A computação em nuvem apresenta muitos problemas e desafios de segurança únicos. Na nuvem, os dados são armazenados por um fornecedor terceiro e acedidos através da Internet. Isto significa que a visibilidade e o controlo sobre esses dados são limitados. Também levanta a questão de como pode ser devidamente protegido. É imperativo que todos compreendam o seu papel e as questões de segurança inerentes à computação em nuvem.
Os fornecedores de serviços em nuvem tratam as questões e os riscos de segurança da nuvem como uma responsabilidade partilhada. Nesse modelo, o provedor de serviços de nuvem cobre a segurança da própria nuvem, e o cliente cobre a segurança do que coloca nela. Em todos os serviços de computação em nuvem - desde o software como serviço (SaaS), como o Microsoft 365, até à infraestrutura como serviço (IaaS), como o Amazon Web Services (AWS) - o cliente de computação em nuvem é sempre responsável pela proteção dos seus dados contra ameaças à segurança e pelo controlo do acesso aos mesmos.
A maioria dos riscos de segurança da computação em nuvem está relacionada com a segurança dos dados na nuvem. Quer se trate da falta de visibilidade dos dados, da incapacidade de controlar os dados ou do roubo de dados na nuvem, a maioria dos problemas tem a ver com os dados que os clientes colocam na nuvem. Leia abaixo uma análise dos principais problemas de segurança na nuvem em SaaS, IaaS e nuvem privada, ordenados de acordo com a frequência com que são enfrentados por organizações empresariais em todo o mundo.
Os 10 principais problemas de segurança SaaS na nuvem
- Falta de visibilidade dos dados que se encontram nas aplicações em nuvem
- Roubo de dados de uma aplicação em nuvem por um agente malicioso
- Controlo incompleto sobre quem pode aceder a dados sensíveis
- Incapacidade de monitorizar os dados em trânsito de e para as aplicações na nuvem
- As aplicações na nuvem estão a ser fornecidas fora da visibilidade das TI (por exemplo, TI sombra)
- Falta de pessoal com as competências necessárias para gerir a segurança das aplicações na nuvem
- Incapacidade de impedir o roubo ou a utilização indevida de dados por parte de pessoas mal-intencionadas
- Ameaças e ataques avançados contra o fornecedor de aplicações na nuvem
- Incapacidade de avaliar a segurança das operações do fornecedor de aplicações em nuvem
- Incapacidade de manter a conformidade regulamentar
Os problemas de segurança da nuvem SaaS estão naturalmente centrados nos dados e no acesso, porque a maioria dos modelos de responsabilidade de segurança compartilhada deixa esses dois aspectos como responsabilidade exclusiva dos clientes SaaS. É da responsabilidade de cada organização compreender quais os dados que coloca na nuvem, quem pode aceder aos mesmos e qual o nível de proteção que eles (e o fornecedor da nuvem) aplicaram.
Também é importante considerar o papel do fornecedor de SaaS como um potencial ponto de acesso aos dados e processos da organização. Desenvolvimentos como o surgimento do ransomware XcodeGhost e GoldenEye enfatizam que os atacantes reconhecem o valor do software e dos fornecedores de nuvem como um vetor para atacar activos maiores. Como resultado, os atacantes têm estado a aumentar o seu foco nesta potencial vulnerabilidade. Para proteger a sua organização e os seus dados, certifique-se de que examina os programas de segurança do seu fornecedor de serviços na nuvem. Defina a expetativa de ter uma auditoria previsível de terceiros com relatórios partilhados e insista nos termos de comunicação de violações para complementar as soluções tecnológicas.
Os 10 principais problemas de segurança da nuvem IaaS
- Cargas de trabalho e contas na nuvem que estão a ser criadas fora da visibilidade das TI (por exemplo, TI sombra)
- Controlo incompleto sobre quem pode aceder a dados sensíveis
- Roubo de dados alojados em infra-estruturas de nuvem por um agente malicioso
- Falta de pessoal com competências para proteger as infra-estruturas de computação em nuvem
- Falta de visibilidade dos dados que estão na nuvem
- Incapacidade de impedir o roubo ou a utilização indevida de dados por parte de pessoas mal-intencionadas
- Falta de controlos de segurança consistentes em ambientes multi-cloud e locais
- Ameaças e ataques avançados contra infra-estruturas de computação em nuvem
- Incapacidade de monitorizar os sistemas de carga de trabalho em nuvem e as aplicações para detetar vulnerabilidades
- Propagação lateral de um ataque de uma carga de trabalho em nuvem para outra
A proteção dos dados é fundamental no IaaS. À medida que a responsabilidade do cliente se estende a aplicações, tráfego de rede e sistemas operativos, são introduzidas ameaças adicionais. As organizações devem considerar a recente evolução dos ataques que vão além dos dados como o centro do risco de IaaS. Agentes mal-intencionados estão realizando aquisições hostis de recursos de computação para minerar criptomoedas e estão reutilizando esses recursos como um vetor de ataque contra outros elementos da infraestrutura da empresa e de terceiros.
Ao criar uma infraestrutura na nuvem, é importante avaliar a sua capacidade de evitar roubos e controlar o acesso. Determinar quem pode inserir dados na nuvem, rastrear modificações de recursos para identificar comportamentos anormais, proteger e endurecer ferramentas de orquestração e adicionar análise de rede do tráfego norte-sul e leste-oeste como um sinal potencial de comprometimento estão rapidamente se tornando medidas padrão na proteção de implantações de infraestrutura de nuvem em escala.
Os 5 principais problemas de segurança da nuvem privada
- Falta de controlos de segurança consistentes que abranjam o servidor tradicional e as infra-estruturas de nuvem privada virtualizadas
- Aumento da complexidade das infra-estruturas, o que implica mais tempo/esforço de implementação e manutenção
- Falta de pessoal com competências para gerir a segurança de um centro de dados definido por software (por exemplo, computação virtual, rede, armazenamento)
- Visibilidade incompleta da segurança para um centro de dados definido por software (por exemplo, computação virtual, rede, armazenamento)
- Ameaças e ataques avançados
Um fator importante no processo de tomada de decisão para atribuir recursos a uma nuvem pública ou privada é o controlo aperfeiçoado disponível em ambientes de nuvem privada. Nas nuvens privadas, os níveis adicionais de controlo e a proteção suplementar podem compensar outras limitações das implementações de nuvens privadas e podem contribuir para uma transição prática dos centros de dados monolíticos baseados em servidores.
Ao mesmo tempo, as organizações devem ter em conta que a manutenção de um controlo ajustado cria complexidade, pelo menos para além daquilo em que a nuvem pública se transformou. Atualmente, os fornecedores de serviços em nuvem assumem grande parte do esforço de manutenção da infraestrutura. Os utilizadores da nuvem podem simplificar a gestão da segurança e reduzir a complexidade através da abstração dos controlos. Isto unifica as plataformas de nuvem pública e privada acima e através de ambientes físicos, virtuais e híbridos.
Como atenuar os problemas comuns de segurança da computação em nuvem
A sua organização está a utilizar serviços em nuvem, mesmo que esses serviços em nuvem não sejam uma estratégia principal para a sua tecnologia da informação (TI). Para mitigar os riscos de segurança da computação em nuvem, existem três práticas recomendadas que todas as organizações devem seguir:
- Processos DevSecOps - Foi demonstrado repetidamente que o DevOps e o DevSecOps melhoram a qualidade do código, reduzem as explorações e as vulnerabilidades e aumentam a velocidade do desenvolvimento de aplicações e da implementação de funcionalidades. A integração dos processos de desenvolvimento, garantia de qualidade e segurança na unidade de negócio ou na equipa de aplicações - em vez de depender de uma equipa de verificação de segurança autónoma - é crucial para operar à velocidade que o ambiente empresarial atual exige.
- Ferramentas automatizadas de implementação e gestão de aplicações - A escassez de competências de segurança, combinada com o volume e o ritmo crescentes das ameaças à segurança, significa que mesmo o profissional de segurança mais experiente não consegue acompanhar o ritmo. A automatização que elimina as tarefas mundanas e aumenta as vantagens humanas com as vantagens das máquinas é um componente fundamental das operações modernas de TI.
- Segurança unificada com gestão centralizada em todos os serviços e fornecedores - Nenhum produto ou fornecedor pode fornecer tudo, mas várias ferramentas de gestão tornam demasiado fácil que algo passe despercebido. Um sistema de gestão unificado com um tecido de integração aberto reduz a complexidade, juntando as partes e simplificando os fluxos de trabalho.
Finalmente, quando é necessário tomar decisões de compromisso, a prioridade número 1 deve ser uma melhor visibilidade e não um maior controlo. É melhor ser capaz de ver tudo na nuvem do que tentar controlar uma parte incompleta da mesma.