Você sabe onde estão armazenados os dados mais valiosos de sua empresa? Há alguns anos, a resposta para essa pergunta muito possivelmente teria sido “em servidores próprios”. Isso mudou gradualmente e, hoje em dia, muitas empresas dividem o armazenamento e o processamento de suas informações entre servidores próprios e a nuvem, e o desafio mais recentes em segurança de TI é utilizá-la de maneira segura.
A migração dos negócios para a nuvem é uma tendência que está crescendo exponencialmente nas empresas, isso porque grande parte das empresas e instituições busca redução dos investimentos em equipamentos e a capacidade de maximizar os serviços. Ao mesmo tempo, a capacidade de gerar a confiança das organizações na nuvem aumentou 77% de 2015 para 2016, de acordo com dados do McAfee Labs.
Para atender a essas demandas crescentes de negócios, os data centers estão passando por uma transformação drástica, o que se reflete em mudanças importantes das tecnologias, dos processos de TI e nos requisitos de segurança e vulnerabilidades.
Para entender bem os riscos, é necessário conhecer as características dos serviços oferecidos pelos vários provedores de nuvem. Estes são os diferentes tipos de serviço existentes:
- Infraestrutura como Serviço (Infrastructure as a Service ou IaaS): utilizado principalmente para armazenar dados e informações; é o nível básico;
- Plataforma como Serviço (Platform as a service ou PaaS): os desenvolvedores de software usam suas ferramentas para criar aplicativos; este nível médio do serviço funciona também como um canal para distribuir e vender aplicativos.
- Software como Serviço (Software as a Service ou SaaS): consiste no aluguel dos aplicativos executados nos servidores na nuvem em vez de se pagar por uma licença.
Quais são as mudanças fundamentais na segurança e na nuvem?
Há mais de um ponto de controle: atualmente, as organizações usam, em média, seis nuvens de infraestrutura e 43 serviços na nuvem.
Os data centers na nuvem estão crescendo: para o ano de 2019, 86% das cargas de trabalho serão processadas pelos data centers que estão na nuvem.
Aumento dos riscos por Shadow TI: a tecnologia nas sombras é o uso de aplicativos e serviços web não autorizados pela empresa (devido ao acesso cada vez maior dos funcionários aos dispositivos móveis), cuja utilização coloca em risco os dados empresariais devido ao roubo deles ou acesso não autorizado a eles; infecções por malware e falta de conformidade em setores com normas rígidas.
Essas mudanças fundamentais impõem novos desafios para a segurança da TI, os quais devem ser enfrentados com novas estratégias.
Como conseguir uma nuvem segura?
Se considerarmos que a maioria dos data centers conta, hoje em dia, com uma infraestrutura híbrida que abrange implementações físicas, virtualizadas e na nuvem, uma estratégia ideal para ter acesso a uma nuvem segura deverá incluir os seguintes pontos:
Proteger a nuvem: é indispensável descobrir, fortalecer e segmentar as cargas de trabalho nas infraestruturas híbridas. Essas táticas devem considerar o seguinte:
- Supervisionar, segmentar e assegurar o acúmulo da carga de trabalho desde a nuvem híbrida até o endpoint de sua empresa.
- Contar com uma estratégia de solução, detecção e supervisão da carga de trabalho.
- Ter controles de segurança otimizados para as máquinas virtuais.
- Estender automaticamente as políticas da empresa para assegurar seu cumprimento
- Segmentar as cargas de trabalho em toda a infraestrutura.
- Analisar o registro do provedor de nuvem.
- Proteger os endpoints
Contar com a nuvem: é preciso usar a nuvem para proteger os usuários, os dados e os dispositivos. Para fazer isso, é necessário contar com uma solução estratégica:
- Detectar e controlar o acesso do usuário final aos serviços.
- Proteger os dados do endpoint até a nuvem.
- Detecção e análise avançadas de ameaças.
- Cobertura global para os endpoints remotos.
- Inteligência auxiliada por nuvem estendida aos dispositivos móveis.
Unificar a nuvem: é necessário consolidar a visibilidade do que ocorre em sua infraestrutura, bem como o entendimento e o controle dela. A estratégia deve incluir:
- O gerenciamento unificado das TIs híbridas a partir da nuvem.
- Otimizações operacionais e analíticas
- Fluxos de trabalho otimizados
O uso da nuvem aumentará em termos de escala e de complexidade de atividade dos negócios, e sem uma automatização que ajude a aumentar a compreensão do contexto das mudanças que estão ocorrendo na utilização da infraestrutura híbrida, os profissionais de segurança não terão nenhuma oportunidade para vencer os novos desafios e fazer com que os negócios tenham acesso a uma nuvem segura.
* Edgar Vásquez Cruz é gerente da área de governo na Intel Security