O documento discute as melhores práticas de segurança em ambientes multi-cloud, destacando que dados e aplicações estão em toda parte, tornando a segurança difícil. É necessária uma abordagem que forneça proteção consistente entre nuvens e localidades, aplicação avançada de prevenção de violações de dados e implementação e gerenciamento sem atrito. A plataforma de segurança operacional da Palo Alto Networks aborda esses desafios com proteções inline, baseadas em API e para hosts, oferecendo segurança preventiva em todos os ambientes.
A culture of rapid innovation with DevOps, microservices, and serverless - MA...
Melhores práticas para segurança em um mundo multi cloud
1. Melhores Práticas de Segurança em
um Mundo Multi-Cloud
Alexandre Freire
afreire@paloaltonetworks.com
Enterprise & Industrial Cybersecurity Sales Engineer
9. APLICAÇÃO EM CLOUD
Segurança do SO e
Aplicações dentro
dos workloads
WEB APP
Web Server App Server
HOST
Proteção e
segmentação de
workloads Cloud
INLINE
1 2
Infrastructure-as-a-Service (IaaS)
ELEMENTOS PRINCIPAIS DA SEGURANÇA DE PUBLIC CLOUD
10. APLICAÇÃO EM CLOUD
Segurança do SO e
Aplicações dentro
dos workloads
Segurança continua
& Compliance
API
WEB APP
Web Server App Server
HOST
Proteção e
segmentação de
workloads Cloud
INLINE
1 2
3
Infrastructure-as-a-Service (IaaS)
OBJECT STORAGE CACHING DATABASE
Platform-as-a-Service (PaaS)
ELEMENTOS PRINCIPAIS DA SEGURANÇA DE PUBLIC CLOUD
11. APLICAÇÃO EM CLOUD
Segurança do SO e
Aplicações dentro
dos workloads
OFERTA MAIS COMPLETA PARA SEGURANÇA DE PUBLIC CLOUD
Segurança continua
& Compliance
API
WEB APP
Web Server App Server
HOST
Proteção e
segmentação de
workloads Cloud
INLINE
Infrastructure-as-a-Service (IaaS)
OBJECT STORAGE CACHING DATABASE
Platform-as-a-Service (PaaS)
Há uma enorme quantidade de valor comercial que você pode obter da nuvem. Mas há muitos desafios em adotar essas nuvens com segurança.
A verdadeira questão é como podemos abordar a nuvem a partir de uma perspectiva de segurança para obter realmente o benefício total da nuvem.
Quando você diz a palavra nuvem, ela traz alguns casos de uso primários diferentes. Certamente, há muita atividade em torno de uma aplicação tradicional de datacenter e sua implantação em um ambiente de nuvem privada que seja dinâmico e automatizado e na infraestrutura que você possui. Além disso, a nuvem pública pode oferecer um enorme valor se você quiser aproveitar a infraestrutura e a plataforma como um serviço. E, finalmente, os aplicativos SaaS são realmente fáceis de adotar e geram vários benefícios de produtividade e colaboração para seus funcionários
Nós vemos que a maioria de nossos clientes jã fazem uso nao de apenas um workload mas de diversos. Isso é ótimo e, na verdade, você pode obter uma enorme quantidade de valor ao consumir e implantar essas aplicações em diferentes workloads mas devemos observar que isso traz alguns desafios..
Ao tentar atender às suas necessidades de segurança na nuvem, você começa a adquirir várias ferramentas de segurança para casos de uso de segurança específicos. E, se você não está prestando atenção, você pode acabar em uma arquitetura de segurança muito fragmentada, que pode ser impossível de operar.
Então, à medida que você migra para a nuvem, existe tambem o risco de acabarmos usando os processos de segurança manuais, que sao usados no data center físico, e migrá-los para a nuvem. Isso não funciona, pois fica muito difícil gerenciar políticas e investigar incidentes em vários ambientes de nuvem e várias ferramentas.
E, finalmente, pequenos erros humanos na nuvem são amplificados rapidamente. Esses erros podem acabar expondo dados muito sensíveis à Internet, onde você tem bots / scripts em execução para procurar esses vazamentos de dados públicos. (exemplo: crie uma nova máquina virtual na AWS com um IP público e você verá que ela está sendo investigada em segundos) E, finalmente, se você adotar a abordagem correta, esses desafios podem ser superados
A Abordagem correta começa com grande segurança. Não acreditamos que você precise comprometer a segurança para aproveitar todos os benefícios da nuvem. Precisamos ser capazes de e fornecer segurança consistente em qualquer lugar onde seus aplicativos possam ser implantados. Precisamos também lutar contra o desafio da segurança fragmentada.
Por ultimo, todas essas capacidades necessitam ser fáceis de serem implementadas e de forma dinamica para que a segurança seja movida e provisionada automaticamente ao mesmo tempo em que os workloads, ou seja, as cargas de trabalho são movidas na nuvem. Precisamos preencher a lacuna entre equipes de segurança altamente controladas e equipes de desenvolvimento que são extremamente ágeis.
Agora, vamos ver como podemos aplicar esses princípios de segurança na nuvem aos serviços de nuvem pública – mais especificamente Infrastructure as a Service e Platform as a Service.
A arquitetura para aplicacoes em nuvem está mudando rapidamente. Se estivéssemos tendo essa conversa há apenas alguns anos, provavelmente nós estaríamos falando sobre o levantamento e a mudança de aplicações do datacenter para a nuvem pública no conceito de “as is”, ou seja, essencialmente , nao mudariamos nada além do local de onde as aplicacoes são hospedadas.
Mas Hoje, se você arquitetou um aplicativo para a nuvem, observamos que os desenvolvedores estão aproveitando cada vez mais a infraestrutura como serviço combinada com a plataforma como um serviço para criar esse aplicativo na nuvem. Existem muitos benefícios nessa abordagem, mas ela apresenta também uma série de aspectos e desafios que várioss para sua correta adoção.
Se observarmos como a indústria está lidando com esses desafios, as abordagens usadas hoje são insuficientes. De um modo geral, as abordagens podem ser resumidas em três grupos: A segurança nativa da nuvem são recursos de segurança disponíveis nas próprias plataformas de nuvem - como a AWS, que fornece grupos de segurança ou serviços de segurança. Essa abordagem não é ruim, mas normalmente eles não têm uma perspectiva de segurança e certamente não ajuda na consistência entre todas as nuvens.
Os produtos pontuais podem dar a impressão de que você conclui o trabalho depois de integrá-los, mas percebemos que a maioria dessas ferramentas realmente se concentram em casos de uso bastante específicos. Esses produtos também podem ser altamente automatizados e projetados para a nuvem, mas não são projetados para segurança de nível corporativo, pois foram projetados para serem ininterruptos. E por ultimo, As ferramentas de segurança de rede de legado são aquelas que você herda de seus ambientes físicos de datacenter e tentam encaixá-las na nuvem com a esperança de que ela atenda às suas necessidades. Infelizmente, em grande parte das vezes, você não tem a segurança de que precisa e essas tecnologias de legado vão atrapalhar na adoção de todo potencial e beneficio do dinamsmo que a nuvem tem a oferecer
Agora, ao pensarmos sobre a arquitetura atual de aplicacoes, acreditamos que a segurança precisa ser abordada de maneira diferente. Ainda começamos com a segurança em linha - com a capacidade de proteger e segmentar o tráfego que chega as aplicacoes, o tráfego entre aplicacoes e o trafego que sai das aplicacoes. Este ainda é um local muito crítico em que a segurança deve ser implementada.
E então, nós temos o host. Há uma oportunidade única para proteger a aplicação e o sistema operacional dentro da própria carga de trabalho. Em particular, isso pode ajudar a detectar e impedir até mesmo ataques de 0 day – o que chamamos de dia zero – os ataques que nunca foram vistos antes.
Além disso, percebemos que os serviços IaaS e PaaS expõem um conjunto muito rico de APIs dessas plataformas em nuvem que fornecem informações ricas sobre como esses serviços estão sendo consumidos, configurados e implementados pelos desenvolvedores.
Todos os três recursos precisam ser combinados para fornecer proteções críticas. A Palo Alto Networks implementa a proteção desses workloads com o uso do que chamamos de Plataforma de Segurança Operacional – que é compreendido pelo VM Series, que é a nossa solução para segurança embutida com recursos completos do NGFW projetados e arquitetados para a nuvem.
Em seguida temos o Palo Alto Networks Traps, projetado para proteger o host e evitar a proliferação de ataques de exploits e proteção contra malware moderno. Em terceiro temos o Evident.IO, que se concentra na coleta de informações críticas por meio de APIs para serviços de IaaS e PaaS.
Dessa forma observamos a segurança arquitetada na nuvem com diferentes tecnologias se unindo para fornecer proteções críticas para um ambiente extremamente dinamico e com a necessidade de implementarmos a segurança sem impactar na velocidade, no dinamismo e em toda a flexibilidade traziada pelos diferentes provedores de public cloud.
Vamos agora falar sobre segurança em linha. Com o Palo Alto Networks VM-Series, é possível obter todos os recursos do NGFW para fornecer três funções principais: Podemos ajudar a impedir ataques de hackers externos que tentam comprometer seu ambiente de nuvem. Além disso, mesmo que um de seus workloads esteja comprometido internamente, é possivel ter todos os controles para evitar a exfiltração de dados de dentro de seu ambiente de public cloud. O VM-Series também está no local perfeito para fornecer visibilidade no nível de aplicação, muito alem da tradicional porta e protocolo para analisar com profundidade o tráfego de entrada / saída, bem como o trafego entre os workloads dentro da propria nuvem.
Por exemplo, devemos ser capazes de criar políticas que especifiquem que os serviços de banco de dados podem apenas conversar com os workloads de aplicações através do protocolo MySQL. À medida que suas demandas de nuvem aumentam, a segurança deve ser capaz de escalar com seus aplicativos. O VM Series tem a capacidade de dimensionar automaticamente à medida que as novas cargas de trabalho aumentam e reduzir quando o pico de demanda voltar a cair. Também é importante observar que as políticas são totalmente automatizadas, e você não precisa adicionar / remover workloads manualmente de sua política. Este é o tipo de segurança onde conseguimos extrair o melhor da nuvem sem impactar em seu dinamismo implementando segurança de forma a não provocar atritos com a operação de seu ambiente.
Nós investimos muitos anos e evoluimos o Palo Alto Networks VM Series no conceito de enforcement de segurança, ou no que podemos chamar de segurança em linha, para ambientes de cloud privada e cloud publica. Datando todo o caminho de volta para o final de 2012 / início de 2013, onde introduzimos o suporte para o primeiro hypervisor, o VMWare ESX, tivemos ao longo dos anos uma evolução continua em nossos investimentos que não só se estenderam por várias plataformas e hypervisors de nuvem, mas na metade inferior deste slide você pode ver que nos concentramos fortemente em extrair o melhor dos provedores de nuvem a partir da automação e orquestração. Em 2018 anunciamos agora o suporte para toda uma nova plataforma de nuvem, o Google Cloud Platform. Temos já uma parceria de longo prazo com AWS e Azure, e adicionamos vários novos recursos para tratar de novos casos de uso - incluindo a capacidade de suportar o VPC de Transito no conceito de Services VPC, os recursos avançados de dimensionamento automático da AWS com uso do auto scaling e juntamente com a nova integração na Central de Segurança do Azure para permitir a automação completa da segurança em seu ambiente do Microsoft Azure
Os clientes estão usando serviços de automação e de nuvem nativa para construir arquiteturas centradas em nuvem que sejam seguras, resilientes e escaláveis. Eles estão usando ferramentas prontamente disponíveis, como CloudWatch, CloudTrail, Application Insights e StackDriver, para monitorar e reagir a alterações no ambiente. Ao exportar métricas do PAN-OS para essas ferramentas, o VM-Series pode ser monitorado e gerenciado junto com o restante dos recursos de nuvem. As métricas do PAN-OS podem ser exportadas para o Azure e Google Cloud Platform ingressando no suporte ja existente da WS. Além disso, se outras métricas precisarem ser adicionadas à lista de exportação, poderemos fazê-las por meio de atualizações de conteúdo, permitindo que continuemos avançando na introdução de novos produtos e serviços no mercado e também na na velocidade da nuvem.
Este é um novo front end github no site da comunidaderojetado para ajudar os usuarios de nossa plataforma a encontrarem r recursos para resolver desafios de nuvem pública com contribuições de ambas as redes palo alto networks, comunidade de clientes / parceiros em geral. Entao esse endereço, que ja esta no ar, é o nosso repositorio publico de scripts e templates para auxiliar em diferentes cenarios de orquestracao e automatização em diferentes cenários que vao potencializar ainda mais a adoção da Palo Alto Networks para adequação a diferentes necessidades de proteção de workloads publicos.
Nós falamos sobre uma abordagem baseada em API como uma das três proteções críticas. Como descrevemos anteriormente, o design das aplicações evoluiu ao longo dos anos para incluir agora os componentes Infrastructure as a service e platform as a service. O Evident Monitoring & Compliance permite que as organizações gerenciem proativamente o risco de segurança na nuvem, minimizando a superfície de ataque e melhorando a postura geral de segurança a partir de uma Visibilidade e controle automatizados e contínuos da segurança em uma infraestrutura multicloud. A partir do Evident é possivel manter rigorosos controles de segurança, Monitorando, testando e fornecendo uma visão prática de todas as verificações de conformidade passiveis de serem testadas.
-----------------------------
As aplicações consomem vários componentes e serviços - às vezes até mesmo código aberto. À medida que novas vulnerabilidades são expostas, é impossível corrigir suas aplicações instantaneamente. Como fazemos para nos mantermos protegidos contra explorações de zero day? Como atuamos para fazer a prevenção da integridade de um sistema operacional ou de uma aplicação? Benefícios e funções do Palo Alto Networks Traps para ambientes de cloud publica incluem a capacidade de prevenção em tempo real tempo contra incidencia de exploits e proliferação de malware moderno com a capacidade de proteger, inclusive, aqueles workloads que ainda nao possuem patches de segurança aplicados. Na ultima versão recem lançada do Palo Alto Networks Traps, fizemos a extensao para que o Traps passasse a proteger, inclusive, servidores Linux e Windows em diferentes workloads de public cloud.
Vamos mudar o foco para o SaaS. É a forma mais fácil de aplicativos em nuvem. Muito fácil de adotar e migrar. É tão fácil que qualquer funcionário da empresa pode decidir usar qualquer aplicacao SaaS. Quando falamos de aplicacoes Saas falamos de um box, um dropbox, Office365, sharepoint, google drive.... Isso levou à consumerização de TI - uma grande quantidade de dados corporativos agora armazenados em aplicativos que podem não ser controlados pela TI. Há uma razão pela qual precisamos abordar esse desafio separadamente. Os requisitos de segurança são os mesmos, mas a abordagem é bem diferente.
why we need to address this challenge separately. The security requirements are the same, but the approach is very different. Let’s dive in to understand why.
Então, quando falamos sobre adoção descontrolada de SaaS, o desafio está claramente presente em todas as organizações hoje. Os funcionários usam aplicativos SaaS gratuitos ou pagos com seus próprios recursos e armazenam dados na nuvem que podem ser confidenciais.
Os dados não estão mais sob controle das empresas e a visibilidade é muitas vezes perdida. Mesmo que os fornecedores de SaaS façam o possível para proteger os dados, não é responsabilidade deles no final decorrendo em um enorme risco de exposição a dados confidenciais. Isso pode ser tão simples quanto um funcionário que compartilha algo publicamente ou compartilhar algo com a pessoa errada, um grupo ou até mesmo alguém externamente.
E muito comum também que funcionários e fornecedores que não estão mais trabalhando com a empresa, continuarem acessando informacoes ... Ja existiram inumeros casos de funcionarios que estavam deixando a empresa definindo todas as pastas para serem compartilhadas publicamente ou com um endereço de email externo para roubar os dados.
Os aplicativos SaaS se tornam um novo ponto de entrada e distribuição de malware. O SaaS adiciona uma nova dimensão de risco aqui, pois os invasores podem simplesmente plantar um arquivo em uma pasta compartilhada onde o artefato será automaticamente sincronizado com todos os membros dessa pasta, incluindo todos os dispositivos de propriedade dos usuários.
Observamos lgumas mudanças interessantes na indústria para resolver esses desafios. As abordagens no mercado hoje são semelhantes ao que você viu para a segurança de Infrastreucture as a service e platform as a service. Certamente insuficiente, o que leva à fragmentação e segurança manual para o seu ambiente SaaS.
fornecedores de SaaS, como o Office 365 e o Box, todos eles investiram no fornecimento de recursos básicos de segurança em cada um desses aplicativos. O problema é que você será forçado a gerenciar políticas separadamente em cada nuvem. Todos nós sabemos que hoje a maioria das organizações empresariais adota de 20 a 30 aplicacoes sancionadas. Como você pode ver, a sobrecarga de gerenciamento pode se tornar muito complexa muito rapidamente.
No que se tange aos Fornecedores de CASB - este mercado evoluiu muito rapidamente. A maioria dos fornecedores são essencialmente produtos pontuais. Outra pergunta importante é se realmente precisamos implantar uma nova rede de sobreposição de proxy apenas para controlar o tráfego de SaaS. As abordagens tradicionais introduzem uma grande complexidade no ambiente.
Sobre a Segurança de Legado , Os Web proxies se encaixam para fornecer alguns recursos de segurança em linha. Porém, é importante lembrar que ferramentas como proxies têm um contexto muito limitado para aplicativos na nuvem. Quando você carrega um arquivo no Sharepoint, os proxies informam que os dados foram carregados no Sharepoint. Mas eles não podem dizer se o arquivo foi enviado para uma pasta que foi publicamente exposta. Ou, um determinado departamento tem acesso a essa pasta que pode ser contra a conformidade. Esse tipo de pergunta só pode ser respondida se você implantar uma abordagem in-line e baseada em API para a segurança SaaS
---------------------------------
Quando falamos sobre os cenarios desejados para uma segurança eficaz em SAAS precisamos levar em consideração a necessidade de nos integramos a grande parte dos provedores para controlarmos todos os fatores de riscos que possam estar associados ao mau uso das aplicações. Tambem, faz-se necessario que esses controles sejam implementados de forma a garantir a cobertura da proteção de forma consistente entre todas as localidades e em diferentes provedores de SAAS. Por ultimo é muito importante que o deployment da segurança SAAS seja realizada a partir de uma integração fácil,e sem gerar atritos em relacao ao funcionamento das aplicacoes.
Nossa abordagem à segurança SaaS é única no setor. Se você já está usando o nosso NGFW, é realmente um excelente ponto de partida. Você já tem uma visibilidade muito boa sobre quem está usando o aplicativo SaaS e quantos dados estão sendo enviados para esses aplicativos. O NGFW realmente fornece os recursos embutidos que você precisa para segurança SaaS. Temos diversos novos recursos no PAN-OS 8.1 que realmente se concentram no gerenciamento do seu risco de SaaS. Todos esses recursos agora são estendidos também ao nosso serviço GlobalProtect Cloud Services. . Com o GPCS, agora você pode ter um CASB inline totalmente entregue na nuvem, sem a necessidade de implantar nenhum hardware. Além disso, para seus aplicativos sancionados, onde a maioria de seus dados confidenciais provavelmente residirão, você precisará de controles mais profundos. É onde o Aperture se encaixa. Ele usa APIs ricas para se conectar com os aplicativos SaaS para fornecer proteções SaaS críticas, como DLP, rastreamento de atividades do usuário, classificação avançada de dados e muito mais recursos. Para uma segurança SaaS abrangente, você realmente precisa de proteções inline e baseadas em APIs para que possa enfrentar o desafio do Shadow IT, bem como aprofundar a atividade dentro de seus aplicativos sancionados.
Como podemos juntar tudo isso? Nossos serviços de segurança fornecidos na nuvem são a inteligência de ameaças globalmente compartilhadas e que alimentam todos os componentes da nossa plataforma. Se houver uma carga desconhecida identificada pelo Traps, podemos detonar a carga útil, identificar se ela é mal-intencionada e compartilhar essas informações com o restante da plataforma. Dessa forma, o VM-Series pode impedir que o malware se propague pela rede e bloqueie qualquer comunicação C & C. O Evident IO pode checar por itens em nao comformidade e falhas operacioais enquanto o Aperture pode garantir que a carga útil não apareça em nenhum dos serviços de armazenamento nem realize atividades anômalas no ambiente de nuvem. Agora você pode entender o poder de uma abordagem de plataforma para proteger sua plataforma de nuvem.
Bem prezados, chegamos ao fim de nossa apresentacao com o principal objetivo de transmitir a mensagem de que nosso objetivo é proteger toda a organização independente de onde o workload esteja rodando. Cloud Publica, Cloud Privada, Aplicacoes Saas, on primeses datacenter, rede tradicional... Protecoes consistentes e automatizadas para todos os seus locais, nuvens e usuários.
Muito obrigado pela sua participação. Vamos permanecer por alguns minutos para responder possiveis duvidas através do Q&A da ferramenta. Tenham um bom dia.