Barracuda full logo

A NSA divulga as 10 principais dicas para gerir de forma segura a sua migração para a cloud

Tópicos:
24 jul. 2024
|
Becki Harrington-Davis

As organizações estão a migrar cada vez mais para ambientes de cloud para aumentar a eficiência e flexibilidade no processamento, armazenamento e partilha de informações. No entanto, essa eficiência vem com risco: os ambientes de cloud estão a ser cada vez mais visados por atores cibernéticos maliciosos, de acordo com a National Security Agency (NSA).

É por isso que a NSA divulgou uma lista das suas 10 Principais Estratégias de Mitigação de Segurança na Nuvem no início deste ano. Cada uma das 10 estratégias liga a um relatório breve que descreve as melhores práticas sobre o tema. As estratégias destinam-se a ajudar as organizações a garantir que os seus ambientes de nuvem estão configurados e monitorizados de forma segura para mitigar ameaças específicas da nuvem.

As 10 principais estratégias de segurança na nuvem da NSA

Manter o modelo de responsabilidade partilhada na cloud

Não presuma que o seu fornecedor de serviços de cloud está a fazer todo o trabalho pesado em cibersegurança. Os fornecedores de serviços de cloud operam num modelo de responsabilidade partilhada, e a divisão de responsabilidades difere bastante consoante o modelo de serviço: infraestrutura como serviço (IaaS), plataforma como serviço (PaaS) ou software como serviço (SaaS).

É essencial ler e compreender a documentação do seu fornecedor de serviços e os guias de Best Practice para garantir que está a responsabilizar os seus fornecedores e a cumprir a sua parte das responsabilidades de segurança.

2. Utilize práticas seguras de gestão de identidade e acesso na nuvem

Técnicas de Phishing, credenciais expostas ou autenticação fraca podem permitir que atacantes cibernéticos entrem na porta. É por isso que políticas rigorosas de identidade e acesso são críticas.

As suas políticas devem incluir autenticação multifator, credenciais temporárias devidamente geridas e separação de deveres. Em geral, deve conceder aos utilizadores o nível mais baixo de privilégios necessário para a sua função. Certifique-se de que os seus empregados compreendem os riscos de uma gestão inadequada de identidade e acesso.

3. Utilize práticas seguras de gestão de chaves na nuvem

Esteja ciente de como o seu fornecedor de serviços na nuvem gere a gestão de chaves. Alguns dependem do fornecedor da nuvem para encriptação totalmente delegada do lado do servidor, enquanto outros utilizam um modelo de encriptação do lado do cliente.

É importante que compreenda os seus papéis e responsabilidades no âmbito do seu acordo com o fornecedor, assim como os riscos e benefícios de cada opção.

4. Implementar segmentação de rede e encriptação em ambientes de cloud

Proteja a sua rede utilizando práticas de segurança de Zero Trust, um modelo que utiliza verificação contínua em vez de confiança implícita em qualquer entidade.

Estratégias de Zero Trust incluem:

  • Associar informações de identidade a todos os pedidos de rede
  • Usando encriptação de ponta a ponta
  • Implementação de microsegmentação

A microsegmentação, em particular, é fundamental. Apenas dê aos utilizadores acesso aos recursos de que necessitam para a sua função. Dessa forma, mesmo que atores cibernéticos maliciosos ganhem acesso ao seu inquilino na nuvem, o seu acesso será limitado.

5. Proteja os dados na cloud

Proteja a sua organização dos riscos de roubo de dados e ransom por:

  • Selecionar o armazenamento na cloud adequado
  • Prevenção de exposição através de IPs públicos
  • Aplicar o princípio do menor privilégio
  • Usar versionamento de objetos
  • Criar cópias de segurança imutáveis com planos de recuperação
  • Ativação da encriptação
  • Rever regularmente as medidas de segurança de dados

Além disso, considere ativar a funcionalidade de "eliminação suave" para que dados importantes não sejam eliminados acidentalmente — ou de forma maliciosa.

6. Defender ambientes de integração/entrega contínua (CI/CD)

Os processos de desenvolvimento e operações de software, incluindo ambientes de integração contínua/entrega contínua (CI/CD), são alvos atrativos para cibercriminosos maliciosos que podem introduzir código malicioso, roubar segredos comerciais ou perpetrar ataques de negação de serviço.

Proteja a sua pipeline CI/CD implementando práticas robustas de gestão de identidades e acessos, garantindo que as suas ferramentas estão atualizadas, auditando os seus registos, utilizando a verificação de segurança e gerindo adequadamente os segredos.

7. Aplicar práticas de implementação automatizada segura através de infraestrutura como código (IaC)

Reduza o risco de erro humano durante a implementação de infraestruturas ao utilizar infraestruturas como código (IaC) para automatizá-la. Isto permite-lhe ver rapidamente quaisquer alterações não autorizadas. Os fornecedores de serviços de cloud oferecem serviços IaC integrados, ou pode utilizar ferramentas open source ou comerciais.

Além disso, automatize a conformidade com a política de segurança usando IaC em vez de processos manuais. Isto é conhecido como política como código.

8. Contabilizar as complexidades introduzidas por ambientes de nuvem híbrida e multi-nuvem

Ambientes de cloud híbrida e multi-cloud podem envolver situações complexas, incluindo lacunas de competências entre utilizadores em diferentes ambientes e problemas de compatibilidade. Utilize ferramentas independentes de fornecedores para padronizar as suas operações em todos os ambientes, agregar registos, proporcionar consistência no acesso dos utilizadores e monitorizar a segurança num único local.

9. Mitigar riscos de provedores de serviços geridos em ambientes de nuvem

Utilizar um fornecedor de serviços geridos (MSP) pode simplificar o suporte técnico e a manutenção, mas também pode proporcionar outra via para vulnerabilidades. Pesquise os padrões e práticas de segurança do seu potencial MSP antes de selecionar um fornecedor para proteger o seu ambiente de cloud.

Os serviços do MSP devem ser integrados com os seus próprios sistemas de segurança e resposta a incidentes para garantir uma mitigação de riscos atempada e precisa.

10. Gerir registos na nuvem Para uma caça de ameaças eficaz

Dado que os sistemas na nuvem envolvem um grande número de utilizadores a aceder a dados, é essencial utilizar uma plataforma com um registo completo de logs para monitorizar a atividade dos utilizadores na nuvem. Estes logs são importantes tanto para manter registos como para rastrear qualquer atividade anormal no sistema.

Os ambientes de cloud geralmente incluem software de registo, mas as configurações de registo padrão variam muito de programa para programa. Configure o seu rastreio para detetar números invulgares de tentativas de acesso, anomalias do sistema e padrões de rede invulgares. Isto ajuda a garantir a identificação e remoção atempada de ameaças potenciais.

Conclusão

À medida que mais empresas adotam plataformas em nuvem, inevitavelmente surgirão mais ameaças potenciais. Sistemas não seguros ou mal configurados são os alvos mais fáceis. Para manter um ambiente de nuvem seguro, as empresas são fortemente aconselhadas a seguir estas 10 diretrizes.

Subscreva o Blogue Barracuda
Becki Harrington-Davis

Uma contadora de histórias da marca experiente e versátil, Becki Harrington-Davis traduz temas complexos em mensagens acessíveis e multicanal para aumentar a consciência da marca e motivar os públicos-alvo a agir.

Artigos Relacionados:
Feche lacunas de segurança ocultas com a Barracuda Managed Vulnerability Security
Feche lacunas de segurança ocultas com a Barracuda Managed Vulnerability Security
 Próximos webinars que não vai querer perder
Próximos webinars que não vai querer perder
 Apresentando a nova plataforma de cibersegurança BarracudaONE com inteligência artificial
Apresentando a nova plataforma de cibersegurança BarracudaONE com inteligência artificial
Cl0p ransomware: O invasor sorrateiro que ataca enquanto dormes
Cl0p ransomware: O invasor sorrateiro que ataca enquanto dormes
Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.