Os benefícios de desempenho de edge computing são indiscutíveis e, por isso, muitas empresas estão migrando para o edge. Mas será que os mesmos protocolos de segurança de cloud computing e on-premise serão transferidos após a migração de aplicativos e sites? Em última análise, as estratégias de segurança de edge, como zero trust, que estendem a proteção até o edge da rede, têm benefícios para aplicações e sites presentes em qualquer lugar do complexo cenário de ameaças de hoje. Além disso, uma abordagem serverless para a segurança pode reduzir essa responsabilidade para os proprietários de aplicações e sites, resultando em menos tarefas rotineiras de gerenciamento. Este post apresenta uma análise das diferenças entre a segurança de edge em relação a cloud e on-premise, os desafios de proteger o edge e algumas das melhores práticas e ferramentas de segurança que podem ajudar a desenvolver uma estratégia de segurança robusta e preparada para o futuro.
Segurança On-Prem vs. Cloud
Segurança On-prem
Os modelos tradicionais de segurança on-prem giram em torno de manter as ameaças fora de um perímetro corporativo seguro, seja pela centralização de dados, workloads e dispositivos em um único local ou pela união de várias filiais de escritórios e data centers por meio de conexão privada, como um MLPS, para proteger dados confidenciais e workloads de internet pública sempre que possível.
A segurança on-prem adota medidas de proteção como:
- firewalls e gateways de internet para proteger a rede contra o tráfego não autorizado;
- software antivírus para impedir downloads maliciosos;
- segurança física para proteger data centers de equipamentos roubados ou comprometidos;
- TI no local para monitorar qualquer tráfego de e para a internet pública.
Nesse tipo de configuração, a empresa é totalmente responsável por sua própria segurança, incluindo a compra, manutenção e gerenciamento de hardware e software. Como resultado, enfrenta maiores despesas de capital, desafios no dimensionamento e escalabilidade da infraestrutura e deve realizar suas próprias varreduras de segurança, atualizar e corrigir quaisquer vulnerabilidades que encontrar. Bem ou mal, ela está no controle da segurança de seus próprios dados e workloads.
Segurança em Cloud Computing
Cloud computing vira o jogo, já que a infraestrutura de computação e armazenamento é proporcionada pela internet.
Cloud computing não apenas reduz os custos iniciais, mas também as tarefas de gerenciamento, uma vez que os provedores de cloud são responsáveis pelo gerenciamento de hardware e alguns (ou todos) software, dependendo de qual modelo de cloud computing for usado:
- Infrastructure-as-a-Service (IaaS): fornece recursos de computação virtualizados pela internet, com hardware e recursos operados pelo provedor de cloud.
- Plataform-as-a-Service (PaaS): proporciona um ambiente de desenvolvimento e implementação com as ferramentas para construir, executar e gerenciar aplicações que usam o hardware, as instalações, o sistema operacional e o runtime gerenciados pelo provedor de cloud.
- Software-as-a-Service (SaaS): soluções de software prontas para usar que são totalmente gerenciadas pelo provedor de cloud.
Dessa forma, já que a infraestrutura é gerenciada por provedores de cloud, seja através do modelo IaaS, PaaS ou SaaS, eles compartilham a responsabilidade pela segurança cibernética com seus clientes. Ao contrário da segurança on-premise, em que os proprietários de aplicativos e equipes de infraestrutura são totalmente responsáveis por adquirir, operar e gerenciar seu próprio hardware e software, os clientes de provedores de cloud são responsáveis por mais tarefas de segurança no front-end, enquanto o provedor gerencia a segurança do hardware, instalações e alguns serviços de back-end.
Esse modelo de segurança compartilhada significa que os clientes têm menos a proteger, mas também menos controle sobre a segurança de seus dados e workloads, que não ficam mais isolados em uma rede privada, mas tornam-se parte da cloud pública.
Em outras palavras, um ataque ao provedor de cloud pode resultar em um problema de segurança para o cliente. Além disso, as aplicações hospedadas em plataformas de cloud são multitenant, ou seja, multilocatárias, que compartilham recursos com outros clientes dos provedores de cloud – ao contrário de aplicações hospedadas on-premise, que usam seus próprios servidores privados. Se os provedores de cloud não tomarem cuidado para isolar adequadamente os dados e aplicações de seus clientes, essa multilocação pode resultar em questões de privacidade e segurança.
Por que a segurança no edge é diferente?
Edge computing é semelhante à cloud computing, pois fornece às empresas recursos virtuais de computação e armazenamento na internet. No entanto, com edge computing, os recursos não são centralizados em data centers de hiperescala, mas altamente distribuídos geograficamente por várias localidades para que as tarefas de computação possam ser realizadas o mais próximo possível dos usuários finais. Embora isso traga muitos benefícios, incluindo menor latência e menos uso de largura de banda, também envolve as mesmas preocupações de multilocação que a cloud, caso os provedores de edge não tenham o cuidado de isolar dados e aplicações dos clientes. Além disso, edge computing traz desafios de segurança exclusivos, pois cada edge location apresenta um outro vetor de ataque, exigindo que as empresas criem segurança em cada edge node para garantir que não haja pontos fracos no sistema de entrega de conteúdo.
Além disso, edge computing permite tecnologias de última geração, como AR/VR, IoT, IA e machine learning, que têm seus próprios desafios de segurança. Para aplicações de última geração que dependem dos benefícios do edge, como latência ultrabaixa, processamento em tempo real e eficiência de recursos, os protocolos de segurança não podem comprometer o desempenho ao aumentarem o uso de recursos e latência. Para IoTs, os protocolos de segurança podem ser imaturos ou fracos, confiando em senhas definidas de fábrica, tornando-as mais vulneráveis.
Melhores práticas para segurança no edge
Quando as empresas começaram a se afastar cada vez mais de um modelo em que workloads, usuários e dispositivos ficavam protegidos em redes on-premise privadas, o perímetro corporativo começou a desaparecer. Em consequência disso, ficou mais difícil para as equipes de segurança distinguirem entre usuários confiáveis e invasores usando credenciais roubadas ou comprometidas, tornando cada vez mais necessário abandonar o antigo modelo de segurança que automaticamente estendia a confiança aos usuários autorizados. Em vez disso, um novo modelo foi proposto pela Forrester em 2010 para se adaptar ao cenário de ameaças em constante mudança. Este modelo é conhecido como zero trust, isto é, confiança zero.
O Zero Trust Security Playbook da Forrester define zero trust como uma abordagem de segurança que “jamais pressupõe confiança; em vez disso, avalia continuamente a ‘confiança’ através de uma análise baseada em risco de todas as informações disponíveis”.¹ Conforme observado no relatório, isso envolve vários componentes, que incluem:
- redesenhar redes em microperímetros seguros;
- criptografar e ofuscar dados confidenciais para fortalecer sua segurança;
- limitar os riscos associados a privilégios de usuário em excesso;
- usar análises e automação para melhorar drasticamente a detecção e a resposta de segurança.
À medida que as aplicações se tornam cada vez mais distribuídas, a estratégia de proteger os vetores de ataque para manter os usuários mal-intencionados do lado de fora dificultou a implementação, pois a arquitetura distribuída é mais desafiadora para se monitorar e tem mais vetores de ataque. Como resultado, as equipes de segurança devem tomar precauções não apenas para reduzir as vulnerabilidades, mas também para limitar os danos que os invasores podem causar depois que um sistema é invadido.
Dessa forma, a alta visibilidade e inteligência contra ameaças por meio de análises configura como parte de uma forte estratégia de segurança zero trust. As complexidades de edge computing não deixam espaço para estratégias de segurança que requerem alternar continuamente entre vários painéis para monitorar diferentes ameaças. Em vez disso, as equipes devem ser capacitadas com soluções de segurança full-stack que permitam a visualização de todas as ameaças em um único painel de controle.
Segurança no Edge com a Azion
Em última análise, os desafios exclusivos para proteger o edge devem ser superados para garantir que as aplicações e dispositivos com imenso consumo de dados, e que dependem de edge computing para processamento em tempo real, mantenham a segurança e a privacidade de seus usuários. A Plataforma de Edge da Azion fornece as ferramentas de que as empresas precisam para criar políticas de segurança zero trust que são fundamentais para proteger não apenas aplicações e dispositivos edge-native, mas todas as aplicações, dispositivos e redes, devido à enorme e complexa superfície de ataque dos dias atuais.
Além disso, a Plataforma de Edge da Azion constrói segurança em cada edge node, mantendo cada função isolada em um ambiente multitenant através dos recursos de sandbox do V8, permitindo que as empresas obtenham os benefícios de escalabilidade e desempenho proporcionados por edge computing, sem os riscos de segurança e privacidade que podem surgir em cloud e no edge.
A plataforma robusta da Azion com soluções de segurança zero trust permite:
- stack de segurança integrada, incluindo Web Application Firewall (WAF) e mitigação de DDoS, para visibilidade e proteção em toda a rede;
- ferramentas analíticas que se integram ao SIEM da sua empresa ou solução de big data para inteligência de ameaças em tempo real;
- permissões refinadas para diferentes membros da equipe por meio do Real-Time Manager;
- segmentação de rede com o Network Layer Protection; e
- orquestração para automatizar respostas de segurança.
Projetados tanto para segurança quanto para desempenho, nossos produtos e serviços garantem que é possível proteger o edge sem abrir mão da baixa latência e da eficiência de recursos oferecidos por edge computing. Ao permitir conjuntos de regras personalizadas, as empresas podem adaptar suas políticas de segurança às necessidades específicas de seus aplicativos, em vez de confiar em protocolos de abordagem one-size-fits-all, que podem resultar em altos falsos positivos, reduzindo a disponibilidade para usuários legítimos. Em vez de depender de assinaturas de padrões de ataques conhecidos, que podem gerar aumento no uso de recursos e na latência das aplicações, a Azion utiliza conjuntos de regras simples e algoritmos de primeira classe que mantêm o alto desempenho e protegem contra os ataques zero-day.
Adicionalmente, o modelo serverless da Azion reduz a superfície de ataque, pois remove as camadas de infraestrutura vulneráveis, eliminando a necessidade de tarefas de manutenção, como atualização do sistema operacional, varredura de contêineres ou patching de servidores.
Para descobrir como a Azion pode melhorar a segurança de suas aplicações, crie uma conta grátis ou fale com um especialista ainda hoje.
Referência
¹Balaouras, S., & Shey, H. (2019). (rep.). Defend Your Digital Business From Advanced Cyberattacks Using Forrester’s Zero Trust Model (pp. 2–3). Cambridge, MA: Forrester.