Como garantir a segurança da infraestrutura e das aplicações Cloud?

A segurança no ambiente Cloud

À medida que as organizações transferem uma maior parte de sua infraestrutura para a nuvem, suas abordagens e políticas de segurança tradicionais podem continuar sendo válidas para algumas instâncias, mas devem se adaptar às arquiteturas distribuídas e híbridas. Portanto, é necessário ter uma abordagem diferente para lidar com a segurança neste novo ambiente.

Assegurar a infraestrutura Cloud

Vamos começar pela segurança da infraestrutura na nuvem. Para realizar isso, devemos levar em consideração uma combinação de políticas, melhores práticas e tecnologias para garantir que os recursos na nuvem (incluindo os ambientes computacionais, as aplicações e os bancos de dados) estejam seguros contra as ameaças (tanto internas quanto externas) da nuvem.

Esta segurança da infraestrutura na nuvem não deve ser confundida com os serviços de segurança na nuvem que oferecem vários serviços de segurança através de um modelo de negócio de software como serviço.

Na verdade, a segurança na nuvem consiste em diferentes controles, procedimentos e tecnologias para proteger os sistemas e dados críticos de qualquer organização contra as ameaças de cibersegurança e os riscos derivados dos ambientes na nuvem.

Dependendo do tipo de computação em nuvem que utilizamos, podemos adotar um tipo de segurança na nuvem ou outro:

• Serviços de nuvem pública, operados por um provedor de nuvem pública. Aqui se incluem o software como serviço (SaaS), a infraestrutura como serviço (IaaS) e a plataforma como serviço (PaaS).
• Serviços de nuvem privada, operados por um provedor de nuvem pública. Esses serviços fornecem um ambiente de computação dedicado a um cliente, operado por um terceiro.
• Serviços de nuvem privada, operados por pessoal interno. Ou seja, uma evolução do centro de dados tradicional, onde o pessoal interno opera um ambiente virtual que controla.
• Serviços de nuvem híbrida. Aqui se combinam configurações de computação em nuvem privada e pública, hospedando cargas de trabalho e dados com base na otimização de fatores como custo, segurança, operações e acesso. Na operação participará o pessoal interno e, opcionalmente, o provedor da nuvem pública.

Proteger os aplicativos em ambiente Cloud

Se abordarmos a necessidade de assegurar as aplicações de software baseadas na nuvem, devemos falar também de políticas, ferramentas, tecnologias e regras a nível de aplicação para manter a visibilidade de todos os ativos, proteger as aplicações baseadas na nuvem contra ciberataques e restringir o acesso apenas aos usuários autorizados.

A segurança das aplicações na nuvem é essencial para as organizações que utilizam aplicações web que são executadas em um ambiente multi-nuvem hospedado por um provedor de nuvem de terceiros. Esses serviços ou aplicações na nuvem aumentam significativamente a superfície de ataque por natureza, proporcionando muitos novos pontos de acesso para que os atacantes entrem na rede.

Buenas prácticas para asegurar las aplicaciones Cloud

Em qualquer caso, e como sempre em segurança, há uma série de recomendações de bom uso da tecnologia para evitar comprometer a segurança, tanto da infraestrutura quanto das aplicações na nuvem. Algumas delas são:

• Aproveitar a autenticação multifator (AMF) por ser um dos mecanismos mais eficazes para limitar o risco de que a conta seja comprometida.
• Engenharia social. Os erros humanos são uma das causas mais comuns das violações de dados. É necessário treinar os funcionários e implementar ferramentas como filtros de URL, antimalware e firewalls inteligentes.
• Automatização. As empresas devem automatizar a supervisão das aplicações na nuvem, a resposta a incidentes e a configuração na medida do possível. Os fluxos de trabalho manuais são propensos a erros e uma causa comum de descuido ou vazamento de dados.
• Privilégios mínimos. As contas de usuário e os aplicativos devem ser configurados para acessar apenas os ativos necessários para sua função empresarial, aplicando o princípio do menor privilégio em todas as plataformas na nuvem.
• Segurança dos dados. Especialmente nas aplicações, grande parte do foco de segurança deve garantir a integridade e inviolabilidade dos dados. Se puder utilizar sistemas de criptografia, melhor.
• Auditorias e testes. Por fim, é recomendável realizar auditorias constantes, bem como testes para garantir que tudo funciona corretamente e que os sistemas e políticas de segurança são capazes de responder a um possível incidente de segurança.