Jump to section

O que há de diferente na segurança em nuvem?

Copiar URL

A segurança em nuvem é a proteção de dados, aplicações e infraestruturas relativos aos serviços de nuvem e à cloud computing. Muitos aspectos da segurança de ambientes de nuvem (pública, privada ou híbrida) são os mesmos de qualquer arquitetura de TI on-premise.

Seja qual for o seu tipo de implantação de nuvem, é sua responsabilidade protegê-la. Usar uma cloud com manutenção terceirizada não elimina suas responsabilidades e preocupações. Uma das principais causas das falhas na segurança é a falta de diligência prévia. A segurança em nuvem é responsabilidade de todos. Isso inclui:

Usar aplicações confiáveis

Os dados que a sua nuvem armazena são importantes. Assim como fazemos com os códigos de fonte externa, é necessário verificar a procedência dos pacotes, quem os criou e se há códigos maliciosos neles. Adquira softwares de fontes conhecidas e confiáveis e tenha mecanismos para provisionar e instalar atualizações na hora certa.

Entender a conformidade

Dados em nuvem confidenciais, financeiros e pessoais estão sujeitos a regulamentos de conformidade rígidos. As leis variam de acordo com seu local de operação e com quem você faz negócios. Por exemplo, veja o Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia. Verifique os requisitos de conformidade antes de escolher uma implantação de cloud.

Gerenciar os ciclos de vida

Os ambientes nativos da cloud facilitam a inicialização de novas instâncias, assim como o esquecimento das mais antigas. As instâncias abandonadas continuam ativas, mas não são monitoradas. Elas se tornam desatualizadas com rapidez e novos patches de segurança não são aplicados. O gerenciamento do ciclo de vida e as políticas de governança podem ajudar.

Considerar a portabilidade

Você consegue transferir suas cargas de trabalho para outra cloud com facilidade? Os contratos de nível de serviço (SLA) precisam definir com clareza quando e como o fornecedor da cloud retornará os dados ou aplicações do cliente. Mesmo que você não tenha intenções de transferir cargas em breve, é provável que isso aconteça no futuro. Considere a portabilidade agora e evite as preocupações posteriores com dependência.

Monitoramento contínuo

Monitorar o que acontece nos ambientes de trabalho ajuda a evitar violações de segurança ou, pelo menos, inibir os efeitos delas.

Escolha do provedor de nuvem ideal

Tenha funcionários e parceiros confiáveis, qualificados e que entendem as complexidades dos serviços e da segurança em nuvem. Às vezes, a infraestrutura da nuvem pública pode ser mais segura do que uma nuvem privada específica de uma organização. Isso ocorre porque o provedor da nuvem pública tem uma equipe de segurança melhor informada e preparada.

OK, vamos discutir esse assunto. Em vez de falar sobre as diferenças de segurança nas três implantações de nuvem (pública, privada e híbrida), vamos abordar o que está em questão: "As nuvens públicas são seguras?". A resposta depende de alguns fatores.

As nuvens públicas, por exemplo, como Amazon Web Services (AWS), Microsoft Azuree Google, são adequadamente protegidas para muitos tipos de carga de trabalho, mas não são adequadas para tudo, principalmente porque elas não têm o isolamento das nuvens privadas. As nuvens públicas oferecem suporte a multilocação. Ou seja, você aluga capacidade de computação (ou espaço de armazenamento) do provedor de serviços em nuvem junto com outros "locatários". Cada um deles assina um acordo de nível de serviço (SLA) com o fornecedor da nuvem, que documenta quem é responsável pelo quê. É muito parecido com o aluguel de um espaço físico. O proprietário (fornecedor da cloud) se compromete a manter o edifício (infraestrutura em cloud), guardar as chaves (acesso) e não perturbar o locatário (privacidade). Em troca, o locatário promete não fazer nada que afete negativamente a integridade do edifício ou incomode os vizinhos (por exemplo, executar aplicações não seguras). No entanto, não é possível escolher seus vizinhos. Consequentemente, existe uma probabilidade de haver ameaças à segurança. Embora a equipe de segurança de infraestrutura do provedor da nuvem fique de olho em eventos incomuns, as ameaças escondidas ou agressivas, como ataques distribuídos de negação de serviço (DDoS) maliciosos, ainda podem afetar negativamente outros locatários.

Felizmente, há alguns padrões de segurança, regulamentos e frameworks de controle aceitos pelo setor, como o Cloud Controls Matrix da Cloud Security Alliance. Também é possível se isolar em um ambiente de multilocação ao implantar mais ferramentas de segurança, como criptografia e técnicas de redução de DDoS, que protegem as cargas de trabalho contra uma infraestrutura comprometida. Se isso não for suficiente, será possível implantar brokers de segurança de acesso à cloud para monitorar as atividades e aplicar políticas de segurança em funções corporativas de baixo risco. No entanto, tudo isso pode não ser suficiente nos setores que operam sob regulamentos rígidos de privacidade, segurança e conformidade.

DevSecOps é a combinação de estratégias de segurança e práticas de DevOps como meio de aumentar a segurança da TI e reduzir o risco nos ambientes de software das organizações. Tecnologias nativas em nuvem como Kubernetes, containers, microsserviços e service meshes se tornaram muito populares porque oferecem os componentes necessários para que as organizações criem, implantem e executem aplicações de nuvem de maneira mais dinâmica, confiável e em maior escala do que era possível anteriormente. 

As mudanças introduzidas pelas tecnologias nativas em nuvem exigem que as organizações evoluam sua segurança para um modelo de DevSecOps. Isso significa que as equipes de segurança e engenharia precisam trabalhar juntas para desenvolver estratégias que ajudem suas organizações a criar e executar aplicações modernas e escaláveis, com práticas de shift left que incorporam a segurança no início do ciclo de vida de desenvolvimento do software e fluxos de trabalho que implementam a segurança como código .

Multiple icons forming a circle around a business man icon

As medidas de segurança estão muito relacionadas à tolerância a riscos e à análise do custo-benefício. Como os possíveis riscos e benefícios afetam a integridade geral da organização? O que é mais importante? Nem toda carga de trabalho requer o mais alto nível de criptografia e segurança cibernética. Pense da seguinte forma: trancar a porta de casa mantém todos os pertences relativamente seguros, mas você ainda pode querer guardar os objetos de valor em um cofre. É bom ter opções.

É por isso que cada vez mais empresas estão adotando as nuvens híbridas, que proporcionam o que há de melhor em todas as nuvens. A nuvem híbrida é a combinação de dois ou mais ambientes de nuvem (pública ou privada) interconectados.

Com as nuvens híbridas, é possível escolher a localização das cargas de trabalho e dos dados com base nos requisitos de conformidade, auditoria, política ou segurança. Isso protege as cargas mais confidenciais na nuvem privada, enquanto você opera as mais comuns na pública. Há alguns desafios de segurança específicos da nuvem híbrida, como migração de dados, maior complexidade e extensa superfície de ataque. No entanto, a presença de vários ambientes é uma das defesas mais fortes contra os riscos à segurança.

Leia mais sobre como a Red Hat aborda a segurança e a conformidade

The referenced media source is missing and needs to be re-embedded.

Leitura recomendada

ARTIGO

O que é DevSecOps?

Se você quiser aproveitar ao máximo a agilidade e a capacidade de resposta do DevOps, a equipe de segurança da TI precisará participar de todo o ciclo de vida das suas aplicações.

ARTIGO

O que há de diferente na segurança em nuvem?

As preocupações gerais sobre a segurança afetam os sistemas de TI tradicionais e em nuvem. Descubra qual é a diferença.

ARTIGO

O que é SOAR?

Ele se refere a três importantes recursos de software usados pelas equipes de segurança: gerenciamento de casos e de fluxos de trabalho, automação de tarefas e acesso a meios centralizados de consulta e compartilhamento de informações sobre ameaças.

Leia mais sobre segurança

Soluções Red Hat

Um framework de segurança para gerenciar identidades de usuários e manter a privacidade das comunicações.

Uma solução de segurança empresarial em containers nativa do Kubernetes  que viabiliza a criação, implantação e execução de aplicações nativas em nuvem.

Um serviço de análises preditivas que ajuda a identificar e corrigir ameaças de segurança, desempenho e disponibilidade à sua infraestrutura Red Hat.

Um console individual, com políticas de segurança integradas, para controlar aplicações e clusters do Kubernetes.

Conteúdo adicional