Rhand Leal
setembro 27, 2016
Em um artigo anterior, escrevi sobre segregação de rede considerando uma estrutura de rede física (veja: Requisitos para implementar segregação de rede de acordo com o controle A.13.1.3 da ISO 27001), e enquanto os conceito apresentados lá ainda são válidos quando você considera segregação de rede em ambientes de computação em nuvem, algumas novas considerações devem ser feitas.
Ambientes em nuvem adicionam um novo conjunto de aspectos de segregação de rede que podem colocar em perigo tanto usuários quanto provedores de serviços em nuvem, e estes deveriam ser apropriadamente avaliados e tratados. Neste artigo, darei uma visão geral sobre estes novos aspectos e como a ISO 27017, um código de prática para segurança da informação para serviços em nuvem, pode ajudar a tratar e definir adequadamente controles de segurança.
Toda a comunicação em ambientes em nuvem passa pelo assim chamado hypervisor, um software que gerencia todas as máquinas virtuais em um servidor hospedeiro. Para cada máquina virtual criada, o hypervisor designa ao menos uma interface de rede virtual que funciona da mesma forma que uma interface física.
Além disso, o hypervisor pode criar “switches virtuais” que, assim como os switches físicos, gerencia grupos de máquinas que podem se comunicar diretamente entre si e limita o tráfego de broadcast. O hypervisor pode criar tantos switches virtuais quanto os recursos da máquina hospedeira permitirem, e cada um pode ser configurado para um conjunto particular de máquinas.
Quando é necessário para uma máquina virtual se comunicar com algo for a do servidor hospedeiro, o hypervisor também gerencia a comunicação daquela máquina com a interface de rede do servidor físico.
Mas, a principal funcionalidade do hypervisor, a que permitiu a proliferação da computação em nuvem, foi a capacidade dos hypervisors de se comunicarem entre si, o que significa que toda uma máquina virtual pode ser movida de um hospedeiro físico para outro (como um grande arquivo), provendo alocação dinâmica de recursos (ex.: se você tem uma máquina virtual que requer mais recursos e o hospedeiro atual não pode atender a tal demanda, você pode simplesmente mover aquela máquina virtual para outro servidor físico mais robusto sem comprometer a máquina virtual).
Os principais impactos relacionados a falha em se implementar uma segregação de rede em nuvem apropriada são:
Considerando o cenário anterior, podemos identificar os seguintes riscos relacionados com a segregação de redes em nuvem:
Como declarado antes, basicamente todas as recomendações incluídas no controle A.13.1.3 (segregação em redes) da ISO 27001, e detalhadas na ISO 27002, São aplicáveis para segregação de redes em nuvem, mas algumas delas podem ser mais detalhadas pela ISO 27017 em termos de segregação de tráfego.
Normalmente, a segregação de tráfego considera o tráfego de produção (acesso de usuários aos serviços em nuvem), tráfego de gerenciamento (acesso de administradores ao hypervisor e funcionalidades de gestão de rede), e tráfego operacional (ex.: tráfego de áreas de armazenamento em rede). No caso de uma rede em nuvem, um tipo adicional de tráfego deveria ser considerado: o tráfego do próprio hypervisor (as informações sobre máquinas e switches virtuais). Adicionalmente, o tráfego de produção deveria ser segregado em nível de cliente (diferentes clientes, diferentes rotas de rede).
Específico da ISO 27017, existem três recomendações de controles:
A otimização de recursos provida pela infraestrutura de nuvem tem permitido grandes reduções de preço na provisão de serviços em nuvem como um negócio, atraindo muitas organizações para esta solução. Mas, prover um ambiente compartilhado requer muito planejamento e controle para minimizar o risco de acesso não autorizado acidental ou intencional as informações de clientes.
Ao adotar os controles da ISO 27001 e as recomendações da ISO 27017, um provedor de serviços em nuvem pode melhorar seu controle sobre os recursos em nuvem, segregando-os em níveis que permitirão a correta alocação de recursos sem deixar as informações desprotegidas.
Para aprender mais sobre segregação de redes, por favor veja nosso treinamento online gratuito: ISO 27001:2013 Foundations Course.