O que são estruturas de segurança na nuvem e como elas são úteis? As estruturas de segurança na nuvem ajudam CSPs e clientes, fornecendo linhas de base, validações e certificações de segurança fáceis de entender.
Pergunte a qualquer profissional de segurança e eles dirão que proteger ambientes de nuvem é um desafio por vários motivos, dos quais três se destacam: Primeiro, devido à maior complexidade que eles adicionam aos ambientes. Em segundo lugar, devido à sua dependência de provedores de serviços sem visibilidade direta das operações de segurança do dia-a-dia. Terceiro, devido a dinâmicas de adoção que favorecem a incorporação rápida e às vezes não planejada.
Independentemente de qual lado da barreira de segurança da nuvem você está – cliente ou usuário final – as estruturas de segurança da nuvem podem fornecer valor. Com isso em mente, vamos dar uma olhada no que são estruturas de segurança na nuvem, por que são úteis e como incorporá-las em uma estratégia de segurança corporativa .
O que é uma estrutura de segurança na nuvem?
Existem vários frameworks de segurança disponíveis, incluindo aqueles para governança ( COBIT ), arquitetura (SABSA), padrões de gerenciamento (ISO/IEC 27001) e o Cybersecurity Framework do NIST . Assim como essas estruturas podem ser aplicadas amplamente à tecnologia, elas também são aplicáveis à nuvem. Além dessas estruturas gerais, existem várias especializadas que podem ser relevantes dependendo do caso de uso e do contexto; por exemplo, considere o Common Security Framework da HITRUST em um contexto de saúde.
Empresas e fornecedores podem usar estruturas de segurança específicas da nuvem para esforços de validação e certificação. Isso inclui a Matriz de Controles de Nuvem ( CCM ) da Cloud Security Alliance (CSA) , FedRAMP e ISO/IEC 27017:2015 . Existem mais estruturas de segurança em nuvem disponíveis, mas essas três são particularmente úteis porque são usadas com frequência e bem conhecidas, específicas para nuvem e segurança, têm um programa de certificação ou registro de suporte e são igualmente úteis para provedores de serviços em nuvem (CSPs – cloud service providers) e clientes.
As estruturas de segurança em nuvem fornecem informações ao setor mais amplo sobre medidas de segurança aplicáveis a ambientes de nuvem. Como qualquer estrutura de segurança, eles incluem um conjunto de controles com orientações específicas sobre controles (incluindo intenção e rigor), gerenciamento de controle, validação e outras informações relacionadas à proteção de um caso de uso de nuvem.
Como as estruturas de segurança na nuvem são úteis?
Ter um conjunto de controles e práticas de uma estrutura implementado é benéfico para CSPs e clientes de nuvem. Ele fornece um quadro de referência para discutir práticas de segurança e medidas específicas. Como todos sabemos, há uma variedade quase infinita de possíveis contramedidas que uma organização pode empregar para manter seu ambiente seguro. Ter uma lista acordada de controles geralmente aceitos ajuda os CSPs a decidir como investir seu tempo e orçamento , e fornece orientação aos clientes sobre o que eles devem procurar como mecanismos de segurança padrão na avaliação de um CSP .
As estruturas também podem servir como uma linha de base para a avaliação. Eles fornecem uma referência útil que os clientes de nuvem podem usar para avaliar os provedores ou comparar as práticas de segurança entre os provedores. Eles também podem permitir que os provedores de serviços demonstrem suas práticas de segurança, seja para auxiliar na verificação pré-contratação ou como parte de sua narrativa de vendas. Quanto mais específicos e prescritivos forem os controles estabelecidos na estrutura, mais propícios eles serão para servir nessa capacidade de avaliação.
Se usados estrategicamente, os frameworks reduzem o trabalho para o cliente e CSP. Eles reduzem o trabalho para o cliente na medida em que esses controles podem formar a base para uma lista de verificação de avaliação ou um conjunto de critérios de avaliação conforme descrito acima, o que, por sua vez, limita a necessidade de uma organização desenvolver tal lista. Eles podem reduzir o trabalho para o CSP reduzindo o número de questionários de avaliação diferentes e pontuais que os clientes solicitam aos fornecedores para responder. Mesmo quando isso não acontece, as estruturas ainda podem agilizar o trabalho envolvido na verificação do cliente, permitindo que os provedores organizem respostas, preparem narrativas e coletem evidências de acordo com um conjunto conhecido de critérios, em vez de individualmente para cada cliente que possam encontrar.
Como escolher uma estrutura de segurança na nuvem
Adotar e usar uma estrutura de segurança na nuvem é um processo relativamente simples, mas varia um pouco dependendo de você ser um cliente ou CSP.
Para os clientes, a seleção de um dependerá em grande parte do programa mais amplo da empresa e do contexto de negócios. Por exemplo, uma agência ou contratada do governo federal dos EUA quase certamente desejará investigar o FedRAMP primeiro. O FedRAMP foi projetado para oferecer um conjunto de critérios de validação com base em medidas de segurança padrão e simplificar a integração de CSPs para uso do governo. Uma grande organização multinacional com um programa de segurança já construído na ISO/IEC 27001 que incorpora controles da ISO/IEC 27002 pode achar que a ISO/IEC 27017 é mais adequada porque os controles serão mais familiares e se alinharão diretamente com a segurança existente programa.
Os CSPs devem empregar um conjunto de estruturas , tanto de nuvem quanto de segurança, que sejam conhecidas e aceitas nos mercados que atendem. Conforme mencionado, uma das razões para considerar essas estruturas específicas são seus programas de garantia de apoio. No caso do FedRAMP, um CSP pode se tornar um provedor de serviços autorizado do FedRAMP . Para o padrão ISO/IEC, os CSPs podem certificar isso como podem com qualquer padrão de sistema de gerenciamento ISO . A CSA possui seu Consensus Assessment Initiative Questionnaire, construído sobre o CCM, e seu registro STAR , que certifica a validação da adesão. A estrutura que os CSPs devem favorecer é aquela que provavelmente obterá mais tração e será mais reconhecida entre os clientes.
Independentemente do que for escolhido, as estruturas de segurança na nuvem podem ajudar nos esforços de segurança na nuvem. Entre fornecer uma língua franca para discussão de controles específicos para fornecer um benchmark para avaliação e certificação para criar uma espinha dorsal para a organização dos esforços de segurança interna, aprender sobre as opções disponíveis é um tempo bem gasto.
Fonte: TechTarget