6 mitos e verdades sobre segurança cibernética na nuvem

Para os iniciantes em tecnologias da informação (TI), falar “computação na nuvem” pode até soar estranho, visto que é natural imaginarmos, ao ler tal termo, uma série de computadores flutuando a quilômetros de distância acima de nossas cabeças. O termo, porém, nada tem a ver com as nuvens reais em si — chamamos de cloud computing o fornecimento sob demanda de poder computacional para fins profissionais.

• Engenharia social: o que é e como não ser vítima?
• Os 5 ataques de phishing mais explorados de 2020
• Banco de dados malconfigurado expôs 500 mil documentos de seguradora

Houve um tempo em que, caso você quisesse criar um empreendimento eletrônico, era necessário criar um servidor em seu próprio escritório para armazenar documentos digitais e executar sistemas corporativos. Além do custo de manter essa infraestrutura localmente (gastos com energia elétrica, preocupações com segurança física etc.), também era necessário realizar atualizações de hardware de tempos em tempos.

Hoje, esses servidores (que ganharam o título de on-premise) estão aos poucos sendo substituídos pela nuvem. O motivo? A nuvem é mais barata, escalável e flexível. Você contrata o quanto de poder computacional e/ou de armazenamento que precisar, paga uma mensalidade fixa (logo, um custo previsível) e pode realizar upgrades quando quiser, de forma instantânea. Tudo isso sem precisar se preocupar com manutenção de máquinas.

Cada vez mais famosa

E se ela já era popular, a nuvem entrou em seus “tempos de glória” em 2020. Com a crise da COVID-19, os funcionários foram trabalhar em casa e as empresas tiveram que se adaptar para permitir o acesso remoto a documentos e sistemas corporativos. A nuvem, por ser um poder computacional distribuído, permite que você acesse seus recursos e ativos de qualquer lugar do mundo e a qualquer hora. Basta ter uma conexão com a internet.

Isso, é claro, sem falar de outras facilidades que a nuvem nos proporcionou, como os "softwares-como-serviço" ("software-as-a-service" ou SaaS). Estamos falando de plataformas como Google Docs, Slack, Trello, Canva… Você não precisa mais instalar um programa na sua máquina para trabalhar. Está tudo na nuvem, logo, acessível onde e quando for necessário. Isso significa maior liberdade para o profissional atuar.

Ainda assim, por mais que a nuvem seja, de fato, um divisor de águas na computação pessoal e profissional, existe muita desinformação a respeito da segurança cibernética da cloud computing. Pensando nisso, o Canaltech resolveu desvendar alguns mitos que permeiam o assunto, explicando os prós — e alguns contras — caso você também esteja pensando em migrar para uma operação 100% baseada em nuvem.

1) A nuvem é mais segura por padrão

Sim e não. Por conta de sua natureza descentralizada, a nuvem lhe tira de alguns riscos cibernéticos envolvidos em servidores on-premise que estejam dentro de seu perímetro de rede (como ameaças físicas). Porém, isso não significa que ela seja perfeita em segurança. Jamais devemos nos esquecer de que a nuvem nada mais é do que um computador localizado em algum lugar, e, como tal, precisa ser configurado corretamente.

Você se lembra das diversas notícias a respeito de vazamentos de dados ocasionados por servidores mal configurados? Isso ocorre porque os responsáveis pelo ajuste de tais ambientes na nuvem se esquecem de aplicar as diretrizes padrão apropriadas para garantir que os dados lá dentro estejam acessíveis apenas para quem estiver devidamente autorizado para tal.

O mesmo acontece com os SaaS. Muitas violações de privacidade acontecem por puro descaso com os responsáveis por configurar esses softwares remotos. Já foram registrados casos em que, por exemplo, uma empresa acabou vazando informações sensíveis sobre suas operações por configurar um painel da plataforma corporativa Trello como público, permitindo que seus registros fossem indexados pelo Google e disponibilizando-os para pesquisas.

No geral, a nuvem é, por natureza, mais segura do que servidores on-premise sim, mas o administrador ainda precisa configurá-la corretamente para evitar dores de cabeça.

2) A culpa de incidentes na nuvem é do meu provedor

Este é um mito que deriva da desinformação anterior. Administradores de TI costumam chegar a uma conclusão muito simplista: “se os computadores não são meus, a responsabilidade por incidentes cibernéticos também não é; é tudo responsabilidade do meu servidor”. Não funciona assim. A maioria dos fornecedores de soluções na nuvem trabalham com o que chamamos de modelo de responsabilidade compartilhada.

O fornecedor garante apenas a segurança da camada física da nuvem — ou seja, ele deve garantir que os computadores em si, localizados em algum lugar do globo, sejam impenetráveis, não sofram indisponibilidades por falta de energia elétrica (por exemplo) e assim por diante). Porém, esse modelo de responsabilidade ressalta que as corretas configurações devem ficar a cargo do cliente.

Sendo assim, se ficar provado que um vazamento foi ocasionado porque algum agente malicioso invadiu os sistemas de seu fornecedor, a culpa é dele; se ficar provado que o vazamento foi ocasionado porque você não aplicou as devidas configurações ou foi negligente em relação ao uso de ferramentas de segurança, a culpa é sua.

3) Proteger a nuvem é como proteger um servidor comum

Não mesmo! Se um servidor on-premise demanda um firewall e de uma solução antivírus para ser protegido contra ataques cibernéticos, o mesmo não pode ser dito de servidores na nuvem. Como estamos falando de ativos e sistemas remotos, acessíveis em qualquer lugar do mundo e a partir de qualquer dispositivo, o mais desafiador — e importante! — na hora de repensar sua estratégia de segurança é focar na proteção da identidade.

A “identidade” que citamos aqui é nada mais e nada menos do que o usuário. Se a credencial usada por um funcionário para acessar um cofre de documentos sensíveis for roubada, o criminoso também poderá acessar esse cofre de qualquer lugar e a partir de qualquer dispositivo, tal como o seu colaborador, “desfrutando” da descentralização da nuvem. Por isso, a correta administração de credenciais é tão importante.

Com o aumento de popularidade da nuvem por conta da crise da COVID-19, uma estratégia que vem tomando tração é do zero trust (confiança zero). Nessa abordagem, utilizamos uma plataforma que intermedia a nuvem e o cliente (ou seja, dispositivo usado pelo funcionário para acessar os ativos e sistemas). Essa plataforma usa inteligência artificial para detectar eventuais violações de segurança em tempo real, sendo capaz até mesmo de identificar atores maliciosos por conta de padrões comportamentais.

4) A visibilidade é melhor na nuvem

Para proteger bem seus ativos, é necessário saber quantos ativos você tem, onde eles estão e assim por diante. Muitos iniciantes acreditam que a nuvem lhe dará uma visibilidade melhor sobre tal assunto, mas a verdade nem sempre é essa. A nuvem é um ambiente complexo, sendo necessário contabilizar a quantidade de contas que você possui, gerenciar permissões e até garantir a conformidade com legislações específicas de seu setor.

5) Eu não preciso de ajuda para proteger minha nuvem

Isto pode ser um mito ou uma verdade — depende de cada caso. A nuvem não é uma tecnologia nova, mas, ainda assim, são poucos os profissionais que aprenderam a lidar com ela. O mercado ainda sofre uma carência muito grande de mão-de-obra especializada em segurança da informação, e, quando falamos sobre "infraestruturas-como-serviço" ("infrastructure-as-a-service" ou IaaS), a situação piora.

Se a sua equipe conta com profissionais capazes de gerenciar a nuvem apropriadamente, ótimo. Caso contrário, existem diversas plataformas automatizadas e até mesmo provedores de serviços gerenciados de segurança (Managed Security Services Provider ou MSSP) que podem lhe ajudar com essa tarefa. Neste segundo caso, você terceiriza uma equipe inteira dedicada a proteger seu ambiente na nuvem.

Isso garante não apenas a proteção dos dados armazenados remotamente, mas também ajuda a identificar eventuais contratações desnecessárias (por exemplo, mais poder computacional do que você realmente precisa), o que acaba gerando uma economia no final do mês.

6) Dados na nuvem são mais difíceis de controlar

Muitos gestores evitam a nuvem por acreditar piamente que, ao migrar toda a sua operação para uma infraestrutura remota, “perderá” o controle sobre seus ativos. É uma preocupação válida, especialmente para empresas que atuam em países ou segmentos que restringem o processamento de dados em servidores fora do país. Trata-se, contudo, de um mito, já que as informações continuam sendo suas e, usando os recursos corretos, pode até ser mais fácil de monitorar do que um servidor on-premise.

Vale lembrar ainda que, embora o mercado já ofereça uma série de nuvens públicos que agilizam seu trabalho (como o Web Services da Amazon, o Azure da Microsoft e o Cloud da Google), também é possível optar por nuvens privadas. Nesse modelo, seu fornecedor elabora uma infraestrutura remota exclusiva para você, onde você quiser e do jeito que precisar. É a forma mais fácil de garantir conformidade com regulações rígidas de processamento de dados digitais.

Migrar ou não migrar? Eis a questão

É preciso levar todos esses pontos em consideração antes de migrar para a nuvem. Não há dúvidas de que IaaS e SaaS são mais práticos (e até mais baratos) para a nossa realidade atual, mas não podemos jamais cometer deslizes quando o assunto é segurança da informação. Por isso, ao levar seu material para armazenamento remoto, planeje sua infraestrutura, tendo sempre em vista a proteção de dados sigilosos. E lembre que será necessário adaptar sua estratégia de proteção para um ambiente totalmente diferente do que você estava acostumado.