.png)
.png)
É possível usar a nuvem para acelerar a inovação e ao mesmo tempo aumentar o seu nível de segurança, protegendo melhor os dados de seus clientes.
Como ponto de partida, é preciso entender que a adoção da nuvem é um catalisador para a transformação digital e também permite às empresas modernizar suas práticas de segurança da informação, entregando melhores produtos e serviços de forma mais ágil e segura.
No entanto, para que isso seja possível é importante entender que a forma de implementar a segurança usando a nuvem deve mudar quando comparamos com a implementação de controles de segurança em ambientes de tecnologia mais tradicionais.
A fim de entendermos essa diferença entre os dois cenários (nuvem versus ambiente tradicional), vou usar uma analogia mais próxima do nosso dia a dia. Quem já teve a experiência de mudar de uma casa para um apartamento sabe que é preciso adequar algumas práticas.
Na verdade, aquilo que você faz não muda - mas o como você faz, muda. Por exemplo, tanto na casa como no apartamento você dorme, come, ouve música, sai, toma banho. Mas para sair do apartamento você precisa provavelmente pegar um elevador, descer a um subsolo, ir até a sua vaga de garagem, esperar o portão abrir e muitas vezes também esperar a saída ou entrada de outro vizinho, ou seja, existem alguns recursos mais compartilhados, que podem inclusive trazer mais agilidade e segurança, mas que precisam ser utilizados adequadamente.
Outro bom exemplo é a necessidade de ser muito mais cauteloso com a perturbação sonora que pode ser gerada pelo simples caminhar mais intenso de alguém pelo apartamento, ou até mesmo um simples arrastar de cadeiras.
Essa analogia nos permite refletir sobre o primeiro princípio fundamental, que chamamos de modelo de responsabilidade compartilhada.
Princípio 1
Entenda profundamente o modelo de responsabilidade compartilhada
No momento que você toma a decisão de utilizar serviços de nuvem, aceita que a responsabilidade de proteger os dados passa a ser compartilhada com o seu provedor de serviços de nuvem.
Ou seja, seu provedor tem a responsabilidade de garantir a segurança dos serviços disponíveis na nuvem, como serviços de armazenamento, rede, servidores virtuais, bancos de dados, correio, ferramentas de colaboração, entre outros. E você tem a responsabilidade de configurar corretamente os recursos utilizados a fim de controlar adequadamente os acessos aos dados que serão processados no ambiente da nuvem.
Esse modelo de responsabilidade compartilhada pode ter pequenas nuances dependendo do tipo de serviço que você usa na nuvem. Por exemplo, se você utiliza servidores virtuais na nuvem para rodar um banco de dados (modelo conhecido como IaaS - Infraestrutura como Serviço), você, como cliente, tem maior responsabilidade na segurança de todos os componentes, desde a aplicação de correções de segurança (patches) nos sistemas operacionais até as configurações de segurança nos bancos de dados, como backup, capacidade, criptografia dos dados e controle de acesso.
No entanto, se você utilizar um banco de dados como serviço na nuvem (modelo conhecido como PaaS – Plataforma como Serviço), o provedor passa a ter maior responsabilidade sobre a segurança dos componentes, desde a aplicação e gerenciamento das correções de segurança (patches) de sistemas operacionais e bancos de dados, e você mantém a responsabilidade de configurar, por exemplo, a criptografia e controle de acesso aos dados.
Ou seja, ao adotar serviços de nuvem, é crucial compreender quais modelos de serviço você está utilizando e as respectivas responsabilidades sua e do provedor em relação à proteção de dados. Essa questão não pode ser negligenciada.
Ao entender o modelo de responsabilidade compartilhada e definir claramente como fazer a segurança na nuvem, você mitiga uma das causas raiz mais comum de eventos de (IN)segurança na nuvem.
De acordo com pesquisa realizada pelo Cloud Security Alliance, os erros de configuração por parte de usuários (clientes) são uma das causas principais de eventos de (IN)segurança na nuvem, ou seja, casos em que existiam controles de segurança que o usuário deveria ter implementado e não implementou, seja por desconhecimento da existência desses recursos na plataforma, premissa equivocada de que seria responsabilidade do provedor ou até mesmo erros na execução da configuração.
Em resumo, ao adotar serviços de nuvem, comece entendendo quais são as responsabilidades do provedor do serviço e as suas responsabilidades frente à proteção dos dados.
Princípio 2
Sempre consulte o engenheiro e o piloto
Se você fosse convidado para pilotar um carro de Fórmula 1, com certeza buscaria falar com um piloto experiente para entender como pilotar e ouviria o time de engenharia da equipe para melhor usufruir dos recursos que o carro dispõe.
Isso é fundamental, pois se você pensar em frear um carro de F1 do mesmo jeito que está acostumado com um carro tradicional, vai perder tempo, prejudicar o carro, e terá uma performance muito aquém do possível.
Ouvir o especialista é fundamental. Ao adotar um serviço de nuvem vale a mesma máxima. Tenha certeza de que quando você adota a nuvem no seu negócio o seu provedor de serviço tem total interesse em que você faça o melhor uso da tecnologia, da forma mais segura possível.
Por isso os provedores de serviço de nuvem normalmente oferecem em suas plataformas diversos serviços de segurança nativos, treinamentos e documentações de melhores práticas.
Se você vai começar a “pilotar” a nuvem, peça ajuda aos engenheiros e pilotos experientes que vão te dar as dicas. Chame seu parceiro de serviços de nuvem e pergunte: como posso ser mais seguro na nuvem? O que tenho que mudar para ser mais ágil e seguro?
Princípio 3
Proteja as credenciais de acesso como se protegem as joias da coroa
Com base na experiência da Amazon Web Services (AWS) apoiando clientes dos mais diversos segmentos tratando eventos de (IN)segurança, posso afirmar que 70% dos casos poderiam ter sido evitados com a implementação de funcionalidades básicas de segurança.
A principal delas se refere a adoção de um segundo fator de autenticação para os usuários, também conhecido como Multi-Factor-Authentication (MFA). Esse recurso traz uma camada de proteção adicional ao acesso, pois em caso de vazamento da senha do usuário, seja por descuido ou até mesmo em virtude de um ataque cibernético, o atacante não consegue obter acesso ao ambiente sem o uso do “token” adicional de acesso.
Os grandes provedores de nuvem oferecem esse recurso muitas vezes sem custo adicional. No caso da AWS é possível implementar esse recurso sem custo, aumentando assim o nível de controle de acesso dos usuários e a proteção aos dados armazenados na nuvem.
Se você usa, por exemplo, um serviço de mensagens instantâneas como o WhatsApp, saiba que é possível habilitar esse recurso de segurança diretamente nas configurações do aplicativo. Para mais detalhes em como configurar, recomendo usar o tutorial disponibilizado aqui pela central de ajuda do Whatsapp. Recomendo que você configure o mais rápido possível esse recurso e faça também uma breve pesquisa entre seus amigos e familiares, para saber quantos ainda estão inseguros por desconhecerem essa funcionalidade.
Princípio 4
Tudo hoje é software, então proteja o “tudo”
Olhe ao seu redor e você verá que já usa a nuvem muitas vezes sem perceber. Quando acessa a rede social você está usando a nuvem, o seu relógio ultra moderno está se conectando com a nuvem e, em muitos casos, as lâmpadas da sua casa, o portão da garagem e até sua TV estão conectados na nuvem a fim de oferecer alguma experiência. E para se conectar esses dispositivos estão utilizando algum software.
Ainda que você seja apenas um usuário final de software e tecnologia, tenha certeza de que está usando sempre a versão mais atualizada. Sabe aquele aviso que aparece no celular pedindo atualização? Então, mantenha os seus dispositivos e softwares sempre com a versão mais atualizada possível. Lembrando que, antes de atualizar, é sempre importante validar que a solicitação de atualização é realmente do fabricante.
A prática é ainda mais importante para quem desenvolve software. De acordo com a pesquisa da Cloud Security Alliance que mencionamos anteriormente, entre as principais causas de eventos de (IN)segurança na nuvem está o desenvolvimento de aplicações inseguras, a exploração de vulnerabilidades já conhecidas e o uso de componentes inseguros de terceiros.
Se você trabalha com o desenvolvimento de software, tenha certeza de que está adotando as melhores práticas de segurança para o desenvolvimento. Entre elas, vale avaliar se a sua aplicação segue as melhores práticas do OWASP.
Essa instituição sem fins lucrativos há vários anos publica um guia de boas práticas de segurança para desenvolvimento de software, conhecido como Top-10 OWASP. Lembre-se que uma API (Application Programming Interface) nada mais é que um software, então se você tem uma API, deve também implementar as melhores práticas de segurança. O OWASP oferece um guia de melhores práticas para desenvolvimento de APIs, que pode ser encontrado aqui.
Para os desenvolvedores também é importante entender quais as dependências de bibliotecas ou componentes de terceiros em seu software, a fim de garantir a atualização desses componentes quando necessário, afinal, se um atacante encontra uma vulnerabilidade em um componente que você usa em seu software, você provavelmente estará vulnerável sem saber.
Nesse cenário vale considerar a adoção de uma estratégia e solução de SBOMs (Software Bill of Materials). Para mais informações consulte esse artigo.
Como diria um grande mestre e amigo, se você esqueceu de tudo o que eu disse, lembre-se que para adotar a nuvem de forma segura você deve:
1. Entender o modelo de responsabilidade compartilhada, e qual é o seu papel e o do provedor de nuvem quanto a segurança dos dados.
2. Pedir ajuda do seu provedor de nuvem a fim de implementar as melhores práticas existentes.
3. Fazer o básico bem-feito, implementando MFA para ontem (caso ainda não tenha feito). Afinal, você deve tratar as identidades digitais como as joias da coroa.
4. Proteger o software, pois tudo é software.