Warning: Constant WP_MEMORY_LIMIT already defined in /var/www/html/esyner.info/web/wp-config.php on line 134
Uso da Cloud e o pensamento da “Terceirização da Segurança” | ESCS Esyner Cyber Security Info& Blog

Uso da Cloud e o pensamento da “Terceirização da Segurança”

por | abr 12, 2021 | Segurança da Informação

O emprego das estruturas em nuvem gerou possibilidades novas de negócios e a facilitação de uso de tecnologia por meio do pagamento de serviços. Os serviços vão desde e-mails, sites, sistemas de monitoramento, plataformas de desenvolvimento, aplicações, armazenamento entre os inúmeros serviços atualmente disponíveis.

            Em outros momentos, para que houvesse uma plataforma ou um serviço com o uso de tecnologia, o investimento (capex, barreira de entrada) era um montante considerável, desde a infraestrutura com hardware, datacenter e softwares, assim como a contratação de especialistas. Entretanto, com a difusão de banda larga, com a mobilidade e a orquestração de serviços, proporcionaram a diminuição da barreira por meio da Cloud Computing ou computação em nuvem.

            Existem os tipos de computação em nuvem, estas são: públicas, privadas e as híbridas. O modelo de contratação na computação em nuvem é via pagamento por uso ou mensal dos serviços. A facilidade do uso gerou a terceirização da TI, sendo assim também de “responsabilidades”, porém se criou empiricamente uma percepção de segurança, tal como destacada em frases como: com a Cloud eu não preciso mais administrar e estou seguro!

            Dentro deste contexto, a análise dos tipos de Cloud se torna um item importante para a avaliação se realmente o emprego da Cloud cria mais “segurança”. Tipos de Nuvens:  

  • Nuvem pública: consiste na disponibilização, via Internet pública, de serviços computacionais fornecido por provedores — Amazon Web Services e Microsoft Azure, por exemplo. As nuvens públicas compartilham os seus serviços por meio de painéis automatizados.
  • Nuvem híbrida é o conjunto integrado de ambientes privados conectados com o ambiente em nuvem pública.
  • IaaS (Infrastructure as a Service) infraestrutura como serviço: estrutura em nuvem que disponibiliza recursos de hardware e sistemas operacionais, ou seja, adquire-se uma infraestrutura remota, cuja capacidade de armazenamento, memória, processamento, tráfego de dados e tudo que está relacionado à infraestrutura é definida pelo contratante.
  • PaaS (Platform as a Service) plataforma como serviço: tecnologias que gerenciam e/ou desenvolverem os programas ou mesmo modelos de negócios.
  • SaaS (Software as a Service) software como serviço: um conjunto de softwares são disponibilizados para que haja uso dos usuários, um exemplo clássico são os serviços de e-mail em cloud, como Gmail, Outlook etc.

Os serviços possuem atividades que são relacionados com os tipos de Cloud contratadas, dentre elas temos:

  1. Dados e Informações
  2. Dispositivos (PC, Celulares etc.)
  3. Identidade, senhas, usuários etc.
  4. Identificação, inventário, sistemas de arquivos, permissões;
  5. Aplicações
  6. Controle de Redes
  7. Sistemas operacionais
  8. Banco de dados
  9. Host (Hardware) físico
  10. Rede Física (Firewall, Switch, Roteadores etc.)
  11. Datacenter

Nos casos da contratação de IaaS os clientes recebem os benefícios de não investimento em ambientes operacionais, todavia, é de sua responsabilidade a manutenção dos controles administrativos e de segurança das informações.

Já no caso do uso das plataformas (PaaS) e serviços em Nuvem (SaaS), grande parte do modelo de segurança é transferido em especial a manutenção de Sistemas Operacionais, Banco de Dados, Aplicações e ambiente produtivo. No entanto, as empresas acabam deixando de lado os controles de seus usuários e senhas, por exemplo, tendo assim um grande risco para ataques direcionados. Outrossim, há o uso dos dados e informações, que são de responsabilidade dos clientes (empresas), quando há um vazamento, via de regra, pensa-se que estando em uma nuvem esses dados, em tese, estão protegidos, de certa forma sim, todavia, sem o controle de acesso, os mesmos poderão sim ser acessados por alguém não autorizado.

Na figura 01, ilustra-se as responsabilidades e esta ratifica a necessidade de entendimento das responsabilidades dos provedores de Cloud e dos Clientes, respectivamente.

Figura 01 – Matriz de Responsabilidade – Cloud

Por fim, o uso da Nuvem é algo importante e fundamental para os negócios, mas que as responsabilidades pela segurança da informação sejam notadas e empregadas como parte das melhores práticas, juntamente com a aplicação de políticas de segurança. Em suma: sugere-se que não seja “terceirizada” as responsabilidades acerca da segurança da informação, ou melhor, o uso da Cloud não irá proteger completamente o seu negócio!

Andrey Guedes Oliveira (especialista em segurança da informação)