André Kupfer (*)
O controle de acesso a aplicações, APIs (Application Programming Interfaces) e outros recursos digitais na nuvem é um dos maiores desafios de CISOs do Brasil e do mundo. Estudo do IDC de dezembro de 2021 revela que, dos 800 líderes de tecnologia entrevistados, 50% afirmaram que 25% de todas as violações sofridas exploraram inconsistências no controle de acesso. Para os CISOs de empresas com mais de 20.000 colaboradores, a marca é ainda maior: 50% das violações surgiram de problemas com o controle de acesso.
Ambiente distribuído por natureza, a nuvem precisa de uma rigorosa política de acesso de usuários para efetivamente estar protegida. Estudo do Ponemon Institute construído a partir de entrevistas com 662 líderes de ICT Security dos EUA, em 2021, enfatiza que, para 62% deste universo, Cloud Account Takeovers são um dos maiores riscos para a integridade dos dados de suas organizações. A partir da apropriação ilícita das credenciais de identidade de um usuário, gangues digitais conseguem realizar acessos indevidos ao patrimônio de dados das organizações. Uma resposta de múltipla escolha demonstra o efeito cascata de falhas no controle de acesso à nuvem: 59% dos entrevistados sofrem com roubo de dados críticos, 56% reclamam de interrupções nos processos de negócios e 40% pagam o preço de danos à marca causados por esse tipo de ataque.
Na economia de APIs, com aplicações trocando dados entre si por meio dessas linguagens, o controle de acesso também é crítico. A edição 2023 do relatório State of APIs, da Postman, realizado a partir de entrevistas com 40.000 desenvolvedores e gestores de TI de todo o mundo, coloca as dificuldades com o controle de acesso às APIs no topo das preocupações de segurança deste universo. Numa resposta de múltipla escolha, 30% indicaram que falhas de autenticação, autorização ou controle de acesso de APIs são suas maiores preocupações.
Rigorosas políticas de segurança
Neste contexto, é essencial implementar políticas de controle de acesso rigorosas, que determinam quem tem acesso a dados e como esses ativos podem ser usados. Em um ambiente de nuvem, as políticas são uma ferramenta importante para a minimização de riscos. A meta é manter o maior nível possível de proteção.
A premissa básica do controle de acesso é limitar a maneira como os usuários podem mover-se em uma rede e acessar bases de dados. Isso é feito a partir de parâmetros estabelecidos pelos administradores. Permissões são concedidas aos usuários segundo esses parâmetros. Um bom exemplo é limitar o acesso a dados financeiros de modo que somente funcionários do departamento de contabilidade possam visualizá-los. Esse acesso é proibido para todos os demais.
Em um cenário de proteção de nuvem, o controle de acesso atende a dois propósitos. Primeiro, limita o modo como os usuários internos da rede podem acessar e utilizar os dados. Segundo, mantém afastados os invasores externos. O controle de acesso reduz certos tipos de ameaças à segurança cibernética trancando suas portas para hackers que, de outra maneira, poderiam obter acesso inicial a uma rede.
Diferentes tipos de controle de acesso
Uma proteção robusta da nuvem utiliza diversas formas de controle de acesso. A forma mais comum é controle de acesso com base em função (RBAC). Esse modelo específico atribui papéis (direitos e proibições) a usuários da rede com base nos seus cargos. Funções típicas incluem categorias como administrador, assinante e usuário. As equipes de segurança cibernética podem criar todos os tipos de funções com base nas necessidades da sua organização.
Poderá haver funções diferentes para administradores sênior e para pessoal de segurança de TI menos privilegiado. Poderá haver funções diferentes para gerentes de alto, de médio e de baixo escalão. As possibilidades são infinitas.
Além do RBAC, outras formas de controle de acessos incluem:
• Controle de acesso com base em atributo – (ABAC) – As permissões são atribuídas com base nos atributos do usuário. Os atributos poderão ser qualquer coisa, desde nome do departamento até nome do cargo.
• Controle de acesso com base em tempo (TBAC) – O acesso interno é concedido com base em uma quantidade de tempo predeterminada. Por exemplo, o acesso irrestrito a todos os dados poderá ser concedido durante períodos de manutenção noturna. Em todos os outros momentos são seguidas as políticas padrão.
• Controle de IP – O acesso é concedido ou bloqueado com base no endereço IP do usuário. Os administradores criam whitelists e blacklists para simplificar o controle de tráfego.
Todo modelo de controle de acesso tem uma coisa em comum: estabelece parâmetros pelos quais as permissões de acesso a dados são, então, atribuídas aos usuários. Nenhum usuário consegue obter acesso a dados, ou até mesmo a locais da rede, sem as permissões corretas.
O controle de acesso deve ser uma política padrão em todo ambiente de nuvem. Uma nuvem não protegida por meio de controle de acesso é vulnerável por natureza. Tudo que um hacker precisa fazer é entrar na nuvem. Quando ele o consegue, o resultado é imprevisível.
O fim do perímetro veio com a era da infraestrutura digital fluida – muitas vezes baseada em software – e distribuída, com usuários acessando dados críticos a partir de qualquer ponto geográfico e qualquer tipo de dispositivo. Essa realidade só pode avançar na postura de segurança quando o controle de acesso é algo sustentado 24×7, qualquer que seja o modelo da nuvem utilizado (pública, híbrida, privada, cloud, edge, fog).
(*) É Líder LATAM de Engenharia de Vendas na Hillstone.