Como garantir a segurança das infraestruturas e aplicações Cloud?

Segurança num ambiente de nuvem/cloud

À medida que as organizações movem cada vez mais das suas infraestruturas para a nuvem, as suas abordagens e políticas tradicionais de segurança podem ainda ser válidas para alguns casos, mas devem adaptar-se a arquitecturas distribuídas e híbridas. Por conseguinte, é necessária uma abordagem diferente para abordar a segurança neste novo ambiente.

Proteger a infraestrutura da nuvem

Comecemos pela segurança das infraestruturas das nuvens. Para tal, precisamos de considerar uma combinação de políticas, melhores práticas e tecnologias para garantir que os recursos da nuvem (incluindo ambientes informáticos, aplicações e bases de dados) estejam protegidos contra ameaças (tanto internas como externas) na nuvem.

Esta segurança da infraestrutura na nuvem não deve ser confundida com serviços de segurança na nuvem que oferecem vários serviços de segurança através de um modelo empresarial de software como um serviço.

De facto, a segurança na nuvem consiste em diferentes controlos, procedimentos e tecnologias para proteger os sistemas e dados críticos de qualquer organização contra ameaças e riscos de segurança cibernética decorrentes de ambientes na nuvem.

Dependendo do tipo de computação em nuvem que utilizamos, podemos adotar um ou outro tipo de segurança em nuvem:

• Serviços na cloud pública, operados por um fornecedor de cloud pública. Isto inclui software como serviço (SaaS), infraestrutura como serviço (IaaS) e plataforma como serviço (PaaS).
• Serviços na cloud privada, operados por um fornecedor de cloud pública. Estes serviços fornecem um ambiente informático dedicado a um cliente, operado por um terceiro.
• Serviços na cloud privada, operados por pessoal interno. Esta é uma evolução do centro de dados tradicional, onde o pessoal interno opera um ambiente virtual que controla.
• Serviços na cloud híbrida. Isto combina configurações de computação em nuvem privadas e públicas, workload de alojamento e dados baseados em fatores de optimização, tais como custo, segurança, operações e acesso. A operação envolverá o pessoal interno e, opcionalmente, o fornecedor público de cloud computing.

Segurança de aplicações num ambiente de nuvem

Se abordarmos a necessidade necessária para proteger aplicações de software baseadas na nuvem, devemos também falar sobre políticas, ferramentas, tecnologias e regras ao nível da aplicação para manter a visibilidade de todos os bens, proteger as aplicações baseadas na nuvem de ciberataques e restringir o acesso apenas a utilizadores autorizados.

A segurança das aplicações na nuvem é essencial para organizações que utilizam aplicações Web que funcionam num ambiente multinuvem alojado por um fornecedor de nuvens de terceiros. Estes serviços ou aplicações na nuvem aumentam significativamente a superfície de ataque por natureza, fornecendo muitos novos pontos de acesso para que os atacantes possam entrar na rede.

Melhores práticas para proteger as aplicações Cloud

Em qualquer caso, e como sempre na segurança, há uma série de recomendações para uma boa utilização da tecnologia para evitar comprometer a segurança tanto das infraestruturas como das aplicações em nuvem. Algumas delas são:

• Alavancar a autenticação multifator como um dos mecanismos mais eficazes para limitar o risco de compromisso da conta.
• Engenharia social. O erro humano é uma das causas mais comuns de violação de dados. Os funcionários precisam de receber formação e ferramentas como filtros URL, anti-malware e firewalls inteligentes precisam de ser postos em prática.
• Automatização. As empresas devem automatizar o mais possível a monitorização de aplicações na nuvem, a resposta a incidentes e a configuração. Os fluxos de trabalho manuais são propensos a erros e uma causa comum de descuido ou violações de dados.
• Privilégios mínimos. Contas de utilizadores e aplicações devem ser configuradas para aceder apenas aos ativos necessários à sua função comercial, aplicando o princípio de privilégios mínimos em todas as plataformas de nuvem.
• Segurança dos dados. Especialmente nas aplicações, grande parte da abordagem de segurança deve assegurar a integridade e inviolabilidade dos dados. Se for possível utilizar a encriptação, tanto melhor.
• Auditorias e testes. Finalmente, é aconselhável fazer auditorias e testes constantes para assegurar que tudo está a funcionar correctamente e que os sistemas e políticas de segurança são capazes de responder a um potencial incidente de segurança.