[:pb]Os serviços de computação na nuvem oferecem muitas vantagens para as organizações que os utilizam. Muitas vezes, existem vantagens financeiras envolvidas nas migrações para a nuvem, pois a capacidade do provedor de usar uma solução baseada em economia de escala resulta em redução de custos para seus clientes.
Além disso, as empresas podem contratar serviços na nuvem para aprimorar seus recursos de computação com tecnologias como inteligência artificial (AI) ou aprendizado de máquina (ML), que recursos internos não podem igualar. A flexibilidade inerente à virtualização, que está por trás do paradigma da computação em nuvem, permite que as empresas ajustem seus requisitos e paguem apenas pelos recursos de que precisam.
Os desafios de segurança
Juntamente com esses benefícios, surgem os desafios de ter recursos de computação corporativa em vários locais. Não é incomum que uma organização tenha um data center local e instâncias de nuvem hospedadas em vários fornecedores. Isso coloca um estresse adicional nas equipes de TI, para manter altos níveis de disponibilidade e desempenho. É preciso dividir a atenção entre as várias plataformas usadas para entregar suas soluções. Esse conjunto de ações pode ser difícil de equilibrar.
A segurança em qualquer ambiente de computação é uma atividade que exige um foco muito preciso. A falta de segurança cibernética pode causar degradação da disponibilidade e do desempenho, com impactos negativos sobre os negócios e também abre as portas para que os ativos digitais de uma organização sejam comprometidos. A segurança pode ser encarada como o aspecto mais importante dos recursos de computação de uma organização. Sem ela, todo o resto é apenas um castelo de cartas com risco de desmoronar a qualquer momento.
Os fatores que complicam a segurança são os mesmos que afetam o gerenciamento dos recursos de computação da empresa na nuvem. Ter soluções de vários fornecedores, com dashboards diferentes de gerenciamento apresenta possibilidades adicionais para erros.
Riscos de segurança na nuvem
A Cloud Security Alliance (CSA) publicou em 2019 um guia sobre as principais ameaças na computação em nuvem. O documento explica a gama de riscos que precisam ser enfrentados ao usar a nuvem. Entre os principais estão:
Violação de dados – É talvez o tipo de problema de segurança mais temido que uma organização possa enfrentar. As violações de dados podem ocorrer por vários motivos, desde proteção inadequada à rede até credenciais comprometidas por um ataque de phishing. As conexões adicionais necessárias para facilitar uma infraestrutura em nuvem e a introdução de pessoal que não está sob o controle direto da empresa cliente amplificam a necessidade de uma ênfase maior na proteção contra a violação de dados.
Erros de configuração e arquitetura incorreta de segurança na nuvem – Um único sistema mal configurado pode representar uma porta aberta, que permite que a infraestrutura total seja comprometida. Os recursos baseados em nuvem são complexos e propensos a erros de configuração. Com isso, é necessária a definição de processos aprimorados de gerenciamento de alterações, para verificar as mudanças feitas nas instâncias da nuvem.
Controle e gestão de acesso insuficientes – A migração de recursos de computação para a nuvem expõe o ambiente de uma organização a agentes fora de seu controle direto. É necessária uma abordagem adaptada para o gerenciamento de identidade e acesso (Identity and Access Management ou IAM), para lidar com o aumento do risco de acessos não autorizados ou violações de dados. Os princípios do IAM são os mesmos quando usados com recursos de nuvem ou quando usados em configurações mais tradicionais.
Contas sequestradas e ameaças internas – O sequestro de contas e o uso inadequado de privilégios autorizados são duas ameaças relacionadas, que podem afetar os sistemas na nuvem e os dos datacenters locais. Os invasores sequestram contas quando obtêm credenciais de usuário privilegiadas. Isso pode ser feito por vários meios, incluindo phishing por e-mail ou pelo comprometimento do serviço em nuvem para roubar informações.
As ameaças internas podem ter origem maliciosa ou causadas por imperícia, imprudência ou negligência. Ao envolver provedores de serviços em nuvem, os sistemas são expostos a pessoal externo adicional e isso introduz mais mãos que podem propositalmente ou acidentalmente causar problemas ou acessar dados confidenciais que eles não estão autorizados a manipular.
Visibilidade limitada no uso da nuvem – A incapacidade de obter visibilidade total sobre como os recursos no ambiente de nuvem estão sendo usados é uma questão que pode levar a dois tipos de problemas de segurança. O primeiro é o uso de aplicativos não autorizados em execução na infraestrutura da nuvem. Esse problema dá origem ao conceito de shadow IT, em que os funcionários usam aplicativos que não atendem aos padrões corporativos para fins de suporte legítimos. A incapacidade de atender às diretrizes organizacionais torna o uso desses aplicativos um risco à segurança de todo o ambiente.
Da mesma forma, o pessoal autorizado pode usar de forma errada aplicativos válidos ou os aplicativos válidos podem ser mal utilizados através do uso de credenciais roubadas. Descobrir o uso indevido dos recursos de computação requer uma compreensão profunda do comportamento de cada usuário válido e a definição de um processo para identificar e resolver anomalias. A linha que diferencia o uso aceitável de um uso inapropriado é tênue, e pode ser difícil detectar cada caso.
Cryptojacking – O criptojacking é uma adição recente do arsenal dos hackers e é visto como uma maneira mais fácil de extrair ganhos financeiros de uma empresa do que usar ransomware. Ele funciona sequestrando alguns dos recursos de computação de uma organização, que então são usados para minerar criptomoedas. Essa infecção resulta em um número menor de ciclos de uma CPU disponíveis para os aplicativos aprovados.
Pode ser difícil identificar sistemas que são afetados por criptojacking, pois eles continuam a operar, embora com desempenho degradado. Em uma infraestrutura de nuvem complexa, muitos fatores podem afetar seu desempenho. Às vezes, a degradação pode ser atribuída a uma rede lenta ou a uma atualização com defeito. O criptojacking é um exemplo específico de aplicativo não autorizado, manipulado por agentes desconhecidos, fora do controle da organização ou do provedor de nuvem.
Melhores práticas para garantir ambientes seguros na nuvem
Os riscos envolvidos no uso de serviços em nuvem exigem um conjunto de práticas recomendadas para manter uma segurança cibernética eficiente e os sistemas de computação e de dados da empresa protegidos e disponíveis. Muitos desses métodos também se aplicam a ambientes locais, mas são ainda mais importantes quando se referem à complexidade das infraestruturas de nuvem e as oportunidades adicionais que elas apresentam para ataques.
Compreendendo as responsabilidades compartilhadas de segurança – Conhecimento é poder, e isso também é verdade ao implementar uma estratégia de segurança na nuvem. É extremamente importante para uma empresa saber exatamente de quem é a responsabilidade de proteger os vários aspectos do seu ambiente. Este não é um problema para ser resolvido com adivinhações ou suposições. O bem-estar de uma organização depende de um entendimento completo das diferenças entre quem é responsável por quais partes do ambiente de computação.
Proteção de dados – A responsabilidade a ser avaliada em todos os modelos de nuvem, seja Infrastructure as a Service (IaaS), Platform as a Service (PaaS) ou Software as a Service (SaaS) se refere a dados de aplicativos. Em todos os casos, a empresa cliente é encarregada de proteger seus próprios dados. Isso deve ser feito por meio da execução de políticas que garantam que os dados sejam criptografados quando estiverem em repouso e em trânsito. Há situações em que a criptografia de dados pode levar à degradação do desempenho, mas em uma perspectiva mais ampla das coisas, as organizações precisam aceitar essa contrapartida.
Ao escolher entre a segurança dos dados e o desempenho dos sistemas que os utilizam, a segurança deve ser sempre enfatizada. A empresa deve controlar as chaves necessárias para desbloquear os dados criptografados. A criptografia também deve ser obrigatória para os backups, para proteger ainda mais os dados de entidades não autorizadas. Backups totalmente criptografados de todos os dados da organização devem fazer parte de qualquer implementação na nuvem.
Gestão aperfeiçoada de acesso – Dois conceitos relacionadas que qualquer organização deve se basear em sua presença na nuvem são o conceito de Zero Trust (Confiança Zero) e o princípio do privilégio mínimo. Esses são os pilares usados para desenvolver os controles de gerenciamento de identidade e acesso, que fornecem segurança aprimorada na nuvem para a infraestrutura e para os seus dados.
O modelo de segurança Zero Trust determina que não existem agentes confiáveis. Exige autorização durante todas as etapas de envolvimento de um usuário com um ambiente de computação. Isso significa na prática que o simples acesso a uma infraestrutura não permite que um usuário use seus recursos indiscriminadamente. A autorização deve ser verificada em cada etapa do trabalho, por meio de uma abordagem mais granular para acessar o gerenciamento, que utiliza tecnologias como autenticação multifatorial e análise.
O princípio do privilégio mínimo complementa o modelo de segurança Zero Trust, reduzindo ao mínimo o nível de acesso permitido a um usuário específico. Limita os privilégios do usuário às necessidades básicas necessárias para desempenhar sua função na organização. Níveis de acesso mais altos podem ser fornecidos para tarefas específicas e imediatamente revogados de acordo com as políticas da organização.
As auditorias frequentes dos privilégios dos usuários são altamente recomendadas, para impor um gerenciamento de acesso robusto. Isso inclui modificações que são necessárias, conforme as funções individuais dentro de uma organização. Isso também se estende à remoção oportuna de contas que não são mais necessárias ou estão inativas.
Estratégia de monitoramento – Uma estratégia de monitoramento abrangente pode ser uma das melhores defesas dos ambientes de computação em nuvem. Muitos dos problemas difíceis de identificar podem ser resolvidos por meio de uma forte política de monitoramento. No nível mais básico, o monitoramento alertará as organizações sobre tentativas de agentes não autorizados para obter acesso aos seus recursos. Redes, sistemas e aplicativos devem estar no escopo do monitoramento, tanto se a responsabilidade de protegê-los recai sobre a empresa quanto sobre o provedor de nuvem. As empresas que monitoram todos os aspectos da sua infraestrutura, independentemente de quem está fornecendo a segurança, podem obter ganhos potenciais significativos.
Problemas como quebra de criptografia ou identificação do uso de aplicativos não autorizados podem ser solucionados por meio do uso do monitoramento histórico, onde as linhas de referência são constantemente comparadas aos padrões de uso atuais. Ao usar essas táticas, as anomalias que, de outra forma escapam da vista, podem ser descobertas e prontamente abordadas. Isso reforça a segurança e garante que os clientes não estejam pagando pelos recursos que estão sendo usados para fins não aprovados.
Conclusão
O desafio de manter a segurança cibernética na nuvem é um processo multifacetado, que requer cooperação entre a empresa cliente e o provedor da nuvem. As organizações nunca devem perder de vista o fato de serem responsáveis pela segurança de seus sistemas e dados.
Todos os esforços para manter a segurança dos seus sistemas na nuvem são válidos. Não deixe sua empresa desprotegida.
Este artigo foi adaptado de “The Complications of Cybersecurity in the Cloud”, IDERA, 2019.[:]