O que é segurança na nuvem?

A computação em nuvem é o processo de fornecer recursos de computação por meio da Internet. Qualquer tipo de ferramenta e aplicativo de TI pode ser fornecido dessa forma. Usuários podem acessar servidores, armazenamento, bancos de dados, redes e aplicativos.

Os recursos de computação em nuvem podem pertencer a uma organização que faz a manutenção deles, mas normalmente eles são fornecidos como serviço. Quando usada como serviço, a computação em nuvem reduz as despesas de capital, fornecendo elasticidade, disponibilizando infraestrutura, aplicativos e serviços de TI sob demanda.

A segurança na nuvem é um pilar fundamental da computação em nuvem, fornecendo tecnologia, serviços, políticas e controles que protegem a infraestrutura, os aplicativos e os dados hospedados contra ameaças e acidentes.

Nuvens privadas, públicas e híbridas contam com a segurança de computação em nuvem como parte integrante de sua arquitetura e infraestrutura, visando garantir a privacidade dos dados e atender aos requisitos de conformidade.

Muitos benefícios são obtidos com a segurança na nuvem, tais como:

• Detecção avançada de ameaças: A segurança da computação em nuvem usa verificação de endpoints, inteligência de ameaças e outras ferramentas para identificar e neutralizar ameaças de forma proativa.
• Conformidade: A amplitude da cobertura fornecida pela maioria das soluções de segurança na nuvem garante que as organizações sejam capazes de atender aos rigorosos requisitos de conformidade estabelecidos pela legislação, padrões e protocolos internos.
• Monitoramento contínuo: Para garantir segurança, disponibilidade e desempenho ideais na nuvem, os provedores de serviços devem monitorar continuamente todos os sistemas. Essa visibilidade permite que os provedores de serviços de nuvem respondam de forma proativa quando desafios são identificados, antes que se tornem problemas maiores.
• Segurança de dados: A maioria das soluções de segurança na nuvem oferece segurança de dados estruturalmente, por meio de sólidos controles de acesso e criptografia de dados que os protegem contra ameaças.
• Proteção contra ataques de negação de serviço distribuído (DDoS, Distributed Denial of Service):As soluções de segurança na nuvem fornecem a proteção mais eficaz contra ataques DDoS, devido ao monitoramento contínuo, à análise e às redundâncias incorporadas aos serviços.

Segurança na nuvem e o modelo de responsabilidade compartilhada

A segurança de computação em nuvem é uma responsabilidade compartilhada, que independe do modelo de nuvem implantado. As responsabilidades pela segurança na nuvem se enquadram em três categorias.

1. As responsabilidades pela segurança na nuvem que recaem sempre sobre o provedor compreendem a proteção da infraestrutura, com aplicação de patches e a configuração dos hosts físicos e das redes onde as instâncias de computação são executadas e o armazenamento e outros recursos residem.
2. As responsabilidades pela segurança na nuvem que recaem sempre sobre o cliente incluem o gerenciamento de usuários e seus privilégios de acesso, a proteção de contas na nuvem e dados baseados na nuvem contra acesso não autorizado e o gerenciamento de sua postura de segurança a fim de cumprir os requisitos de conformidade.
3. As responsabilidades de segurança da computação em nuvem que variam dependendo do modelo de serviço incluem:
   • Infraestrutura como serviço (IaaS, Infrastructure as a Service): no modelo de fornecimento de infraestrutura, o provedor oferece recursos computacionais (por exemplo, servidores virtualizados, armazenamento, equipamentos de rede) via Internet. No modelo IaaS, o cliente é responsável pela segurança. Isso significa manter a segurança de tudo na infraestrutura de nuvem, incluindo sistema operacional, aplicativos, middlewares, contêineres, cargas de trabalho, dados e código. Os clientes são responsáveis pela segurança de endpoints, usuários, redes, configurações, definições, direitos de acesso, cargas de trabalho e dados.
   • Plataforma como serviço (PaaS, Platform as a Service): nesse modelo, o provedor fornece o hardware e o software para a plataforma. O provedor de serviços também é responsável pela segurança da plataforma e da infraestrutura que os clientes usam para desenvolver, executar e gerenciar seus aplicativos. Os clientes são responsáveis ​pela segurança dos aplicativos desenvolvidos na plataforma e pela segurança de endpoints, usuários, redes, direitos de acesso, dados e cargas de trabalho.
   • Software como serviço (SaaS, Software as a Service): o provedor hospeda, de forma centralizada, um aplicativo (por exemplo, e-mail) na nuvem e o oferece como uma assinatura. Neste modelo, o fornecedor não apenas mantém e gerencia a solução, mas também é responsável pela segurança do aplicativo. Os clientes são responsáveis ​pela segurança de endpoints, usuários, redes, configurações, definições, direitos de acesso, cargas de trabalho e dados.

Desafios de segurança na nuvem

• Vulnerabilidades de interface de programação de aplicativo (API, Application Program Interface): Normalmente, cibercriminosos exploram falhas de APIs com o objetivo de conseguir acesso não autorizado a recursos e dados, usando ataques como os de negação de serviço (DoS) e injeções de código.
• Conformidade e governança: Embora os principais provedores de nuvem ofereçam suporte à maioria dos requisitos de segurança para normas e legislação [por exemplo, Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS, Payment Card Industry Data Security Standard), Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA, Health Insurance Portability and Accountability Act), Lei de Direitos de Privacidade da Califórnia (CPRA, California Privacy Rights Act), Regulamento Geral de Proteção de Dados (RGPD)], os clientes são responsáveis ​por garantir que suas cargas de trabalho e seus processos de dados estejam em conformidade, e nem todos conseguem cumprir essa tarefa. Muitas organizações presumem que o provedor de nuvem cuidará da segurança e que não precisam implementar os processos e os controles necessários para cumprir os requisitos regulatórios.
• Cargas de trabalho dinâmicas: Como os ativos em nuvem são provisionados e desativados de forma dinâmica, as ferramentas de segurança tradicionais não conseguem fornecer os tipos de políticas de proteção necessárias para dar suporte às cargas de trabalho em rápida mudança.
• Maior superfície de ataque: A adoção de microsserviços tem levado a um grande aumento das cargas de trabalho disponíveis ao público, o que amplia as superfícies de ataque à medida que cada carga de trabalho aumenta.
• Falta de visibilidade e rastreamento: Em implantações de nuvem em que os provedores têm controle total sobre a camada de infraestrutura, os clientes não têm exposição a ela e não têm a visibilidade e o controle necessários para identificar e quantificar com precisão os ativos da nuvem ou visualizar seus ambientes de nuvem.
• Privilégios flexíveis: Em geral, as funções de usuário da nuvem são configuradas de maneira muito flexível por padrão, com privilégios concedidos além do necessário.
• Serviços de nuvem mal configurados: As configurações incorretas de nuvem são geradas por usuários ou administradores que não implementam as configurações de segurança corretamente. Isso acarreta problemas como acesso de saída irrestrito ou credenciais fracas que podem resultar em violações de dados.
• Explorações de dia zero: Mesmo os principais provedores de segurança na nuvem são vulneráveis ​a explorações de dia zero, que exploram vulnerabilidades em softwares e sistemas operacionais que não foram corrigidos.

Segurança na nuvem e zero trust

Os princípios básicos do modelo zero trust (confiança zero) na segurança de computação em nuvem são os mesmos de qualquer outra implantação: não confiar automaticamente em ninguém ou em nada dentro ou fora da rede; verificar tudo. 

A aplicação do modelo de confiança zero para a obtenção de segurança na nuvem inclui:

• Garantir a devida segurança dos aplicativos voltados para a Web.
• Implementar e impor uma estratégia de governança com privilégios mínimos para restringir o acesso dos usuários a recursos que sejam estritamente necessários à execução de suas funções, reduzindo assim a superfície de ataque.
• Utilizar microssegmentação a fim de permitir a segurança granular de computação em nuvem.
• Criar zonas que segmentem cargas de trabalho entre si para proteger tudo no interior de cada zona e impor políticas específicas a fim de proteger o tráfego entre as zonas.

Entre os muitos benefícios da implementação de um modelo de zero trust para a obtenção de segurança na nuvem estão:

• Segurança consistente e abrangente
• Maior visibilidade de dados, ativos e riscos
• Custo operacional e complexidade reduzidos
• Velocidade e agilidade para se adaptar às mudanças nos casos de uso, tecnologia e ameaças

As principais etapas da implementação do modelo de zero trust em prol da segurança da computação em nuvem são:

1. Identificar que tipo de aplicativos (por exemplo, públicos, privados, SaaS) e dados (por exemplo, confidenciais, sensíveis) exigem proteção, onde estão e quem os acessa e utiliza.
2. Definir a superfície a ser protegida com base nos níveis necessários para dados, aplicativos, ativos e serviços.
3. Mapear os fluxos de transações.
4. Arquitetar a infraestrutura de segurança na nuvem para criar limites entre usuários e aplicativos.
5. Conceder direitos de acesso de acordo com o princípio de privilégio mínimo.
6. Treinar usuários em políticas de segurança e o que se espera deles ao acessar e usar aplicativos e dados na nuvem.
7. Monitorar e manter todos os sistemas de segurança de computação em nuvem.

Práticas recomendadas de segurança na nuvem

Organizações devem levar em conta estas práticas recomendadas de segurança na nuvem ao implementarem ferramentas e controles:

• Verificar se há alguma conta de serviço padrão.
• Desenvolver a segurança de computação em nuvem com base no modelo de zero trust e segmentação de rede com base em como os dados se movem pela rede e como os usuários e aplicativos acessam as informações confidenciais.
• Desativar portas não utilizadas.
• Garantir que a segurança na nuvem atenda aos requisitos de padrões, leis e regulamentos, incluindo, nos EUA, a Lei Sarbanes-Oxley (SOX, Sarbanes-Oxley Act), a Lei Gramm-Leach-Bliley (GLBA, Gramm-Leach-Bliley Act), a Lei Federal de Gestão de Segurança da Informação (FISMA, Federal Information Security Management Act), o Instituto Nacional de Padrões e Tecnologia (NIST, National Institute of Standards and Technology) e a Sociedade para Telecomunicações Financeiras Interbancárias Mundiais (SWIFT, Society for Worldwide Interbank Financial Telecommunications).
• Estabelecer monitoramento contínuo das atividades de todos os usuários privilegiados (como administradores de sistema e gerentes).
• Criar procedimentos claros de integração e desligamento, incluindo a adição e a remoção de contas e seus privilégios.
• Monitorar usuários detentores de privilégios na infraestrutura de nuvem.
• Saber quem é responsável por cada aspecto, interno e externo, da segurança na nuvem.
• Fornecer aos usuários uma experiência segura, consistente e contínua, independente da localização física deles, ou da forma como desejam se conectar ou que aplicativos desejam usar.
• Remover processos e instâncias desnecessários.
• Exigir o uso de senhas fortes e autenticação multifator.
• Agendar avaliações dos privilégios do usuário com regularidade.
• Alocar tempo para a identificação dos relacionamentos existentes e colaborar com os stakeholders para entender os padrões normais de comportamento dos aplicativos e de comunicação entre os sistemas.
• Treinar os usuários para identificar mensagens de phishing e de engenharia social, usando simulações de ataques reais a fim de evitar a divulgação acidental de informações com nível de confidencialidade.
• Entender como funciona a arquitetura de nuvem para evitar falhas de segurança causadas por configurações incorretas.
• Usar o monitoramento de tráfego de rede para realizar a detecção passiva de aplicativos.

Soluções de segurança na nuvem

Por causa da natureza distribuída e da dinâmica da computação em nuvem, uma ampla variedade de ferramentas e práticas de segurança deve ser utilizada, entre elas estão:

• Gestão de mudanças e atualizações de softwares: Aplica regras e modelos de governança e conformidade ao provisionar servidores virtuais, auditar desvios de configuração e corrigir problemas.
• Cloud WAF (Web Application Firewall, firewall de aplicativos da Web): Monitora o tráfego e as solicitações de entrada antes que cheguem ao servidor e tenham acesso aos recursos da empresa.
• Avaliações de conformidade: Analisam e atualizam as regras e os requisitos de conformidade.
• Controle sobre os dados na nuvem com:
  • Classificação de dados para impedir a entrada ou saída deles da nuvem de acordo com a sua classificação (confidencial, regulamentado, público).
  • Prevenção contra perda de dados (DLP, Data Loss Prevention) para proteger os dados contra acesso não autorizado e desativar o acesso e o transporte de dados, de modo automático, quando são detectadas atividades suspeitas.
  • Controles de colaboração para gerenciar controles dentro da nuvem (alterar permissões de arquivos e pastas para usuários específicos, remover permissões, revogar links compartilhados).
• Criptografia de dados: Protege informações com diferentes níveis de confidencialidade, em caso de violação, mascarando-as.
• Controle de acesso de dispositivos a dados e aplicativos na nuvem: Bloqueia o acesso com base em regras (como, por exemplo, quando um dispositivo pessoal não autorizado tenta acessar dados na nuvem).
• Melhor proteção de dados: Usa criptografia em todas as camadas de transporte para proteger compartilhamentos de arquivos e comunicações, atender continuamente aos requisitos de conformidade relacionados à gestão de riscos, e apoiar uma boa estratégia de governança de dados (por exemplo, a detecção de recursos mal configurados e o encerramento de recursos órfãos).
• Gerenciamento de identidade e acesso (IAM, Identity and Access Management): com base em políticas e autenticação fornece privilégios de acesso a ativos e APIs.
• Gerenciamento de identidade e controles de acesso: Define que usuários e grupos de usuários podem ter acesso a que recursos e dados, por meio do princípio do privilégio mínimo.
• Microssegmentação: Usa links dedicados de rede de longa distância (WAN, Wide Area Network) para personalizar o acesso a dispositivos virtuais, redes virtuais e seus gateways, além de endereços de protocolo de Internet (IP) públicos para microssegmentar cargas de trabalho entre si até o nível de carga de trabalho individual, com políticas de segurança granulares em gateways de sub-rede.
• Firewalls de próxima geração: Usam filtragem com reconhecimento de aplicativos para impedir ameaças avançadas, inspecionando e controlando de modo granular o tráfego de/para servidores de aplicativos da Web, atualizando automaticamente as regras em resposta às mudanças no padrão de tráfego.
• Prevenção contra malware: Impede a entrada de malwares em serviços de nuvem por meio de verificação de arquivos, lista de permissões de aplicativos, detecção de malware baseada em aprendizado de máquina e análise de tráfego de rede.
• Controles de acesso privilegiado: Identifica todas as formas de acesso que as contas privilegiadas têm a dados e aplicativos e, em seguida, implementa e gerencia controles para limitar a exposição.
• Avaliação de riscos: Identifica e gerencia fatores de risco que ambientes e provedores de nuvem representam.
• Inteligência contra ameaças: Detecta e corrige, em tempo real, ameaças conhecidas e desconhecidas, verificando todo o tráfego e, em seguida, comparando os dados de registro agregados aos dados internos (como sistemas de gestão de ativos e de configuração), verificadores de vulnerabilidade, dados externos (feeds públicos de inteligência contra ameaças, bancos de dados de geolocalização) e algoritmos de detecção de anomalias baseados em inteligência artificial.
• Controle de acesso do usuário para dados e aplicativos na nuvem: [por exemplo, agente de segurança de acesso à nuvem ou CASB (Cloud Access Security Broker)] Garante que apenas usuários autorizados tenham acesso a dados e aplicativos na nuvem.
• Análise de comportamento do usuário (UBA, User Behavior Analytics): Identifica atividades maliciosas, como a detecção de contas comprometidas e ameaças internas.
• Visibilidade dos dados na nuvem. Utiliza uma conexão de API para visualizar:
  • Quais dados são armazenados na nuvem.
  • Quem está usando dados na nuvem.
  • As funções dos usuários com acesso aos dados na nuvem.
  • Com quem os usuários da nuvem estão compartilhando dados.
  • Onde os dados da nuvem estão localizados.
  • Onde os dados da nuvem estão sendo acessados e baixados, inclusive de quais dispositivos.

Exija responsabilidade interna pela qualidade da segurança na nuvem

A segurança da computação em nuvem deve ser prioridade para a empresa. Embora os provedores de serviços em nuvem sejam especialistas em proteger sistemas e dados, a responsabilidade final pela segurança em nuvem cabe às organizações. Seja ao supervisionar e auditar soluções terceirizadas, gerenciar implementações internas ou em modelos híbridos, a empresa precisa entender profundamente cada aspecto da segurança na nuvem.

É indispensável reservar tempo para desenvolver processos e políticas sólidas para a segurança na nuvem, pois o resultado é a tranquilidade de saber que os sistemas estão protegidos e atendem aos requisitos de conformidade. Ao ser realizada de modo adequado, a segurança na nuvem garante uma defesa mais eficaz contra cibercriminosos, com proteções contra acesso não autorizado, violações de dados e uma lista interminável de outras ameaças.