6 mitos inacreditáveis sobre segurança em nuvem

Toda semana dedico um bom tempo a entender quais são os principais problemas e oportunidades que a área de TI das empresas enfrenta no dia a dia e em uma das pesquisas encontrei um artigo da Forbes que colocava segurança como uma das principais preocupações de CIOs para 2016.
Descobri ao mesmo tempo que este é um dos fatores que tem desestimulado a adoção rápida de cloud computing por algumas empresas.

Segurança em cloud? Como assim?

Conversei com diversos especialistas em cloud e segurança, e em nenhum momento consegui chegar à conclusão de que a tecnologia aplicada à maioria das nuvens era determinante para tornar a computação em nuvem mais vulnerável que um ambiente tradicional de TI.

Então, por que tanta insegurança com a segurança?

insegurança
sensação ou sentimento de não estar protegido, seguro.

Um dos motivos é comportamental. O fato da tecnologia de nuvem ser nova pode causar um comportamento mais conservador, fazendo com que alguns profissionais prefiram aguardar testes e casos de sucesso de outras companhias para tomar sua decisão – mesmo isto implicando em agir de forma mais lenta e reativa com relação ao mercado.

O outro motivo é basear-se em informações incorretas. A verdade é que alguns pontos que tenho observado sobre esta insegurança são na verdade fruto de mitos propagados constantemente pela internet e que apenas reforçam uma informação imprecisa, impedindo que profissionais de TI tomem decisão com base em fatos.

Há ainda uma parcela das decisões de adoção de nuvem que estão de fato baseadas em características muito específicas e incomuns que fazem com que a segurança seja um impeditivo.

Chegou a hora de separar verdade de ficção e acabar com alguns mitos sobre segurança na nuvem (IaaS)!

MITO 1: NUVENS PÚBLICAS NÃO SÃO SEGURAS.

O ambiente de nuvem pública pode ser ainda mais seguro do que um ambiente on-premisses ou mesmo um Data Center. O fato é que nenhuma nuvem é igual a outra e por isso o importante é que as empresas tenham critérios claros de controle e visibilidade desejados.

Por se tratar de um ambiente compartilhado, na maioria das vezes os controles aplicados à nuvem são mais rígidos do que em ambientes on-premisses.
Diversas regras de segurança são aplicadas na camada física da infraestrutura, além de existir isolamento lógico entre todos os clientes, fazendo com que os ambientes estejam blindados contra acessos não autorizados.

Um exemplo disso é que o UOL DIVEO, para reduzir os riscos de clientes e do próprio UOL, atualiza constantemente suas tecnologias, regras de firewalls, planos de mitigação de vulnerabilidades para todos componentes de infraestrutura baseado na detecção de tentativas de ataques, além de segmentação de rede e aplicação de patchs de segurança.

MITO 2: SEGURANÇA EM NUVEM É UM NOVO DESAFIO.

A verdade é que a segurança na nuvem não é uma preocupação nova.
A computação em nuvem tem mudado muita coisa no mundo da infraestrutura, mas a maioria das preocupações de segurança, como proteger a infraestrutura e os dados sensíveis, são preocupações antigas.
Requisitos de segurança e de governança são os mesmos independentemente de componentes físicos, virtuais ou de nuvem. Na nuvem, a maneira pela qual as mudanças na infraestrutura acontecem tornam controle e visibilidade ainda mais importantes.

MITO 3: COMPLIANCE É O MESMO QUE SEGURANÇA.

Muitas empresas acreditam que se o provedor de nuvem é certificado, seus sistemas são seguros e invulneráveis à ataques.
Na verdade, o certificado não garante a segurança. Apenas confirma que o que estava definido, foi cumprido no momento da auditoria.
Muitas vezes, os padrões de conformidade às políticas e procedimentos dependem de pessoas ao invés de sistemas automatizados e por isso podem ocorrer falhas entre auditorias. Acreditar que ter certificação é o mesmo que ter segurança – e vice-versa – coloca a empresa em risco.

MITO 4: CLIENTES DE UMA MESMA NUVEM PODE ATACAR UNS AOS OUTROS.

Em uma nuvem pública como VMware vCloud Air, OpenStack, AWS ou Microsoft Azure, os clientes compartilham recursos de computação, armazenamento e recursos de rede.
Como os recursos físicos são compartilhados, muitas empresas se preocupam que sejam atacadas por outros clientes que utilizam o mesmo serviço. Na verdade, existem diversas questões que garantem a proteção entre clientes.

Invadir a camada de virtualização, por exemplo, não é simples. Há poucos relatos deste tipo no mundo e casos deste tipo ocorreram elevando o nível de permissão de um usuário existente, dentro do painel de gestão.

Para evitar isto, é possível isolar a camada de gerenciamento, colocando-a em uma rede separada e ainda que estejam na mesma rede, é possível fazer o isolamento da VLAN.

MITO 5: INVASÕES VIA INTERNET SÃO MAIS AMEAÇADORAS NA NUVEM DO QUE EM UM DATA CENTER.

Ameaças vindas da Internet são reais, mas não são mais ameaçadoras na nuvem do que para qualquer outro ambiente.
Alguns dos principais problemas de segurança em nuvem incluem violações de dados, invasão de conta, APIs inseguras e negação de serviço (DDoS). Estas preocupações não são novas quando falamos em serviços conectados à Internet.
Uma variedade de proteções pode ser utilizada contra esses ataques, que vão desde firewalls, varredura de vulnerabilidades e criptografia para prevenção de intrusão de rede, até credenciais inteligentes.

MITO 6: VOCÊ NÃO PODE CONTROLAR ONDE SEUS DADOS RESIDEM NA NUVEM.

A localização dos dados é uma preocupação importante e muitos países têm leis que não permitem a exportação de dados pessoais ou o seu armazenamento em outro país.
Quando a residência de dados é uma preocupação, especialmente para informações pessoais como informações de saúde, impostos e financeiras, a escolha do provedor de nuvem deve basear-se onde o service provider mantém seus Data Centers em nuvem.
Empresas que fornecem serviços em vários continentes devem, pelo menos, escolher um provedor de serviços que possa satisfazer essas necessidades com Data Centers aderentes à política de cada país.

 

Gostou deste post? Aproveite e baixe gratuitamente nosso whitepaper “Nuvem híbrida: deixe as preocupações com segurança no passado” e saiba mais sobre segurança em nuvem.

Dica: Este whitepaper acima pode ser ainda mais interessante se sua empresa utiliza ambiente virtualizado em tecnologia VMWare.

Gustavo Villa

Entusiasta de tecnologia e comunicação, Gustavo Villa esteve à frente de agência de marketing por mais de 8 anos. Atualmente é coordenador de produtos no UOL DIVEO.