Nos últimos anos, experimentamos como a tecnologia na nuvem tem impulsionado a transformação digital como nunca antes.
Neste sentido, um dos maiores desafios para empresas de todos os setores e tamanhos é acabar com os mitos que cercam os serviços em nuvem e a cibersegurança com a qual os sistemas desenvolvidos em infraestruturas em nuvem operam.
Neste guia abrangente, delineamos alguns dos pontos mais relevantes a serem considerados em termos de como funciona a cibersegurança na nuvem. Para isso, revisamos algumas das medidas de segurança que a Amazon Web Services (AWS) e a Google Cloud Platform (GCP) - plataformas nas quais a infra-estrutura tecnológica da Webdox CLM está localizada - desenvolveram a fim de oferecer um serviço com padrões de segurança de classe mundial; práticas recomendadas para melhorar a cibersegurança na nuvem; tendências de segurança em 2021, entre outros tópicos de interesse.
Finalmente, também apresentamos algumas das medidas específicas de segurança que desenvolvemos na Webdox CLM para oferecer a máxima segurança em nossas plataformas.
As plataformas hospedadas na nuvem mudaram completamente a forma como consumimos tecnologias, adaptando-se aos sistemas de todos os tipos.
O modelo de distribuição de licenças foi abandonado, dando lugar a uma abordagem muito mais orientada para o serviço. Agora, esta tendência está mudando as operações de todos os tipos de organizações, independentemente do tamanho, setor ou localização geográfica, com o objetivo de proteger ambientes de tecnologia na nuvem, bem como seus aplicativos e dados armazenados.
Desde sua origem, a segurança nas nuvens, ou cibersegurança, consiste nas seguintes categorias:
Mais importante ainda, é importante entender o que está sendo protegido por tais protocolos de cibersegurança, bem como todas as funcionalidades que a solução deve gerenciar. De modo geral, porém, a segurança cibernética é capaz de proteger os seguintes aspectos contra vulnerabilidades e riscos:
Atualmente, o fenômeno da segurança na nuven está criando grandes desafios e a cibersegurança está no topo da lista de prioridades das empresas de tecnologia intensiva. Isto foi evidenciado pelo relatório da McAfee "Building Trust in a Cloudy Sky", do qual podemos destacar:
Dados como estes nos permitem concluir que as empresas estão confiando cada vez mais nos serviços em nuvem, portanto, a cibersegurança é um fator ao qual deve ser sempre dada atenção especial.
Algumas empresas assumem que se contratarem um provedor de serviços de segurança cibernética, a responsabilidade por qualquer risco ou vulnerabilidade recairá diretamente sobre o software. Este não é o caso. A realidade é que a cibersegurança na nuven é uma responsabilidade compartilhada entre o fornecedor e o cliente.
Enquanto o provedor protege os componentes do sistema operacional, hospedagem e instalações físicas, o cliente deve ficar de olho em suas plataformas, sistemas, aplicativos, configuração e redes, e prestar atenção especial às permissões e privacidade com as quais os usuários acessam suas plataformas na nuvem. Desta forma, é o cliente que controla a arquitetura de segurança, a força de suas senhas, permissões de acesso, etc.
Isto significa que, ao contrário da segurança tradicional de TI, a segurança na nuvem torna-se um modelo de responsabilidade compartilhada porque o provedor de serviços tem o dever de gerenciar a segurança da infra-estrutura remota subjacente, enquanto o cliente é responsável pela segurança de tudo o que está acima do hypervisor, como sistemas operacionais convidados, acesso de usuários, aplicações, dados, etc.
Existem três modelos principais de serviços de tecnologia na nuvem: Infraestrutura como Serviço (IaaS), Plataforma como Serviço (PaaS) e Software como Serviço (SaaS).
Este tipo de serviço ena nuvem é caracterizado pela implantação de um software online para várias empresas que pagam por assinatura ou modelo pay-as-you-go. O provedor gerencia as diversas aplicações do cliente, seus dados, tempos de execução, middleware e sistema operacional em seus servidores. Exemplos de software SaaS incluem Google Drive, Slack, Webdox CLM, Microsoft 365 e Evernote.
O serviço PaaS oferece plataformas como serviços, ou seja, o provedor implementa a infra-estrutura e software, mas é o cliente quem desenvolve e executa seus próprios sistemas. Os provedores gerenciam o tempo de execução, o middleware e o sistema operacional, enquanto os clientes gerenciam seus sistemas, dados, acesso de usuários, dispositivos de usuários finais e redes de usuários finais. Exemplos de soluções PaaS incluem Windows Azure, IBM Smartcloud e Longjump.
A infraestrutura como serviço é quando um provedor hospeda infraestrutura para seus clientes. É um tipo de solução na nuvem que fornece recursos de informática, rede e armazenamento aos clientes sob demanda. Ou seja, o usuário final pode hospedar a maioria de suas atividades de TI, incluindo o sistema operacional nas plataformas de hardware e conectividade remota, gerenciando tudo o que está armazenado no sistema operacional, enquanto o provedor é responsável apenas pelo gerenciamento dos serviços básicos na nuvem. Exemplos de empresas que aplicam o modelo IaaS são: Amazon Web Services (AWS), Microsoft Azure e Google Compute Engine (GCE).
Existem três tipos de ambientes de nuvem que são aplicados nas empresas hoje em dia, todos com o objetivo de segmentar as responsabilidades de gestão, incluindo a segurança entre clientes e fornecedores.
Este tipo de ambiente de nuvem permite que vários usuários acessem automaticamente uma interface de auto-atendimento. Em outras palavras, um cliente compartilha os servidores de um provedor com outros usuários e clientes, tornando-a uma solução prática e acessível. Por fim, a nuvem pública consiste em serviços de terceiros executados pelo provedor para dar aos clientes acesso através da web. Normalmente, as implantações de nuvem pública são usadas para fornecer e-mail baseado na web, aplicações de escritório online, armazenamento e ambientes de desenvolvimento e teste.
A infra-estrutura deste tipo de ambiente de nuvem deve ser operada por uma única organização, por isso o serviço é mais caro, pois é projetado sob medida.
A nuvem privada pode ser fisicamente localizada no centro de dados da organização ou hospedada por um prestador de serviços externo. Normalmente, as nuvens privadas são adquiridas por agências governamentais, instituições financeiras e qualquer organização que tenha operações comerciais críticas e procure aumentar o controle sobre seu ambiente.
Este tipo de ambiente é caracterizado pela unificação do melhor da nuvem pública e privada. Em outras palavras, é uma arquitetura de computação que incorpora parte das cargas de trabalho em dois ou mais ambientes. É comumente definida como qualquer combinação de soluções de nuvem que trabalham em conjunto em ambientes locais e fora dos locais para fornecer serviços de computação a uma organização. Este tipo de ambiente de nuvem é ideal para start-ups que ainda não estão em condições de investir em servidores de alto custo próprios.
Também conhecido como o pior pesadelo de um administrador de sistemas, os ataques DDoS (Distributed Denial of Service) podem causar estragos fatais nas redes corporativas e custar às empresas somas significativas de dinheiro se não estiverem preparadas, tornando-as uma das maiores ameaças em termos de cibersegurança.
Enquanto as empresas com seus próprios servidores locais são geralmente as mais afetadas, aquelas que utilizam sistemas de computação em nuvem, tais como Google Cloud, Amazon Web Services (AWS) ou Microsoft Azure, não estão isentas de tais ameaças.
Abaixo, revisaremos algumas das melhores práticas para prevenir e mitigar estes tipos de ataques em configurações de computação em nuvem, mas primeiro, vamos ao básico.
Um ataque DDoS (Distributed Denial of Service) é uma tentativa de esgotar os recursos disponíveis para uma rede, aplicação ou serviço para que seus usuários legítimos não possam acessá-lo.
Há alguns anos, e em grande parte impulsionado pelo aumento do "hacktivismo", foi visto um renascimento nos ataques DDoS que levou à inovação nas áreas de ferramentas, alvos e técnicas utilizadas para executá-los.
Hoje, a definição de um "ataque DDoS" continua a ser complicada. Os hackers utilizam uma combinação de ataques de alto volume, juntamente com infiltrações mais sutis e difíceis de detectar que visam aplicações, bem como a infra-estrutura de segurança de rede existente, como firewalls e IPS (sistemas de proteção contra intrusões).
Desenvolver soluções escaláveis: Uma infra-estrutura escalável é fundamental para um sistema bem estruturado, mas é também uma técnica altamente eficaz para prevenir ataques DDoS. O dimensionamento para atender volumes adicionais de tráfego, seja válido ou de um ataque DDoS, aumentará a capacidade dos servidores para continuar operando.
Minimização da área de ataque: Neste caso, é fundamental desacoplar partes da infra-estrutura da rede. Por exemplo, ao executar websites públicos, é recomendável dissociar a aplicação do banco de dados e, se possível, a mídia e seu conteúdo estático também. As aplicações desacopladas limitam o acesso à Internet a componentes críticos do sistema, protegendo contra um ataque.
Isolando o tráfego interno da rede externa: ou seja, implementar instâncias sem IPs públicos, a menos que seja necessário. Por exemplo, configurando um gateway NAT ou um bastião SSH para limitar o número de instâncias que estão expostas à Internet. Uma vez disponível, o balanceamento de carga interna é executado para permitir que instâncias internas do cliente tenham acesso a serviços implantados internamente, evitando assim a exposição ao mundo externo.
Balanceamento de carga com a ajuda de Proxies: AWS e Google Cloud possuem ferramentas de balanceamento de carga HTTP(S) ou SSL Proxy, de modo que sua infra-estrutura de servidor de nuvem é capaz de mitigar e absorver muitos ataques de Camada 4 e outros, tais como SYN flooding, IP fragment flooding, etc. Ao ter uma ferramenta de balanceamento de carga HTTP(S) multi-região, eles conseguem dispersar quaisquer ataques potenciais através de suas instâncias de servidores ao redor do globo.
Em conclusão, enquanto os ataques DDoS continuam a ser uma ameaça sempre presente às infra-estruturas de nuvem, há muitas maneiras de estar preparado e lidar com eles com sucesso para manter sites ou aplicações sempre disponíveis no caso de uma tentativa de sobrecarregar a rede. É sempre necessário ter estes fatos em mente para manter uma rede saudável e estável.
Embora a responsabilidade pela segurança cibernética na nuvem seja uma tarefa compartilhada, é crucial que os próprios clientes implementem uma série de medidas de segurança para proteger suas aplicações e os dados armazenados na nuvem, a fim de mitigar os riscos de segurança. As melhores práticas de segurança cibernética incluem:
Proteção de dados no console de gerenciamento da nuvem: todos os provedores de serviços cibernéticos de segurança possuem um console de nuvem, um sistema que fornece uma interface web completa para que a organização gerencie e consulte todas as informações sobre serviços de nuvem, tais como aplicações web, administração de contas, gerenciamento de banco de dados, sistemas virtuais, redes ou data warehouses. Uma boa prática para proteger as informações armazenadas neste ambiente é que as organizações controlem o acesso e o monitorem rigorosamente, limitando os privilégios de acesso ao console para evitar ataques e vazamento de dados, pois eles são um dos principais alvos dos cibercriminosos.
Proteger a infra-estrutura virtual: este é outro alvo de interesse para ciberataque: servidores virtuais, contêineres, depósitos de dados e outros recursos semelhantes podem ser violados se não forem adequadamente protegidos. Neste sentido, os cibercriminosos podem invadir as ferramentas de provisionamento automático e explorá-las para montar ataques e interromper os serviços. Portanto, é essencial que os clientes estabeleçam fortes práticas de segurança para impedir o acesso não autorizado a scripts de automação e ferramentas de provisão de nuvens.
Proteção chave SSH API: Um servidor SSH pode autenticar clientes através de uma variedade de sistemas. O formulário mais comum é a autenticação por senha, que é fácil de usar, mas não é o mais seguro. Portanto, outra boa prática de salvaguarda da cibersegurança é proteger as chaves SSH API removendo as chaves SSH embutidas das aplicações e garantindo que somente as aplicações autorizadas tenham acesso a elas, impedindo que sejam instaladas em repositórios públicos.
Proteção no desenvolvimento e gerenciamento DevOps: O desenvolvimento de aplicações e processos operacionais são provavelmente um dos aspectos mais importantes a considerar em termos de segurança cibernética. Os criminosos cibernéticos freqüentemente tentam explorar consoles DevOps e ferramentas de gerenciamento a fim de lançar ataques ou roubar dados. Portanto, é fundamental que as empresas, em seu papel como clientes, monitorem e avaliem constantemente o acesso às ferramentas e consoles de gestão utilizados em cada etapa do processo de desenvolvimento e entrega de aplicativos para mitigar riscos.
Proteger código nos processos de desenvolvimento e operações: É comum que os desenvolvedores insiram credenciais de segurança no código fonte armazenado no armazenamento compartilhado ou em repositórios de código público na nuvem. Isto pode criar vulnerabilidades no processo DevOps quando as credenciais de aplicação são mal administradas, roubando, por exemplo, informações proprietárias e criando problemas mais sérios para o cliente. Neste sentido, a recomendação é que a organização elimine os segredos do código fonte, implementando sistemas e práticas para monitorar e controlar o acesso automaticamente de acordo com cada política comercial.
Proteger o acesso de administração para provedores de nuvens: Como mencionado acima, todos os provedores de serviços em nuvem (SaaS) têm um console de gerenciamento integrado para administrar usuários e serviços. Entretanto, estas contas de gestão são outro alvo para os ciberataqueiros. Para evitar riscos, os clientes devem controlar e monitorar de forma regular e rigorosa os privilégios de acesso ao console de gerenciamento SaaS para garantir a segurança dos dados.
Os principais provedores de serviços em nuvem, tais como Amazon Web Services ou Google Cloud, nos quais grande parte dos serviços em nuvem oferecidos no mercado opera, abordaram proativamente seus controles de segurança conduzindo verificações independentes de políticas de segurança, privacidade e conformidade e tornando esses relatórios publicamente disponíveis.
Deixe-nos seus dados para enviar este ebook para seu endereço de e-mail
Durante a Cúpula de Gestão de Risco e Segurança do Gartner 2021, Peter Firstbrook, vice-presidente de pesquisa do Gartner, enfatizou as 8 principais tendências para este ano como uma resposta aos persistentes desafios globais que todas as organizações estão enfrentando em termos de gestão de risco, falhas de processo e segurança devido à atual crise de saúde.
No evento, Firstbrook enfatizou que o principal desafio para as organizações é a falta de habilidades, com 80% achando difícil encontrar e contratar talentos que economizam em segurança, enquanto 71% dos entrevistados dizem que sua capacidade de entregar projetos relacionados à segurança foi afetada.
A situação geopolítica atual, além das regulamentações globais em vigor, são outros aspectos que as organizações devem avaliar constantemente para manter a segurança da informação e mitigar os riscos, especialmente à medida que os espaços e cargas de trabalho migram para fora dos ambientes e redes tradicionais.
O crescimento em termos de diversidade e novos pontos finais também cria uma sensação de incerteza, especialmente em termos dos desafios do resgate e do compromisso de e-mail empresarial, entre outras questões.
As principais tendências de segurança cibernética e gerenciamento de risco do Gartner para 2021, são as seguintes:
Solução focada na implementação de controles de segurança onde eles são mais necessários, em vez de todas as ferramentas estarem localizadas em um único silo, estendendo assim os controles de segurança a todos os ativos distribuídos fora dos perímetros tradicionais da empresa.
O acesso para qualquer usuário a qualquer momento e de qualquer lugar é hoje uma realidade indiscutível. É por isso que a segurança da identidade por usuário requer uma mudança essencial no gerenciamento e monitoramento dos perfis em comparação com os modelos tradicionais de identificação, sempre verificando sua autenticação para detectar possíveis ataques contra infra-estruturas.
Uma alta porcentagem da força de trabalho global continuará a trabalhar remotamente mesmo após a pandemia. Esta mudança de paradigma requer uma reinicialização total das políticas e ferramentas de segurança específicas do espaço de trabalho on-line, levando a uma revisão periódica das políticas de proteção de dados, recuperação de desastres e backup para garantir que as organizações continuem a operar em um ambiente remoto.
O Gartner prevê que até 2025, 40% dos conselhos de administração terão um comitê dedicado à cibersegurança supervisionado por um membro qualificado do conselho, em comparação com menos de 10% atualmente.
Ter um grande número de fornecedores associados à segurança da informação nas organizações pode ser contraproducente, pois aumenta a complexidade do processo, os custos de integração e os requisitos de pessoal. Neste sentido, ter menos soluções de segurança pode facilitar a configuração e resposta adequada aos alertas, melhorando sua postura de risco de segurança.
Estão surgindo novas soluções informáticas que protegem os dados enquanto estão sendo utilizados em tempo real, e não quando estão apenas em repouso, permitindo que sejam processados e trocados de forma mais eficiente e segura.
O Gartner prevê que até 2025, 50% das grandes organizações adotarão computação que melhore a privacidade para processar dados em ambientes não confiáveis ou em casos de uso analítico de dados multipartidário.
Os avanços na tecnologia de segurança cibernética permitiram o desenvolvimento de ferramentas de simulação de violação e ataque (BAS) para fornecer avaliações contínuas de postura defensiva, desafiando a visibilidade limitada. Desta forma, as equipes são capazes de identificar lacunas em sua postura de segurança de forma mais eficaz, priorizando as iniciativas de segurança de forma mais eficiente.
Esta última tendência para segurança cibernética visa estabelecer e gerenciar a confiança na identidade de uma máquina interagindo com outras entidades, tais como dispositivos, aplicações, serviços em nuvem ou gateways, especialmente agora que a digitalização de processos e a Internet sem fio assumiram um papel de liderança em empresas perturbadoras.
O uso de soluções em nuvem tornou-se um dos sistemas mais amplamente utilizados para melhorar a colaboração, a agilidade dos processos e a disponibilidade de informações. Esta mudança significa que as equipes de TI têm que atualizar suas habilidades e estabelecer vários protocolos, com medidas de segurança para controlar e salvaguardar o acesso à informação.
A boa notícia é que cada vez mais empresas estão se unindo à tendência de automatizar seus processos a fim de otimizar a gestão de recursos e gerar vantagens competitivas. Isto também incentiva a necessidade de automatizar a gestão de contratos, um aspecto chave que se aplica a todas as empresas no mundo inteiro, para seus diferentes departamentos e indústrias.
Uma plataforma SaaS para gestão de contratos, como Webdox CLM,tem que cumprir uma série de padrões de segurança cibernética, baseados nos principais desafios que um ambiente de nuvem representa. Entre as principais estão:
Neste sentido, e em conformidade com a legislação vigente, o software de gerenciamento de contratos Webdox CLM adotou as medidas técnicas e organizacionais de segurança e confidencialidade adequadas à categoria de dados pessoais, necessárias para manter o nível de segurança exigido, com o objetivo de evitar ao máximo a alteração, perda ou processamento ou acesso não autorizado que possa afetar a integridade, confidencialidade e disponibilidade das informações.
Webdox CLM tem uma equipe que preserva a segurança de suas informações, conduzindo testes de vulnerabilidade e fornecendo segurança a seus usuários de duas maneiras específicas:
Servidores e infra-estrutura: As informações que os usuários carregam no Webdox CLM são armazenadas em datacenters da plataforma Google Cloud Platform (GCP). Portanto, a Webdox CLM aproveita as inúmeras certificações de segurança que a GCP possui atualmente (Google Cloud Compliance), para demonstrar a segurança no armazenamento de informações. Ele também adapta sua arquitetura de servidor Google para que seja capaz de evitar ataques de computador de diferentes tipos.
Segurança da plataforma: Webdox CLM contém uma série de funcionalidades projetadas para proteger informações, associadas ao gerenciamento de senhas, segurança de sessão, controle IP ao acessar o sistema, criptografia de dados, eliminação e perda de informações. Webdox também é certificado pela ISO 27001, especificamente na plataforma de gerenciamento de contratos CLM e assinatura eletrônica.
Considerando o acima exposto, é necessário estar ciente do papel fundamental que os contratos desempenham em organizações de todos os tamanhos e indústrias, especialmente em termos das valiosas informações que possuem, de modo que a segurança cibernética não pode ser deixada ao acaso. A chave é escolher uma plataforma que tenha padrões de segurança de classe mundial, que proporcione transparência durante todo o processo contratual com as áreas envolvidas e assim aproveitar todos os benefícios que o ciclo de vida do contrato proporciona.
Webdox Latam @ Todos os direitos reservados.