Qual é o papel da segurança na nuvem na inovação?

A segurança desempenha um papel fundamental na inovação porque permite a geração de novos negócios e de novos modelos, como a integração da força de trabalho ao teletrabalho, que tanto tem ajudado a minimizar o impacto económico da pandemia COVID-19 em nível mundial.

No caso específico da utilização de nuvens, a segurança permite também a integração dos ambientes multicloud e on-premise da empresa, como se fossem uma única rede, por meio da utilização de uma VPN.

E por que a nuvem é tão importante? Porque a nuvem oferece um ambiente dinâmico e ágil que permite reduzir os tempos de teste e de lançamento no mercado, e escalar rapidamente se necessário. Tudo isso sem grandes investimentos iniciais.

Um relatório da McKinsey de 2019 mostra que para 85% dos CIOs e CTOs, a nuvem é essencial em pelo menos dois de seus objetivos de negócios, que são acelerar a receita e melhorar o tempo de saída para o mercado.

No entanto, o uso da nuvem implica uma expansão da superfície de ataque. Não temos mais que proteger apenas nossa infraestrutura, mas também a da nuvem. Hoje vemos empresas que possuem infraestruturas próprias agregadas a diferentes nuvens públicas e privadas, com dados e aplicativos se movendo entre elas, o que se chama de ambientes híbridos. Isso cria não apenas uma superfície de ataque maior, mas também uma superfície de ataque heterogênea e dinâmica.

É hora de fazer algumas perguntas:

Qual é a responsabilidade dos provedores de nuvem pela segurança?

Para esclarecer esse ponto, é interessante revisar o modelo de responsabilidade compartilhada. Fica claro que quando a infraestrutura é própria ou on-premise, é preciso se responsabilizar por todas as camadas: segurança física, conectividade de rede, ambiente de virtualização, sistemas operacionais, controle de informações e acesso, entre outras.

Quando revisamos o que é software como serviço (SaaS), a responsabilidade que temos como clientes da nuvem é ter visibilidade do que está acontecendo, ou seja, o que nossos usuários fazem na nuvem, o que chamamos de controle de plataforma.

Quando nos concentramos em ambientes de infraestrutura como serviço (IaaS), o provedor de nuvem é responsável por não afetar sua camada de rede ou a camada de virtualização, enquanto o resto permanece sob a responsabilidade de quem contrata os serviços de nuvem. Entre essas responsabilidades estão, por exemplo, a gestão de sistemas operacionais e sua segurança, aplicativos, controle de acesso e gerenciamento de informações.

Para reforçar este último conceito, um relatório do Gartner indica que, em 2025, 99% das violações de segurança na nuvem ocorrerão devido a falhas atribuíveis aos clientes. 

Quais são as recomendações a serem consideradas em termos de segurança na nuvem?

Quando falamos sobre segurança em esquemas IaaS, devemos levar em consideração três componentes.

• Segurança de rede: como nos conectaremos à nuvem e como usaremos os serviços que estão implantados nela. Devemos também entender como nossa rede e usuários estarão interconectados à tal nuvem. Será por VPN ou acesso público, quais protocolos devem ser permitidos? Devemos também entender os esquemas dentro de cada nuvem. Haverá várias redes ou domínios que precisam se enxergar e como podemos limitar os ataques dentro da nuvem?
• Segurança de aplicativos: é importante considerar se teremos serviços web publicados, quais aplicativos devemos proteger e se também devemos proteger servidores por meio de mecanismos IPS. Vale destacar a integração via API, que não para de crescer e, conseqüentemente, seus requisitos de segurança.
  
• Visibilidade e controle da plataforma: deve incluir suas configurações, atividades do usuário, análise de tráfego, segurança da informação e seus movimentos, e ser capaz de determinar seu estado de conformidade em termos de recomendações e regulamentos de segurança da informação.

O valor da segurança integrada

Um ponto crucial é que as ferramentas de segurança permitam a visualização e a gestão unificadas, bem como a integração e automatização dos diferentes componentes das várias nuvens. Lembremos que uma característica da nuvem é o seu dinamismo, portanto as ferramentas devem permitir que essa velocidade seja acompanhada e deve fazê-lo com segurança e coerência com a postura de segurança para o resto da organização.

"Qualquer aplicativo em qualquer lugar, a mesma segurança em todas as partes." Essa frase tem que ser verdadeira para todas as empresas. Outro aspecto fundamental é ter a capacidade de integrar nuvens com ambientes privados por meio do uso de VPN ou mesmo via SD-WAN para fazer um uso mais eficiente dos serviços de conectividade e obter uma melhor experiência para as aplicações.

A possibilidade de gerenciar diferentes soluções para cada plataforma de forma integrada, em conjunto com a automação, nos permite ter posições consistentes para toda a nossa superfície de ataque, facilita o gerenciamento e reduz o custo total de propriedade (TCO). Essas soluções permitem às empresas inovar de forma ágil e segura.

Inovar sem levar em conta a segurança pode levar todo o trabalho realizado e o sucesso de uma empresa ao colapso diante de um ataque ou violação de segurança detectada. Uma vulnerabilidade pode trazer perdas de ativos muito importantes para a empresa e afetar fortemente a marca e seus clientes.