Seções iMasters
Cloud Computing + Segurança

Explorando os riscos de segurança no IBM Cloud

O IBM SmartCloud Enterprise (IBM Cloud) emprega um modelo de responsabilidade compartilhado para segurança. A IBM fornece uma infraestrutura de gerenciamento, física e logicamente segura, e ambientes de sistema operacional base para os clientes desenvolverem implementações em um ambiente de nuvem público. Nesse ambiente, o cliente assume a responsabilidade por manter a segurança dos recursos virtuais depois que eles são fornecidos.

O IBM Cloud é uma oferta de Infrastructure as a Service (IaaS) ágil na nuvem, projetada para fornecer acesso rápido aos ambientes de servidor virtual de classe corporativa. Especificamente, é uma oferta na nuvem com múltipla tenacidade hospedada pela IBM na qual os clientes compartilham uma infraestrutura comum. Esse compartilhamento permite que os clientes aproveitem as vantagens de uma alternativa de baixo custo com relação a outras soluções de infraestrutura.

Este artigo descreve o modelo de responsabilidade compartilhado e os tópicos que você deve considerar ao fornecer uma máquina virtual no IBM Cloud.

Abordagem de responsabilidade compartilhada

O IBM Cloud usa uma abordagem de responsabilidade compartilhada com relação à segurança. Ou seja, a IBM detém a segurança da infraestrutura de gerenciamento na nuvem (hypervisor e abaixo) e o cliente detém todos os aspectos da segurança acima do hypervisor. A imagem abaixo ilustra a divisão dessas responsabilidades: 

Responsabilidades da IBM

Conforme mencionado, a IBM detém a responsabilidade pela infraestrutura física que compõe o ambiente do IBM Cloud e por todos os componentes a partir do nível do hypervisor para baixo. Veja a seguir especificidades sobre as partes do IBM Cloud pelas quais a IBM é responsável.

Segurança física

A IBM tem uma história longa no negócio de datacenter e hospedagem com muitos locais no mundo todo. Hoje, o IBM SmartCloud Enterprise aproveita ao máximo os locais nos EUA, Canadá, Alemanha, Japão e Cingapura, explorando a experiência, as ferramentas e as abordagens que a IBM já possui para segurança física. Entre elas estão, mas não se limitam a:

  • O Digital closed circuit television (CCTV) dentro do datacenter é gravado 24 horas por dia, 7 dias na semana, ou com base em eventos (ativado por movimento). Os dados de vigilância do CCTV são mantidos por no mínimo 30 dias;
  • As portas de acesso do datacenter são equipadas com alarme local audível;
  • Um controlled access system (CAS) baseado em computadores usa leitores de crachá para restringir o acesso apenas às pessoas com aprovação para entrar em áreas controladas. Todas as entradas e saídas nessas áreas são registradas;
  • Há segurança biométrica e por cartão nos locais apropriados;
  • A função de bloqueio de passagem dupla (badge-out) impede que vários usuários usem o mesmo crachá para a entrada no datacenter;
  • O design da instalação e proteção contra incêndio ajuda a impedir falhas em cascata de outros sistemas.

Gerenciamento de hardware e software abaixo do hypervisor

A IBM fornece o gerenciamento e manutenção do ambiente de fornecimento, incluindo o próprio hypervisor, rede física e infraestrutura de hardware subjacente. Esses sistemas são gerenciados usando processos baseados em ITIL (Information Technology Infrastructure Library).

Os processos de gerenciamento de Ti internos da IBM são rigidamente aplicados e auditorias internas são realizadas regularmente. A IBM aproveita os produtos disponíveis comercialmente e ferramentas internas para gerenciar a infraestrutura. Estão incluídas ofertas de serviço como o IBM Managed Security Services para proteção contra intrusão e exames de vulnerabilidade.

A IBM realiza exames regulares de vulnerabilidade, gerenciamento de correção, verificação automatizada do funcionamento e revisões de código do ambiente do IBM Cloud, incluindo a infraestrutura de rede.

Sistema de prevenção de intrusão/detecção de intrusão (IPS/IDS)

Um IPS/IDS é aplicado na infraestrutura da IBM em tempo real. O IPS/IDS protege um pouco as máquinas virtuais do cliente.

Segurança do portal de autoatendimento e de interfaces de programação de aplicativos (APIs) 

Um usuário pode fornecer os recursos no ambiente do IBM Cloud de duas maneiras:

  • Com o portal de autoatendimento do IBM Cloud;
  • Com as APIs do IBM Cloud.

A infraestrutura usada para implementar esses pontos de entrada é implementada em instalações protegidas da IBM usando uma arquitetura multicamada e por zona. Esses recursos estão sujeitos aos rígidos requisitos e processos de segurança interna da IBM, e a IBM usa ofertas e produtos reconhecidos (como o Rational AppScan) para verificar, monitorar e gerenciá-los. Todas as comunicações com esses recursos entre o cliente do consumidor (por exemplo, um navegador da web ou um aplicativo personalizado usando APIs) são protegidas usando Secure Sockets Layer (SSL) sobre Hypertext Transport Protocol (HTTP).

Catálogo público de imagem

A IBM fornece um catálogo público de imagens de sistema operacional e de middleware. Essas imagens são desenvolvidas de acordo com a especificação de nossos fornecedores e de organizações do IBM Software Group. O gerenciamento de correções das imagens base no catálogo é de responsabilidade da IBM e obedece às normas internas da IBM para implementação de correções relacionadas à segurança. Essas imagens são atualizadas regularmente e conforme o necessário com “hotfixes”.

Assim que um cliente fornece uma instância do catálogo do IBM Cloud, o cliente é responsável por todo o gerenciamento de correções dessa instância em execução e por quaisquer imagens criadas a partir dessa instância. Os clientes devem sempre verificar se as instâncias que fornecem aderem às normas de segurança de suas próprias empresas.

Responsabilidades do cliente

Como parte do modelo de responsabilidade compartilhado do IBM SmartCloud Enterprise, o cliente é responsável por todos os aspectos de segurança dos recursos fornecidos no ambiente da nuvem. As seções a seguir examinam com mais detalhes grande parte, mas não tudo, do que isso engloba.

Gerenciamento de identidade e controle de acesso 

Há dois aspectos do gerenciamento de identidade em um ambiente de nuvem:

  1. O ambiente de fornecimento do IBM Cloud;
  2. O sistema operacional convidado.

Para o gerenciamento de identidade no ambiente de fornecimento do IBM Cloud, o sistema padrão de IBM Web Identity usado por todos os sistemas ibm.com é empregado.

Após um cliente se inscrever para o serviço IBM Cloud, o ID especificado durante o processo de inscrição é designado como um administrador de conta corporativa. Por meio do portal de autoatendimento do IBM Cloud, o administrador da conta tem a capacidade de adicionar, excluir e modificar IDs de usuários adicionais que podem ser usadas para fornecer recursos da nuvem, como instâncias, imagens e armazenamento.

Ao adicionar outros IDs de usuário ao ambiente de fornecimento do IBM Cloud, é responsabilidade do cliente gerenciar todos os IDs de usuário da conta com base em seus próprios requisitos.

Algumas melhores práticas comuns para gerenciamento de ID são (mas não estão limitadas a):

  1. Processo de solicitação de ID do usuário;
  2. Processo de aprovação de ID do usuário;
  3. Processo de revalidação de ID do usuário;
  4. Processo de revogação de ID do usuário;
  5. Diretrizes de gerenciamento de senha;
  6. Diretrizes de força da senha;
  7. Exigir que os usuários realizem alterações regulares na senha.

Assim que uma máquina virtual é fornecida no IBM Cloud, o gerenciamento de identidade para o sistema operacional, em execução na máquina virtual, precisa ser abordado. Esse aspecto do gerenciamento de identidade é de responsabilidade do cliente que forneceu a máquina virtual.

Por padrão, quando uma máquina virtual é fornecida no IBM Cloud, o único acesso a essa instância fica restrito. Esse acesso varia de acordo com o sistema operacional da instância virtual:

  • Para Red Hat ou SuSE Linux: um único ID do usuário é ativado no sistema operacional para acessar remotamente a instância por meio do SSH com a chave criada pelo usuário do IBM Cloud que forneceu a instância.
  • Para Microsoft Windows: um único ID do usuário e senha são especificados pelo usuário do IBM Cloud no momento em que a instância é fornecida. Essa combinação de ID/senha pode ser usada para acessar a instância por meio da conexão de desktop remoto da Microsoft.

Neste ponto, o proprietário da instância pode implementar quantos sistemas de gerenciamento de identidade quiser na máquina virtual em execução. Isso pode incluir o sistema operacional padrão, um repositório de usuário comum, como LDAP ou Microsoft Active Directory, ou algum outro sistema de gerenciamento de identidades de terceiros.

Sistemas operacionais convidados

O IBM Cloud fornece um ambiente de autoatendimento para fornecimento de recursos da nuvem. A IBM emprega uma política de “não encoste” para todos os recursos fornecidos pelo cliente; em outras palavras, assim que um cliente fornece um recurso no IBM Cloud, ele se torna responsável por toda segurança desse recurso acima das camadas física e do hypervisor.

Quando um cliente fornece uma instância (máquina virtual) no ambiente do IBM Cloud, ele recebe privilégios raiz ou de administrador no sistema operacional convidado. Com esse nível de privilégio, os clientes podem proteger os recursos fornecidos com base em seus requisitos ou normas internas.

A lista a seguir contém tarefas que todo cliente deve considerar ao gerenciar os recursos fornecidos. Observe que essa lista não engloba tudo, e os clientes devem gerenciar seus recursos de sistema operacional na nuvem com o mesmo cuidado que têm para gerenciar os recursos contidos em suas próprias empresas.

  • Gerenciamento de correções e correções de segurança: os fornecedores de sistema operacional corrigem regularmente seus produtos a fim de atenderem às novas ameaças, e o cliente controla totalmente até que ponto e quando essas correções são aplicadas. A IBM sugere que os clientes monitorem regularmente os boletins de segurança do fornecedor de sistema operacional e apliquem as atualizações e correções de acordo com seus requisitos.
  • Proteção de software adicional: ao instalar, configurar e gerenciar qualquer software no sistema operacional convidado, o cliente deve tomar cuidado para proteger adequadamente o software e qualquer acesso ao sistema que ele possa expor. Os fornecedores de software corrigem regularmente seus produtos quando encontram vulnerabilidades de segurança. A IBM sugere que os clientes monitorem regularmente os boletins de segurança do fornecedor de software e apliquem as correções quando necessário.
  • Criando e implementando políticas de segurança no sistema operacional convidado: inclua o seguinte (mas não se limite a):
    • Políticas de firewall no sistema operacional convidado;
    • Proteção e distribuição de chaves SSH do sistema operacional convidado;
    • Criptografia de dados no sistema operacional;
    • Escolha de software antivírus, quando apropriado;
    • Remoção de pacotes e serviços considerados desnecessários.

Acesso à rede

Por padrão, cada instância (máquina virtual) fornecida no IBM Cloud recebe um ou mais endereços IP roteáveis publicamente e é acessada por meio da Internet.

Uma oferta opcional do IBM Cloud é um serviço de rede privada virtual (VPN). Cada VPN opcional fornece ao cliente um túnel VPN baseado em Internet Protocol Security (IPsec) sobre a Internet entre o gateway compatível com IPsec de um cliente e um datacenter do IBM Cloud. Com a opção de VPN, o cliente receberá uma rede local virtual (VLAN) privada. Com a opção de VPN, quando o cliente fornecer uma instância, ele poderá escolher entre fornecer a instância na VLAN pública ou na VLAN privada. A opção de VPN fornece ao cliente uma comunicação criptografada de dados sobre a Internet e um nível adicional de isolamento dentro da rede virtual do IBM Cloud.

Sob a opção de VPN, um cliente pode fornecer uma instância que engloba a VLAN pública e a VLAN privada do cliente. Essa capacidade permite uma flexibilidade superior na criação de arquiteturas de implementação com camadas no IBM Cloud. Essa capacidade deve ser protegida usando firewalls de software (aqueles que vêm com o sistema operacional ou de terceiros) a fim de limitar o acesso ao host e à porta. Para obter mais informações sobre esse recurso, leia o artigo do developerWorks: “Dica do IBM SmartCloud Enterprise: Amplie as redes locais virtuais.”

Regras do hypervisor e do firewall convidado

O IBM Cloud permite que os clientes configurem regras personalizadas de firewall nos níveis do host e do sistema operacional convidado. Cada imagem também é configurada por padrão para executar regras do firewall do software que realizarão a filtragem de porta nominal. Imagens de Linux são configuradas para usar IPTables e permitem, por padrão, a porta TCP 22 (SSH). As instâncias do Windows são configuradas para permitir a porta TCP 3389 (RDP) por padrão.

Ao criar uma imagem personalizada e gerenciar o arquivo parameters.xml, os clientes podem configurar regras de firewall baseadas em host. Esse recurso proporciona ao cliente a capacidade de filtrar o tráfego da rede antes que ele seja enviado ao sistema operacional convidado. Para obter mais informações sobre como realizar essas personalizações, consulte a documentação disponível na seção de suporte do painel de controle de computação na nuvem como um recurso chamado “Creating and customizing images” (você precisa estar conectado com sua conta do IBM Cloud). É possível encontrar mais informações sobre como usar o arquivo de imagem parameters.xml nestes artigos do developerWorks:

Por meio do Firewall do Windows ou do IPTables nos sistemas Linux, os clientes sempre podem adicionar outras camadas de proteção à sua instância.

Controle de dados

Conforme afirmado anteriormente, o acesso padrão ao sistema operacional da máquina virtual serve para permitir privilégios totais ao cliente. Como resultado, os clientes têm controle total sobre a forma que os dados são manipulados dentro de seus ambientes do IBM Cloud. Um cliente pode implementar qualquer conjunto de ferramentas de software para mover os dados e é responsável pela manutenção desse conjunto de ferramentas e pela administração de quaisquer controles de acesso. Talvez os clientes queiram considerar medidas de segurança adicionais para seus dados, como a criptografia do sistema de arquivos.

A IBM tem uma política de não mover ou migrar os recursos fornecidos por um cliente (imagens, instâncias, armazenamento persistente etc.) de um datacenter para outro. Quando o cliente fornece um recurso, ele escolhe em qual datacenter esse recurso será fornecido. Essa política pode ser importante para clientes com preocupações de segurança relacionadas à movimentação dos dados fora de determinadas áreas geográficas.

Opções de configuração adicionais do cliente

As seguintes opções de configuração podem ser importantes para os clientes:

  • As regras de firewall podem ser usadas no hypervisor e em iptables (no Linux) ou no Firewall do Windows (no Windows Server) no convidado a fim de fornecer uma defesa mais avançada.
  • Em um sistema operacional Linux, autorizações de usuário privilegiado podem ser acessadas pelo uso de sudo com IDs de usuário discretos para cada usuário. sudo pode ser usado para conceder privilégios de execução como outros IDs de middleware do sistema (por exemplo, db2user) .
  • A autenticação com chave SSH pode ser usada nas instâncias do Linux.
  • Senhas iniciais e chaves SSH podem ser alteradas imediatamente após assumir o controle de uma instância.É comum configurar as contas para forçar uma alteração de senha no primeiro login.
  • O IBM Cloud permite a implementação de funções de monitoramento ou de aplicativos que monitorem a segurança do convidado.
  • O IBM Cloud permite a implementação de auditoria e criação de log do convidado, quando apropriado.
  • Um cliente pode escolher não permitir o acesso do root às instâncias.
  • Contas de usuário além das contas padrão. Use algo diferente do nome de conta padrão de middleware para ajudar a impedir o comprometimento das contas. Nomes de conta comuns ou conhecidos são frequentemente explorados, pois já são conhecidos.
  • Restrição do acesso remoto apenas às contas que precisam dele.
  • Remoção de quaisquer pacotes ou softwares desnecessários de uma instância.
  • Determinar se quaisquer serviços não desnecessários. Interrupção e desativação ou remoção de serviços que não são considerados necessários.
  • O IBM Cloud permite que um cliente realize verificações de rotina de ativos voltados para a Internet.
  • Adição de um Intrusion Detection System (IDS) baseado em host.
  • Como verificar e aplicar regularmente correções nos sistemas operacionais, software e middleware.

Conclusão

Essa discussão do modelo de responsabilidade compartilhada para segurança na nuvem usado pela IBM no IBM Cloud o alerta com relação às suas responsabilidades de segurança como um cliente e fornece sugestões para ajudá-lo a corrigir quaisquer falhas de segurança possíveis que você possa estar abrindo ao fornecer uma instância no IBM Cloud.

Recursos

Aprender

Obter produtos e tecnologias

Discutir

***

Sobre os autores:

Mitchell DeKeyrel é Technical Solution Architect com mais de 13 anos de experiência na IBM; antes, ele passou cinco anos dando prioridade a gerenciamento de Infraestrutura e Sistemas em grandes ambientes de laboratório, bem como datacenters de produção. Ele foi Chief Application Architect para a IBM CIO Enterprise Content Management Solution e passou sete anos trabalhando para o escritório IBM CIO. Ele trabalhou em todo o negócio para entender e interpretar os requisitos do usuário e definir o roteiro para mudanças de aplicativo ECM com base nas tendências do setor. Mitchell trabalhou com especialistas no assunto em todo o espaço de ECM para identificar oportunidades de integração com outros aplicativos estratégicos e produtos IBM. Atualmente, Mitchell está trabalhando em Cloud Service Enablement para a divisão GTS da IBM.

Matt Waldbusser, líder de Cloud Service Enablement para a Divisão GTS da IBM, está com a IBM há 12 anos. Nos últimos 6 anos, ele se concentrou em permitir que os clientes implementassem soluções middleware da IBM nos segmentos de mercado de computação em nuvem, assistência médica, viagem, transporte e ciências biológicas.

Andrew R. Jones é arquiteto de solução senior com mais de 22 anos de experiência na IBM. Durante os últimos 16 anos, ele se concentrou na capacitação do cliente e do parceiro de negócios nas soluções de middleware da IBM em computação em nuvem, telecomunicações, tecnologia sem fio e computadores em rede. Andrew é IBM Master Inventor e IT Architect certificado.

Qual a sua opinião?