Skip to main content

Melhores Práticas na Gestão de Grupos de Segurança

Introdução

Grupos de segurança são elementos fundamentais na infraestrutura de nuvem pública. Eles atuam como firewalls virtuais, controlando o tráfego de entrada e saída dos recursos. Uma gestão eficiente dos grupos de segurança é essencial para garantir a proteção, o desempenho e a conformidade dos seus sistemas na nuvem.

Melhores Práticas

  1. Aplicar o Princípio do Menor Privilégio

    • Descrição: Conceda apenas as permissões estritamente necessárias para o funcionamento dos recursos.
    • Implementação: Evite regras que permitam todo o tráfego (0.0.0.0/0). Especifique endereços IP ou intervalos de IP específicos sempre que possível.

  2. Segregar Grupos de Segurança por Função

    • Descrição: Crie grupos de segurança distintos para diferentes camadas ou funções da aplicação (web, aplicação, banco de dados).
    • Implementação: Isso facilita o gerenciamento e reduz o risco de configurações incorretas que possam expor recursos indevidamente.

  3. Definir Regras Específicas de Entrada e Saída

    • Descrição: Limite as portas e protocolos aos estritamente necessários.
    • Implementação: Permita apenas o tráfego nas portas e protocolos essenciais, bloqueando todo o restante por padrão.

  4. Realizar Revisões Periódicas

    • Descrição: Audite regularmente as regras dos grupos de segurança para identificar e remover excessos.
    • Implementação: Estabeleça um cronograma de revisões e documente as alterações para manter um histórico.

  5. Restringir Acesso por Origem

    • Descrição: Limite o acesso apenas às origens necessárias.
    • Implementação: Especifique endereços IP de origem ou blocos CIDR em vez de permitir acesso amplo.

  6. Automatizar Configurações com Infraestrutura como Código

    • Descrição: Gerencie grupos de segurança através de scripts e ferramentas de automação.
    • Implementação: Use soluções como Terraform para versionar e controlar mudanças.

  7. Educar a Equipe

    • Descrição: Garanta que todos os envolvidos estejam cientes das melhores práticas de segurança.
    • Implementação: Promova treinamentos e atualizações regulares sobre políticas e procedimentos de segurança.

  8. Integrar com Políticas de Segurança Corporativas

    • Descrição: Alinhe as configurações com as diretrizes e regulamentações internas e externas.
    • Implementação: Assegure conformidade com normas como GDPR, LGPD, HIPAA, entre outras aplicáveis.

  9. Evitar a Liberação de Portas Não Recomendadas

    • Descrição: Não abra portas conhecidas por serem vulneráveis ou desnecessárias para o funcionamento da aplicação.
    • Implementação:
      • Porta 23 (Telnet): Evite seu uso, pois transmite dados em texto plano sem criptografia.
      • Porta 21 (FTP): Similar ao Telnet, não é seguro para transferência de dados sensíveis.
      • Portas 135-139 e 445 (NetBIOS/SMB): Comumente exploradas para ataques; bloqueie se não forem necessárias.
      • Porta 3389 (RDP): Se precisar liberar, restrinja o acesso a endereços IP específicos ou use VPN.
      • Portas 1433-1434 (SQL Server) e 1521 (Oracle SQL): Restrinja o acesso aos bancos de dados apenas para fontes confiáveis.
      • Porta 25 (SMTP): Se não estiver configurando um servidor de e-mail, evite liberar para prevenir spam e abuso.
        • Por padrão, a MGC bloqueia pacotes de saída enviados para a porta de destino TCP 25 quando o destino é um endereço IP externo. Esse bloqueio não se aplica a pacotes de saída enviados para a porta de destino TCP 25 de um endereço IP interno. Essa restrição existe para prevenir abusos e mitigar riscos relacionados a spam, pois a porta 25 é comumente utilizada para transmissão de e-mails não autenticados.
        • Recomendação: Utilize a porta 587 para envio de e-mails autenticados com TLS, garantindo uma conexão segura.
    • Dica: Utilize alternativas seguras como SSH (porta 22) em vez de Telnet e protocolos FTPS ou SFTP em vez de FTP.

A gestão adequada dos grupos de segurança é vital para proteger seus recursos na nuvem. Ao seguir estas melhores práticas, você minimiza riscos, assegura a conformidade e mantém a integridade e disponibilidade dos seus sistemas.

Prevenção de Bloqueio de Acesso a VMs: Melhores Práticas para Configuração de Grupos de Segurança

Para evitar situações de perda de conectividade ou bloqueios ao protocolo SSH e RDP ao acessar suas VMs, siga estas melhores práticas na configuração de Grupos de Segurança:

  1. Manter Regras de Saída (Outbound) Padrão:

    • Verifique se as regras de saída nos Grupos de Segurança estão configuradas para permitir tráfego TCP em portas essenciais (como a porta 22 para SSH e a porta 3389 para RDP). Configurações incorretas podem resultar em falha de conexão, mesmo que as regras de entrada estejam liberadas.
    • Permitir o tráfego de saída (0.0.0.0/0) pode ser necessário para certos protocolos que exigem resposta do destino, como SSH, RDP e ICMP (ping).

  2. Configurar Regras de Entrada e Saída em Conjunto:

    • Ao configurar as regras de segurança, é importante definir tanto as regras de entrada (IN), que permitem o acesso aos serviços (ex: porta 22 para SSH), quanto as de saída (OUT), que garantem a comunicação bidirecional.
    • Para SSH, adicione uma regra de saída que permita o tráfego TCP para o intervalo de portas dinâmicas (1024 a 65535) para a origem que irá estabelecer a conexão. Isso é fundamental para evitar a perda de conectividade durante a comunicação.

  3. Evitar Alterações no Firewall Interno da VM sem Análise Prévia:

    • Mudanças nas regras de firewall interno da VM (como IPtables no Linux ou Firewall do Windows) podem resultar em perda total de acesso à máquina. Antes de aplicar alterações, garanta que as regras necessárias para acesso remoto (SSH, RDP, HTTP, HTTPS) estejam devidamente configuradas.
    • Mantenha sempre uma regra de saída que permita a comunicação com a origem de administração, especialmente endereços IP destinados à gestão e manutenção da VM.

  4. Revisar Regras ao Aplicar Alterações:

    • Após realizar modificações nos Grupos de Segurança, revise as regras existentes para assegurar que o tráfego esperado não seja bloqueado. Configurações incorretas podem resultar em perda de acesso após reinicialização da VM.
    • Use logs de acesso dos Grupos de Segurança para identificar se o tráfego está sendo bloqueado por alguma regra específica e ajuste as regras conforme necessário.

  5. Automatizar a Aplicação de Regras Padrão com Scripts ou Infraestrutura como Código (IaC):

    • Para evitar erros na configuração manual, use scripts ou ferramentas de Infraestrutura como Código (IaC), como Terraform ou Ansible. Isso garante consistência e facilidade na recuperação de configurações corretas.
    • Crie templates de Grupos de Segurança com regras predefinidas para diferentes tipos de VMs (desenvolvimento, produção, bancos de dados) e padronize o uso desses templates para evitar configurações incorretas.

  6. Monitorar e Auditar Regularmente as Configurações:

    • Estabeleça um cronograma de auditoria regular para revisar as regras de segurança aplicadas nas VMs e Grupos de Segurança. Isso permite identificar configurações excessivas ou que possam causar bloqueios inesperados de conectividade.
    • Utilize ferramentas de monitoramento para verificar tentativas de conexão e ajustar as configurações de segurança conforme necessário para manter a conectividade contínua e segura.

  7. Documentar e Treinar a Equipe sobre Configuração de Segurança:

    • Garanta que todas as equipes envolvidas estejam cientes das melhores práticas de configuração de Grupos de Segurança e firewall interno das VMs. Promova treinamentos regulares e mantenha a documentação atualizada para consultas rápidas.

Seguindo essas práticas, você garante uma configuração eficiente de Grupos de Segurança, evitando bloqueios de acesso e mantendo a conectividade com suas VMs de maneira segura.