BLOG

Afinal a “cloud” é segura?

Há um conceito bem estabelecido, sempre ouvido quando gestores de TI estão discutindo projetos de nuvem (cloud), que “a nuvem não é segura”. Mas isso está mudando. De acordo com uma pesquisa conduzida em 2017 pela Cloud Security Alliance, apenas 35% dos gestores de TI acham que sistemas baseados em computação em nuvem são menos seguros do que seus sistemas on-primises. Uma razão potencial para isso é que os provedores de serviços na nuvem investiram pesadamente em segurança nos últimos anos, em muitos casos ultrapassando os padrões adotados em aplicações on-primeses.

Mesmo assim, não podemos esquecer ao usar serviços na nuvem você deve implementar as mesmas medidas de segurança que você aplicaria em uma infraestrutura tradicional de TI. Os objetivos de segurança devem ser abordados em relação a pessoas, informações, aplicativos e infraestrutura.

A Cloud Security Alliance realizou uma outra pesquisa em 2018 com especialistas do setor para compilar opiniões profissionais sobre os maiores problemas de segurança na computação em nuvem. Embora existam diversas preocupações estes são os principais problemas de segurança na nuvem, classificados em ordem de gravidade:

– Vazamento de dados, que pode ser o objetivo principal de um ataque direcionado ou simplesmente o resultado de erro humano, vulnerabilidades de aplicativos ou práticas de segurança insatisfatórias.

– Gerenciamento insuficiente de identidades, credenciais e acessos – Os agentes maliciosos, disfarçados de usuários, operadores ou desenvolvedores legítimos podem ler, modificar e excluir dados; bisbilhotar dados em trânsito ou instalar softwares maliciosos que pareçam se originar de uma fonte legítima.

– Interfaces inseguras (APIs) – Os provedores de nuvem expõem um conjunto de interfaces de usuário (UIs) ou APIs que os clientes usam para gerenciar e interagir com serviços em nuvem. O provisionamento, gerenciamento e monitoramento são realizados com essas interfaces, consequentemente a segurança e a disponibilidade dos serviços gerais de nuvem dependem da segurança das APIs. Elas precisam ser projetadas para proteger contra tentativas acidentais e mal-intencionadas de burlar a política.

– Vulnerabilidades do sistema, são erros exploráveis em software que os invasores podem usar para se infiltrar com o objetivo de roubar dados, assumir o controle do sistema ou interromper as operações do serviço.

– Sequestro de contas, sessões ou serviços. Este ataque não é novo, mas os serviços na nuvem adicionam uma nova ameaça ao cenário. Se os invasores obtiverem acesso às credenciais de um usuário eles poderão escutar atividades e transações, manipular dados, devolver informações falsificadas e redirecionar clientes para sites ilegítimos.

– Insiders – Um usuário legítimo mal-intencionado, como um administrador do sistema, pode acessar informações potencialmente confidenciais e pode ter níveis crescentes de acesso a sistemas mais críticos e, eventualmente, a dados

– Ameaças persistentes avançadas (APTs) – Os APTs perseguem seus objetivos furtivamente por longos períodos de tempo, muitas vezes adaptando-se às medidas de segurança destinadas a se defender contra eles. Uma vez no lugar, os APTs podem se mover lateralmente através de redes de data center e misturar-se com o tráfego de rede normal para alcançar seus objetivos.

– Perda de dados – Os dados armazenados na nuvem podem ser perdidos por outros motivos que não sejam ataques maliciosos. Uma exclusão acidental pelo provedor de serviços de nuvem ou uma catástrofe física, como incêndio, pode levar à perda permanente dos dados do cliente, a menos que o provedor ou o consumidor da nuvem tome as medidas adequadas para fazer backup dos dados, seguindo as melhores práticas de continuidade de negócios e recuperação de desastres.

 

Boas práticas em segurança na cloud.

As arquiteturas de aplicativos em nuvem são formadas por elementos dos três modelos de referência em nuvem: infraestrutura como serviço (IaaS), plataforma como serviço (PaaS) e software como serviço (SaaS).

Com o IaaS, o fornecedor de nuvem fornece apenas a infraestrutura física ou virtual. A partir desse nível, o usuário é o administrador da rede e da infraestrutura do sistema, aplicativos e dados.

Com a PaaS, o provedor de nuvem gerencia toda a infraestrutura, incluindo componentes de middleware, como bancos de dados. O aplicativo e o conteúdo de dados vêm do consumidor da nuvem.

SaaS significa que um provedor de nuvem fornece tudo, desde a infraestrutura até o aplicativo – o consumidor da nuvem apenas adiciona os dados e os acessa.

  1. Medidas de segurança para controle de usuários

O gerenciamento de identidade e acesso é essencialmente responsabilidade do consumidor da nuvem no modelo IaaS, já que o provedor opera somente a infraestrutura física ou virtual. Há mais responsabilidade compartilhada com PaaS e SaaS: Embora o gerenciamento de acesso seja o domínio do usuário, o provedor é responsável pela segurança e pela auditoria da interface do programa de aplicativos (API). O gerenciamento de identidades, incluindo o gerenciamento de usuários com privilégios, também é uma responsabilidade compartilhada entre o provedor e o consumidor da nuvem.

  1. Medidas de segurança para os dados

  • Coleta e classificação de dados;
  • Criptografia de dados e mascaramento;
  • Monitoramento de dados e atividades de arquivos;
  • Controle de acesso a dados;
  • Eliminação segura de dados.

No modelo IaaS, a responsabilidade por essas medidas de proteção pode ser claramente atribuída ao consumidor da nuvem. Com PaaS, o provedor de nuvem deve proteger o banco de dados fornecido usando ferramentas para monitorar e proteger o acesso. O usuário é responsável pelo conteúdo e pelos dados em si.

  1. Segurança de Aplicativos

Em um ambiente de SaaS, vemos uma responsabilidade compartilhada novamente: embora o usuário controle os dados, o serviço de nuvem fornece o aplicativo e, portanto, deve aplicar as medidas de segurança de aplicativos necessárias. Esses incluem:

  • Segurança por design e análise de código fonte;
  • Teste de segurança e vulnerabilidade;
  • Implantação segura;
  • Proteção contra manipulação e ameaças durante o tempo de execução.

Para aplicativos no modelo SaaS, o provedor de nuvem é encarregado de desenvolver e operar o aplicativo e entregá-lo aos consumidores. Ao fornecer desenvolvimento e operação seguros de aplicativos com recursos como verificação de código de aplicativo, gerenciamento de segurança de aplicativos e detecção de vulnerabilidades, os fornecedores podem ofertar um alto nível de segurança para serviços em nuvem.

Nos modelos IaaS e PaaS, o aplicativo pertence ao consumidor da nuvem. Como diretriz geral, as empresas devem considerar o possível uso de serviços em nuvem durante o design e o desenvolvimento de novos aplicativos específicos da empresa e aplicar medidas de segurança apropriadas.

  1. Infra-estrutura

  • Segurança de endpoint;
  • Segurança de rede;
  • Criptografia de comunicação;
  • Segurança física.

Os consumidores de nuvem devem sempre garantir a segurança dos endpoints usados ​​para acessar os serviços de nuvem. No modelo SaaS, essa é a única responsabilidade do consumidor da nuvem em relação à segurança da infraestrutura.

Com o IaaS, o usuário da nuvem é responsável pela segurança da rede e, se necessário, pela criptografia de comunicação.

Em PaaS e SaaS, essa responsabilidade é transferida do consumidor da nuvem para o provedor, já que o provedor possui as tecnologias de segurança apropriadas em vigor. Enquanto isso, o provedor deve garantir a segurança física do sistema em nuvem.

As tecnologias de segurança não precisam necessariamente assumir a forma de ferramentas ou ser desenvolvidas e operadas em uma infraestrutura orientada para o cliente. Os provedores de nuvem também oferecem serviços para vários níveis de segurança de TI, como gerenciamento de identidade e acesso.

É crucial determinar quem controla os vários componentes da infraestrutura da nuvem. Isso define onde e como as medidas de segurança devem ser aplicadas, com foco especial nos dados. No final do dia, tanto os provedores quanto os usuários precisam manter os dados da nuvem seguros. A segurança na nuvem deve ser um esforço de equipe.

A Golden Technologia é uma parceira oficial Senha Segura.

Fonte: Senha Segura

Compartilhe nas Redes Sociais

Outros Artigos

Nuvem

CE | RN | PE | SE | BA | MG | SP - Telefone: (85) 3119.5969

Golden Technologia © 2018 - Todos os direitos reservados.
Termos de Uso | Política de Privacidade

Nunan