Para os iniciantes em tecnologias da informação (TI), falar “computação na nuvem” pode até soar estranho, visto que é natural imaginarmos, ao ler tal termo, uma série de computadores flutuando a quilômetros de distância acima de nossas cabeças. O termo, porém, nada tem a ver com as nuvens reais em si — chamamos de cloud computing o fornecimento sob demanda de poder computacional para fins profissionais.
Houve um tempo em que, caso você quisesse criar um empreendimento eletrônico, era necessário criar um servidor em seu próprio escritório para armazenar documentos digitais e executar sistemas corporativos. Além do custo de manter essa infraestrutura localmente (gastos com energia elétrica, preocupações com segurança física etc.), também era necessário realizar atualizações de hardware de tempos em tempos.
Ainda assim, por mais que a nuvem seja, de fato, um divisor de águas na
computação pessoal e profissional, existe muita desinformação a respeito
da segurança cibernética da cloud computing. Pensando nisso, eu criei este post para ajudar a desmistificar alguns mitos que permeia entre nós, se você está pensando em migrar seus serviços para nuvem veja abaixo.
1) A nuvem é mais segura por padrão
Sim e não. Por conta de sua natureza descentralizada, a nuvem lhe tira de alguns riscos cibernéticos envolvidos em servidores on-premise que estejam dentro de seu perímetro de rede (como ameaças físicas). Porém, isso não significa que ela seja perfeita em segurança. Jamais devemos nos esquecer de que a nuvem nada mais é do que um computador localizado em algum lugar, e, como tal, precisa ser configurado corretamente.
Você se lembra das diversas notícias a respeito de vazamentos de dados ocasionados por servidores mal configurados? Isso ocorre porque os responsáveis pelo ajuste de tais ambientes na nuvem se esquecem de aplicar as diretrizes padrão apropriadas para garantir que os dados lá dentro estejam acessíveis apenas para quem estiver devidamente autorizado para tal.
O mesmo acontece com os SaaS. Muitas violações de privacidade acontecem por puro descaso com os responsáveis por configurar esses softwares remotos. Já foram registrados casos em que, por exemplo, uma empresa acabou vazando informações sensíveis sobre suas operações por configurar um painel da plataforma corporativa Trello como público, permitindo que seus registros fossem indexados pelo Google e disponibilizando-os para pesquisas.
No geral, a nuvem é, por natureza, mais segura do que servidores on-premise sim, mas o administrador ainda precisa configurá-la corretamente para evitar dores de cabeça.
2) A culpa de incidentes na nuvem é do meu provedor
Este é um mito que deriva da desinformação anterior. Administradores de TI costumam chegar a uma conclusão muito simplista: “se os computadores não são meus, a responsabilidade por incidentes cibernéticos também não é; é tudo responsabilidade do meu servidor”. Não funciona assim. A maioria dos fornecedores de soluções na nuvem trabalham com o que chamamos de modelo de responsabilidade compartilhada.
O fornecedor garante apenas a segurança da camada física da nuvem — ou seja, ele deve garantir que os computadores em si, localizados em algum lugar do globo, sejam impenetráveis, não sofram indisponibilidades por falta de energia elétrica (por exemplo) e assim por diante). Porém, esse modelo de responsabilidade ressalta que as corretas configurações devem ficar a cargo do cliente.
Sendo assim, se ficar provado que um vazamento foi ocasionado porque
algum agente malicioso invadiu os sistemas de seu fornecedor, a culpa é
dele; se ficar provado que o vazamento foi ocasionado porque você não
aplicou as devidas configurações ou foi negligente em relação ao uso de
ferramentas de segurança, a culpa é sua.
3) Proteger a nuvem é como proteger um servidor comum
Não mesmo! Se um servidor on-premise demanda um firewall e de uma solução antivírus para ser protegido contra ataques cibernéticos, o mesmo não pode ser dito de servidores na nuvem. Como estamos falando de ativos e sistemas remotos, acessíveis em qualquer lugar do mundo e a partir de qualquer dispositivo, o mais desafiador — e importante! — na hora de repensar sua estratégia de segurança é focar na proteção da identidade.
A “identidade” que citamos aqui é nada mais e nada menos do que o usuário. Se a credencial usada por um funcionário para acessar um cofre de documentos sensíveis for roubada, o criminoso também poderá acessar esse cofre de qualquer lugar e a partir de qualquer dispositivo, tal como o seu colaborador, “desfrutando” da descentralização da nuvem. Por isso, a correta administração de credenciais é tão importante.
Com o aumento de popularidade da nuvem por conta da crise da COVID-19, uma estratégia que vem tomando tração é do zero trust (confiança zero). Nessa abordagem, utilizamos uma plataforma que intermedeia a nuvem e o cliente (ou seja, dispositivo usado pelo funcionário para acessar os ativos e sistemas). Essa plataforma usa inteligência artificial para detectar eventuais violações de segurança em tempo real, sendo capaz até mesmo de identificar atores maliciosos por conta de padrões comportamentais.
4) A visibilidade é melhor na nuvem
Para proteger bem seus ativos, é necessário saber quantos ativos você tem, onde eles estão e assim por diante. Muitos iniciantes acreditam que a nuvem lhe dará uma visibilidade melhor sobre tal assunto, mas a verdade nem sempre é essa. A nuvem é um ambiente complexo, sendo necessário contabilizar a quantidade de contas que você possui, gerenciar permissões e até garantir a conformidade com legislações específicas de seu setor.
5) Eu não preciso de ajuda para proteger minha nuvem
Isto pode ser um mito ou uma verdade — depende de cada caso. A nuvem não é uma tecnologia nova, mas, ainda assim, são poucos os profissionais que aprenderam a lidar com ela. O mercado ainda sofre uma carência muito grande de mão-de-obra especializada em segurança da informação, e, quando falamos sobre "infraestruturas-como-serviço" ("infrastructure-as-a-service" ou IaaS), a situação piora.
Se a sua equipe conta com profissionais capazes de gerenciar a nuvem apropriadamente, ótimo. Caso contrário, existem diversas plataformas automatizadas e até mesmo provedores de serviços gerenciados de segurança (Managed Security Services Provider ou MSSP) que podem lhe ajudar com essa tarefa. Neste segundo caso, você terceiriza uma equipe inteira dedicada a proteger seu ambiente na nuvem.
Isso garante não apenas a proteção dos dados armazenados remotamente, mas também ajuda a identificar eventuais contratações desnecessárias (por exemplo, mais poder computacional do que você realmente precisa), o que acaba gerando uma economia no final do mês.
6) Dados na nuvem são mais difíceis de controlar
Muitos gestores evitam a nuvem por acreditar piamente que, ao migrar toda a sua operação para uma infraestrutura remota, “perderá” o controle sobre seus ativos. É uma preocupação válida, especialmente para empresas que atuam em países ou segmentos que restringem o processamento de dados em servidores fora do país. Trata-se, contudo, de um mito, já que as informações continuam sendo suas e, usando os recursos corretos, pode até ser mais fácil de monitorar do que um servidor on-premise.
Vale lembrar ainda que, embora o mercado já ofereça uma série de nuvens públicos que agilizam seu trabalho (como o Web Services da Amazon, o Azure da Microsoft e o Cloud da Google), também é possível optar por nuvens privadas. Nesse modelo, seu fornecedor elabora uma infraestrutura remota exclusiva para você, onde você quiser e do jeito que precisar. É a forma mais fácil de garantir conformidade com regulações rígidas de processamento de dados digitais.