Segurança na Nuvem x Segurança da Nuvem

Segurança na nuvem x segurança da nuvem

Estas duas versões da Segurança soam como se fossem apenas maneiras diferentes de dizer a mesma coisa, mas são duas formas distintas de segurança.

Gosto de corrigir quem diz que Cloud Services é a realidade de amanhã, acho que já é a realidade de ontem, ou pelo menos de hoje. Na verdade, até o ano de 2019, 90% das empresas estavam na nuvem (Fonte: 451research.com), seja com um pé lá ou all-in.

Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform e outras plataformas de nuvem pública, fornecem muitos benefícios para as organizações, permitindo que sejam mais responsivas, disponíveis, econômicas e tenham um tempo de lançamento no mercado muito mais rápido.

A nuvem também fornece muitos novos recursos de segurança (identidade forte e gerenciamento de acesso, imposição de políticas, segurança em camadas, proteção contra ameaças), mas isso não significa que as organizações não devam se preocupar com a segurança em sua AWS, Azure, GCP ou outro ambiente de plataforma.

O Gartner estima que até 2025, 99% das falhas de segurança na nuvem serão por culpa do cliente . Este é um tipo de fato chocante.

A AWS até inventou o agora famoso modelo de responsabilidade compartilhada para educar os clientes sobre esses riscos e seu papel na proteção de suas cargas de trabalho, mas parece que a maioria das organizações ainda não entendeu e ainda não entende a diferença entre Segurança na nuvem x Segurança da nuvem.

Este último é o que devemos entender melhor e dominar para mostrar até o ano de 2025 que o Gartner estava errado

Qual é a diferença e por que você deve se importar?

Eles também representam a mudança em curso na mentalidade dos modernos profissionais de segurança de TI.

Segurança DA Nuvem:

• refere-se à segurança da própria nuvem para executar aplicativos, armazenar dados e processar transações,
• envolve os procedimentos e a tecnologia que protegem os ambientes de computação em nuvem contra ameaças internas e externas de cibersegurança,
• ao usar uma nuvem pública, os dados e aplicativos são hospedados por terceiros, enquanto na TI tradicional a maioria dos dados é mantida em uma rede autocontrolada.

Segurança NA nuvem:

• refere-se à segurança e conscientização dos usuários que usam a computação em nuvem para armazenar, processar e trocar dados,
• como ao usar Gmail, Microsoft Office 365 e outros aplicativos que operam na nuvem, nenhum fornecedor pode proteger sua conta se você fornecer sua senha a um estranho,
• organização como o proprietário do aplicativo/produto é responsável por proteger aplicativos, serviços da web, acesso ao armazenamento, sistema operacional, infraestrutura de suporte e outros ativos executados na nuvem,
• as organizações que dependem exclusivamente da segurança integrada de um fornecedor de nuvem estão expondo sua organização a riscos desnecessários.

Mude da segurança tradicional baseada em perímetro para a segurança baseada em dados

A principal razão pela qual as organizações ainda enfrentam violações de segurança e, especialmente, aquelas causadas simplesmente pela configuração incorreta da nuvem, é que os profissionais de segurança de TI ficam para trás na mudança da TI tradicional para a TI orientada para a nuvem e a mobilidade.

O que está impulsionando a mudança?

Na maioria das organizações, a vida antes da nuvem, BYOD e mobilidade eram assim:

A TI das organizações tinha um perímetro bem definido, que podia ser devidamente resguardado

• os recursos da organização foram acessados ​​apenas por meio de dispositivos e redes gerenciados,
• apenas aplicativos sancionados foram instalados pela TI,
• A TI tinha camadas de defesas que protegiam a infraestrutura interna, os recursos e os aplicativos de negócios,
• A TI tinha um perímetro de segurança conhecido e visibilidade total.

Atualmente, uma organização típica com usuários habilitados para nuvem e mobilidade se parece com isso:

O perímetro de TI das organizações é confuso e seus dados estão espalhados em muitos locais diferentes

• o usuário agora pode (e precisa) acessar dados de qualquer lugar,
• o usuário agora pode (e deseja) escolher aplicativos, o que às vezes traz para TI não sancionada/sombra,
• os dados são amplamente compartilhados por usuários e aplicativos em nuvem (os usuários decidem como compartilhar dados),
• A TI tem visibilidade e proteção bastante limitadas dos dados da organização.

O foco muda do perímetro para os dados que precisam ser protegidos

A extinção do perímetro de TI claro da organização, mencionada acima, força a mudança do foco da segurança baseada em perímetro para a segurança focada em dados.

Modelo de responsabilidade compartilhada

Ok, agora sabemos que precisamos cuidar de nossos dados na nuvem, mas a próxima coisa importante a entender é o nível de responsabilidade que a organização compartilha com seu fornecedor de nuvem.

Não é segredo, mas a maioria das organizações não entende o nível de responsabilidade de segurança que mantêm por conta própria enquanto estão na nuvem.

Já mencionei o modelo de responsabilidade compartilhada, que é muito bem definido pela AWS e agora por todos os provedores de nuvem pública. Para ficar ainda mais fácil de entender, sempre gosto da famosa comparação com a “Pizza as a Service”, que você encontra de várias formas pela internet.

Modelo de responsabilidade compartilhada da nuvem simplificado

Recomendamos fortemente que você dê uma olhada nos modelos de responsabilidade compartilhada fornecidos pelos provedores de nuvem pública mais populares:

• AWS: https://aws.amazon.com/compliance/shared-responsibility-model/
• Microsoft: https://docs.microsoft.com/en-us/azure/security/fundamentals/shared-responsibility
• Google: https://services.google.com/fh/files/misc/gcp_pci_srm__apr_2019.pdf

Alguns próximos artigos relacionados

Se você achou este artigo interessante, talvez queira voltar aqui mais tarde, porque vou postar alguns artigos relacionados sobre: