AppsFlyer processa 80 terabytes de dados por dia em vários serviços de hospedagem em nuvem
Um dos maiores desafios de segurança cibernética que os CISOs enfrentam é como manter a proteção dos dados e a privacidade quando suas organizações transferem as cargas de trabalho para a nuvem. Em particular, como eles podem gerenciar os controles de segurança em um ambiente de somente uma nuvem?
Isso se torna mais importante à medida que as organizações migram para os serviços em nuvem devido à pandemia de Covid-19 e à mudança resultante para um modelo de trabalho em casa. Como a empresa de pesquisa International Data Corp. (IDC) observa em um relatório de outubro de 2020, a pandemia “provou ser um acelerador da adoção e extensão da nuvem e continuará a impulsionar uma conversão mais rápida para a TI centrada na nuvem”.
O IDC prevê que os gastos mundiais com serviços em nuvem, os componentes de hardware e software que sustentam os serviços em nuvem e as oportunidades de serviços profissionais e gerenciados em torno dos serviços em nuvem ultrapassarão US$ 1 trilhão em 2024, mantendo uma taxa de crescimento anual composta de dois dígitos, de 16%.
A nuvem em todas as suas permutações terá papéis cada vez maiores e até dominantes em todo o setor de TI em um futuro previsível, diz Richard Villars, Vice-Presidente do Grupo de Pesquisa Mundial do IDC. Até o final de 2021, a maioria das empresas colocará em prática um mecanismo para acelerar sua mudança para infraestrutura digital e serviços de aplicativos centrados na nuvem, diz ele.
Dada a crescente importância da nuvem, as empresas precisam descobrir como manter com eficácia um alto nível de segurança neste ambiente em mudança.
AppsFlyer, um provedor de plataforma de atribuição e análise de marketing móvel, oferece um bom exemplo de como isso pode ser feito.
O ambiente de TI da empresa é 100% nativo da nuvem, sem servidores locais. Sua plataforma usa vários serviços em nuvem de provedores, incluindo Amazon Web Services (AWS), Google Cloud, Microsoft Azure e Alibaba Cloud. O ambiente de nuvem se estende por cinco países e tem mais de 15.000 servidores que processam mais de 80 terabytes de dados por dia. A AppsFlyer opera uma das maiores implantações de AWS fora dos Estados Unidos com dezenas de milhares de recursos.
“Como a AppsFlyer é uma empresa baseada na nuvem, a maior ameaça e preocupação que temos é como escalar a segurança para gerenciar e validar todos os diferentes componentes que temos dentro de nosso ambiente, incluindo identidades, infraestrutura, rede e tudo ao seu redor”, diz Guy Flechter, que atuou como CISO na empresa até recentemente sair para trabalhar em uma startup.
“Isso é importante, pois precisamos ser capazes de oferecer suporte a todas as necessidades de segurança da organização, que abrangem as equipes de engenharia e DevOps e muito mais”, diz Flechter. “Se não formos capazes de dimensionar nossa segurança, eventualmente seremos forçados a dizer a algumas das equipes de nossa organização que não podemos apoiar certas iniciativas”.
A equipe de segurança da AppsFlyer fez da governança de identidade e do gerenciamento de direitos de acesso uma prioridade para 2020. Para desenvolvedores, DevOps e cientistas de dados, o objetivo era garantir que o acesso com privilégios mínimos fosse aplicado e que as políticas fossem apropriadas para cada perfil de usuário.
No entanto, era difícil controlar o uso de direitos de acesso no grande ambiente de nuvem. Além disso, a AppsFlyer queria auditar todos os direitos de acesso concedidos à infraestrutura para limitar o acesso de alto risco a recursos vitais, proteger o ambiente e remover usuários, funções e permissões não utilizadas.
Um dos grandes desafios foi fornecer visibilidade, uma vez que muitas peças móveis estão na nuvem e é fácil ativar mais recursos e infraestrutura, diz Flechter. “Por exemplo, os desenvolvedores podem adicionar novas instâncias e depósitos, [e] atribuir diferentes permissões de acesso e direitos”, diz ele.
Para enfrentar os vários desafios, a AppsFlyer implantou um sistema de gerenciamento de direitos da Ermetic. “Antes de selecionarmos o Ermetic, conduzimos uma avaliação muito abrangente dos produtos de gerenciamento de direitos de infraestrutura em nuvem com base nas necessidades de segurança”, diz Flechter. “O produto precisava dar suporte a vários provedores de nuvem. Queríamos a solução para dar suporte às operações e não apenas fornecer visibilidade. Ele precisava nos ajudar a corrigir as falhas de segurança. Por fim, queríamos a capacidade de corrigir problemas de dentro da ferramenta e integrar com nossas outras ferramentas de automação”.
“Eu considero uma ferramenta de segurança eficaz apenas se puder dar suporte a processos operacionais também”, diz Flechter. “Se ele apenas fornece boa visibilidade, então é um bom painel. [A plataforma] fornece os recursos operacionais necessários para apoiar as atividades que precisam ser realizadas com base na visibilidade que nos dá”.
AppsFlyer começou com uma implementação gradual da plataforma para cada um de seus diferentes ambientes de nuvem, um de cada vez. Foi fácil conectar-se a cada plataforma em nuvem, uma vez que todas oferecem suporte à integração da interface de programação de aplicativos (API) para permissões de leitura, diz Flechter. Cada conexão demorou menos de 15 minutos.
“Assim que começamos a gerar resultados do Ermetic, imediatamente começamos a ver as lacunas de segurança em nosso ambiente e começamos a abordá-las”, diz Flechter. A plataforma não exigiu nenhum ajuste fino para começar a descobrir os riscos, diz ele.
O sistema prioriza os problemas que precisam ser tratados primeiro, com base na sensibilidade e no risco do ativo. Um exemplo seria o acesso a um bucket AWS S3 que está aberto ao mundo exterior. Os buckets são recursos de armazenamento em nuvem pública disponíveis na oferta Simple Storage Service da AWS. “Isso seria sinalizado como uma permissão excessiva de prioridade mais alta, mesmo que a permissão em si não seja uma permissão administrativa privilegiada”, diz Flechter.
A equipe de segurança da AppsFlyer usou a plataforma para auditar todo o acesso de terceiros ao seu ambiente e removeu todos os aplicativos de software como serviço (SaaS), incluindo algumas ferramentas de segurança e otimização, que não estavam mais em uso. A equipe também revisou os aplicativos que tinham acesso privilegiado a dados confidenciais e removeu permissões desnecessárias.
O sistema de gerenciamento de direitos é apenas um dos componentes do programa de segurança da AppsFlyer. A empresa também está usando o Symantec Secure Access Cloud da Broadcom para autenticação e autorização de recursos na AWS. “Isso nos permite manter um gerenciamento de acesso granular e seguro, usando um perímetro definido por software para impor princípios de confiança zero”, diz Flechter.
AppsFlyer também usa uma ferramenta de proteção de carga de trabalho em nuvem da Rezilion que permite à empresa reduzir sua superfície de ataque e proteger contra atividades maliciosas; a Salt Security API Protection Platform para proteger APIs que se conectam aos recursos de nuvem da AppsFlyer e impedir ataques que tentam manipular as APIs de serviço em nuvem da empresa; e GuardDuty da Amazon para detecção de ameaças. O GuardDuty monitora continuamente atividades maliciosas e comportamento não autorizado para proteger contas, cargas de trabalho e dados armazenados na AWS.
Com seu portfólio de tecnologias de segurança em vigor, a AppsFlyer agora tem total visibilidade de seu ambiente de nuvem, em diferentes contas e diferentes provedores de nuvem, o que não tinha antes. “Também temos a capacidade de automatizar a correção de falhas de segurança e continuar a expandir para outras áreas, como resposta a incidentes”, diz Flechter.
A empresa pode identificar e corrigir pontos cegos de segurança na nuvem de maneira mais econômica, diz Flechter. “Sabemos com confiança exatamente onde estão nossos riscos em cada ambiente de nuvem, o que precisa ser tratado e temos a automação necessária para corrigi-los”, diz ele. “Podemos nos aprofundar em um ambiente específico, mas o fato de termos uma visão global de todos os quatro ambientes de nuvem em um único lugar é inestimável para nós”.
Um dos maiores benefícios é que a AppsFlyer agora tem uma compreensão maior de identidades e suas permissões. “Podemos localizar imediatamente as permissões não utilizadas e eliminá-las”, diz Flechter. “Isso nos permite impor acesso de confiança zero de forma contínua e automatizada. Temos um gerenciamento de postura de segurança muito melhor do que antes”.
