O que é Cloud Security?

A segurança na nuvem é um conjunto de procedimentos, políticas e tecnologias que fortalecem os ambientes de computação baseados em nuvem contra possíveis ameaças à segurança cibernética. Na prática, garante a integridade e segurança dos modelos de computação em nuvem durante quaisquer ataques ou violações. Os provedores de serviços em nuvem estabelecem uma infraestrutura de nuvem segura.

Segurança em nuvem

Proteger a nuvem não é tão complexo quanto pode parecer. Há muitas maneiras de proteger seus negócios, mantendo sua nuvem segura e, simultaneamente, aproveitando tudo o que ela tem a oferecer.

A segurança em nuvem começa com a seleção do modelo de serviço certo que atende às necessidades da sua organização. Existem três modelos de serviço exclusivos e quatro opções de implantação em termos de ofertas de segurança na nuvem. As opções do modelo de serviço incluem o seguinte:

  • Infrastructure as a Service (IaaS): O modelo IaaS permite que uma empresa construa seu próprio Data Center virtual (vDC). Um data center virtual oferece recursos baseados em nuvem em vez dos benefícios físicos que um data center tradicional pode oferecer. Não há necessidade de manutenção regular, atualizações ou serviços em máquinas físicas com um data center virtualizado.
  • Platform as a Service (PaaS): O modelo PaaS oferece uma variedade de opções que permitem aos clientes provisionar, implantar ou criar software.

 

Software como Serviço (SaaS):  Com o modelo SaaS, os clientes recebem um software que não requer o uso de um computador ou servidor para construí-lo. Os exemplos incluem o Microsoft 365 (anteriormente Office 365) e o Gmail. Com essas opções, os clientes precisam apenas de um computador, tablet ou telefone para acessar  cada aplicação. As empresas usam diversos termos para destacar seus produtos, de DRaaS (recuperação de desastres) a HSMaaS (módulo de segurança de hardware) a DBaaS (banco de dados) e, finalmente, XaaS (qualquer coisa). Dependendo do que uma empresa está comercializando, pode ser difícil determinar se um produto é SaaS ou PaaS, mas no final, entender as responsabilidades contratuais de um provedor de nuvem é mais importante. Os provedores de nuvem estendem seus contratos para adicionar segurança nas formações de nuvem por meio de serviços como HSMaaS (módulo de segurança de hardware) ou DRMaaS (gerenciamento de direitos digitais).

Os quatro modelos de implantação são:

  • Público:  Disponível para qualquer pessoa para compra. Os melhores exemplos hoje são Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform (GCP).
  • Privado: Isso é construído para uma empresa e o hardware não é compartilhado com mais ninguém. O modelo privado poderia ser construído em uma nuvem pública ou dentro do seu próprio data center, ou em uma empresa especializada na construção de nuvens privadas, ou seja, um provedor de serviços gerenciados.
  • Comunidade: Isso envolve o conceito de compartilhamento entre empresas. O serviço pode ser compartilhado ou os dados podem ser compartilhados nesse serviço. Um exemplo podem ser as nuvens construídas pelo governo e compartilhadas por várias agências.
  • Híbrido: Isso envolve o uso de pelo menos dois dos três modelos de implantação listados acima: público e privado, privado e comunitário ou público e comunitário. Outra possibilidade é usar todos os três.

Qual aspecto da segurança na nuvem é o mais importante?

Todos os aspectos de uma política de segurança de nuvem individual são importantes, mas há certos pilares que todo provedor deve oferecer. Estes são considerados essenciais e alguns dos aspectos mais importantes de uma infraestrutura de segurança em nuvem. Garantir que o provedor escolhido cubra todos esses pilares é equivalente à estratégia de segurança em nuvem mais completa que você pode implementar.

Monitoramento sempre ativo: Os provedores de segurança em nuvem podem oferecer um vislumbre do que está acontecendo em suas plataformas em nuvem mantendo registros o tempo todo. Caso ocorra um incidente, sua equipe de segurança pode inspecionar e comparar os logs internos com os registros do seu provedor para obter informações sobre possíveis ataques ou alterações. Isso pode ajudar a detectar e responder rapidamente a quaisquer incidentes que possam ocorrer.

Mudar a gestão: Seu provedor de segurança em nuvem deve oferecer protocolos de gerenciamento de alterações para monitorar os controles de conformidade quando as alterações são solicitadas, os ativos são alterados ou movidos ou novos servidores são provisionados ou desativados. Aplicações dedicadas de gerenciamento de mudanças podem ser implantadas para monitorar automaticamente comportamentos incomuns para que você e sua equipe possam agir rapidamente para mitigá-los e corrigi-los.

Controles de segurança do Zero-Trust Isole seus ativos e aplicações de missão crítica longe de sua rede em nuvem. Manter os workloads seguros privados e inacessíveis ajudará a aplicar políticas de segurança que protegem seu ambiente baseado em nuvem.

Proteção de dados abrangente: seu provedor deve oferecer proteção de dados aprimorada com criptografia adicional para todas as camadas de transporte, boa higiene de dados, monitoramento contínuo de gerenciamento de riscos, compartilhamento seguro de arquivos e comunicações herméticas. Em suma, seu provedor deve estar no topo do jogo quando se trata de proteger os dados da sua empresa em todos os sentidos, formas e formatos.

Pergunte a si mesmo: “Quais são minhas preocupações?” Isso ajudará você a determinar quais perguntas fazer ao seu provedor de nuvem que podem ajudá-lo a entender os aspectos mais importantes a serem lembrados.

Arquitetura em nuvem

A arquitetura em nuvem, de forma simples, é o resultado de vários ambientes reunidos para compartilhar recursos escaláveis entre aplicações de software, bancos de dados e outros serviços. Essencialmente, o termo refere-se à infraestrutura e componentes que trabalham em conjunto para compor a "nuvem" como a conhecemos.

Os componentes básicos necessários para criar uma nuvem incluem redes, roteadores, switches, servidores, firewalls e sistemas de detecção de intrusão. A nuvem também inclui todos os elementos dentro dos servidores: o hipervisor e as máquinas virtuais, por exemplo, e, claro, o software. A arquitetura de nuvem também requer um provedor de nuvem, arquiteto de nuvem e corretor de nuvem para criar, gerenciar, vender e comprar serviços de nuvem. Existe um ecossistema inteiro para acompanhar, mas quando as pessoas dizem “a nuvem” está se referindo essencialmente à arquitetura da nuvem.

Muitos termos relacionados à arquitetura de nuvem apenas adicionam a palavra “nuvem” a um termo antigo e familiar, como consumidor de nuvem. Se você entende a definição de consumidor, o novo termo é claro; significa um consumidor de serviços em nuvem em oposição a, digamos, serviços de telefone.

Aqui estão alguns exemplos básicos:

  • Consumidor de nuvem: A pessoa ou empresa que usa um serviço de nuvem de um provedor de nuvem.
  • Provedor de nuvem: A pessoa ou empresa com os recursos para fornecer os serviços que os consumidores exigem. Isso inclui a tecnologia para criar servidores, máquinas virtuais, armazenamento de dados ou quaisquer recursos que os clientes precisem.
  • Agente de nuvem: A pessoa ou empresa que gerencia a entrega, uso e desempenho da nuvem para o consumidor, negociando o relacionamento com o provedor em nome do consumidor.
  • Operadora de nuvem: A operadora é o provedor de serviços que conecta uma empresa à nuvem, como seu provedor de serviços de Internet (ISP). Para uma empresa, isso geralmente seria uma conexão MPLS (multiprotocol label switching).
  • Auditor de nuvem: A pessoa ou empresa que realiza auditorias do ambiente de um provedor de nuvem. Essas auditorias incluem auditorias de privacidade e de segurança.

Arquitetura de segurança em nuvem

A segurança na nuvem começa com a arquitetura de segurança da nuvem, que adiciona elementos de segurança à arquitetura básica. Os elementos de segurança tradicionais incluem firewalls (FW), antimalware e sistemas de detecção de intrusão (IDS). Auditores de nuvem, arquitetos de segurança e engenheiros de segurança também são necessários para projetar estruturas seguras dentro e por meio da nuvem.

Em outras palavras, a arquitetura de segurança em nuvem não se limita ao hardware ou software.

A arquitetura de segurança em nuvem começa com o gerenciamento de riscos. Saber o que pode dar errado e como um negócio pode ser afetado negativamente ajuda as empresas a tomar decisões responsáveis. Três áreas críticas de discussão são continuidade de negócios, cadeia de suprimentos e segurança física.

Por exemplo, o que acontecerá com o seu negócio se o seu provedor de nuvem tiver uma falha? Colocar servidores, serviços e dados na nuvem não elimina a necessidade de continuidade de negócios e/ou planejamento de recuperação de desastres.

O que aconteceria se qualquer um pudesse entrar no data center do provedor de nuvem? Nos três grandes — AWS, GCP e Azure — isso não seria fácil, mas esse é o objetivo. Eles investiram pesadamente na segurança do data center.

E quanto a outros provedores de nuvem? Solicite uma análise do potencial data center de qualquer provedor de nuvem e se envolva em uma auditoria. Observe a resposta deles. Eles estavam dispostos a deixar você verificar o data center no dia seguinte? Se for fácil entrar no data center, talvez esse provedor mereça uma segunda reflexão.

Provedores de nuvem menores podem não ter um data center físico. Mais provavelmente, eles usam e revendem com eficácia a capacidade dos grandes provedores de nuvem. Essa é uma vantagem e parte da beleza de usar a nuvem. Se a relação entre os provedores de nuvem for desconhecida, questões adicionais podem surgir em relação a leis, regulamentos e contratos. Faça esta pergunta simples: Onde estão meus dados? Se houver vários níveis para o provedor de nuvem, a resposta pode ser difícil de determinar. Também pode haver consequências legais, como um problema com o Regulamento geral europeu de proteção de dados (GDPR).

Os elementos que compõem a arquitetura de segurança em nuvem de uma empresa podem ter serviços de segurança em nuvem também. É possível adquirir serviços como prevenção de vazamento de dados (DLPaaS). Outras ferramentas auxiliam na segurança, como uma ferramenta de varredura que pesquisa informações de identificação pessoal para que possam ser protegidas de maneira adequada. O gerenciamento de segurança em nuvem é necessário para garantir que esses serviços funcionem como deveriam.

O que é o programa de proteção de aplicações nativos da nuvem (CNAPP)?

CNAPP é um grupo de soluções de segurança destinadas a auxiliar na identificação, avaliação, priorização e adaptação ao risco em uma variedade de aplicações nativas em nuvem.

Como tal, o CNAPP reúne vários dos recursos mais importantes acumulados de produtos e plataformas em silos: Verificação de artefatos, proteção em tempo de execução e configuração de nuvem. Isso pode incluir o seguinte:

  • Verificações de configuração incorreta para buckets, bancos de dados e portas de rede abertos do Amazon S3
  • Monitoramento de tempo de execução e proteção de suas cargas de trabalho na nuvem
  • Detecção automatizada de vulnerabilidades em contêineres, máquinas virtuais (VMs) ou funções serverless
  • Verificação de exposição para CVEs, segredos, dados confidenciais e malware
  • Verificação de infraestrutura como código (IaC)

 

A Trend Micro pode ser considerada uma fornecedora de CNAPP, e produtos como Trend Micro Cloud One™, a plataforma de serviços de segurança destinada a desenvolvedores de nuvem, podem se encaixar perfeitamente na arquitetura CNAPP.

Compliance em nuvem

As empresas precisam permanecer em conformidade com as muitas leis, regulamentos e contratos em vigor. Quando você coloca seus dados e serviços na posse de outra pessoa, existem certos requisitos complicados que devem estar em vigor para garantir a conformidade.

Do ponto de vista legal, as organizações devem cumprir o Regulamento Geral de Proteção de Dados da União Europeia (GDPR da UE), Sarbanes-Oxley – proteção de dados financeiros dos EUA (SOX), a Lei de Portabilidade e Responsabilidade de Informações de Saúde - Saúde dos EUA (HIPAA) e outros. Além disso, a proteção do cartão de crédito está sujeita à legislação contratual com a Indústria de Cartões de Pagamento - Padrão de Segurança de Dados (PCI-DSS).

Uma vez que o assunto de compliance é identificado, muitas ações podem ser tomadas, uma das quais é uma auditoria. A auditoria deve ser conduzida usando uma abordagem padronizada e metodologia comprovada, como a SSAE 18 do Instituto Americano de Contadores Públicos Certificados (Declaração de Padrões sobre Acordos de Atestado, nº 18). As descobertas da auditoria irão indicar o que pode não estar em compliance. Ao decidir sobre um provedor de nuvem, é importante ler esses relatórios para saber o nível de segurança do DC e o que esperar.

Artigos Relacionados

Pesquisas relacionadas