Após o ataque massivo à SolarWinds que afetou empresas em todo o mundo, surgiu um debate sobre a segurança da nuvem e se a nuvem pública pode ser uma opção mais segura do que uma abordagem de nuvem híbrida. Alvaro Santa Maria, diretor de segurança da IBM da América Latina, oferece alguns princípios orientadores a serem considerados para ajudar a projetar a segurança para a era da nuvem híbrida
Em vez de debater qual abordagem de nuvem é mais segura, a pergunta que devemos nos fazer é: para qual modelo precisamos projetar a segurança? Como diretor de segurança da IBM na América Latina, acredito que os líderes de tecnologia deveriam projetar para a forma como as empresas estão trabalhando hoje, em vez de classificar um modelo de computação em detrimento do outro.
O incidente da SolarWinds, por exemplo, tirou proveito da ampla cadeia de fornecedores de tecnologia da qual as empresas contam hoje. O desafio de segurança dessa cadeia de suprimentos existe há décadas, mas também é apenas um fator que contribui para um problema ainda maior que as equipes de segurança enfrentam hoje: a complexidade.
Em outras palavras, o maior desafio de segurança que enfrentamos hoje não é inerente às tecnologias em si, mas sim às tecnologias e estratégias desconectadas que são usadas para protegê-las.
A complexidade é inimiga da segurança
Ambientes de nuvem híbrida surgiram como um foco importante para governos e empresas, públicas ou privadas, que têm dados críticos e regulamentados que precisam proteger. Na verdade, em um estudo recente da Forrester Research, 85% dos tomadores de decisões de tecnologia concordaram que a infraestrutura local é crítica para suas estratégias de nuvem híbrida.
No entanto, a adoção ad hoc de tecnologias de nuvem criou uma “paisagem acidentada” de recursos de TI dispersos para garantir, com lacunas na visibilidade e propagação de dados em várias ferramentas, a nuvem e as premissas de infraestrutura online. Esse problema só foi agravado pela implantação apressada de novas ferramentas e recursos na nuvem para acomodar o trabalho remoto em meio à pandemia global.
Infelizmente, essa abordagem desconectada se reflete em muitas das ferramentas de segurança que surgiram para proteger os ambientes de nuvem atuais. Chegamos ao ponto em que grandes empresas costumam usar de 50 a 100 ferramentas de segurança diferentes de dezenas de fornecedores diferentes.
O problema aqui não são os recursos da nuvem, ou as próprias ferramentas de segurança, mas o fato de que as várias peças não estão sendo conectadas com uma única abordagem única, criando pontos cegos de segurança e complexidade como resultado.
Um “modelo de nuvem híbrida” bem executado combina partes dos sistemas locais existentes de uma empresa com uma mistura de recursos de nuvem pública e recursos As-a-Service que os trata como um só. Por sua vez, a segurança também deve ser reprojetada com um único ponto de controle que forneça uma visão holística das ameaças e reduza a complexidade.
Conectando segurança através das nuvens
No mundo da nuvem híbrida, a segurança e a privacidade dos dados se tornam uma responsabilidade compartilhada entre os proprietários, usuários e provedores de dados.
Em última análise, muitos dos riscos de segurança emergentes em ambientes de nuvem são o resultado de erro humano, combinado com a falta de visibilidade centralizada para localizar e corrigir esses problemas antes que se tornem prejudiciais. As configurações incorretas da nuvem foram citadas como uma das principais causas de violações de dados estudadas no Relatório de Custo de Violação de Dados (Cost of a Data Breach Report) da IBM e do Ponemon Institute, correspondendo a quase uma em cinco das violações de dados analisados.
Problemas adicionais podem surgir devido ao manuseio incorreto de dados. A inovação que mais cresce para lidar com eles é chamada de Computação Confidencial. No momento, a maioria dos provedores de nuvem promete que não acessarão seus dados (eles podem, é claro, ser forçados a quebrar essa promessa por ordem judicial ou outros meios). Isso também significa, por outro lado, que os atores da ameaça podem usar esse mesmo acesso para seus próprios fins. A Computação Confidencial garante que o provedor de tecnologia em nuvem seja tecnicamente incapaz de acessar os dados, tornando igualmente difícil para os cibercriminosos acessá-los.
Compreender como os invasores entram para a nuvem também é fundamental para a evolução dos protocolos de segurança. De acordo com uma análise da IBM de incidentes de segurança em nuvem, o caminho mais comum é por meio de aplicativos baseados em nuvem. Na verdade, o uso remoto de aplicativos em nuvem foi responsável por 45% dos incidentes de segurança relacionados à nuvem que foram analisados pelas equipes de resposta a incidentes IBM X-Force no ano passado.
Com esses desafios em mente, aqui estão alguns princípios orientadores a serem considerados para ajudar a projetar a segurança para a era da nuvem híbrida:
- Unifique a estratégia. Projete uma estratégia de segurança em nuvem abrangente que cubra toda a organização, desde desenvolvedores de aplicativos até equipes de TI e segurança. Além disso, designe políticas claras para recursos de nuvem novos e já existentes;
- Escolha uma arquitetura aberta. Identifique os dados mais confidenciais e assegure-se de que os controles de privacidade apropriados estejam em vigor, mesmo no nível do hardware. Considere seguro técnico como em Informática Confidencial e guarde sua própria senha, isso significa que nem mesmo o provedor de nuvem pode acessar os dados;
- Tenha uma abordagem aberta. Garanta que as tecnologias de segurança funcionem de maneira eficaz em ambientes de nuvem híbrida (incluindo locais e várias nuvens). Quando possível, aproveite as vantagens de padrões abertos e tecnologias que permitem maior interoperabilidade e podem reduzir a complexidade;
- Automatize a segurança. Implemente inteligência artificial e automação para maior velocidade e precisão ao responder a ameaças, em vez de depender apenas de reações manuais.
Melhorar a segurança na nuvem para o novo normal é possível, mas temos que deixar de lado as suposições anteriores. Uma imagem clara dos desafios de segurança com base em políticas e tipos de ameaças que visam ambientes em nuvem ajudará a mudar para essa nova fronteira. Quando bem feita, a nuvem híbrida pode tornar a segurança mais rápida, escalonável e adaptável.