É impossível negar que é um desafio proteger aplicativos e dados em uma série cada vez mais diversificada de ambientes de computação. Por um lado, os líderes de negócios de hoje estão sob pressão constante para inovar e acompanhar um mercado que evolui rapidamente. Por outro, a segurança apresenta uma pedra contante no sapato, em uma era em que grandes violações de dados ocupam as notícias quase todos os dias. Porém, enquanto os que estão sempre do contra podem rejeitar as tecnologias de nuvem por serem uma perturbação e basicamente menos seguras que a computação interna tradicional, eles estão deixando passar um ponto importante.
A realidade é que, em geral, o problema não está na nuvem propriamente dita. Da mesma forma que acontece com quase todas as violações de dados, o fator humano normalmente é o culpado. Isso pode incluir fatores como avaliações de risco ineficazes, controles de acesso mal gerenciados, falta de redundância dos dados e diversas outras ameaças, a maioria das quais tem origem dentro da própria organização. O equívoco comum de que a nuvem é a fonte desses desafios ocorre porque, em muitas partes do mundo, o software como serviço ainda precisa se tornar uma forma estabelecida e confiável de fazer negócios.
Dissipando o mito da (in)segurança da nuvem
Vamos esclarecer tudo: os principais data centers em nuvem do mundo, operados por Amazon, Google e Microsoft, são alguns dos ambientes mais seguros do planeta. Isso realmente não deve ser surpresa, pois essas empresas são algumas das mais poderosas do mundo. Elas têm acesso a recursos financeiros, conhecimento e tecnologia avançadíssima, em um nível que poucas organizações poderiam sonhar. Além de ter controles físicos 24 horas por dia, 7 dias por semana, como defesas de segurança, vigilância por vídeo e proteção do perímetro semelhante à de prisões de segurança máxima, elas também oferecem controles administrativos e técnicos para proteger de hackers os dados que estão sob seus cuidados.
A segurança e a integridade das informações estão bem no centro do que esses grandes provedores de tecnologia fazem, portanto, eles se empenham em eliminar cada ponto de falha com redundâncias integradas e revisões automatizadas. Eles distribuem dados em muitas máquinas diferentes em muitos locais diferentes para protegê-los de ameaças como desastres naturais e falhas de hardware.
Do ponto de vista administrativo, a nuvem possivelmente oferece segurança reforçada, reduzindo a necessidade de camadas de segurança controladas pelo cliente. Alguns provedores de nuvem e fornecedores de colocação de servidores também oferecem um centro de operações de segurança (SOC) totalmente terceirizado, o que é ideal para empresas menores, que muitas vezes são atacadas em massa por ameaças como golpes de phishing e publicidade maliciosa. Mesmo nos casos em que a migração para a nuvem não oferece segurança de informações aprimorada, a grande redução das despesas de capital pode proporcionar mais controle financeiro para investir na segurança.
Então, de onde vêm as ameaças?
Não estamos dizendo que os maiores data centers do mundo são fortalezas invioláveis, mas eles são o que há de mais próximo disso. Por que então sempre há nas notícias grandes violações de dados que visam ativos de negócios digitais hospedados na nuvem?
O elo mais fraco não é a tecnologia, são as pessoas. Muitas vezes, é isso que acontece ao gerenciar ambientes complexos de nuvem híbrida em que as empresas usam uma combinação de infraestruturas públicas (como o Amazon Web Services (AWS)) e uma nuvem privada local ou hospedada consolidada em uma rede de longa distância (WAN). No entanto, com a abordagem correta, a nuvem híbrida traz muitos benefícios, como a redução dos custos de capital e a maior flexibilidade.
Veja as principais ameaças à segurança de nuvens híbridas que você precisa superar:
Direitos de acesso administrados incorretamente
Uma das maiores vantagens dos recursos hospedados na nuvem é que eles podem ser acessados de qualquer dispositivo conectado à Internet. Isso também pode ser seu maior inconveniente, em uma época em que os ataques de engenharia social dominam o mundo do crime cibernético. Afinal de contas, os cibercriminosos nem sempre são hackers estereotipados que ficam horas fitando linhas de código passarem pelo monitor. Cada vez mais, eles contam com táticas de enganação e manipulação para incentivar suas vítimas a entregar informações confidenciais, como dados de login. Táticas de engenharia social frequentemente são usadas para possibilitar a operação de seu código malicioso.
Para superar esses riscos, os administradores de TI precisam impor a autenticação multifator (MFA) para reduzir a dependência das senhas. Dessa maneira, as pessoas que acessam o sistema, especialmente de dispositivos ou redes desconhecidas, precisarão confirmar suas identidades com um método de autenticação secundário. Esse método pode ser a leitura da impressão digital ou um token de segurança temporário, como um código enviado por SMS. Como o método de verificação secundário é dinâmico ou uma característica própria do usuário (como uma leitura de retina ou impressão digital), ele protege muito melhor de ataques de engenharia social.
APIs não protegidas
As implantações de nuvem híbrida dependem de APIs para garantir a interoperabilidade entre infraestruturas diferentes, como os data centers internos, os recursos na nuvem pública e as nuvens privadas hospedadas. Elas atuam como canais para garantir o fluxo contínuo de dados entre os dois sistemas para fornecer uma experiência ininterrupta para os usuários finais. Mas, quando não protegidos, esses endpoints da API podem deixar dados sigilosos expostos. Muitas vezes, essa vulnerabilidade é explorada quando dados são transmitidos entre dispositivos e conexões inseguros. Outros ataques podem explorar APIs configuradas incorretamente para forçar o sistema a fazer algo que poderia resultar em seu comprometimento. Por exemplo, atacantes começaram a explorar Kubernetes APIs mal configuradas para emitir comandos; dessa maneira, eles baixaram e executaram uma carga maliciosa de fora.
Como, na prática, as APIs são gateways, ou seja, pontos de acesso em um serviço ou aplicativo da nuvem pública, os administradores de TI precisam tomar medidas adicionais para proteger os dados que passam por elas. A maneira mais fácil de protegê-las é garantir que os dados nunca saiam de um endpoint sem ser criptografados. Dessa forma, mesmo que um hacker coloque as mãos em dados expostos por uma vulnerabilidade na API, eles serão inúteis. Os algoritmos de criptografia AES-256 de hoje levariam 3×1051 anos para serem quebrados sem saber a chave de criptografia; nesse tempo, até o hacker mais jovem e mais paciente desistiria.
Terceiros desprotegidos
Em ambientes de nuvem híbrida, seus fornecedores são uma fonte de risco adicional. 181 fornecedores terceirizados acessam uma rede média todas as semanas, fazendo com que dois terços das empresas sofram violações de dados associadas a um de seus fornecedores. Infelizmente, alguns fornecedores de nuvem não são claros em relação a fatores fundamentais, como a propriedade e a governança dos dados. Eles podem não ter os controles necessários em vigor para garantir que seus dados estejam seguros durante a migração para a nuvem ou quando estão hospedados em seus próprios servidores.
Para reduzir os enormes riscos que os terceiros representam, as empresas devem avaliar cuidadosamente todos os fornecedores de nuvem com quem desejam trabalhar. Os gerentes corporativos sempre devem verificar a propriedade dos dados e os controles de segurança, além de garantir que tudo esteja claramente definido em contratos de nível de serviço (SLAs). Eles precisam saber exatamente o que o fornecedor faz com seus dados, quais controles e permissões de acesso utilizam e quais recursos fornecem, caso algo dê errado. O ideal é que todos os contratos sejam analisados por um advogado antes de serem assinados.
Violações de conformidade regulamentar
Mesmo que você tenha todas as medidas de segurança disponíveis em vigor, ao fazer a migração de dados para a nuvem pública, ainda há a questão da conformidade. Muitas regulamentações de processamento de dados, por exemplo, exigem que dados pertencentes aos cidadãos de um país específico sejam armazenados no mesmo território. De algumas maneiras, isso contradiz o verdadeiro espírito da nuvem como um ambiente de computação descentralizado e distribuído. Para complicar as coisas ainda mais, a maioria dos provedores de nuvem não garante a localização física de seus dados, embora haja algumas exceções: o AWS, por exemplo, pode funcionar no modo regional para evitar a transferência de seus dados para fora daquele território.
Felizmente, de modo ideal, as implementações de nuvem híbrida são adequadas a setores fortemente regulamentados, pois proporcionam mais controle sobre onde os dados são fisicamente armazenados. Por exemplo, um provedor de serviços de saúde sujeito às regulamentações da HIPAA e HITECH pode manter informações de saúde de pacientes (PHI) em uma nuvem privada, com o um data center interno ou uma instalação de colocação de servidores. Uma empresa em conformidade com a GDPR pode fazer o mesmo para garantir que os dados de clientes continuem na UE enquanto os aplicativos de negócios são transferidos para a nuvem. No final, o modelo híbrido proporciona mais controle sobre onde seus dados são armazenados e como são protegidos.
Computação na nuvem híbrida – o primeiro passo para a inovação em grande escala
O segredo do sucesso das implementações de nuvem híbrida é uma abordagem que prioriza a segurança, capaz de dar aos administradores de TI visibilidade total de seus recursos digitais. Com as soluções de gerenciamento e as camadas de software adequadas, as empresas podem criar um único ambiente coeso que incorpora o melhor dos dois mundos. Uma implementação na nuvem híbrida não é mais ou menos segura que a virtualização local, mas, com a abordagem correta, pode tornar-se ainda mais segura. Para começar, basta selecionar um produto de segurança em nuvem escalonável e que pode ser adaptado às suas necessidades.