Se a complexidade é inimiga da segurança, a multicloud é um adversário formidável. Portanto, confira dicas de especialistas para construir uma segurança multicloud mais forte.
A TI corporativa adotou o modelo multicloud com pesquisas mostrando que quase todas as organizações agora usam vários provedores de nuvem. Contudo, também usam várias soluções baseadas em nuvem.
Estimativas futuras
Segundo o IDC, mais de 90% das empresas em todo o mundo terão várias nuvens públicas até 2022. O Relatório do Estado da Nuvem de 2020 da Flexera, um provedor de soluções de gerenciamento de TI, descobriu que 93% das empresas têm uma estratégia multicloud – para cima de 81% há dois anos – com os entrevistados agora usando uma média de 2,2 nuvens públicas e 2,2 nuvens privadas.
Contudo, a crescente combinação de nuvens públicas e privadas também deu origem a crescentes preocupações com a segurança. Afinal, 83% das empresas pesquisadas pela Flexera listaram a segurança como um desafio. Inclusive superando as preocupações sobre o gerenciamento de gastos com nuvem (listados por 82%) e governança (citados por 79%).
Ambiente novo
No entanto, essa grande preocupação com a proteção do ambiente multicloud não é surpreendente. Afinal, os CISOs viram o escopo do que eles devem proteger passar da infraestrutura confinada dentro da empresa para uma malha de recursos de computação espalhados por vários fornecedores. Inclusive, oferecendo diferentes níveis de serviços e garantias de segurança.
Contudo, esse ambiente vasto e sem limites criou uma superfície maior para:
- Ataques de malware;
- Violações de dados e conformidade / regulamentares;
- Problemas de resiliência.
É por causa dessa complexidade adicional que a multicloud está se tornando um vetor de ataque. Ao menos, essa é a opinião de Sai Gadia, parceiro na prática de Risco de Tecnologia da KPMG. “E se houver alguma lacuna em seu pessoal, processo ou tecnologia clássicos, então os malfeitores estão procurando explorar isso.”
Complexidade de composição
A infraestrutura de TI corporativa típica e pilha de soluções modernas inclui não apenas implantações de nuvem pública e privada. Mas também uma média de 288 ofertas de SaaS diferentes. Entretanto, esses vários elementos têm diferentes requisitos de segurança, bem como diferentes níveis e tipos de recursos de segurança integrados.
Portanto, provedores de nuvem diferentes têm ferramentas diferentes. Além disso, eles geralmente usam termos diferentes para a mesma classe de ferramentas e têm posições diferentes sobre suas responsabilidades de segurança. Tudo isso deixa os CISOs tendo que unir um todo coeso que documenta se:
- Os recursos de segurança fornecidos pela nuvem são adequados;
- Se mais segurança é necessária;
- Onde e quais medidas de segurança adicionais são garantidas.
É muito complexo?
Os entrevistados da pesquisa 2020 Cloud Threat Report da Oracle e KPMG citaram a complexidade como um desafio significativo. Afinal, 70% dos entrevistados dizem que muitas ferramentas especializadas são necessárias para proteger suas pegadas de nuvem pública. Contudo, 78% destacam a necessidade de políticas e procedimentos de segurança variados entre seus aplicativos residentes na nuvem e locais.
Isso levou ao surgimento de outro inimigo conhecido da segurança: a falta de visibilidade. Afinal, o desafio da visibilidade é multicamadas. Por exemplo, algumas equipes de segurança corporativa não têm insights sobre todas as implantações de nuvem da organização. Especialmente ao levar em consideração as ofertas de SaaS compradas diretamente pelas unidades de negócios.
Portanto, mesmo quando o fazem, muitos lutam para monitorar todas as várias implantações de nuvem para detectar problemas. Contudo, outros lutam para compilar e entender todos os dados das ferramentas de gerenciamento de incidentes.
Desenvolvendo uma estratégia
O desenvolvimento de uma estratégia de segurança multicloud mais forte começa com a identificação de todas as nuvens usadas pela empresa. Afinal, isso garante que a empresa tenha um programa de governança de dados robusto para orientar as decisões de segurança relacionadas à nuvem. Dessa forma, pode implantaras ferramentas certas nos lugares certos para garantir os níveis apropriados de controles .
A pesquisa Oracle-KPMG mostra que as organizações têm mais arquitetos de segurança em nuvem do que arquitetos de segurança. Entretanto, muitas equipes de segurança precisam ir mais longe para adicionar funcionários que tenham todas as habilidades necessárias para criar uma arquitetura de nuvem segura.
A seguir estão três etapas principais para construir uma segurança multicloud mais forte.
Cuide de seus aplicativos e dados
A importância da segurança do aplicativo em um ambiente multicloud não pode ser subestimada. Afinal, ter uma abordagem robusta e sólida para proteger e proteger aplicativos é fundamental. Ou seja, não basta apenas garantir que o código não contém bugs. Mas todos os aplicativos de biblioteca que podem estar usando são atualizados e não apresentam vulnerabilidades.
Contudo, gerenciamento de dados, minimização de dados e, mais importante, anonimato e criptografia de dados são pilares fundamentais da‘ catedral ’que as empresas desejam construir. Como na engenharia civil, as bases devem ser sólidas como uma rocha. E, como indicam alguns regulamentos, é imperativo que a estratégia adequada para mascaramento e ocultação de dados seja escolhida. É o caso da tokenização, criptografia, etc.
Empregue as ferramentas certas
Montar a combinação apropriada de ferramentas e tecnologias para a combinação única de soluções em nuvem de cada organização dá trabalho. Afinal, existem variações dos recursos de segurança incorporados em diferentes ofertas de nuvem. Os CISOs são, portanto, forçados a determinar em detalhes granulares quais soluções funcionam onde. Isso, além de selecionar soluções que podem se estender por seu ambiente de nuvem para criar um único painel de vidro no cenário de segurança.
Portanto, os especialistas citam a necessidade de tecnologias como corretores de segurança de acesso à nuvem (CASBs). Esses são software que a empresa coloca entre si e os provedores de serviços em nuvem para consolidar e aplicar medidas de segurança. É o caso de:
- Autenticação;
- Mapeamento de credenciais;
- Perfil de dispositivo;
- Criptografia;
- Detecção de malware .
Os especialistas também recomendam o gerenciamento de postura de segurança na nuvem (CSPM). Esta é uma tecnologia mais recente que avalia um ambiente de nuvem corporativo em relação aos seus requisitos de segurança. Tudo para garantir a conformidade contínua das configurações de nuvem.
Aumente a segurança
Os líderes de segurança também aconselham os CISOs a adotar a confiança zero. Tal como a implementar as tecnologias que suportam o modelo de segurança de confiança zero. Este é um modelo que assume que as conexões não são confiáveis. Pelo menos até que possa provar o contrário.
Essa mudança de mentalidade para ver tudo como não confiável até que seja verificado ajuda as equipes de segurança a proteger a empresa contra implantações de nuvem sancionadas e shadow IT. Contudo, também inclui provedores de nuvem específicos. É o caso daqueles cuja própria segurança incorporada não é tão robusta quanto a organização exige.
Por fim, de acordo com os especialistas, os CISOs que buscam melhorar a segurança multicloud também precisam garantir que tenham processos em vigor para dar suporte a seus padrões de segurança. Entretanto, isso requer colaboração entre todas as partes interessadas dentro da empresa. Afinal, só assim para equilibrar as necessidades de negócios, objetivos de segurança e obrigações de conformidade.
Alternativa
Você também pode contratar uma empresa de TI especializada em nuvem. Afinal, assim não terá dor de cabeça com a parte burocrática. E tampouco no caso de eventuais problemas. Afinal, a responsabilidade será da empresa de TI contratada. Entre em contato com a Infonova, sem compromisso. E descubra que uma segurança multicloud mais forte não é tão difícil assim de se conseguir.
