Tierney - stock.adobe.com
Como desenvolver uma estratégia de backup na nuvem para a proteção contra ransomware
A implantação de backups na nuvem para proteção contra ransomware tornou-se uma estratégia de segurança comum. Veja como examinar adequadamente os provedores de armazenamento em nuvem para garantir que os backups permaneçam seguros.
A taxa crescente de ameaças que incorporam ransomware e ataques direcionados a dados está levando muitas organizações a implementar um novo modelo de backup e recuperação de dados que inclui armazenamento baseado em nuvem.
A maioria das empresas maduras possui vários níveis de backup e dados replicados para fins de continuidade de negócios e recuperação de desastres (BCDR). Mas o espectro do ransomware está levando algumas organizações a considerar backups isolados. Esses são backups que não podem ser acessados ou acessados a partir do ambiente corporativo central sem fazer alterações na infraestrutura e/ou exigir inúmeras configurações administrativas de autenticação/autorização.
As táticas comuns para proteção contra ransomware de backup na nuvem incluem o seguinte:
- Crie um novo segmento de rede dentro do ambiente da organização para esses backups, com um firewall "denial all" protegendo o segmento —essas regras só são flexibilizadas quando os dados são necessários ou para replicação.
- Crie um novo backup isolado baseado em nuvem usando restrições de rede locais e baseadas em nuvem semelhantes às que acabamos de mencionar –alternativamente, esse backup isolado pode estar em um data center secundário ou de backup.
- Exija que vários administradores insiram credenciais e informações de autenticação multifator de forma colaborativa.
Primeiros passos: desenvolvendo uma estratégia de backup em nuvem
Para desenvolver uma estratégia de proteção contra ransomware de backup na nuvem, as seguintes áreas distintas da organização devem estar envolvidas na fase de planejamento:
- Operações de TI. As equipes de operações de TI devem analisar os tipos de dados dos quais devem ser copiados e por quanto tempo devem ser armazenados.
- Planejamento BCDR. Para as equipes de planejamento do BCDR, os dados devem estar alinhados com métricas padrão, como tempo médio de recuperação, objetivo de tempo de recuperação, objetivo de ponto de recuperação e outros.
- Segurança da informação. A sensibilidade dos dados armazenados e replicados é de vital importância. Como resultado, as equipes de segurança devem se concentrar não apenas nos tipos de dados dos quais é feito backup, mas também nos controles de segurança disponíveis na nuvem para ajudar a proteger esses dados.
- Legal e conformidade. Quaisquer necessidades legais e regulamentares exigidas devem ser abordadas antecipadamente para garantir que todos os requisitos de armazenamento e arquivamento atendam às melhores práticas e aos requisitos do setor.
Perguntas sobre segurança de dados para provedores de armazenamento em nuvem
As organizações devem fazer aos seus provedores de armazenamento em nuvem uma série de perguntas que abrangem tudo, desde a segurança do data center até a arquitetura de armazenamento e segurança de rede, gerenciamento de armazenamento e processos de segurança.
Segurança do data center
As perguntas iniciais devem se concentrar na segurança física dos data centers de um provedor e no pessoal que opera sistemas e aplicativos nesses ambientes. Essas perguntas incluem o seguinte:
- O acesso físico ao data center é restrito? Quais métodos de segurança são necessários para o acesso –por exemplo, varreduras biométricas de retina? As empresas devem esperar que os fornecedores mantenham fortes controlos de acesso físico a estas instalações.
- O data center conta com equipe e é monitorado 24 horas por dia, 7 dias por semana? Em caso afirmativo, como são tratadas as mudanças de turno?
- O data center possui vigilância por vídeo e registros de auditoria que rastreiam os visitantes e seus horários de chegada e partida? Como é controlada a videovigilância?
- São realizadas verificações de antecedentes de funcionários com acesso físico ou administrativo à infraestrutura? Que tipo de controles são realizados e com que frequência?
- Existem alertas de intrusão e um plano de resposta documentado no caso de uma violação de segurança física nos data centers?
Arquitetura de armazenamento e segurança de rede
As organizações devem estar cientes das considerações gerais de design de segurança em vigor no ambiente do provedor de nuvem. Estes controlos são considerados elementos fundamentais do programa de segurança que qualquer programa maduro deve apoiar. Considere os seguintes critérios:
- Quais métodos de autenticação são necessários para os usuários acessarem áreas e componentes de armazenamento? Em particular, os administradores de armazenamento de um fornecedor devem ter requisitos rigorosos de autenticação.
- Existem configurações seguras que exigem alterações de senha padrão como parte do processo de instalação? As configurações seguras devem negar todo e qualquer serviço, recurso e função, a menos que sejam especificamente habilitados pelos usuários, fornecendo uma postura de negação padrão para todos os controles de configuração.
- Que tipos de monitoramento e registro de eventos de segurança são usados? Qualquer plataforma e aplicativo deve oferecer a capacidade de detectar eventos de segurança e registrá-los adequadamente. Os usuários devem poder enviar alertas de segurança para consoles de gerenciamento, gerenciadores de itens, pagers, e-mail e outras fontes. Em muitos casos, esses dados estão disponíveis apenas para equipes de provedores de nuvem, mas os usuários devem estar cientes de quais tecnologias e processos existem.
- Como é implementada a multilocação e quais tecnologias são usadas para segmentar e isolar dados de diferentes locatários? Firewalls virtuais, hipervisores, ferramentas e técnicas de isolamento de rede de área de armazenamento (SAN) e segmentação de rede são opções viáveis. Os provedores de nuvem devem estar dispostos a divulgar o que usam para proteger os dados em plataformas compartilhadas.
- As permissões e senhas dos usuários dos dispositivos de rede são auditadas e com que frequência? Os provedores de nuvem devem revisar periodicamente as permissões e senhas dos usuários para garantir que permaneçam válidas e atualizadas.
- Os sistemas que atendem cada cliente estão separados de outras áreas da rede, tanto lógica quanto fisicamente? Deve haver zonas protegidas por firewall separadas para acesso à internet, bancos de dados de produção, áreas de desenvolvimento e preparação e aplicativos e componentes internos.
Acesso ao armazenamento e segurança de gerenciamento
O gerenciamento de controles de acesso e segurança de sessão para acessar o ambiente de armazenamento deve ser uma preocupação primária tanto para administradores de provedores de nuvem quanto para usuários corporativos. Para se defender contra ameaças de segurança comuns, como ransomware, o armazenamento em nuvem deve ser avaliado com base nos seguintes critérios:
- As ferramentas de gerenciamento e outros aplicativos administrativos armazenam senhas de usuários em formato criptografado? Se sim, que tipo? Essa criptografia é testada periodicamente? Além disso, o aplicativo de gerenciamento de armazenamento permite configuração e aplicação do comprimento, tipo e duração da senha?
-
-
-
-
-
-
-
-
-
-
-
- Que tipos de conectividade segura são permitidos para infraestrutura de armazenamento em nuvem? Há suporte para protocolos de comunicação mais seguros, como Secure Sockets Layer/Transport Layer Security ou Secure Shell?
-
-
-
-
-
-
-
-
-
-
-
- Existe um tempo limite de sessão de usuário ativo?
- As ferramentas de gerenciamento oferecem suporte a vários perfis de administrador para fornecer níveis granulares de segurança? Os aplicativos administrativos para acessar e configurar o armazenamento em nuvem devem ter opções de configuração que restrinjam o acesso do administrador com base na hora, dia, função e outros atributos. Todas as ações do administrador devem ser registradas para auditorias e alertas, e os logs devem estar disponíveis para as equipes de segurança corporativa.
- O aplicativo de gerenciamento de armazenamento em nuvem pode definir funções e privilégios granulares? Para manter a separação adequada de funções e fazer cumprir o princípio do menor privilégio, esta capacidade deve ser considerada obrigatória.
Processos de segurança
A maior parte do foco nos processos orientados à segurança dentro de um provedor de armazenamento em nuvem deve estar nos testes de software e na segurança do desenvolvimento, bem como no gerenciamento de vulnerabilidades e patches.
As perguntas a serem feitas incluem o seguinte:
- O provedor de armazenamento em nuvem testa hardware e software em configurações totalmente seguras e corrigidas para avaliar a vulnerabilidade de servidores, redes e aplicativos?
- Existe um processo no fornecedor para rastrear e relatar vulnerabilidades de segurança descobertas em produtos de armazenamento em nuvem? O fornecedor também deve delimitar anúncios gerais e métodos de contato para clientes específicos como parte de seus processos de resposta a incidentes.
- Que procedimentos de notificação e escalonamento são seguidos se forem encontradas violações de segurança ou outros incidentes de segurança potencialmente graves?
- Existe um processo estabelecido e documentado para a distribuição interna de patches de software críticos e atualizações de segurança não críticas?
- Existe um processo estabelecido para testar a segurança nos ciclos de desenvolvimento e controle de qualidade? Isso deve incluir a verificação do código-fonte em busca de problemas importantes –incluindo os 10 principais projetos de segurança de aplicativos da Web abertos (OWASP), buffer overflows, autenticação deficiente e manipulação de sessões.
O armazenamento baseado em nuvem complementa as estratégias de backup de dados já empregadas por organizações maduras. Essas estratégias incluem backups locais padrão usando fita ou disco ou replicação em larga escala de conteúdos de dados virtuais com integração de armazenamento SAN/rede, bem como backups secundários usando fita ou disco enviados para um provedor de backup externo. Finalmente, para cenários mais recentes, como preocupações com ransomware, podem ser considerados backups isolados de curto prazo para conteúdo do usuário final e/ou ativos críticos do data center central.