Saiba por que segurança na nuvem é estratégico para sua empresa
Autor: Telium Networks
Publicação: 14/09/2018 às 03:13
A computação em nuvem já está bastante avançada em termos de tecnologia e acessível a empresas de todos os portes. Entretanto, com o aumento do número de corporações migrando toda sua infraestrutura para a nuvem, também houve um aumento de ciberataques. E a segurança na nuvem é sempre uma questão que pode se tornar divisora de águas na sua empresa, caso não haja uma estratégia eficiente.
A proteção de uma infraestrutura de nuvem começa com controles que fornecem governança, aplicação de políticas e a garantia de como as informações serão protegidas. Vamos entender hoje como você definirá estratégias assertivas para sua empresa migrar para a nuvem com toda a segurança. Vamos lá!
A era dos ciberataques
As novas e poderosas tecnologias permitiram um grande avanço, especialmente em Big Data, Inteligência Artificial e Cloud Computing — além da imensa quantidade de pessoas conectadas à internet. Contudo, os criminosos virtuais também puderam se beneficiar dessas tecnologias, fazendo com que os ciberataques sejam cada vez mais comuns e ousados.
Em relação aos ciberataques, há controvérsias: enquanto alguns executivos alarmam o problema, outros acreditam que é exagero. Então, vamos aos números!
Segundo um levantamento feito pela Symantec — o relatório Norton Cyber Security Insights Global — 978 milhões de pessoas em 20 países foram afetados por ciberataques em 2017, sendo que 44% eram consumidores. Os crimes cibernéticos mais comuns foram:
-
ter um dispositivo infectado por um vírus ou outra ameaça à segurança (53%);
-
experiência de fraude de débito ou cartão de crédito (38%);
-
ter uma senha da conta comprometida (34%);
-
conta hackeada ou acesso não autorizado a uma conta de e-mail ou de mídia social (34%);
-
fazer uma compra online que acabou sendo uma farsa (33%);
-
clicando em um e-mail fraudulento ou fornecendo informações confidenciais (pessoais/financeiros) em resposta a uma operação fraudulenta de e-mail (32%).
Como resultado, as vítimas perderam um total de US$ 172 bilhões — uma média de US$ 142 por usuário — e cerca de 24 horas lidando com essas consequências. E aqui no Brasil, também tivemos uma pesquisa da DFNDR LAB, que divulgou dados referentes ao quarto trimestre de 2017:
-
70 milhões foi o total de ciberataques ocorridos no Brasil;
-
66,1 milhões foram via links maliciosos;
-
3,1 milhões foram via malware;
-
44,1 milhões foram phishing via aplicativos de mensagens;
-
houve um salto de 107% de phishing entre o terceiro e o quarto trimestre do último ano.
Analisando esses números, não se pode mais negar o problema e os impactos que uma empresa pode ter se não tomar as devidas precauções. Torna-se imprescindível o investimento constante em segurança da informação — e uma das melhores soluções em segurança do momento e que está sendo amplamente utilizada é a migração de todo o sistema para a nuvem.
Computação na nuvem é o futuro
Mas, afinal, o que é cloud computing (segurança na nuvem, em português)? Esse conceito apareceu nos anos 90, quando a virtualização — que era a capacidade de vários usuários acessarem simultaneamente a mesma informação — evoluiu para a nuvem, que assim começou a ser chamada para expressar o espaço vazio entre o usuário final e o provedor da internet.
Quando as conexões começaram a se tornar mais seguras, as empresas de tecnologia criaram as ASPs (Application Services Provider), empresas que gerenciavam as aplicações de negócios dos clientes por uma taxa mensal e de acordo com o número de usuários. Em 1999, a Sales Force foi a pioneira ao criar a ideia de usar seu aplicativo de CRM para rodar na nuvem, ser acessado por browsers e permitir que um alto volume de usuários acessassem as informações simultaneamente.
Com a chegada do Big Data houve uma explosão de possibilidades e, desde então, empresas como IBM, Google, Microsoft e Amazon foram aprimorando ainda mais o conceito e a tecnologia em nuvem. Atualmente existem muitas empresas e consultorias especializadas em soluções corporativas para cloud computing.
O conceito parece ser algo muito abstrato, mas não é tão complicado: pense que seu aplicativo, seus arquivos ou seus relatórios estão armazenados em uma nuvem, que nada mais é do que um grande data center que pode estar em qualquer lugar do planeta. Por exemplo, um data center na China pode ser replicado em São Paulo e processado em camadas de inteligência para o balanceamento dos programas e da performance de uma forma matricial, alcançando uma velocidade muito maior no acesso à informação.
Mitos e verdades da computação na nuvem
Como é um conceito relativamente novo, ainda existem muitas dúvidas sobre ele. Neste tópico, vamos falar sobre os maiores mitos e verdades da cloud.
Uma nuvem privada não é uma nuvem verdadeira
Mito. Porém, para construir uma nuvem privada de computação é preciso ter em mente que:
-
é necessário investir em ativos e softwares que compõem a inteligência da camada de nuvem. Eles serão necessários para a implementação da virtualização, padronização e automação;
-
a nuvem privada não possui a elasticidade da nuvem pública, portanto, é finita: seus limites são a capacidade do data center da empresa;
-
a sua maior vantagem é reduzir o receio de empresas mais conservadoras em entrar na nuvem, porque ela opera sob as políticas e controles de segurança da empresa.
A nuvem não é um ambiente seguro
Eis um grande mito! As empresas que fornecem o serviço de cloud computing têm como premissa básica oferecer a melhor infraestrutura e segurança, afinal, é o seu core business que está em pauta. Ao realizar a adoção de computação na nuvem, elas deverão oferecer:
-
firewalls e programas de suporte com pessoas especializadas em segurança;
-
alta disponibilidade, com contingências e backups;
-
uso de criptografia avançada e controle de acesso de usuários e empresas;
-
varredura das aplicações que identificam e apontam as vulnerabilidades nas aplicações web.
Solução em nuvem diminui os custos de infraestrutura de TI
Verdade. No modelo atual de infraestrutura de TI, os recursos físicos são de propriedade ou gerenciados pelos departamentos de TI das empresas. Em geral, os níveis de uso são baixos e uma parte significativa da capacidade de computação está ociosa. Como resultado, temos máquinas e data centers que não são totalmente utilizados, com consequentes altos custos. Em um ambiente virtualizado, os recursos físicos podem, ou não, ser de propriedade da empresa, mas são virtualizados com vários recursos lógicos, ocasionando em aumento do nível de uso e a diminuição dos custos.
Por que investir na nuvem
Muito se fala da redução de custos, mas o maior benefício da nuvem é sua escalabilidade — que é tornar possível a expansão (ou retração) dos recursos tecnológicos e a capacidade de usuários — que, por consequência, gera outras vantagens da computação na nuvem, como:
Alta disponibilidade
A maioria dos provedores de nuvem é extremamente confiável na prestação de seus serviços, muitos com 99,99% de tempo de atividade. A conexão está sempre ativa e, desde que os funcionários tenham uma conexão com a internet, eles podem acessar os aplicativos de que precisam em praticamente qualquer lugar. Algumas aplicações funcionam mesmo offline.
Flexibilidade de custos
Os custos da computação em nuvem são muito mais flexíveis do que os métodos tradicionais. As empresas só precisam comissionar — e assim pagar — a capacidade do servidor e da infraestrutura quando e como for necessário. Mais capacidade pode ser provisionada para horários de pico e, em seguida, desalocada quando não for mais necessária. A computação tradicional exige capacidade de compra que comporte as cargas dos horários de pico, mesmo que as máquinas fiquem ociosas no restante do tempo.
Mobilidade corporativa
Dados e aplicativos ficam disponíveis para os funcionários, não importa onde eles estejam. Os funcionários podem trabalhar em qualquer lugar por meio de smartphones e tablets, por exemplo, em roaming em uma loja de varejo para verificar clientes, visitando-os em suas casas ou escritórios, trabalhando no campo ou em uma fábrica.
Menor impacto ambiental
Com os data centers sendo centralizados por todo o planeta e as operações mais eficientes, temos, coletivamente, menos impacto sobre o meio ambiente. As empresas que usam recursos compartilhados aprimoram suas credenciais “verdes”.
Softwares sempre atualizados
Com o SaaS (aplicativo como serviço), as versões mais recentes dos aplicativos necessários para executar os negócios são disponibilizadas para todos os clientes assim que são lançadas. Atualizações imediatas colocam novos recursos e funcionalidades nas mãos dos funcionários para torná-los mais produtivos. Além disso, os aprimoramentos de software geralmente são lançados com bastante frequência. Isso contrasta com softwares comprados que podem ter lançamentos importantes apenas uma vez por ano ou mais e levam um tempo significativo para serem lançados.
Os desafios da computação na nuvem
Apesar de tantos benefícios e a nuvem crescendo ano a ano, existem alguns desafios que vão além da vigilância constante. Vamos falar agora sobre os mais importantes.
Infraestrutura
Um dos modelos a serem oferecidos é o IaaS — Infrastructure as a Service ou Infraestrutura como Serviço (em português), que engloba a maior parte de uma solução. Deve ser disponibilizada toda a infraestrutura básica de TI: rede, hardware, sistema operacional e software de virtualização.
Migração
Realizar a migração de sistemas legados e alocados na infraestrutura física da empresa totalmente para a nuvem é uma das situações mais difíceis e que devem ser planejadas e desenhadas cuidadosamente — prevendo todos os riscos e problemas, sem esquecer de definir as melhorias de processo, aplicações, correções e a estratégia da migração de dados. E o alto escalão deve ter a ciência de que essa migração poderá levar alguns anos, principalmente nas grandes empresas.
Bloqueio do fornecedor
Assinar um contrato de computação em nuvem é mais fácil do que deixá-lo. Por isso, muito cuidado com um fornecedor que, sem avisar, troca de provedor ou, após um período, torna a manutenção excessivamente cara, deixando a continuação inviável e podendo até mesmo bloquear os acessos.
Por esse motivo, as cláusulas contratuais devem ser discutidas detalhadamente, para garantir os serviços e atender a todos os requisitos.
Regras de licenciamento
O licenciamento de software ainda preocupa e precisa ser previsto sempre detalhadamente antes de qualquer implementação. Alguns fabricantes possuem licenças para cloud ou on-premise, mas outros, principalmente no caso de pacotes fechados de aplicativos, ainda não concedem licença ou não estão preparados.
É crucial realizar o levantamento de todos os softwares utilizados e, se possível, até os shadow IT precisam ser detectados e avaliados.
Por que se preocupar com a segurança na nuvem
A computação em nuvem progrediu tão rápido que é difícil que a indústria de segurança a acompanhe. A maioria dos especialistas em segurança da informação não ficou surpresa, mas foi esmagada pela rápida adoção da nuvem.
A computação em nuvem é muito mais complexa do que os ambientes tradicionais e sua natureza dinâmica — cargas de trabalho que se movem de um data center para o outro e, às vezes, em diferentes fusos horários — é algo bastante difícil de proteger.
Alguns provedores de serviços de saúde, por exemplo, já colocaram os dados dos pacientes na nuvem e, como resultado, o trabalho para conseguir adequar todas as conformidades e não deixar escapar nenhuma brecha praticamente dobrou.
Principais ameaças à computação na nuvem
Para identificar as principais preocupações das organizações, a Cloud Security Alliance (CSA) realizou uma pesquisa com especialistas do setor e gerou um relatório com as principais ameaças. Vamos detalhar algumas delas aqui:
Violações de dados
Uma violação de dados pode ser o principal objetivo de um ataque direcionado ou simplesmente o resultado de erro humano, vulnerabilidades de aplicativos ou práticas de segurança insatisfatórias, segundo a CSA. Pode envolver qualquer tipo de informação que não tenha sido destinada à divulgação pública, incluindo informações pessoais sobre saúde, informações financeiras, segredos comerciais e propriedade intelectual. O risco de violação de dados não é exclusivo da computação em nuvem, mas é uma das principais preocupações dos clientes da nuvem.
Perda de dados
Os dados armazenados na nuvem podem ser perdidos por outros motivos que não sejam ataques maliciosos. Uma exclusão acidental pelo provedor de serviços de nuvem ou desastres naturais, como incêndio ou terremoto, pode levar à perda permanente dos dados do cliente, a menos que o provedor ou o consumidor da nuvem tome as medidas adequadas para fazer o backup dos dados.
Gerenciamento de acesso
Invasores disfarçados de usuários, operadores ou desenvolvedores legítimos podem ler, modificar e excluir dados, além de emitir plano de controle e funções de gerenciamento. Isso é resultado do gerenciamento insuficiente de identidade, credencial ou chave e pode permitir acesso não autorizado a dados e danos potencialmente catastróficos.
Vulnerabilidades do sistema
São brechas que os invasores podem usar para se infiltrar em um sistema para roubar dados, assumir o controle do sistema ou interromper as operações do serviço. Vulnerabilidades nos componentes do sistema operacional colocam a segurança de dados e de todos os serviços em risco significativo.
Colaboradores mal-intencionados
Embora o nível de ameaça esteja aberto ao debate, é fato que a ameaça interna é um adversário real, afirma a CSA. Um usuário mal-intencionado, como um administrador do sistema, pode acessar informações potencialmente confidenciais e pode ter níveis crescentes de acesso a sistemas mais críticos e, eventualmente, a dados. É importante adotar uma política de mudança de cultura, com cursos e workshops aos usuários, além de assinatura de termos de responsabilidade sobre o uso das informações da empresa.
Negação de serviço (DoS)
Os ataques DoS são projetados para impedir que os usuários de um serviço acessem seus dados ou aplicativos. Ao forçar o serviço em nuvem direcionado a consumir quantidades excessivas de recursos finitos do sistema, como energia do processador, memória, espaço em disco ou largura de banda da rede, os invasores podem causar lentidão no sistema e deixar todos os usuários legítimos do serviço sem acesso aos serviços.
Abuso dos serviços em nuvem
Implantações de serviços em nuvem mal protegidos, testes gratuitos de serviços na nuvem e inscrições de contas fraudulentas por meio de instrumentos de pagamento expõem os modelos de computação em nuvem a ataques mal-intencionados. Os cibercriminosos podem aproveitar recursos de computação em nuvem para segmentar usuários, organizações ou outros provedores de nuvem. Exemplos de uso indevido de recursos baseados em nuvem incluem o lançamento de ataques distribuídos de negação de serviço, spam de e-mail e campanhas de phishing.
Como aumentar a segurança na nuvem
Como já vimos aqui, os provedores de cloud atribuem uma prioridade tão alta à segurança porque sabem que, sem uma maneira de proteger os dados de seus clientes, não teriam motivos para existir.
Por isso, eles continuam a investir na mais recente tecnologia para combater ameaças cibernéticas e se esforçam incansavelmente para proteger seus sistemas e tomar medidas proativas para proteger as corporações dos cibercriminosos. Para esse fim, aqui estão algumas formas importantes de melhorar continuamente a segurança:
Criptografia de dados
A criptografia permite proteger os dados que entram e saem da nuvem pública. Os provedores de nuvem geralmente oferecem seu próprio serviço de criptografia a seus clientes, mas se sua organização não estiver satisfeita com esse nível de segurança, você também poderá obter serviços de criptografia de terceiros. Dessa forma, somente você e seu serviço de criptografia terão acesso à chave de criptografia.
Uma estratégia de segurança de dados forte é uma necessidade, mas não deve impactar o desempenho. A criptografia de dados enviados para a nuvem e a descriptografia de arquivos chamados de volta da nuvem devem ocorrer com pouco ou nenhum impacto na experiência do usuário.
Separação de dados
É muito comum que as informações de várias empresas estejam alocadas em um mesmo servidor. Nesse caso, é importante que fique bem delimitado — e documentado — quais são as políticas de segurança que a empresa de cloud adotará para que os dados não sejam acessados erroneamente e para assegurar que somente os recursos sejam compartilhados.
Se algumas informações da empresa precisam de sigilo total do negócio ou não podem ser expostas legalmente, como dados financeiros ou contábeis, deve-se tomar cuidado extra para garantir que se tenha um nível maior de proteção e criptografia.
Local dos dados
Nem sempre se sabe o local exato dos data centers e é muito usual que eles fiquem em países distintos. As empresas de cloud precisam informar em cláusulas contratuais a localização dos data centers, bem como garantir a privacidade dos dados e obedecer às leis do país da empresa contratante.
Backup
Esse serviço é fundamental e deve constar em qualquer empresa especializada em computação em nuvem. Portanto, é