0
0
Os ambientes de nuvem e a conectividade de aplicativos tornaram-se uma parte crítica das iniciativas de transformação digital de muitas organizações . Na verdade, quase 40% das empresas norte-americanas e europeias adotaram plataformas de nuvem específicas do setor em 2022. Mas por que as organizações estão recorrendo a essas soluções agora?
Estas tendências estão influenciando o estado atual das coisas:
- Soluções de baixo/sem código : graças à lacuna de habilidades de desenvolvimento de software, fomos forçados a criar novas maneiras de desenvolver aplicativos. O desenvolvimento cidadão, por exemplo, incentiva funcionários não treinados em TI a se tornarem desenvolvedores de software usando plataformas low-code/no-code (LCNC) sancionadas por TI para criar aplicativos de negócios.
- Possibilidade de composição : também chamada de arquitetura “plug-in-play”, as empresas combináveis representam a transição de suítes de tecnologia monolíticas e desenvolvimento de software baseado em código para ecossistemas interconectados de vários aplicativos intercambiáveis.
- Microsserviços : essa abordagem arquitetônica para o desenvolvimento de software pega o que antes era um aplicativo muito grande (pense no Microsoft Word ) e o divide em vários serviços menores (estilo de fonte, formatação de página etc.). de maneira mais eficiente em termos de tempo.
Apesar da crescente popularidade dessas tendências, é crucial lembrar que toda vez que uma organização adota um novo ambiente ou trabalha com um determinado provedor de nuvem, os riscos de segurança tendem a surgir – e nem sempre é responsabilidade dos provedores mitigá-los.
Que tempestades você terá que enfrentar na nuvem?
Todas essas três tendências têm uma coisa em comum: todas elas aumentam as conexões e geram dependências entre um número maior de aplicativos que podem residir em qualquer lugar em uma nuvem. Quando os desenvolvedores precisam lidar com conexões de aplicativos complexos em diferentes nuvens e aplicativos que dependem de outros aplicativos ou serviços, eles tendem a perder de vista a segurança em prol da velocidade e da conveniência.
Este simples “deslize” tem o poder de desfazer cadeias de suprimentos inteiras. No final das contas, a exploração de um pequeno elo tem o poder de quebrar toda a cadeia. Mas o que acontece quando falta um link? E se vários elos estiverem faltando e eles não estiverem limitados à cadeia de suprimentos? E se incluírem serviços de segurança?
Há uma fraqueza em muitas estratégias de segurança de aplicativos e nuvem. As empresas acreditam que têm uma forte cerca de elos de corrente em torno de sua rede, mas podem estar perdendo controles críticos – elos na cadeia – que permitem que os agentes de ameaças entrem. Hoje, a maioria dos softwares passa por um pipeline de cinco ou seis etapas antes de torna-se um aplicativo ao vivo na web. Uma das maneiras pelas quais os aplicativos modernos estão trabalhando para mitigar esses riscos de segurança é automatizando as ferramentas que verificam falhas e vulnerabilidades nos aplicativos conforme eles se movem pelo pipeline.
O GitLab é um ótimo exemplo disso. O GitLab permite que você crie software em seu ambiente, mas dentro de seu pipeline existem vários tipos de testes, como testes de segurança de aplicativos estáticos e dinâmicos. Este é um grande avanço para aplicativos modernos, mas muitos aplicativos legados foram criados com sistemas antigos que não são propícios à reengenharia necessária para aceitar essas novas práticas.
Por outro lado, com a importância de várias nuvens e a complexidade absoluta da infraestrutura de nuvem, é difícil ter visibilidade de todas as diferentes cargas de trabalho de nuvem em execução em seu ambiente, muito menos protegê-las. Existem tantos controles de nuvem e aplicativos que podem ser negligenciados devido à suposta confiança que as empresas depositam em seus provedores de nuvem. As empresas podem acreditar que a AWS supervisiona o tratamento das políticas de gerenciamento de identidade e acesso ou que o Azure gerenciará a classificação de dados, mas para muitos essa crença leva a uma falsa sensação de segurança. Então, quem detém a responsabilidade de garantir a segurança dos aplicativos de produção?
A segurança da nuvem e dos aplicativos é responsabilidade de todos – não há muita escolha
Muitos clientes corporativos de nuvem cometem o erro de acreditar que estão livres de obrigações quando se trata de segurança de aplicativos e implantam os aplicativos na nuvem, expondo-se a falhas de segurança na junção das infraestruturas corporativas e de fornecedores de nuvem. A segurança abrangente sempre exigiu que a empresa fosse responsável e proativa em suas defesas de segurança, mas o fato é que as empresas são realmente forçadas a compartilhar a responsabilidade.
A segurança da nuvem e de aplicativos abrange todo o ecossistema de pessoas, processos, políticas e tecnologias que servem para proteger os dados que operam dentro deles, mas a segurança para coisas como classificação de dados, controles de rede e segurança física precisam de proprietários claros. O modelo de responsabilidade compartilhada para segurança na nuvem fornece uma análise clara de quem deve fazer o quê.
Os CISOs corporativos tradicionais, no passado, usavam data centers locais, que poderiam ser protegidos com um firewall que monitora o tráfego. Eles tinham controle total de seu departamento de segurança, mas perderam parte desse controle quando mudaram para a nuvem. Eles agora são forçados a confiar na segurança que o provedor de nuvem oferece. Sim, esses provedores oferecem muita segurança integrada, mas não cobrem tudo.
Os provedores de nuvem e aplicativos de segurança de hoje têm muitos serviços e descobrir como configurar esses serviços ou entender seus perímetros de segurança pode ser incrivelmente desafiador, pois requer algumas habilidades e treinamento especiais. E isso apenas se as empresas trabalharem com uma nuvem comercial!
Incentivo fortemente as equipes de segurança a fazerem o dever de casa: aproveitar os recursos para se familiarizar com os serviços de segurança que seu provedor de nuvem pode não cobrir ou fornecer da maneira que melhor funcione para sua empresa. Pesquise e faça perguntas ou converse com seus colegas. Descubra onde podem estar suas lacunas e verifique se sua arquitetura as preenche.
FONTE: HELPNET SECURITY