A natureza dinâmica e automatizada da nuvem traz muitos benefícios para as empresas, desde a fácil configuração e entrega de serviços até custos de manutenção previsíveis.
Com usuários acessando dados e colaborando de qualquer lugar, os serviços e aplicativos baseados em nuvem transformaram completamente a forma como os negócios são feitos.
De acordo com pesquisa do Instituto 451 Research, 60% das cargas de trabalho corporativas serão executadas na nuvem até meados de 2018 – hoje já somam 41%.
No entanto, com esta nova era de crescimento, existem certas suposições sobre como a nuvem opera e como protegê-la.
Todo profissional de segurança deve questionar esses pressupostos e, talvez mais importante, encorajar outros nas empresas a questioná-los também.
Dessa forma, todas as partes envolvidas estarão fazendo sua parte para garantir que as organizações – e enormes quantidades de dados e propriedade intelectual (IP) que a nuvem armazena – sejam seguras.
Os três pressupostos mais comuns são:
1. Tudo na nuvem é sobre implantações rápidas de aplicativos e serviços
A nuvem mudou completamente a forma como novas aplicações e serviços foram desenvolvidos e, por sua vez, entregues aos seus clientes.
As implantações e disponibilidade rápidas são duas hipóteses que as equipes, na maioria dos casos, não questionam ao escolher implantar um aplicativo baseado na nuvem ou mover dados para a nuvem.
Embora a agilidade baseada na nuvem possa oferecer benefícios maciços, a segurança deve ser considerada e integrada ao ciclo de vida do desenvolvimento da aplicação desde o início, para evitar perda de dados e interrupção do negócio.
À medida que mais dados, IPs confidenciais e aplicativos críticos do negócio migram para a nuvem, nossa responsabilidade como profissionais de segurança é inspirar uma mentalidade de segurança em primeiro lugar nas empresas, de modo que qualquer conversa sobre nuvem inclua segurança.
2. A nuvem é mais segura
Os provedores de nuvem pública normalmente oferecem alguma forma de segurança nativa. Muitas pessoas assumem que isso é suficiente, mas isso não pode estar mais longe da verdade.
No passado, as organizações mantiveram a responsabilidade total pela segurança de suas infraestruturas em nuvem privadas, mas isso mudou completamente com a nuvem pública e aplicações baseadas em SaaS (sigla em inglês de software como serviço).
Agora, a empresa e o provedor de infraestrutura compartilham as responsabilidades. A segurança dos dados é responsabilidade da empresa e a segurança da infraestrutura é responsabilidade do provedor.
Dentro da nuvem pública, continuamos a ver violações de dados, muitas vezes resultantes de uso impróprio, configurações erradas ou ameaças avançadas.
Diante disso, é importante lembrar que a nuvem não é inerentemente mais segura, ela é tão segura como qualquer outro lugar onde os dados são armazenados.
As empresas devem abordar a segurança dos dados de forma consistente à abordagem de segurança geral – e a nuvem não é uma exceção.
3. A segurança da nuvem é diferente da segurança da rede ou do endpoint
Embora as organizações sejam responsáveis por garantir a segurança de seus dados, independentemente de onde eles estejam, muitas vezes a segurança da nuvem ainda é considerada como um tipo diferente de segurança.
Este pressuposto resulta na implantação de diferentes soluções para proteger a nuvem, deixando as equipes de segurança com ambientes de gerenciamento complicados e produtos que não “conversam” uns com os outros, especialmente para aquelas com múltiplos provedores de infraestrutura da nuvem.
A realidade é que, mesmo que o consumo de segurança na nuvem seja diferente da sua automação, a abordagem na nuvem não deve ser diferente da segurança de rede ou endpoint.
Obviamente, não é possível colocar um firewall físico na nuvem, mas os profissionais de segurança devem aplicar o mesmo rigor para defende-la.
Esse rigor garante que as organizações sejam protegidas contra as mesmas ameaças em todos os ambientes, da maneira mais eficiente possível.
Simplificando, a consistência produz os melhores resultados.
- Scott Simkin é diretor para Marketing de Produtos, Serviços de Segurança e Inteligência de Ameaça na Palo Alto Networks
