esses ambientes protegidos é crucial. Outro dado que colabora com a importância desse tema, vêm da equipe de pesquisa da Aqua Security, Nautilus Team, que indica que 75% dos ataques em nuvem acontecem nos ambientes de produção.
Para prevenir que ameaças não sejam expostas e exploradas, apesar de necessário e também importante, não basta apenas realizar análises (scans) para encontrar vulnerabilidades e misconfigurations (configurações incorretas) pois, nos ambientes de nuvem onde os criminosos irão procurar explorar componentes em execução, é necessário a aplicação de mecanismos de monitoramento e proteção para evitar essas ações, algo que apenas uma assessment ou scan de vulnerabilidade não pode garantir em sua totalidade.
Segurança tradicional x Segurança em nuvem
Os ambientes em nuvem possuem em sua essência o dinamismo, o que eleva o desafio de mantê-lo seguro de forma eficaz, ampla e automatizada. Ter uma visibilidade atualizada em tempo real e, manter políticas abrangentes para proteção, intensificam o desafio e a preocupação.
Scans de ambiente ajudam, mas são limitados para detecção e proteção de ameaças no cenário Cloud Native. Semelhantemente, ferramentas de EDR (Endpoint Detect and Response) não conhecem com profundidade as nuances e o modus operandi dos ataques em aplicações nativas em nuvem. Apesar de necessários e cumprirem um papel importante na estratégia de proteção das empresas, essas ferramentas possuem dificuldade em aplicar segurança em ambientes que são escaláveis, de gerenciamento complexo e de mudanças constantes na visibilidade global. Como alternativa, soluções de proteção em runtime para ambientes de nuvem são arquitetadas especificamente para lidar com esses tipos de cenários.
Capacidades necessárias para proteção de um ambiente em nuvem
Ao avaliar soluções para proteção nos ambientes de nuvem, é fundamental garantir que ela consiga entregar uma segurança robusta em todo ambiente, independentemente do tipo de workload (cargas de trabalho), se estão públicos, privados ou híbridos.
Alguns pontos chaves para se atentar:
Prevenção: Habilidade de prevenir incidentes reduzindo a superfícies de ataque, ao aplicar hardening em todo ambiente, eliminando potenciais pontos de entrada para ameaças, garantindo algo essencial na proteção em nuvem, a imutabilidade;
Detecção: Detectar ameaças em tempo real é outro ponto importante para manter a segurança do ambiente de nuvem. Impor métodos de detecção por assinatura e comportamental juntos, pode ajudar na descoberta de ameaças conhecidas e desconhecidas. Outra questão necessária é o monitoramento das conexões de rede suspeitas para e, entre os workloads, contribuindo na aplicação de proteções das comunicações;
Proteção: Proteção contra malwares é uma outra capacidade crítica necessária. Uma solução robusta para proteção de ambientes de nuvem pode automaticamente bloquear atividades maliciosas executadas em qualquer carga de trabalho. Esse método irá prevenir ataques zero-day e bloquear qualquer movimento lateral ou tentativa de escalação de privilégios;
Resposta: Capacidade de coletar dados para análise forense, através de relatórios detalhados dos impactos dos ataques, mitigações aplicadas e respostas dadas. Rapidamente teremos uma linha do tempo dos eventos, entendimento dos padrões de ataque e conscientização em casos de novas técnicas ainda sem solução oficial (zero-day) para aprimoramento dos processos e políticas.
Tipos de segurança em runtime para ambientes em nuvem
Abaixo, listamos as principais aplicações para a segurança runtime dos ambientes e aplicações nativas em nuvem:
Container Runtime Security: containers são muito populares e facilitam em muitos cenários, principalmente para desenvolvimento e lançamento de aplicações. Ter visibilidade e monitoramento desse tipo de workload é importante para detecção de comportamentos suspeitos, acessos não autorizados, comunicação de rede, atividades do sistema e processos em execução.
A gestão de vulnerabilidade também faz parte da estratégia para proteger esse tipo de tecnologia. Containers utilizam diversos componentes de sistema operacional e dependências de terceiros que introduzem vulnerabilidades conhecidas, para isso, é necessário a execução de scans regulares para aplicar patches ou atualizações.
Runtime security será um aliado poderoso ao monitorar e prevenir com que configurações incorretas, vulnerabilidades, comunicações de rede suspeitas e comportamentos indevidos sejam explorados.
Kubernetes Runtime Security: Kubernetes se tornou um padrão para gerenciamento e orquestração de aplicações e containers. É também necessário proteger a infraestrutura de cluster dessa tecnologia.
Devemos garantir que as configurações do cluster estejam devidamente aplicadas com as melhores práticas, pois caso contrário, podem levar a acessos não autorizados e explorações de brechas. As empresas necessitam seguir com a implementação de segmentação de rede, acesso baseado em funções, monitoramento contínuo e ajustes nas configurações de sistema. Esses recursos também fazem parte das capacidades aplicadas pelo runtime security.
Cloud Native Runtime Security: Essa abordagem foca em trazer segurança para aplicações e infraestrutura durante o estágio de execução, olhando unicamente para os desafios presentes dos ambientes de nuvem.
Um dos principais pontos dessa prática, é a capacidade de introduzir políticas para a imutabilidade da infraestrutura. Essa é uma técnica que irá implementar regras nos componentes que não podem ser modificados uma vez que estão em funcionamento em ambientes de produção. Nessa abordagem, conseguimos reduzir os riscos de mudança não autorizadas, desvio de configurações, exploração de vulnerabilidades, bloqueio de comunicações maliciosas e execução malwares.
A aplicação de políticas para automatizar um padrão em todo ambiente de nuvem é um outro aspecto essencial. Ao definir e impor regras de segurança, as organizações terão a proteção de forma consistente em todo ambiente de forma escalável e automática.
Aqua Security e M3Corp como parceiros na jornada de proteção cloud
A Aqua Security é uma plataforma completa que combina todos os recursos necessários para proteção em runtime dos ambientes de nuvem.
A M3Corp oferece todo apoio necessário para que as empresas sejam capazes de resolver seus desafios na jornada de proteção ao ambiente de nuvem, em parceria com uma solução altamente robusta e madura, responsável em proteger grandes companhias presentes no mercado.
Fontes:
Por: Lucas Santos Ferreira | Sales Engineer na M3Corp | setembro 2024 | DevSecOps e Cloud Security
https://www.aquasec.com/cloud-native-academy/cspm/runtime-security/
https://www.aquasec.com/blog/understanding-the-importance-of-runtime-security-in-cloud-native-environments/
https://www.comparethecloud.net/articles/importance-of-runtime-security-for-cloud-native-environments/