Práticas e diretrizes para proteger os serviços de Cloud Computing

Confira sete das principais disposições de segurança que qualquer provedor de serviços em nuvem deve oferecer

À medida que as empresas migram suas aplicações e dados para a nuvem, os executivos de TI enfrentam cada vez mais o desafio de equilibrar os benefícios gerados pelos ganhos de produtividade com os riscos significativos em relação à conformidade e à segurança.

Segurança na nuvem, convém frisar, não é o mesmo que a segurança no data center corporativo. Regras e metodologias diferentes devem ser aplicadas para assegurar uma infraestrutura sobre a qual não se tem controle físico real.

Ao optar pelos serviços em nuvem, as empresas precisam avaliar vários fatores-chave, incluindo:

• Capacidade de criptografia de dados, tanto para dados em trânsito como para dados em repouso, que não estão sendo transmitidos;

• Garantia de proteção, pois a segurança de dados, especialmente em um ambiente de nuvem multi-tenant (múltiplos clientes, que compartilhem os mesmos recursos, como um aplicativo ou ERP), em que o acesso a seus dados e como ele é isolado da vulnerabilidade de outros sistemas, não é clara;

• Ter controles de privacidade sobre quem pode acessar seus dados, quanto tempo ele pode ser usado, armazenado, etc.

• Assegurar que o provedor de serviços tenha controles de manutenção e gerenciamento e outras medidas para garantir que o sistema esteja sempre protegido e atualizado com os mais recentes patches de segurança de software, servidor, sistema operacional, etc.

Muitos profissionais de segurança são altamente céticos sobre a segurança de serviços e infraestrutura baseados em nuvem. Devido a isso, a seguir listamos algumas práticas recomendadas e diretrizes que podem ser usadas para aproveitar com segurança os benefícios da nuvem, usando seus pontos fortes para superar questões que tradicionalmente foram rotuladas como fraquezas.

1. Criptografia de dados em transição deve ser fim a fim
Toda a interação com os servidores deve acontecer através da tecnologia SSL (Secure Socket Layer), que é utilizada para melhorar a segurança da transmissão de dados através da internet. O SSL deve terminar apenas na rede provedor de serviços em nuvem.

2. A criptografia é importante para dados em repouso, também
A criptografia de dados confidenciais deve ser ativada em repouso, não somente quando os dados são transmitidos através de uma rede. Esta é a única maneira que se pode cumprir com confiança as políticas de privacidade, requisitos regulamentares e obrigações contratuais para o tratamento de dados sensíveis.

Os dados armazenados em discos na nuvem devem ser criptografados usando o AES-256 (padrão de criptografia avançada) e as chaves de criptografia devem ser criptografadas com um conjunto de chaves-mestras trocadas regularmente.

Idealmente, o provedor de serviços em nuvem também deve fornecer criptografia em nível de campo. Os clientes devem ser capazes de especificar os campos que deseja criptografar (por exemplo, número do cartão de crédito, INSS, CPF, etc.).

3. Os testes de vulnerabilidade devem ser rigorosos e contínuos
O provedor de serviços em nuvem deve empregar ferramentas de resposta a incidentes e vulnerabilidades líderes de mercado. Por exemplo, ferramentas de resposta a incidentes que permitam avaliações de segurança totalmente automatizadas e que possam testar as vulnerabilidades do sistema, além de reduzir drasticamente o tempo entre as auditorias críticas de segurança, de periodicidade anual ou trimestral, mensal, semanal ou diária.

Você pode decidir com que frequência uma avaliação de vulnerabilidade é necessária, variando de dispositivo para dispositivo e de rede para rede. As verificações podem ser agendadas ou executadas sob demanda.

4. Ter uma política de exclusão de dados definida e aplicada
Após o período de retenção de dados de um cliente (conforme especificado em um contrato com o cliente) ter terminado, os dados devem ser excluídos programaticamente.

5. Adicione camadas de proteção com segurança de dados no nível do usuário
O serviço em nuvem deve fornecer recursos de controle de acesso baseados em função RBAC (controle de acesso baseado em função) para permitir que os clientes definam permissões de acesso e edição de usuário específicas para seus dados. Esse sistema deve permitir uma segregação rigorosa, baseada em controle de acesso e de deveres dentro de uma organização para manter a conformidade com os padrões internos e externos de segurança de dados.

6. Garantir uma rede e nuvem virtual privada
Em vez de uma oferta multi-tenant, seu provedor de armazenamento em nuvem ou software como um serviço (SaaS) poderia fornecer um ambiente de nuvem para ser usado somente por você e no qual tenha total controle e acesso aos dados. O Amazon Web Services (AWS) refere-se a isso como uma nuvem virtual privada (VPC). Os clientes podem se conectar de forma segura ao seu data center corporativo e todo o tráfego de e para outras instâncias em seu VPC pode ser encaminhado para seu data center corporativo por meio de uma conexão de VPN de hardware IPsec.

7. Insista em certificações rigorosas de conformidade
As duas certificações mais importantes são:

• PCI DSS: Para obter essa certificação, um provedor de SaaS tem que passar por auditorias detalhadas para garantir que dados sensíveis (por exemplo, dados de cartão de crédito) sejam armazenados, processados e transmitidos de forma totalmente segura e protegida. O PCI DSS é um padrão de segurança multifacetado que inclui requisitos de gerenciamento de segurança, políticas, procedimentos, arquitetura de rede, design de software e outras medidas de proteção críticas.

• SOC 2 Tipo II: Útil em processos de gestão de risco interno, supervisão de conformidade normativa, bem como programas de gestão de fornecedores. A certificação SOC 2 confirma que um serviço de nuvem é projetado especificamente e rigorosamente conseguiu manter o alto nível de segurança de dados.

Ambas as certificações podem oferecer informações comparativas úteis para os prestadores de serviços em nuvem que você pode considerar.

As discas acima são apenas algumas das principais disposições de segurança que qualquer provedor de serviços em nuvem deve oferecer em seu serviço em nuvem. Proteção em profundidade é tradicionalmente uma questão de princípios de projeto rigoroso e políticas de segurança.