A nuvem traz mais poder de processamento, mais armazenamento e acesso aos dados a qualquer hora, em qualquer lugar – mas se a segurança ainda está acompanhando o crescente investimento nesta tecnologia, há muitos riscos e vulnerabilidades envolvidos. Veja quais são:
Segurança e privacidade de dados: embora os provedores de serviços em nuvem possam ter as melhores práticas e certificações do setor incorporadas em seus programas, sempre há riscos com o armazenamento de dados e arquivos importantes com terceiros ou terceiros.
Vulnerabilidade ao ataque: como todos os componentes da nuvem estão online, sempre há vulnerabilidades envolvidas. E como é um serviço público, muitas vezes qualquer um pode ser instalado sem ter nenhuma habilidade de segurança envolvida.
Troca de fornecedores de nuvem: muitas empresas podem descobrir que precisam trocar de fornecedores de nuvem de tempos em tempos, o que traz riscos durante a migração. As diferenças nas plataformas (e políticas de segurança) podem levar a vazamentos de dados ou lacunas no processo.
Para os invasores, ter dados do usuário e informações confidenciais da empresa em um único lugar representa uma mina de ouro. As ferramentas para encontrar pontos fracos em uma plataforma de nuvem são muito semelhantes àquelas necessárias para penetrar as defesas de segurança corporativa (como consultar servidores e sistemas que precisam de patch ou têm vulnerabilidades conhecidas). Essa preocupação não passou despercebida aos líderes de segurança.
Os firewalls foram implementados para reforçar a segurança de uma empresa, isolando as ameaças, e permitindo com que o funcionamento interno da empresa fluísse da maneira mais tranquila possível, sem interferências externas. Ainda assim, os ataques evoluíram muito nos últimos anos, ao ponto em que invasores ganhassem acesso elevado a sistemas e dados críticos. Ao mesmo tempo, usuários privilegiados são vítimas de várias ofensivas de phishing, com o objetivo de burlar a segurança inicial.
Por conta disso, há um novo modelo que tem transformado continuamente a segurança corporativa: o Zero Trust – que parte da ideia de que nada deve ser confiável e tudo deve ser validado antes de ter acesso à rede.
Para alguns especialistas do setor, o Zero Trust é a chave para permitir que as empresas façam a transição para um ambiente de nuvem pura. A implementação, disse ele, requer “uma abordagem holística” e “não admite erros”.
O perímetro, e uma abordagem em camadas, desapareceu? Não. Os controles em camadas ainda fazem sentido, mas devem ser projetados para evitar complexidade desnecessária.
Muitas violações que ocorrem hoje são aplicativos que residem na nuvem. Frequentemente ouvimos que a causa é uma configuração incorreta do lado do cliente. Então, o que pode ser feito para ajudar a identificar essas configurações incorretas? A primeira coisa, claro, é garantir que haja uma gestão assertiva de credenciais dos aplicativos – e de credenciais utilizadas.
Adaptar sua organização à nuvem não elimina a necessidade de um líder de segurança nem de uma equipe de segurança. Requer que a equipe evolua e se adapte, caso ainda não seja um apoiador de segurança de plataforma em nuvem experiente.