Porque subir arquivos para a nuvem não significa que eles estão protegidos

ElevenPaths    14 agosto, 2019
Porque subir arquivos para a nuvem não significa que eles estão protegidos

O uso da computação em nuvem é uma evolução inegável dos ambientes de TI. A tecnologia permite que possamos alocar poder de processamento, espaço de armazenamento e ambientes virtuais completos à medida em que precisamos deles.

Há nem tanto tempo atrás assim, se você precisasse criar e testar uma aplicação, precisaria invariavelmente investir na compra de hardware e software para montar o ambiente em que essa aplicação seria executada. Já em produção, os servidores dessa aplicação deveriam acompanhar a expansão de sua adoção, isso significava mais processadores, mais memória, disco rígido, infraestrutura de rede, energia elétrica, largura de banda… Um pesadelo logístico e de custo.

Hoje, criar um ambiente para rodar uma aplicação demanda somente alguns cliques. Há uma infinidade de provedores de computação em nuvem nos quais você pode criar um servidor em segundos, adicionar espaço de armazenamento, sistemas operacionais, bancos de dados, capacidade de processamento e memória RAM sem levantar da cadeira. Não precisa mais do ambiente? É só apertar o kill switch.

O uso de computação como um serviço, na nuvem, revolucionou como os sistemas computacionais são desenvolvidos e como as empresas usam tecnologia, foi um catalisador para a digitalização dos negócios. Além da óbvia redução de custos, outros benefícios da nuvem são a alta disponibilidade, escalabilidade, redundância e segurança.

Todas as características da nuvem são inegáveis, com exceção de uma, a segurança. Não me entenda mal, os provedores de nuvem normalmente adotam controles de segurança em suas aplicações, infraestruturas e arquiteturas internas. Mas há um componente fundamental que pode invalidar boa parte dos recursos de segurança do provedor de nuvem e dos dados ou aplicações armazenadas: você.

Vamos aos fatos! Se a gente analisar dois dos últimos vazamentos aqui no Brasil, comprovamos essa falha crítica da nuvem chamada usuário.

No dia 22 de julho, um vazamento de mais de 250 GB tornou públicos dados pessoais de usuários de serviços financeiros, incluindo cópias de RG, CPF, contratos de financiamentos, holerites, comprovantes de endereço e até filiação, uma verdadeira mina de ouro para cibercriminosos que utilizam phishing. A maioria das pessoas eram clientes do Banco Pan, mas havia também dados de clientes do Banco Safra, Olé e Sabemi Seguradora. O fato mais trágico é que a origem do vazamento não foi cada uma dessas empresas, mas sim um prestador de serviço.

Em outro caso recente, uma clínica especializada em cirurgias cardíacas, a Cirurgião Cardíacos Associados (CCA), teve vazados dados médicos que incluíam prontuários, solicitações de exames e reembolsos, troca de mensagens, resultados de testes de imagem e boletins médicos. O que, além de ser uma mina de ouro para extorsão e phishing como caso anterior, configura crime com detenção de até três anos para o responsável por quebra de sigilo profissional.

Amazon Simple Storage Server

Qual a semelhança entre esses dois casos? A utilização de um serviço de armazenamento de arquivos em nuvem da Amazon, conhecido como S3 (ou Simple Storage Server) que, como o nome diz, é simplesmente um serviço que disponibiliza espaço de armazenamento na nuvem com diferentes níveis de serviço e desempenho. O Amazon S3 pode ser utilizado para diversas aplicações como troca de arquivos, armazenamento de componentes para aplicações web e projetos, backup etc. O serviço conta com recursos avançados para a proteção dos dados armazenados ali como políticas de acesso e criptografia, o problema aqui é que esses recursos dependem do usuário para serem habilitados. Os “buckets”, como o fornecedor chama cada instância do serviço, da CCA e do correspondente bancário dos cases acima estavam configurados para ter acesso público. Ou seja, qualquer usuário que buscasse o serviço na web poderia copiar os dados armazenados ali, um erro primário.

Não estou seguro na nuvem! E agora?

A situação é preocupante, mas pode ser resolvida também com alguns cliques e boas práticas. Quer saber por onde começar? Minha sugestão são os oito passos abaixo.

  1. Mínimo privilégio possível: essa é uma regra de ouro! Ao desenvolver seus sistemas, utilize essa regra que determina que o nível de acesso de usuários deve ser o mínimo possível para que eles possam realizar suas tarefas. Se você tem um usuário que cria relatórios semanais com base nos dados hospedados, ele só deve ter acesso de leitura e não direitos de edição dos dados, por exemplo.
  2. Políticas de IAM: o uso de políticas de gestão de identidade e acesso permite que se faça um controle programático das autorizações e do nível de acesso aos serviços hospedados. É possível criar políticas granulares que determinam níveis de acesso por usuários, grupos de usuários e através de uma linha de tempo. Você pode configurar que usuários envolvidos em um sprint do seu projeto tenham seu acesso bloqueado depois de determinado período.
  3. Defina políticas para cada instância: você deve configurar o nível de acesso para cada uma das instâncias do seu serviço hospedado na nuvem, normalmente é possível permitir acesso público (para todos que tenham o endereço da aplicação), somente a usuários com o domínio da companhia (@suaempresa.com.br) ou usuários específicos.
  4. Use permissões com parcimônia: seja seletivo com quais usuários ou grupo de usuários você concede permissão de edição ao serviço, evite sempre que possível atribuir direitos de edição a grupos de usuários. É normal haver permissões para qualquer usuário que tenha uma conta ativa do serviço que você está utilizando, ou seja, um usuário com conta Amazon poderia acessar a sua aplicação, mesmo que não faça parte da sua empresa.
  5. Use múltiplo fator de autenticação: alguns provedores poder permitir que você defina um segundo modo de autenticação para confirmar um comando crítico para a sua instância, por exemplo, é possível definir que um grupo de arquivos só seja copiado ou apagado com a confirmação de um código enviado ao celular cadastrado como gestor daquele projeto.
  6. Monitore continuamente o serviço: você deve manter um olhar próximo aos índices de desempenho da sua instância de aplicação ou armazenamento em nuvem, alguns serviços permitem a criação de alarmes quando certas operações são realizadas, configure-os para saber se alguma ação crítica for realizada, como cópia de arquivos ou deleção em massa.
  7. Use criptografia sempre que possível: a maioria dos serviços de hospedagem em nuvem permite que você configure criptografia no transporte de dados (quando você acessa ou grava dados na nuvem) e APIs, conectores específicos, que permitem criptografar dados e acesso em clientes a aplicativos de usuários finais. Considere a utilização desse recurso para evitar por em risco os dados por conta de dispositivos móveis ou prestadores de serviço, por exemplo.
  8. Use senhas fortes: sempre utilize senhas fortes para proteger seus arquivos, sempre! Para ser considerada forte, uma senha deve ter pelo menos 12 caracteres, combinar letras maiúsculas e minúsculas, caracteres especiais e números. Você não deve utilizar a mesma senha para diferentes serviços da internet e é recomendável trocar suas senhas a cada 90 dias.

O uso de serviços a aplicações em nuvem materializa a máxima “com grandes poderes vem grandes responsabilidades”, você tem em suas mãos uma infinidade de recursos computacionais que podem ser ligados, desligados e dimensionados com alguns cliques. Não prestar atenção em algumas regras básicas de segurança pode, no entanto, tornar o uso da nuvem em uma tempestade perfeita para cibercriminosos.

Fique atento!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *