Isso representa muitos movimentos em pouco tempo, especialmente considerando que as engrenagens do governo geralmente são muito lentas. No entanto, apesar de toda essa pressão vinda de cima, os tomadores de decisões de agências governamentais continuam hesitantes em adotar a tecnologia baseada em nuvem que permitiria atingir metas de confiança zero: soluções de software como serviço (SaaS). Muitos equívocos são frequentes em relação à tecnologia subjacente, em especial, um mito persistente de que “SaaS” significa que os dados de usuários são armazenados na nuvem, onde cibercriminosos podem acessá-los.
Este post explica o que o SaaS realmente significa e elimina esses temores.
O que é SaaS?
SaaS é um método de entrega de software no qual um fornecedor terceirizado hospeda e mantém os servidores, bancos de dados e códigos que compõem um aplicativo. Os clientes acessam aplicativos SaaS pela internet, geralmente através de um navegador da web. Alguns aplicativos SaaS também oferecem aplicativos para desktop, aplicativos móveis e extensões para navegadores.
Praticamente todo mundo utiliza produtos SaaS todos os dias, sem nem perceber. Exemplos de produtos SaaS incluem o Gmail, Salesforce e até mesmo aplicativos de redes sociais, como o Instagram.
SaaS é o mesmo que computação em nuvem?
Não. SaaS não é sinônimo de computação em nuvem.
“Computação em nuvem” é um termo genérico que se refere a qualquer solução hospedada remotamente e fornecida aos clientes pela internet. Tudo o que “SaaS” significa é que o aplicativo é hospedado e fornecido através da nuvem. No entanto, isso não significa que um aplicativo não possui componentes no local, ou que seus dados serão lançados no ciberespaço, onde qualquer um poderá acessá-los.
Normalmente, as plataformas de SaaS possuem componentes locais e baseados em nuvem. Talvez mais importante, se o provedor de SaaS utiliza uma arquitetura de segurança de conhecimento zero, seus dados nunca serão armazenados de forma “exposta” na nuvem. Eles são armazenados localmente, no seu dispositivo, nem mesmo o provedor SaaS pode acessá-los, quanto mais outras pessoas.
O que é confiança zero?
A confiança zero é um modelo de segurança moderno que impede o acesso não autorizado a dados e serviços exigindo que os usuários comprovem sua identidade antes de permitir o acesso a uma rede. Além disso, mesmo quando um usuário é autenticado em uma rede, ele recebe apenas o acesso suficiente aos sistemas e dados para realizar seu trabalho, e nada mais.
A confiança zero oferece aos administradores de TI visibilidade total sobre todos os usuários, sistemas e dispositivos. Ela permite que pessoas, aplicativos e serviços se comuniquem com segurança, até mesmo entre ambientes de rede. Não importa se os usuários estão se conectando de suas casas, hotéis, cafeterias ou aeroportos, nem mesmo se estão utilizando seus próprios dispositivos. Os administradores podem ver exatamente quem está se conectando à rede, de onde e o que está acessando, e os usuários não podem entrar até que sejam completamente autenticados.
O que é conhecimento zero?
Conhecimento zero é uma arquitetura de segurança que não se encaixa no modelo tradicional do que muitos consideram como “computação em nuvem”, no qual os dados existem apenas na nuvem. Ao invés disso, ela garante os mais altos níveis de segurança de dados e privacidade atendendo aos seguintes princípios:
Os dados são criptografados e descriptografados no nível do dispositivo (não no servidor)
O aplicativo nunca armazena dados em texto simples (legíveis por humanos) na nuvem
O servidor nunca recebe dados em texto simples
Ninguém, exceto você, pode visualizar seus dados
O compartilhamento de dados utiliza criptografia de chave pública para distribuição segura de chaves
Quando os dados são sincronizados com outro dispositivo, eles permanecem criptografados até serem descriptografados no outro dispositivo.
Isso é ótimo. O que tudo isso significa, em bom português?
Se você ficou desorientado ao ler a seção anterior, não está sozinho! O conhecimento zero é um conceito complicado, até mesmo para pessoas que entendem de tecnologia. Aqui está uma metáfora que explica o conhecimento zero para leigos:
Imagine uma caixa mágica com uma chave mágica. Ao colocar algo na caixa e trancá-la com essa chave, o conteúdo da caixa vira poeira. Apenas a chave mágica pode reconstruir o conteúdo, de modo que, mesmo se alguém conseguisse quebrar a caixa, encontraria apenas poeira.
Aqui está como isso funciona com um provedor de SaaS de conhecimento zero:
Você coloca um item na caixa mágica e tranca a caixa com a chave mágica.
Você dá a caixa mágica para o provedor de SaaS, mas fica com a chave mágica.
Quando você quiser o item de volta, o provedor de SaaS devolve a caixa trancada.
Você utiliza sua chave mágica que guardou o tempo todo para destrancar a caixa e recuperar seu item.
Nesse caso, a “caixa mágica” contém seus dados criptografados (que são tão úteis quanto poeira), e a chave mágica é sua chave de descriptografia, à qual apenas você tem acesso, porque ela fica armazenada no seu dispositivo, e não na nuvem.
Além disso, essa chave mágica não fica em algum lugar onde possa ser roubada. Ela é derivada da sua senha, de modo que ela nem existe até que você insira sua senha e um segundo fator de autenticação, como uma chave física ou um cartão CAC. Depois de desconectar sua sessão ou ela expirar, a chave desaparece até que você realize a autenticação novamente.
Quais são os principais benefícios do SaaS de conhecimento zero?
Soluções de SaaS de conhecimento zero permitem que organizações aproveitem todos os benefícios da computação em nuvem, juntamente aos mais altos níveis de segurança, privacidade e controle total sobre seus dados. Esses benefícios incluem:
Custos mais baixos: plataformas de SaaS robustas integram-se a praticamente qualquer pilha de tecnologia, sem precisar de software ou hardware adicional. O fornecedor de SaaS gerencia todas as manutenções e atualizações.
Integração simples com sistemas de identidade centralizados: a estratégia de confiança zero do governo federal, conforme descrita na EO 14028 e no OMB M-22-0-9, coloca ênfase significativa em fortes controles de identidade e acesso empresariais, incluindo a autenticação multifator (MFA). As plataformas de SaaS de conhecimento zero se integram mais facilmente a sistemas de gerenciamento de identidade modernos do que soluções locais tradicionais.
Segurança aprimorada: a EO 14028 exige que todos os dados sejam criptografados durante o trânsito, um requisito que todas as soluções de conhecimento zero atendem como padrão.
Rapidez na instalação e implantação: sem hardware para configurar e sem a necessidade de baixar software individualmente em cada computador do usuário, as soluções de SaaS são muito mais fáceis de instalar e configurar do que soluções locais.
Escalabilidade e flexibilidade: os produtos de SaaS podem ser dimensionados para atender a organizações de qualquer tamanho, e como são vendidos por assinatura, os clientes podem ajustar facilmente suas licenças à medida que suas necessidades mudam.
Não motivos para que tomadores de decisões governamentais temam os produtos SaaS, desde que escolham uma solução de conhecimento zero e, é claro, autorizada pelo FedRAMP. Soluções de SaaS de conhecimento zero e autorizadas pelo FedRAMP oferecem melhor segurança com custos mais baixos que softwares locais tradicionais, enquanto permitem que agências federais melhorem os serviços prestados a cidadãos americanos comuns e os ofereçam com maior eficiência.
Keeper Security
O Keeper Security está transformando a maneira como pessoas e organizações em todo o mundo protegem suas senhas, segredos e informações confidenciais. A plataforma de segurança cibernética fácil de usar do Keeper é baseada em segurança de confiança zero e conhecimento zero para proteger cada usuário, em cada dispositivo. Com a confiança de milhões de pessoas e milhares de organizações, o Keeper é líder em gerenciamento de senhas, gerenciamento de segredos, acesso privilegiado, acesso remoto seguro e mensagens criptografadas.
Obtenha as notícias e atualizações mais recentes de segurança cibernética enviadas diretamente à sua caixa de entrada
Compartilhar este blogue
Você também pode gostar de
O que é texto cifrado?
Texto cifrado refere-se a dados que são criptografados e ilegíveis. A única maneira de ler dados criptografados é descriptografando-os utilizando uma chave de criptografia. Como o texto cifrado não pode ser lido sem fornecer a chave...