O que é a segurança na nuvem?

Categorias de computação em nuvem

A segurança na nuvem difere consoante a categoria de computação em nuvem utilizada. Existem quatro categorias principais de computação em nuvem:

• Serviços de nuvem pública, operados por um fornecedor de nuvem pública - Estes incluem software como serviço (SaaS), infraestrutura como serviço (IaaS) e plataforma como serviço (PaaS).
• Serviços de nuvem privada, operados por um fornecedor de nuvem pública - Estes serviços fornecem um ambiente de computação dedicado a um cliente, operado por um terceiro.
• Serviços de nuvem privada, operados por pessoal interno - Estes serviços são uma evolução do centro de dados tradicional, em que o pessoal interno opera um ambiente virtual que controla.
• Serviços de nuvem híbrida - As configurações de computação em nuvem privada e pública podem ser combinadas, alojando cargas de trabalho e dados com base na otimização de factores como o custo, a segurança, as operações e o acesso. A operação envolverá pessoal interno e, opcionalmente, o fornecedor de nuvem pública.

Ao utilizar um serviço de computação em nuvem fornecido por um fornecedor de nuvem pública, os dados e as aplicações são alojados por terceiros, o que marca uma diferença fundamental entre a computação em nuvem e a TI tradicional, em que a maioria dos dados era mantida dentro de uma rede autocontrolada. Compreender a sua responsabilidade de segurança é o primeiro passo para criar uma estratégia de segurança na nuvem.

Segmentação das responsabilidades de segurança na nuvem

A maioria dos fornecedores de serviços em nuvem tenta criar uma nuvem segura para os clientes. O seu modelo de negócio depende da prevenção de violações e da manutenção da confiança do público e dos clientes. Os fornecedores de serviços na nuvem podem tentar evitar problemas de segurança na nuvem com o serviço que fornecem, mas não podem controlar a forma como os clientes utilizam o serviço, os dados que adicionam e quem tem acesso. Os clientes podem enfraquecer a cibersegurança na nuvem com a sua configuração, dados sensíveis e políticas de acesso. Em cada tipo de serviço de nuvem pública, o fornecedor de nuvem e o cliente da nuvem partilham diferentes níveis de responsabilidade pela segurança. Por tipo de serviço, estes são:

• Software como serviço (SaaS) - Os clientes são responsáveis pela segurança dos seus dados e do acesso dos utilizadores.
• Plataforma como serviço (PaaS) - Os clientes são responsáveis pela segurança dos seus dados, do acesso dos utilizadores e das aplicações.
• Infraestrutura como serviço (IaaS) - Os clientes são responsáveis pela segurança dos seus dados, acesso de utilizadores, aplicações, sistemas operativos e tráfego de rede virtual.

Em todos os tipos de serviços de nuvem pública, os clientes são responsáveis pela segurança dos seus dados e pelo controlo de quem pode aceder a esses dados. A segurança dos dados na computação em nuvem é fundamental para adotar com êxito e obter os benefícios da nuvem. As organizações que estão a considerar ofertas SaaS populares, como o Microsoft Office 365 ou o Salesforce, têm de planear a forma como irão cumprir a sua responsabilidade partilhada de proteger os dados na nuvem. As que estão a considerar ofertas IaaS, como o Amazon Web Services (AWS) ou o Microsoft Azure, precisam de um plano mais abrangente que comece com os dados, mas que também abranja a segurança das aplicações na nuvem, os sistemas operativos e o tráfego de rede virtual - cada um dos quais também pode introduzir potenciais problemas de segurança dos dados.

Desafios da segurança na nuvem

Uma vez que os dados na nuvem pública são armazenados por terceiros e acedidos através da Internet, colocam-se vários desafios à capacidade de manter uma nuvem segura. Estes são:

• Visibilidade dos dados na nuvem - Em muitos casos, os serviços na nuvem são acedidos fora da rede empresarial e a partir de dispositivos não geridos pelas TI. Isto significa que a equipa de TI precisa de ter a capacidade de ver o próprio serviço de nuvem para ter visibilidade total sobre os dados, em oposição aos meios tradicionais de monitorização do tráfego de rede.
• Controlo sobre os dados da nuvem - No ambiente de um fornecedor de serviços de nuvem externo, as equipas de TI têm menos acesso aos dados do que quando controlavam servidores e aplicações nas suas próprias instalações. Por defeito, os clientes da nuvem têm um controlo limitado e o acesso à infraestrutura física subjacente não está disponível.
• Acesso a dados e aplicações na nuvem - Os utilizadores podem aceder a aplicações e dados na nuvem através da Internet, o que faz com que os controlos de acesso baseados no perímetro tradicional da rede do centro de dados deixem de ser eficazes. O acesso do utilizador pode ser feito a partir de qualquer local ou dispositivo, incluindo a tecnologia "traga o seu próprio dispositivo" (BYOD). Além disso, o acesso privilegiado do pessoal do fornecedor de serviços de computação em nuvem pode contornar os seus próprios controlos de segurança.
• Conformidade - A utilização de serviços de computação em nuvem acrescenta outra dimensão à conformidade regulamentar e interna. O seu ambiente de nuvem pode ter de aderir a requisitos regulamentares, como HIPAA, PCI e Sarbanes-Oxley, bem como a requisitos de equipas internas, parceiros e clientes. A infraestrutura do fornecedor de serviços de nuvem, bem como as interfaces entre os sistemas internos e a nuvem, também estão incluídas nos processos de conformidade e gestão de riscos.
• Violações nativasda nuvem - As violações de dados na nuvem são diferentes das violações no local, na medida em que o roubo de dados ocorre frequentemente utilizando funções nativas da nuvem. Uma violação nativa da Nuvem é uma série de acções de um agente adversário em que "aterra" o seu ataque explorando erros ou vulnerabilidades numa implantação na Nuvem sem utilizar malware, "expande" o seu acesso através de interfaces fracamente configuradas ou protegidas para localizar dados valiosos e "exfiltra" esses dados para o seu próprio local de armazenamento.
• Configuração incorrecta - As violações nativas da nuvem recaem frequentemente na responsabilidade do cliente da nuvem pela segurança, o que inclui a configuração do serviço de nuvem. A pesquisa mostra que apenas 26% das empresas podem atualmente auditar os seus ambientes IaaS para detetar erros de configuração. A configuração incorrecta do IaaS funciona frequentemente como a porta de entrada para uma violação nativa da Nuvem, permitindo que o atacante aterre com sucesso e depois avance para expandir e exfiltrar dados. A pesquisa também mostra que 99% das configurações incorrectas passam despercebidas no IaaS pelos clientes da nuvem. Veja um excerto deste estudo que mostra este nível de desconexão da configuração incorrecta:

• Recuperação de desastres - O planeamento da cibersegurança é necessário para proteger os efeitos de violações negativas significativas. Um plano de recuperação de desastres inclui políticas, procedimentos e ferramentas concebidos para permitir a recuperação de dados e permitir que uma organização continue as suas operações e negócios.
• Ameaças internas - Um funcionário desonesto é capaz de usar serviços de nuvem para expor uma organização a uma violação de segurança cibernética. Um relatório recente da McAfee sobre a adoção da nuvem e os riscos revelou actividades irregulares indicativas de ameaças internas em 85% das organizações.

Soluções de segurança na nuvem

As organizações que procuram soluções de segurança na nuvem devem ter em conta os seguintes critérios para resolver os principais desafios de segurança na nuvem: visibilidade e controlo dos dados na nuvem.

• Visibilidade dos dados na nuvem - Uma visão completa dos dados da nuvem requer acesso direto ao serviço de nuvem. As soluções de segurança na nuvem conseguem isso através de uma ligação de interface de programação de aplicações (API) ao serviço de nuvem. Com uma conexão API, é possível visualizar:
  • Que dados são armazenados na nuvem.
  • Quem está a utilizar os dados na nuvem?
  • As funções dos utilizadores com acesso a dados na nuvem.
  • Com quem os utilizadores da nuvem estão a partilhar dados.
  • Onde estão localizados os dados na nuvem.
  • De onde estão a ser acedidos e descarregados os dados na nuvem, incluindo a partir de que dispositivo.
• Controlo sobre os dados na nuvem - Assim que tiver visibilidade dos dados da nuvem, aplique os controlos que melhor se adequam à sua organização. Estes controlos incluem:
  • Classificação de dados - Classifique os dados em vários níveis, como sensíveis, regulamentados ou públicos, à medida que são criados na nuvem. Uma vez classificados, os dados podem ser impedidos de entrar ou sair do serviço de nuvem.
  • Data Loss Prevention (DLP) - Implemente uma solução DLP na nuvem para proteger os dados contra o acesso não autorizado e desativar automaticamente o acesso e o transporte de dados quando for detectada atividade suspeita.
  • Controlos de colaboração - Faça a gestão de controlos dentro do serviço de nuvem, tais como rebaixar as permissões de ficheiros e pastas para utilizadores específicos para editor ou visualizador, remover permissões e revogar ligações partilhadas.
  • Encriptação - A encriptação de dados na nuvem pode ser utilizada para impedir o acesso não autorizado aos dados, mesmo que esses dados sejam exfiltrados ou roubados.
• Acesso a dados e aplicações na nuvem- Tal como acontece com a segurança interna, o controlo do acesso é um componente vital da segurança da nuvem. Os controlos típicos incluem:
  • Controlo de acesso do utilizador - Implemente controlos de acesso ao sistema e às aplicações que garantam que apenas os utilizadores autorizados acedem aos dados e às aplicações na nuvem. A Cloud Access Security Broker (CASB) pode ser utilizado para impor controlos de acesso
  • Controlo de acesso a dispositivos - Bloqueie o acesso quando um dispositivo pessoal e não autorizado tentar aceder aos dados da nuvem.
  • Identificação de comportamento malicioso - Detecte contas comprometidas e ameaças internas com a análise do comportamento do utilizador (UBA) para que não ocorra a exfiltração de dados maliciosos.
  • Prevenção de malware - Evite que o malware entre nos serviços em nuvem utilizando técnicas como a verificação de ficheiros, listas brancas de aplicações, deteção de malware com base na aprendizagem automática e análise do tráfego de rede.
  • Acesso privilegiado - Identifique todas as formas possíveis de acesso que as contas privilegiadas podem ter aos seus dados e aplicações, e estabeleça controlos para reduzir a exposição.
• Conformidade - Os requisitos e práticas de conformidade existentes devem ser aumentados para incluir os dados e as aplicações que residem na nuvem.
  • Avaliação de riscos - Reveja e actualize as avaliações de riscos para incluir os serviços em nuvem. Identifique e aborde os factores de risco introduzidos pelos ambientes e fornecedores de serviços em nuvem. Estão disponíveis bases de dados de riscos para fornecedores de serviços em nuvem para acelerar o processo de avaliação.
  • Avaliações de conformidade - Reveja e actualize as avaliações de conformidade para PCI, HIPAA, Sarbanes-Oxley e outros requisitos regulamentares de aplicações.