Protegendo a cloud com Security-as-Code

Provavelmente, mais terá de ser feito, mas não deverá ser menorizado o esforço entretanto por estas levado a cabo. Mas, se os problemas de segurança numa infraestrutura on-premises estão bem documentados e entendidos, o que não é o mesmo que dizer resolvidos, já o mesmo não se pode afirmar sobre a securização das plataformas implementadas em ambientes cloud.

Disso resulta um aumento significativo de casos que são conhecidos sobre quebras de segurança informática, mesmo quando as estruturas de IT migraram para a cloud.

Uma das razões para este aumento do número de incidentes (e da respetiva gravidade) é a deficiente configuração de segurança de muitos workloads migrados para a cloud.

A solução passa pela automatização das soluções de segurança na cloud, numa aproximação reminiscente do que já acontece com a configuração dos serviços, naquilo a que se convencionou chamar normalmente Infrastructure-as-Code (IaC). A aproximação correspondente para a cloud tem, naturalmente, o nome de Security-as-Code (SaC).

SaC permite definir políticas de segurança de uma forma programática, para que possam ser referenciadas nos scripts de configuração usados para aprovisionar os sistemas da cloud, permitindo também a verificação de desvios face às normas em tempo real.

Caso, por exemplo, seja definida uma política em que toda a informação acumulada de identificação pessoal deve ser cifrada antes de ser armazenada, sempre que for feita uma tentativa de deployment do código que viole tal princípio, será rejeitada pelo sistema de verificação.

Tal mudança pressupõe alterações significativas na forma de operar workloads na cloud, para muitas empresas. Uma das mais claras, contudo, é obrigar a uma explicitação das políticas de segurança e privacidade a um grau que, atualmente, não é muito comum em muitas empresas.

Necessariamente, sendo preciso operacionalizar em código estas políticas, tal obrigará a um grau de detalhe que não é normal em aproximações mais casuísticas.

Um benefício adicional desta aproximação é permitir maior reutilização de políticas, melhor partilha até de templates e de boas práticas. Uma consequência adicional para quem vier a adotar uma aproximação de Security-as-Code, será o incremento da “baseline” de trabalho. Eventualmente, com a adoção de um dos frameworks atualmente disponíveis, as organizações serão capazes de ter uma base consistente de onde partir e sobre a qual construir e ir mais longe.

Dados os desafios com que nos confrontamos este ano, diríamos que este é um ponto a ter, visivelmente, em consideração. O corrente ano será, certamente, palco de profundas reestruturações na forma como os diversos intervenientes no ecossistema da cibersegurança se relacionam para enfrentar ataques informáticos. Terá de haver maior coordenação, de partilha de informação e de recursos, para que atores com muitos recursos e muito poucos escrúpulos não minem as bases dos sistemas atuais.

O conceito de Security-as-Code é mais uma arma poderosa numa altura em que é necessário enfrentar os problemas de segurança informática de forma muito mais sistemática e replicável, diríamos mesmo científica, do que até aqui.