A jornada segura para a nuvem é complexa, mas alguns incidentes de segurança surgem a partir de erros simples e configurações errôneas no ambiente cloud.
Não há dúvidas de que a Amazon Web Services (AWS) é uma plataforma poderosa e versátil que oferece uma ampla gama de serviços em nuvem para as empresas que estão iniciando a sua jornada para esse tipo de infraestrutura — seja para armazenar dados, entregar aplicações ou qualquer outro uso que a sua criatividade pode pensar.
No entanto, a flexibilidade da AWS também pode levar a configurações errôneas que comprometem a segurança e a privacidade dos dados dos usuários — e é exatamente neste ponto que acontecem os tão temidos incidentes de segurança na nuvem.Neste artigo, vamos explorar quatro configurações errôneas comuns na AWS, explicando como elas funcionam, os perigos associados a cada uma delas e, o mais importante, o que você pode fazer para evitá-las.
PolÃticas excessivamente permissivas:
As polÃticas de acesso na AWS determinam quem pode fazer o quê nos recursos do seu ambiente. Uma configuração errônea comum é a criação de polÃticas excessivamente permissivas, concedendo acesso não necessário a usuários ou serviços. Isso pode resultar em vazamento de dados, exclusão acidental de recursos ou até mesmo comprometimento da conta. Confira os principais perigos:
Vazamento de dados: polÃticas excessivamente permissivas podem permitir que usuários não-autorizados acessem dados sensÃveis;
Exclusão acidental: um usuário com permissões exageradas pode excluir recursos essenciais por engano;
Como evitar?
PrincÃpio do menor privilégio: conceda apenas as permissões mÃnimas necessárias para realizar uma tarefa especÃfica, respeitando o princÃpio de segurança de que cada colaborador só deve acessar aquilo que for crucial para o seu exercÃcio profissional;
Revisão regular: revise e atualize as polÃticas de acesso regularmente para garantir que apenas usuários autorizados tenham acesso aos ambientes, dados e arquivos estritamente necessários para suas tarefas.
Falta de Criptografia nos buckets S3:
O Amazon Simple Storage Service (S3) é um serviço popular de armazenamento de objetos na AWS em espaços denominados buckets. No entanto, deixar de criptografar dados armazenados em buckets S3 (por padrão, tais ambientes não são criptografados, sendo de responsabilidade do usuário realizar tal configuração) pode expor informações sensÃveis em caso de violação de segurança. Conheça alguns perigos:
Violação de dados: dados não criptografados podem ser acessados por hackers em caso de uma violação de segurança;
Não-conformidade: em algumas indústrias, a falta de criptografia pode violar regulamentações de conformidade.
Como evitar?
Criptografia Server-Side: adote a criptografia server-side para proteger dados em repouso;
Criptografia Client-Side: considere a criptografia client-side para adicionar uma camada extra de segurança, onde os dados são criptografados antes de serem enviados para o S3.
Uso indevido dos snapshots públicos RDS:
Os snapshots no Amazon Relational Database Service (RDS) permitem fazer backups e restaurar bancos de dados de maneira fácil. No entanto, tornar esses snapshots públicos inadvertidamente pode levar a sérios problemas de segurança. Veja exemplos:
Exposição de dados sensÃveis: snapshots públicos podem conter dados sensÃveis, que ficam acessÃveis a qualquer pessoa com o link direto;
Ransomware e ataques: criminosos cibernéticos podem explorar snapshots públicos para ataques de ransomware ou outras atividades maliciosas.
Como evitar?
Controle de acesso: certifique-se de que apenas usuários autorizados tenham permissões para criar snapshots e ajuste as configurações de privacidade adequadamente;
Monitoramento regular: monitore continuamente os snapshots para garantir que nenhum deles tenha sido definido como público de forma não-intencional.
Armazenar arquivos sensÃveis em texto pleno no AWS Lambda:
O AWS Lambda é um serviço de computação serverless que executa código em resposta a eventos. Armazenar credenciais ou dados sensÃveis em texto pleno no código Lambda pode expor essas informações a qualquer pessoa com acesso ao código. Os perigos incluem:
Vazamento de credenciais: armazenar credenciais em texto pleno pode levar a exposição de dados e informações sensÃveis;
Acesso não-autorizado: pessoas com acesso ao código podem utilizar informações sensÃveis para atividades maliciosas.
Como evitar?
Use variáveis de ambiente: armazene credenciais e outras informações sensÃveis em variáveis de ambiente protegidas e referencie-as no código Lambda;
Rotacione credenciais: Rotacione regularmente as credenciais armazenadas nas variáveis de ambiente para minimizar os danos em caso de vazamento.
Dicas simples, porém valiosas:
Em resumo, a segurança na AWS requer uma combinação de boas práticas de configuração e monitoramento constante. Ao aderir ao princÃpio do menor privilégio, implementar criptografia adequada, controlar o acesso a snapshots e evitar armazenamento de dados sensÃveis em texto pleno, você pode proteger seus recursos na AWS contra ameaças e garantir a segurança dos dados da sua organização.