0
0
O Gartner estima que em 2023 os gastos dos usuários finais em todo o mundo em serviços de nuvem pública crescerão 21,7% e atingirão quase US$ 600 bilhões. Mesmo com a crise econômica fazendo com que a maioria das empresas procure maneiras de apertar o cinto, a nuvem continua sendo um investimento que poucas empresas estão dispostas a reduzir.
Essa corrida para inovar está expondo as organizações aos pontos cegos da nuvem; muitos agora operam em uma mistura de arquiteturas de nuvem, usando ferramentas diferentes e exigindo habilidades diferentes, o que está deixando um rastro de falhas de segurança.
À medida que dados e sistemas mais críticos são migrados, as medidas de segurança na nuvem devem acompanhar o cenário e as prioridades em constante mudança. Mas isso requer mais do que apenas investir nas soluções mais recentes. Também precisamos ver uma mudança fundamental na mentalidade e na cultura organizacional.
Compreendendo os papéis do modelo de responsabilidade compartilhada
Uma das armadilhas mais comuns que encontramos na segurança da nuvem é a tendência de buscar uma abordagem de “lift and shift”; as empresas simplesmente transferirão seus processos de segurança locais existentes para a nuvem por atacado.
É fácil ver por que essa estratégia é atraente: ela oferece uma solução rápida e aparentemente eficaz para empresas que enfrentam prazos e orçamentos apertados. No entanto, é quase certo que isso deixará lacunas críticas em segurança e visibilidade que facilitarão a infiltração de um agente de ameaça no sistema ou o acesso a dados confidenciais.
A abordagem lift and shift também tende a vir com a suposição de que o provedor de nuvem assumirá a responsabilidade final pela segurança e cuidará de quaisquer lacunas que surgirem.
É aqui que entra o modelo de responsabilidade compartilhada. Esse conceito delineia as obrigações de segurança entre o provedor de nuvem e o usuário. Normalmente, o provedor será responsável por proteger a infraestrutura subjacente, enquanto o usuário deve proteger suas cargas de trabalho específicas. Atividades de segurança cruciais, como definir permissões de acesso, segmentar ambientes e implementar medidas como MFA, são inteiramente da responsabilidade da organização do usuário.
A segurança na nuvem nunca pode ser um processo passivo . As organizações devem proteger ativamente seu ambiente, especialmente à medida que se tornam mais complexos.
Navegando no cenário multinuvem
Uma abordagem multinuvem tornou-se a estratégia padrão, e a maioria das empresas também está buscando uma configuração híbrida. Ser capaz de misturar e combinar nuvens privadas e públicas de vários fornecedores, bem como reter a infraestrutura local quando necessário, oferece às organizações uma grande flexibilidade. As empresas são livres para aproveitar os pontos fortes de vários provedores de nuvem para diferentes necessidades.
Mas essa flexibilidade tem um custo: a complexidade invariavelmente apresentará vários desafios de segurança. Cada provedor de nuvem tem seu próprio conjunto de ferramentas e controles de segurança, o que pode levar a inconsistências e lacunas que podem ser exploradas.
Portanto, uma abordagem multinuvem deve ser controlada por um mandato de segurança consistente que transcenda os limites de provedores de nuvem individuais. A visibilidade é um dos ativos mais importantes aqui. As equipes de segurança devem ser capazes de ver todo o tráfego e dependências de aplicativos em todas as áreas de sua nuvem, independentemente de sua complexidade.
Mudando para a esquerda para detectar problemas antecipadamente
As organizações que desenvolvem software por meio de ferramentas e ambientes baseados em nuvem devem tomar cuidado adicional para adaptar seus processos. A adaptação de uma abordagem “shift-left” para a integração contínua e o pipeline de CI/CD de implantação contínua é particularmente importante.
Tradicionalmente, as verificações de segurança eram frequentemente realizadas no final do ciclo de desenvolvimento. No entanto, essa abordagem reativa pode permitir que as vulnerabilidades passem despercebidas e cheguem aos estágios de produção.
A abordagem shift-left defende a integração de medidas de segurança no início do ciclo de desenvolvimento . Ao fazer isso, os possíveis riscos de segurança podem ser identificados e mitigados antecipadamente, evitando a infiltração de malware e reduzindo o custo e a complexidade de lidar com problemas de segurança em estágios posteriores. Essa abordagem proativa se alinha à natureza dinâmica dos ambientes de nuvem, garantindo segurança robusta sem prejudicar a agilidade e a inovação.
As empresas devem considerar como podem espelhar o ethos shift-left em suas outras operações de nuvem.
Capacitar equipes para melhor segurança na nuvem
As organizações também não devem ignorar o elemento humano da segurança cibernética e considerar como os funcionários estão usando a nuvem diariamente.
Erros de configuração – muitas vezes devido à falta de compreensão dos princípios de segurança da nuvem – são uma das principais fontes de vulnerabilidades da nuvem. Para resolver isso, as organizações devem investir tempo na educação dos funcionários sobre segurança na nuvem.
Isso deve ir além das sessões de treinamento – requer a promoção de uma cultura em que o desenvolvimento e a segurança estejam alinhados. A segurança não deve ser vista como uma reflexão tardia ou um obstáculo à inovação, mas como parte integrante de todas as operações.
As organizações podem minimizar os riscos associados a configurações incorretas e outros erros humanos, capacitando as equipes com o conhecimento e as ferramentas necessárias para implementar práticas seguras. As ferramentas que facilitam a visibilidade e a automação em arquiteturas nativas da nuvem são particularmente valiosas aqui. A segmentação de confiança zero , por exemplo, fornece às equipes de segurança uma visão granular de todas as áreas da rede, ajudando-as a detectar atividades maliciosas e erros humanos com antecedência. Ao mesmo tempo, também pode ajudar a automatizar as políticas de segurança para garantir uma abordagem consistente que minimize as chances de erro humano.
Isso fortalece a postura de segurança da organização e promove uma abordagem proativa à segurança, em que cada membro da equipe desempenha um papel na proteção do ambiente de nuvem da organização.
Adotando a mudança nas mentalidades de segurança na nuvem
Proteger a nuvem é uma tarefa complexa que vai além das medidas técnicas – requer uma mudança de mentalidade que se estende à cultura empresarial e aos comportamentos individuais.
As empresas devem entender totalmente o modelo de responsabilidade compartilhada e seu lugar nele, bem como os caminhos de comunicação entre suas cargas de trabalho na nuvem e no local. A implementação de uma mentalidade shift-left, não apenas para desenvolvimento de software, mas para operações gerais de nuvem, ajudará a garantir que a segurança esteja sempre em primeiro lugar e que quaisquer problemas sejam detectados e resolvidos com antecedência.
Com a estratégia, tecnologia e mentalidade corretas, as organizações podem não apenas proteger seus ambientes de nuvem, mas também aproveitar todo o potencial da nuvem para impulsionar a inovação e o crescimento.
FONTE: HELP NET SECURITY