Blue team

S-Labs

Segurança na “cloud” e responsabilidade das organizações

Na era digital, a cloud tornou-se uma realidade cada vez mais presente nas organizações, define cada vez mais a sustentabilidade e crescimento das organizações, e a capacidade e rapidez de implementação do serviço revelou-se um fator decisivo na resiliência dos negócios

Por Rui Pereira, Responsável técnico da Chief Security Officers . 06/09/2021

Segurança na “cloud” e responsabilidade das organizações

Tem-se verificado que a segurança é descurada no processo de adoção da cloud, seja porque a prioridade é disponibilizar o serviço, seja pela confiança de que o fornecedor do serviço assegura a segurança na sua totalidade ou ainda pelo absoluto desconhecimento da necessidade de tornar a cloud segura.

Só quando existe um ataque à infraestrutura das organizações é que se ganha consciência de que a segurança é um fator fundamental, que pode ter consequências devastadoras.

Seja para disponibilizar serviços para os seus colaboradores, ou para terceiros, as organizações necessitam de ter uma infraestrutura que possa ser gerível, fiável e segura. Essa infraestrutura pode existir sob vários modelos: On-Prem (ou On-Site), IaaS (Infra-Structure as a Service), PaaS (Platform as a Service) ou SaaS (Software as a Service), não sendo de estranhar que as organizações usem um misto destes quatro modelos. Como exemplo, podem ter o serviço de email num modelo SaaS, uma publicação Web num modelo PaaS, uma aplicação proprietária num modelo IaaS, e uma aplicação que contém dados sensíveis num modelo On-Prem.

A crescente adoção da ‘nuvem’, criou uma urgência de aprender novas competências e de renovar os modelos de segurança, sendo que a “Cloud” pode ser tão segura com a infraestrutura “On-Prem”, pelo que o tema da segurança não deve impedir o processo de migração.

É frequente as organizações assumirem que a adoção dum modelo IaaS, PaaS ou SaaS as isenta da componente de segurança, mas essa é também parte integrante das responsabilidades da organização.

Mesmo em modelos de SaaS, as organizações têm um papel fundamental no capítulo da segurança, em particular na componente de acesso e gestão de identidades, na qual a organização é responsável por gerir os utilizadores e os seus privilégios de acesso.

Adicionalmente existem outras das responsabilidades das organizações em qualquer que seja o modelo de “Cloud” adotado, nomeadamente: Contas de acesso à “Cloud”, classificação e proteção dos dados/informação, e Compliance.

Nas contas de acesso à “Cloud” é necessário garantir que não existem acessos não autorizados, ou que não existe captura dos detalhes das contas de acesso. Formas de aumentar a segurança, passam por autenticação multi-factor (MFA ou 2FA), rotação frequente de passwords, controlar e minimizar o uso de API mais permissivas e uma monitorização pró-ativa das contas de gestão da “Cloud”.

A classificação de dados deve existir, de acordo com as políticas da organização e políticas de regulação. A proteção da informação enquadra-se neste capítulo, nomeadamente questões de backups, redundâncias, Disaster Recovery, encriptação, etc.

No capítulo de Compliance, a organização tem que garantir que o modelo de “Cloud” implementado segue as regulações no mercado onde se insere. Como exemplo temos as políticas de regulação , RGPD entre outras.

Na escolha de uma solução de segurança para a “Cloud” existem vários fatores a ter em conta.

O fabricante escolhido permite ter uma aproximação multi-”Cloud” que contemple os vários modelos disponíveis incluindo o modelo On-Prem?

Numa perspetiva de multi-Cloud/Modelo é possível ter uma gestão unificada das várias componentes?

As funcionalidades disponíveis em soluções de segurança On-Prem, também existem na “Cloud”?

A solução de segurança disponibiliza logs, relatórios e análise de eventos, possibilitando análise proactiva/evolutiva das configurações, e análise reativa em tempo real para despiste de problemas, como por exemplo a tecnologia Cloud Guard da Check Point.

Na adoção de uma infraestrutura em cloud, é necessário ter uma abordagem de segurança de informação, que proteja a organização e as entidades com que esta se relaciona. Em primeiro lugar, é necessário perceber o porquê da proteção e o nível de criticidade e sensibilidade da informação. Depois é necessário perceber como fazer essa proteção tendo em conta o(s) modelo(s) de “Cloud” adotados e o nível de funcionalidades pretendidos seguidamente. De seguida é necessário perceber o que é que se vai proteger, e em que pontos é que as várias componentes de segurança vão ficar ativas.

 

Conteúdo co-produzido pela MediaNext, pela Chief Security Officers e pela Check Point


RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº20 Outubro 2024

IT SECURITY Nº20 Outubro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.