Por Alvaro Santa María, Diretor de IBM Security na América Latina
Depois do ataque massivo ao SolarWinds, que impactou empresas em todo o mundo, surgiu um debate sobre a segurança em nuvem e se a nuvem pública pode ou não ser uma opção mais segura do que uma abordagem de nuvem híbrida.
Ao invés de debater qual abordagem de nuvem é mais segura, a pergunta que devemos fazer é: para qual modelo precisamos desenhar a segurança? Como Diretor de IBM Security na América Latina, acredito que os líderes de tecnologia deveriam estar projetando para a forma como as empresas estão trabalhando hoje, no lugar de restringir os clientes à segurança de um modelo de computação sobre o outro.
O incidente do SolarWinds, por exemplo, aproveitou a ampla cadeia de fornecedores de tecnologia em que as empresas atualmente confiam. O desafio de segurança da cadeia de suprimentos existe há décadas, mas também é apenas um fator que contribui para um problema ainda maior que as equipes de segurança enfrentam hoje: a complexidade.
Em outras palavras, o maior desafio de segurança que enfrentamos hoje não é inerente às próprias tecnologias, mas sim à desconexão entre as estratégias e tecnologias que são usadas para garanti-la.
A complexidade é inimiga da segurança
Os ambientes de nuvem híbrida surgiram como um foco importante para os governos e as empresas, públicas ou privadas, que têm dados críticos e regulados que precisam proteger. De fato, em um estudo recente da Forrester Research, 85% dos responsáveis pelas decisões de tecnologia concordaram que a infraestrutura local on-premises é crítica para suas estratégias de nuvem híbrida.
No entanto, a adoção ad hoc de tecnologias em nuvem criou um cenário complexo para garantir a segurança de recursos de TI dispersos – com lacunas na visibilidade e dados espalhados em diversas ferramentas, na nuvem e infraestrutura on-premises. Esse problema só foi agravado pela implementação apressada de novas ferramentas e recursos na nuvem para a adaptação ao trabalho remoto em meio à pandemia global.
Infelizmente, essa abordagem desconectada é refletida em grande parte das ferramentas de segurança que surgiram para proteger os ambientes de nuvem atuais. Chegamos ao ponto em que as grandes empresas costumam usar entre 50 e 100 ferramentas de segurança distintas de dezenas de fornecedores diferentes.
O problema aqui não são os recursos de nuvem, nem as ferramentas de segurança em si, mas o fato de que as várias peças não estão sendo conectadas com uma abordagem única – criando pontos cegos de segurança e complexidade como resultado.
Um “modelo de nuvem híbrida” bem executado combina parte dos sistemas on-premises existentes de uma empresa com um mix de recursos de nuvem pública e recursos como um serviço e os trata como um. Por sua vez, a segurança também deve ser redesenhada com um único ponto de controle que fornece uma visão holística das ameaças e mitiga a complexidade.
Conectando a segurança através das nuvens
No mundo da nuvem híbrida, tanto a segurança quanto a privacidade de dados tornam-se uma responsabilidade compartilhada entre proprietários de dados, usuários e fornecedores.
Em última instância, muitos dos riscos de segurança que estão sendo apresentados em ambientes de nuvem são resultado do erro humano, combinado com a falta de visibilidade centralizada para encontrar e corrigir essas questões antes que elas sejam prejudiciais. As configurações errôneas de nuvem foram citadas como uma das principais causas de vazamento de dados estudados no relatório Cost of a Data Breach da IBM e do Ponemon Institute, correspondendo a quase 1 em 5 dos vazamentos de dados analisados.
Podem surgir problemas adicionais devido ao mau gerenciamento dos dados. A inovação que mais cresce para tratá-los é chamada de Computação Confidencial. Neste momento, a maioria dos provedores de nuvem promete que eles não acessarão seus dados (eles podem, é claro, ser forçados a quebrar essa promessa por ordem judicial ou outros meios). Isso também significa, por outro lado, que os atores de ameaça poderiam usar esse mesmo acesso para seus próprios fins maliciosos. A Computação Confidencial garante que o provedor de tecnologia em nuvem é tecnicamente incapaz de acessar dados, tornando igualmente difícil para os cibercriminosos acessá-los.
Entender como os atacantes invadem a nuvem também é fundamental para a evolução dos protocolos de segurança. De acordo com uma análise da IBM de incidentes de segurança em nuvem, o caminho mais comum é por meio de aplicativos baseados em nuvem. De fato, a utilização remota de aplicativos em nuvem respondeu por 45% de incidentes de segurança relacionados à nuvem que foram analisados por equipes de resposta de incidentes da IBM X-Force ao longo do ano passado.
Com esses desafios em mente, aqui estão alguns princípios que devem ser considerados para ajudar a projetar a segurança na era da nuvem híbrida:
• Unificar a estratégia. Desenhar uma estratégia integral de segurança na nuvem que abrange toda a organização, desde desenvolvedores de aplicativos, até equipes de TI e de segurança. Também designar políticas claras para recursos em nuvem novos e existentes.
• Escolher a arquitetura adequada. Identificar os dados mais sensíveis e garantir que os controles de privacidade apropriados estão em vigor, até mesmo abaixo do nível de hardware. Considerar recursos técnicos de segurança como a Computação Confidencial e manter uma chave própria, o que faz com que até mesmo o provedor de nuvem não consiga acessar os dados.
• Ter uma abordagem aberta. Garantir que as tecnologias de segurança funcionem de forma eficaz através de ambientes de nuvem híbrida (incluindo on-premises e múltiplas nuvens). Quando possível, alavancar tecnologias e padrões abertos que permitam uma maior interoperabilidade e que possam reduzir a complexidade.
• Automatizar a segurança. Implementar inteligência artificial e automação para maior velocidade e precisão ao responder às ameaças, em vez de depender apenas de reações manuais.
Melhorar a segurança da nuvem para o novo normal é possível, mas é preciso deixar de lado suposições anteriores. Uma visão clara dos desafios de segurança baseados em políticas e os tipos de ameaças direcionados a ambientes em nuvem ajudarão a fazer a mudança para essa nova fronteira. Quando feita corretamente, a nuvem híbrida pode tornar a segurança mais rápida, escalável e mais adaptável.