Ter uma nuvem segura é uma das questões mais relevantes para na decisão de uma empresa que pretende migrar para a cloud.
Migrar para a cloud não é um fato novo no mundo corporativo e, portanto, não pode mais ser considerado uma tendência ou moda. Tendência mesmo é a taxa de crescimento de empresas que incorporam o uso da nuvem à sua estratégia de negócios.
Como apontou o Gartner em pesquisa no final de 2019, a expectativa de investimentos na nuvem pública era de 266 bilhões de dólares para 2020.
Mesmo diante desse crescimento e dos benefícios oferecidos pela nuvem, as empresas ainda questionam se é seguro ter suas cargas de trabalho na nuvem.
O post de hoje vai responder algumas perguntas – não significando que o assunto possa ser esgotado aqui – como:
A nuvem é segura?
Quais as vantagens dos mecanismos de segurança em cloud?
Qual a nuvem mais segura?
O que fazer para se proteger?
A nuvem é segura?
É muito importante ter em mente que muitos aspectos relacionados a segurança da informação são os mesmos independentemente de se tratar de TI tradicional ou cloud computing.
Vamos falar de alguns aspectos da segurança da informação e ver como a nuvem pública os trata de maneira geral:
Segurança Física
Do ponto de vista do cliente – aquele que utiliza os serviços – a nuvem é uma abstração na qual não importa a localização da infraestrutura física. Mas ela existe.
E sua segurança é de inteira responsabilidade do provedor de cloud que deve ter políticas consistentes para autorização de acessos físicos ao perímetro do data center e também para prevenção e recuperação de desastres contra ameaças físicas como incêndios, explosões, desastres naturais e etc.
Finalmente, não se limitando a isso, a política de ciclo de vida de componentes como discos rígidos é outro fator relevante na segurança da informação.
Certificações como a ISO 27001 e auditorias periódicas são um bom termômetro da correta implementação de boas práticas pelo provedor de nuvem e, felizmente, sua adoção é uma das premissas dos grandes líderes do segmento de nuvem pública.
Interessante inferir que a segurança física da nuvem é, por vezes, superior a segurança existente em muitas empresas.
Segurança Lógica
Ainda tratando das responsabilidades do provedor de nuvem, existe a camada lógica que dá suporte aos serviços que são oferecidos pela nuvem, como sistemas operacionais, sistemas de virtualização, aplicações de backend, contêineres, redes virtuais, imagens de instâncias e etc.
Há necessidade que se confie no provedor de nuvem já que esta camada não está sob o controle do cliente.
E, novamente, a forma de confiar é acompanhando relatórios de auditoria, certificações relacionadas e casos de uso de empresa que dão visibilidade e credibilidade à infraestrutura do provedor de nuvem.
Segurança da informação em ambiente de cloud computing é tão relevante que, em 2008, surgiu a Cloud Security Alliance quem fornece um meta-framework específico para segurança da nuvem baseado nos principais padrões, regulamentos e melhores práticas que devem ser, e são, seguidos pelos principais provedores de cloud.
Assim, do ponto de vista da infraestrutura oferecida e com base nos 3 pilares da segurança da informação, integridade, confidencialidade e disponibilidade, pode-se dizer que a nuvem é segura e, talvez a nuvem seja até mais segura que o ambiente de TI de muitas empresas pelo mundo. Afinal, a sua empresa tem políticas claras de segurança da informação, certificações e auditorias externas periódicas?
Mas isso não significa cravar, numa abordagem de public cloud, que a nuvem é segura para qualquer carga de trabalho já que as cargas de trabalho são de responsabilidade do cliente da nuvem e não tem o mesmo isolamento que um ambiente privado.
Por esses motivos, a nuvem pública abre margem para outros tipos de ameaças se tornam possibilidades, principalmente devido a pouca maturidade das empresas no tratamento de suas informações na nuvem.
Segundo o Cloud Security Threat Report 2019 da Symantec, 93% dos entrevistados acreditam ter problemas para supervisionar seus dados sensíveis na nuvem o que é um número significativo.
No topo da lista de pouca maturidade com a segurança da informação, aponta ainda o relatório, está o gerenciamento fraco de identidade e credenciais.
A sua responsabilidade ao migrar para a cloud
Algumas formas de ataque por negligência da TI das empresas que podem ser apontadas:
Ataque entre workloads: Apenas uma brecha em uma carga de trabalho pode desencadear uma série de invasões a outros serviços que tem relação de confiança entre si e livre comunicação.
Ataques serverless: A arquitetura serverless é uma grande inovação da cloud computing. Mas do mesmo modo que permite a rápida implantação de novos serviços ou aplicações, também oferece oportunidade para que invasores tenham acesso a serviços críticos que podem comprometer a operação de uma empresa.
Ataque de orquestração: Este é um caso de alta criticidade em que um invasor tem acesso para remover cargas de trabalho inteiras, roubar dados, fazer o provisionamento de seus próprios workloads para usos como minerar cripto moedas ou zumbis para ataque a outros sites.
A boa notícia é que existe uma variedade de ferramentas e mecanismos de segurança que a nuvem oferece para seus clientes. Cabe a você cuidar da correta adoção de tais ferramentas e o uso das melhores práticas recomendadas.
Qual a nuvem mais segura
Não é uma resposta tão simples.
Uma pesquisa na internet sobre qual provedor está relacionado a mais incidentes de segurança não seria suficiente para afirmações sobre sua segurança, já que, como dito anteriormente, muitos dos incidentes são em funções de erros cometidos pelos clientes.
Além disso, as características das cargas de trabalho podem ou não acarretar em mais exposição a ameaças.
Mas a escolha de uma nuvem mais segura, sem dúvida, deve ocorrer baseado não apenas nas certificações de segurança obtidas e relatórios de auditoria externos mas também no que o provedor de nuvem pode oferecer aos seus clientes no que diz respeito às arquiteturas e ferramentas de segurança e conformidade.
Vantagens dos mecanismos de segurança oferecidos na nuvem
O uso de mecanismos e ferramentas de segurança nativos da nuvem é de sua responsabilidade. Por outro, é responsabilidade do provedor de cloud computing oferecer ferramentas eficientes. Veja algumas vantagens dessas ferramentas:
- Cargas de trabalho podem ser escaladas mantendo o mesmo nível de segurança;
- Tarefas de prevenção, detecção e mitigação tem a capacidade de ser mais ágil;
- O provedor tem a condição de oferecer serviços em conformidade com padrões de certificações internacionais como aquelas destinadas ao mercado financeiro ou de saúde;
- Na medida em que surgem inovações na área de segurança estas rapidamente ficam disponíveis na nuvem como é o caso de ferramentas de detecção de anomalias baseado em machine learning;
O que você pode fazer para tornar a nuvem segura
O que pode ser feito para migrar para a cloud com segurança?
A recomendação básica é: invista, invista, invista em cibersegurança. O seu planejamento em migrar para a cloud deve sempre incluir os custos relacionados a cibersegurança.
Já o investimento necessário é relativo a complexidade de seu ambiente e questões muito particulares à sua empresa.
De qualquer forma, vale citar alguns itens básicos como:
Políticas de acesso. Controle de credenciais seguindo políticas claras, efetivas e que todos os usuários tenham plena ciência são algo básico mas fundamental;
Ferramentas nativas. Ferramentas desenvolvidas para ambientes de cloud tende a ser mais eficientes em tornar a nuvem segura.
Criptografia em trânsito e em repouso. Parece básico, mas é muito frequente encontrar ambientes sem essa preocupação após migrar para a cloud;
Desenvolvimento de APIs robustas e seguras. Vulnerabilidades relacionadas a APIs são uma causa comum de acesso não autorizado.
Arquitetura. O desenho de sua infraestrutura deve incorporar elementos e práticas de segurança da informação e, preferencialmente, isto ocorrer antes do processo de migrar para cloud.
Aplicação de patches recomendados. De [quase] nada adianta todo o trabalho de fornecedores de aplicações, linguagens, serviços, sistemas operacionais e outros trabalharem arduamente para corrigir falhas encontradas e essas correções não serem aplicadas.
Gerenciamento do ciclo de vida. Uma matéria no blog do Gartner nos dá uma pista de por quê tantos incidentes de segurança relacionados a nuvem: talvez, entre 30% e 50% de máquinas virtuais na nuvem são zumbis. Além de um desperdício de recursos econômicos e computacionais é uma ótima porta de entrada para invasores já que são cargas de trabalho abandonadas e, provavelmente desatualizadas e vulneráveis.
Monitoramento contínuo. Ter informações periódicas (em muitos casos em tempo real) sobre a saúde de sua infraestrutura ajuda na prevenção e na contenção de violações.
Parceiros capacitados. Não basta uma boa equipe de TI – embora seja também importante – se não tiver o provedor de nuvem adequado. Além disso, uma empresa especializada como uma consultoria AWS, Google Cloud ou Azure pode sem estratégica para ajudar sua empresa a migrar para a cloud. Há, inclusive consultorias em cloud computing especializadas em cibersegurança com foco na nuvem.
Conclusão
Existem muitos outros pontos importantes a serem considerados, desde a infraestrutura até os critérios de desenvolvimento de aplicativos para Cloud, estes últimos que possuem características distintas do modelo tradicional de TI.
Mas de modo geral, diferentemente da crença ainda muito disseminada, a nuvem é segura.
Mas muito da segurança não diz respeito a estrutura da nuvem ou mesmo sobre qual nuvem é segura e sim ao grau de maturidade da TI do cliente da nuvem.
A Computer Consulting é uma empresa com mais de 20 anos no mercado. Consultoria AWS parceira especializada em Cloud Computing, Linux e Cibersegurança.
