Antes de contratar um serviço de IaaS é importante conhecer os prós e contras dos vários provedores disponíveis no mercado. Com isso em mente, este artigo vai esclarecer tudo sobre os serviços Iaas GCP (Google Cloud Platform).
São seis critérios principais a avaliar. Mas, antes, é preciso compreendê-los. Confira, então, a seguir suas definições básicas:
Segurança de perímetro
Embora o conceito de perímetro tenha diminuído na nuvem e em sua arquitetura de recursos compartilhados, ainda há uma necessidade de definir os limites externos de dados, aplicativos e serviços em nuvem. Controles de perímetro em uma nuvem visam avaliar o tempo de atividade e disponibilidade de recursos de ataques, como negação de serviço e envenenamento de DNS de serviços em nuvem. Contudo, o perímetro também inclui alguns aspectos de um WAF para aplicativos em nuvem, bem como o controle de acesso remoto a recursos de nuvem, como solicitações de porta.
Os principais provedores de nuvem oferecem uma gama completa de controles para mitigar ameaças externas e sustentar o tempo de atividade durante uma negação de serviço direcionada. A bem da verdade, o Google pode ter uma ligeira vantagem nesta categoria devido aos seus recursos de aprendizado de máquina e funcionalidade out-of-the-box. Entretanto, o serviço AWS WAF oferece as opções mais personalizáveis.
Segurança de rede
Um desafio em relação à segurança de rede na computação em nuvem é a falta de visibilidade da organização para monitorar o tráfego de rede e responder a atividades suspeitas. A computação em uma nuvem pública renuncia ao controle de rede e dados do usuário ou empresa para o CSP em modelo de responsabilidade compartilhada. Portanto, a segurança dos dados é responsabilidade do cliente.
Por esse motivo, é imperativo que o provedor de nuvem ofereça recursos e / ou suporte às ferramentas de terceiros para garantir à rede principal princípios básicos de segurança. Isso inclui o isolamento entre várias zonas por meio de camadas de firewalls, controles de tráfego de e para aplicativos, criptografia de nível de transporte ponta a ponta e protocolos de padrão seguro de encapsulamento, como IPSEC, SSH e Secure Sockets Layer (SSL), usado ao implantar um VPC.
Contudo, além de todos esses recursos, o provedor IaaS deve oferecer suporte a algum método de monitoramento de rede para detecção e resposta a ameaças, o que significa fornecer uma fonte de dados de tráfego de rede para inspeção de segurança.
Virtualização / Host
Os clientes IaaS são os principais responsáveis por proteger os hosts provisionados na nuvem, como virtualização e segurança de software ou segurança de servidor virtual. Em paralelo, o provedor de IaaS é responsável pelo camada de hardware e configuração de hipervisor de suporte subjacente. Ou seja, o cliente assume a responsabilidade e gerenciamento do sistema operacional convidado, incluindo atualizações e patches de segurança.
Além disso, as cargas de trabalho do cliente são isoladas e cada conta do cliente está vinculada aos recursos que ele consome. A maioria das cargas de trabalho corporativas é executada em sistemas operacionais Windows e Linux. Contudo, o Windows tem recursos de autopatching, enquanto o sistema operacional Linux requer script ou ferramentas de terceiros.
Gerenciamento de identidade e acesso
A identidade é talvez o componente mais crítico pelo qual o cliente é responsável na questão de segurança da nuvem. Afinal, a identidade mantém a integridade e confidencialidade dos dados e aplicativos, ao mesmo tempo que torna o acesso prontamente disponível para usuários autorizados. Portanto, oferecer suporte para esses recursos de gerenciamento de identidade, para usuários e componentes de infraestrutura, é um requisito importante para a computação em nuvem. Então, a identidade deve ser gerenciada de forma a construir confiança.
Felizmente, todos os CSPs fornecem identidade granular e controle de acesso que oferecem suporte à maioria, senão a todas, as opções de autenticação.
Gerenciamento de postura de segurança
É muito difícil controlar se os dados do cliente estão armazenados adequadamente. Isso acontece devido a mudanças emergentes e perpétuas na nuvem. Afinal, conforme a infraestrutura em nuvem cresce e muda dinamicamente, a necessidade de rastrear e proteger contra as configurações incorretas devem ocorrer em conjunto.
Portanto, o gerenciamento de postura de segurança na nuvem deve permitir o monitoramento de mudanças de configuração com algum nível de automação de aplicação de política. Isso inclui consultas que são executadas periodicamente, junto com recursos habilitados para alertas automáticos a fim de permitir a correção manual ou automatizada de configurações incorretas à medida que ocorrem.
Segurança de dados
No datacenter tradicional, controles de acesso físico, acesso a hardware e software e controles de identidade se combinam para proteger os dados. Entretanto, na nuvem, essa barreira protetora que protege a infraestrutura é difusa. Portanto, os dados precisam de sua própria segurança.
Então, esses controles devem incluir criptografia, isolamento de dados, classificação, direitos gerenciamento e forte acesso baseado em funções para armazenamentos de dados. Todos os principais provedores de nuvem têm um conjunto completo de controles para garantir a criptografia de dados em uso, em trânsito e em repouso. A diferença está entre controles nativos e custos adicionais de ferramentas de terceiros.
IaaS GCP
Segurança de perímetro na IaaS GCP
Os serviços do Google Cloud aceitam solicitações de todo o mundo usando um sistema distribuído globalmente chamado Google Front-end (GFE). O GFE encerra o tráfego para HTTP (S), TCP e proxy de segurança da camada de transporte (TLS) de entrada de tráfego, fornece contra-medidas contra ataques DDoS e encaminha e equilibra a carga de tráfego para os serviços do Google Cloud.
Já o serviço Cloud Armor do IaaS GCP atenua ataques DDoS e permite que os usuários criem políticas de filtragem L7 personalizadas para aplicar controles de acesso granulares em aplicativos e sites públicos. O Cloud Armor é implantado na extremidade da rede do Google e fortemente acoplado à infraestrutura de balanceamento de carga global do GCP.
Ele inclui recursos personalizáveis, como controles de acesso baseados em localização geográfica, regras WAF pré-configuradas e políticas de filtragem L7 usando regras também personalizadas. O serviço tem preços combinados de três camadas com base em um modelo avaliado por política de segurança, por regra e por solicitação.
Segurança de rede da IaaS GCP
A IaaS GCP foi pioneira no uso de Software Defined Networking (SDN). Ou seja, na aplicação de aprendizado de máquina para rede e o desenvolvimento de infraestrutura de gerenciamento em grande escala, incluindo sistemas de telemetria.
O Google possui seus serviços de telecomunicações, e todos os dados são criptografados entre datacenters proprietários. Portanto, tanto as placas para servidor quanto o equipamento de rede são projetados pelo Google de forma personalizada. Ou seja, o Google não depende de segmentação de rede interna ou firewall como os principais mecanismos de segurança, embora use a filtragem de entrada e saída em vários pontos da rede para evitar spoofing de IP como uma camada de segurança adicional.
Contudo, o Google utiliza uma variedade de técnicas de isolamento e sandbox para proteger um serviço de outros serviços rodando na mesma máquina. Essas técnicas incluem separação normal do usuário do Linux, linguagem e baseada em kernel sandboxes e virtualização de hardware. Portanto, a rede VPC da IaaS GCP é uma versão virtual de uma rede física, implementada dentro da rede de produção do Google. Redes VPC, incluindo suas rotas associadas e regras de firewall, são recursos globais. Então, eles não estão associados a nenhuma região ou zona. Já sub-redes são recursos regionais e cada sub-rede define um intervalo de endereços IP.
Zero Trust
O Google aplica os princípios de Zero Trust para definir o acesso à rede. Isso muda os controles de acesso do perímetro para dispositivos e usuários individuais. O Google aplicou esses princípios para conectar máquinas, cargas de trabalho e serviços em seus serviços em nuvem. Contudo, para fazer todo esse trabalho, é necessário configuração e uma equipe de operações de segurança do cliente que compreende a granularidade que a Zero Trust exige. Ou seja, capaz de configurar redes virtuais adequadamente (VNets) que são monitoradas por ferramentas como o Google Operations Suite (antigo Stackdriver).
Além disso, a IaaS GCP usa seu forte aprendizado de máquina para oferecer recomendações para otimizar a configuração da infraestrutura em nuvem e configurações de segurança. Contudo, infelizmente, muitas organizações podem ter dificuldades com as habilidades e recursos internos necessários para fazer este trabalho.
Virtualização/host da IaaS GCP
O GCP está no topo da infraestrutura global do Google, projetada para fornecer segurança em todo o ciclo de vida do processamento de informações. Portanto, o GCP fornece vários limites de isolamento, incluindo projetos, pastas e organizações, além de ACL e controles baseados em rede.
A IaaS GCP oferece separação virtual de cargas de trabalho entre clientes por meio de uma compartimentalização muito forte usando projetos GCP que mantêm um ou vários VPCs. Todos os dados são criptografados em repouso e em trânsito. Além disso, o Google oferece servidores bare metal de locatário único em um conjunto limitado de datacenters.
Portanto, a IaaS GCP oferece relatórios de conformidade de patch e implantação de patch como serviço para instâncias de VM no Windows e distribuições Linux. Contudo, o serviço de gerenciamento de patch do sistema operacional tem dois componentes principais:
- O primeiro é o patch de relatórios de conformidade, que fornecem insights sobre o status do patch de instâncias de VM no Windows e Linux. Junto com os insights, os usuários também podem ver recomendações para suas instâncias de VM;
- O segundo é a implantação de patch, que automatiza o sistema operacional e o processo de atualização de patch. Uma implantação de patch agenda trabalhos de patch, que são executados em instâncias de VM e aplicam patches.
Gerenciamento de identidade de acesso na IaaS GCP
O GCP Cloud IAM permite que os administradores autorizem quem pode agir em recursos específicos. Ou seja, dá total controle e visibilidade para gerenciar os recursos do Google Cloud de forma centralizada. Portanto, para empresas com estruturas organizacionais complexas, centenas de grupos de trabalho e muitos projetos, o Cloud IAM fornece uma visão unificada da política de segurança em toda a organização, com auditoria integrada para facilitar os processos de conformidade.
De forma geral, o IAM permite acesso granular a um recurso GCP específico e impede o acesso indesejado a outros recursos. Portanto, baseia-se no princípio de segurança do menor privilégio para permitir apenas o acesso necessário para gerenciar os recursos.
O IAM da IaaS GCP fornece uma única interface de controle de acesso com controle refinado, controle de acesso automatizado, recomendações e acesso baseado em contexto gratuitamente. Além disso, oferece uma grande variedade de métodos de verificação multifatores, como notificações push, Google Authenticator, chaves de segurança Titan resistentes a phishing e uso de dispositivos Android ou iOS como chave de segurança.
Não obstante, o Cloud IAM usa Recommender (um serviço gratuito do Google) para comparar as concessões de papéis no nível do projeto com as permissões que cada membro usou durante os últimos 90 dias. Ou seja, se uma função de nível de projeto for concedida a um membro, e esse membro não usa todas as permissões dessa função, então o Recommender provavelmente irá sugerir que a função seja revogada, e, consequentemente, menos permissões são permitidas. O Cloud IAM do Google também oferece benefícios em relação aos provedores rivais quando as organizações não têm política e procedimentos formais de auditoria para gerenciamento de contas.
Gerenciamento de postura de segurança na IaaS GCP
O Google oferece muitas ferramentas e serviços para monitoramento, como registros de fluxo VPC, que devem ser comprados separadamente, e ferramentas como seu pacote de operações (antigo Stackdriver), que é projetado para monitorar, solucionar problemas e melhorar infraestrutura em nuvem, software e desempenho de aplicativos.
Entretanto, essas ferramentas fornecem muitas informações, mas não são prescritivas. Ou seja, as equipes devem criá-las anualmente. O GCP não oferece imposição de configuração segura para cargas de trabalho do cliente, exceto alertas por meio do conjunto de operações. Então, os clientes têm usado ferramentas como o Terraform para aplicar configurações seguras conhecidas.
Contudo, a IaaS GCP oferece fluxo de logs VPC que incluem campos como IP de origem e destino, porta de origem e destino, protocolo e assim por diante. Este é um excelente registro para detectar varreduras de portas ou comportamento anômalo na rede VPC do Google. Portanto, recomenda-se habilitá-lo na taxa de amostragem total (100%).
Isso pode criar uma grande quantidade de dados e vale a pena o armazenamento extra para obter visibilidade total do ambiente do cliente. Contudo, se o armazenamento for um problema, a alternativa é habilitar o registro completo em sub-redes específicas da rede. Novamente, isso é algo que o cliente deve configurar, entretanto, o Google recomenda bastante.
Segurança de dados na IaaS GCP
A infraestrutura do GCP oferece uma variedade de serviços de armazenamento, como BigTable e Spanner, e um KMS central.
A maioria dos aplicativos do Google acessa indiretamente o armazenamento físico por meio desses serviços de armazenamento, que podem ser configurados para usar chaves do KMS central para criptografar dados antes de serem gravados no armazenamento físico. Este KMS suporta rotação automática de chaves, fornece registros de auditoria abrangentes e links de chaves para usuários finais.
Então, executando criptografia na camada de aplicativo, permite que a infraestrutura se isole de ameaças potenciais nos níveis mais baixos de armazenamento, como firmware de disco malicioso. Contudo, a IaaS GCP também implementa camadas adicionais de proteção, como criptografia em nível de disco.
Além disso, o GCP protege os dados se as comunicações forem interceptadas enquanto os dados se movem entre o local do cliente e a nuvem ou entre dois serviços. Os serviços do Google Cloud também aceitam solicitações de todo o mundo usando seu sistema distribuído GFE. O GFE encerra o tráfego para o tráfego de proxy HTTP (S), TCP e TLS de entrada, fornece DDoS contra-medidas de ataque e roteia e equilibra a carga do tráfego para os serviços do Google Cloud.
Por padrão, o balanceamento de carga HTTP (S) e carga proxy SSL usa um conjunto de recursos SSL que oferece boa segurança e ampla compatibilidade. Contudo, alguns aplicativos exigem mais controle sobre quais versões e cifras SSL são usadas para suas conexões HTTP (S) ou SSL. Então, os clientes podem definir políticas SSL para controlar os recursos de SSL que um balanceador de carga negocia com clientes.
