O que significa segurança na nuvem?
A segurança em nuvem é semelhante à segurança tradicional de TI, mas se concentra em políticas e controles empregados para proteger dados, aplicativos de software e infraestrutura de computação em nuvem associada.
A computação em nuvem remonta à década de 1960. A adoção generalizada de serviços em nuvem na vida pessoal e empresarial de hoje impulsionou a necessidade de práticas e controles seguros robustos.
O que é um modelo de segurança na nuvem?
A computação em nuvem vem em várias opções de implantação (chamadas de modelos), incluindo nuvem pública, privada e híbrida. No gráfico abaixo, você pode encontrar as informações específicas de gerenciamento de nuvem associadas a cada modelo de implantação:
Modelo de implantação | Descrição | Usuários-alvo | Caso de uso | Benefícios |
---|---|---|---|---|
Nuvem pública | Terceiros provedores de serviços em nuvem (como Microsoft, Amazon e Google, os três mais populares) são os donos dos recursos (ou seja, hardware, software e infraestrutura). As empresas compartilham esses recursos com outras organizações. | Desenvolvedores e testadores de software | Comumente usado para e-mail, aplicativos de escritório e armazenamento |
|
Nuvem privada | Uma única empresa é dona dos recursos, que um provedor de serviços terceirizado ou o data center da organização podem hospedar. | Governo e instituições financeiras | Comumente usado para cargas de trabalho sensíveis em setores altamente regulamentados |
|
Nuvem híbrida | Esse modelo de implantação distribui cargas de trabalho em infraestruturas de nuvens públicas e privadas. Os aplicativos compartilham recursos e são interoperáveis entre a nuvem pública e privada, com base nas necessidades de segurança e desempenho. | Entidades que atendem várias organizações com regulamentos e requisitos de segurança diferentes | Comumente usado por startups com requisitos inconsistentes e desconhecidos e provedores de serviços de TI com uma variedade de clientes |
|
Para aqueles que estão usando nuvens diferentes para diferentes tarefas; modelos multinuvem também estão disponíveis. Ao contrário da nuvem híbrida, soluções multinuvem atendem organizações que usam vários serviços de nuvem pública de provedores diferentes. Uma organização também pode ter uma infraestrutura de nuvem privada e até mesmo uma infraestrutura local. Cada um desses ambientes é usado para seu próprio propósito independente e isolado. A nuvem híbrida, por outro lado, sempre inclui infraestruturas de nuvens públicas e privadas que trabalham juntas e se misturam.
Indivíduos ou organizações de setores específicos que tenham preocupações semelhantes quanto a privacidade, segurança e conformidade compartilham o que é conhecido como nuvem comunitária. Essas organizações incluem bancos, hospitais e agências governamentais.
A diferença entre a segurança na nuvem e a segurança de TI tradicional
A TI tradicional e a tecnologia de nuvem enfrentam a mesma exposição a roubos de dados, vazamentos e interrupções. A principal diferença entre as duas tecnologias é que os recursos de computação em nuvem são mais abstratos do que hardware, servidores e software tradicionais no local.
A infraestrutura tradicional de TI engloba a compra, instalação e gerenciamento internos de hardware, software e outros itens de infraestrutura dedicados. Com a infraestrutura tradicional de TI, você tem total controle local dos dados, aplicativos e infraestrutura de sua empresa, criando um sistema aparentemente seguro. À medida que sua organização cresce e os requisitos de armazenamento de dados aumentam, você comprará hardware adicional para atender às suas necessidades de capacidade. Os ambientes tradicionais de TI permitem uma conexão entre dispositivos de hardware e os servidores localizados em seu data center local e contam com modelos de segurança do perímetro.
A computação em nuvem é abstrata quando comparada à infraestrutura tradicional de TI. Os recursos de computação em nuvem não são fisicamente acessíveis ou locais. A nuvem oferece uma solução virtual, permitindo que as empresas alcancem hospedagem externa alugando espaço de servidor de um provedor de serviços em nuvem. Esse sistema coloca o provedor de serviços em nuvem encarregado da segurança. Os ambientes de computação em nuvem são acessados usando interfaces de programação de aplicativos (APIs). APIs permitem a comunicação entre seus dispositivos e os servidores em nuvem. O ambiente de nuvem é tão seguro quanto essas APIs. Embora a segurança tradicional e a em nuvem dependam de métodos semelhantes, a infraestrutura de nuvem cada vez mais complexa e as ameaças de segurança cada vez mais sofisticadas estão forçando uma transição da segurança do perímetro para a computação em nuvem, que usa métodos de autenticação e criptografia mais fortes.
Os contrastes entre a nuvem e a tradicional podem fazer com que a computação em nuvem pareça irracionalmente insegura, mas, com as precauções adequadas e o provedor de serviços em nuvem certo, os benefícios da computação em nuvem superam os riscos, tornando a segurança na nuvem a escolha óbvia para a maioria das organizações.
O quanto a nuvem é segura?
Os serviços em nuvem tornaram-se muito comuns, mas as preocupações com a segurança permanecem. Manter a segurança, a disponibilidade e a privacidade é crucial para as empresas. Os data centers em nuvem geralmente são compostos por especialistas em segurança na nuvem, auditados por organizações terceirizadas e submetidos a políticas e padrões rígidos. Muitos deles estão em conformidade com a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) e o Interconector de Componentes Periféricos (PCI) e seguem as Instruções sobre Normas de Certificação de Atestados (SSAEs). Esses provedores de serviços em nuvem se comprometeram com requisitos de segurança robustos e provaram sua capacidade de proteger informações confidenciais.
Por que a segurança na nuvem é tão importante?
Com os gastos com computação em nuvem continuando a aumentar, a segurança na nuvem é mais importante do que nunca. De acordo com o relatório State of the Cloud da RightScale, 96% dos profissionais de TI usam a nuvem. Espera-se que os gastos públicos corporativos em nuvem cresçam de forma rápida e significativa.
Os provedores de serviços em nuvem são um alvo para hackers. Abaixo estão as principais ameaças à segurança na nuvem enfrentadas por esses provedores, de acordo com a Cloud Security Alliance® (CSA):
- violações de dados;
- gerenciamento inadequado de identidade, credencial e acesso;
- interfaces e APIs inseguras;
- vulnerabilidades do sistema;
- sequestro de conta;
- funcionários mal-intencionados;
- ameaças persistentes avançadas (APTs);
- perdas de dados;
- devida diligência inadequada;
- abusos e usos nefastos de serviços em nuvem;
- ataques de negação de serviço (DDoS);
- problemas de tecnologia compartilhada.
Outras ameaças à segurança incluem o seguinte:
- ransomware, como BadRabbit;
- mineração de moedas;
- criptojacking;
- trojans, como Dridex, Trickybot, Zbot e Emotet;
- problemas de segurança do Windows, como EternalBlue;
- grayware;
- hackers explorando vulnerabilidades;
- malware, como Petya/NotPetya, que se aproveita das atualizações de software e das falhas de CPU e de medidas de segurança, como Meltdown, Spectre e problemas de ponto único de falha;
- worms, como Ramnit;
- spear phishing;
- vulnerabilidades de software não corrigidas (conhecidas como dia zero);
- ataques de engenharia social;
- interceptação de rede;
- erro humano;
- credenciais roubadas;
- uso indevido por funcionários;
- negligência;
- uso não autorizado;
- dados não excluídos;
- perda de dados quando um provedor de serviços em nuvem encerra os negócios;
- equipe de TI não qualificada ou sobrecarregada;
- TI invisível.
Benefícios da segurança na nuvem
Seguir as práticas recomendadas de segurança na nuvem e implementar medidas preventivas adequadas pode proporcionar tranquilidade para que seus dados e sistemas estejam seguros, garantir visibilidade das medidas de segurança, permitir que você entregue alertas e prepará-lo para quando atividades incomuns ocorrerem. Comprometer-se com essas práticas também pode ajudá-lo a garantir que terá disponibilidade, confiabilidade e segurança para operar sem interrupções.
Responsabilidades do provedor de segurança em nuvem
Com a rápida demanda por serviços de computação em nuvem, os provedores de serviços estão aparecendo em todos os lugares, oferecendo uma grande variedade de comodidades, incluindo camadas de nuvem, infraestrutura como serviço (IaaS), plataforma como serviço (PaaS), software como serviço (SaaS), armazenamento em nuvem, testes, integração e aplicativos nativos em nuvem. Os serviços de nuvem mais populares vêm de nomes conhecidos, como Amazon, Microsoft, Google e IBM.
A crescente demanda por serviços de computação em nuvem está aumentando a demanda por segurança na nuvem. A maioria dos provedores de serviços em nuvem tem padrões regulatórios muito rígidos, ferramentas de segurança acessíveis, práticas para manter a confidencialidade de dados e proteção contra ataques DDoS. Ao avaliar os provedores de serviços em nuvem, certifique-se de perguntar a cada provedor sobre as seguintes medidas de segurança:
- gerenciamento de identidades;
- segurança física;
- treinamento para funcionários;
- privacidade, confidencialidade, integridade de dados e controle de acesso;
- continuidade de negócios e recuperação de desastres;
- método de criptografia, por exemplo, baseada em atributos (ABE), política de texto cifrado-ABE (CP-ABE), políticas nas chaves cifradas-ABE (KP-ABE), totalmente homomórfica (FHE) ou criptografia pesquisável (SE);
- trilhas de auditoria e registros;
- requisitos exclusivos de conformidade, como HIPA.
Desafios de segurança que acompanham o fornecimento de soluções em nuvem
Como mencionado anteriormente, hackers, malware e ransomware são ameaças que acompanham a computação em nuvem. Os problemas comuns de segurança na nuvem vêm juntamente com desafios jurídicos e de responsabilidade.
- O fluxo de informações armazenadas por provedores de serviços em nuvem os torna grandes alvos de atividades maliciosas.
- Os provedores de soluções em nuvem são responsáveis pela propriedade intelectual e pelos termos em torno da perda de dados ou dos dados comprometidos.
- Os requisitos para manter ou mesmo fornecer registros públicos mediante solicitação podem colocar os provedores de serviços em nuvem em uma posição desconfortável.
- O número de implementações em nuvem pode facilmente sair do controle, já que os requisitos para armazenamento de dados e informações podem limitar as oportunidades de desativação.
A facilidade de acesso e a vasta disponibilidade de soluções em nuvem também são um desafio para empresas e organizações. Os funcionários podem facilmente tirar vantagem das soluções e dos aplicativos em nuvem, fazendo com que os departamentos internos de TI percam o controle sobre os serviços de TI. A TI invisível deixa a organização em risco — a organização fica no escuro em relação aos serviços que são utilizados, à localização das informações, às pessoas que têm acesso e às políticas de segurança. Esses fatores dificultam a aplicação de políticas de segurança, deixando uma empresa em risco de não conformidade com os mandatos regulatórios.
Arquitetura de segurança de solução em nuvem
O objetivo número um de todos os provedores de serviços e soluções em nuvem estabelecidos é manter os dados proprietários e confidenciais seguros. Os provedores projetam e constroem soluções com base nos requisitos e protocolos para proteger seus dados e a necessidade de oferecer flexibilidade. Tanto o provedor de serviços/soluções em nuvem quanto o cliente são responsáveis pela segurança. Os contratos de nível de serviço do provedor devem indicar o nível de responsabilidade do cliente. O provedor de serviços em nuvem terá desenvolvido uma arquitetura de segurança em nuvem que demonstra como sua nuvem é protegida.
O que são os padrões de segurança na nuvem?
Os padrões de segurança na nuvem são padrões, controles e orientações específicas relacionados à segurança que várias organizações do setor, incluindo a Organização Internacional para Padronização (ISO), a CSA e outras, descrevem e definem para provedores de serviços em nuvem e clientes de serviços em nuvem.
Padrões e controles de segurança em nuvem
A CSA se dedica à definição e conscientização sobre as práticas recomendadas de computação em nuvem. Além de definir as principais ameaças à segurança mencionadas acima, criou a Matriz de Controles de Nuvem (CCM) da Cloud Security Alliance para fornecer orientação em domínios de governança e operações. Esses domínios incluem:
- segurança de aplicativos e interfaces;
- conformidade e garantia de auditoria;
- gerenciamento da continuidade de negócios e resiliência de operações;
- controle de alterações e gerenciamento da configuração;
- segurança dos dados e gerenciamento do ciclo de vida das informações;
- segurança de dada center;
- gerenciamento de criptografia e de chaves;
- gerenciamento de riscos e governança;
- segurança dos recursos humanos;
- gerenciamento de identidades e acessos;
- infraestrutura e virtualização;
- interoperabilidade e portabilidade;
- segurança móvel;
- gerenciamento de incidentes de segurança, e-disk e perícia em nuvem;
- gerenciamento, transparência e prestação de contas da cadeia de suprimentos;
- gerenciamento de linhas de execução e vulnerabilidades.
A CCM fornece uma estrutura de 133 controles alinhados com os 16 domínios e se concentra em dissuadir, prevenir, detectar e corrigir problemas de segurança.
Além da CSA, o Instituto Nacional de Padrões e Tecnologia (NIST) é uma agência não reguladora criada pelo Departamento de Comércio dos EUA para desenvolver padrões do setor que incentivam a inovação. As diretrizes de computação em nuvem do NIST são publicadas na série de publicação especial (SP) 800 e se aplicam a órgãos federais.
O NIST fornece um relatório (NIST SP 500-322) que ajuda a qualificar um serviço de nuvem conforme alinhado com a definição do NIST de computação em nuvem (NIST SP 800-145). Esse relatório fornece orientações para analisar as características essenciais da computação em nuvem, modelos de serviços em nuvem e modelos de implementação em nuvem.
Práticas recomendadas da segurança em nuvem
A computação em nuvem oferece às organizações muitos benefícios, mas as empresas precisam implementar medidas de proteção para se defenderem de ameaças. Além de implementar as práticas recomendadas da CSA e do NIST, as organizações podem instituir controles adicionais de segurança, como os seguintes:
- Usar apenas softwares conhecidos e confiáveis.
- Entender os regulamentos de conformidade.
- Gerenciar o ciclo de vida das instâncias de nuvem, aplicando correções e atualizações.
- Monitorar continuamente as falhas de segurança na nuvem.
- Escolher provedores de nuvem qualificados — avalie-os com base em requisitos rígidos.
- Certificar-se da portabilidade da sua carga de trabalho para poder transferi-la a outro provedor, se necessário.
- Implantar medidas adicionais de segurança (além do que o provedor de serviços em nuvem oferece) para se proteger da infraestrutura de nuvem comprometida.
- Usar software de corretor de segurança de acesso à nuvem (CASB) e realizar testes de vulnerabilidade na nuvem com produtos de teste de digitalização e penetração.
- Montar um plano de resposta a incidentes na nuvem.
- Substituir quaisquer soluções de segurança antigas, incluindo segurança de computadores e redes.
- Levar o DevOps e o DevSecOps em consideração para integrar a segurança aos projetos da equipe de desenvolvimento.
- Unificar e centralizar as práticas de segurança em todos os serviços em nuvem.
- Manter uma lista completa de todos os ativos em nuvem.
- Entender as práticas recomendadas de segurança em nuvem.
- Treinar funcionários sobre segurança em nuvem.
- Seguir as práticas recomendadas de segurança.
- Automatizar para eliminar os erros humanos.
- Proteger as APIs corretamente.
Ao estabelecer padrões de segurança em nuvem, você pode criar um plano de segurança de dados para sua organização. Este modelo personalizável fornece orientação sobre como lidar com dados no local e na nuvem.
Baixe o modelo de plano de segurança de dados
O que é a nuvem?
Resumidamente, a nuvem é a internet. A nuvem disponibiliza recursos, programas de software, informações e serviços pela internet e não em seu computador local. Esses recursos são armazenados em servidores físicos em algum data center, mas a nuvem remove a necessidade de infraestrutura de hardware no local. Abaixo está uma comparação da tecnologia em nuvem com a tecnologia tradicional
Nuvem | Tradicional |
---|---|
Aplicativos e dados são armazenados em data centers de terceiros (reduzindo a administração). | Aplicativos e dados são armazenados em computadores locais ou em data centers interno. |
Investimento mínimo em infraestrutura | Alto investimento em infraestrutura |
Fácil e rápido de escalar | Lento para escalar |
Taxas baseadas em uso (que podem ser mais econômicas) | Taxas independentemente do uso |
Como funciona a nuvem?
A nuvem funciona permitindo que os usuários acessem dados e aplicativos pela internet, independentemente de sua localização e dispositivo.
As nuvens públicas são seguras?
As nuvens públicas são seguras se o provedor de serviços for seguro. Você pode avaliar a segurança de um provedor de nuvem analisando suas auditorias de conformidade, fazendo perguntas com base nas práticas recomendadas descritas acima e visitando suas instalações.
O futuro da segurança em nuvem
Para muitas organizações, os serviços em nuvem passaram de um luxo para uma prioridade estratégica. A extensa quantidade de dados armazenados na nuvem a tornam um enorme alvo para hackers, golpistas e cibercriminosos. As ramificações colossais dessas ameaças potenciais tornaram a segurança uma prioridade máxima do setor. Já estamos vivenciando métodos de autenticação mais robustos nas formas de autenticação multifatorial e biométrica.
Melhore a segurança de informações e dados com Smartsheet
Capacite seu pessoal para ir além com uma plataforma flexível desenvolvida para atender às necessidades da sua equipe e se adaptar conforme essas necessidades mudam. Com a plataforma Smartsheet fica fácil planejar, coletar informações, gerenciar e criar relatórios sobre o trabalho de qualquer lugar, ajudando sua equipe a ser mais eficiente e mostrar resultados. Crie relatórios sobre as principais métricas e obtenha visibilidade do trabalho em tempo real, à medida que ele acontece, através de relatórios, painéis e fluxos de trabalho automatizados criados para manter sua equipe conectada e informada. Quando as equipes têm clareza sobre o trabalho que está sendo realizado, elas podem ser muito mais produtivas durante o mesmo período de tempo. Experimente o Smartsheet gratuitamente hoje mesmo.
Qualquer artigo, modelo ou informação fornecidos pela Smartsheet no site são apenas para referência. Embora nos esforcemos para manter as informações atualizadas e corretas, não fornecemos garantia de qualquer natureza, seja explícita ou implícita, a respeito da integridade, precisão, confiabilidade, adequação ou disponibilidade do site ou das informações, artigos, modelos ou gráficos contidos no site. Portanto, toda confiança que você depositar nessas informações será estritamente por sua própria conta e risco.
Esses modelos são fornecidos apenas como amostras. Esses modelos não são, de forma alguma, conselhos jurídicos ou de conformidade. Os usuários desses modelos devem determinar quais informações são necessárias para alcançar seus objetivos.