30 de novembro de 2023
Por Claire Hatcher - Directora Regional de Vendas, Reino Unido, Skyhigh Security
A responsabilidade partilhada é um conceito que todos nós compreendemos intuitivamente, mas que muitas organizações não compreendem totalmente quando se trata de proteger a nuvem. Ou as estruturas que o explicam são relativamente novas ou as expectativas não foram suficientemente claras. Infelizmente, muitas organizações estão a deixar cair a bola por não compreenderem totalmente as suas próprias funções e responsabilidades, e o resultado final são lacunas e violações de segurança.
Tendo em conta que 90% dos profissionais de TI já sofreram uma violação de cibersegurança, a computação em nuvem - tal como todas as tecnologias - não é infalível. Embora os fornecedores de serviços de computação em nuvem (CSP) forneçam algumas ferramentas e serviços de segurança avançados, há claramente alguns mal-entendidos do lado do cliente sobre o que os CSP realmente protegem. Talvez uma analogia possa ajudar a clarificar quem faz o quê e a dissipar alguns mitos e confusões.
Como o enquadramento mental correto pode evitar uma catástrofe
Vejamos o aluguer de uma propriedade de férias num mercado em linha. O mercado em linha fornece a infraestrutura subjacente para facilitar a transação. Você estabelece contacto com o proprietário do imóvel através da plataforma. O mercado em linha é responsável por fornecer uma plataforma segura para efetuar esta transação. O proprietário é responsável pelo imóvel em si. Por exemplo, ele deve instalar fechaduras nas portas e janelas do aluguer - e você é responsável pela utilização das fechaduras. Não pode esperar que o mercado em linha seja responsável por garantir que não é assaltado durante a sua estadia numa propriedade, especialmente se não utilizar os mecanismos fornecidos - neste caso, fechaduras - para proteger a propriedade e os seus pertences.
Outra analogia é a compra ou aluguer de ferramentas numa loja de ferragens. Os vendedores podem ter alguma responsabilidade se a ferramenta se partir ou não funcionar, mas cabe-lhe sempre a si usar proteção para os olhos, garantir um ambiente de trabalho seguro e utilizar as ferramentas de forma responsável.
As organizações precisam de compreender que não é assim tão diferente para elas no que diz respeito às plataformas de serviços em nuvem que utilizam. Os CSP não são responsáveis por todas as violações de segurança. O cliente tem um papel importante a desempenhar e partilha a responsabilidade pela segurança do seu ambiente de nuvem pública.
Entre no modelo de responsabilidade partilhada
Os CSPs definiram claramente as suas responsabilidades no que diz respeito à segurança. A Amazon Web Services (AWS) e a Microsoft Azure publicaram modelos de responsabilidade partilhada de segurança na nuvem para delinear quem é responsável por quê. Embora os detalhes dependam do facto de o modelo ser software como serviço (SaaS), infraestrutura como serviço (IaaS) ou plataforma como serviço (PaaS), geralmente o cliente empresarial é responsável por estes aspectos da segurança na nuvem:
- Segurança dos terminais
- Segurança da rede
- Configurações
- Gestão de Identidade e Acesso (IAM)
- Classificação e responsabilização dos dados
- Controlo da colaboração de dados
- Máquinas virtuais
- Segurança de cargas de trabalho e contentores
O fornecedor de serviços na nuvem, por outro lado, é responsável por:
- Segurança física e manutenção das suas próprias instalações, incluindo energia eléctrica e ligação à Internet
- Infraestrutura informática do anfitrião, incluindo servidores, sistemas operativos, aplicação de patches, equilíbrio de carga, escalonamento, armazenamento e configuração de serviços de plataforma
- Controlos de rede e serviços de fornecedores
Voltando à nossa analogia com as fechaduras das portas e janelas do aluguer de férias, os CSP têm várias defesas de segurança incorporadas nos seus serviços, mas cabe ao cliente implementá-las para proteger as suas próprias redes, utilizadores, dados vitais e aplicações.
Para compreender totalmente as suas funções e responsabilidades como cliente de qualquer serviço de nuvem, é importante rever cuidadosamente o acordo de nível de serviço (SLA). Não faça suposições. O SLA esclarecerá exatamente quais os aspectos de segurança pelos quais é responsável e quais as funcionalidades e políticas que precisa de configurar corretamente desde o início para obter todas as vantagens da plataforma. Num mundo complexo de várias nuvens, isto pode ser um desafio do ponto de vista administrativo, mas a abordagem das suas responsabilidades antecipadamente para garantir que os seus dados na nuvem estão seguros vale totalmente o tempo e o esforço necessários.
A segurança na nuvem é um desporto de equipa, e todos têm de carregar a bola quando chega a sua vez. Os modelos de responsabilidade partilhada fornecem uma estrutura para o ajudar a compreender as regras do jogo.
Para saber como Skyhigh Security pode ajudá-lo a cumprir as suas responsabilidades e a proteger os seus dados em plataformas de nuvem pública, visite o nosso sítio Web.
Voltar aos blogues