Segurança

O que há de diferente na segurança da cloud?

A segurança da cloud é a proteção de dados, aplicações e infraestruturas envolvidas na cloud computing. Muitos aspectos da segurança de ambientes de cloud (pública, privada ou híbrida) são os mesmos de qualquer arquitetura de TI on-premise.

As preocupações com segurança de alto nível afetam a TI tradicional e os sistemas de cloud do mesmo jeito. Elas incluem a exposição e vazamento de dados não autorizados, controles de acesso fracos, suscetibilidade a ataques e interrupções na disponibilidade. Como qualquer ambiente de computação, a segurança da cloud inclui a manutenção de medidas de proteção preventivas para você:

  • Ter certeza de que os dados e os sistemas estão seguros.
  • Ter visibilidade sobre estado atual da segurança.
  • Saber de imediato se algo incomum acontecer.
  • Acompanhar e solucionar eventos inesperados.

Por que a segurança da cloud é diferente?

Embora muitas pessoas conheçam os benefícios da cloud computing, elas se sentem desencorajadas pelas ameaças à segurança. Nós sabemos que é difícil compreender algo que existe entre os recursos abstratos enviados pela Internet e o servidor físico. É um ambiente dinâmico onde tudo está sempre mudando, como as ameaças à segurança. O fato é que, na maioria das vezes, a proteção da cloud é a segurança da TI. Ao entender todas as diferenças específicas, o termo “cloud” vai soar mais natural e seguro.

Quebra de perímetros

A segurança está muito relacionada ao acesso. Os ambientes tradicionais costumam controlá-lo usando um modelo de segurança por perímetro. Os ambientes de cloud estão altamente conectados, o que facilita a passagem do tráfego pelas defesas tradicionais de perímetro. Interfaces de programação de aplicações (APIs) não seguras, gerenciamento fraco de identidades e credenciais, invasões de conta e usuários internos mal-intencionados são ameaças ao sistema e aos dados. Para impedir o acesso não autorizado na cloud, você precisa de uma abordagem centrada nos dados. Criptografe os dados, fortaleça o processo de autorização, exija senhas mais fortes e use a autenticação em dois fatores. Além disso, crie segurança em cada nível.

Tudo é baseado em software

A “cloud” se refere aos recursos hospedados que são entregues ao usuário por meio de um software. As infraestruturas de cloud computing, além de todos os dados processados, são dinâmicas, escaláveis e portáteis. Seja como partes inerentes das cargas de trabalho (por exemplo, criptografia) ou de forma dinâmica por meio de APIs e sistema de gerenciamento de cloud, os controles de segurança precisam responder às variáveis do ambiente e acompanhar as cargas de trabalho e os dados enquanto estão em repouso e em movimento. Dessa forma, você protege os ambientes de cloud contra a deterioração do sistema e perda de dados.

Cenário de ameaças sofisticadas

As ameaças sofisticadas englobam tudo o que afeta negativamente a computação moderna, incluindo a cloud. O malware cada vez mais sofisticado e outros ataques, como as ameaças persistentes avançadas (APTs), foram projetados para burlar as defesas de rede, tendo como alvo as vulnerabilidades no stack de computação. As violações de dados podem resultar em adulteração e divulgação não autorizada de informações. Não há uma solução evidente para essas ameaças. No entanto, você tem a responsabilidade de se manter atualizado sobre as práticas de segurança na cloud que estão evoluindo para acompanhar as novas ameaças.


Segurança da cloud é uma responsabilidade compartilhada

Seja qual for o seu tipo de implantação de cloud, é sua responsabilidade protegê-la. Usar uma cloud com manutenção terceirizada não elimina suas responsabilidades e preocupações. Uma das principais causas das falhas na segurança é a falta de diligência prévia. A segurança da cloud é responsabilidade de todos. Isso inclui:

Os dados que a sua cloud armazena é importante. Como acontece com qualquer código vindo de uma fonte externa, é necessário a procedência dos pacotes, quem os criou e se há códigos maliciosos neles. Adquira software de fontes conhecidas e confiáveis e garanta a existência de mecanismos para fornecer e instalar atualizações na hora certa.

Os dados confidenciais, financeiros e pessoais estão sujeitos a regulamentos de conformidade rígidos. As leis variam de acordo com seu local de operação e com quem você faz negócios. Por exemplo, veja o Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia. Verifique os requisitos de conformidade antes de escolher uma implantação de cloud.

Os ambientes nativos da cloud facilitam a inicialização de novas instâncias, assim como o esquecimento das mais antigas. As instâncias abandonadas continuam ativas, mas não são monitoradas. Elas se tornam desatualizadas com rapidez, e os novos patches de segurança não são aplicados. O gerenciamento do ciclo de vida e as políticas de governança podem ajudar.

Você consegue transferir suas cargas de trabalho para outra cloud com facilidade? Os contratos de nível de serviço (SLA) precisam definir com clareza quando e como o fornecedor da cloud retornará os dados ou aplicações do cliente. Mesmo que você não tenha intenções de transferir cargas em breve, é provável que isso aconteça no futuro. Considere a portabilidade agora e evite as preocupações posteriores com dependência.

Monitorar o que acontece nos espaços de trabalho ajuda a evitar violações de segurança ou, pelo menos, inibir os efeitos delas. Com uma plataforma unificada de gerenciamento de cloud, como o Red Hat CloudForms, você monitora cada recurso em todos os ambientes.

Contrate e faça parcerias com pessoas confiáveis, qualificadas e que entendem as complexidades da segurança da cloud. Às vezes, a infraestrutura da cloud pública pode ser mais segura do que uma cloud privada específica de uma organização. Isso ocorre porque o fornecedor da cloud pública tem uma equipe de segurança melhor informada e preparada.


As clouds públicas são seguras?

OK, vamos discutir esse assunto. Em vez de falar sobre as diferenças de segurança nas três implantações de cloud (pública, privada e híbrida), vamos abordar a que está em questão. Será que as clouds públicas são seguras? A resposta depende de alguns fatores.

As clouds públicas oferecem a segurança apropriada para diversos tipos de carga de trabalho. No entanto, elas não são adequadas para tudo, principalmente porque elas não têm o isolamento das clouds privadas. As clouds públicas oferecem suporte a múltiplos locatários. Ou seja, você aluga capacidade de computação (ou espaço de armazenamento) do fornecedor da cloud junto com outros “locatários”. Cada um deles assina um SLA com o fornecedor, que documenta quem é responsável pelo quê. É muito parecido com o aluguel de um espaço físico. O proprietário (fornecedor da cloud) se compromete a manter o edifício (infraestrutura em cloud), guardar as chaves (acesso) e não perturbar o locatário (privacidade). Em retorno, o locatário promete não fazer nada que afete negativamente a integridade do edifício ou incomode os vizinhos (por exemplo, executar aplicações não seguras). No entanto, não é possível escolher seus vizinhos. Consequentemente, existe uma probabilidade de haver ameaças à segurança. Embora a equipe de segurança de infraestrutura do fornecedor da cloud fique de olho nos eventos incomuns, as ameaças escondidas ou agressivas, como ataques distribuídos de negação de serviço (DDoS) maliciosos, ainda podem afetar negativamente outros locatários.

Felizmente, há alguns padrões de segurança, regulamentos e estruturas de controle aceitos pelo setor, como o Cloud Controls Matrix da Cloud Security Alliance. Também é possível se isolar em um ambiente de vários locatários ao implantar mais medidas de segurança, como criptografia e técnicas de redução de DDoS, que protegem as cargas de trabalho contra uma infraestrutura comprometida. Se isso não for suficiente, será possível implantar brokers de segurança de acesso à cloud para monitorar as atividades e aplicar políticas de segurança em funções corporativas de baixo risco. No entanto, tudo isso pode não ser suficiente nos setores que operam sob regulamentos rígidos de privacidade, segurança e conformidade.

Diminua riscos com a cloud híbrida

As medidas de segurança estão muito relacionadas à tolerância a riscos e à análise do custo-benefício. Como os possíveis riscos e benefícios afetam a integridade geral da organização? O que é mais importante? Nem toda carga de trabalho requer o mais alto nível de criptografia e segurança. Pense da seguinte forma: trancar a porta de casa mantém todos os pertences relativamente seguros, mas você ainda pode querer guardar os objetos de valor em um cofre. É bom ter opções.

É por isso que mais empresas estão adotando as clouds híbridas, que proporcionam o que há de melhor em todas as clouds. Com as clouds híbridas, é possível escolher a localização das cargas de trabalho e dos dados com base nos requisitos de conformidade, auditoria, política ou segurança. Isso protege as cargas mais confidenciais na cloud privada, enquanto você opera as mais comuns na pública. Há alguns desafios de segurança específicos da cloud híbrida, como migração de dados, maior complexidade e extensa superfície de ataque. No entanto, a presença de vários ambientes é uma das defesas mais fortes contra os riscos à segurança.

Ajudamos você a manter a cloud segura

Uma solução completa de infraestrutura como serviço (IaaS) para clouds privadas com gerenciamento simplificado para implantações de clouds públicas e privadas.

Conjunto unificado de recursos de gerenciamento para clouds públicas, privadas e híbridas e plataformas de virtualização.

Um sistema de software corporativo que oferece uma estrutura escalável e segura para estabelecer e manter as identidades confiáveis e as comunicações privadas.

Um sistema operacional independente, com registro baseado em rede, para que os administradores armazenem centralmente a identidade de usuários e as informações de aplicações.

Você pode fazer muito mais para manter a segurança