BLOG


Como a proteção de dados destrava projetos críticos em nuvem


Conforme orientação da Cloud Security Alliance: enquanto os dados críticos se espalham por aplicações em provedores com diferentes níveis de segurança, organizações adotam formas autônomas de proteção da informação e controle de acessos.


Como resultado de pesquisas e projetos em organizações de vários setores e em diversas regiões, a Cloud Security Alliance - uma associação global e multissetorial para estudo colaborativo de padrões de segurança em nuvem – sinaliza riscos e recomendações em sua atualização do CSA Security Guidance 4.0, que convergem bastante com as inquietações que os negócios impõem à TI e à cibersegurança.

Neste contexto, listamos os possíveis desdobramentos práticos dos itens destacados pelo grupo global de especialistas, e também a estrutura da agenda de segurança de dados das organizações mais maduras nessa transição.


A responsabilidade pelo dado é sempre sua

Os modelos de responsabilidade compartilhada dos provedores variam conforme a modalidade de serviço (IaaS, PaaS ou SaaS). O ponto comum em contratos como os principais provedores de mercado é que classificação, política de acesso e controle dos dados é de responsabilidade do contratante.

O complicador é que a maioria das organizações não tem um ou dois provedores; os dados críticos se espalham entre dezenas ou centenas de aplicações, em qualquer infraestrutura de nuvem. Os serviços hospedados e as aplicações homologadas estão longe de ser o maior problema. A facilidade com que departamentos e usuários “implementam” aplicações por conta própria resulta em áreas de sombra (por isso a expressão shadow IT), onde dados críticos fogem do controle.

O que vai importar no final do dia é que o usuário autorizado veja o dado, levando o foco da segurança para esses dois elementos: usuário e dado. Independente de onde estejam, você tranca com seu cadeado e só abre com sua chave.

No caso de aplicações em SaaS (software como serviço), pode até ser interessante rever os contratos e aproveitar alguns serviços opcionais, como DLP (prevenção a vazamentos de dados) e anti-malware. Contudo, essas proteções funcionam dentro do perímetro do provedor e não há configuração de segurança que resista a um roubo de credenciais ou a um funcionário autorizado. As organizações, portanto, continuam a ter que gerenciar todo o ciclo dos dados.

Para isso, uma outra recomendação da CSA (Cloud Security Alliance) é a utilização de recursos de classificação de dados e gestão de chaves que permitam que se associem o acesso a cada pedaço da informação à determinado usuário. Quando um usuário estiver logado em um SaaS, a aplicação só vai enxergar os dados que podem ser abertos com a respectiva chave (e a aplicação jamais deve enxergar a chave). Assim, o gerenciamento do ciclo de vida das chaves, a atribuição ou revogação de direitos e toda a gestão passam a acompanhar o usuário e o dado aonde forem.

Independência de provedor e proteção à ameaças internas

Outras duas importantes recomendações gerais da CSA (Cloud Security Alliance) referentes aos provedores de serviços e que são atendidas através de criptografia transparente é evitar ficar amarrado ao padrão de criptografia do fornecedor – com BYOE (bring your own encryption), bastando deslocar os arquivos criptografados de um a outro, para que suas chaves continuam válidas, sem que os dados tenham ficado em nenhum momento expostos durante a migração. E outra para mitigar risco, tanto na nuvem quanto em relação as ameaças internas no data center, é que o time de suporte, administradores e outros usuários privilegiados não consigam visualizar o conteúdo de arquivos com dados classificados, que só a chave do usuário pode abrir.

Ambas recomendações podem ser atendidas com criptografia transparente à infraestrutura e às aplicações, além de políticas para usuários privilegiados, como monitoramento e autenticação mais rígidos, que passam a ser controladas de forma centralizada, e automaticamente disseminadas em todas as aplicações.

Criptografia para qualquer nuvem, em appliance físico, virtual ou em nuvem

Assim como nas recomendações da CSA (Cloud Security Alliance), diversas regulações exigem que a guarda e o controle das chaves sejam feitos de forma segregada do ambiente do provedor de nuvem.

As plataformas de criptografia, geração, distribuição e gerenciamento das chaves, centralizadas segregadas do ambiente multicloud, podem ser entregues em diversos formatos, inclusive como serviço na nuvem.

Na modalidade on premise da plataforma de segurança de dados, as funcionalidades podem rodar em hardware dedicado ou appliances virtualizados (em máquinas virtuais VMware). A gestão local se integra aos serviços de gerenciamento e guarda de chaves do provedor, o que proporciona a implementação imediata das políticas e total visibilidade sobre tentativas de violação.

Outra forma de adotar a atual abordagem de proteção de dados é a contratação de plataformas de criptografia como serviço. Evidentemente essa opção dá disponibilidade imediata aos recursos de criptografia, gestão de chaves, tokenização e todas as facilidades da plataforma, sem o investimento de capital (Capex) e com mais escalabilidade.

A estratégia para implementar BYOE e BYOK para os dados em nuvem, ou executadas a partir das nuvens, varia conforme questões regulatórias, de políticas de TI e outros critérios de cada organização. O importante é que temos hoje um caminho mais simples, econômico e rápido para proteger os dados e liberar a transformação digital sem comprometer a segurança das informações, do negócio e das pessoas.

Vamos conversar para ver como isso funciona?

Veja também:

AS 3 QUESTÕES PARA SEGURANÇA DE DADOS EM QUALQUER NUVEM OU MULTICLOUD

COMO MANTER SEGURANÇA  E APROVEITAR AS INOVAÇÕES NA NUVEM COM BYOK e BYOE