Quais são as responsabilidades de segurança dos chamados “Cloud Builders” e como eles devem manter a segurança na nuvem? É isso que abordaremos neste artigo. Quais os principais conceitos de segurança na nuvem e quais áreas precisam ser protegidas a partir do uso de tecnologia de segurança da informação. É sabido que empresas de todo o mundo estão passando por suas próprias jornadas de transformação digital à medida que começam a usar, migrar ou dominar a enorme variedade de tecnologias baseadas em nuvem disponíveis atualmente.
Para diretores de segurança (CSOs) e equipes ou administradores de TI em nuvem, o gerenciamento da segurança da computação em nuvem para uma implementação específica pode ser árduo justamente por conta da facilidade de uso, da flexibilidade e da configurabilidade dos serviços em nuvem. Os administradores de nuvem devem ter um entendimento profundo de como suas respectivas empresas usam a nuvem, para que possam atribuir as políticas e padrões de segurança apropriados, juntamente com funções e responsabilidades aplicáveis.
As tecnologias e os mecanismos tradicionais de segurança baseados em rede não podem ser migrados de maneira fácil ou integrada para a nuvem. Mas as preocupações de segurança enfrentadas por um administrador de rede permanecem basicamente as mesmas: como evito o acesso não autorizado à minha rede e evito a violação de dados? Como posso garantir o tempo de atividade? Como criptografar comunicações ou autenticar players na nuvem? Como detecto facilmente ameaças e identifico vulnerabilidades em aplicativos desenvolvidos?
Em termos gerais, os conceitos de “segurança da nuvem” versus “segurança em nuvem” foram pioneiros pela Amazon para esclarecer a responsabilidade compartilhada de fornecedores e clientes com relação à segurança e à conformidade da nuvem. Os fornecedores são os principais responsáveis pela infraestrutura física e de rede que compõe o serviço em nuvem e, em seguida, uma escala móvel é aplicada dependendo do serviço em nuvem específico adquirido, que determina a responsabilidade direta pela segurança do cliente.
Em termos mais práticos, os diferentes modelos de serviço em nuvem – infraestrutura como serviço (IaaS), plataforma como serviço (PaaS) e software como serviço (SaaS) – determinam quais componentes (da infraestrutura física que hospeda a nuvem até os dados criados, processados e armazenados nele) serão de responsabilidade do fornecedor ou do cliente e, portanto, quem será responsável por protegê-los.
Em uma implantação de PaaS, como Google App Engine, Microsoft Azure PaaS ou Amazon Web Services Lambda, por exemplo, os desenvolvedores podem adquirir os recursos para criar, testar e executar software. Assim, como usuários, eles geralmente são responsáveis pelos aplicativos e dados, enquanto o fornecedor é obrigado a proteger a infraestrutura e o sistema operacional do contêiner – com, como mencionado anteriormente, diferentes graus de responsabilidade, dependendo do serviço específico adquirido, que pode diferir senso mais granular.
A segurança da nuvem faz parte da oferta dos provedores. Isso é garantido por meio de acordos e obrigações contratuais, incluindo acordos de nível de serviço (SLAs) com o fornecedor e o cliente. Métricas de desempenho como tempo de atividade ou latência, juntamente com as expectativas em relação à resolução de problemas que possam surgir, recursos de segurança documentados e talvez até multas por desempenho insuficiente, geralmente podem ser gerenciados por ambas as partes através da definição de padrões aceitáveis.
As empresas podem estar migrando alguns requisitos para a nuvem, começando totalmente na nuvem (também conhecida como “nativa da nuvem”) ou dominando sua estratégia de segurança madura baseada em nuvem. Independentemente do estágio em que a empresa se encontra ao longo de sua jornada na nuvem, os administradores devem ser capazes de realizar operações de segurança, como executar o gerenciamento de vulnerabilidades, identificar eventos importantes da rede, executar respostas a incidentes e coletar e agir com inteligência de ameaças – tudo isso mantendo muitas peças móveis em conformidade com os padrões relevantes do setor. Abaixo listo os dois principais desafios:
Gerenciando a complexidade
As implantações em nuvem não têm acesso à mesma infraestrutura de segurança que as redes locais. A heterogeneidade de serviços na nuvem torna difícil encontrar soluções de segurança coesas. A qualquer momento, os administradores da nuvem devem procurar proteger um ambiente híbrido. A complexidade está na realidade de que os riscos na computação em nuvem variam dependendo da estratégia específica de implantação da tecnologia. Por sua vez, isso depende das necessidades específicas dos usuários e de seu apetite por riscos ou do nível de risco que eles estão dispostos a assumir. É por isso que a avaliação de riscos é um exercício importante que não pode ser simplesmente retirado por completo das melhores práticas ou conformidade publicadas. No entanto, as diretrizes de conformidade servem como uma linha de base ou estrutura que pode ser fundamental para levantar as perguntas certas em relação ao risco.
Ganhando visibilidade
À medida que a velocidade do movimento dentro de uma organização é estimulada pela facilidade de assinatura de serviços em nuvem, as decisões dos compradores repentinamente não estão mais ao alcance do departamento de TI. No entanto, o departamento de TI permanece responsável pela segurança dos aplicativos desenvolvidos usando a nuvem. O desafio passa a ser o de garantir que, embora o movimento e o desenvolvimento permaneçam eficientes, a TI ainda possa visualizar e proteger todas as interações na nuvem.
De acordo com um recente estudo da Trend Micro, as configurações incorretas continuam sendo a fraqueza mais comum na segurança na nuvem entre os seus usuários. Isso significa que, à medida que se configuram suas instâncias ou serviços na nuvem, eles tendem a ignorar configurações importantes ou alterá-las sem segurança.
Com tantas partes móveis, uma empresa que contempla uma estratégia de segurança na nuvem deve procurar otimizar as tecnologias de segurança necessárias, da proteção contra malware e prevenção de intrusões ao gerenciamento de vulnerabilidades e detecção e resposta dos endpoints. A solução de segurança deve reduzir o número de ferramentas, painéis e janelas a serem usados regularmente como base para a análise de TI. Ao mesmo tempo, ele deve ser capaz de visualizar com credibilidade os limites abstratos da rede de todas as operações em nuvem da empresa.
*Por Raphael Bottino, Cloud Sales Engineer da Trend Micro