Nós vamos quebrar alguns dos mal-entendidos persistentes quando o assunto é segurança na nuvem pública e híbrida

Quando a máquina do hype da tecnologia entra em alta velocidade, os líderes de TI experientes sabem o que fazer: espere que todos os tipos de argumentos cheios de jargões, mal-entendidos e mitos francos sejam seguidos. Considere a computação em nuvem como os Anexos de A a Z. A nuvem teve uma corrida no ciclo do hype e, por uma grande razão, não é nada menos do que uma mudança significativa na TI.

Mas, a nuvem está bem além do hype neste ponto, é claro, vivendo confortavelmente no mainstream. Porém, isso não significa que ela tenha deixado todos os mitos de volta à costa, principalmente quando se trata de segurança na nuvem pública .

Achamos que já era hora de revisitar os grandes, e persistentes, mal-entendidos em torno da segurança da nuvem pública – alguns dos quais certamente se estendem a ambientes de nuvem privada ou híbrida também, sem mencionar a segurança de TI em geral.

Mito 1: A nuvem pública é inerentemente insegura

Vamos dispensar isso rapidamente, vamos? Esta é uma fase da história real da nuvem que desde então tem sido mitologizada. A nuvem pública tem considerações diferentes de um datacenter tradicional? Coisa certa. Isso significa que a nuvem pública é automaticamente menos segura? Não.

“Quando a nuvem pública era nova, havia preocupações válidas, pois a tecnologia não estava comprovada, mas esse não é mais o caso”, diz Laurence Pitt, diretor de estratégia de segurança global da Juniper Networks . “A computação em nuvem moderna começou nos anos 90, o que significa que os provedores têm muitos anos de experiência fornecendo acesso a dados e aplicativos, garantindo o gerenciamento de direitos, uma forte governança e o monitoramento de sistemas.”

Claro que, nem todos os provedores são iguais . Mas Pitt revela o grande bicho-papão da nuvem: a nuvem pública é, por si só, uma enorme ameaça à segurança.

Realidade: a segurança na nuvem pública geralmente é melhor do que sua antiga segurança local

Na verdade, para algumas empresas aproveitar o tamanho e a escala de alguns fornecedores de nuvem pode, na verdade, ser parte de uma estratégia de segurança geral mais eficiente, especialmente, se eles estão precisando de orçamento ou simplesmente, como muitos líderes de TI, encontrar as habilidades certas de segurança cibernética para suas equipes.

Como   observou recentemente o evangelista de tecnologia da Red Hat , Gordon Haff , é provável que você esteja se preocupando muito com o processo de segurança naquele provedor de nuvem pública. “A natureza das nuvens públicas é que elas abordam a segurança usando pessoal especializado, processos automatizados e disciplina (o que não quer dizer que as empresas não o façam, mas não é de forma alguma um dado)”, escreve Haff.

Mito 2: Existe uma única coisa chamada “nuvem pública”

Pergunte a George Gerchow, CSO da Sumo Logic , por seus mitos de nuvem pública prevalecentes, e ele lhe dará um – apontando que o tópico é muito amplo.

“Esta questão precisa ser dividida ainda mais para diferenciar o serviço de inquilino único versus multi-inquilino em relação ao gerenciado em uma nuvem pública”, diz Gerchow.

Na verdade, nós tendemos a juntar um monte de coisas – de software a infra-estrutura para plataformas de desenvolvimento, basicamente qualquer coisa que você possa anexar também o acrônimo “as-a-Service” – sob um guarda-chuva gigante de nuvem pública. .

Para uma empresa, “nuvem pública” pode significar vários ambientes de infraestrutura espalhados por vários fornecedores, integrados com nuvem privada e / ou infraestrutura local como parte de um portfólio de nuvem híbrido robusto. Para outra empresa, “nuvem pública” pode significar simplesmente usar o Google Apps ou o Office 365.

Isso leva a generalizações sobre segurança na nuvem pública que tendem a estar fora do alvo.

A Gerchow, por exemplo, vê um mal-entendido importante ao se aprofundar em categorias mais específicas de nuvem pública: “Há um equívoco enorme de que as implantações de nuvem com um único locatário são mais seguras que o multilocatário”, diz ele.

Realidade: tipos de nuvem pública e suas considerações de segurança podem variar significativamente.

O ponto de vista de Gerchow é bem aceito: é um erro pensar na segurança da nuvem pública como um problema homogêneo.

Da mesma forma, seria um erro exibir todos os ambientes de nuvem pública como um e o mesmo do ponto de vista de segurança. Você deve traçar distinções entre o tipo específico de ambiente de nuvem, os dados que você está movendo para lá e assim por diante, como parte de qualquer estratégia de nuvem pública. Além disso, diferentes organizações têm diferentes necessidades e preocupações em relação à segurança, conformidade, governança, SLAs e muito mais; você conhece essas necessidades melhor que ninguém.

Mais uma vez, pensar em “nuvem pública” como algum ambiente grande e com vazamento, apenas esperando para ser hackeado, é perder as oportunidades que a nuvem apresenta. E hoje em dia é um equívoco.

“Os provedores de nuvem pública gastam uma quantidade excessiva de recursos para garantir que a segurança seja inicialmente parte essencial da arquitetura, além de manter suas redes e serviços endurecidos”, diz Mike Kail, CTO e co-fundador e CYBRIC .

Nesse mesmo sentido, os líderes de TI devem entender os ambientes que estão usando. Você deve estar pesquisando seus provedores de nuvem pública com o mesmo nível de diligência, que você faria com seu próprio datacenter. (E se, no último caso, você não estiver prestando muita atenção – bem, isso provavelmente significa que todo o seu perfil de segurança precisa de uma auditoria.)

Como o SAS CISO Brian Wilson nos disse recentemente, a segurança da nuvem em geral – e talvez especialmente em nuvens públicas – requer um profundo entendimento das capacidades de seus provedores e como elas se mapeiam para suas necessidades particulares.(pode ser que uma estratégia com várias nuvens seja necessária para atender aos vários requisitos.) No caso de Wilson, por exemplo, qualquer provedor que não pode fornecer federação com SAML é um não participante.

Mito 3: A segurança na nuvem é muito complexa para manter

Aqui está um mito particularmente persistente: a segurança na nuvem é muito complexa para a maioria das organizações.

A parte divertida desse mito? Isso sugere que proteger sua rede local ou datacenter sempre foi simples . Você conhece o ditado: se fosse fácil, todo mundo estaria fazendo isso? Se a segurança de TI foi sempre fácil, por que ela tem um histórico de violações tão recorrente e colorido?

Na verdade, a percepção de proximidade com a infraestrutura local – embora muito mais do que a mera percepção em muitos casos – pode realmente levar os profissionais de TI a uma sensação inesgotável de segurança.

“Só porque você pode ‘ver’ os servidores e o armazenamento, não significa que controles de segurança apropriados estejam em vigor”, diz Kail, da CYBRIC. “As mega-violações ocorreram devido à falta de higiene e processos de segurança adequados, não por causa da localização”.

Realidade: a segurança de nuvem híbrida requer novos modelos e processos

O que é verdade é que suas formas antigas de fazer as coisas não vão diminuir quando você move as cargas de trabalho para uma nuvem pública. Isso se torna mais verdadeiro se você estiver protegendo uma arquitetura de nuvem híbrida ou seguindo uma estratégia de várias nuvens que utiliza dois, ou mais serviços de nuvem de duas ou mais plataformas diferentes.

“A segurança na nuvem é um novo paradigma que é definido por software e não depende de perímetros de rede bem definidos”, diz Kail. “Isso não é complexo para implementar ou manter – requer uma nova maneira de pensar e cultura.”

Para Kail, essa cultura é DevOps . As organizações que querem enfatizar a segurança estão adotando cada vez mais seu irmão mais novo, o DevSecOps , que concede literalmente à segurança o mesmo status que as outras partes importantes do pipeline de software.

Mito 4: A segurança na nuvem pública é o problema do fornecedor

Um ponto de venda comum da nuvem pública, em particular, é que ela oferece às organizações os tipos de poder de computação, escalabilidade e flexibilidade que estariam fora do alcance (por questões de custo, conjuntos de habilidades, infraestrutura antiga e muito mais).

É verdade que uma startup minúscula pode essencialmente manter uma infra-estrutura de qualidade corporativa durante a noite. O apelo é simples: alguém já fez o trabalho pesado para você; você não precisa comprar um único servidor, muito menos construir um datacenter inteiro, a menos que isso faça parte de uma estratégia de TI mais ampla.

Isso não lhe isenta de risco, no entanto; ainda são seus dados, seus aplicativos. Você deve estar selecionando fornecedores de nuvem pública que investem pesadamente em segurança e áreas relacionadas de acordo com suas necessidades. Apenas não use uma abordagem de caixa de seleção para sua avaliação e, então, assuma que seu trabalho está concluído.

Realidade: a segurança da nuvem pública ainda começa e termina no CIO

“Os provedores de nuvem têm implementações e APIs definidas por software no local para os clientes aproveitarem, e as necessidades de segurança na nuvem, em última análise, são responsabilidade do cliente”, diz Kail.

Isso não significa que seus fornecedores de nuvem pública não possam ajudar. Como Kail observou, qualquer provedor de nuvem que vale a pena investir continuamente na segurança de suas plataformas, e elas podem fazê-lo em escala global.

Como observamos anteriormente neste espaço, você pode transformar o medo de segurança descomunal que antes era comum na adoção da nuvem em uma oportunidade de reequipar práticas de segurança negligentes ou desatualizadas.

A Gerchow oferece alguns fundamentos rápidos para a nuvem pública, em particular.

“ Tudo em uma nuvem pública [ambiente] deve ser criptografado com a rotação diária de chaves”, ele aconselha. “A nuvem pública também abre as portas para o uso da autenticação de logon único e multifator.”

Isso retorna ao conselho anterior de Brian Wilson, o SAS CISO: se você priorizar tecnologias e práticas como essas, certifique-se de que seus provedores em potencial possam dar suporte a esses requisitos. Não tome “criptografia” pelo valor de face, por exemplo. Como eles suportam o gerenciamento de chaves?

Se você não gostou da resposta, chegou a outra realidade de segurança na nuvem: encontre provedores e plataformas que realmente atendam às suas necessidades.