Em artigo, Gustavo Souza, fala sobre os processos de segurança na computação em nuvem
Quando digitamos desafios da segurança em computação em nuvem no Google conseguimos pelo menos 1.100.000 menções, um número impressionante para um tema relativamente novo. Esta constatação foi definitiva para a minha decisão de como abordar a questão: buscar uma abordagem simples de como controlar estas iniciativas de segurança na nuvem.
A área de tecnologia da informação cada vez mais busca atender as necessidades de negócio das empresas, sendo responsável por proporcionar ambientes de alta performance, disponibilidade e segurança. A demanda pela computação em nuvem é diretamente ligada aos dois primeiros pilares e o hype está sendo inversamente ligada ao pilar de segurança. Apesar disso, esta nova maneira de comprar e usar tecnologias de ponta será usada pelas empresas em seus negócios.
Se considerarmos que a computação em nuvem é a capacidade de comprarmos a operação de TI de forma similar a qual compramos energia elétrica, podemos dizer que o formato de aferição do serviço e seus controles são idênticos aos relógios de medição elétrica que temos em nossas residências. Ou seja, tudo o que enxergamos do complexo no ambiente são medidores que nos permitem verificar o quanto consumimos, qual foi a disponibilidade dos serviços, sua latência e qualidade. Estas ferramentas cumprem a função de apresentar e dar certo nível de controle aos pilares de performance e disponibilidade (não obstante ao ocorrido com o serviço de nuvem da Amazon em Abril deste ano).
Quando falamos de segurança, historicamente falamos de controles de perímetros ligados a terceiros ou à Internet, sendo trivial afirmar que estamos “protegendo o ambiente do inimigo externo”, investindo em firewalls, VPNs, antispams etc. Com a computação em nuvem essa barreira externa não existe mais. Agora precisamos pensar na proteção de todo o ambiente, em especial máquinas remotas como notebooks e tablets, bem como em smartphones. Além disso, a preocupação com riscos em fatores como autenticação, armazenamento segregado e seguro, WEB APIs e usuários internos dos provedores de serviços, passam a figurar na lista dos gestores da companhia. É importante frisar que computação em nuvem é “COMO” uma empresa utiliza a tecnologia, ou seja, grande parte destas preocupações já deveriam fazer parte da rotina da empresa, mas agora adicionamos um novo custodiante dos dados da companhia.
O fator fundamental para as empresas é entender que podemos contratar a operação de TI em qualquer lugar, porém não podemos delegar a responsabilidade pelo controle das informações de negócio. Desta maneira, é necessário definir claramente a estratégia de controle dos aspectos de segurança para a computação em nuvem, que pode ser realizado de duas maneiras: Confiar nos controles de segurança apresentados pelos provedores de serviços e atestados por empresas externas especializadas e baseados em práticas como ISO 27001, PCI, FISMA e outros; ou implantar mecanismos tecnológicos no ambiente do provedor de serviços de computação em nuvem, tais como agentes de prevenção de intrusos, sistemas de prevenção de vazamento de dados, agentes de controle de configuração e armazenamento de dados e até contratar empresas de segurança que atuam como um centralizador do acesso seguro (proxy), assegurando que os usuários da companhia apenas acessem o provedores a partir de origens controladas e seguras. Estes mecanismos são acompanhados por plataformas e dashboards de controle independentes.
A certeza que tenho é que, assim como evoluímos os mecanismos de segurança mainframe e seus terminais burros para LAN/WAN e computação distribuída, certamente aprenderemos a conhecer e controlar as ameaças da operação “na nuvem”, mantendo os riscos em níveis aceitáveis pela companhia. É apenas uma questão de tempo.
*Gustavo Souza, é CTO da Automatos, que está entre as três maiores empresas brasileiras de software. A Automatos atua com computação em nuvem há dez anos.
**As opiniões dos artigos/colunistas aqui publicadas refletem unicamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da IT Mídia ou quaisquer outros envolvidos nesta publicação
ð Você tem Twitter? Então, siga http://twitter.com/IT_Web e fique por dentro das principais notícias de TI e telecom.
