O Que é Segurança em Nuvem?

A segurança na nuvem é um conjunto de procedimentos, políticas e tecnologias que fortalecem os ambientes de computação baseados em nuvem contra possíveis ameaças à segurança cibernética. Na prática, garante a integridade e segurança dos modelos de computação em nuvem durante quaisquer ataques ou violações. Os provedores de serviços em nuvem estabelecem uma infraestrutura de nuvem segura.

Segurança em nuvem

Proteger a nuvem não é tão complexo quanto pode parecer. Há muitas maneiras de proteger seus negócios, mantendo sua nuvem segura e, simultaneamente, aproveitando tudo o que ela tem a oferecer.

A segurança em nuvem começa com a seleção do modelo de serviço certo que atende às necessidades da sua organização. Existem três modelos de serviço exclusivos e quatro opções de implantação em termos de ofertas de segurança na nuvem. As opções do modelo de serviço incluem o seguinte:

  • Insfraestrutura como Serviço (IaaS): O modelo IaaS permite que uma empresa construa seu próprio Data Center virtual (vDC). Um data center virtual oferece recursos baseados em nuvem em vez dos benefícios físicos que um data center tradicional pode oferecer. Não há necessidade de manutenção regular, atualizações ou manutenção de máquinas físicas com um data center virtualizado.
  • Plataforma como Serviço (PaaS): O modelo PaaS oferece uma variedade de opções que permitem aos clientes provisionar, implantar ou criar software.

 

Software como Serviço (SaaS):  Com o modelo SaaS, os clientes recebem um software que não requer o uso de um computador ou servidor para construí-lo. Os exemplos incluem o Microsoft 365 (anteriormente Office 365) e o Gmail. Com essas opções, os clientes precisam apenas de um computador, tablet ou telefone para acessar  cada aplicação. As empresas usam diversos termos para destacar seus produtos, de DRaaS (recuperação de desastres) a HSMaaS (módulo de segurança de hardware) a DBaaS (banco de dados) e, finalmente, XaaS (qualquer coisa). Dependendo do que uma empresa está comercializando, pode ser difícil determinar se um produto é SaaS ou PaaS, mas no final, entender as responsabilidades contratuais de um provedor de nuvem é mais importante. Os provedores de nuvem estendem seus contratos para adicionar segurança nas formações de nuvem por meio de serviços como HSMaaS (módulo de segurança de hardware) ou DRMaaS (gerenciamento de direitos digitais).

Os quatro modelos de implantação são:

  • Público:  Disponível para qualquer pessoa para compra. Os melhores exemplos hoje são Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform (GCP).
  • Privado: Isso é construído para uma empresa e o hardware não é compartilhado com mais ninguém. O modelo privado pode ser construído em uma nuvem pública ou em seu próprio data center, ou em uma empresa especializada na construção de nuvens privadas, ou seja, um provedor de serviços gerenciados.
  • Comunidade: Isso envolve o conceito de compartilhamento entre empresas. O serviço pode ser compartilhado ou os dados podem ser compartilhados nesse serviço. Um exemplo pode ser nuvens construídas pelo governo compartilhadas por várias agências.
  • Híbrido: Isso envolve o uso de pelo menos dois dos três modelos de implantação listados acima: público e privado, privado e comunitário ou público e comunitário. Outra possibilidade é usar todos os três.

Qual aspecto da segurança na nuvem é o mais importante?

Todos os aspectos de uma política de segurança de nuvem individual são importantes, mas há certos pilares que todo provedor deve oferecer. Estes são considerados essenciais e alguns dos aspectos mais importantes de uma infraestrutura de segurança em nuvem. Garantir que o provedor escolhido cubra todos esses pilares é equivalente à estratégia de segurança em nuvem mais completa que você pode implementar.

Monitoramento sempre ativo: Os provedores de segurança em nuvem podem oferecer um vislumbre do que está acontecendo em suas plataformas em nuvem mantendo registros o tempo todo. Caso ocorra um incidente, sua equipe de segurança pode inspecionar e comparar os logs internos com os registros do seu provedor para obter informações sobre possíveis ataques ou alterações. Isso pode ajudar a detectar e responder rapidamente a quaisquer incidentes que possam ocorrer.

Mudar a gestão: Seu provedor de segurança em nuvem deve oferecer protocolos de gerenciamento de alterações para monitorar os controles de conformidade quando as alterações são solicitadas, os ativos são alterados ou movidos ou novos servidores são provisionados ou desativados. Aplicações dedicadas de gerenciamento de mudanças podem ser implantadas para monitorar automaticamente comportamentos incomuns para que você e sua equipe possam agir rapidamente para mitigá-los e corrigi-los.

Controles de segurança do Zero-Trust Isole seus ativos e aplicações de missão crítica longe de sua rede em nuvem. Manter os workloads seguros privados e inacessíveis ajudará a aplicar políticas de segurança que protegem seu ambiente baseado em nuvem.

Proteção de dados abrangente: seu provedor deve oferecer proteção de dados aprimorada com criptografia adicional para todas as camadas de transporte, boa higiene de dados, monitoramento contínuo de gerenciamento de riscos, compartilhamento seguro de arquivos e comunicações herméticas. Em suma, seu provedor deve estar no topo do jogo quando se trata de proteger os dados da sua empresa em todos os sentidos, formas e formatos.

Pergunte a si mesmo: “Quais são minhas preocupações?” Isso ajudará você a determinar quais perguntas fazer ao seu provedor de nuvem que podem ajudá-lo a entender os aspectos mais importantes a serem lembrados.

Arquitetura em nuvem

A arquitetura em nuvem, de forma simples, é o resultado de vários ambientes reunidos para compartilhar recursos escaláveis entre aplicações de software, bancos de dados e outros serviços. Essencialmente, o termo refere-se à infraestrutura e componentes que trabalham em conjunto para compor a "nuvem" como a conhecemos.

Os componentes básicos necessários para criar uma nuvem incluem redes, roteadores, switches, servidores, firewalls e sistemas de detecção de intrusão. A nuvem também inclui todos os elementos dentro dos servidores: o hipervisor e as máquinas virtuais, por exemplo, e, claro, o software. A arquitetura de nuvem também requer um provedor de nuvem, arquiteto de nuvem e corretor de nuvem para criar, gerenciar, vender e comprar serviços de nuvem. Existe um ecossistema inteiro para acompanhar, mas quando as pessoas dizem “a nuvem” está se referindo essencialmente à arquitetura da nuvem.

Muitos termos relacionados à arquitetura de nuvem apenas adicionam a palavra “nuvem” a um termo antigo e familiar, como consumidor de nuvem. Se você entende a definição de consumidor, o novo termo é claro; significa um consumidor de serviços em nuvem em oposição a, digamos, serviços de telefone.

Aqui estão alguns exemplos básicos:

  • Consumidor de nuvem: A pessoa ou empresa que usa um serviço de nuvem de um provedor de nuvem.
  • Provedor de nuvem: A pessoa ou empresa com os recursos para fornecer os serviços que os consumidores exigem. Isso inclui a tecnologia para criar servidores, máquinas virtuais, armazenamento de dados ou quaisquer recursos que os clientes precisem.
  • Agente de nuvem: A pessoa ou empresa que gerencia a entrega, uso e desempenho da nuvem para o consumidor, negociando o relacionamento com o provedor em nome do consumidor.
  • Operadora de nuvem:: A operadora é o provedor de serviços que conecta uma empresa à nuvem, como seu provedor de serviços de Internet (ISP). Para uma empresa, isso geralmente seria uma conexão MPLS (multiprotocol label switching).
  • Auditor de nuvem: A pessoa ou empresa que realiza auditorias do ambiente de um provedor de nuvem. Essas auditorias incluem auditorias de privacidade e de segurança.

Arquitetura de segurança em nuvem

A segurança na nuvem começa com a arquitetura de segurança da nuvem, que adiciona elementos de segurança à arquitetura básica. Os elementos de segurança tradicionais incluem firewalls (FW), antimalware e sistemas de detecção de intrusão (IDS). Aqueles que projetam uma estrutura segura dentro e por meio da nuvem também são necessários, incluindo um auditor de nuvem, arquiteto de segurança e engenheiro de segurança.

Em outras palavras, a arquitetura de segurança em nuvem não se limita apenas ao hardware ou software.

A arquitetura de segurança em nuvem começa com o gerenciamento de riscos. Saber o que pode dar errado e como um negócio pode ser afetado negativamente ajuda as empresas a tomar decisões responsáveis. Três áreas críticas de discussão são continuidade de negócios, cadeia de suprimentos e segurança física.

O que acontecerá com o seu negócio se o seu provedor de nuvem falhar? Colocar nossos servidores, serviços e dados na nuvem não elimina a necessidade de continuidade de negócios e planejamento de recuperação de desastres.

O que aconteceria se qualquer um pudesse entrar no data center (DC) do provedor de nuvem? Nos três grandes — AWS, GCP e Azure — isso não seria fácil, mas esse é o ponto. Eles investiram pesadamente na segurança do próprio data center. Mas e os outros provedores de nuvem? Com qualquer provedor de nuvem, solicite uma visita guiada ao data center e se envolva em uma auditoria. Observe a resposta deles. Eles estavam dispostos a deixar você verificar o DC no dia seguinte? Se é fácil entrar no DC, talvez a decisão de ir com aquele mereça uma segunda reflexão.

É mais provável que os provedores de nuvem menores não tenham um DC físico. Mais provavelmente, eles usam e revendem com eficácia a capacidade dos grandes provedores de nuvem. E tudo bem. Essa é uma vantagem e parte da beleza de usar a nuvem. Se a relação entre os provedores de nuvem não for conhecida, isso pode causar problemas adicionais em relação a leis, regulamentos e contratos. Faça esta pergunta simples: onde estão meus dados? Se houver vários níveis nos provedores de nuvem, a resposta pode ser difícil de determinar e pode haver consequências legais, como um problema com o Regulamento Geral Europeu de Proteção de Dados (GDPR) ou a Lei Geral de Proteção de Dados (LGPD).

Os elementos que compõem a arquitetura de segurança em nuvem de uma empresa podem ter serviços de segurança em nuvem também. É possível adquirir serviços como DLPaaS (Data Leak Prevention) ou usar ferramentas para auxiliar na segurança, como uma ferramenta de varredura que busca informações de identificação pessoal (PII) para que possam ser protegidas de forma adequada. O gerenciamento de segurança em nuvem é necessário para garantir que esses serviços funcionem como deveriam.

O que é o programa de proteção de aplicações nativos da nuvem (CNAPP)?

O CNAPP é um grupo de soluções de segurança destinadas a auxiliar na identificação, avaliação, priorização e adaptação ao risco em uma variedade de aplicações nativas em nuvem.

Como tal, o CNAPP reúne vários dos recursos mais importantes acumulados de produtos e plataformas em silos: Verificação de artefatos, proteção em tempo de execução e configuração de nuvem. Isso pode incluir o seguinte:

  • Verificações de configuração incorreta para buckets, bancos de dados e portas de rede abertos do Amazon S3
  • Monitoramento de tempo de execução e proteção de suas cargas de trabalho na nuvem
  • Detecção automatizada de vulnerabilidades em contêineres, máquinas virtuais (VMs) ou funções serverless
  • Verificação de exposição para CVEs, segredos, dados confidenciais e malware
  • Verificação de infraestrutura como código (IaC)

 

A Trend Micro pode ser considerada uma fornecedora de CNAPP, e produtos como Trend Micro Cloud One™, a plataforma de serviços de segurança destinada a desenvolvedores de nuvem, podem se encaixar perfeitamente na arquitetura CNAPP.

Compliance em nuvem

As empresas precisam permanecer em conformidade com as muitas leis, regulamentos e contratos em vigor. Quando você coloca seus dados e serviços na posse de outra pessoa, existem certos requisitos complicados que devem estar em vigor para garantir a conformidade.

Do ponto de vista legal, as organizações devem cumprir o Regulamento Geral de Proteção de Dados da União Europeia (GDPR da UE), Sarbanes-Oxley – proteção de dados financeiros dos EUA (SOX), a Lei de Portabilidade e Responsabilidade de Informações de Saúde - Saúde dos EUA (HIPAA) e outros. Além disso, a proteção do cartão de crédito está sujeita à legislação contratual com a Indústria de Cartões de Pagamento - Padrão de Segurança de Dados (PCI-DSS).

Uma vez que o assunto de compliance é identificado, muitas ações podem ser tomadas, uma das quais é uma auditoria. A auditoria deve ser conduzida usando uma abordagem padronizada e metodologia comprovada, como a SSAE 18 do Instituto Americano de Contadores Públicos Certificados (Declaração de Padrões sobre Acordos de Atestado, nº 18). As descobertas da auditoria irão indicar o que pode não estar em compliance. Ao decidir sobre um provedor de nuvem, é importante ler esses relatórios para saber o nível de segurança do DC e o que esperar.

Segurança em Nuvem

Artigos relacionados

Relatório de violação de dados da Verizon & armazenamento em nuvem não seguro

Responsabilidade compartilhada da segurança na nuvem

Você está a um erro de configuração de uma violação de dados baseada em nuvem

Microsoft Azure Well-Architected Framework

Pesquisa relacionada

Usando Shift-Left para encontrar vulnerabilidades antes do deploy

AWS Well-Architected

Seguro, protegido e privado, seja qual for o seu negócio

National Institute of Standards And Technology (NIST)