A segurança na nuvem é uma disciplina de cibersegurança dedicada à proteção de sistemas de computação na nuvem. Isso inclui resguardar a segurança e privacidade de dados em infraestrutura, aplicativos e plataformas on-line. Proteger esses sistemas envolve os esforços de provedores da nuvem e dos clientes que as utilizam, seja no caso de pessoa física, pequenas e médias empresas ou grandes organizações.
Os provedores de nuvem hospedam serviços em servidores através de conexões de Internet sempre disponíveis. Uma vez que seus negócios dependem da confiança do cliente, métodos de segurança da nuvem são usados para manter dados de clientes armazenados de forma segura e privada. No entanto, a segurança da nuvem também depende, em parte, das ações dos clientes. Entender as duas faces dessa moeda é essencial para uma solução de segurança da nuvem eficaz.
Na sua base, a segurança da nuvem é composta das seguintes categorias:
A segurança da nuvem pode parecer como a segurança de TI de legado, mas essa estrutura na verdade exige uma abordagem diferente. Antes de entrar em mais detalhes, primeiro vamos conferir o que de fato é a segurança da nuvem.
A segurança na nuvem é o pacote completo de tecnologia, protocolos e melhores práticas que protege os ambientes de computação em nuvem, aplicativos em execução na nuvem e dados mantidos na nuvem. Proteger a nuvem começa com entender o que exatamente é protegido, além dos aspectos de sistema que precisam ser gerenciados.
Como um resumo, o desenvolvimento de back-end contra vulnerabilidades de segurança depende, na maior parte, de provedores de serviços na nuvem. Além de escolher um provedor que se preocupe com a segurança, os clientes precisam se concentrar principalmente na configuração adequada de serviço e em hábitos seguros de uso. Outro ponto importante é que os clientes devem garantir que quaisquer redes e hardware de usuário final estejam devidamente protegidos.
O escopo completo da segurança da nuvem foi projetado para proteger os seguintes pontos, quaisquer que sejam suas responsabilidades:
Com a computação na nuvem, a responsabilidade desses componentes pode variar significativamente. Isso pode tornar o escopo de deveres de segurança do cliente algo que não é tão claro. Já que proteger a nuvem pode parecer diferente com base em quem tem a autoridade sobre qual componente, é importante entender como eles são normalmente agrupados.
Para simplificar: os componentes de computação na nuvem são protegidos a partir de dois pontos de vista principais:
1. Tipos de serviço na nuvem são oferecidos por provedores terceirizados como módulos usados para criar o ambiente de nuvem. Dependendo do tipo de serviço, você pode gerenciar um nível diferente de componentes no serviço:
2. Os ambientes de nuvem são modelos de implantação nos quais um ou mais serviços de nuvem criam um sistema para os usuários finais e organizações. Eles segmentam as responsabilidades de gestão - incluindo segurança - entre clientes e fornecedores.
Atualmente, os ambientes de nuvem usados são:
Partindo de tal perspectiva, podemos entender que a segurança baseada na nuvem pode ser um pouco diferente com base no tipo de espaço na nuvem no qual os usuários estão trabalhando. Mas os efeitos são sentidos por todos os clientes, sejam eles indivíduos ou organizações.
Cada medida de segurança na nuvem visa realizar um ou mais dos seguintes objetivos:
A segurança de dados é um aspecto da segurança na nuvem que envolve a finalidade técnica da prevenção de ameaças. Ferramentas e tecnologias permitem que fornecedores e clientes instalem barreiras entre o acesso e a visibilidade de dados sigilosos. Entre elas, a criptografia é uma das ferramentas mais eficientes disponíveis. A criptografia codifica os seus dados para que só possam ser lidos por alguém que tenha a chave de criptografia. Se seus dados forem perdidos ou roubados, eles serão efetivamente ilegíveis e sem sentido. As proteções de trânsito de dados, como redes privadas virtuais (VPNs), também são destacadas em redes na nuvem.
O gerenciamento de identidade e acesso (IAM) está relacionado aos privilégios de acessibilidade oferecidos às contas de usuário. O gerenciamento de autenticação e autorização de contas de usuário também é válido aqui. Os controles de acesso são essenciais para impedir que usuários - legítimos ou maliciosos - acessem e comprometam dados e sistemas confidenciais. Gerenciamento de senhas, autenticação multifator e outros métodos fazem parte do escopo do IAM.
A governança se concentra em políticas para prevenção, detecção e mitigação de ameaças. Com PME e empresas, aspectos como inteligência sobre ameaças podem ajudar a rastrear e priorizar ameaças para manter sistemas essenciais protegidos com zelo. No entanto, até mesmo clientes de nuvem que sejam indivíduos podem se beneficiar ao dar o devido valor ao treinamento e às políticas de comportamento seguro do usuário. Elas são usadas principalmente em ambientes organizacionais, mas as regras para uso seguro e resposta a ameaças podem ser úteis para qualquer usuário.
A retenção de dados (DR) e o planejamento de continuidade de negócios (BC) envolvem medidas técnicas de recuperação de desastres no caso de perda de dados. O centro de qualquer plano de DR e BC são os métodos de redundância de dados, como os backups. Além disso, contar com sistemas técnicos para garantir operações ininterruptas pode ser útil. Estruturas para testar a validade de backups e instruções de recuperação detalhadas para funcionários são de igual importância para um plano de BC completo.
O compliance jurídico está relacionado à proteção da privacidade do usuário conforme definido pelos órgãos legislativos. Os governos assumiram para si a importância de proteger as informações privadas dos usuários contra exploração para fins lucrativos. Dessa forma, as organizações devem seguir as regulações para cumprir essas políticas. Uma abordagem possível é o uso de mascaramento de dados, que ocultam a identidade nos dados através de métodos de criptografia.
A segurança de TI tradicional passou por uma enorme evolução devido à mudança para a computação baseada na nuvem. Embora os modelos de nuvem permitem mais conveniência, a conectividade sempre ativa requer novas considerações para manutenção da segurança. A segurança da nuvem, como uma solução de segurança cibernética modernizada, se destaca dos modelos de TI de legado de certas formas.
Armazenamento de dados: A maior diferença é que os modelos mais antigos de TI dependiam muito do armazenamento de dados local. As organizações perceberam há muito tempo que desenvolver todas as estruturas de TI internamente para controles de segurança detalhados e personalizados é tarefa cara e complexa. As estruturas baseadas na nuvem não só ajudaram a reduzir os custos de desenvolvimento e manutenção do sistema, mas também eliminaram parte do controle dos usuários.
Dimensionamento de velocidade: Em uma comparação semelhante, a segurança na nuvem exige atenção exclusiva ao escalonar os sistemas de TI da organização. A infraestrutura e os aplicativos centrados na nuvem são bastante modulares e rápidos para mobilizar. Embora essa capacidade mantenha os sistemas ajustados de modo uniforme às mudanças organizacionais, ela apresenta considerações quando a necessidade de uma organização por upgrades e conveniência ultrapassa sua capacidade de acompanhar o ritmo da segurança.
Interface com o sistema do usuário final: Tanto ara organizações quanto pessoas, os sistemas em nuvem também fazem interface com muitos outros sistemas e serviços que precisam ser protegidos. As permissões de acesso devem ser mantidas do nível do dispositivo do usuário final até aquele do software, sem se esquecer do nível de rede. Além disso, os provedores e usuários estar precisam atentos às vulnerabilidades que possam causar por meio de configurações e comportamentos inseguros de acesso ao sistema.
Proximidade com outros dados e sistemas em rede: Uma vez que os sistemas na nuvem são uma conexão persistente entre os provedores de nuvem e todos os seus usuários, esta grande rede pode comprometer até o próprio provedor. Em ambientes de rede, um único dispositivo ou componente fraco pode ser explorado para infectar os demais. Os provedores de nuvem ficam expostos a ameaças de muitos usuários finais com os quais interagem, estejam esses provedores fornecendo armazenamento de dados ou outros serviços. As responsabilidades adicionais de segurança de rede ficam com os fornecedores que, de outra forma, entregaram os produtos puramente em sistemas de usuário final em vez dos seus próprios.
Solucionar a maioria dos problemas de segurança na nuvem significa que os usuários e provedores de nuvem - tanto em ambientes pessoais quanto de negócios - devem permanecer proativos sobre suas próprias funções na cibersegurança. Essa abordagem dupla significa que usuários e provedores devem cuidar mutuamente de:
Por fim, os provedores e usuários de nuvem devem ter transparência e se responsabilizar por garantir que ambas as partes fiquem seguras.
Quais são os problemas de segurança na computação na nuvem? Já que, se você não os conhecer, como deve implementar as medidas corretas? Afinal, a segurança baixa na nuvem pode expor usuários e provedores a todos os tipos de ameaças à cibersegurança. Entre algumas ameaças comuns de segurança na nuvem, estão :
O maior risco com a nuvem é que não há perímetro. A cibersegurança tradicional focada em proteger o perímetro, mas os ambientes em nuvem são altamente conectados, o que significa APIs (Interfaces de programação de aplicativos) inseguras e os sequestros de contas podem gerar problemas reais. Diante dos riscos de segurança da computação em nuvem, os profissionais de cibersegurança precisam mudar para uma abordagem focada em dados.
A interconectividade também traz problemas para redes. Pessoas maliciosas frequentemente violam redes por meio de credenciais comprometidas ou fracas. Quando um hacker consegue obter acesso, ele pode facilmente se expandir e usar interfaces mal protegidas na nuvem para localizar dados em diferentes bancos de dados ou nós. Ele pode até mesmo usar a sua própria nuvem servidores como destino onde podem exportar e armazenar quaisquer dados roubados. A segurança tem de ser na nuvem - não apenas para proteção do acesso aos dados da sua nuvem.
O armazenamento de terceiros dos seus dados e o acesso pela Internet também representam suas ameaças por si só. Se, por algum motivo, esses serviços forem interrompidos, o seu acesso aos dados pode ser perdido. Por exemplo: uma falha na rede telefônica pode significar que você não consegue acessar a nuvem em um momento essencial. Ou uma queda de energia pode afetar o data center onde seus dados estão armazenados, possivelmente com perda permanente de informações.
Tais interrupções podem ter desdobramentos a longo prazo. Uma recente queda de energia em uma instalação de dados em nuvem da Amazon resultou em perda de dados para alguns clientes quando os servidores sofreram danos de hardware. Este é um bom exemplo de porque você deve ter backups locais de pelo menos alguns dos seus dados e aplicativos.
Na década de 90, os dados comerciais e pessoais eram armazenados localmente - assim como a segurança, que era local. Os dados ficavam no armazenamento interno de um PC, em casa, e em servidores corporativos, se você trabalhasse em uma empresa.
A criação da tecnologia de nuvem forçou todos a repensar a segurança cibernética. Seus dados e aplicativos podem estar flutuando entre sistemas remotos e locais - e sempre acessíveis pela Internet. Se você estiver acessando o Google Docs em seu smartphone ou usando o software Salesforce para cuidar de seus clientes, esses dados podem ser mantidos em qualquer lugar. Portanto, protegê-los torna-se mais difícil do que quando se tratava apenas de impedir o acesso de usuários indesejados à sua rede. A segurança na nuvem exige ajustar algumas práticas de TI antigas, mas se tornou mais essencial por dois motivos principais:
Infelizmente, os pessoas maliciosas enxergam o valor dos alvos baseados na nuvem e, cada vez mais, os estudam em busca de vulnerabilidades. Apesar dos provedores de nuvem assumirem várias obrigações de segurança dos clientes, eles não gerenciam tudo. Isso deixa até mesmo os usuários não técnicos com o dever de se informar sobre a segurança na nuvem.
Dito isso, os usuários não estão sozinhos quando o assunto são obrigações de segurança na nuvem. Conhecer o escopo de suas funções de segurança ajudará todo o sistema a ficar bem mais seguro.
Foram criadas leis para ajudar a proteger os usuários finais da venda e compartilhamento de seus dados confidenciais. A Regulação Geral de Proteção de Dados (GDPR) e a Lei de Responsabilidade e Portabilidade de Seguros de Saúde (HIPAA) cumprem suas próprias funções para proteger a privacidade, limitando como os dados podem ser armazenados e acessados.
Métodos de gerenciamento de identidade, como o mascaramento de dados, foram usados para separar traços identificáveis dos dados de usuários para conformidade com a GDPR. Para conformidade com a HIPAA, organizações como unidades de saúde devem garantir que seu provedor também faça sua parte na restrição do acesso aos dados.
A Lei CLOUD prevê para os provedores de nuvem suas próprias limitações legais para seguir, potencialmente ao custo da privacidade do usuário. A legislação federal americana agora permite que órgãos federais exijam os dados solicitados de servidores de provedores de nuvem. Embora isso possa permitir que as investigações prossigam com eficácia, a medida pode acabar burlando alguns dos direitos à privacidade e configurar um possível abuso de poder.
Felizmente, há muito que você pode fazer para proteger seus próprios dados na nuvem. Vamos conhecer alguns dos métodos populares.
A criptografia é uma das melhores maneiras de proteger seus sistemas de computação na nuvem. Há várias maneiras diferentes de usar a criptografia, e elas podem ser oferecidas por um provedor de nuvem ou por um provedor separado de soluções de segurança em nuvem:
Dentro da nuvem, os dados correm mais risco de serem interceptados quando estão em movimento. Quando eles estão se movendo entre um local de armazenamento e outro, ou sendo transmitidos para sua aplicativo no local, estão vulneráveis. Dessa forma, a criptografia de ponta a ponta é a melhor solução de segurança em nuvem para dados críticos. Com a criptografia de ponta a ponta, sua comunicação nunca é disponibilizada para terceiros sem sua chave de criptografia.
Você mesmo pode criptografar seus dados antes de armazená-los na nuvem, ou pode usar um provedor de nuvem que criptografará seus dados como parte do serviço No entanto, se você estiver usando a nuvem apenas para armazenar dados não sensíveis, como gráficos ou vídeos corporativos, a criptografia de ponta a ponta pode ser exagerada. Por outro lado, para informações financeiras, confidenciais ou comercialmente sensíveis, ela é vital.
Se você estiver usando criptografia, lembre-se que a gestão segura e protegida das suas chaves de criptografia é crucial. Tenha uma chave de reserva e, se possível, não a armazene na nuvem. Você também pode querer alterar suas chaves de criptografia regularmente para que, se alguém as acessar, elas sejam bloqueadas para fora do sistema quando você fizer a mudança.
A configuração é outra prática poderosa de segurança na nuvem. Muitas violações de dados na nuvem vêm de vulnerabilidades básicas, como erros de configuração. Ao evitá-los, você reduz significativamente o risco de segurança na nuvem. Se você não se sentir confiante ao fazer isso sozinho, talvez queira considerar o uso de um provedor separado de soluções de segurança em nuvem.
Aqui estão alguns dos princípios que você pode seguir:
Dicas de cibersegurança básica também devem ser incluídas em qualquer implementação de nuvem. Mesmo que você esteja usando a nuvem, as práticas padrão de cibersegurança não devem ser ignoradas. Portanto, vale a pena considerar o seguinte se você quiser estar o mais seguro possível on-line:
Os riscos de segurança da computação na nuvem podem afetar a todos, desde empresas até pessoas. Por exemplo: os consumidores podem usar a nuvem para armazenar e fazer backup de arquivos (usando serviços de SaaS como Dropbox), para serviços como e-mail e aplicativos de escritório, ou para fazer formulários e contas de impostos.
Se você usa serviços baseados na nuvem, então também pode precisar considerar como compartilhar dados da nuvem com outros, especialmente se você trabalha como consultor ou freelancer. Enquanto compartilhar arquivos no Google Drive ou outro serviço pode ser uma maneira fácil de compartilhar seu trabalho com clientes, você precisa verificar se você está gerenciando permissões. Afinal, você quer garantir que clientes diferentes não possam ver os nomes ou diretórios uns dos outros ou alterar tais arquivos.
Lembre-se que muitos desses serviços de armazenamento em nuvem comumente disponíveis não criptografam dados. Se você quiser manter seus dados seguros através de criptografia, você precisará usar um software de criptografia para fazer isso você mesmo antes de carregar os dados. Você terá então que dar uma chave aos seus clientes ou eles não serão capazes de ler os arquivos.
A segurança deve ser um dos principais pontos a serem levados em conta ao escolher um provedor de segurança da nuvem. A sua cibersegurança já não é dever apenas seu: um fornecedor de nuvens deve fazer a sua parte na criação de um ambiente de nuvem seguro e partilhar a responsabilidade pela segurança dos dados.
Infelizmente, as empresas de nuvem não vão compartilhar os planos para a segurança de rede delas. Isso seria equivalente a um banco fornecer a você os detalhes de seu cofre - inclusive com a combinação dos números de abertura.
No entanto, obter as respostas certas para algumas perguntas importantes proporciona a você mais confiança de que seus ativos de nuvem estarão seguros. Além disso, você ficará mais informado se o seu provedor tratou adequadamente dos riscos óbvios de segurança na nuvem. Recomendamos fazer certas perguntas ao seu provedor de nuvem sobre os seguintes temas:
Você também deve lembrar de ler os termos de serviço (TOS) do provedor. Ler os TOS é essencial para entender se você está recebendo exatamente aquilo que quer e precisa.
Verifique também se você conhece todos os serviços usados com o seu provedor. Se seus arquivos estão no Dropbox ou com backup em iCloud (nuvem de armazenamento da Apple), isso pode significar que eles estão realmente armazenados nos servidores da Amazon. Por isso, você precisará verificar a AWS, bem como o serviço que está utilizando diretamente.
Os serviços de segurança em nuvem híbrida podem ser uma escolha muito inteligente para clientes em espaços corporativos e de pequenas e médias empresas (PME). Eles são mais viáveis para aplicações em PME e organizações, já que geralmente são bastante complexos para uso pessoal. Mas são justamente essas organizações que podem usar a combinação de escala e acessibilidade da nuvem com controle local de dados específicos.
Aqui estão alguns benefícios de proteção dos sistemas de segurança em nuvem híbrida:
A segmentação de serviços pode ajudar uma organização a controlar acesso e armazenamento dos seus dados. Por exemplo: salvar dados mais sigilosos no local enquanto descarrega outros dados, aplicativos e processos na nuvem pode ajudar a criar uma camada de segurança adequada. Além disso, separar os dados pode melhorar a capacidade de sua organização de garantir sua conformidade jurídica com as regulações de dados.
Os ambientes de nuvem híbrida também facilitam a redundância. Ao utilizar operações diárias de servidores de nuvem pública e sistemas reserva em servidores de dados locais, as organizações podem manter suas operações em funcionamento no caso de um data center sair do ar ou ser infectado com ransomware.
Enquanto empresas podem insistir em uma nuvem privada - o equivalente à Internet de possuir seu próprio prédio de escritórios ou campus - indivíduos e empresas menores precisam gerenciar com o serviço de nuvem pública. Isto é como compartilhar um escritório ou viver em um bloco de apartamentos com centenas de outros moradores. Portanto, a sua segurança precisa ser uma consideração principal.
Em aplicações de pequenas e médias empresas, você perceberá que a segurança na nuvem depende principalmente dos provedores públicos utilizados.
No entanto, há medidas que você pode adotar para se manter seguro:
Uma vez que a computação em nuvem é agora utilizada por mais de 90% das grandes empresas, a segurança em nuvem é uma parte vital da cibersegurança corporativa. Serviços de nuvem privada e outras infraestruturas mais caras podem ser viáveis para organizações de nível empresarial. Contudo, você ainda precisa assegurar que a TI interna esteja devidamente configurada para manutenção de toda a superfície de suas redes.
Para uso empresarial em larga escala, a segurança na nuvem pode ser muito mais flexível se você fizer certos investimentos em infraestrutura.
Há alguns pontos importantes a serem levados em conta:
Portanto, se você é um usuário de nuvem de nível pessoal, PME ou até mesmo usuário de nível corporativo, é importante assegurar que sua rede e dispositivos estejam o mais seguros possíveis. Isso começa com uma compreensão clara da segurança cibernética básica em um nível de usuário individual, além de garantir que sua rede e todos os dispositivos sejam protegidos por meio de uma solução de segurança robusta desenvolvida para a nuvem.
Produtos relacionados:
Artigos relacionados: