Cloud Computing: a segurança pode ser melhor na nuvem?

Ultima matéria minha no site Imasters

Segundo especialistas, importantes mudanças tecnológicas surgem a cada 20 anos, e a Cloud Computing é uma delas. Esta mudança representa uma oportunidade para melhorar ainda mais a segurança, porém, ao mesmo tempo, representa a possibilidade de piorar as coisas, empurrando aplicações vulneráveis e dados para a web.

Quando falamos sobre Cloud Computing (computação em nuvem) podemos fazer uma analogia simples, por exemplo: uma empresa ou pessoa não precisar ter mais nenhum software instalado em sua máquina, pois o acesso a todo e qualquer recurso será via internet (nuvem).

Com essa nova tecnologia, a computação se tornará um serviço público, e podemos afirmar que é a maior mudança que a Internet nos trouxe até hoje, pois, devido ao crescimento desordenado e, consequentemente, inseguro da internet, não é sempre que temos uma oportunidade de utilizar uma plataforma inteiramente nova e segura. Se desenvolvermos a nossa infraestrutura de uma forma organizada e pensada, creio que as empresas vão realmente ter mais controle nas nuvens.

Com o uso da virtualização, as nuvens permitirão que haja segurança em grande escala e significativa redução de custos. No entanto, a computação em nuvem também traz novos riscos para aplicações, dados e Data Centers.

Devemos lembrar, também, que existe ainda muita confusão sobre o que é realmente a computação em nuvem. A maioria das pessoas está familiarizada com a nuvem pública, como serviços de hospedagem de servidores virtuais e de sites. Um segundo tipo de nuvem é a interna, que as empresas usam como 'home-grown' e 'cloud-in-a-box', disponibilizando sistemas via internet entre suas filiais. O terceiro tipo de nuvem é o ambiente híbrido, em que uma empresa distribui os recursos do computador entre suas nuvens públicas e suas nuvens privadas, podendo optar por deixar informações confidenciais apenas dentro de suas nuvens privadas.

Podemos pensar nisso como a terceira fase de transformação, onde as organizações têm ido além da consolidação de plataformas de sistemas virtualizados para começar a gestão destes ativos numa nuvem.

Riscos e controles

Para fazer isso de forma segura, já existem empresas que definem os caminhos de migração segura para as nuvens privadas, públicas e híbridas, criando softwares de segurança, infraestrutura e modelos de serviços de acesso e gerenciamento de identidade.

Nome de usuário e senha não é a forma mais segura de acessar os dados corporativos, pois provedores de armazenamento, por exemplo, dão acesso à sua rede com base no nome de usuário e senha, e já vimos todo tipo de ataques hackers com a utilização dos métodos de "força bruta" contra Amazon, Google e outros prestadores de serviços.

É necessário, então, que você "amarre" este nível de acesso a padrões abertos, incluindo SAML e OpenID, e para lidar com as credenciais de forma segura, o ideal é também atribuir APIs de acesso até o nível de pasta base que definem as permissões de leitura / gravação / excluir - em vez de definir as 19 permissões permitidas no servidor de arquivos da Microsoft, por exemplo.

Ao definir controles de acesso para a computação em nuvem, as organizações devem considerar que os seus colaboradores estarão entrando na nuvem, bem como em sistemas internos, para usar os recursos. Além disso, eles devem definir controles de uso, o acesso aos diretórios da nuvem interna ou permissões para copiar esses diretórios para fora da nuvem.

A proteção de dados, particularmente o uso de criptografia, é outra área de controle crítico, dizem os especialistas, porque neste tipo de segurança os dados são digitados das nuvens e voltam para a organizações.

Há uma ligação muito tênue entre o local onde as chaves são armazenadas na nuvem e os dados criptografados que são armazenados em uma outra nuvem, e o cliente é a conexão entre as duas nuvens.

Os usuários dos serviços de cloud buscam transparência das políticas implementadas em todas as áreas de controle. Querem acesso efetivo e direto aos logs de eventos, disponibilidade de servidores, suas aplicações, bases de dados e conjuntos específicos ou subconjuntos de controles de segurança e regras de acesso.

Nas aplicações mais seguras do cloud computing, os clientes usam seus Multiprotocol Label Switching (MPLS) entre as conexões nas nuvens para tirar proveito de recursos de computação on-demand. Organizações de pequeno porte com menos recursos são os principais consumidores de interface da empresa na nuvem pública.

Ao transformar o modelo de rede de dentro para fora, cloud computing parece representar o fim da rede interna, como previsto por vários anos por especialistas. Felizmente, existe um grande corpo de experiência e orientação para coincidir com as normas - ao invés de perseguir essa mudança na computação.

A nuvem se tornou a próxima plataforma de desenvolvimento para os próximos anos. Há verdadeiros desafios à frente, mas se formos pioneiros, teremos a oportunidade de criá-la com base em padrões de segurança e fazer tudo do jeito certo no que pode ser considerado o futuro da rede segura.

Até a próxima!