A jornada segura para a nuvem é complexa, mas alguns incidentes de segurança surgem a partir de erros simples e configurações errôneas no ambiente cloud.
Não há dúvidas de que a Amazon Web Services (AWS) é uma plataforma poderosa e versátil que oferece uma ampla gama de serviços em nuvem para as empresas que estão iniciando a sua jornada para esse tipo de infraestrutura — seja para armazenar dados, entregar aplicações ou qualquer outro uso que a sua criatividade pode pensar.
No entanto, a flexibilidade da AWS também pode levar a configurações errôneas que comprometem a segurança e a privacidade dos dados dos usuários — e é exatamente neste ponto que acontecem os tão temidos incidentes de segurança na nuvem.Neste artigo, vamos explorar quatro configurações errôneas comuns na AWS, explicando como elas funcionam, os perigos associados a cada uma delas e, o mais importante, o que você pode fazer para evitá-las.
Políticas excessivamente permissivas
As políticas de acesso na AWS determinam quem pode fazer o quê nos recursos do seu ambiente. Uma configuração errônea comum é a criação de políticas excessivamente permissivas, concedendo acesso não necessário a usuários ou serviços. Isso pode resultar em vazamento de dados, exclusão acidental de recursos ou até mesmo comprometimento da conta. Confira os principais perigos:
- Vazamento de dados: políticas excessivamente permissivas podem permitir que usuários não-autorizados acessem dados sensíveis;
- Exclusão acidental: um usuário com permissões exageradas pode excluir recursos essenciais por engano;
Como evitar?
- Princípio do menor privilégio: conceda apenas as permissões mínimas necessárias para realizar uma tarefa específica, respeitando o princípio de segurança de que cada colaborador só deve acessar aquilo que for crucial para o seu exercício profissional;
- Revisão regular: revise e atualize as políticas de acesso regularmente para garantir que apenas usuários autorizados tenham acesso aos ambientes, dados e arquivos estritamente necessários para suas tarefas.
Falta de Criptografia nos buckets S3
O Amazon Simple Storage Service (S3) é um serviço popular de armazenamento de objetos na AWS em espaços denominados buckets. No entanto, deixar de criptografar dados armazenados em buckets S3 (por padrão, tais ambientes não são criptografados, sendo de responsabilidade do usuário realizar tal configuração) pode expor informações sensíveis em caso de violação de segurança. Conheça alguns perigos:
- Violação de dados: dados não criptografados podem ser acessados por hackers em caso de uma violação de segurança;
- Não-conformidade: em algumas indústrias, a falta de criptografia pode violar regulamentações de conformidade.
Como evitar?
- Criptografia Server-Side: adote a criptografia server-side para proteger dados em repouso;
- Criptografia Client-Side: considere a criptografia client-side para adicionar uma camada extra de segurança, onde os dados são criptografados antes de serem enviados para o S3.
Uso indevido dos snapshots públicos RDS
Os snapshots no Amazon Relational Database Service (RDS) permitem fazer backups e restaurar bancos de dados de maneira fácil. No entanto, tornar esses snapshots públicos inadvertidamente pode levar a sérios problemas de segurança. Veja exemplos:
- Exposição de dados sensíveis: snapshots públicos podem conter dados sensíveis, que ficam acessíveis a qualquer pessoa com o link direto;
- Ransomware e ataques: criminosos cibernéticos podem explorar snapshots públicos para ataques de ransomware ou outras atividades maliciosas.
Como evitar?
- Controle de acesso: certifique-se de que apenas usuários autorizados tenham permissões para criar snapshots e ajuste as configurações de privacidade adequadamente;
- Monitoramento regular: monitore continuamente os snapshots para garantir que nenhum deles tenha sido definido como público de forma não-intencional.
Armazenar arquivos sensíveis em texto pleno no AWS Lambda
O AWS Lambda é um serviço de computação serverless que executa código em resposta a eventos. Armazenar credenciais ou dados sensíveis em texto pleno no código Lambda pode expor essas informações a qualquer pessoa com acesso ao código. Os perigos incluem:
- Vazamento de credenciais: armazenar credenciais em texto pleno pode levar a exposição de dados e informações sensíveis;
- Acesso não-autorizado: pessoas com acesso ao código podem utilizar informações sensíveis para atividades maliciosas.
Como evitar?
- Use variáveis de ambiente: armazene credenciais e outras informações sensíveis em variáveis de ambiente protegidas e referencie-as no código Lambda;
- Rotacione credenciais: Rotacione regularmente as credenciais armazenadas nas variáveis de ambiente para minimizar os danos em caso de vazamento.
Dicas simples, porém valiosas
Em resumo, a segurança na AWS requer uma combinação de boas práticas de configuração e monitoramento constante. Ao aderir ao princípio do menor privilégio, implementar criptografia adequada, controlar o acesso a snapshots e evitar armazenamento de dados sensíveis em texto pleno, você pode proteger seus recursos na AWS contra ameaças e garantir a segurança dos dados da sua organização.