Segurança na nuvem
Em seu documento Market Insight: Cloud Computing's Drive to Digital Business Creates Opportunities for Providers, o Gartner apontou as previsões do mercado em nuvem para os próximos anos. De acordo com o estudo, em 2020, uma “política corporativa de não adoção do cloud será tão rara quanto uma política de não adoção da internet é hoje”.
Considerando esse cenário certo, vem a pergunta “o que é mais vantajoso para uma empresa: fazer investimentos internos (muitas vezes com pouco conhecimento) ou recorrer a um prestador de serviços especializado? ” Esse questionamento tem levado diversas empresas a considerar a adoção do modelo de cloud computing como alternativa. Netflix é uma delas, que migrou 100% dos seus centros de dados para a Infraestrutura como Serviço (IaaS) em nuvem, algo inimaginável anos atrás.
Se quando o modelo foi lançado a segurança da informação era uma questão que inibia a adoção, hoje esse assunto foi superado. No entanto, alguns pontos devem ser considerados na hora de escolher um provedor. Além dos inúmeros riscos aos quais as empresas que adotam o modelo não estão imunes, é preciso lembrar que em ambientes virtualizados existe a possibilidade de replicar as máquinas virtuais dentro da rede e se as mesas estiverem infectadas, pode ocorrer uma proliferação de malwares em todo o ambiente.
Políticas e Procedimentos
Cada área citada abaixo deve ser contextualizada no ambiente de nuvem para uso operacional, cada qual com suas peculiaridades:
Todo perigo pode ser limitado com o cumprimento dos procedimentos de segurança corporativos. As empresas que contratarem um serviço de nuvem devem certificar-se de que a empresa contratada é madura e preparada o suficiente para enfrentar os perigos cibernéticos, que estão cada vez mais emergentes e desafiadores.
Tipos de ataques
- Malware: Um relatório do departamento de sistemas de tecnologia na East Carolina University descreve trechos de código ou scripts inteiros que podem ser injetados nos serviços em nuvem como qualquer outro software (neste caso a referência aqui é para o SaaS) e que permitem a possibilidade de comprometer a integridade dos dados.
- Denial of Service: Tipo de ataque que tem como objetivo tornar inacessível um recurso web como IaaS ou SaaS. Como pode acontecer com qualquer empresa, aquela que hospeda serviços em nuvem está sujeita a esse tipo de ataque que pode ocasionar indisponibilidades dos serviços lá hospedados. Por tanto, é importante aferir se o provedor dispõe de soluções Anti-DDoS.
- Ameaças internas: Técnica de sequestro (Hijack) é quando o atacante usa as credenciais de um colaborador para acessar informações armazenadas na nuvem. Um problema que está se expandindo junto com a adoção da nuvem e que não poupou nem mesmo a Amazon. Em um ambiente comprometido é possível que seja feito upload de malware. Assim como nas redes físicas próprias, outro tipo de ameaça é um colaborador descuidado disponibilizar a terceiros as suas credenciais de acesso à rede corporativa.
Recomendações
Uma vez que muitos ataques são usados para servidores e recursos da web, é necessário que a empresa contratada como provedor de nuvem seja capaz de proteger sua infraestrutura, utilizando as ferramentas mais modernas de Segurança da informação. Já internamente, quem usa recursos de nuvem deve impor políticas e regulamentos a serem seguidos em quaisquer ambientes corporativos, seguindo certificações, procedimentos e exigências de mercado.
As empresas que planejam utilizar os serviços de nuvem devem atentar em como utilizar a nuvem corretamente, porque não há apenas um tipo de ameaça, como não há apenas um tipo de defesa. A detecção de ameaças não pode ser feita somente com tarefas e processos manuais, que podem levar tempo para identificar e corrigir vulnerabilidades. Estude as soluções que pretende implementar no seu ambiente e valide as tecnologias da empresa contratada que está provendo o serviço de nuvem para o seu negócio.
Para os provedores, existem recomendações que devem ser seguidas como utilizar soluções de inteligência (SIEM) de modo a identificar e remediar rapidamente incidentes, utilizar criptografia, adotar autenticação avançada e não se contentar apenas com conexão SSL, que não é totalmente imune ao ataque de man-in-the-middle.
A segurança depende de todos.