Principais suposições falsas de segurança na nuvem que criam riscos desnecessários

Já se passaram 15 anos desde que a Amazon Web Services lançou a primeira plataforma de infraestrutura em nuvem. Com o toque de um botão, você pode ativar um data center sem precisar comprar nenhum hardware ou enterrar capital. Mas, inicialmente, muitas empresas olharam para a nuvem com desconfiança. Desconfiados de perder o controle, eles se mantiveram firmes em administrar seus próprios data centers. Eles pensaram que a nuvem era arriscada. E foi.

Nesta postagem do blog — a primeira de duas — exploraremos falsas suposições sobre segurança na nuvem que tornam a nuvem mais arriscada do que precisa ser.

A nuvem: muito atraente para ser ignorada

Apesar dos riscos, com o tempo, o valor da nuvem se mostrou convincente demais para ser ignorado. Hoje, quase todas as empresas usam a nuvem em um grau ou outro. E muitas organizações confiam na nuvem para hospedar operações críticas — algo impensável há uma década.

Embora a nuvem tenha proporcionado benefícios de longo alcance, seus riscos e desafios permanecem. Impondo uma aplicação abrangente, Segurança Zero Trust na nuvem é tão importante quanto para qualquer outra parte da sua infraestrutura digital.

O maior problema? As organizações geralmente não entendem completamente as formas pelas quais sua infraestrutura de nuvem as expõe. ataques cibernéticos e ransomware.

Suposição #1: Seu provedor de nuvem é responsável pela segurança de seus aplicativos.

Se não for seu provedor de nuvem, quem é responsável por segurança na nuvem?

A verdade é que a segurança é uma responsabilidade compartilhada.

Se você estiver trabalhando com a Amazon, a Microsoft, o Google ou qualquer outro fornecedor de nuvem, se observar as letras miúdas, verá que a responsabilidade de segurança deles se limita a proteger apenas a malha da rede — isso é tudo o que compõe seu ambiente de hospedagem.

A segurança do aplicativo ainda é de sua responsabilidade. Assim que você implanta uma instância de aplicativo com um sistema operacional no topo da rede em nuvem, protegê-la é seu trabalho, não deles.

Além disso, o suporte de segurança em nuvem dos fornecedores usa um modelo de “melhor esforço”, não contratos de nível de serviço (SLAs). Isso significa que eles só precisam prometer fazer o possível para protegê-lo contra ameaças geradas pela rede, como ataques distribuídos de negação de serviço (DDoS). Mas se alguém passar, bem, eles deram o melhor de si. Quanto à proteção de suas cargas de trabalho, você sempre decide.

Além disso, embora os provedores de nuvem corrijam sistemas como servidores Linux que hospedam aplicativos, isso não resolve suas possíveis vulnerabilidades de aplicativos. Sem visibilidade na camada do aplicativo, você não pode saber se um aplicativo foi implantado ou configurado corretamente.

Suposição #2: A segurança na nuvem é fácil de gerenciar.

Os benefícios da nuvem — velocidade, agilidade e elasticidade — realmente fazem segurança na nuvem mais difícil. Isso porque a nuvem permite que praticamente qualquer pessoa em sua organização crie um novo aplicativo ou recurso com apenas alguns cliques do mouse.

Tornando as coisas ainda mais difíceis, poucas organizações gerenciam centralmente serviços em nuvem dentro de suas equipes de TI e segurança. Em vez disso, várias unidades de negócios e grupos podem configurar novas contas na nuvem de forma independente.

Em outras palavras, qualquer usuário ou desenvolvedor com direitos de acesso pode criar aplicativos com portas abertas para a Internet, onde qualquer coisa pode se comunicar com qualquer coisa. E tudo isso pode acontecer sem que a TI ou a segurança saibam que esses aplicativos existem, quanto mais protegê-los.

Além disso, as grandes empresas geralmente têm centenas de contas na nuvem na AWS, Microsoft Azure, Google Cloud e outras plataformas de nuvem. Cada uma dessas contas pode ter muitas nuvens privadas virtuais com seus próprios grupos de segurança.

Tudo isso torna cada vez mais difícil gerenciar esses grupos e entender sua exposição à segurança. Seria útil ter ferramentas para visualizar o tráfego de aplicativos de e para ambientes de nuvem, mas, normalmente, os provedores de nuvem não as oferecem.

A nuvem veio para ficar, assim como seus riscos de segurança

À medida que organizações grandes e pequenas consideram migrar cargas de trabalho para a nuvem, muitas vezes deixam a segurança de fora da discussão. Por quê? Porque algumas equipes podem ver a segurança como um inibidor que desacelera os negócios, não como um facilitador que pode acelerar os negócios.

Isso cria um dilema difícil para CIOs, executivos de segurança e outros líderes de tecnologia. Se você não pode apoiar iniciativas e aplicativos que impulsionam os negócios, você não está ajudando a empresa a crescer. Mas se você não está gerenciando os possíveis riscos de segurança que a nuvem apresenta, você está expondo a empresa a ameaças graves.

Fique ligado na próxima postagem do blog, na qual revelarei mais suposições de segurança na nuvem isso pode estar colocando sua empresa em risco.

Enquanto isso, saiba como a Illumio pode ajudar você a criar uma segurança digital mais forte para sua ambientes de nuvem híbrida e multinuvem. Ou peça a um de nossos especialistas que explique como a Illumio pode fortaleça suas defesas digitais contra ransomware e ataques cibernéticos.