| Live # | Título da Live | Gravação | Slide Deck | PDF Version | Lab Repo |
|---|---|---|---|---|---|
| Live #01 | Cibersegurança para todos: uma abordagem leve sobre riscos e tendências |  |
 |
 |
|
| Live #02 | Apertem os cintos: Evitem turbulência de redes em Cloud | |
|
|
|
| Live #03 | Sobrevoando nuvens e protegendo aplicações | |
|
|
Sejam bem-vindos ao conteúdo de Security pensado especialmente para você que participou das lives do Bonde da Fortinet no LinuxTips até aqui!! Dentro desse repositório você pode conferir os conteúdos abordados durante as 2 lives que fizeram parte do bonde (e claro que da live introdutória também).
Aqui abaixo você encontra um resumo simples sobre alguns dos pontos que tiveram de dúvidas durante as lives, porém fiquem à vontade para perguntar mais coisas aqui (ou via Live Gravada no YouTube). Vou tentando deixar tudo sempre atualizado por aqui ;)
Quando o assunto é segurança de rede em nuvem, é extremamente importante entender conceitos fundamentais de rede & roteamento, bem como camadas de segurança nativas de nuvem. Abaixo você encontra alguns deles, mas lembre-se que a live foi gravada e está disponível no link do YouTube na tabela de referêcia das lives (ali em cima).
| AWS | Azure | GCP | OCI | Conceito |
|---|---|---|---|---|
| VPC | vNET | VPC | VCN | Rede privada usada para criar recursos e mantê-los segmentados |
| Subnet | Subnet | Subnet | Subnet | Segmento de rede que fica dentro das Redes Privadas |
| VPC Peering | vNET Peering | VPC Peering | VCN Peering | Conexão entre diferentes Redes Privadas |
| Transit Gateway | Virtual WAN | Network Connectivity Center | Dynamic Routing Gateway | Forma de interconectar várias Redes Privadas entre si. |
| Instância EC2 | Máquina Virtual | Compute Engine | Máquina Virtual | IaaS - Máquina Virtual |
| Elastic LB | Load Balancer | Cloud LB | Load Balancer | Balanceador de Carga que direciona o tráfego às aplicações |
Uma das características mais poderosas desse tipo de arquitetura é que as Landing Zones permitem uma grande personalização para atender aos objetivos de negócio de cada empresa. Uma vez que um modelo de configuração tenha sido criado dentro de uma Landing Zone, ele pode ser utilizado para novos serviços em nuvem. Isso acelera a implantação e garante a uniformidade das políticas de segurança.
Dentro desse conceito de Landing Zones, geralmente podemos determinar:
- O número de contas a serem criadas para isolamento adequado de recursos e dados.
- Configurações de firewall alinhadas com políticas de gerenciamento de tráfego de rede.
- Controles de acesso que atendam aos requisitos de proteção de dados.
- Arquitetura de rede para garantir o isolamento do tráfego interno em relação ao tráfego externo.
- Um modelo operacional geral para migração de dados ou futuros serviços em nuvem.
Todo esse conceito permite com que os ambientes em nuvem pública tenham/forneçam:
-
Maior Controle de Segurança:
As Landing Zones oferecem uma base robusta para a segurança e permitem a personalização de políticas através das contas. Existem também oportunidades para incorporar serviços de gestão de identidade e acesso (IAM) nas configurações, atribuindo permissionamento apenas às pessoas que realmente deveriam acessar tais recursos. -
Isolamento de dados
Em Landing Zones com múltiplas contas, as equipes de nuvem podem conter potenciais ameaças de segurança dentro de uma conta sem afetar as outras. Elas também podem limitar quem tem acesso aos dados, prevenindo a exposição de informações pessoais (PII), estando em aderência à diferentes regulamentações, como a LGPD por exemplo. -
Redução da complexidade
As Landing Zones tornam a gestão dos workloads mais simples, já que o design é definido uma vez, sendo depois utilizado sempre que necessário de acordo com as necessidades do negócio. -
Vantagem competitiva
Ao simplificar processos e tornar as implantações mais diretas, você pode criar novos produtos e implantá-los de uma forma mais rápida.
Para aqueles que estiverem acostumados com conceitos de rede tradicionais (geralmente visto em ambientes on-premises), o modelo HUB & Spoke nada mais é que uma topologia Estrela. Topologia essa que determina que um ponto central dentro do ambiente é responsável por permitir ou negar comunicação entre redes e/ou segmentos de rede distintos após realizar a inspeção de tráfego necessária. Dentro de uma arquitetura Hub & Spoke, temos um desenho muito semelhante ao que vimos na sessão anterior (Landing Zones). Porém, para simplificar, vamos ao desenho abaixo:
Considere o ponto central (HUB) como sendo o centralizador de toda comunicação de rede. Todo tráfego vindo de uma Spoke com destino à qualquer outra Spoke seria inspecionado. Mas não só isso, todo tráfego que entrar pelo HUB com destino à alguma aplicação ou recurso provisionado em nuvem (ingress) também teria seu fluxo sendo inspecionado principalmente pensando em ataques visando explorar alguma possível vulnerabilidade nessa aplicação. Outro ponto importante é que esse mesmo HUB pode servir também para inspecionar tráfego de saída (egress), evitando diferentes tipos de vazamento de dados, sempre de acordo com o que estiver configurado nas políticas das ferramentas de inspeção. Outro ponto extramamente interessante é que ao utilizar uma arquitetura com base no modelo Hub & Spoke, toda a parte de conexão entre diferentes ambientes (diferentes Provedores de Cloud e/ou diferentes Regiões) podem ser facilmente conectados entre si, permitindo com que os melhores recursos de cada provedor de nuvem sejam utilizados, sem perder agilidade nem segurança. Principalmente considerando a possibilidade de utilizar um roteamento com base em aplicação, latência, jitter, dentre outras métricas para sempre ter o tráfego roteado pelo caminho em que possibilita uma melhor experiência aos usuários (SD-WAN).
