0
0
Por Brian Robertson | Principal Product Marketing Manager da Thales
O Data Threat Report 2025 da Thales revelou que os ativos em nuvem — como aplicações SaaS, armazenamento em nuvem e infraestrutura de gerenciamento — são os principais alvos de ataques. Não à toa, 64% das organizações apontam a segurança em nuvem como seu maior princípio de proteção, com a gestão de segredos sendo o principal desafio para equipes de DevSecOps.
A adoção da nuvem está em alta. Organizações de todos os tamanhos estão aproveitando os benefícios da computação em nuvem, infraestrutura em nuvem e plataformas cloud — muitas vezes utilizando diferentes provedores ao mesmo tempo. Isso significa que boa parte da segurança hoje depende de soluções nativas da nuvem. Controles como criptografia nativa são uma camada essencial de proteção, mas confiar exclusivamente nela pode expor riscos importantes. Para empresas que operam em ambientes multicloud, uma abordagem unificada de segurança pode ser necessária.
A criptografia nativa protege dados em repouso e em trânsito, mas não impede acessos não autorizados por insiders ou atacantes com credenciais legítimas. Além disso, conforme os dados se espalham por diferentes nuvens, os processos de criptografia e os ciclos de vida das chaves se multiplicam — com diferentes métodos de geração, armazenamento, rotação, backup, recuperação e revogação. Isso gera ineficiência e amplia as chances de erro humano.
Se as chaves de criptografia de uma empresa são gerenciadas pelo provedor de nuvem, será que ela realmente tem controle sobre seus dados? A resposta é não. Mesmo que os provedores não acessem os dados arbitrariamente, legislações como o CLOUD Act, dos EUA, podem obrigá-los a fornecer acesso mediante ordem judicial, independentemente da localização física dos dados. Isso significa que o provedor pode ser legalmente forçado a descriptografar informações de clientes.
Separação clara de funções
É essencial manter os princípios de acesso mínimo, confiança zero (zero trust) e separação de funções. Isso inclui separar quem armazena os dados de quem fornece os serviços de segurança. Muitas vezes, esses papéis acabam sendo acumulados pelos próprios provedores — o que aumenta o risco.
Por exemplo, os CSPs criptografam dados durante a transmissão e antes do armazenamento. Mas, por deterem as chaves de criptografia, têm acesso direto aos dados armazenados em seus servidores. Mesmo que isso ocorra por razões legítimas, como manutenção ou cumprimento de ordens legais, essa dinâmica não oferece garantias suficientes para as empresas donas dos dados.
Responsabilidade compartilhada não significa segurança compartilhada
Provedores de nuvem adotam o modelo de responsabilidade compartilhada, mas no fim das contas, a responsabilidade pela segurança dos dados recai sobre a empresa contratante.
No modelo padrão, o próprio CSP gera e gerencia as chaves, oferecendo soluções maduras que podem atender a requisitos de conformidade de segurança de baixo rigor. Essa abordagem é viável para empresas com pouco volume de dados sensíveis, limitações de orçamento ou maturidade limitada em políticas de segurança — e que usam um único provedor de nuvem.
Criptografia de dados e custódia das chaves
Mas para organizações altamente reguladas ou que lidam com informações confidenciais e proprietárias, confiar em recursos básicos não é suficiente. É preciso avaliar cada produto e serviço com base em ameaças reais e requisitos de segurança específicos.
Para isso, surgem duas abordagens principais:
No modelo BYOK (Bring Your Own Key), a empresa é responsável por gerar suas próprias chaves de criptografia, mas essas chaves são importadas para o sistema de gerenciamento de chaves (KMS) do provedor de nuvem. Com isso, o controle é compartilhado: a empresa cria e rotaciona as chaves, mas o provedor armazena e gerencia essas chaves no ambiente da nuvem. A separação de funções existe, mas é limitada, já que o provedor continua tendo acesso às chaves após a importação. Ainda assim, esse modelo permite aplicar regras de geração de chaves e pode atender a requisitos básicos de conformidade. É uma boa opção para organizações com exigências moderadas de controle e que utilizam criptografia nativa da nuvem.
Já no modelo HYOK (Hold Your Own Key), a empresa também gera suas próprias chaves, mas mantém o armazenamento dessas chaves fora do ambiente do provedor — seja em seu próprio data center ou por meio de um serviço de gerenciamento de chaves terceirizado. Aqui, o controle é total: o provedor não tem acesso permanente às chaves e só as utiliza temporariamente para realizar operações de criptografia ou descriptografia, descartando-as em seguida. Essa abordagem garante uma separação mais rigorosa de funções e proporciona uma postura de conformidade mais forte. É ideal para empresas de setores altamente regulados ou que precisam de controle máximo sobre seus dados.
Mais segurança com menos complexidade
Soluções externas de gerenciamento de chaves (KMS) impõem uma separação mais clara de funções. Elas permitem manter as chaves fora do domínio do provedor de nuvem, com controle detalhado de acesso, auditoria, logging e alinhamento com exigências de soberania dos dados.
Entre os principais benefícios:
- Redução da dependência dos CSPs;
- Fortalecimento da segurança com separação de funções;
- Melhoria no compliance com exigências como GDPR, PCI-DSS, HIPAA e DORA;
- Maior proteção contra ameaças internas;
- Continuidade dos negócios com mobilidade multicloud;
- Integração por APIs, sem impactar pipelines DevOps ou comprometer agilidade.
Cumprindo exigências regulatórias
Além da segurança, o compliance é um fator determinante para o avanço do uso de criptografia forte e gestão de chaves dedicada. Leis como GDPR e CCPA impõem exigências rígidas para controle de dados, com penalidades severas em caso de vazamentos. O mesmo vale para normas relacionadas à soberania dos dados, que impedem o controle total por parte dos provedores de nuvem.
No contexto de transferências internacionais de dados, frameworks como o Data Privacy Framework (DPF), entre EUA e União Europeia, exigem que as empresas adotem medidas robustas de proteção — inclusive práticas adequadas de gerenciamento de chaves.
Segundo o Gartner, mais de 60% das organizações utilizarão sistemas de gerenciamento de chaves até 2027 para complementar ou substituir os mecanismos nativos dos provedores de nuvem, impulsionadas pelas exigências regulatórias e de residência de dados ao redor do mundo.
Como garantir a segurança real na nuvem
A verdadeira segurança na nuvem exige mais do que criptografia padrão oferecida pelos CSPs. É necessário que as empresas assumam o controle de suas chaves, imponham uma separação clara de responsabilidades e adotem soluções independentes e robustas de gerenciamento. Assim, é possível garantir não apenas a confidencialidade dos dados, mas também a conformidade e a soberania em um mundo cada vez mais dependente da nuvem.
Esse artigo tem informações retiradas do blog da Thales. A Neotel é parceira da Thales e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.