O que é Segurança de Computação em Nuvem?
- Glossário do IAM
- O que é Segurança de Computação em Nuvem?
Segurança de computação em nuvem, também chamada de segurança em nuvem, é um termo genérico que se refere às tecnologias, aos processos e aos controles usados para proteger infraestruturas, serviços e aplicativos em nuvem, bem como dados armazenados ou processados na nuvem.
O que é computação em nuvem?
Antes de mergulhar nas informações específicas de segurança em nuvem, é preciso primeiro entender o que é computação em nuvem.
Em um ambiente de dados tradicional, uma organização é dona e opera o próprio hardware de back-end e outras infraestruturas, seja no local ou em um centro de dados (este último sendo conhecido como "nuvem privada"). Isso significa que a organização é responsável por configurar, manter e proteger tudo, incluindo servidores e outros hardwares.
Em um ambiente de computação em nuvem, uma organização essencialmente "aluga" infraestrutura de nuvem de um provedor de serviços de nuvem. O provedor de serviços de nuvem é dono e opera o centro de dados, todos os servidores e outros hardwares, bem como toda a infraestrutura subjacente, como cabos submarinos. Isso libera a organização de ter que manter e proteger a infraestrutura de nuvem e fornece muitos outros benefícios, como escalabilidade fácil e modelos de preços dinâmicos.
Nem todos os serviços de computação em nuvem são criados da mesma forma. Há três tipos principais de serviços de nuvem, e as organizações modernas normalmente os usam de forma combinada:
Software-como-um-Serviço (SaaS) é o tipo mais comum de serviço de nuvem. Quase todos usam aplicativos SaaS, mesmo que não saibam. Um produto de SaaS é entregue pela internet e acessado por um aplicativo móvel, um aplicativo de desktop ou um navegador. Aplicativos SaaS incluem tudo, de aplicativos de grau de consumidor, como Gmail e Netflix, a soluções comerciais, como Salesforce e o pacote de escritório Google Workspace.
Infraestrutura-como-um-serviço (IaaS) é um serviço de nuvem destinado principalmente a organizações, apesar de alguns entusiastas de tecnologia poderem comprar um serviço de IaaS para uso pessoal. O provedor de serviços de nuvem entrega serviços de infraestrutura, como servidores, armazenamento, rede e virtualização, enquanto o cliente lida com o sistema operacional e quaisquer dados, aplicativos, middleware e runtimes. Quando as pessoas falam sobre uma "nuvem pública", normalmente referem-se a IaaS. Exemplos de provedores de nuvem pública incluem as três grandes do setor: Amazon Web Services (AWS), Google Cloud Platform (GCP) e Microsoft Entra ID (Azure).
As soluções de Plataforma-como-um-serviço (PaaS) se destinam diretamente a desenvolvedores. O cliente cuida dos aplicativos e dos dados, e o provedor de uvem cuida de todo o resto, incluindo sistema operacional, middleware e runtime. Em outras palavras, soluções de PaaS dão aos desenvolvedores um ambiente completo onde podem desenvolver, implantar e gerenciar aplicativos sem precisarem se preocupar com atualizações do sistema operacional ou de software. Exemplos de PaaS incluem AWS Elastic Beanstalk, Heroku e Google App Engine. De forma geral, a PaaS é usada em conjunto com a IaaS. Por exemplo, uma empresa pode usar AWS para hospedagem e AWS Elastic Beanstalk para desenvolver aplicativos.
Entender pelo que o provedor de nuvem é responsável e pelo que o cliente de nuvem é responsável é essencial para compreender a segurança de nuvem.
O que é segurança de nuvem?
A segurança de nuvem é baseada no que é conhecido como modelo de responsabilidade compartilhada. Neste modelo:
- O provedor de nuvem é responsável pela segurança da nuvem, o que significa o centro de dados físico, outros ativos como cabos submarinos e infraestrutura de nuvem lógica.
- Sua organização é responsável pela segurança na nuvem, o que significa os aplicativos, os sistemas e os dados que você coloca na nuvem.
Pense nisso como sendo similar ao aluguel de uma unidade de autoarmazenamento. Você é responsável por proteger seus pertences dentro da unidade, o que significa trancar a porta da unidade e manter a chave em segurança. A empresa de autoarmazenamento é responsável por proteger todo o complexo com controles, como entradas com portões, câmeras, iluminação adequada em áreas comuns e guardas de segurança. O provedor de autoarmazenamento é responsável pela segurança do centro de armazenamento, mas você é responsável pela segurança em sua unidade.
Como a segurança de nuvem funciona?
Não importa se estamos falando de um aplicativo SaaS, uma implantação de IaaS (nuvem pública) ou uma plataforma de desenvolvedor PaaS, a segurança de nuvem é fortemente baseada em gerenciamento de identidade e acesso (IAM) e prevenção de perda de dados (DLP); em outras palavras, impedir que pessoas não autorizadas acessem seu serviço em nuvem – e seus dados.
Expandindo nosso exemplo de autoarmazenamento, se você deixar a chave de sua unidade de armazenamento sem supervisão, alguém roubá-la e usá-la para acessar sua unidade, os controles de segurança do provedor de armazenamento não falou - os seus falharam. De forma similar, se você usar uma senha fraca que pode ser facilmente adivinhada para proteger sua conta do Gmail ou o console de administração do GCP, e um ator de ameaça comprometê-la, a falha de segurança foi sua, não do Google.
Além de impedir o acesso não autorizado e o furto de dados, a segurança de nuvem também busca evitar a perda acidental ou o corrompimento de dados devido a erro humano ou negligência, garantir a recuperação de dados se ocorrer uma perda de dados e obedecer às leis de privacidade do usuário, como a HIPAA, que proíbe o acesso não autorizado a registros de saúde privados. A segurança de nuvem é fundamental para a resposta a incidentes de segurança, a recuperação de desastres e o planejamento de continuidade da empresa.
Medidas comuns de segurança de nuvem incluem:
- Controles de IAM, como Controle de acesso baseado em função (RBAC) e acesso de menor privilégio, o que significa que os funcionários têm acesso apenas aos aplicativos e aos dados de que precisam para fazer seu trabalho e nada mais
- Ferramentas DLP que identificam, classificam, monitoram o uso e impedem o uso indevido de dados confidenciais, como impedir que usuários finais compartilhem informações confidenciais fora das redes comerciais corporativas
- Criptografia dos dados em trânsito e em repouso
- Configuração e manutenção de sistemas seguros
Há riscos na segurança de nuvem?
Abaixo, estão alguns dos maiores desafios e riscos associados com a segurança de nuvem.
- A nuvem cria uma superfície de ataque muito expandida sem perímetro de rede. Um dos maiores erros que as organizações cometem ao migrar para a nuvem é achar que podem simplesmente transferir todas as ferramentas e políticas atuais de segurança. Apesar de muitos aspectos da segurança de nuvem espelharem suas contrapartidas locais, proteger um ambiente de nuvem é bem diferente de proteger hardware local, pois a nuvem não tem perímetro de rede definido.
- Pode haver uma falta de visibilidade na nuvem, especialmente nos ambientes de dados altamente complexos de hoje. É rara a organização que usa apenas uma nuvem pública. A maioria das organizações usa pelo menos duas nuvens públiicas (o que é chamado de ambiente de várias nuvens) ou combinam nuvens públicas com infraestrutura local (o que é conhecido como ambiente de nuvem híbrido). Infelizmente, cada ambiente de nuvem tem as próprias ferramentas de monitoramento, o que dificulta que administradores de TI e equipes de DevOps vejam o panorama completo do que acontece em todo o ambiente de dados.
- O espalhamento da carga de trabalho é outro problema de visibilidade, até mesmo para organizações que usam apenas uma nuvem pública. Máquinas Virtuais (VMs) e contêiners são fáceis de criar, o que significa que podem se proliferar muito depressa. Além de comprometer a segurança, VMs e contêineres não usados aumentam a conta dos serviços de nuvem.
- TI invisível, ou funcionários que usam aplicativos que não foram aprovados pela equipe de segurança, são outra preocupação da nuvem.
- As empresas podem enfrentar problemas de compatibilidade com sistemas e softwares legados, especialmente aplicativos de Linha-de-Negócios (LOB) legados que não podem ser substituídos ou refatorados de forma realista para a nuvem.
- Configurações incorretas da nuvem também causam problemas, como uma configuração inadvertida de uma pasta de nuvem para que seja publicamente visível quando contém dados confidenciais.
Práticas recomendadas de segurança de computação em nuvem
Certifique-se de entender completamente o modelo de responsabilidade compartilhada e o que sua organização deve ou não proteger. Isso pode soar óbvio, mas definir quem é responsável pelo que pode ser complicado, particularmente em ambientes híbridos.
Um dos benefícios da computação em nuvem é que os recursos podem ser acessados de qualquer lugar e de qualquer dispositivo. No entanto, da perspectiva de segurança, isso significa que há mais terminais a proteger. As ferramentas de gerenciamento de segurança de terminais e de dispositivos possibilitarão que você execute políticas de acesso e implemente soluções de verificação de acesso, firewalls, antivírus, criptografia de disco e outras ferramentas de segurança. Outras práticas recomendadas de computação em nuvem incluem:
- Criptografar todos os dados que você armazena ou processa na nuvem, em trânsito e em repouso
- Varrer o ambiente para ver se há vulnerabilidades e corrigir todos os resultados assim que possível.
- Realizar backup regular de dados no caso de um ataque de ransomware ou um desastre.
- Registrar e monitorar todas as atividades de usuários e de rede em todo o seu ambiente de dados.
- Definir as configurações da nuvem de forma muito cuidadosa. Uma boa regra geral é que você raramente quer deixar as configurações padrão como estão. Aproveite ao máximo as configurações e as ferramentas de segurança de seu provedor de nuvem e mantenha-se atualizado sobre novas ferramentas e melhorias.
- Implementar uma política de segurança de confiança zero completa, com segmentação de rede, e ferramentas e controles robustos de gerenciamento de identidade e acesso (IAM), incluindo acesso com base em função, acesso de menor privilégio, senhas complexas, aprovação de dispositivos e autenticação de vários fatores (AVF).