A adoção da cloud tem vindo a aumentar e os especialistas preveem um crescimento exponencial nos próximos anos. As empresas que mudaram para um modelo de cloud relatam benefícios em termos de eficiência, tempo de implantação e facilidade de colaboração.
A computação na cloud tem grandes vantagens sobre a infraestrutura tradicional:
- Meno custo inicial
- Arquitetura modular
- Escalabilidade
Mas também há desafios a serem superados. Segurança e privacidade são considerados os dois maiores obstáculos à adoção; ao mesmo tempo, 27% das empresas vêem a segurança como um dos benefícios de migrar para a cloud. É uma faca de dois gumes. O essencial é adotar um modelo de governance focado na segurança para garantir que se obtêm esses mesmos benefícios.
Provavelmente não é surpresa que 3 em cada 4 empresas pensem na segurança como a preocupação número um ao projetar uma estratégia de migração para a cloud. As ameaças podem variar, desde configurações incorretas da infraestrutura até acessos não autorizados ou APIs inseguras. E também da falta de um bom modelo de governance em relação ao uso da cloud.
O que é segurança na Cloud?
A computação na cloud é, por definição, um conjunto de recursos partilhados. Isto leva a um “modelo de responsabilidade partilhada” quando se trata de segurança. Os fornecedores de serviços cloud e os seus utilizadores devem assumir a responsabilidade em várias áreas para reduzir o risco de introduzir vulnerabilidades no ambiente.
A chave para uma implementação cloud bem-sucedida é saber exatamente quem é responsável por quê, a qualquer momento.
A AWS, por exemplo, di-lo de forma transparente:
- O fornecedor de serviços Cloud assegura a “Segurança DA cloud”
- O utilizador de serviços Cloud assegura a “Segurança NA cloud”
Dependendo do tipo de serviço que usar – IaaS, PaaS ou Saas, as responsabilidades são diferentes. Como utilizador de Cloud, é preciso rever toda a documentação e formação disponibilizados pelo fornecedor de serviços Cloud.
A segurança na Cloud é um conjunto de medidas e tecnologias projetadas para proteger os dados, as aplicações e a infraestrutura contra ameaças externas ou internas.
A segurança e o governance andam de mãos dadas. A segurança lida com identidades e acesso aos recursos, enquanto o modelo de governance define as políticas sobre o uso desses mesmos recursos.
A computação na Cloud tem um impacto nos modelos de governance porque adiciona um terceiro interveniente ao processo (no caso de uma cloud pública) ou pode alterar as estruturas internas de governance (no caso de uma cloud privada). O principal fator a ter em mente ao gerir uma computação na Cloud é que uma organização nunca deve delegar a responsabilidade de governance a terceiros, mesmo ao usar fornecedores externos.
Preocupações de segurança com diferentes modelos de implementação Cloud
Existem diferentes modelos de uma implementação da Cloud. As mais conhecidas são Public Cloud, Private Cloud, ou Hybrd Cloud. As questões de segurança dependem do modelo de implementação escolhido.
Se usar apenas Public Cloud, é aconselhável usar o máximo de ferramentas disponibilizadas pelo seu fornecedor de Cloud para garantir a sua segurança.
Em qualquer modelo, é essencial não esquecer a Gestão de Identidade e Acesso (IAM – Identity and Access Management) e a melhor maneira de o fazer depende do modelo de implementação escolhido.
A Gestão de Identidade e Acesso (IAM) e políticas robustas de ABAC – attribute-based access control -, ou RBAC – role-based access control – são conceitos importantes a serem considerados ao realizar qualquer migração para a Cloud.
Para a Gartner, a IAM é “a disciplina de segurança que permite que os indivíduos certos acedam aos recursos certos, nos momentos certos, pelos motivos certos”.
As organizações são responsáveis por criar planos detalhados para gerir identidades e autorizações na Cloud e tanto ABAC como RBAC são suportados por plataformas de Cloud. RBAC é o modelo tradicional e geralmente depende de um único atributo e é mais fácil de implementar.
Em conclusão
Não existe uma abordagem única para a adoção da Cloud. Cada organização é diferente e muitas vezes a resposta é uma mistura de Cloud e On-premise.
- Tenha a mentalidade certa
- Não copie protocolos de segurança legacy na Cloud
- Adote uma abordagem de confiança zero com recursos de segurança Cloud-native
- Use arquiteturas nativas da Cloud
- Use a service mesh como um plano de controlo central de definição e aplicação de políticas
- Utilize a Identidade como perímetro de segurança em vez da rede
- Monitorize para acompanhar os seus objetivos de negócios
- Automatize a detecção e resposta
- Meça e teste o seu código nos diferentes estágios de implementação para permitir um tempo de lançamento rápido no mercado de uma aplicação segura
Para saber mais sobre segurança na Cloud e outras formas de inovação baseada na Cloud, veja o nosso e-book Accelerating Digital Innovation with Cloud.