Implantação de uma nuvem segura




Cloud_14A segurança da computação em nuvem é um problema que gera um grande debate entre os profissionais de tecnologia. Alguns acham que a nuvem é inerentemente segura, na verdade até mais que os data centers. Outros acham que as nuvens não são inerentemente seguras e, portanto, estão determinadas a nunca usá-las para cargas de trabalho de missão crítica.

Na verdade, os ambientes de nuvem podem ser mais seguros que os data centers ou menos seguros que os data centers, dependendo de como eles são implementados. As organizações que levam a sério a segurança na nuvem devem se esforçar para conhecer os detalhes do que as empresas de nuvem oferecem, pois isso é necessário para um gerenciamento seguro da segurança na nuvem.
A conclusão: a segurança na nuvem deve ser uma prioridade para as organizações, pois suas reputações, operações e segurança financeira dependem disso.
O que é o Cloud Security?

Em resumo, a segurança na nuvem é composta por dois fatores principais:
• Segurança na nuvem é um conjunto de diretrizes criadas pela empresa para bloquear qualquer forma possível de perda, violação ou indisponibilidade de dados.
• A segurança na nuvem também é um serviço de nuvem complementar e especializado que garante que os ambientes de nuvem e os dados armazenados neles estejam seguros.
A nuvem é segura?
Provedores de nuvem e empresas de segurança não sobreviveriam por muito tempo se não conseguissem proteger bem os dados de seus clientes. No entanto, as organizações devem decidir quais são os recursos de segurança de que necessitam, e essas podem não ser uma proposta única para todos os casos.

Por exemplo, serviços básicos de nuvem tendem a incluir recursos básicos de segurança; no entanto, as empresas exigem opções de segurança de nível empresarial.
Ao migrar para a nuvem, os profissionais de segurança e TI são sábios para entender o apetite por risco e a postura de segurança de sua empresa, para que eles saibam quais controles baseados em nuvem serão necessários. Por exemplo:
• Conformidade regulatória pode ser necessária. Nesse caso, a organização desejará controles de conformidade.
• A eficácia da segurança de dados exigida deve ser verificável.
• Os controles baseados em nuvem devem ser, pelo menos, controles robustos no local.
• O provedor de nuvem deve ter segurança física para garantir que os agentes mal-intencionados não tenham acesso ao equipamento.
Para tranquilizar os clientes, os provedores de nuvem oferecem consoles de gerenciamento que os profissionais de TI e de segurança podem usar para garantir que:
• Seus dados e o ambiente de nuvem que o hospeda são seguros.
• Eles têm insights atualizados sobre o estado atual da segurança.
• Recebem notificações atempadas de condições fora dos limites e eventos dignos de nota.
• Eles podem identificar a causa raiz dos problemas e corrigi-los.
Dado o rápido crescimento dos volumes de dados, o ritmo acelerado da inovação tecnológica e as tácticas de black hat constantemente emergentes, confiando na segurança da sua nuvem, é uma opção razoável. Isso porque, se gerenciado adequadamente, pode fornecer maior resiliência e segurança do que os data centers internos. Para perceber isso, no entanto, o gerenciamento de segurança e gerenciamento de segurança na nuvem deve estar alinhado e consistente.

oi0pkEmbora a segurança na nuvem seja complexa, essas três diretrizes fornecem um ponto de partida sólido.

Segurança na computação em nuvem

Conforme observado, a nuvem pode ser mais segura do que os datacenters, mas um não é inerentemente mais seguro que o outro. A diferença depende das práticas de segurança da empresa. Por exemplo, é totalmente possível configurar incorretamente ativos virtuais na nuvem de forma a causar vulnerabilidades de segurança, mesmo que a empresa assine uma opção de segurança na nuvem. É por isso que as equipes de TI e segurança devem ter uma sólida compreensão dos desafios da computação em nuvem.
Ao contrário dos ambientes de rede tradicionais que tentavam proteger uma empresa usando defesas de perímetro, como firewalls, os ambientes de nuvem são inerentemente conectados a ambientes de terceiros que podem incluir APIs (interfaces de programação de aplicativos) e controles de acesso que não foram definidos e gerenciados corretamente.

Além disso, diferentes tipos de ambientes de nuvem também representam desafios únicos. Por exemplo:

Nuvem privada
Uma nuvem privada normalmente reside em um data center, portanto, a empresa é proprietária e gerencia todo o hardware e software. Qualquer falha nas práticas de segurança que já existem na segurança do data center pode ser transferida para a nuvem privada. Os administradores devem entender a diferença entre o software na nuvem e no local: o software no local é todo seu para gerenciar, enquanto o software na nuvem é gerenciado por outra pessoa. No entanto, nenhum deles pode ser “definir e esquecer”. Ambos devem ser gerenciados.

Nuvem pública
As nuvens públicas têm uma arquitetura de multilocação, o que significa que você compartilha recursos de computação ou armazenamento com outras pessoas. Concedido, o provedor de nuvem configurou barreiras virtuais que separam seu ambiente de nuvem do ambiente de outro cliente. Ainda pode haver corrupção de dados.
Além disso, os termos de uso do provedor de nuvem exigem que os usuários concordem contratualmente em não fazer nada que possa afetar adversamente outros clientes, mas nem todos sempre honrarão esse compromisso. Além da possibilidade de agentes maliciosos, um vizinho inocente pode fazer algo inadvertidamente que permite um resultado ruim, como um ataque de negação de serviço distribuído (DDoS).

Nuvem híbrida
A maioria das organizações tem nuvens híbridas que envolvem alguma combinação de data center, nuvem pública e / ou nuvem privada. O risco aqui é ter diferentes estratégias de segurança para os diferentes ambientes que, na verdade, estão tendo três políticas de segurança diferentes que são difíceis de gerenciar e reconciliar. Além disso, os funcionários às vezes esquecem que existem pontos de conexão entre os vários ativos físicos e virtuais que servem como pontos de vulnerabilidade.

Multicloud
A maioria das organizações também possui uma estratégia multicloud, o que tende a significar que estão usando mais de um tipo de provedor de serviços de nuvem pública. As duas opções mais populares de mulitcloud são o Amazon Web Services e o Microsoft Azure. Nesse caso, deve-se entender completamente os recursos de segurança que cada um oferece.

 

fgkul.pngA verdadeira segurança na nuvem requer a integração de uma política de segurança na nuvem em todo o sistema.

 

Arquitetura de segurança na nuvem


A arquitetura de segurança na nuvem afeta a eficácia da segurança na nuvem. A seguir estão algumas dicas práticas de gerenciamento de segurança que você pode usar para fortalecer seu ambiente de nuvem.

Evita
Os “melhores” tipos de ataques cibernéticos são aqueles que falham desde o começo. A melhor maneira de evitar um ataque é continuamente:
• Identifique vulnerabilidades.
• Priorizá-los com base em sua gravidade, inteligência de ameaças e ativos que seriam afetados pelo ataque.
• Corrija as vulnerabilidades priorizadas, aplicando-as.
Infelizmente, a maioria das organizações não está gerenciando vulnerabilidades de segurança tão continuamente quanto deveriam. Em vez disso, eles gerenciam vulnerabilidades periodicamente, como o Patch Tuesday, mensalmente, etc. A maioria das organizações também se esforça para priorizar as vulnerabilidades porque elas podem ser muito numerosas.

Detectar
Vigilância é uma das melhores defesas de segurança. A organização deve ter controles de detecção que identifiquem problemas e alertem o pessoal de segurança quando necessário. Os controles de detecção tendem a funcionar em conjunto com controles de correção que podem ser automáticos, manuais ou uma combinação dos dois, dependendo se a situação é causada por um erro menor, um ataque cibernético ou outro tipo de incidente.

Corrigir
Incidentes de segurança acontecem, não importa quais controles de segurança estejam em vigor. Antes que eles aconteçam, deve haver controles de correção que minimizem a quantidade de dano que um ator ruim pode causar. Por exemplo, se um hacker obtém acesso a um banco de dados ou arquivo confidencial, o que acontece a seguir? Se os dados forem destruídos, existem opções de recuperação de desastres?


Software e Serviços de Segurança na Nuvem


A seguir, algumas das opções de software e serviço de segurança na nuvem que as empresas devem considerar:
• Opções de segurança na nuvem IaaS ou PaaS – são serviços complementares que oferecem às empresas opções de segurança mais abrangentes do que as disponíveis com opções básicas de nuvem.
• Gerenciamento de Identidade e Acesso (IAM) – essas ferramentas garantem que apenas partes autorizadas tenham acesso a dados e recursos de computação.
• Segurança física – Os provedores de IaaS / PaaS devem ter segurança física – porta trancada, pontos de verificação – além da segurança digital para garantir que seus ativos de TI permaneçam seguros.
• Criptografia – criptografa dados em repouso e em movimento.
• Testes de penetração – consultores externos são contratados como “white hats” para invadir o sistema de uma empresa com o objetivo de identificar pontos fracos.
• Controles de conformidade – garantem a adesão ao HIPPA, GDPR, etc.