fev
2
2012

Cuide dos direitos de acesso na virtualização

Boa parte das empresas acredita que os ambientes virtuais são mais difíceis de proteger do que os ambientes físicos. E existe uma boa razão para isto: a maioria das atuais tecnologias e políticas de segurança de virtualização não aborda as reais ameaças de segurança provenientes da virtualização.

No entanto, pesquisa recente da KuppingerCole, um dos principais analistas europeus, indica que, apesar de cada vez mais organizações estarem atentas às questões de segurança associadas à virtualização, poucas estão tomando as medidas necessárias para resolver os seus processos inadequados de segurança.

Neste campo, surge uma questão: pode a segurança resistir à expansão dos dados e dos direitos de acesso?

Observemos por exemplo a expansão de dados. O risco da movimentação descontrolada de dados através de sistemas virtualizados de TI, acabando em ambientes menos seguros, é considerado pela maioria das empresas como uma ameaça fundamental à segurança de virtualização. Devido à enorme quantidade de informações que processamos e compartilhamos diariamente, não somos capazes de acompanhar a localização de todas as cópias das nossas informações sensíveis.

No entanto, os riscos para a virtualização que estão associados com a expansão de dados poderiam ser aplacados através da proteção de informações e soluções de controle avançadas, tal como aplicações Data Loss Prevention (DLP) baseadas em identidade. Uma solução DLP por identidade melhora as capacidades habituais de DLP através de um contexto de identidade e acesso, e agrega a compreensão dos indivíduos envolvidos em uma ação ao tipo de dados envolvidos na sua ação, de modo a determinar, com um maior nível de precisão, se a ação pode ou não ser autorizada (é importante mencionar que a abordagem DLP por identidade é também referida como gestão de identidade e acesso baseado no conteúdo, dependendo se considerarmos a perspectiva de dados ou de uma identidade).

Tudo isto são boas notícias. Contudo, as organizações europeias e norte-americanas têm aderido a aplicações de DLP de forma lenta. Poucas organizações participantes da pesquisa realizada pela KuppingerCole implementaram soluções de DLP, quanto mais uma abordagem DLP baseada em identidade.

Acontece o mesmo com outro tipo de expansão: a expansão de direitos e a forma como a gestão de usuários com privilégios é feita em ambientes virtuais. Os usuários com privilégios são normalmente os administradores de TI ou de rede, responsáveis pela manutenção de sistemas e por mantê-los disponíveis.

Segundo a pesquisa realizada pela KuppingerCole, 73% das organizações participantes estão preocupadas que os direitos alargados introduzidos por hypervisores possam levar a erros ou abusos por parte de usuários privilegiados. Por exemplo, os usuários com privilégios são capazes de ligar, desligar, copiar ou mover máquinas através de um servidor de alojamento virtual.

Se estes novos acessos hypervisor não forem bem geridos (por exemplo, seguirem o princípio dos privilégios reduzidos), as empresas ficam expostas a riscos significativos desnecessariamente. Além disso, os acessos hypervisor não devem ser geridos de forma isolada. Devem ser mantidos em conjunto com os direitos atribuídos a contas privilegiadas nas máquinas virtuais, bem como aos recursos e sistemas funcionando nessas máquinas.

O estudo conclui que metade destas organizações não tem uma solução de gestão de usuários privilegiados ou de segurança, sendo estas duas soluções essenciais para mitigar os riscos da expansão de direitos de acesso.

Estas preocupações de segurança também poderão comprometer qualquer passagem para uma estratégia de cloud. Quando questionados sobre os principais inibidores para uma rápida passagem para uma estratégia de cloud privada, os fatores mais importantes foram as questões da privacidade e conformidade da nuvem e as questões de segurança da mesma.

Apesar de 39% esperarem ter eliminado os problemas de segurança até ao final de 2011, apenas 30% acreditavam que isto se aplicasse às questões de privacidade e conformidade, o que significa que os usuários julgam que a privacidade e as regulamentações de conformidade podem atrasar a evolução da TI em direção aos princípios da cloud.

Existem no entanto boas notícias. A pesquisa demonstra uma consciência das organizações de que a segurança, nomeadamente a “identity and access management” (IAM), a regulamentação e a gestão de risco e conformidade, são pré-requisitos para uma estratégia bem sucedida de cloud computing.

Automatização para um controle total

Poucas organizações estão usando tecnologias de automação para gerir o acesso privilegiado a ambientes virtualizados. Em vez disso, estão baseando-se em processos manuais, realizados sem tecnologia de suporte, o que coloca em risco a segurança da organização.

Por exemplo, apenas 65% dos participantes da pesquisa da KuppingerCole afirmou impor uma separação de funções para tarefas administrativas em plataformas virtuais, um pré-requisito essencial para melhores práticas de conformidade e segurança. E mesmo que isto seja imposto, mais de 40% não utiliza o software necessário para automatizar essa imposição, como certificação de acesso, gestão de usuários privilegiados ou gestão de entrada.

Tal como no caso da expansão do direito de acesso, as soluções de automação iriam facilitar esta separação de funções, fazer cumprir o princípio do privilégio reduzido (dando a um usuário apenas as capacidades absolutamente essenciais para desempenhar o seu trabalho), e manter uma responsabilização sobre todos os ativos críticos.

Com tantas organizações conscientes dos riscos associados à segurança da virtualização, por que motivo a taxa de adoção de segurança não é maior?

Ao olhar para os números globais, torna-se óbvio que o maior inibidor para a segurança de virtualização é ainda a relativa imaturidade na forma como as organizações abordam a virtualização como um todo. Existe uma falta de conhecimentos e capacidades, bem como de processos, políticas e normas, e a necessidade de um suporte melhorado para a segurança de virtualização dos fornecedores.

Existe uma forma de contornar esta fortaleza aparentemente impenetrável de custos. Se as organizações utilizassem estratégias e ferramentas que suportassem plataformas heterogêneas de forma flexível, e permitissem uma gestão unificada de sistemas físicos e virtuais, conseguiriam distribuir o custo da segurança por toda a sua infraestrutura física e virtual.

Simultaneamente, poderiam automatizar os processos ineficientes de segurança, adotar uma postura de segurança mais consistente e eficaz, e racionalizar as capacidades necessárias para manter a segurança. Também é importante assegurar que a segurança seja algo a ter em consideração desde o início da fase de planeamento de uma implementação de virtualização, para combater o aparecimento de falhas de segurança e assegurar que os orçamentos adequados à segurança estão disponíveis desde o início.

Ao virtualizar ambientes de TI, também é importante garantir que a gestão da segurança é integrada com a gestão de infraestrutura e de serviços, levando em conta fatores como gestão ou mudança de configuração, provisionamento de servidores, gestão de incidentes e problemas, gestão de desempenho, gestão de nível de serviço, e catálogos de serviços. A automação é um requisito essencial para alcançar os verdadeiros benefícios da virtualização, e esta integração é obrigatória para alcançar o nível necessário de automação.

Uma abordagem unificada à segurança através das plataformas físicas e virtuais permite uma gestão única de pessoas, processos e aspectos tecnológicos. E se a sua organização decidir gerir e proteger os ambientes físicos e virtuais com uma solução unificada automatizada, vai necessitar de uma parceria com experiência e soluções que possam abranger ambos os ambientes.

Não se esqueça também da conformidade. Por natureza, os ambientes virtuais são mais dinâmicos. E trabalhar em um servidor virtual traz mais mobilidade. Desta forma, é fundamental manter o controlo e visibilidade do que está a acontecer em ambientes virtuais para garantir a conformidade com os requisitos de auditoria e regulamentação.

Conclusão, atualmente, a segurança da informação prende-se tanto com o processo como com a tecnologia.

A passagem para a virtualização é uma viagem, não um projeto rápido. Por um lado, a virtualização obriga-nos a rever as nossas políticas, processos e procedimentos existentes para suportar o cenário em evolução de TI e garantir a segurança de toda a nossa infraestrutura. Além disso, as nossas estratégias atuais necessitam assegurar que a segurança é aplicada aos dados para permitir uma movimentação eficiente e o uso eficaz da informação.

Ao mesmo tempo, a automação é uma necessidade, para que consiga perceber os verdadeiros benefícios da virtualização. Isso faz com que as soluções IAM direcionadas para o conteúdo representem um ingrediente chave no pacote de tecnologias a usar.

.

Fonte: Originamente publicado por CIO em em 30 de janeiro de 2012 às 14h24