A segurança na nuvem está evoluindo rapidamente e 2021 será outro ano de transformação.

Publish date:

Leonardo Carissimi

 

À medida que a governança da cibersegurança em serviços em nuvem se torna complexa, a chave para o sucesso em uma jornada de adoção da nuvem dependerá da orquestração, governança e gerenciamento de toda a “equipe” para a real vantagem competitiva.

 

A segurança na nuvem está evoluindo rapidamente e 2021 será outro ano de transformação – que permitirá que as empresas sejam mais seguras, ágeis, resilientes e adaptáveis. Ainda hoje, na maioria das pesquisas de adoção da nuvem, a segurança cibernética e as questões regulatórias são identificadas como as principais barreiras que inibem a adoção da nuvem. Interessantemente, isso acontece após anos de pesados ​​investimentos dos principais provedores de nuvem em controles, auditorias e certificações. Como resultado, os principais riscos estão mudando para os clientes e, de acordo com o Gartner, até 2023, a maioria dos incidentes de segurança na nuvem será devido à negligência do cliente, não dos provedores de nuvem.

 

Esse fenômeno já pode ser visto em vários incidentes de segurança cibernética que chegaram às manchetes nos últimos tempos – falta de patching adequado, senhas fracas, configurações incorretas, erros de funcionários ou fraudes, vulnerabilidades de aplicativos do lado do cliente – causando as principais violações, ao invés do provedor de nuvem.

 

Isso significa que os dados na nuvem são mais seguros do que os dados locais?

 

Infelizmente, a resposta não é tão fácil. Em primeiro lugar, os clientes devem ter certeza de que o provedor de nuvem de fato possui um conjunto robusto de controles em vigor, obter informações e comprovação disso e garantir que atenda às suas necessidades regulatórias e de segurança cibernética.

 

Mas, o mais importante, a segurança na nuvem não depende do provedor de nuvem ou da empresa apenas, e nunca se tratará de descobrir de quem é a falha que causou uma violação de segurança. A segurança na nuvem é um esporte de equipe e, como em qualquer equipe de sucesso, para vencer aqui cada jogador deve conhecer seu papel e responsabilidades e agir de acordo.

 

Modelo de responsabilidade compartilhada

 

A regra geral é o que é conhecido como Modelo de Responsabilidade Compartilhada, em que os clientes são responsáveis ​​por escolher como seus dados são tratados NA nuvem, e o provedor é responsável pela segurança DA nuvem. Observe que a linha entre o que é a nuvem depende do modelo de serviço considerado – IaaS, PaaS ou SaaS.

 

Apenas um lembrete:

 

  • IaaS significa Infraestrutura como Serviço e representa infraestruturas de TI pagas conforme o uso, como máquinas virtuais, armazenamento, rede e virtualização disponíveis para você na nuvem.
  • PaaS significa Plataforma como Serviço e é um tipo de oferta em nuvem que entrega recursos de infraestrutura de aplicativos (middleware) como serviço, incluindo bancos de dados, APIs e algoritmos de análise de dados.
  • SaaS é um Software como Serviço. É um software fornecido e gerenciado remotamente por um ou mais fornecedores. O provedor entrega software com base em um conjunto de código comum e definições de dados que são consumidos em um modelo um para muitos por todos os clientes contratados a qualquer momento em uma base de pagamento para uso ou como uma assinatura com base em métricas de uso.

 

Ter essas definições em mente torna mais fácil identificar o que é a nuvem em cada caso e distinguir a proteção de dados NA nuvem versus DA nuvem. Agora podemos entender as responsabilidades de cada parte em cada caso. Embora tentemos ser completos, os exemplos abaixo são ilustrativos, e não exaustivos.

 

Responsabilidades em um modelo IaaS

 

Ao falar sobre IaaS, as responsabilidades do provedor de nuvem incluem controle de acesso físico, vigilância, condições ambientais adequadas, segurança de rede (LAN), segurança de servidor (níveis de hardware e hypervisor), monitoramento de incidentes, resposta, recuperação de desastres e continuidade nos níveis de infraestrutura física e de TI .

 

As responsabilidades do cliente incluirão a segurança de todas as camadas, começando pelos sistemas operacionais: gerenciamento de vulnerabilidade, atualizações, patching, proteção, gerenciamento de registro e auditoria, monitoramento de incidentes de segurança e resposta, controle de aplicativos, dados em movimento e dados em repouso criptografia, gerenciamento de identidade e acesso, firewalls, VPNs, entre outros. Observe qual imagem do sistema operacional é usada – padrão (fornecida pela nuvem) ou personalizada (sua).

 

Responsabilidades em um modelo PaaS

 

Quando o modelo de nuvem é PaaS, as responsabilidades do provedor de nuvem são as mesmas, além da segurança da plataforma ser oferecida como serviço e no nível do sistema operacional. As responsabilidades do cliente com relação aos componentes na parte superior da plataforma, por exemplo, aplicativo e dados, são descritas em mais detalhes no próximo modelo.

 

Responsabilidades em um modelo SaaS

 

Finalmente, no modelo SaaS, o provedor de nuvem é responsável por praticamente todas as camadas, desde a infraestrutura física até a segurança do aplicativo. Isso pode levar ao mal-entendido de que o cliente não tem responsabilidade alguma. No entanto, as responsabilidades do cliente incluem:

 

– Segurança de seus dados, incluindo identidade e gerenciamento de acesso para garantir que usuários e dispositivos certos acessem os recursos de nuvem

– Controle de aplicativos para evitar shadow IT / apps

– Certifique-se de que os aplicativos usados ​​para atender aos requisitos regulamentares e de segurança (criptografia de dados, prevenção contra perda de dados e tokens) podem ser usados ​​para detectar e proteger o manuseio de dados confidenciais

– Gerenciamento de registro e auditoria, e deteção e resposta a incidentes

 

Conclusão

 

Portanto, como muitos clientes consomem serviços em nuvem de diferentes provedores e em diferentes modelos, a governança adequada da cibersegurança em serviços em nuvem se torna um tópico complexo.

 

Se conhecer as responsabilidades de cada membro da equipe é a chave para o sucesso, será por meio da orquestração, governança e gerenciamento de toda a “equipe” que será a verdadeira vantagem competitiva para sua empresa na jornada de transformação digital. Não tenha medo de acelerar a jornada, mas certifique-se de que as responsabilidades estão claras, bem como os riscos, e gerencie tudo de acordo.

 

Para saber mais sobre como podemos ajudá-lo, visite https://www.capgemini.com/service/cybersecurity-services/cloud-security-services/