Papo Cloud 041 – Cloud Computing para SEGURANÇA

Entendas como você pode melhorar a segurança do seu ambiente de TI sendo ele on-premise ou em nuvem com as soluções Azure Security Center, Azure Policy e Azure Bastion.

Bem-vindo ao Papo Cloud podcast. Eu sou Vinicius Perrott e aqui, o Papo é Cloud!

Por todos esses anos que venho atuando com projetos de computação em nuvem na região norte e nordeste do Brasil, notei que a definição do que é Cloud Computing em vários segmentos de negócios e diversos tipos de profissionais em linhas gerias está definida da seguinte forma: a computação em nuvem é um serviço que você contrata e paga conforme o uso.

Bem… essa definição não está errada, mas para muitos profissionais tanto na área de TI quanto em outras, essa definição é substancialmente incompleta e se não entendermos as possibilidades da computação em nuvem podemos cometer falhas graves nos projetos, seja na arquitetura ou no controle de custos, a computação em nuvem requer compreensões muito além de quantidade de processador e memória.

Por isso criei a série Cloud Computing para, isso é, a computação em nuvem explicada para um determinado profissional ou segmento de mercado.

O primeiro episódio foi o Papo Cloud 036 – Cloud Computing para PROFISSIONAIS DE TI, que abordamos de forma ampla, aspectos técnicos da definição da Cloud Computing e 5 elementos importantes, se você não ouviu ainda não deixe de conferir.

No segundo foi o Papo Cloud 038 – Cloud Computing para DESENVOLVEDOR tratamos de elementos sobre o Microsoft Azure DevOps e Metodologias e processos de desenvolvimento.

Nesse episódio Cloud Computing para SEGURANÇA vamos tratar sobre as ferramentas de segurança no Microsoft Azure chamada de Azure Security Center, Azure Policy e Azure Bastion.

Lembrando que tudo que vou relatar aqui são vivências minhas em projetos na região norte e nordeste do Brasil e você que é profissional de TI ou conhece alguém que seja, não deixe de indicar esse episódio para ele.

Ao longo desses últimos 8 anos atuando com arquitetura, implantação e suporte em projetos de computação em nuvem, percebi que o conceito nuvem para o profissional de TI seguia uma certa uniformidade, sendo nuvem uma capacidade computacional que é contratada em datacenter de terceiros, sendo a AWS, Google Cloud ou o Microsoft Azure como principais opções de provedores.

Claro que existem muitos outros provedores, mas para esse programa vou citar alguns exemplos utilizando o Microsoft Azure que utilizo em projetos que participo diretamente.

Mesmo você não sendo um profissional da área de SEGURANÇA, fique até o final do programa que você vai perceber que existem elementos técnicos abrangem que podem te ajudar no seu dia a dia.

Uma coisa que você sabe muito bem que abrange a qualquer time na área de TI, é ouvir aos podcast aqui do Papo Cloud e como você já sabe, mas não custa lembrar, toda a transcrição desse programa você vai encontrar em papo.cloud/041.

Arthur e Samuel já estão aqui no Papo Cloud ajudando a melhorar mais esse programa e VOCÊ?

Baixe o aplicativo PicPay nas lojas do Android ou iOS e busque por Papo Cloud, você pode contribuir mensalmente a partir de R$3,50.

Quer ajudar ainda mais o Papo Cloud?

Mande seu comentário, estamos no Instagram e Twitter com @papocloud, visite nosso site papo.cloud e assine nossa News, se tiver algum tema ou sugestão escreva para [email protected].

Aqui não vou abordar as características e definições em nuvem, vou direto aos pontos que vejo em muito nos times de SEGURANÇA que tenho contato.

Alguns ambientes de TI das empresas possuem um time extremante reduzidos na área de TI, em geral um Coordenador que exerce o papel de gerente de TI e em alguns casos como analisa sénior, e dois ou três analistas compondo o time técnico.

Claro que também existem times bem maiores com vários níveis de especialização com divisões claras entre os setores.

Existe até um estudo que diz que para cada 100 pessoas em uma empresa, 1 (uma) deve ser para atuar na Tecnologia da Informação, mas esse estudo vamos tratar em um outro episódio.

Entender primeiramente o tamanho do time de TI é importante para saber quais são as funções que serão mais aprofundadas e especializadas e quais serão tratadas como atividades secundárias.

O que acabo presenciando é que a especialidade segurança da informação é algo secundário para os times de pequeno a médio porte e algo bem segmentado para os times de maior porte.

O que é comum em sua maioria são times de segurança especialistas em segmentos de produtos e fabricantes, como Firewall, Antivírus, Wifi, Criptografia e atualizações de segurança para os sistemas.

Deixando claro que não sou especialista em segurança, o que estou relatando aqui são minhas percepções aqui da região, OK?!

Para os times menores as atribuições do dia a dia fazem com que todo o tempo e energia disponível esteja focada nas atividades mais emergentes ou rotinas de trabalho que envolva diretamente os processos que as ferramentas de segurança implantadas trazem consigo, restando quase nada para o profissional de TI ir além do escopo de atuação.

Profissional de segurança da informação sem sobre de dúvidas deve ter conhecimento prático sobre determinadas ferramentas ou métodos como base fundamental sobre o seu trabalho, mas muito além de comandos e relatórios complexos o profissional de segurança deve ter a capacidade de se envolver diretamente em outras áreas além da sua.

Quando falo em outras áreas, estou me referindo de áreas fora da TI, finanças, recursos humanos, operação, diretoria, essas são as áreas que requerem uma atenção super especial.

Em algumas oportunidades quanto vejo o time de segurança da informação atuando próximo do time do jurídico, essa atuação traz resultas incríveis, como normas de utilização e política da segurança da informação construídos com objetivos claros.

Só para alinhar aqui com você, quando me referir a projetos tradicionais estou falando de projetos on-premise, com servidores, sistemas e aplicações tudo no datacenter local dentro das empresas ou contratados em algum Collocation, estamos alinhados?

Em projetos tradicionais, normalmente são desenvolvidos sem uma curadoria ou participação ativa do time de segurança, e isso além de ser um grave problema é uma grande oportunidade jogada fora, imagine seu projeto de redes, ou de desenvolvimento da aplicação crítica de negócio ter o time de segurança participando, posso até me ariscar dizendo que sua aplicações já sairia com muito mais qualidade do que é de costume.

Ai você nesse momento deve estar se questionando algo assim:

“Se eu trouxer alguém de segurança para o trabalho nunca que vai ser entregue, esse time é cheio das restrições e só quer negar tudo.”

Bem… de fato devo concordar que o time de segurança tem essa fama aí de bloquear tudo, mas se não ajudarmos nossos colegas de segurança a entender as necessidades como podemos ter o apoio deles?

Agora te faço uma pergunta e responda com toda sinceridade, se em projetos tradicionais, você não chama o time de segurança, você envolveria esse time em projetos de computação em nuvem logo de cara ou deixaria rolar e só depois envolveria alguém?

Depois compartilhe sua reposta no @papocloud no Instagram ou Twitter, se preferir mande para [email protected].

Para projetos no Microsoft Azure temos algumas ferramentas que podem melhorar em muito a atuação dos times de pequeno e médio porte e para os times maiores essas ferramentas trazem grandes vantagens, pois garante que suas políticas de segurança da informação terão excelentes instrumentos de auxílio e tomada de decisão do ambiente.

Vamos a elas!

Azure Security Center

A Central de Segurança do Azure permite gerenciar a segurança de servidores Windows e Linux tanto em ambiente local sendo servidores físicos ou virtuais e até as suas máquinas virtuais que estão no Microsoft Azure.

Esse gerenciamento envolve algumas características extremamente útil para uma gestão mais proativa e simplificada para os times de segurança, sendo elas:

• Relatório sobre exposição ou configurações desnecessárias ou faltando para serem executadas;
• Melhores práticas e recomendações para operação do seu ambiente sempre atualizados;
• Identificação de dados não criptografados tanto em trânsito quanto em repouso;
• Relatório e procedimentos para adequar seu ambiente nas principais normas como CIS, PCI DSS, SOC e ISO;
• Além do gerenciamento de Máquinas Virtuais, para projetos de IoT, aplicações Web e banco de dados são excelentes ambientes para a implantação e gerenciamento através do Azure Security Center;

Importante em sua análise ao implantar o Azure Security Center é levar em consideração que existe um custo que deve ser calculado, basicamente é cobrado por cada VM ou recurso gerenciado, mas se você está em dúvida aqui vai uma dica, monte um planejamento junto com seu time ou você mesmo para testar por 30 dias sem custos.

Você pode se surpreender com essa solução.

Na transcrição desse programa todos os links estarão disponíveis para você ampliar seus estudos.

Aqui vale um comentário importante, em um dos projetos que participei o ambiente do cliente estava passando por um processo de certificação e o cliente só conseguiu atender a tempo aos requisitos exigidos da certificadora devido ao uso do Azure Security Center, e é claro ter implantado as recomendações indicadas pela central.

Azure Policy

Já o Azure Policy é um recurso encontrado em todos os datacenters do Azure independente da região e dos recursos de cada datacenter e já adiantando que o Azure Policy não tem custo algum, é se planejar e sair usando.

O Azure Policy permite você criar, atribuir e gerenciar, sendo as políticas padrões do Azure ou até mesmo as personalizadas.

Toda configuração é feita através do portal do Azure, PowerShell ou CLI do Azure, assim você vai poder ter seu trabalho desenvolvidos de forma mais rápida.

As definições das políticas são atribuídas por meio de alguns elementos, sendo:

• Tipo de recurso permitido;
• Locais permitidos;
• SKUs de máquinas virtuais permitidas;
• Tipos de recurso não permitidos;
• Aplicar tag e seu valor padrão;
• Entre tantos outros mais.

Aproveite crie e revise suas políticas no seu projeto de Azure e garanta que o melhor da nuvem está sendo bem implantado por você.

Azure Bastion

Um elemento importante em projetos de computação em nuvem é como você acessa os seus servidores virtuais Windows ou Linux, em geral esse acesso é por meio de RDP na porta 3389 ou por SSH na porta 22, mas para realizar esse acesso é necessário atribuir um IP público no servidor, mas já aparece como recomendação no Azure Security Center um alerta recomendado que fosse removido esse IP público o quanto antes.

Claro, se o seu projeto já envolvia VPN Site to Site entre o Azure e o seu datacenter, não é necessário esse IP público, já que você pode acessar via VPN o IP de Lan do seu servidor.

Mas voltando ao caso onde são necessários acessar o servidor atribuindo um IP publico o Azure Bastion surge para dar mais segurança ao seu ambiente.

Utilizando o Azure Bastion você criar uma rede para acessar remotamente utilizando o próprio navegador, isso mesmo, não é necessário um cliente para acessar o seu servidor remotamente, basta ativar o Azure Bastion e utilizar o seu navegador.

Vou deixar na transcrição desse programa um artigo que o meu amigo Francisco Ferreira fez lá do site Azure Experts explicando passo a passo de como implantar o Azure Bastion.

E se você está planejamento contratar serviços em nuvem ou já tem algum serviço implantado e queria revisar o seu planejamento para entender se está bem arquitetado, mande um e-mail para [email protected] que posso marcar um bate papo para te ajudar no seu projeto.

E ai?!
Tá na nuvem!

———

Apoiador(es) PicPay:

Arthur Moura
Samuel Camelo

E para o nosso último recado, se quiser participar do nosso grupo no Telegram, acesse
Veja outros podcast em https://www.papo.cloud/podcasts

Fontes:

Azure Security Center (Central de Segurança do Azure)

https://azure.microsoft.com/pt-br/services/security-center/

Melhorar sua pontuação segura na Central de segurança do Azure

https://docs.microsoft.com/pt-br/azure/security-center/security-center-secure-score

Azure Policy (Política do Azure)

https://azure.microsoft.com/pt-br/services/azure-policy/

Tutorial: Criar e gerenciar políticas para impor a conformidade

https://docs.microsoft.com/pt-br/azure/governance/policy/tutorials/create-and-manage

Documentação do Azure Policy

https://docs.microsoft.com/pt-br/azure/governance/policy/

Política do Azure preço

https://azure.microsoft.com/pt-br/pricing/details/azure-policy/

Usando o Azure Bastion Host (escrito por Francisco Ferreira)

https://www.azureexperts.com.br/usando-o-azure-bastion-host/

Azure Bastion

https://azure.microsoft.com/pt-br/services/azure-bastion/

O que é o Azure Bastion?

https://docs.microsoft.com/pt-br/azure/bastion/bastion-overview

Podcast: Tocar em nova janela | Download

Subscribe: RSS

Tagueado como: cloud computing, papo cloud.