Para que serve um CSPM?

Não é preciso mencionar a criticidade de se manter os ambientes em nuvem pública seguros contra os ataques existentes, porém se pensarmos nas possíveis escalas de tamanho dos ambientes em nuvem das empresas, podemos nos encontrar em uma "fria" ao tentar proteger esses ambientes sem nenhum modelo de referência. Dito isso, hoje falaremos sobre o CSPM (Cloud Security Posture Management, ou em português, Gestão de Postura de Segurança em Cloud), a solução que nos permite entender e evoluir o estado da segurança dos nossos ambientes em nuvem!


Entendendo as escalas do problema

Como foi comentado na introdução do texto, o constante crescimento dos ambientes em nuvem pública das empresas demonstram aos times de segurança um grande desafio: como manter os ambientes protegidos?

Cada vez mais, vemos empresas apostando em sua estratégia de nuvem pública sem foco em um único provedor, mas em múltiplos, movimento chamado multi-cloud adoption.

A granularidade dos ambientes acrescenta peso à preocupação dos times de segurança, visto que os ambientes não serão iguais nunca. Em um provedor teremos workloads de analytics e big data, no segundo teremos nossos workloads de inteligência artificial e treinamento de modelos de machine learning, no terceiro teremos nossos workloads principais, que atendem os clientes da organização, e assim por diante.

Conseguiu perceber a dificuldade? Cada ambiente tem sua peculiaridade, sua responsabilidade, suas tecnologias e principalmente o seu propósito. Não é possível planejar a implantação dos ambientes de acordo com 1 único blueprint (planta/modelo), por conta dos diversos motivos comentados anteriormente e também pela diferença tecnológica dos provedores.

Outro ponto relevante é a constante evolução dos ataques cibernéticos. É impossível manter a segurança dos ambientes up-to-date sem o auxílio de uma ferramenta dedicada para isso. Os times não tem a capacidade de estarem buscando a todo momento os novos tipos de ataque e nem as evoluções dos ataques existentes. Se acrescermos a esse pensamento a necessidade de se entender como proteger o ambiente desses vetores, a tarefa fica realmente im-po-ssí-vel!

Entendido o problema, vamos à seguinte pergunta:

Como podemos fazer para proteger os diferentes ambientes em nuvem e estar sempre alinhados com as melhores práticas de cibersegurança?


Compreendendo os conceitos

Após entendermos a necessidade de se ter uma ferramenta para gestão da segurança nos ambientes, vamos aprender sobre como as soluções realizam essa gestão.

Disclaimer: ao longo do texto, farei referências ao Microsoft Defender for Cloud, solução de CSPM da Microsoft. Talvez a solução que você utilize em seu ambiente faça uso de uma terminologia diferente da que eu estarei utilizando, porém não se preocupe, pois os conceitos se estendem entre as ferramentas.

É importante entendermos alguns conceitos que são mencionados quando falamos de CSPM, então vamos comentar sobre alguns deles!

Ambientes

O primeiro passo para começar a operacionalizar a sua soluçãod e CSPM é conectá-la aos ambientes que devem ser monitorados. No contexto deste artigo, estamos falando apenas de ambientes de nuvem pública, porém existem soluções de CSPM que nos permitem compreender também a postura de segurança dos nossos ambientes on-premise.

Mencionando os principais provedores de cloud, você precisará conectar:

  • AWS - organizations;

  • Azure - subscriptions;

  • GCP - projects.

Uma vez conetados, os ambientes passarão a ser monitorados pela ferramenta de maneira ativa, com checagens periódicas para atualização do Score de Segurança.

A primeira sincronização dos ambientes com a ferramenta de CSPM não será instantânea. É necessário aguardar algumas horas para que a ferramenta comece a retornar insights valiososo sobre a postura dos seus ambientes.

Score de Segurança

Traduzido do inglês para "pontuação", o Score de Segurança é a principal métrica gerada pelo CSPM. A pontuação representada demonstra o nível de segurança que os ambientes monitorados se encontram em relação aos padrões de mercado utilizados pela ferramenta como parâmetro.

Gráfico existente no dashboard do Defender for Cloud que informa a postura dos ambientes conectados.

A imagem acima informa a postura total dos ambientes conectados de acordo com a análise em cima dos benchmarks utilizados pela ferramenta de CSPM.

Repare bem no gráfico. Com essa representação, podemos visualizar como a postura do ambiente evoluiu do período de 25/09 até 30/10 e a sua regressão à partir do dia 04/11. Essa análise nos permite retirar 2 insights:

  • O ambiente está sendo continuamente monitorado;

  • As ações realizadas podem impactar de maneira positiva mas também de maneira negativa a nossa postura.

Benchmark

As soluções de CSPM utilizam modelos centralizados de informações para conseguir gerar à partir do seu ambiente, as métricas importantes para a representação da postura.

Dando o exemplo com o Microsoft Defender for Cloud, o "modelo centralizado de informações" é o que a Microsoft chama de MCSB (Microsoft Cloud Security Benchmark). O MCSB é formado por um benchmark de segurança para o Azure, um benchmark de segurança para os outros provedores em cloud e um último benchmark para os outros recursos de nuvem da Microsoft. A imagem abaixo materializa essa composição.

Image that shows the components that make up the Microsoft cloud security benchmark.

O produto final da "soma" desses recursos é o MCSB, utilizado como Golden Source pelo CSPM para fornecer o score do ambiente.

Security Recommendations

Entendemos que a postura do ambiente é uma pontuação (valor numérico) que nos permite compreender o estado da segurança do nosso ambiente, porém para realmente extrair valor da utilização de uma ferramenta de CSPM, precisamos de alguma maneira utilizar esse score para refletir a melhora de segurança nos ambientes. Para isso, temos as Recomendações de Segurança.

As recomendações capturam insights fornecidos pela aplicação dos benchmarks e os transformam em ações que podem ser executadas para incrementar a segurança do ambiente.

É com essa funcionalidade que podemos ver de fato o valor gerado por um CSPM, visto que temos não apenas a visão de como está nosso ambiente, mas também como recebemos "dicas" e sugestões para reforçar os controles em pontos considerados falhos.


Escalando a utilização do seu CSPM

Após entendermos os problemas enfrentados pelas empresas de diferentes segmentos no mercado, conhecermos a ferramenta que nos permite proteger nossos ambientes com os padrões reconhecidos e também compreender sobre os componentes principais da ferramenta, chegou a hora de falarmos sobre pontos importantes para a aplicação do CSPM em sua empresa, de modo que você consiga extrair dele o maior valor possível.

Escolha da ferramenta/Mapeamento do ambiente e Arquitetura

(comentar sobre a necessidade de se conhecer bem o ambiente da empresa para poder selecionar uma ferramenta que se adeque às necessidades)

O primeiro passo para a adoção de um CSPM é a escolha da ferramenta. É importante que você tenha conhecimento dos ambientes da sua empresa, para ser capaz de selecionar uma ferramenta adequada.

Os múltiplos ambientes em nuvem pública, as soluções executadas no ambiente on-premise (caso exista), todos esses são pontos importantes e que devem ser considerados na escolha da ferramenta.

Ferramentas como o Microsoft Defender for Cloud, que mencionei anteriormente, realizam a cobertura de ambientes Azure, AWS e GCP, fato que também foi mencionado anteriormente. Porém, esses provedores também contém suas próprias soluções de CSPM.

  • A Google Cloud Platform faz uso do Security Command Center, solução prioritária de CSPM e outras capacidades de segurança;

  • A Amazon Web Services tem o AWS Security Hub, realizando o mesmo papel.

As soluções específicas de cada provedor de nuvem costumam apresentar um nível de cobertura maior e mais eficiente aos recursos daquela plataforma em questão. Por um lado nós podemos optar por utilizar uma solução que irá fornecer uma visão centralizada dos ambientes conectados, mas não terá análises uniformes dos diferentes ambientes. Em contraponto, podemos optar por utilizar a solução nativa de cada um dos provedores de cloud, obter o máximo de eficiência na cobertura dos ambientes mas precisar gerenciar múltiplas soluções ao mesmo tempo. Essa tomada de decisão, deve ser feita de forma conjunta, entre o time de arquitetura e os times de segurança e operações!

Automações

(construir automações para reforçar automaticamente a postura de segurança gera o valor esperado do CSPM e desocupa os times de segurança, que podem focar em outras atividades)

Para atender as recomendações geradas pelo CSPM, as soluções disponibilizam a capacidade de desenvolvimento de automações, que tornarão o trabalho de normalização do ambiente mais tranquilo.

As automações serão desenvolvidas baseadas em recomendações recorrentes. Ex: máquinas virtuais estão sendo criadas sem serem registradas ao Active Directory da empresa, realizando dessa forma um bypass nas políticas de segurança reforçadas pelo AD. Esse cenário é "comum", visto que máquinas virtuais serão criadas o tempo todo em um ambiente cloud. Para atender essa recomendação, o time responsável pode desenvolver uma automação que registra a máquina virtual no domínio desejado.

Esse é apenas um exemplo, automações de diversas formas e modelos podem ser construídas para solucionar as diversas recomendações geradas pela ferramenta.

Nem todas as recomendações poderão ser atendidas com automações. Algumas delas são pontuais e requerem a solução uma única vez.

Soluções adicionais

Visando o reforço da segurança no seu ambiente e direcionando a segurança de recursos específicos, temos também as soluções auxiliares.

Podemos configurar soluções que nos permitem ter uma visão mais a fundo da segurança em máquinas virtuais. Com a instalação de um agente ou de uma extensão na VM, é possível visualizar informações que o CSPM nativamente não visualizaria e gerar insights que nos permitirão proteger os recursos contra vulnerabilidades.

Constante em ambientes em nuvem pública, é uma ideia excelente termos uma ferramenta para análise dos ambientes Kubernetes que temos em execução. Como a maioria das aplicações em nuvem são contêinerizadas, o ambiente de preferência das empresas para execução dessas aplicações são as variações do Kubernetes (Openshift, AKS, EKS, etc). A utilização de uma solução como o Agentless Container Posture do Microsoft Defender for Cloud, nos auxiliará a previnir vulnerabilidades que podem causar sérios danos financeiros e à imagem da nossa empresa.


Pudemos entender melhor os motivadores para adoção de uma solução de CSPM e também algumas variáveis que devem ser consideradas quando você estiver estruturando seu ambiente.

Espero que tenha gostado do conteúdo.

Até logo!