Amazon Linux é incrível – mas ainda precisa de proteção

*Por Josh Fu e Richard Robitaille-Muffler

Enquanto muitas empresas hospedam suas distribuições Windows e Linux, como a Red Hat, em servidores no Amazon Web Services (AWS), mais e mais empresas estão começando a se levantar e executar a versão Amazon do Linux, chamada Amazon Machine Image (AMI). Essa variante do Linux é fornecida pela AWS para uso no Amazon Elastic Compute Cloud (Amazon EC2) e até mesmo em ambientes locais e virtualizados.

O que é?

O Amazon Machine Image ou o AMI foi projetado pela Amazon para fornecer máquinas otimizadas para aplicativos em execução no Amazon EC2. Ele é baseado no Red Hat Enterprise Linux (RHEL) e também é semelhante ao CentOS, que é a distribuição gratuita de Linux do servidor da Red Hat.

Quem usa?

Atualmente, a AWS detém 33% da participação no mercado de serviços de infraestrutura em nuvem e conta com inúmeros clientes da Fortune 100, incluindo Expedia, Boeing e Intuit. Clientes como esses têm vários sistemas operacionais (SO) para várias finalidades, como Windows, RHEL, Ubuntu e, é claro, Amazon Linux. A razão pela qual eles estão usando o Amazon Linux são os muitos benefícios técnicos que a Amazon incluiu nesse produto.

Apesar de o Linux ser um sistema operacional inerentemente mais seguro e a AWS proteger sua nuvem, os clientes ainda precisam entender que precisam proteger suas AMIs do Amazon Linux.

Por que proteger o Amazon Linux AMI?

Muitas pessoas pensam que, uma vez que hospedam suas imagens na AWS, elas estão totalmente protegidas. Elas, de fato, são bem protegidas em muitos aspectos, devido à segurança que a AWS implementa em sua infraestrutura.

Essa infraestrutura segue compliance, implementa firewalls e criptografa dados em trânsito, apenas para citar algumas das prevenções colocadas em prática. Mas, no final das contas, protege o estacionamento e o tráfego, mas não o veículo em si porque o que a nuvem da AWS faz é guardar suas imagens.

Algumas pessoas podem argumentar que “proteger o sistema operacional é na verdade um problema do Windows, não um problema do Linux”. É correto afirmar que o Linux é muito mais seguro por natureza. É mais seguro por várias razões, incluindo os próprios hackers envolvidos no desenvolvimento do Linux. As vulnerabilidades são corrigidas muito rapidamente, mas não são imunes ao malware.

Há menos lugares para o malware se esconder, já que a maioria dos softwares Linux é de código aberto. Os sistemas Linux também são projetados para serem ambientes multiusuários, o que significa que várias pessoas podem usar uma máquina simultaneamente sem afetar os arquivos, as preferências etc. de cada um, então os usuários recebem privilégios e acesso específicos.

Se o binário for executado em uma conta que não seja primária, a infecção provavelmente será temporária porque o kernel do Linux reside na memória e é somente para leitura. Para causar algum dano real, você precisaria ter acesso à raiz no sistema. No entanto nada é impossível e o Linux ainda é vulnerável a vírus, cavalos de Troia, worms e malwares de plataforma cruzada. A exploração de uma vulnerabilidade de escalonamento de privilégios pode permitir a infecção de todo o sistema.

A crescente popularidade tem, entretanto, suas desvantagens. Embora haja menos participação de mercado do Linux, o número de sistemas está crescendo, especialmente entre as organizações mais maduras, o que os torna alvos ricos. Esses sistemas podem armazenar, nos servidores Samba ou NFS, documentos no formato Windows que contenham e propaguem malware. Em setembro de 2016, o malware Mirai criou uma botnet massiva, infectando dispositivos Linux para lançar um ataque DDoS contra o jornalista de segurança de computadores Brian Krebs.

Como proteger o Linux

Um grande desafio que muitos CISOs enfrentam é que, principalmente em grandes empresas, são executados milhares de hosts do Amazon Linux em seu ambiente de nuvem do AWS EC2. Apesar de o Amazon Linux ser semelhante ao CentOS, ele não é semelhante o suficiente devido às modificações da Amazon, portanto há menos opções para escolher ao avaliar as soluções de proteção de endpoint.

As soluções devem suportar AMI e Amazon Linux 2. No entanto, em um nível alto, a Cylance teve a capacidade de atender aos diferentes requisitos de inicialização e glibc de outras distribuições do Linux para proteger o Amazon Linux de malware e ataques baseados em memória. Também pudemos incluir a detecção de IDs de instâncias do AWS para identificar facilmente novas instâncias que foram criadas.

Se você é uma empresa de classe empresarial que executa o Amazon Linux, a Cylance pode proteger seus servidores usando nossas soluções de proteção de endpoint baseadas em inteligência artificial para manter sua empresa segura.

* Josh Fu, CISM, CISSP, é engenheiro de segurança da Cylance; e Richard Robitaille-Muffler é gerente técnico de produto, baseado em Irvine, Califórnia, com experiência em práticas ágeis e enxutas