A popularidade dos serviços em nuvem aumentou exponencialmente nos últimos anos. As perspectivas de economia em despesas de capital e operacionais têm sido forças motrizes significativas para influenciar as empresas a adotarem serviços em nuvem. A escalabilidade e a elasticidade também são os principais fatores que incentivam as empresas a migrar para a nuvem. No entanto, migrar para a nuvem traz muitos desafios. A segurança é uma grande preocupação para as organizações que desejam migrar para a nuvem.
Segurança de dados
Os dados de uma organização estão entre seus ativos mais valiosos. Portanto, a segurança de dados desempenha um papel importante para muitas organizações ao migrar para a nuvem. Os provedores de serviços em nuvem (CSPs) mantêm em segredo a localização exata de seus data centers. Embora essa seja uma prática recomendada reconhecida em segurança física, muitos clientes em potencial ficam desconfortáveis com o armazenamento de dados na nuvem devido ao medo de não saber a localização de seus dados.
A soberania de dados também desempenha um papel importante nisso. As organizações querem evitar complicações legais que possam tornar seus dados inacessíveis para elas. A conformidade com regulamentos como a LGPD também é uma preocupação importante para as organizações. A violação da LGPD pode atrair pesadas penalidades financeiras, que a maioria das organizações deseja evitar. Existem muitos outros regulamentos cujas violações são igualmente caras. Por esse motivo, muitas organizações preferem armazenar dados confidenciais, como aqueles que contêm informações de identificação pessoal (PII) no local.
Os sistemas de prevenção contra perda de dados (DLP) são essenciais para uma organização. A exclusão acidental de dados pode ocorrer do lado da organização. O Acordo de Nível de Serviço (SLA) pode ditar que o CSP deve facilitar a restauração de sistemas e informações quando tais incidentes ocorrerem. Se o CSP não puder cumprir o SLA, o cliente poderá incorrer em grandes perdas. As organizações também querem garantir a segurança de seus backups. Em caso de perda ou corrupção de dados, as organizações desejam que os dados sejam restaurados dentro de seu Objetivo de Tempo de Recuperação (RTO) e Objetivo de Tempo de Recuperação (RPO).
Riscos da ambientes Multi-Nuvem
Muitas empresas usam software e serviços de diferentes fornecedores para diferentes casos de uso. Quando essas empresas decidem migrar para a nuvem, às vezes os casos de uso as obrigam a adotar um modelo multi-nuvem. De acordo por pesquisadores em 2021, 98% dos profissionais de segurança que trabalham em ambientes multi-nuvem disseram que o modelo aumenta os riscos de segurança. Os entrevistados da mesma pesquisa indicaram que é difícil encontrar profissionais de segurança em nuvem que sejam especialistas em todos os ambientes de nuvem operados pelos diferentes CSPs.
Essa possibilidade de aumento de riscos é devido à adoção de um modelo multi-nuvem, na qual leva as organizações a comprometer alguns dos benefícios da nuvem mantendo um CSP. As organizações com um baixo desejo ao risco não se arriscam ao escolher uma opção de provedor multinuvem. As empresas com um desejo de risco relativamente maior consideram os benefícios e aceitam o risco.
Executando a devida diligência
Escolher um CSP em detrimento de outro nem sempre é uma decisão fácil. Alguns fornecedores podem dificultar a migração de uma organização para outro fornecedor. As organizações devem realizar pesquisas adequadas antes de escolher um CSP para garantir que entendem os termos e condições de uso dos serviços em nuvem desse CSP específico.
A falha na devida diligência também pode frustrar os esforços de resposta a incidentes no caso de um ataque. A maioria dos CSPs opera com um modelo de responsabilidade compartilhada quando se trata de lidar com a segurança na nuvem. É fundamental que os clientes de nuvem entendam suas funções e as funções do CSP no modelo. Os ataques cibernéticos são inevitáveis e os planos adequados de resposta a incidentes devem estar em vigor. Os clientes de nuvem precisam garantir que o provedor escolhido possa oferecer suporte eficaz aos esforços de resposta a incidentes.
As vulnerabilidades de tecnologia compartilhada também são uma consideração importante de due diligence.
Ao avaliar uma opção de nuvem pública, o cliente deve entender que a nuvem pública usa multilocação para economia. Os consumidores de nuvem também devem garantir que o CSP use uma abordagem de defesa profunda para proteger a carga de trabalho de cada cliente. A falta de segurança em camadas permitiria que um invasor comprometesse outros clientes após atacar com sucesso um cliente.
Ataques aos serviços de nuvem
Ataques de negação de serviço
Os ataques de negação de serviço (DoS) e de negação de serviço distribuído (DDoS) podem paralisar as operações de negócios. As organizações que executam serviços críticos na nuvem podem ser severamente afetadas por esse ataque. As organizações devem estar interessadas em eliminar pontos únicos de falha ao provisionar cargas de trabalho para minimizar o risco de ataques DoS.
APIs inseguras
A maioria das tarefas de administração de nuvem são executadas por meio de chamadas de API (Application Programming Interface). Essas tarefas incluem provisionamento, gerenciamento, orquestração e monitoramento de cargas de trabalho. A importância das APIs seguras não pode ser subestimada, pois a segurança e a disponibilidade dos serviços gerais de nuvem dependem dessas APIs. A falta de autenticação eficaz, controle de acesso e monitoramento das APIs pode causar violações massivas e ataques desastrosos.
Desastres naturais
A possibilidade de um desastre natural, embora não seja uma preocupação de ataque, também é um evento de interrupção do serviço. Se um ato da natureza destruir os data centers de um CSP, a interrupção para as empresas que usam esse data center é monumental. Os CSPs têm alta redundância para seus data centers, mas o risco ainda que seja mínimo, é presente.
Conclusão
A migração para a nuvem é uma importante decisão de negócios e não deve ser realizada sem primeiro entender completamente as implicações dos riscos. No entanto, como muitas organizações que migraram para a nuvem ou foram concebidas inteiramente na nuvem, quando cuidadosamente consideradas, a nuvem pode ser um excelente facilitador de negócios.