Uma das principais preocupações de todas as empresas no cenário atual é a segurança dos dados. Uma violação dos dados privados dos nossos clientes, uma filtração de projetos dos nossos produtos ou uma modificação dos dados da nossa empresa podem representar uma perda económica significativa.
Mas essa perda económica inicial pode não ser o maior dos nossos problemas, pois as possíveis sanções económicas pela violação das regulamentações existentes, ou os danos causados à nossa imagem corporativa decorrentes de uma violação de segurança podem fazer com que a nossa empresa perca muito mais: a confiança dos clientes e uma descapitalização significativa.
Por isso, neste pequeno artigo, vamos rever as vantagens que o modelo cloud nos oferece no campo da segurança em relação ao modelo tradicional ou on-premise, ou seja, responderemos à pergunta: Por que é que o modelo de cloud é mais seguro que o modelo local?
Em primeiro lugar, é preciso dizer que vamos rever os diferentes pontos de forma superficial, com o objetivo de enumerá-los, sabendo que estes existem e entendendo os seus fundamentos, mas sem entrar num alto nível de complexidade. Em artigos futuros vamos estudar alguns destes conceitos com maior ou menor nível de complexidade técnica.
A seguir, vamos estabelecer o contexto: partimos da premissa de que este artigo é focado em pequenas e médias empresas que estão a pensar em migrar os seus sistemas para a nuvem.
Nesse tipo de empresas não há grandes orçamentos para estabelecer uma arquitetura de tecnologia da informação (TI) suficientemente desenvolvida e suficientemente segura, falhando muitas vezes neste e noutros sentidos, como o correto dimensionamento para fazer frente aos picos de carga pontuais do trabalho.
A primeira coisa que devemos destacar é que, sempre que falamos de segurança na nuvem, devemos pensar que nem todos os controlos de segurança recaem sobre o fornecedor, mas que há sempre alguma parte que teremos de cuidar como clientes. Isto é o que muitas vezes é chamado modelo de responsabilidade partilhada.
O modelo de responsabilidade partilhada baseia-se na identificação dos recursos que são geridos por cada uma das partes: os elementos que são geridos pelo fornecedor e os que são geridos pelo cliente.
Portanto, a primeira coisa a fazer é identificar o tipo de cloud em que está a trabalhar.
Temos de recordar que há quatro modelos básicos, que vão desde o uso de infraestrutura própria até a contratação de toda a infraestrutura na nuvem pública:
- On-Premise
- IaaS
- PaaS
- SaaS
Com o modelo de responsabilidade, a gestão de sistemas e segurança é gradualmente delegada ao fornecedor, dependendo dos serviços contratados, mas haverá sempre uma série de pontos que dependerão do cliente.
Como se pode ver na imagem seguinte, a gestão dos dispositivos cliente, a gestão de dados ou a gestão de identidades será sempre responsabilidade do cliente, que deverá ser responsável por administrá-los e, sobretudo, por mantê-los atualizados em quanto a atualizações de produtos. segurança, patches, etc. Além disso, a gestão da infraestrutura de identidade será sempre gerida pelo cliente, independentemente do modelo de gestão selecionado.
Imagem. Comparação dos níveis do modelo de responsabilidade partilhada
Assim que tivermos claro que temos diferentes modelos de cloud e que, em alguns deles, nem toda a infraestrutura depende do fornecedor de nuvem, começaremos a rever os diferentes pontos pelos quais o modelo cloud nos oferece vantagens de segurança.
Instalações Físicas.
O primeiro ponto que deve preocupar qualquer responsável por uma infraestrutura de TI é o próprio espaço onde o hardware está alojado (servidores, armários de armazenamento, equipamentos de comunicação, etc.).
A sala técnica, CPD ou Datacenter é um local incrívelmente sensível que deve ter controlos diferentes para poder considerar-se seguro. Como primeiro ponto, devemos dizer que a sala deve ser uma sala independente, dedicada apenas a este fim e cujo acesso é restrito, com pelo menos uma fechadura, cuja chave deve estar apenas nas mãos do pessoal de TI. Isto é algo básico, que, mesmo assim, muitas empresas não cumprem. Claro que no modelo on-cloud, todos os fornecedores têm diferentes controlos de acesso localizados entre a porta de entrada do prédio e as máquinas dos clientes.
Outro ponto a ter em conta está relacionado com a continuidade do serviço. Todos os servidores requerem uma série de “instalações”, como sistemas de ar condicionado (responsáveis por manter os sistemas a uma temperatura segura para o seu funcionamento), ligação elétrica (que fornecerá energia aos servidores), sistemas de deteção e extinção de incêndios, ou os diversos links de dados que conectam a empresa à Internet.
Todas as empresas costumam ter estes tipo de características, mas será que são suficientes? Existem várias linhas de dados caso a principal fique inoperante? Os servidores são capazes de balancear o serviço? Possui equipamento de ar condicionado secundário em caso de falha do principal? Possuem ligações elétricas redundantes caso a alimentação caia na principal?
A resposta à maioria destas perguntas costuma ser “Não”, e isso deve-se principalmente à falta de orçamento.
Por outra parte, um fornecedor de serviços cloud tem os seus servidores em data centers suficientemente condicionados e preparados para diferentes contingências. Têm ligação elétrica redundante e planos de contingência, como grupos geradores ou autogeradores, que lhes permitiriam suprir uma queda no fornecimento externo, possibilitando a execução de planos de serviço e continuidade de negócios. Isso é apenas um exemplo, que pode ser estendido a outros elementos também.
Segurança Perimetral.
A segurança do perímetro é o primeiro ponto que deve ser garantido no momento de montar um data center e, embora muitas empresas invistam algum orçamento, geralmente é insuficiente para manter os invasores fora da infraestrutura. Em geral, uma empresa de pequeno ou médio porte terá acesso a firewalls com recursos limitados e não poderá atualizá-los ou substituí-los com a frequência necessária. Pelo contrário, um fornecedor de serviços cloud tem como core business a prestação de serviços de TI a terceiros. A segurança e o bom funcionamento dos seus ambientes é fundamental para a sustentabilidade do seu modelo e, portanto, investir nele é “obrigatório” e não pode nem deve ser evitado.
O mesmo pode ser dito dos sistemas de detecção e proteção de intrusão na infraestrutura. São muito poucas as empresas que podem implementar e manter este tipo de sistema nas suas instalações
No modelo on-premise, os investimentos em infraestrutura precisam de ser rentáveis, por isso muitas empresas acabam por fazer com que diferentes serviços coexistam num mesmo sistema e isso pode representar um problema de segurança. No modelo cloud, ao pagar apenas pelos elementos que são utilizados e apenas no momento em que são utilizados, é possível ter sistemas separados e com um dimensionamento correto para cada um deles, criando um modelo compartimentado, que permite uma melhor gestão dos acessos e, portanto, da segurança.
Muitos dos ataques que ocorrem nas empresas não vêm de fora, mas são causados por funcionários insatisfeitos ou erros operacionais, e isso pode ser um problema em ambientes onde a infraestrutura é reutilizada para torná-la lucrativa. Pelo contrário, o modelo cloud permite-nos estabelecer uma grande segmentação ao nível dos recursos, disponibilizando acesso apenas aos recursos que cada utilizador necessita para realizar as suas tarefas diárias.
Armazenamento de dados e cópias de segurança
Se pensarmos em gabinetes de dados ou repositórios partilhados, acontece a mesma coisa. O investimento na compra do sistema de armazenamento de dados tem de ser amortizado e, dependendo das suas características, pode ter representado um forte investimento financeiro. Além disso, teremos o problema de que, muitas vezes, os dados não terão backup, pois o investimento para isso teria de ser pelo menos o dobro.
No modelo cloud existem diferentes elementos relacionados com o armazenamento, que podem respeitar as necessidades de cada empresa e permitir redundância, backup e, claro, controlo de acesso ao conteúdo, evitando assim que a integridade dos dados seja comprometida.
Redundância.
Isso leva-nos a olhar para a redundância geográfica. Para a maioria das empresas, é muito complicado configurar um CPD corretamente, por isso será praticamente impossível que estas tenham um backup. E nos poucos casos em que exista um CPD de backup, este pode estar disposto incorretamente, por ter uma localização muito próxima ao CPD principal. Poderíamos ilustrar isto com muitos exemplos, mas usaremos o de uma empresa cujo nome não vamos revelar, que teve o seu CPD principal numa das duas torres do WTC em Nova York, enquanto o backup estava localizado na segunda torre. Logicamente, ambos os CPDs desapareceram nos ataques de 11 de setembro de 2001.
No caso dos fornecedores de serviços cloud estes devem, por contrato, possuir serviços redundantes em diferentes CPDs que, em geral, ficam distantes uns dos outros, podendo existir em diferentes cidades ou mesmo em diferentes países, garantindo assim a continuidade do negócio caso um local fique comprometido.
Atualizações
Como regra geral, todos os sistemas precisam de ser atualizados para oferecer o melhor serviço possível, otimizando a sua operação à medida que as atualizações sucessivas chegam. Juntamente com essas atualizações, geralmente são introduzidas atualizações de segurança que permitem proteção contra a maioria das ameaças existentes no mercado. Num modelo cloud, o fornecedor é responsável por atualizar todos os sistemas que gere, libertando-nos dessa preocupação. Mesmo assim, como mencionado acima, é necessário ter clareza sobre os sistemas que o fornecedor de nuvem gere e aqueles que gere o cliente.
Cumprimento Normativo
Por fim, vamos focar-nos noutro ponto de grande valor: Compliance Regulatório e Legal. Hoje, é necessário ter certas certificações ou aprovações relacionadas com a segurança para poder prestar serviços a determinados clientes ou trabalhar com determinados órgãos públicos. Dentre estes, os mais solicitados podem ser o ISO/IEC 27001, o ISO/IEC 22301 ou o RGPD (Proteção de Dados).
Em geral, os fornecedores de nuvem possuem estas certificações e muitos elementos que ajudam a preparar a certificação nas empresas clientes, para que sejam mais facilmente certificáveis ao usar um modelo cloud.
Ter uma destas certificações tem alguns benefícios, como:
- Fornece garantias aos clientes: Ajuda a inspirar confiança nos clientes e partes interessadas.
- Proporciona vantagem competitiva: Ter a certificação demonstra o envolvimento da empresa.
- Ajuda no crescimento do negócio: A conformidade com estes padrões ajuda a cumprir os padrões de diferentes países, o que facilita a internacionalização da marca.
- Proteção da marca corporativa: Em caso de fugas de informação, violações de segurança e outros eventos, ter certificações pode dar alguma proteção, pois mostra que foram feitas tentativas de proteção dos dados.
- Conformidade: A conformidade com a ISO/IEC é geralmente equivalente à conformidade com outras normas locais, o que pode resultar em proteção contra sanções administrativas.
Conclusão:
Num mundo cada vez mais digitalizado e com uma maior dependência dos sistemas, as empresas precisam de investir fortemente em sistemas informáticos que também têm de manter seguros, pelo que terão de fazer um investimento contínuo em ambos os sentidos. Para a maioria das empresas, isso é inacessível, o que acaba por fazer com que, a médio prazo, fiquem indefesos contra invasores externos.
Em contrapartida, um fornecedor de serviços na nuvem tem como core business a prestação de serviços de TI a terceiros. A segurança e a estabilidade dos seus serviços são chave para a sua sobrevivência, por isso investir muito dinheiro nesses elementos é parte fundamental da sua estratégia de negócios.
Por isso, a melhor estratégia de gestão de risco é transferir o processamento dos sistemas para um fornecedor de nuvem que garanta não apenas a segurança, mas também a conformidade regulatória e legal.
Esperamos que este breve artigo tenha sido interessante para si e que seja de ajuda para entender e poder discutir as vantagens de segurança que o modelo cloud nos oferece em termos de segurança.