A segurança na nuvem está se tornando cada vez mais uma parte inevitável dos negócios — os funcionários de empresas que usam a nuvem sem segurança estão garantindo isso. Ao migrar para a nuvem, você precisa priorizar a segurança: federação de ID, políticas de acesso de usuários, WAF, políticas de acesso e proteção de dados. Este artigo é sobre o estado da arte da preparação, bem como uma estratégia sólida de longo prazo para portabilidade, caso você precise se mudar novamente.
5 MINUTOS. LER
A nuvem se tornou uma parte inescapável dos negócios — assim como a segurança na nuvem.
Mover um aplicativo para a nuvem ou adotar um novo serviço de nuvem pode ser uma tarefa árdua. Na maioria dos casos, os provedores de serviços de nuvem tendem a tornar seus aplicativos mais seguros do que a equipe de segurança de uma empresa individual faria. No entanto, as estatísticas sugerem que a maioria dos aplicativos de nuvem usados pelos funcionários — cerca de 94,8% — não estão totalmente prontos para empresas. Muitas empresas não possuem as políticas necessárias para serem o mais seguras possível.
As fileiras de empresas sem políticas de nuvem estão repletas de funcionários trazendo seus próprios dispositivos móveis e usando seus serviços preferidos. Uma força de trabalho cada vez mais móvel e o surgimento de dispositivos empresariais conectados, desde impressoras até o sistema de aquecimento da sua empresa e a geladeira da sala de descanso — a Internet das Coisas — são alimentados por serviços sob demanda, tornando a nuvem ainda mais importante no trabalho. De acordo com a corretora de segurança de acesso à nuvem Netskope, no terceiro trimestre de 2016, a empresa média tinha 1.031 aplicativos de nuvem sendo usados pelos funcionários.
Com os invasores se tornando mais sofisticados, você precisa proteger seus aplicativos em nuvem e tomar decisões inteligentes sobre como gastar recursos em segurança. Embora grande parte do foco na segurança da nuvem esteja em melhores práticas de desenvolvimento por criadores de aplicativos, para muitas empresas que são consumidoras de aplicativos e serviços de nuvem — e não criadoras — os aplicativos geralmente precisam ser protegidos com visibilidade zero em seu funcionamento interno: a proverbial "caixa preta". Por esse motivo, a proteção de aplicativos na nuvem deve ser tratada da mesma forma que a proteção de dispositivos locais.
Aqui estão três etapas básicas para estender sua segurança na nuvem:
Assim como uma empresa precisa estar ciente do que está acontecendo com sua própria infraestrutura, suas equipes de segurança também devem ter visibilidade sobre o uso e a segurança de quaisquer serviços de nuvem. Você precisa saber não apenas como os funcionários estão acessando os serviços de nuvem, mas quais funcionários estão acessando-os.
Você deve aproveitar todas as funcionalidades de registro oferecidas pelo seu provedor de nuvem. Seu provedor também deve ser transparente na forma como protege sua infraestrutura e fornece informações sobre controles de segurança.
Mil e trinta e um aplicativos de nuvem estão sendo usados por funcionários em empresas médias.
Os dados comerciais mantidos em aplicativos — e os dados necessários para acessar esses aplicativos, como identidade — tornam-se cada vez mais importantes quando movidos para a nuvem.
Os cibercriminosos estão tirando proveito das inconsistências entre o data center e a nuvem.
Esses mesmos dados também podem estar sujeitos a leis de privacidade, como o Regulamento Geral de Proteção de Dados da União Europeia, a partir de 2018. Portanto, é fundamental que você tenha certeza de que todos os dados estejam criptografados com segurança.
Como o acesso remoto aos serviços de nuvem é o novo normal, a segurança dos dados armazenados na nuvem também depende da capacidade de identificar usuários de forma confiável. As equipes de segurança não devem presumir que um usuário com as credenciais corretas esteja autorizado. Outros processos de autenticação, como autenticação de dois fatores, detecção de anomalias e geolocalização, podem ajudar a tornar o acesso aos serviços de nuvem mais seguro e devem ser usados quando não sobrecarregarem excessivamente o fluxo de trabalho.
Mover aplicativos para a nuvem dá às equipes de segurança a oportunidade (alguns podem dizer a obrigação) de estender suas políticas para fora da rede corporativa. Como qualquer funcionário com um cartão de crédito pode implantar um novo serviço de nuvem, você precisa de políticas flexíveis e tecnologia que possa detectar serviços não autorizados, mais comumente conhecidos como TI paralela.
Não importa se os dados são armazenados no local ou na nuvem, as mesmas políticas gerais devem ser aplicadas. Embora a conformidade com as regulamentações seja um ponto de partida óbvio, suas políticas de nuvem precisam garantir a segurança e não apenas a conformidade.
Robert Haynes é um arquiteto de soluções com mais de vinte anos de experiência em TI. Começando como analista de helpdesk, sua carreira medíocre o levou à administração de sistemas UNIX, backup e armazenamento e, finalmente, à rede de aplicativos. Tendo apoiado, projetado e vendido sistemas de TI complexos em uma variedade de indústrias e em vários continentes, o foco de Robert está sempre na implementação prática e no uso da tecnologia no mundo real. Embora isso possa parecer totalmente em desacordo com sua função atual em marketing na F5 Networks, ele gosta de pensar que seu trabalho principal é trazer equilíbrio à Força.
Robert é bacharel em Biologia Aplicada pela University of Wales College Cardiff e possui um certificado em “Como evitar colisões ao dar marcha ré e estacionar” pela Driving Dynamics Interactive Advanced Driving School, sendo que este último se mostrou consideravelmente mais útil do que o anterior.