O que é segurança na nuvem?

Definição de segurança na nuvem

A segurança na nuvem é uma disciplina de cibersegurança dedicada à proteção de sistemas de computação na nuvem. Isso inclui resguardar a segurança e privacidade de dados em infraestrutura, aplicativos e plataformas on-line. Proteger esses sistemas envolve os esforços de provedores da nuvem e dos clientes que as utilizam, seja no caso de pessoa física, pequenas e médias empresas ou grandes organizações.

Os provedores de nuvem hospedam serviços em servidores através de conexões de Internet sempre disponíveis. Uma vez que seus negócios dependem da confiança do cliente, métodos de segurança da nuvem são usados para manter dados de clientes armazenados de forma segura e privada. No entanto, a segurança da nuvem também depende, em parte, das ações dos clientes. Entender as duas faces dessa moeda é essencial para uma solução de segurança da nuvem eficaz.

Na sua base, a segurança da nuvem é composta das seguintes categorias:

• Segurança de dados
• Gerenciamento de acesso e identidade (IAM)
• Governança (políticas sobre prevenção de ameaças, detecção e mitigação)
• Retenção de dados (DR) e planejamento de continuidade de negócios (BC)
• Compliance jurídico

A segurança da nuvem pode parecer como a segurança de TI de legado, mas essa estrutura na verdade exige uma abordagem diferente. Antes de entrar em mais detalhes, primeiro vamos conferir o que de fato é a segurança da nuvem.

O que é segurança na nuvem?

A segurança na nuvem é o pacote completo de tecnologia, protocolos e melhores práticas que protege os ambientes de computação em nuvem, aplicativos em execução na nuvem e dados mantidos na nuvem. Proteger a nuvem começa com entender o que exatamente é protegido, além dos aspectos de sistema que precisam ser gerenciados.

Como um resumo, o desenvolvimento de back-end contra vulnerabilidades de segurança depende, na maior parte, de provedores de serviços na nuvem. Além de escolher um provedor que se preocupe com a segurança, os clientes precisam se concentrar principalmente na configuração adequada de serviço e em hábitos seguros de uso. Outro ponto importante é que os clientes devem garantir que quaisquer redes e hardware de usuário final estejam devidamente protegidos.

O escopo completo da segurança da nuvem foi projetado para proteger os seguintes pontos, quaisquer que sejam suas responsabilidades:

• Redes físicas — roteadores, energia elétrica, cabeamento, controles de climatização etc.
• Armazenamento de dados — discos rígidos etc.
• Servidores de dados — hardware e software de computação de rede essencial
• Estruturas de virtualização de computador — software de máquina virtual, máquinas de host e máquinas de convidados
• Sistemas operacionais (OS) — software que oferece suporte para todas as funções do computador
• Middleware — gestão de interface de programação de aplicativos (API),
• Ambientes de tempo de execução — execução e manutenção de um programa em operação
• Dados — todas as informações armazenadas, modificadas e acessadas
• Aplicativos — serviços de software tradicionais (e-mail, software tributário, conjuntos de produtividade etc.)
• Hardware de usuário final — computadores, dispositivos móveis, dispositivos da Internet das Coisas (IoT)

Com a computação na nuvem, a responsabilidade desses componentes pode variar significativamente. Isso pode tornar o escopo de deveres de segurança do cliente algo que não é tão claro. Já que proteger a nuvem pode parecer diferente com base em quem tem a autoridade sobre qual componente, é importante entender como eles são normalmente agrupados.

Para simplificar: os componentes de computação na nuvem são protegidos a partir de dois pontos de vista principais:

1. Tipos de serviço na nuvem são oferecidos por provedores terceirizados como módulos usados para criar o ambiente de nuvem. Dependendo do tipo de serviço, você pode gerenciar um nível diferente de componentes no serviço:

• O núcleo de qualquer serviço de nuvem terceirizado envolve o provedor gerenciar a rede física, armazenamento de dados, servidores de dados e estruturas de virtualização de computador. O serviço é armazenado nos servidores do provedor e virtualizado através da rede gerenciada internamente deles para ser entregue a clientes por acesso remoto. Isso elimina custos de hardware e outras despesas de infraestrutura para dar aos clientes acesso às suas necessidades de computação em qualquer lugar por conectividade com a Internet.
• Os serviços de nuvem de software como um serviço (SaaS) oferecem aos clientes acesso a aplicativos que são puramente hospedados e executados nos servidores do provedor. Os provedores gerenciam os aplicativos, dados, tempo de execução, middleware e sistema operacional. Os clientes só precisam cuidar de seus aplicativos. Entre os exemplos de SaaS, estão Google Drive, Slack, Salesforce, Microsoft 365, Cisco WebEx e Evernote.
• os serviços de nuvem de plataforma como um serviço oferecem aos clientes um host para desenvolver seus próprios aplicativos, que são executados no próprio espaço de "área restrita" de um cliente em servidores do provedor. Os provedores gerenciam o tempo de execução, middleware e sistema operacional. Os clientes ficam encarregados de gerenciar seus aplicativos, dados, acesso de usuário, dispositivos de usuário final e redes de usuário final. Entre os exemplos de PaaS estão Google App Engine e Windows Azure.
• Os serviços de nuvem de infraestrutura como um serviço (IaaS) oferecem aos clientes o hardware e as estruturas de conectividade remota para abrigar a maior parte de sua computação, inclusive o sistema operacional. Os provedores só gerenciam serviços de nuvem de núcleo. Os clientes ficam encarregados de proteger tudo o que vai sobre um sistema operacional, como aplicativos, dados, tempos de execução, middleware e o próprio SO. Além disso, os clientes precisam gerenciar o acesso de usuário, dispositivos de usuário final e redes de usuário final. Entre os exemplos de IaaS estão Microsoft Azure, Google Compute Engine (GCE) e Amazon Web Services (AWS).

2. Os ambientes de nuvem são modelos de implantação nos quais um ou mais serviços de nuvem criam um sistema para os usuários finais e organizações. Eles segmentam as responsabilidades de gestão - incluindo segurança - entre clientes e fornecedores.

Atualmente, os ambientes de nuvem usados são:

• Ambientes de nuvempública são compostos de serviços de nuvem multilocatários nos quais um cliente compartilha os servidores de um provedor com demais clientes, como um prédio de escritórios ou espaço de coworking. Esses são serviços de terceiros executados pelo provedor para fornecer aos seus clientes acesso pela Web.
• Ambientes de nuvem de terceirosprivados são baseados no uso de um serviço de nuvem que oferece ao cliente o uso exclusivo de sua própria nuvem. Tais ambientes com um só locatário geralmente são de propriedade, gerenciados e operados externamente por um provedor externo.
• Ambientes de nuvem internos e privados também são compostos de servidores de serviço de nuvem de um só locatário, mas operados a partir de seu próprio data center privado. Nesse caso, o ambiente de nuvem é administrado pela própria empresa para possibilitar a configuração total de cada elemento.
• Ambientes multinuvem incluem o uso de dois ou mais serviços de nuvem de provedores separados. Eles podem ser qualquer combinação de serviços de nuvem pública e/ou privada.
• Ambientes de nuvem híbrida são compostos do uso de uma combinação de nuvem privada de terceiros e/ou data center de nuvem privada no local com uma ou mais nuvens públicas.

Partindo de tal perspectiva, podemos entender que a segurança baseada na nuvem pode ser um pouco diferente com base no tipo de espaço na nuvem no qual os usuários estão trabalhando. Mas os efeitos são sentidos por todos os clientes, sejam eles indivíduos ou organizações.

Como funciona a segurança na nuvem?

Cada medida de segurança na nuvem visa realizar um ou mais dos seguintes objetivos:

• Possibilitar a recuperação no caso de perda de dados
• Proteger o armazenamento e as redes contra roubo malicioso de dados
• Determinar se houve erro humano ou negligência na causa vazamento de dados
• Reduzir o impacto de qualquer comprometimento de dados ou sistema

A segurança de dados é um aspecto da segurança na nuvem que envolve a finalidade técnica da prevenção de ameaças. Ferramentas e tecnologias permitem que fornecedores e clientes instalem barreiras entre o acesso e a visibilidade de dados sigilosos. Entre elas, a criptografia é uma das ferramentas mais eficientes disponíveis. A criptografia codifica os seus dados para que só possam ser lidos por alguém que tenha a chave de criptografia. Se seus dados forem perdidos ou roubados, eles serão efetivamente ilegíveis e sem sentido. As proteções de trânsito de dados, como redes privadas virtuais (VPNs), também são destacadas em redes na nuvem.

O gerenciamento de identidade e acesso (IAM) está relacionado aos privilégios de acessibilidade oferecidos às contas de usuário. O gerenciamento de autenticação e autorização de contas de usuário também é válido aqui. Os controles de acesso são essenciais para impedir que usuários - legítimos ou maliciosos - acessem e comprometam dados e sistemas confidenciais. Gerenciamento de senhas, autenticação multifator e outros métodos fazem parte do escopo do IAM.

A governança se concentra em políticas para prevenção, detecção e mitigação de ameaças. Com PME e empresas, aspectos como inteligência sobre ameaças podem ajudar a rastrear e priorizar ameaças para manter sistemas essenciais protegidos com zelo. No entanto, até mesmo clientes de nuvem que sejam indivíduos podem se beneficiar ao dar o devido valor ao treinamento e às políticas de comportamento seguro do usuário. Elas são usadas principalmente em ambientes organizacionais, mas as regras para uso seguro e resposta a ameaças podem ser úteis para qualquer usuário.

A retenção de dados (DR) e o planejamento de continuidade de negócios (BC) envolvem medidas técnicas de recuperação de desastres no caso de perda de dados. O centro de qualquer plano de DR e BC são os métodos de redundância de dados, como os backups. Além disso, contar com sistemas técnicos para garantir operações ininterruptas pode ser útil. Estruturas para testar a validade de backups e instruções de recuperação detalhadas para funcionários são de igual importância para um plano de BC completo.

O compliance jurídico está relacionado à proteção da privacidade do usuário conforme definido pelos órgãos legislativos. Os governos assumiram para si a importância de proteger as informações privadas dos usuários contra exploração para fins lucrativos. Dessa forma, as organizações devem seguir as regulações para cumprir essas políticas. Uma abordagem possível é o uso de mascaramento de dados, que ocultam a identidade nos dados através de métodos de criptografia.

O que torna a segurança da nuvem diferente?

A segurança de TI tradicional passou por uma enorme evolução devido à mudança para a computação baseada na nuvem. Embora os modelos de nuvem permitem mais conveniência, a conectividade sempre ativa requer novas considerações para manutenção da segurança. A segurança da nuvem, como uma solução de segurança cibernética modernizada, se destaca dos modelos de TI de legado de certas formas.

Armazenamento de dados: A maior diferença é que os modelos mais antigos de TI dependiam muito do armazenamento de dados local. As organizações perceberam há muito tempo que desenvolver todas as estruturas de TI internamente para controles de segurança detalhados e personalizados é tarefa cara e complexa. As estruturas baseadas na nuvem não só ajudaram a reduzir os custos de desenvolvimento e manutenção do sistema, mas também eliminaram parte do controle dos usuários.

Dimensionamento de velocidade: Em uma comparação semelhante, a segurança na nuvem exige atenção exclusiva ao escalonar os sistemas de TI da organização. A infraestrutura e os aplicativos centrados na nuvem são bastante modulares e rápidos para mobilizar. Embora essa capacidade mantenha os sistemas ajustados de modo uniforme às mudanças organizacionais, ela apresenta considerações quando a necessidade de uma organização por upgrades e conveniência ultrapassa sua capacidade de acompanhar o ritmo da segurança.

Interface com o sistema do usuário final: Tanto ara organizações quanto pessoas, os sistemas em nuvem também fazem interface com muitos outros sistemas e serviços que precisam ser protegidos. As permissões de acesso devem ser mantidas do nível do dispositivo do usuário final até aquele do software, sem se esquecer do nível de rede. Além disso, os provedores e usuários estar precisam atentos às vulnerabilidades que possam causar por meio de configurações e comportamentos inseguros de acesso ao sistema.

Proximidade com outros dados e sistemas em rede: Uma vez que os sistemas na nuvem são uma conexão persistente entre os provedores de nuvem e todos os seus usuários, esta grande rede pode comprometer até o próprio provedor. Em ambientes de rede, um único dispositivo ou componente fraco pode ser explorado para infectar os demais. Os provedores de nuvem ficam expostos a ameaças de muitos usuários finais com os quais interagem, estejam esses provedores fornecendo armazenamento de dados ou outros serviços. As responsabilidades adicionais de segurança de rede ficam com os fornecedores que, de outra forma, entregaram os produtos puramente em sistemas de usuário final em vez dos seus próprios.

Solucionar a maioria dos problemas de segurança na nuvem significa que os usuários e provedores de nuvem - tanto em ambientes pessoais quanto de negócios - devem permanecer proativos sobre suas próprias funções na cibersegurança. Essa abordagem dupla significa que usuários e provedores devem cuidar mutuamente de:

• Manutenção e configuração seguras do sistema.
• Educação sobre segurança do usuário - tanto comportamental quanto técnica.

Por fim, os provedores e usuários de nuvem devem ter transparência e se responsabilizar por garantir que ambas as partes fiquem seguras.

Riscos de segurança na nuvem

Quais são os problemas de segurança na computação na nuvem? Já que, se você não os conhecer, como deve implementar as medidas corretas? Afinal, a segurança baixa na nuvem pode expor usuários e provedores a todos os tipos de ameaças à cibersegurança. Entre algumas ameaças comuns de segurança na nuvem, estão :

• Riscos de infraestrutura baseada na nuvem, incluindo estruturas de TI de legado incompatíveis e interrupções no serviço de armazenamento de dados de terceiros.
• Ameaças internas devido a erro humano, como configuração incorreta dos controles de acesso do usuário.
• Ameaças externas causadas quase que exclusivamente por agentes maliciosos, como malware, phishing e ataques de DDoS.

O maior risco com a nuvem é que não há perímetro. A cibersegurança tradicional focada em proteger o perímetro, mas os ambientes em nuvem são altamente conectados, o que significa APIs (Interfaces de programação de aplicativos) inseguras e os sequestros de contas podem gerar problemas reais. Diante dos riscos de segurança da computação em nuvem, os profissionais de cibersegurança precisam mudar para uma abordagem focada em dados.

A interconectividade também traz problemas para redes. Pessoas maliciosas frequentemente violam redes por meio de credenciais comprometidas ou fracas. Quando um hacker consegue obter acesso, ele pode facilmente se expandir e usar interfaces mal protegidas na nuvem para localizar dados em diferentes bancos de dados ou nós. Ele pode até mesmo usar a sua própria nuvem servidores como destino onde podem exportar e armazenar quaisquer dados roubados. A segurança tem de ser na nuvem - não apenas para proteção do acesso aos dados da sua nuvem.

O armazenamento de terceiros dos seus dados e o acesso pela Internet também representam suas ameaças por si só. Se, por algum motivo, esses serviços forem interrompidos, o seu acesso aos dados pode ser perdido. Por exemplo: uma falha na rede telefônica pode significar que você não consegue acessar a nuvem em um momento essencial. Ou uma queda de energia pode afetar o data center onde seus dados estão armazenados, possivelmente com perda permanente de informações.

Tais interrupções podem ter desdobramentos a longo prazo. Uma recente queda de energia em uma instalação de dados em nuvem da Amazon resultou em perda de dados para alguns clientes quando os servidores sofreram danos de hardware. Este é um bom exemplo de porque você deve ter backups locais de pelo menos alguns dos seus dados e aplicativos.

Por que a segurança na nuvem é importante

Na década de 90, os dados comerciais e pessoais eram armazenados localmente - assim como a segurança, que era local. Os dados ficavam no armazenamento interno de um PC, em casa, e em servidores corporativos, se você trabalhasse em uma empresa.

A criação da tecnologia de nuvem forçou todos a repensar a segurança cibernética. Seus dados e aplicativos podem estar flutuando entre sistemas remotos e locais - e sempre acessíveis pela Internet. Se você estiver acessando o Google Docs em seu smartphone ou usando o software Salesforce para cuidar de seus clientes, esses dados podem ser mantidos em qualquer lugar. Portanto, protegê-los torna-se mais difícil do que quando se tratava apenas de impedir o acesso de usuários indesejados à sua rede. A segurança na nuvem exige ajustar algumas práticas de TI antigas, mas se tornou mais essencial por dois motivos principais:

1. Conveniência acima da segurança. A computação na nuvem tem crescido exponencialmente como método principal tanto para uso pessoal quanto profissional. A inovação permitiu que novas tecnologias fossem implementadas com maior rapidez do que os padrões de segurança da indústria pudessem acompanhar, colocando mais responsabilidade sobre os usuários e provedores para considerar os riscos da acessibilidade.
2. Centralização e armazenamento multilocatário. Cada componente - partindo da infraestrutura central a pequenos dados como e-mails e documentos - agora pode ser localizado e acessado remotamente em conexões baseadas da Web 24 horas por dia, 7 dias por semana. Toda essa coleta de dados em servidores de alguns dos principais provedores de serviços pode ser extremamente perigosa. Os criminosos agora podem ter como alvo grandes data centers de várias organizações e provocar enormes violações de dados.

Infelizmente, os pessoas maliciosas enxergam o valor dos alvos baseados na nuvem e, cada vez mais, os estudam em busca de vulnerabilidades. Apesar dos provedores de nuvem assumirem várias obrigações de segurança dos clientes, eles não gerenciam tudo. Isso deixa até mesmo os usuários não técnicos com o dever de se informar sobre a segurança na nuvem.

Dito isso, os usuários não estão sozinhos quando o assunto são obrigações de segurança na nuvem. Conhecer o escopo de suas funções de segurança ajudará todo o sistema a ficar bem mais seguro.

Considerações de segurança na nuvem - Privacidade

Foram criadas leis para ajudar a proteger os usuários finais da venda e compartilhamento de seus dados confidenciais. A Regulação Geral de Proteção de Dados (GDPR) e a Lei de Responsabilidade e Portabilidade de Seguros de Saúde (HIPAA) cumprem suas próprias funções para proteger a privacidade, limitando como os dados podem ser armazenados e acessados.

Métodos de gerenciamento de identidade, como o mascaramento de dados, foram usados para separar traços identificáveis dos dados de usuários para conformidade com a GDPR. Para conformidade com a HIPAA, organizações como unidades de saúde devem garantir que seu provedor também faça sua parte na restrição do acesso aos dados.

A Lei CLOUD prevê para os provedores de nuvem suas próprias limitações legais para seguir, potencialmente ao custo da privacidade do usuário. A legislação federal americana agora permite que órgãos federais exijam os dados solicitados de servidores de provedores de nuvem. Embora isso possa permitir que as investigações prossigam com eficácia, a medida pode acabar burlando alguns dos direitos à privacidade e configurar um possível abuso de poder.

Como proteger a nuvem

Felizmente, há muito que você pode fazer para proteger seus próprios dados na nuvem. Vamos conhecer alguns dos métodos populares.

A criptografia é uma das melhores maneiras de proteger seus sistemas de computação na nuvem. Há várias maneiras diferentes de usar a criptografia, e elas podem ser oferecidas por um provedor de nuvem ou por um provedor separado de soluções de segurança em nuvem:

• A criptografia de comunicações com a nuvem de forma integral.
• A criptografia de dados especialmente sigilosos, como credenciais de conta.
• Criptografia de ponta a ponta de todos os dados carregados na nuvem.

Dentro da nuvem, os dados correm mais risco de serem interceptados quando estão em movimento. Quando eles estão se movendo entre um local de armazenamento e outro, ou sendo transmitidos para sua aplicativo no local, estão vulneráveis. Dessa forma, a criptografia de ponta a ponta é a melhor solução de segurança em nuvem para dados críticos. Com a criptografia de ponta a ponta, sua comunicação nunca é disponibilizada para terceiros sem sua chave de criptografia.

Você mesmo pode criptografar seus dados antes de armazená-los na nuvem, ou pode usar um provedor de nuvem que criptografará seus dados como parte do serviço No entanto, se você estiver usando a nuvem apenas para armazenar dados não sensíveis, como gráficos ou vídeos corporativos, a criptografia de ponta a ponta pode ser exagerada. Por outro lado, para informações financeiras, confidenciais ou comercialmente sensíveis, ela é vital.

Se você estiver usando criptografia, lembre-se que a gestão segura e protegida das suas chaves de criptografia é crucial. Tenha uma chave de reserva e, se possível, não a armazene na nuvem. Você também pode querer alterar suas chaves de criptografia regularmente para que, se alguém as acessar, elas sejam bloqueadas para fora do sistema quando você fizer a mudança.

A configuração é outra prática poderosa de segurança na nuvem. Muitas violações de dados na nuvem vêm de vulnerabilidades básicas, como erros de configuração. Ao evitá-los, você reduz significativamente o risco de segurança na nuvem. Se você não se sentir confiante ao fazer isso sozinho, talvez queira considerar o uso de um provedor separado de soluções de segurança em nuvem.

Aqui estão alguns dos princípios que você pode seguir:

1. Nunca deixe as configurações padrão inalteradas. Usar as configurações padrão oferece a um hacker acesso pela porta da frente. Evite fazer isso para complicar o caminho de um hacker até o seu sistema.
2. Nunca deixe um bucket de armazenamento na nuvem aberto. Um bucket aberto pode permitir aos hackers verem o conteúdo apenas abrindo o URL do bucket.
3. Se o fornecedor da nuvem oferecer controles de segurança que você pode ativar, use-os. Não selecionar a opção de segurança correta pode colocá-lo em risco.

Dicas de cibersegurança básica também devem ser incluídas em qualquer implementação de nuvem. Mesmo que você esteja usando a nuvem, as práticas padrão de cibersegurança não devem ser ignoradas. Portanto, vale a pena considerar o seguinte se você quiser estar o mais seguro possível on-line:

• Use senhas seguras. A inclusão de uma combinação de letras, números e caracteres especiais tornará sua senha mais difícil de ser descoberta. Tente evitar escolhas óbvias, como substituir a letra S por um símbolo de $. Quanto mais aleatórias forem as suas sequências, melhor.
• Use um gerenciador de senhas. Você será capaz de definir senhas separadas para cada aplicativo, banco de dados e serviço que você usa - tudo isso sem ter que se lembrar de todas elas. No entanto, é essencial que você proteja o seu gerenciador de senhas com uma senha mestra segura.
• Proteja todos os dispositivos que você usa para acessar seus dados na nuvem, incluindo smartphones e tablets. Se os seus dados estiverem sincronizados em vários dispositivos, qualquer um deles pode ser um elo fraco, colocando toda a sua presença digital em risco.
• Faça backup dos seus dados regularmente para que, no caso de uma interrupção na nuvem ou perda de dados no seu provedor da nuvem, você possa restaurar totalmente os seus dados. Esse backup pode ser em seu PC doméstico, em um disco rígido externo ou até mesmo de nuvem para outra nuvem, desde que você tenha certeza de que os dois provedores de nuvem não compartilham da mesma infraestrutura.
• Modifique as permissões para impedir que qualquer indivíduo ou dispositivo tenha acesso a todos os seus dados, a menos que seja necessário. Por exemplo, as empresas farão isso através de configurações de permissão de banco de dados. Se você tem uma rede doméstica, use redes de convidados para seus filhos, para dispositivos IoT e para sua TV. Guarde o seu passe de "acesso a todas as áreas" para o seu próprio uso.
• Proteja-se com software antivírus e anti-malware. Os hackers podem acessar sua conta facilmente se o malware entrar no seu sistema.
• Não acesse seus dados em uma rede Wi-Fi pública, especialmente se não utilizar autenticação forte. Use uma rede privada virtual (VPN) para proteger o seu gateway para a nuvem.

Armazenamento na nuvem e compartilhamento de arquivos

Os riscos de segurança da computação na nuvem podem afetar a todos, desde empresas até pessoas. Por exemplo: os consumidores podem usar a nuvem para armazenar e fazer backup de arquivos (usando serviços de SaaS como Dropbox), para serviços como e-mail e aplicativos de escritório, ou para fazer formulários e contas de impostos.

Se você usa serviços baseados na nuvem, então também pode precisar considerar como compartilhar dados da nuvem com outros, especialmente se você trabalha como consultor ou freelancer. Enquanto compartilhar arquivos no Google Drive ou outro serviço pode ser uma maneira fácil de compartilhar seu trabalho com clientes, você precisa verificar se você está gerenciando permissões. Afinal, você quer garantir que clientes diferentes não possam ver os nomes ou diretórios uns dos outros ou alterar tais arquivos.

Lembre-se que muitos desses serviços de armazenamento em nuvem comumente disponíveis não criptografam dados. Se você quiser manter seus dados seguros através de criptografia, você precisará usar um software de criptografia para fazer isso você mesmo antes de carregar os dados. Você terá então que dar uma chave aos seus clientes ou eles não serão capazes de ler os arquivos.

Confira a segurança do seu provedor de nuvem

A segurança deve ser um dos principais pontos a serem levados em conta ao escolher um provedor de segurança da nuvem. A sua cibersegurança já não é dever apenas seu: um fornecedor de nuvens deve fazer a sua parte na criação de um ambiente de nuvem seguro e partilhar a responsabilidade pela segurança dos dados.

Infelizmente, as empresas de nuvem não vão compartilhar os planos para a segurança de rede delas. Isso seria equivalente a um banco fornecer a você os detalhes de seu cofre - inclusive com a combinação dos números de abertura.

No entanto, obter as respostas certas para algumas perguntas importantes proporciona a você mais confiança de que seus ativos de nuvem estarão seguros. Além disso, você ficará mais informado se o seu provedor tratou adequadamente dos riscos óbvios de segurança na nuvem. Recomendamos fazer certas perguntas ao seu provedor de nuvem sobre os seguintes temas:

• Auditorias de segurança: "Você realiza auditorias externas e regulares de segurança?"
• Segmentação de dados: "Os dados dos clientes são logicamente segmentados e mantidos separados?"
• Criptografia: "Nossos dados são criptografados? Quais partes deles são criptografadas?"
• Retenção de dados do cliente: "Quais políticas de retenção de dados do cliente são seguidas?"
• Retenção de dados do usuário: "Meus dados são excluídos corretamente se eu cancelar seu serviço de nuvem?"
• Gerenciamento de acesso: "Como os direitos de acesso são controlados?"

Você também deve lembrar de ler os termos de serviço (TOS) do provedor. Ler os TOS é essencial para entender se você está recebendo exatamente aquilo que quer e precisa.

Verifique também se você conhece todos os serviços usados com o seu provedor. Se seus arquivos estão no Dropbox ou com backup em iCloud (nuvem de armazenamento da Apple), isso pode significar que eles estão realmente armazenados nos servidores da Amazon. Por isso, você precisará verificar a AWS, bem como o serviço que está utilizando diretamente.

Soluções de segurança em nuvem híbrida

Os serviços de segurança em nuvem híbrida podem ser uma escolha muito inteligente para clientes em espaços corporativos e de pequenas e médias empresas (PME). Eles são mais viáveis para aplicações em PME e organizações, já que geralmente são bastante complexos para uso pessoal. Mas são justamente essas organizações que podem usar a combinação de escala e acessibilidade da nuvem com controle local de dados específicos.

Aqui estão alguns benefícios de proteção dos sistemas de segurança em nuvem híbrida:

A segmentação de serviços pode ajudar uma organização a controlar acesso e armazenamento dos seus dados. Por exemplo: salvar dados mais sigilosos no local enquanto descarrega outros dados, aplicativos e processos na nuvem pode ajudar a criar uma camada de segurança adequada. Além disso, separar os dados pode melhorar a capacidade de sua organização de garantir sua conformidade jurídica com as regulações de dados.

Os ambientes de nuvem híbrida também facilitam a redundância. Ao utilizar operações diárias de servidores de nuvem pública e sistemas reserva em servidores de dados locais, as organizações podem manter suas operações em funcionamento no caso de um data center sair do ar ou ser infectado com ransomware.

Soluções de segurança na nuvem para PME

Enquanto empresas podem insistir em uma nuvem privada - o equivalente à Internet de possuir seu próprio prédio de escritórios ou campus - indivíduos e empresas menores precisam gerenciar com o serviço de nuvem pública. Isto é como compartilhar um escritório ou viver em um bloco de apartamentos com centenas de outros moradores. Portanto, a sua segurança precisa ser uma consideração principal.

Em aplicações de pequenas e médias empresas, você perceberá que a segurança na nuvem depende principalmente dos provedores públicos utilizados.

No entanto, há medidas que você pode adotar para se manter seguro:

• Segmentação de dados multilocatário: As empresas devem garantir de que seus dados não possam ser acessados por nenhum outro cliente de seus fornecedores de nuvem. Estejam eles armazenados em servidores segmentados ou cuidadosamente criptografados, certifique-se de que medidas de segmentação estejam em vigor.
• Controles de acesso de usuário: O controle de permissões pode significar limitar o acesso do usuário a um nível inadequado. Contundo, adotar uma abordagem restritiva e limitadora para encontrar um equilíbrio pode ser muito mais seguro do que deixar permissões perdidas vagando na sua rede.
• Compliance de dados legais: Manter seus dados em conformidade com as regulamentações internacionais, como a GDPR, é fundamental para evitar multas sérias e danos gravíssimos à reputação. Certifique-se de que medidas, como mascaramento de dados e classificação de informações sigilosas, sejam prioridade para sua organização.
• Escalonamento cuidadoso de sistemas de nuvem: Com a rápida implementação de sistemas na nuvem, reserve tempo para verificar se os sistemas de sua organização dão preferência à segurança em vez da conveniência. Os serviços em nuvem podem se disseminar rapidamente, chegando ao ponto de não ter regulamentação.

Soluções de segurança em nuvem empresarial

Uma vez que a computação em nuvem é agora utilizada por mais de 90% das grandes empresas, a segurança em nuvem é uma parte vital da cibersegurança corporativa. Serviços de nuvem privada e outras infraestruturas mais caras podem ser viáveis para organizações de nível empresarial. Contudo, você ainda precisa assegurar que a TI interna esteja devidamente configurada para manutenção de toda a superfície de suas redes.

Para uso empresarial em larga escala, a segurança na nuvem pode ser muito mais flexível se você fizer certos investimentos em infraestrutura.

Há alguns pontos importantes a serem levados em conta:

• Gerencie ativamente suas contas e serviços: Se você não utiliza mais um serviço ou software, desative-o corretamente. Os hackers podem obter acesso fácil a uma rede inteira na nuvem por meio de contas antigas e inativas através de vulnerabilidades não sanadas.
• Autenticação multifator (MFA): Pode ser dados biométricos, como impressões digitais ou uma senha e um código separado enviado para o seu dispositivo móvel. É demorado, mas útil para os seus dados mais sigilosos.
• Avalie o custo-benefício de uma nuvem híbrida: Segmentar seus dados é muito mais importante no nível empresarial, pois você lidará com quantidades bem maiores de dados. Você precisa ter certeza de que seus dados estão separados dos dados de outros clientes, sejam eles separadamente criptografados ou logicamente segmentados para armazenamento separado. Os serviços de nuvem híbrida podem ajudar nessa parte.
• Desconfie da TI sombra: É primordial orientar seus funcionários para evitar o uso de serviços em nuvem não autorizados em suas redes ou para o trabalho da empresa. Se dados confidenciais forem comunicados por canais desprotegidos, sua organização pode estar exposta a agentes maliciosos ou problemas legais.

Portanto, se você é um usuário de nuvem de nível pessoal, PME ou até mesmo usuário de nível corporativo, é importante assegurar que sua rede e dispositivos estejam o mais seguros possíveis. Isso começa com uma compreensão clara da segurança cibernética básica em um nível de usuário individual, além de garantir que sua rede e todos os dispositivos sejam protegidos por meio de uma solução de segurança robusta desenvolvida para a nuvem.

Produtos relacionados:

• Kaspersky Security Cloud
• Kaspersky Enterprise Hybrid Cloud Security
• Kaspersky Endpoint Security Cloud para PMEs

Artigos relacionados:

• Como escolher o antivírus em nuvem mais adequado
• Por que a segurança de IoT é importante para a sua rede residencial
• Como evitar riscos de segurança em uma rede Wi-Fi pública
• Dicas para gerar senhas seguras e exclusivas