“Onde quer que eu vá, lá estou eu” – Segurança
Recentemente, tive uma discussão com uma grande organização que tinha alguns workloads em múltiplas nuvens enquanto montava uma equipe focada em segurança na nuvem para desenvolver sua política de segurança no futuro. É uma das minhas conversas favoritas, já que não estou falando apenas das soluções Trend Micro e de como elas podem ajudar as organizações a serem bem-sucedidas, mas mais ainda sobre como uma empresa aborda a criação de sua política de segurança para alcançar um centro bem-sucedido de excelência operacional. Enquanto falarei mais sobre o COE (centro de excelência operacional) em uma futura série de blogs, quero mergulhar no centro da discussão – onde introduzimos segurança na nuvem?
Começamos a discutir como proteger esses novos serviços nativos da nuvem, como serviços hospedados, serverless, infraestruturas de contêiner etc., e como adicionar essas estratégias de segurança à sua política de segurança em constante evolução.
Nota rápida: se a sua política de segurança na nuvem não estiver em constante evolução, está desatualizada. Mais sobre isso depois.
Um colega e amigo meu, Bryan Webster, apresentou um conceito de que os modelos de segurança tradicionais sempre foram sobre três coisas: Configuração de Práticas Recomendadas para Acesso e Provisionamento, Paredes que Bloqueiam Coisas e Agentes que Inspecionam Coisas. Contamos com esses princípios desde que o primeiro computador foi conectado a outro. Apresento a você este gráfico útil que ele apresentou para ilustrar os dois últimos pontos.
Mas, à medida que adotamos a segurança de serviços nativos da nuvem, alguns deles estão fora de nosso domínio e outros não permitem a instalação de um agente. Então, para ONDE vai a segurança agora?
Na verdade, não é tão diferente – apenas como é implantado e implementado. Comece removendo o pensamento de que os controles de segurança estão vinculados a implementações específicas. Você não precisa de um muro de prevenção de intrusões que seja um dispositivo de hardware, assim como não precisa de um agente instalado para executar o anti-malware. Também haverá um grande foco em sua configuração, permissões e outras práticas recomendadas. Use referências de segurança como o AWS Well-Architected, CIS e SANS para ajudar a criar uma política de segurança adaptável que possa atender às necessidades da empresa no futuro. Você também pode considerar a consolidação de tecnologias em uma plataforma de serviços centrada na nuvem, como a Trend Micro Cloud One, que permite aos construtores proteger seus ativos, independentemente do que está sendo criado. Precisa de IPS para suas funções serverless ou contêineres? Experimente o Cloud One Application Security! Deseja colocar a segurança ainda mais à esquerda em seu pipeline de desenvolvimento? Dê uma olhada no Trend Micro Container Security for Pre-Runtime Container Scanning ou no Cloud One Conformity para ajudar os desenvolvedores a fazer uma varredura da sua Infrastructure as Code.
Tenha em mente: onde quer que você implemente a segurança, lá ela está. Verifique se está em um local para atingir os objetivos de sua política de segurança usando uma combinação de pessoas, processos e produtos, todos trabalhando juntos para tornar seu negócio bem-sucedido!
Isso faz parte de uma série de blogs com várias partes sobre o que deve ser lembrado durante um projeto de migração para a nuvem. Você pode começar do início, que teve seu pontapé com um webinar aqui: https://resources.trendmicro.com/Cloud-One-Webinar-Series-Secure-Cloud-Migration.html.
Além disso, fique à vontade para me seguir no LinkedIn e obter conteúdo de segurança adicional para usar em toda a sua jornada para a nuvem!
