Tecnologias baseadas em ambientes virtuais estão sendo adotadas massivamente pelas empresas. Elas proporcionam flexibilidade e escalabilidade na infraestrutura, possibilitando grandes oportunidades de inovação nos negócios. Mas como garantir a segurança na nuvem?
Convidamos Eduardo Alves, profissional com mais de 20 anos de experiência no mercado de tecnologia e especialista em Cloud Security para esclarecer como as empresas podem trabalhar com tecnologias cloud com segurança.
Durante nossa conversa, Eduardo menciona a responsabilidade dos provedores cloud em relação a conformidade com LGPD e resolução nº 4.658 do Bacen. Além de nos esclarecer sobre modelos e provedores cloud, Eduardo fornece um guia completo para implementação do cloud security utilizando processos de governança e ferramentas de segurança.
Saiba como garantir a segurança na nuvem diante dos desafios de operações 100% cloud, conformidades, DevSecOps e gestão de vulnerabilidades.
Nesse artigo falamos sobre:
Conheça Eduardo Alves, especialista em Cloud Security
Nosso convidado, Eduardo Alves, possui mais de 20 anos de experiência em cibersegurança, atuando também como palestrante em conferências de tecnologia e segurança. Além disso, Eduardo lidera equipes responsáveis por projetos e operações de Cibersegurança, Cloud Security, SOC/MSS, Resposta a Incidentes/Threat Intelligence e DevSecOps, com resultados relevantes em grandes empresas de setores de tecnologia, telecomunicações, bancário, logística e utilities.
A seguir, Eduardo divide orientações valiosas sobre o cloud security e esclarece dúvidas recorrentes sobre provedores cloud, conformidade com leis e o uso de ferramentas de segurança na esteira de desenvolvimento de software.
Começando com Cloud Security
Existe uma percepção do mercado de tecnologia de que ambientes cloud são considerados mais seguros, porém é preciso esclarecer que segurança da informação vai além de um modelo de arquitetura ou implementação de uma ferramenta.
Confira abaixo as percepções do nosso convidado Eduardo sobre o assunto. Em seguida, Eduardo esclarece alguns mitos sobre cloud security e compartilha conosco boas práticas para manutenção da segurança em ambientes cloud.
Segurança
Comparando o cloud security com outras arquiteturas, Eduardo explica que a cloud não fornece mais ou menos segurança que outros modelos, mas existem mecanismos próprios de proteção. Os mecanismos de segurança também precisam ser adotados em ambientes cloud (assim como em qualquer outra arquitetura) para não exposição de dados da empresa.
Eduardo complementa: “Se eu publico os dados dos meus clientes na cloud com permissionamento aberto, isso vai ser exposto rapidamente. (…) Casos de exposição de dados em grandes companhias acontecem por conta de falhas simples em permissionamento. (…) A segurança é você quem faz com processos, pessoas e tecnologias. Se a cloud é mais segura? Isso depende de você.”
Modelos
Cada modelo exige compartilhamento de responsabilidades. Em um modelo mais básico que consiste em contratar uma máquina e gerenciar o servidor apresenta as mesmas preocupações de um servidor local.
Eduardo nos explica as diferenças entre os modelos PAAS e SAAS relacionadas a segurança e privacidade.
“No modelo PAAS seu provedor é responsável pelo gerenciamento do sistema operacional e você apenas se preocupa com seu runtime e segurança no código. Enquanto no modelo SAAS, sua preocupação basicamente são os dados e o controle desses dados. (…) Qualquer lei diz que o grande responsável pela privacidade dos dados é a sua empresa, seja em um modelo cloud ou em uma TI tradicional.”
Provedores
Pedimos para nosso convidado compartilhar conosco boas práticas para a escolha de provedores cloud. Eduardo recomenda testar mais de um provedor e também possuir uma boa governança dos custos para ter uma real noção de quanto uma infraestrutura baseada em cloud pode custar a sua empresa.
Eduardo concluiu: “O que eu tenho visto é as grandes empresas adotando uma abordagem híbrida e multi-cloud, isso significa uso de qualquer provedor para prestar o serviço e ter a possibilidade de sair a hora que desejar. Essa estratégia traz flexibilidade porque você pode usar tecnologias diferentes como linux e windows para serviços específicos.”
Conformidade na Nuvem
Em vigor desde 2018, a resolução nº 4.658 do Bacen estabelece que as instituições financeiras devem implementar procedimentos para contratação de provedores de computação em cloud, além disso leis como LGPD e GDPR determinam processos de segurança necessários para o armazenamento e tratamento de dados pessoais nesses ambientes.
Muitas empresas ainda possuem dúvidas sobre como atingir a conformidade com leis enquanto suas operações estão em ambientes cloud. Nosso convidado esclarece as principais dúvidas sobre o assunto e fornece dicas importantes para as empresas que buscam conformidade na cloud.
Governança de Dados
Eduardo esclarece que é mais fácil fazer a conformidade com Bacen, LGPD e GDPR em ambientes cloud quando a empresa possui um processo de governança de dados.
“Na cloud é possível fazer uma melhor governança dos seus dados, pois eles estão em um único provedor. (…) O que é uma grande dificuldade quando você vai fazer isso em uma estrutura de TI tradicional porque seus dados estão espalhados. Nessa estrutura tradicional você vai precisar descobrir os dados, classificar os dados, colocar controles e monitorar. (…) Enquanto na cloud, o seu provedor ajuda você a fazer isso de uma forma mais fácil comparado a uma estrutura de TI tradicional ou uma estrutura híbrida.”
Transferência Internacional de Dados
Outro ponto importante é se o armazenamento de um banco de dados ou aplicação em um outro país categoriza transferência internacional pela LGPD.
De acordo com Eduardo, o maior risco em armazenar dados em outras regiões é a possibilidade da empresa sofrer alguma sanção de uma lei específica daquele local, porém esse cenário não é problemático pensando em LGPD ou regulamentações do Bacen.
“Em contrapartida, se você tem seus dados no Brasil você conhece as leis e sabe o que é preciso fazer para estar em conformidade com as exigências. (…) Antes da contratação de um provedor cloud é preciso entender onde seus dados estarão armazenados e planejar um processo de governança de dados.”
DevSecOps impulsionado pelo Cloud Security
Para o nosso convidado Eduardo, o DevSecOps veio como uma boa alternativa para as equipes de segurança que enfrentam constantemente o desafio de acompanhar as entregas do time de desenvolvimento. Ele nos conta como esse modelo contribui para o cloud security.
“Com o DevSecOps você consegue colocar tarefas específicas de segurança no backlog do time e incluir ferramentas de análise de vulnerabilidades como o SAST e DAST na esteira de desenvolvimento. (…) Isso é libertador para nós de segurança porque não precisamos mais acompanhar detalhadamente as entregas e também não precisamos mais rodar ferramentas de forma manual. Tudo está integrado e isso dá autonomia para o time de desenvolvimento, assim os desenvolvedores tornam-se mais maduros e entregam código seguro com mais frequência.”
Confira abaixo as recomendações para a implementação do DevSecOps em um modelo de cloud security.
Governança de Ferramentas
Uma arquitetura das ferramentas é o primeiro passo em direção ao cloud security. Eduardo nos explica a importância de possuir essa arquitetura básica e gerenciar o processo de governança.
“Desde as startups até as multinacionais, todas as empresas precisam possuir uma baseline. (…) Independentemente do provedor de cloud, todas as empresas precisam garantir medidas básicas de segurança, como segregação de ambiente, controle de acesso e padrões de proteção a dados. Sem essa baseline você perderá a governança e qualquer colaborador ficará livre para fazer o que achar melhor sem considerar medidas de segurança. “
Questionamos Eduardo sobre como podemos garantir uma baseline segura para a esteira de desenvolvimento em função da quantidade de ofertas de ferramentas disponibilizadas pelos provedores cloud. Segundo nosso convidado, a escolha das ferramentas depende do orçamento, performance desejada e apetite de riscos da empresa.
“Temos desde ferramentas open-source muito boas até ferramentas mais modernas e pagas. (…) Para a construção de uma baseline segura é importante que as ferramentas sejam utilizadas obrigatoriamente e que não seja possível burlar nenhuma etapa ou processo. (…) Com relação ao ambiente cloud é preciso ficar atento também ao controle dos custos para cada alteração, assim a escolha da ferramenta depende de quanto você está disposto a pagar por isso.”
O gerenciamento do apetite de riscos da empresa pode ser feito de uma melhor forma quando utilizamos modelos de cloud security. A cloud fornece flexibilidade e a possibilidade de escalonar uma infraestrutura de uma forma mais fácil em comparação a um modelo de TI tradicional, permitindo experimentos e provas de conceitos.
Sobre o assunto, Eduardo complementa: “Muitas vezes a empresa precisa lançar uma nova funcionalidade para garantir competitividade no mercado e nosso papel é entender o dinamismo do negócio e prover segurança. (…) Por exemplo, se eu tenho uma vulnerabilidade e não consigo mudar o código agora, eu posso pelo menos segregar a aplicação em um ambiente mais seguro e controlado. Em um segundo momento podemos corrigir a vulnerabilidade e não impactar o negócio.”
Gestão de Vulnerabilidades
Por fim, Eduardo esclarece como pode ser feita a gestão de vulnerabilidades em ambientes cloud visando a segurança do ambiente.
“A gestão de vulnerabilidades na cloud é diferente. Como é um ambiente dinâmico, você precisa ter domínio sobre tudo que é feito no ambiente. (…) Sobre os containers, é preciso ter uma boa governança das imagens usadas, sem isso o seu time de desenvolvimento vai usar imagens heterogêneas e sem certificação de segurança comprovada.”
Considerações Finais
Ferramentas de gestão de segurança e vulnerabilidades são vistas como um grande diferencial para o cloud security. A plataforma GAT Core escaneia todo o seu ambiente em nuvem e busca por ativos vulneráveis à exposição de dados e brechas de segurança. Após a identificação dos seus ativos na cloud, classificamos a criticidade das vulnerabilidades e assim, você precisa apenas se preocupar com a correção das falhas.
Tenha todos os seus controles de segurança, acompanhamento de conformidade com leis e gestão dos seus ativos cloud em uma única ferramenta. Agende uma demonstração da plataforma GAT e faça a gestão de segurança em seu ambiente cloud.
Agende uma demonstração da plataforma GAT Core e conheça como a ferramenta pode desempenhar um papel estratégico dentro da sua equipe de cibersegurança, colaborando com a formação dos profissionais ao passo que eles terão mais tempo para se dedicarem ao seu desenvolvimento profissional trazendo conhecimento para a empresa.
Você também pode curtir isso:
Postagens Recentes
- Desvendando o CAASM: saiba como as aplicações dessa técnica podem blindar sua empresa
- Desvendando o CAASM: entenda o que é a tecnologia e seus diferenciais
- Protegendo a Tecnologia Operacional: Desafios e Estratégias de Segurança.
- Automatize sua Segurança da Informação com o GAT Core
- 6 passos para a Gestão de Conformidade com a LGPD
Av. Angélica, 2582 – 2° Andar
Bela Vista – São Paulo/SP
CEP 01228-200
+55 (11) 4395-1322
contato@gatinfosec.com
Siga-Nos
Conteúdo
Links