Blog Agility

Cloud Security: tudo o que você precisa saber sobre segurança na nuvem

Cloud Security: tudo o que você precisa saber sobre segurança na nuvem

Uma das tecnologias mais relevantes do mercado é também a mais recheada de polêmicas em relação a incidentes de vazamentos de dados; porém, práticas simples podem mitigar a maioria dos riscos existentes.

Se o uso da tecnologia de computação na nuvem era, há alguns anos, algo acreditável apenas para corporações de grande porte, ela atualmente pode oferecer seus benefícios para qualquer pequena ou média empresa. Temos uma série de fornecedores de infraestrutura-como-serviço (IaaS) que ofertam tal novidade a preços relativamente acessíveis, incentivando a migração da hospedagem de dados e entrega de serviços com um poder computacional muito superior e maior flexibilidade em comparação com servidores on-premise. Mas e a segurança, como fica?

Quem acompanhou o nascimento e desenvolvimento do mercado de cloud computing certamente se lembra de como a nuvem costumava ser vendida — e frequentemente descrita de forma irresponsável na mídia — como sendo uma alternativa “muito mais segura” do que os servidores tradicionais. Trata-se de uma meia-verdade que acabou sendo mal-interpretada por muitos profissionais que não se prepararam adequadamente para esse processo de migração, e eis o motivo para tantos incidentes de segurança cibernética sendo noticiados diariamente em ambientes cloud.

A questão aqui é muito simples: a nuvem, de fato, possui características que a tornam mais segura do que os velhos data centers. Contudo, tal como os maquinários locais que usávamos antigamente, a maior parte de sua segurança está diretamente ligada à forma como ela é configurada e administrada. Se hoje vemos tantos buckets do Amazon Simple Storage Service (S3) abertos ao público e expondo informações sensíveis, é crucial entender que não podemos culpar a tecnologia, mas sim quem está por trás de sua gestão. E, com algumas orientações simples, é fácil mitigar a maioria desses riscos.

Uma nuvem carregada de desafios

Se a nuvem já parecia atraente para PMEs e empreendedores individuais que aspiravam se aventurar nessa tecnologia, a pandemia do novo coronavírus (SARS-CoV2) forçou uma transformação digital acelerada que apressou a digitalização de serviços e oferta de produtos. O cloud computing se mostrou o parceiro ideal para esse processo devido a características como flexibilidade, escalabilidade e maior poder computacional sem a necessidade de se preocupar com atualizações de hardware ou EOL. Porém, o que faltou foi a compreensão de que um ambiente novo exige estratégias de segurança novas.

Isto posto, vamos listar alguns dos principais riscos e desafios que surgem em nossas cabeças ao falarmos sobre segurança em computação na nuvem:

  • Falta de visibilidade: uma pesquisa realizada em 2021 provou que 76% das empresas adotaram uma estratégia multi-cloud, contratando diferentes fornecedores de computação na nuvem para atender às necessidades de seu core business. Isso inclui não apenas IaaS, mas também softwares-como-serviço (SaaS). Trata-se de uma atitude normal, mas que dificulta o mapeamento e o rastreamento eficiente de onde os seus ativos estão, criando uma perigosa falta de visibilidade sobre a informação;
  • Vazamento de dados: cada vez mais comuns em ambientes na nuvem, custam em média US$ 4,24 milhões às empresas de acordo com levantamentos recentes. Na nuvem, violações não costumam ser causadas por malwares (tal como ocorria com servidores on-premise), mas sim pela exploração de configurações errôneas, políticas de acesso inadequadas, credenciais fracas e outras falhas que podem ser consideradas de origem humana;
  • Compliance regulatório: não podemos ignorar a grande quantidade de legislações de proteção de dados e normas de segurança específicas para determinados setores comerciais. Muitos desses regulamentos exigem que as informações dos clientes estejam armazenadas em seu país de origem, além de requerer uma série de outras especificidades técnicas que nem sempre qualquer fornecedor de computação na nuvem será capaz de prover de acordo com a sua necessidade.

Dicas essenciais

O primeiro passo para garantir uma transição tranquila e sem maiores incidentes para a nuvem é jamais se esquecer da boa e velha diligência prévia. Pesquise a fundo sobre seu fornecedor na nuvem e entenda se ele realmente é a melhor opção de IaaS ou SaaS para o seu negócio. Neste momento, lembre-se sempre que, quando falamos sobre computação na nuvem, a política de responsabilidade costuma ser compartilhada — ou seja, você é responsável por eventuais problemas causados por mal-uso/má-configuração, mas o parceiro é responsável por garantir que a infraestrutura ou serviço esteja sempre disponível.

Em seguida, logo nos primórdios da criação ou migração de sua estrutura, é crucial criar uma estratégia eficiente de política de acessos. Isso inclui definir corretamente os privilégios de cada usuário (muitas empresas pecam por realizar operações utilizando apenas uma conta de administrador compartilhada) e tornar mandatória o uso de quaisquer ferramentas que possam blindar o processo de autenticação. Um “must-have” é a autenticação em dois fatores, também conhecida como 2FA ou MFA; isso dificulta eventuais invasões por conta de credenciais vazadas ou senhas fracas.

Também é uma boa ideia praticar o que muitos chamam de “minimização de dados”. Para facilitar o mapeamento — sobre o qual falaremos mais tarde —, vale a pena pensar o que realmente faz sentido estar na nuvem ou não. A aparentemente capacidade infinita de armazenar informações em servidores cloud traz a tentação de usar todo o espaço e contratar todo o poder computacional que o seu dinheiro possa contratar. Isso, porém, pode ser um verdadeiro tiro no pé, criando mais riscos do que benefícios.

Uma ajuda tecnológica

Felizmente, o mercado já oferece uma série de soluções que podem lhe ajudar a manter seu ambiente na nuvem mais seguro. Soluções de segurança para a cloud lhe ajudam a automatizar muitas tarefas, mapear seus ativos entre múltiplos ambientes e fornecedores, identificar eventuais vulnerabilidades e até mesmo sugerir como utilizar o que foi contratado da forma mais eficaz possível. Ainda assim, vale a pena ressaltar: a segurança de seu ambiente jamais dependerá unicamente de um software, mas sim da combinação entre a tecnologia e a conscientização do ser humano.

A Agility oferece uma solução completa de DevSecOps e Proteção de Aplicações Multicloud, saiba mais em: https://somosagility.com.br/xaas/protecao-de-aplicacoes-multicloud/