Cloud

Ideias erradas sobre segurança na nuvem

Sobre o autor: Guilherme Teles é um cara qualquer que não dorme direito e acaba escrevendo. Sou Certificado CISSP, CHFI, CEH, LPIC-3, AWS CDA, AWS SAA, AWS SOAQuer assinar a newsletter do site e receber esse e outros artigos? Clique aqui! Aproveite e navegue pelo smeu blog. Quem sabe você não está exatamente precisando de uma ajuda ? 

Ao contrário do que muitos pensam, não há uma única nuvem. Há uma grande variedade de provedores baseados na nuvem que possuem espaço dedicado no servidor em todo o mundo. Deve ser avaliado como encontrar o melhor ajuste para sua empresa.

Apesar de todo o zumbido na última década, a nuvem continua sendo um mistério para muitos usuários que confiam em datacenters no dia-a-dia. A nuvem tornou fácil para as empresas abraçar uma série de tecnologias “como um serviço” sem problemas e reduzir o custo operacional, eliminando a necessidade de comprar ferramentas e dispositivos de segurança.

No entanto, adotar as operações da nuvem cegamente – como com qualquer novo fluxo de trabalho ou tecnologia – vem com riscos. Isto é especialmente importante no contexto de como essas ferramentas são entregues e se elas são adequadas para uma organização baseada em necessidades específicas.

Há uma grande variedade de provedores de segurança baseados na nuvem que possuem espaço em servidores dedicados em todo o mundo, e cada uma das ofertas é única, com base em seu próprio foco de negócios e dados demográficos. Os provedores da nuvem que operam mais amplamente na empresa são ambientes de nuvem de compartilhamento, onde os dados e informações dos clientes são gerenciados em um banco de dados e controlados usando o mesmo sistema operacional central.

Embora um ambiente compartilhado possa não ser muito preocupante quando os aplicativos em nuvem são usados para programas como o marketing, que não envolvem dados de clientes ou outras informações pessoais identificáveis. No entanto, pode haver impactos significativos nas empresas que armazenam e gerenciam dados dos clientes na nuvem, por exemplo, quando as ferramentas de segurança podem redirecionar o tráfego de um cliente de uma jurisdição para um centro de dados em um local com um conjunto diferente de padrões de conformidade. Se uma empresa opera dentro de uma indústria que é privada de regulamentos pesados – especialmente onde a geolocalização e o compartilhamento de informações são uma questão de preocupação, eles precisam ter certeza de que seu provedor de nuvem não está trazendo os dados para um local que os deixa expostos a penalidades de compliance.

Uma preocupação significativa ao implementar soluções de segurança em nuvem de um provedor de nuvem compartilhada, é que essas ferramentas podem forçar as organizações a empregar uma série de soluções de segurança não compatíveis, exigindo vários consoles de gerenciamento que criam um fluxo de trabalho desarticulado. Por exemplo, em situações em que as organizações estão colecionando informações altamente sensíveis, eles podem exigir um gateway seguro para garantir que os dados sejam isolados do tráfego externo. A solução tradicional “híbrida” – usando ferramentas de segurança baseadas na nuvem e no local para investigar o tráfego – não oferece uma visão perfeita em toda a organização, resultando em pontos cegos de segurança que afetam a capacidade das equipes para responder a um incidente.

A maioria das novas soluções de segurança em nuvem dentro da indústria desacoplam o físico do virtual e fornecem uma nuvem de vários clientes, com recursos não compartilhados que oferecem o melhor dos dois mundos. O resultado é uma maior visibilidade em toda a organização, tempos de resposta a incidentes mais baixos e economias de custos substanciais, evitando a necessidade de comprar equipamentos. As empresas precisam considerar proteções que podem alinhar sua missão de segurança sem forçar as equipes a comprarem hardware continuamente e complicar sua infraestrutura de segurança.

Sobre o autor: Guilherme Teles é um cara qualquer que não dorme direito e acaba escrevendo. Sou Certificado CISSP, CHFI, CEH, LPIC-3, AWS CDA, AWS SAA, AWS SOAQuer assinar a newsletter do site e receber esse e outros artigos? Clique aqui! Aproveite e navegue pelo smeu blog. Quem sabe você não está exatamente precisando de uma ajuda ?