Melhores Práticas para Segurança em Nuvem

Desde o início da era da computação em nuvem, a segurança tem sido a maior preocupação entre as empresas que estão considerando a nuvem pública. Para muitas organizações, a ideia de armazenar dados ou executar aplicativos em uma infraestrutura que eles não gerenciam parece absurdamente insegura.

O relatório da Cloud Security Alliance descobriu que 53% dos entrevistados listaram “riscos gerais de segurança” como uma das maiores barreiras de adoção de nuvem, tornando-se o maior obstáculo para a nuvem. Além disso, 91% dos entrevistados estavam “moderadamente preocupados” ou “muito preocupados” com a segurança na nuvem.

No entanto, essas preocupações podem não ser bem fundamentadas. Apenas 9% dos entrevistados disseram que suas organizações realmente passaram por um incidente de segurança relacionado à nuvem. E o Gartner prevê que, “até 2020, cargas de trabalho de infraestrutura de nuvem como serviço (IaaS) sofrerão pelo menos 60% menos incidentes de segurança do que em data centers tradicionais”.

Graças à sua enorme escala, os fornecedores de nuvem pública têm os recursos para contratar equipes de especialistas em segurança e investir nas tecnologias mais recentes e eficazes. A maioria das organizações, mesmo as maiores, simplesmente não consegue duplicar esses esforços. Como resultado, muitos especialistas em segurança são rápidos em dizer que a nuvem pública é mais segura do que os datacenters privados. No entanto, as pesquisas continuam mostrando que as pessoas ainda se preocupam com a segurança na nuvem.

Parte do problema pode ser que os líderes de negócios e de TI ainda não entendem completamente os benefícios e os riscos da computação em nuvem. “A ambigüidade sobre o que a computação em nuvem realmente oferece a uma organização é composta por uma variedade de preocupações reais e imaginadas sobre as implicações de segurança e controle de diferentes modelos de nuvem”, argumentou Jay Heiser, vice-presidente de pesquisa da Gartner.

Especialistas dizem que as empresas podem aumentar a segurança de suas implantações em nuvem pública seguindo as melhores práticas e implementando as tecnologias certas de segurança na nuvem.

De acordo com o Gartner, “até 2018, os 60% das empresas que implementam ferramentas adequadas de visibilidade e controle da nuvem terão um terço a menos de falhas de segurança”.

As empresas que desejam estar entre as organizações com menos problemas de segurança devem seguir minimamente os seguintes passos:

1. Entenda o modelo de responsabilidade compartilhada
Em um data center privado, a empresa é a única responsável por todos os problemas de segurança. Mas na nuvem pública, as coisas são muito mais complicadas. Enquanto o cliente não entender o modelo de contrato, o provedor de nuvem assume a responsabilidade por alguns aspectos da segurança de TI. Os profissionais de nuvem e segurança se referem a isso como um “modelo de responsabilidade compartilhada”. Os principais fornecedores de infraestrutura como serviço (IaaS) e plataforma como serviço (PaaS), como Amazon Web Services (AWS) e Microsoft Azure, possuem documentos que explicam qual entidade é responsável por quais aspectos da segurança.

As empresas que estão considerando o uso de um determinado fornecedor de nuvem devem analisar as políticas desse fornecedor sobre a responsabilidade de segurança compartilhada para se certificar de que entendem quem está lidando com os vários aspectos da segurança. Isso pode ajudar a evitar mal-entendidos, bem como a possibilidade de incidentes de segurança que ocorrem como resultado de uma segurança mal implementada.

2. Pergunte ao seu provedor de nuvem sobre questões detalhadas de segurança
Na mesma linha, as organizações devem fazer perguntas detalhadas aos fornecedores de nuvem pública sobre as medidas de segurança em vigor. É fácil supor que os principais fornecedores tenham a segurança tratada, mas os métodos e procedimentos de segurança variam de um fornecedor para outro. Alguns provedores de nuvem tomaram medidas para ter sua segurança certificada por várias organizações, enquanto outros não. Isso pode afetar a escolha de um fornecedor de nuvem por uma organização, especialmente para cargas de trabalho confidenciais ou para organizações com requisitos rígidos de conformidade. Embora um fornecedor possa ser a melhor escolha para aplicativos de missão crítica ou dados pessoais de clientes identificáveis, outro fornecedor pode ser a melhor opção para cargas de trabalho menos sensíveis.

3. Implantar uma solução de gerenciamento de identidade e acesso
Na pesquisa, os entrevistados disseram que as duas maiores ameaças à segurança das nuvens públicas eram o acesso não autorizado (53%) e o seqüestro de contas (44%). Essas duas ameaças podem ser atenuadas com a implantação de uma solução de gerenciamento de identidade e acesso (IAM) de alta qualidade.

Os especialistas recomendam que as organizações procurem uma solução de IAM que permita definir e aplicar políticas de acesso. Ele também deve ter recursos de permissão baseados em função. E a autenticação multifator pode reduzir o risco de pessoas não autorizadas obterem acesso a informações confidenciais, mesmo que consigam roubar nomes de usuários e senhas.

Além disso, as organizações podem querer procurar uma solução IAM que funcione em seus data centers internos, bem como em suas implantações na nuvem. Isso pode simplificar a autenticação para os usuários finais, bem como facilitar que a equipe de segurança garanta o cumprimento das políticas em todos os ambientes de TI.

4. Treine sua equipe
À medida que os invasores se tornam mais sofisticados, os ataques de phishing e spear phishing parecem estar tendo sucesso com mais frequência. Para impedir que hackers obtenham senhas para serviços de computação em nuvem, as organizações precisam treinar todos os seus funcionários para identificar e-mails perigosos, como selecionar uma senha forte e como evitar colocar a empresa em risco. Além disso, os funcionários precisam entender o risco inerente da TI. Na maioria das organizações, é muito fácil para a equipe contornar a TI e começar a usar um serviço como o Dropbox ou a AWS sem o conhecimento do departamento de TI. As empresas precisam explicar por que essa prática é perigosa e descobrir as possíveis conseqüências para a organização e consequentemente para a carreira do funcionário.

As organizações também precisam investir em treinamento para sua equipe de segurança. O cenário de ameaças muda diariamente, e os profissionais de segurança de TI só podem acompanhar se estiverem constantemente aprendendo sobre as ameaças mais recentes e contramedidas potenciais.

5. Estabeleça e aplique políticas de segurança na nuvem
As organizações precisam ter diretrizes escritas que especifiquem quem pode usar serviços em nuvem, como eles podem usá-los e quais dados podem ser armazenados na nuvem. Eles também precisam definir as tecnologias de segurança específicas que os funcionários devem usar para proteger dados e aplicativos na nuvem. Idealmente, a equipe de segurança deve ter soluções automatizadas para garantir que todos estejam seguindo essas políticas. Em alguns casos, o fornecedor da nuvem pode ter um recurso de imposição de política que seja suficiente para atender às necessidades da organização. Em outros, a organização pode precisar adquirir soluções de segurança separadas com esses recursos de imposição de políticas.

6. Proteja seus endpoints
Usar um serviço de nuvem não elimina a necessidade de segurança de endpoint forte, ela intensifica isso. Se você já tem uma defesa em sua rede que inclui firewalls, antimalware, detecção de intrusões, controle de acesso e outras medidas, você provavelmente tem a tecnologia necessária em vigor. Novos projetos de computação em nuvem oferecem uma oportunidade para revisitar essas estratégias e garantir que as proteções que você está usando atualmente sejam adequadas para lidar com as ameaças em evolução.

7. Criptografar dados em movimento e em repouso
A criptografia é uma parte essencial de qualquer estratégia de segurança na nuvem. Além de criptografar dados em um serviço de armazenamento na nuvem, você também deve garantir que os dados sejam criptografados durante o trânsito, quando podem estar mais vulneráveis ​​a ataques. Na verdade, os entrevistados disseram que as duas tecnologias de segurança na nuvem mais eficazes eram a criptografia de dados (65%) e a criptografia de dados em movimento nas redes (57%).

Alguns provedores de computação em nuvem oferecem serviços de criptografia e gerenciamento de chaves, e empresas terceirizadas de nuvem e software tradicional também oferecem opções de criptografia. Os especialistas recomendam encontrar um produto de criptografia que funcione perfeitamente com os processos de trabalho existentes, eliminando a necessidade de os usuários finais realizarem ações extras para cumprir as políticas de criptografia da empresa.

8. Use a tecnologia de detecção e prevenção de intrusão
De acordo com a pesquisa, a terceira tecnologia de segurança na nuvem mais eficaz é a prevenção e detecção de intrusões. Essas soluções podem ajudar as organizações a identificar quando um ataque ocorreu e tomar medidas para interromper ataques em andamento. Novamente, as organizações têm opções para software tradicional e baseado em nuvem quando se trata de soluções IDS e IPS. Você pode querer procurar um produto que possa abranger seus ambientes de nuvem locais e públicos.

9. Verifique novamente seus requisitos de conformidade
Organizações de setores como varejo, saúde e serviços financeiros enfrentam regulamentações rigorosas quando se trata de privacidade e segurança de dados. E as empresas em determinadas localizações geográficas também podem ter requisitos de conformidade especiais. Antes de estabelecer um novo serviço de computação em nuvem, as organizações precisam revisar seus requisitos específicos de conformidade e certificar-se de que o provedor de serviços atenda às suas necessidades de segurança de dados.

10. Considere um parceiro terceirizado
Dezenas de empresas oferecem soluções ou serviços projetados para aprimorar a segurança na nuvem. Se a sua equipe de segurança interna não tiver conhecimento em nuvem ou se suas soluções de segurança atuais não suportarem ambientes de nuvem, talvez seja hora de trazer alguma ajuda externa.

Soluções de segurança baseadas em nuvem, particularmente aquelas que dependem de inteligência artificial e aprendizado de máquina para analisar dados de registro, também estão se tornando mais populares. Na verdade, a IDC previu: “Até 2020, mais de 25% das empresas protegerão suas arquiteturas de TI por meio de serviços de segurança em nuvem, hospedados ou SaaS”

11. Realizar auditorias e testes de penetração
Se você optar por fazer parceria com uma empresa de segurança externa ou confiar na equipe interna, os especialistas dizem que você deve executar testes de penetração para determinar se os esforços de segurança na nuvem existentes são suficientes para proteger seus dados e aplicativos. Além disso, você deve realizar auditorias regulares de seus recursos de segurança na nuvem. A auditoria deve incluir uma análise das capacidades de seus fornecedores, incluindo a verificação dupla para garantir que eles estejam atendendo aos termos de segurança especificados em seus SLAs.

Além disso, como os insiders representam uma ameaça significativa, você também deve auditar seus logs de acesso para garantir que somente pessoal adequado e autorizado esteja acessando dados e aplicativos confidenciais na nuvem.

Os especialistas enfatizam que, na maioria dos casos, as preocupações com segurança não devem impedir que as organizações usem serviços de nuvem pública. Geralmente, as organizações têm menos problemas de segurança com suas cargas de trabalho baseadas em nuvem do que com aquelas executadas em seus data centers tradicionais. E seguindo as melhores práticas de segurança na nuvem, eles podem reduzir ainda mais o risco, enquanto aproveitam os benefícios oferecidos pela computação em nuvem.