topo-nuvem

Autor: Anderson Sales

Neste terceiro artigo da serie sobre riscos da computação em nuvem continuaremos a abordar itens relevantes desde aspectos técnicos, contratuais até periciais. Lembrando que a responsabilidade de zelar pela segurança da nuvem é uma tarefa compartilhada que não deve ser atribuída apenas à empresa contratada, o contratante também tem sua cota de participação.

Cadeia de custodia da informação

cadeia-custodia

Discorre a respeito da documentação e coleta cronológica de evidencias, devendo inclusive relatar quem teve acesso e/ou as manuseou; resumindo, deve-se zelar pelo nível mais alto de preservação de uma prova. A cadeia de custodia pode ser afetada quando existem múltiplas nuvens contratadas, pois a falta de interoperabilidade entre os contratantes coloca em risco a coleta e preservação de provas periciais. Em provedores que possuem diversos sites espalhados geograficamente, a cadeia de custódia pode ser impactada e evidências deixariam de ser coletadas caso exista alguma omissão ou inexatidão no mapeamento e localização dos ativos e/ou datacenter. A cadeia de custódia deve ser levada muito sério, pois na hipótese da investigação de uma rede de pedofilia que usa a nuvem como meio de distribuição, a incorreta coleta inicial de evidências poderia levar a uma série de análises e acontecimentos desconexos que livrariam os suspeitos de uma condenação e poderiam julgar um inocente, algo bem parecido com a teoria do caos que diz que qualquer interferência (mesmo que mínima) no inicio de um determinado evento pode causar consequências imprevisíveis de proporções catastróficas.

Monitoramento

O monitoramento deve contemplar não somente os thresholds e variação dos recursos computacionais de um host ou aplicação que está na nuvem, o monitoramento deve ir além de sua usabilidade clássica agregando informações de indicadores de desempenho (KPI), estatísticas para compor análises preditivas (uso da matemática que avalia informações históricas a fim de calcular a probabilidade da ocorrência de eventos futuros), entre outros. Em sua essência, a nuvem é um conjunto de sistemas replicantes subdividido em camadas de diversos hosts, redes, etc e em localidades geográficas distintas; por causa dessa característica, identificar a causa raiz de um problema (hardware ou software) é deveras complexo e somente um sistema de monitoramento maduro o suficiente é capaz de identificar a localização exata de um problema. O monitoramento deve acompanhar na mesma proporção o conceito de escalabilidade, ou seja na estrutura contratada desaparecem e surgem novos recursos (servidores, aplicações e etc) a quantidade de ativos monitorados deve variar na mesma dimensão e velocidade.

Gestão de acesso e identidades de usuários

O gerenciamento do controle de acesso deve garantir que tanto as concessões atribuídas ao contratante quanto para a contratada auxiliem a tarefa de evitar vazamento de informações e que haja a correta operação dos hosts que as alocam. É prudente que a informação guardada seja administrada pelo que chamamos de gestão de acessos em camadas devendo seguir as boas práticas como, por exemplo, duplo fator de autenticação, deletar contas inativas, revisão de acessos de usuários, RBAC e se possível implantar um sistema de autenticação sem revelar informações de identificação (credenciais anônimas). Essas atividades mitigam o risco de uma configuração errada ou que uma vulnerabilidade na aplicação permita acesso administrativo da nuvem para usuários não autorizados. O cuidado com a gestão desse processo auxiliará o caso de contratantes diferentes compartilharem o mesmo recurso físico (seja um storage ou um pool de máquinas virtuais) para que eles não acessem informações que não lhe são de direito. Uma coordenação assertiva desses quesitos ampara também a identificação do dono de um registro/perfil que esteja sob suspeita, ajudando a discernir quando uma determinada conta é ou não fictícia, pois um ato comum dos criminosos é gerar vários perfis falsos na contratação de serviços para granularizar suas ações aumentando o grau de dificuldade para o perito forense; o aumento de registros de contas fictícias visa atrapalhar o serviço da investigação porque quanto mais dados fakes existirem, mais “sujeira” será coletada para verificação. Assim como qualquer outra infraestrutura de rede, é desejável que os acessos sejam segregados para cada usuário (evitando uso de contas compartilhadas) e que a criação de uma nova conta seja capaz de gerar trilhas de auditoria. Em casos mais críticos como acessos administrativos (sejam eles físicos ou lógicos) entre outros, é necessário um incremento maior na autenticação; existem algumas técnicas para implantar esse tipo de controle, o uso de certificado digital é uma delas.

Exclusão de arquivos

A exclusão de arquivos deve ocorrer de forma segura desde o nível físico até o lógico. A empresa contratada deve ter em sua estrutura um processo que comporte retenção/exclusão dos arquivos baseados em tempo, por exemplo, o PCI informa que uma determinada informação deve ser apagada após o período de cinco anos. É importante atentar-se sobre as menções da rescisão de contrato ou término sem renovação porque é do cliente a responsabilidade efetuar a cópia, remoção, migração dos arquivos da estrutura da empresa contratada; lembrando que ela deve apagar de maneira segura todos os arquivos do cliente, removendo inclusive os dados estatísticos e analíticos. Caso haja rompimento do contrato por causa de migração de serviço para outro provedor, deve haver um período (que varia de 1 a 3 meses) para que o cliente possa transferir seus dados, em seguida estes poderão excluídos. A equipe de operação que gerencia a infraestrutura da nuvem deve ter uma plataforma centralizada de administração que permita apagar os arquivos em qualquer data center de sua responsabilidade, a mesma deve fornecer uma prova auditável de que a informação foi devidamente excluída, transferida ou retida.

Reutilização de recursos

Esse tema faz referência ao tratamento incorreto dos recursos computacionais e a disponibilização subsequente do mesmo para outro cliente. Por exemplo, um compartilhamento de rede existente dentro de um storage que é inutilizado, deve ser apagado de maneira segura para que aquele espaço não seja atribuído de maneira equivocada para outro contratante. A disponibilização de memória ram também deve ser tratada com cautela para que se tenha a certeza de que a memória que foi alocada, não possua dados resilientes/residentes de um outro cliente (risco de dump de memória). Ao mesmo tempo em que a preocupação com a reutilização de recursos é uma tarefa crítica para o departamento de operações de datacenter, ela também pode inviabilizar intimações judiciais para coleta de dados, caso uma informação ou máquina virtual altamente confidencial seja deletada (propositalmente ou não) os investigadores terão maior dificuldade para efetuar a aquisição de dados para perícia. Outro cenário de risco ocorre quando um spammer contrata serviços na nuvem e o IP do mesmo cai na blacklist; se o pool de IPs públicos ofertados pelo provedor for um serviço concedido dinamicamente e em seguida o spammer desaloca o IP publico que foi marcado na blacklist, o próximo cliente que receber esse endereço para usar em um serviço legítimo será impactado negativamente e terá problemas para efetuar o envio de e-mails válidos. A obrigação por reverter essa situação junto aos órgãos responsáveis (Spamhaus é um deles) deve ser da empresa contratada, mas isso deve constar no acordo de serviço para que possa ser cobrado.

Falência da empresa contratada

Um item que não é lembrado quando firma-se um contrato de prestação de serviços na nuvem é sobre como as informações serão tratadas caso a empresa contratada passe por um processo de falência. Não é possível prever se a empresa contratada falirá, mas é possível resguardar-se contratualmente. É válido solicitar que as informações que estão de posse da contratada sejam submetidas ao contratante e que posteriormente haja o descarte seguro das mesmas.

Interoperabilidade

Ocorre quando o contratante precisa gerir os dados da empresa entre dois ou mais provedores de cloud computing, a falta de uma padronização entre as plataformas dos provedores afeta uma série de itens de segurança da informação, como a correlação de evidencias por exemplo. O cliente tem o direito de trocar de provedor (seja por falência, fusão, venda ou opção), mas a falta de interoperabilidade onera muito o tempo de migração dos dados; esse gap deve ser diminuído (se possível em SLA) para que o novo provedor contratado absorva os dados com o menor impacto possível.

Múltiplos sites ou datacenter

A ideia de que quanto mais estruturas de datacenter um provedor possuir, melhor será sua nuvem possui também um revés. Um atacante malicioso pode efetuar pequenas alterações em sites distintos e em pontos diferentes do perímetro da estrutura computacional e chegar ao seu alvo. Por fim suas alterações passariam despercebidas, com um nível de correlação bem abaixo do normal ou até encarada como falso-positivo.

Logs

Apesar do provedor de cloud computing possuir localidades físicas diferentes para alocar sua infraestrutura, todos os sites devem possuir um formato padrão para armazenar seus logs. A tarefa de consolidar um padrão de log para toda a corporação facilitará qualquer atividade que necessite de uma informação recuperada, desde uma solicitação por parte do cliente até uma auditoria interna/externa ou análise forense. Esses logs vão desde conexões nos servidores, acessos, aplicativos, banco de dados, hypervisor, até captura de pacotes de rede, tráfego, bilhetagem, entre outros.

Todo item debatido nesse artigo variará de importância dependendo do serviço contratado. O que deve-se ter em mente é que a segurança na nuvem tem muitos aspectos originados da infraestrutura que é praticada “dentro de casa”, ou seja, se o sistema que deseja-se mover do datacenter já é considerado “no compliance”, não será a nuvem que o tornará compliance. A computação em nuvem não remove as falhas de processo e segurança de um sistema “in loco”.

Não adianta mover uma aplicação que não possui processos e regulamentações achando que está se livrando de um problema, pois eles continuarão ocorrendo. O ímpeto de adotar essa nova tecnologia deve ser contido pela simples pergunta: minha empresa está pronta para a nuvem?

Fonte: Blog de Segurança da Informação | Módulo Security