Estrutura do aplicativo nativo da nuvem
Os aplicativos nativos da nuvem têm uma estrutura nova e distinta que afeta a forma como os invasores abordam esses aplicativos, o que muda o cenário de ameaças. À medida que os invasores mudam sua abordagem e avançam para os ataques da Geração VI, os profissionais de segurança e os desenvolvedores devem se ajustar de acordo com a forma como defendem os aplicativos nativos da nuvem.
Eles precisam alocar mais tempo e recursos para essas novas ameaças, a fim de evitá-las da melhor forma possível para sua organização. Os recursos devem ser alocados estrategicamente, mas é preciso primeiro entender quais ameaças são mais prováveis nesse novo cenário de ameaças.
Tipos de ameaças de aplicativos nativos na nuvem
Os serviços de computação em aplicativos nativos da nuvem são projetados para serem efêmeros e tendem a ter vida útil curta. Esse é um dos muitos atributos que tornam o aplicativo nativo da nuvem inerentemente mais seguro. Os atacantes não conseguem obter facilmente uma presença de longo prazo em seu sistema e, portanto, precisam mudar de tática. Uma estratégia resultante é o Groundhog Day Attack, no qual um invasor cria um ataque muito mais curto que rouba, por exemplo, apenas alguns números de cartão de crédito e depois repete. Os invasores aproveitam o dimensionamento automático do aplicativo nativo da nuvem para contornar a efemeridade do mesmo.
Outra abordagem é o ataque Upstream, ou Poisoning the Well, no qual os invasores buscam obter mais persistência de longo prazo em seu aplicativo. Os aplicativos nativos da nuvem tendem a incluir muitos módulos e bibliotecas. Uma única função sem servidor pode incluir dezenas de milhares de linhas de código de diversas fontes, além do trabalho de seus desenvolvedores. Os invasores trabalham para incluir códigos maliciosos em projetos comuns. Então, depois de envenenar o poço, o código malicioso em seu aplicativo em nuvem pode ligar para casa, obter instruções e causar estragos.
Como proteger um aplicativo nativo na nuvem
Felizmente, os aplicativos nativos da nuvem tendem a ser mais difíceis de atacar. Mas, como um novo tipo de arquitetura, elas apresentam novos desafios de segurança e os desenvolvedores devem agir para reduzir os riscos. Veja a seguir algumas práticas recomendadas para proteger aplicativos nativos da nuvem:
- Afragmentação do aplicativo em componentes menores que podem ser chamados, juntamente com o uso de acionadores baseados em eventos de diversas fontes (como armazenamento, filas de mensagens e bancos de dados), significa que os invasores têm mais alvos e mais vetores de ataque.
Além de garantir que seus serviços de API da Web e proteção de aplicativos (WAAP) sejam avançados para atender aos requisitos da próxima geração, outra prática recomendada de segurança nativa da nuvem é aplicar a segurança de perímetro também no nível da função. Preste atenção especial às funções que são acionadas por um tipo de fonte diferente.
- Crie funções mínimas e adequadas para cada funçãoO senhordeve estabelecer funções para as muitas interações entre seus recursos nativos da nuvem. A capacidade de atribuir um conjunto exclusivo de permissões a cada função sem servidor oferece uma excelente oportunidade de aprimorar ainda mais o AppSec.
Quando o senhor faz o IAM na granularidade das funções, o IAM se torna uma ferramenta de AppSec. Dedique algum tempo à elaboração de papéis adequados e mínimos para cada uma de suas funções. Além disso, certifique-se de que cada uma de suas funções seja executada com o menor conjunto viável de privilégios, de modo que os danos causados por eventuais falhas sejam mínimos.
- Dependências do aplicativo seguroAs funçõesgeralmente incluem dependências, extraídas do npm (Node.js), PyPI (Python), Maven (Java) ou outros repositórios relevantes. A proteção das dependências do aplicativo requer acesso a um bom banco de dados e ferramentas automatizadas, incluindo ferramentas de orquestração nativas para acionar a segurança do aplicativo durante o desenvolvimento. A execução contínua dessas ferramentas evita que novos pacotes vulneráveis sejam usados e alerta sobre problemas recém-divulgados.
- Tornar a segurança um problema de todos
Forme parcerias estreitas entre as equipes de desenvolvedores, DevOps e AppSec. Encontre o equilíbrio em que os desenvolvedores não sejam donos da segurança, mas também não sejam isentos de responsabilidade - a codificação segura é um exemplo. Mark Collier, COO da OpenStack Foundation, foi citado em um artigo da Bloomberg dizendo que "a mudança de monolítico/em cascata para ágil/DevOps tem mais a ver com processo e psicologia organizacional do que com as tecnologias a serem empregadas.
Isso vem sendo discutido há vários anos e não vai desaparecer tão cedo. É um grande problema que as empresas precisam resolver e levará anos para chegar lá, pois é uma mudança geracional na filosofia."
É importante que as equipes preencham as lacunas com antecedência, mesmo que isso pareça contrário ao comportamento normal do DNA da empresa, pois a nuvem nativa exige uma abordagem diferente na forma como as organizações gerenciam a segurança e o desenvolvimento. Isso cria uma oportunidade real para os departamentos facilitarem essa mudança e causarem um impacto real.
Proteja o aplicativo nativo da nuvem com a Check Point
As operações devem criar pipelines que permitam que os desenvolvedores trabalhem na velocidade do serverless e ainda implementem o aplicativo de forma realista e segura.
Esses são apenas alguns dos muitos itens relacionados à segurança que devem ser considerados ao migrar para aplicativos e microsserviços nativos da nuvem. Há novas ferramentas projetadas todos os dias para ajudar a otimizar essa transição e criar maior visibilidade, observabilidade, segurança e prevenção de ameaças. Para obter mais informações sobre como lidar com a segurança nativa da nuvem, consulte o guia de soluções de segurança de nuvem da Check Point Software.
Opinião