O que é segurança em nuvem?

Segurança em Nuvem é:

A segurança em nuvem é a ação de garantir que todos os dados e serviços que residem em uma nuvem sejam protegidos de ataques ou violações de disponibilidade, integridade e confidencialidade. Embora os provedores de serviços em nuvem forneçam infraestrutura segura em nuvem, por meio do Modelo de Responsabilidade Compartilhada, os clientes são responsáveis por proteger os workloads, aplicações e dados que executam na nuvem.

Segurança em Nuvem

A segurança da nuvem pode parecer fora de alcance. A nuvem é simplesmente servidores, roteadores e switches em posse de outra organização. Há muitas maneiras de proteger sua empresa para garantir que você esteja cumprindo sua parte do modelo de responsabilidade. Mantendo sua nuvem segura enquanto aproveita tudo o que a nuvem tem a oferecer.

Antes de discutirmos como proteger as arquiteturas de nuvem, vamos dar uma olhada na estrutura da nuvem. O ambiente de nuvem de hoje oferece muitas opções de escolha. Existem três modelos de serviço e quatro modelos de implantação. Eles são definidos pelo NIST em seu SP 800-145.

Os modelos de serviço são:

  • Infraestrutura como serviço – A IaaS permite que uma empresa construa seu próprio data center virtual (vDC).
  • Plataforma como serviço – A PaaS oferece muitas opções que permitem ao cliente provisionar, implantar ou criar software.
  • Software como serviço – No SaaS, o cliente pode usar o software sem a necessidade de um computador ou servidor para compilá-lo. Alguns dos melhores exemplos são Microsoft 365 (antigo Office 365) e Gmail. O cliente só precisa de um computador, tablet ou telefone para acessar o software online.


As empresas usam uma variedade de termos para destacar seus produtos, em oposição às descrições mais clínicas do NIST – de DRaaS (Recuperação de desastres) a HSMaaS (Módulo de segurança de hardware), bem como DBaaS (banco de dados) e, finalmente, XaaS (Anything aaS). Dependendo do que uma empresa está fazendo no mercado, pode ser difícil determinar se um produto é SaaS ou PaaS, mas no final, entender as responsabilidades contratuais do provedor de nuvem é mais importante. Os provedores de nuvem estendem seus contratos para adicionar segurança em formações de nuvem por meio de serviços como HSMaaS (Hardware Security Module) ou DRMaaS (Digital Rights Management).

Os quatro modelos de implantação são:

  • Público – disponível para compra a qualquer pessoa. Os melhores exemplos hoje são Amazon Web Service (AWS), Microsoft Azure e Google Cloud Platform (GCP).
  • Privado – foi criado para uma empresa. Fundamentalmente, o hardware em si não é compartilhado com mais ninguém. O modelo privado pode ser construído em uma nuvem pública ou dentro de seu próprio data center (DC), ou em uma empresa especializada na construção de nuvens privadas, ou seja, um provedor de serviços gerenciados.
  • Comunidade – Envolve o conceito de compartilhamento entre empresas. O serviço pode ser compartilhado ou os dados podem ser compartilhados nesse serviço. Um exemplo pode ser nuvens construídas pelo governo compartilhadas por várias agências.
  • Híbrido – Envolve o uso de pelo menos dois dos três modelos de implantação listados acima: público e privado, privado e comunidade ou público e comunidade. Outra possibilidade é usar todos os três.

 

Arquitetura em nuvem

A arquitetura da nuvem é a organização de componentes e subcomponentes em uma estrutura lógica e, com sorte, eficiente e eficaz. Essa estrutura deve permitir que esses componentes trabalhem juntos em prol de um objetivo, maximizando a força e minimizando as fraquezas. Os componentes básicos necessários para criar uma nuvem incluem redes, roteadores, switches, servidores e vários outros, como firewalls e sistemas de detecção de intrusão. Além desses componentes, a nuvem também inclui todos os elementos dos servidores, como o hipervisor e as máquinas virtuais e, é claro, o software. A arquitetura de nuvem também requer um provedor de nuvem, arquiteto de nuvem e corretor de nuvem para criar, gerenciar, vender e comprar serviços de nuvem.

Muitos termos relacionados à arquitetura de nuvem apenas adicionam a palavra nuvem a um termo antigo e familiar, como consumidor de nuvem. Se você entende a definição de consumidor, o novo termo é claro; significa o consumidor de serviços em nuvem em oposição a, digamos, serviços de telefone.

A terminologia básica encontrada no NIST SP 500-299 inclui:

  • Consumidor de nuvem – A pessoa ou empresa que utiliza o serviço de nuvem de um provedor de nuvem.
  • Provedor de nuvem – a pessou ou companhia com os recursos para fornecer os serviços de que os consumidores precisam. Isso envolve a tecnologia para criar os servidores, máquinas virtuais, armazenamento de dados ou quaisquer recursos de que o cliente precisa.
  • Cloud Broker – a pessoa ou empresa que gerencia a entrega, o uso e o desempenho da nuvem para o consumidor. Eles também negociam o relacionamento com o fornecedor em nome do consumidor.
  • Operadora da nuvem – a operadora é o provedor de serviços que conecta uma empresa à nuvem, por exemplo, seu provedor de serviços de Internet. Para uma empresa, isso geralmente seria uma conexão MPLS.
  • Auditor de nuvem – a pessoa ou empresa que realiza a auditoria de um ambiente de provedor de nuvem. Essas auditorias incluem auditorias de privacidade e de segurança.


Saiba mais sobre Arquitetura em Nuvem.

Arquitetura de segurança em nuvem

A segurança na nuvem começa com a arquitetura de segurança da nuvem, que adiciona elementos de segurança à arquitetura básica. Os elementos de segurança tradicionais incluem firewalls (FW), antimalware e sistemas de detecção de intrusão (IDS). Aqueles que projetam uma estrutura segura dentro e por meio da nuvem também são necessários, incluindo um auditor de nuvem, arquiteto de segurança e engenheiro de segurança.

Em outras palavras, a arquitetura de segurança em nuvem não se limita apenas ao hardware ou software.

A arquitetura de segurança em nuvem começa com o gerenciamento de riscos. Saber o que pode dar errado e como um negócio pode ser afetado negativamente ajuda as empresas a tomar decisões responsáveis. Três áreas críticas de discussão são continuidade de negócios, cadeia de suprimentos e segurança física.

O que acontecerá com o seu negócio se o seu provedor de nuvem falhar? Colocar nossos servidores, serviços e dados na nuvem não elimina a necessidade de continuidade de negócios e planejamento de recuperação de desastres.

O que aconteceria se qualquer um pudesse entrar no data center (DC) do provedor de nuvem? Nos três grandes — AWS, GCP e Azure — isso não seria fácil, mas esse é o ponto. Eles investiram pesadamente na segurança do próprio data center. Mas e os outros provedores de nuvem? Com qualquer provedor de nuvem, solicite uma visita guiada ao data center e se envolva em uma auditoria. Observe a resposta deles. Eles estavam dispostos a deixar você verificar o DC no dia seguinte? Se é fácil entrar no DC, talvez a decisão de ir com aquele mereça uma segunda reflexão.

É mais provável que os provedores de nuvem menores não tenham um DC físico. Mais provavelmente, eles usam e revendem com eficácia a capacidade dos grandes provedores de nuvem. E tudo bem. Essa é uma vantagem e parte da beleza de usar a nuvem. Se a relação entre os provedores de nuvem não for conhecida, isso pode causar problemas adicionais em relação a leis, regulamentos e contratos. Faça esta pergunta simples: onde estão meus dados? Se houver vários níveis nos provedores de nuvem, a resposta pode ser difícil de determinar e pode haver consequências legais, como um problema com o Regulamento Geral Europeu de Proteção de Dados (GDPR) ou a Lei Geral de Proteção de Dados (LGPD).

Os elementos que compõem a arquitetura de segurança em nuvem de uma empresa podem ter serviços de segurança em nuvem também. É possível adquirir serviços como DLPaaS (Data Leak Prevention) ou usar ferramentas para auxiliar na segurança, como uma ferramenta de varredura que busca informações de identificação pessoal (PII) para que possam ser protegidas de forma adequada. O gerenciamento de segurança em nuvem é necessário para garantir que esses serviços funcionem como deveriam.

Compliance em nuvem

As empresas precisam estar em compliance com muitas leis, regulamentos e contratos. Quando você coloca seus dados e serviços em posse de outra pessoa, as auditorias necessárias para confirmar o compliance podem se complicar.

Uma boa pergunta a ser respondida é: Quais são suas preocupações? Isso ajudará a determinar quais perguntas fazer ao seu provedor de nuvem. Do ponto de vista legal, as organizações devem cumprir o GDPR da UE (Regulamento Geral de Proteção de Dados da União Europeia), SOX (Sarbanes-Oxley – proteção de dados financeiros dos EUA), HIPAA (Lei de Portabilidade e Responsabilidade de Informações de Saúde – cuidados de saúde dos EUA) e outros. Além disso, a proteção do cartão de crédito está sujeita à legislação contratual com PCI-DSS (Payment Card Industry – Data Security Standard).

Uma vez que o assunto de compliance é identificado, muitas ações podem ser tomadas, uma das quais é uma auditoria. A auditoria deve ser conduzida usando uma abordagem padronizada e metodologia comprovada, como a SSAE 18 do Instituto Americano de Contadores Públicos Certificados (Declaração de Padrões sobre Acordos de Atestado, nº 18). As descobertas da auditoria irão indicar o que pode não estar em compliance. Ao decidir sobre um provedor de nuvem, é importante ler esses relatórios para saber o nível de segurança do DC e o que esperar.

Saiba mais sobre Compliance em nuvem.

Infraestrutura como código (IaC)

A breve explicação de IaC é que a infraestrutura é tratada como código, com a mesma lógica do DevOps, em vez de configurar cada roteador, servidor, switch e software individual. Se aplicássemos os pontos fortes do DevOps à criação e gerenciamento de nossa infraestrutura, isso resultaria em muitos benefícios. Na nuvem, sua infraestrutura se torna virtual, o que significa que é apenas código, não hardware. Na verdade, um roteador é apenas um código que reside em um computador específico ou especialmente construído; quando o hardware é removido, o que resta é o código.

Agora vamos aplicar a lógica ao desenvolvimento e implantação desse código. As ferramentas de automação agora permitem métodos mais fáceis e controlados de implantação e gerenciamento de software. Se gerenciarmos nossa infraestrutura virtual com essas ferramentas, poderemos ter uma maneira muito mais fácil e controlada de implantar e gerenciar nuvens.

Saiba mais sobre Infraestrutura como código.

Tópicos de Segurança em Nuvem