O que é segurança em nuvem híbrida?

Publicado 5 de fevereiro de 20196 minutos (tempo de leitura)
Copiar URL

Visão geral

A segurança em nuvem híbrida garante a proteção dos dados, aplicações e infraestruturas em uma arquitetura de TI com portabilidade, orquestração e gerenciamento de cargas de trabalho, combinando diferentes ambientes, pelo menos um deles uma nuvem pública ou privada.

As nuvens híbridas são uma boa alternativa para reduzir a exposição de dados. Com esse tipo de infraestrutura, é possível manter todos dados confidenciais e críticos fora da nuvem pública e, ainda assim, aproveitar todas as vantagens dessa tecnologia em operações que não têm esse mesmo nível de risco.

E-book: Aumente a segurança na nuvem híbrida 

Por que escolher a nuvem híbrida para reforçar a segurança?

As empresas que usam nuvens híbridas podem escolher onde colocar cargas de trabalho e dados, conforme os requisitos e as políticas de conformidade, auditoria e segurança.

A nuvem híbrida é composta de diversos ambientes diferentes e separados. A migração e a transferência de recursos e cargas de trabalho entre esses ambientes são facilitadas pelo uso de containers ou interfaces de programação de aplicações (APIs) criptografadas. É justamente por essa arquitetura ser separada, mas conectada, que as empresas podem executar cargas de trabalho críticas em uma nuvem privada e operações menos sensíveis em uma nuvem pública. Para as empresas, essa é uma estrutura que minimiza a exposição de dados e, ao mesmo tempo, permite ter um portfólio de TI personalizado e flexível.

Faça já uma avaliação da segurança da sua nuvem híbrida

Quais são alguns dos desafios da segurança em nuvem híbrida?

Proteção dos dados

Limite a exposição dos dados da sua organização com a criptografia. Os dados estão sempre em trânsito ou em repouso. Você precisa de variados recursos de segurança para restringir a exposição desses dados em ambos os estados.

Conformidade e governança

Empresas de setores sujeitos a uma rígida regulamentação, como o de saúde, o financeiro e o governamental, precisam considerar mais fatores quando adotam uma infraestrutura de nuvem híbrida. É necessário verificar os ambientes distribuídos para ter certeza de que tudo está em conformidade. Também é preciso saber como implementar os padrões mínimos de segurança personalizados ou regulamentares e como se preparar para as auditorias de segurança.

Segurança na cadeia de suprimentos

Muitas vezes, os ambientes de nuvem híbrida usam soluções e software de diferentes fornecedores, formando um ecossistema complexo. É bom saber como esses fornecedores testam e gerenciam as soluções e software oferecidos.  É preciso entender o processo de inspeção do código-fonte desses componentes, as diretrizes de implementação seguidas, e o cronograma e método de disponibilização de atualizações e patches.

Acesse a biblioteca de conteúdos da Red Hat

Os componentes da segurança em nuvem híbrida

Assim como em sistemas computacionais em geral, a segurança em nuvem híbrida é formada por três componentes: físico, técnico e administrativo.

Os controles físicos são usados na proteção do hardware. Por exemplo, cadeados, vigias e câmeras de segurança.

Os controles técnicos são as proteções incorporadas nos sistemas de TI, como a criptografia, a autenticação de rede e o software de gerenciamento. Muitas das ferramentas de segurança mais eficientes para nuvens híbridas são controles técnicos.

Por fim, os controles administrativos são as iniciativas que servem para orientar as pessoas na adoção de práticas de melhoria da segurança, como treinamentos e planejamento para desastres.

Checklist: 6 benefícios dos ambientes de cloud computing para a segurança

Controles físicos de segurança em nuvem híbrida

As nuvens híbridas podem ser formadas por ambientes distribuídos em diversas localidades. Por isso, manter a segurança física é tão desafiador. Não dá para erguer um muro em torno de todas as máquinas e impedir o acesso.

E quando os recursos são compartilhados, como é o caso da nuvem pública, existem contratos de nível de serviço (SLAs) com o prestador do serviço que definem os padrões da segurança física. Por exemplo, alguns provedores de nuvem pública têm acordos com clientes governamentais para restringir o acesso de pessoas ao hardware físico.

Mas mesmo quando o provedor oferece um SLA excelente, usar a nuvem pública significa ceder parte do controle. Portanto, os outros controles de segurança são ainda mais importantes.

Controles técnicos de segurança em nuvem híbrida

hybrid management diagram

Os controles técnicos são o componente central da segurança em nuvem híbrida. E eles são mais fáceis de implementar devido ao gerenciamento centralizado.

Alguns dos controles técnicos mais eficientes são: criptografia, automação, orquestração, controle do acesso e segurança de endpoints.

Criptografia

A criptografia reduz bastante o risco de exposição de dados legíveis, mesmo no caso de comprometimento da máquina física.

É possível criptografar dados tanto em repouso quanto em trânsito. Saiba como:

Proteção dos dados em repouso:

  • A criptografia do disco inteiro (ou de partições) protege os dados enquanto os computadores estão desligados. Uma boa opção é o formato Linux Unified Key Setup-on-disk (LUSK), que criptografa partições do disco rígido em massa.
  • A criptografia de hardware protege contra o acesso não autorizado ao disco rígido. O Trusted Platform Module (TPM) é um chip de hardware que armazena chaves criptográficas. Quando o TPM é ativado, o disco rígido só é desbloqueado para o usuário que faz a autenticação durante o login.
  • Criptografe volumes raiz sem precisar digitar senhas. Se você tem um ambiente de nuvem altamente automatizado, aproveite para automatizar também a criptografia. Quem usa o Linux pode optar pelo Network Bound Disk Encryption (NBDE), que criptografa máquinas físicas e virtuais. E como vantagem extra, é possível fazer o TPM trabalhar com o NBDE para ter duas camadas de segurança. Use o primeiro para a segurança on-premise e o segundo na proteção de ambientes em rede.

Proteção dos dados em trânsito:

  • Criptografe as sessões de rede. Os dados em trânsito correm um risco muito maior de interceptação e adulteração. Adote o IPsec, uma extensão do protocolo IP que usa criptografia.
  • Escolha soluções com padrões de segurança incorporados.  Prefira aquelas que são compatíveis com o FIPS 140-2, que usa módulos criptográficos para proteger dados com alto risco.

Automação

Para ter uma ideia do quanto a automação combina com a nuvem híbrida, pense nas desvantagens de fazer manualmente o monitoramento e a aplicação de patches.

O monitoramento manual da segurança e da conformidade, na maioria das vezes, traz mais riscos do que recompensas. E no caso do gerenciamento manual de patches e da configuração, a ameaça é a implementação assíncrona. Além disso, é mais difícil implementar sistemas de self-service. Caso ocorra uma violação da segurança, os registros das configurações e correções manuais podem ser perdidos, gerando atritos e uma "caça às bruxas" na equipe. Outro ponto negativo é que os processos manuais são mais propensos a erros e demorados.

Por outro lado, mais do que apenas responder às ameaças, a automação ajuda a se antecipar aos riscos. Com a automação, você pode não só definir regras, mas também compartilhar e verificar processos. E isso facilita bastante a aprovação nas auditorias de segurança. Na hora de avaliar seus ambientes de nuvem híbrida, considere automatizar os seguintes processos:

  • Monitoramento dos ambientes
  • Gerenciamento dos dados
  • Verificação da conformidade
  • Implementação de patches
  • Implementação dos padrões mínimos de segurança personalizados ou regulamentares

Orquestração

A orquestração da nuvem é uma etapa além. Podemos encarar da seguinte forma: se a automação define os ingredientes, a orquestração é o livro de receitas para combinar tudo.

Com a orquestração é possível gerenciar os recursos e os componentes de software da nuvem como se fossem uma coisa só. Depois, é só implantar tudo com a ajuda da automação, usando um template replicável.

A maior dádiva da orquestração para a segurança é a padronização. Você pode aproveitar a flexibilidade da nuvem sem deixar de garantir que os sistemas implantados seguem os padrões de segurança e conformidade.

Controle de acesso

A segurança das nuvens híbridas também depende do controle do acesso. Restrinja o acesso das contas dos usuários aos privilégios que cada pessoa precisa ter. Além disso, considere exigir a autenticação de dois fatores. Limitar o acesso a usuários conectados a uma rede virtual privada (VPN) é outra medida para manter os padrões de segurança.

Segurança de endpoints

Em geral, segurança de endpoints significa usar um software para remotamente revogar o acesso ou apagar dados sensíveis no caso de perda, roubo ou invasão do smartphone, tablet ou computador de um usuário.

A segurança de endpoints é um controle essencial porque, hoje em dia, os usuários podem se conectar à nuvem híbrida usando seus próprios dispositivos pessoais em qualquer lugar. Agentes mal-intencionados podem ameaçar seus sistemas com ataques de phishing e malware que miram os usuários e comprometem dispositivos individuais.

Classificamos a segurança de endpoints como um controle técnico, mas ela na verdade é uma combinação das três categorias: proteção dos dispositivos físicos, uso de controles técnicos para reduzir os riscos em caso de perda de um aparelho e treinamento dos usuários nas práticas recomendadas de segurança.

Controles administrativos de segurança em nuvem híbrida

Por fim, os controles administrativos consideram o fator humano. Os ambientes de nuvem híbrida são altamente conectados e, por isso, todos os usuários são responsáveis pela segurança.

O preparo para lidar com desastres e proceder com a recuperação é um exemplo de controle administrativo. Imagine se uma parte da sua nuvem híbrida cair… Quem fica responsável por tomar que medidas? Sua empresa tem protocolos em vigor para a recuperação de dados?

A arquitetura híbrida oferece muitas vantagens para a segurança administrativa. Com recursos distribuídos em diferentes equipamentos de hardware locais e remotos, você tem mais opções para backups e redundâncias. No caso das arquiteturas híbridas que combinam nuvens públicas e privadas, é possível fazer o failover para o serviço público quando um sistema ou data center privado cai.

O que são o SPIFFE e o SPIRE?

A segurança da TI não é conquistada de um dia para o outro

Desenvolver a segurança da TI é um processo que leva tempo e requer interação. O panorama da segurança está em constante transformação. Em vez de se estressar tentando chegar logo a um estado perfeito de segurança (isso não existe!), avance pouco a pouco. Tome medidas sensatas e bem ponderadas para aumentar a segurança gradualmente, um dia de cada vez.

E-book: Gerencie riscos de segurança e conformidade no Linux open source

Hub

Blog da Red Hat

Tudo relacionado à Red Hat: soluções, treinamentos e certificações Red Hat, casos de sucesso de clientes, novidades dos nossos parceiros e notícias sobre projetos das comunidades open source.

Todos os testes de soluções Red Hat

Com os nossos testes de solução gratuitos, você ganha experiência hands-on, prepara-se para uma certificação ou avalia se uma determinada solução é adequada para sua organização.
Leia mais

Leia mais

O que é computação confidencial?

A computação confidencial utiliza recursos de hardware para proteger os dados enquanto são processados, e não apenas quando estão em repouso ou em trânsito.

O que são o SPIFFE e o SPIRE?

O SPIFFE e o SPIRE são dois projetos open source usados no gerenciamento de identidades em ambientes de computação dinâmicos e variados. Juntos, eles solucionam muitos problemas de segurança.

O que é Zero Trust?

Descubra mais sobre Zero Trust, uma abordagem para projetar arquiteturas de segurança com base na premissa de que toda interação começa em um estado não confiável.

Segurança: leitura recomendada

Conteúdo relacionado

Artigos relacionados