Fase 5: Fundamentos de segurança na nuvem
Autor: Dayspring Johnson
Como esta fase se aplica à nuvem?
Segurança é o maior desafio da computação em nuvem. Como a adoção de nuvem continua a crescer, incidentes e vulnerabilidades de segurança neste ambiente também está em ascensão.
Os componentes individuais de nuvem que foram apresentados a você nas fases anteriores requerem segurança de uma forma ou de outra. Melhor ainda, a segurança deve ser considerada em todas as perspectivas para evitar que agentes mal-intencionados encontrem e explorem vulnerabilidades em nossos ambientes de nuvem que podem potencialmente levar ao comprometimento de dados ou da infraestrutura.
Aqui está um dos meus artigos favoritos feito por Christophe Tafani-Dereeper que aborda violações e vulnerabilidades de segurança na nuvem:
Eu também recomendo dar uma olhada em Securing DevOps: Security in the Cloud por Julien Vehent que cobre vários dos principais componentes para proteger a infraestrutura em nuvem, registro de logs, detecção de ameaças e entre outros. Ele inclusive tem recursos práticos e visuais que ajudam no aprendizado desses conceitos.
Outra recomendação de livro é Practical Cloud Security: A Guide for Secure Design and Deployment escrito por Chris Dotson. Este é uma ótima fonte complementar dos livros sugeridos anteriormente à medida que vai mais fundo em diversos conceitos, padrões, frameworks e princípios necessários para segurança na nuvem, e como o seu próprio nome incida, é prático.
Sempre se lembre disso, você não pode proteger o uqe você não entende, portanto certifique-se de entender os componentes arquitetônicos e principais da nuvem para que você possa protegê-los adequadamente.
Fontes
| Plataforma cloud | Título | Descrição |
|---|---|---|
| AWS, Azure & GCP | Hacking The Cloud | Hacking the cloud é uma enciclopédia de técnicas e táticas que são comuns na exploração na nuvem. |
| AWS | Flaws.Cloud | Através de uma série de níveis você irá aprender sobre os erros e pegadinhas mais comuns quando se está usando a Amazon Web Services (AWS). |
| AWS | Flaws2.Cloud | Similar ao Flaws.Cloud Challenge original este tutorial te ensina conceitos de segurança na AWS mas, dessa vez, a partir das perspectivas ofensiva e defensiva. |
| AWS | Cloud Goat | CloudGoat é uma ferramenta de implantação AWS "Vulnerável por Design" da Rhino Security Labs que permite aprimorar suas habilidades de segurança cibernética na nuvem criando e concluindo vários cenários de estilo "capture-the-flag". |
| AWS | Sadcloud | Sadcloud é uma ferramenta para ativar a infraestrutura insegura da AWS com Terraform. Você pode testar o seu conhecimento de segurança da AWS em relação a essas infraestruturas. |
| AWS | AWS Well-Architected Labs: Security | Os laboratórios de segurança são documentações e códigos no formato hands-on para ajudar você aprender, medir e construir usando as melhores práticas arquiteturais. |
| AWS | Fundamentos de detecção de ataques | Esta série de três partes explora uma cadeia de eliminação de ponta a ponta na AWS e entradas de log para detecção e análise. |
| Azure | Fundamentos de detecção de ataques | Esta série de três partes explora uma cadeia de eliminação de ponta a ponta na Azure e entradas de log para detecção e análise. |
| Azure | CONVEX | Um acrônimo para Cloud Open-source Network Vulnerability Exploitation eXperience, CONVEX ativa ambientes de captura de flags em seu tenant do Azure para você praticar. |
| Azure | Securing Azure Infrastructure - Guia Laboratório Hands-on | Um guia prático para proteger a infraestrutura usando vários controles de segurança da Azure. |
| Azure | Tecnologia de segurança Azure | Vários laboratórios cobrindo a segurança na Azure. |
| Azure | Criar um laboratório vulnerável do Azure | Uma série de quatro partes explicando as vulnerabilidades do Azure. |
| GCP | GCP GOAT | GCP-Goat é um ambiente GCP intencionalmente vulverável para aprender e praticar segurança na GCP |
| GCP | ThunderCTF | Thunder CTF permite praticar ataques de vulnerabilidade em projetos de nuvem da Google Cloud Platform (GCP). Em cada nível, você é encarregado de explorar uma implementação em nuvem para procurar um "inteiro" secreto armazenado dentro dele. |
| Kubernetes | Kubernetes Goat | Kubernetes Goat é um playground de aprendizagem sobre segurança Kubernetes. |
Projetos
| Plataforma nuvem | Título | Descrição |
|---|---|---|
| AWS | Threat Detection With AWS GuardDuty | Um tutorial que mostra como usar AWS GuardDuty para detectar ameaças. |
| AWS | AWS Threat Simulation & Detection | Esta doc mostra o uso do Stratus Red Team & SumoLogic para ataque & detecção/análise. Isto pode ser replicado usando qualquer outro SIEM. |
| Azure | Blog: Azure Cloud Detection Lab, Canal no YouTube: Azure Cloud Detection Lab | Um projeto hands-on mostrando como detectar ameaças em um ambiente Azure usando Azure Sentinel. |
| Azure | Tutorial SIEM para iniciantes | Tutorial Azure Sentinel - MAPA com ATAQUES CYBERNÉTICOS AO VIVO! | Um projeto hands-on mostrando como configurar um honeypot e analisando tráfego malicioso usando Azure Sentinel. |
Coisas que você deveria estar familiarizado ao final desta fase
- Um entendimento dos principais conceitos IAM (Users, Roles, Policies, Groups, Service Accounts/Principals, etc.)
- Um entendimento de como funciona autenticação na nuvem.
- Um entendimento de armazenamento/computação/redes/aplicações/entre outros seguros em nuvem.
- Vulnerabilidades de segurança comuns e configurações incorretas na nuvem.
- Como investigar os logs de nuvem e determinar se um ambiente nuvem foi comprometido.
- Como simular ataques contra ambientes nuvem.
- Como implementar infraestrutura vulnerável na nuvem para testar segurança.
- Conhecimento e uso de diversas ferramentas de segurança na nuvem.
Certificações que você pode querer dar uma olhada
- Certificação Cloud Security Professional
- Certificação Security Operations Analyst Associate da Microsoft
- Certificação Azure Security Engineer Associate da Microsoft
- Certificação AWS Security - Specialty
- Certificação Google Professional Cloud Security Engineer
Certificações práticas (treinamento incluído)
Essas são certificações menos conhecidas. Elas são focadas em fornecer o treinamento necessário, bem como certificações práticas, nas quais você coloca as habilidades que aprendeu em uso, em vez de clicar em perguntas de múltipla escolha.