O controle de acesso a aplicações, APIs (Application Programming Interfaces) e outros recursos digitais na nuvem é um dos maiores desafios de CISOs do Brasil e do mundo. Estudo do IDC de dezembro de 2021 revela que, dos 800 líderes de tecnologia entrevistados, 50% afirmaram que 25% de todas as violações sofridas exploraram inconsistências no controle de acesso. Para os CISOs de empresas com mais de 20.000 colaboradores, a marca é ainda maior: 50% das violações surgiram de problemas com o controle de acesso.
Ambiente distribuído por natureza, a nuvem precisa de uma rigorosa política de acesso de usuários para efetivamente estar protegida. Estudo do Ponemon Institute construído a partir de entrevistas com 662 líderes de ICT Security dos EUA, em 2021, enfatiza que, para 62% deste universo, Cloud Account Takeovers são um dos maiores riscos para a integridade dos dados de suas organizações. A partir da apropriação ilícita das credenciais de identidade de um usuário, gangues digitais conseguem realizar acessos indevidos ao patrimônio de dados das organizações. Uma resposta de múltipla escolha demonstra o efeito cascata de falhas no controle de acesso à nuvem: 59% dos entrevistados sofrem com roubo de dados críticos, 56% reclamam de interrupções nos processos de negócios e 40% pagam o preço de danos à marca causados por esse tipo de ataque.
Na economia de APIs, com aplicações trocando dados entre si por meio dessas linguagens, o controle de acesso também é crítico. A edição 2023 do relatório State of APIs, da Postman, realizado a partir de entrevistas com 40.000 desenvolvedores e gestores de TI de todo o mundo, coloca as dificuldades com o controle de acesso às APIs no topo das preocupações de segurança deste universo. Numa resposta de múltipla escolha, 30% indicaram que falhas de autenticação, autorização ou controle de acesso de APIs são suas maiores preocupações.
Rigorosas políticas de segurança
Neste contexto, é essencial implementar políticas de controle de acesso rigorosas, que determinam quem tem acesso a dados e como esses ativos podem ser usados. Em um ambiente de nuvem, as políticas são uma ferramenta importante para a minimização de riscos. A meta é manter o maior nível possível de proteção.
A premissa básica do controle de acesso é limitar a maneira como os usuários podem mover-se em uma rede e acessar bases de dados. Isso é feito a partir de parâmetros estabelecidos pelos administradores. Permissões são concedidas aos usuários segundo esses parâmetros. Um bom exemplo é limitar o acesso a dados financeiros de modo que somente funcionários do departamento de contabilidade possam visualizá-los. Esse acesso é proibido para todos os demais.
Em um cenário de proteção de nuvem, o controle de acesso atende a dois propósitos. Primeiro, limita o modo como os usuários internos da rede podem acessar e utilizar os dados. Segundo, mantém afastados os invasores externos. O controle de acesso reduz certos tipos de ameaças à segurança cibernética trancando suas portas para hackers que, de outra maneira, poderiam obter acesso inicial a uma rede.
Diferentes tipos de controle de acesso
Uma proteção robusta da nuvem utiliza diversas formas de controle de acesso. A forma mais comum é controle de acesso com base em função (RBAC). Esse modelo específico atribui papéis (direitos e proibições) a usuários da rede com base nos seus cargos. Funções típicas incluem categorias como administrador, assinante e usuário. As equipes de segurança cibernética podem criar todos os tipos de funções com base nas necessidades da sua organização.
Poderá haver funções diferentes para administradores sênior e para pessoal de segurança de TI menos privilegiado. Poderá haver funções diferentes para gerentes de alto, de médio e de baixo escalão. As possibilidades são infinitas.
Além do RBAC, outras formas de controle de acessos incluem:
Controle de acesso com base em atributo – (ABAC) – As permissões são atribuídas com base nos atributos do usuário. Os atributos poderão ser qualquer coisa, desde nome do departamento até nome do cargo.
Controle de acesso com base em tempo (TBAC) – O acesso interno é concedido com base em uma quantidade de tempo predeterminada. Por exemplo, o acesso irrestrito a todos os dados poderá ser concedido durante períodos de manutenção noturna. Em todos os outros momentos são seguidas as políticas padrão.
Controle de IP – O acesso é concedido ou bloqueado com base no endereço IP do usuário. Os administradores criam whitelists e blacklists para simplificar o controle de tráfego.
Todo modelo de controle de acesso tem uma coisa em comum: estabelece parâmetros pelos quais as permissões de acesso a dados são, então, atribuídas aos usuários. Nenhum usuário consegue obter acesso a dados, ou até mesmo a locais da rede, sem as permissões corretas.
O controle de acesso deve ser uma política padrão em todo ambiente de nuvem. Uma nuvem não protegida por meio de controle de acesso é vulnerável por natureza. Tudo que um hacker precisa fazer é entrar na nuvem. Quando ele o consegue, o resultado é imprevisível.
O fim do perímetro veio com a era da infraestrutura digital fluida – muitas vezes baseada em software – e distribuída, com usuários acessando dados críticos a partir de qualquer ponto geográfico e qualquer tipo de dispositivo. Essa realidade só pode avançar na postura de segurança quando o controle de acesso é algo sustentado 24×7, qualquer que seja o modelo da nuvem utilizado (pública, híbrida, privada, cloud, edge, fog).
André Kupfer, líder LATAM de Engenharia de Vendas na Hillstone.
