Índice:
Vídeo: Documentário "Licença para Plantar". Sobre transgênicos - Legendado pt-BR 2024
As empresas que trabalham em ambientes de nuvem híbrida devem considerar muitos tipos de riscos de segurança e considerações de governança. Compreender a segurança é um alvo em movimento. A educação é fundamental para garantir que todos na organização compreendam seus papéis e responsabilidades de segurança.
Riscos de segurança do sistema informático
De acordo com o Instituto Nacional de Padrões e Tecnologia (NIST), um órgão de padrões governamentais, sistemas informáticos estão sujeitos a muitas ameaças, desde a perda de dados até a perda de uma instalação computacional completa por causa do incêndio ou desastre natural. Essas perdas podem advir de funcionários confiáveis ou de hackers.
O NIST divide esses riscos nas seguintes categorias:
-
Erros e omissões, incluindo erros de dados ou erros de programação
-
Fraude e roubo
-
Sabotagem de funcionários
-
Perda de suporte de infra-estrutura física
-
hackers mal-intencionados
-
Código malicioso
-
Ameaças para privacidade pessoal individual
Riscos de segurança de nuvem híbridos
Muitos dos mesmos riscos de segurança que as empresas enfrentam ao lidar com seus próprios sistemas informáticos são encontrados na nuvem, mas existem algumas reviravoltas importantes. A Cloud Security Alliance (CSA), uma organização dedicada a garantir as melhores práticas de segurança na nuvem, observou em sua publicação recente, "Orientação de segurança para áreas críticas de foco em computação em nuvem", que áreas importantes de risco de segurança operacional na nuvem incluem o seguinte:
-
Segurança tradicional: Um ambiente de nuvem híbrido muda a segurança tradicional porque você não está mais totalmente no controle. Alguns dos ativos de computação que você está usando não estão nas suas instalações. Agora você deve garantir que medidas de segurança tradicionais fortes sejam seguidas pelo seu provedor de nuvem.
-
Segurança física cobre a segurança de equipamentos de TI, recursos de rede e infra-estrutura de telecomunicações. A CSA recomenda as defesas "ativas e passivas" para a segurança física.
-
A segurança dos recursos humanos trata do lado das pessoas da equação - garantindo verificações de antecedentes, confidencialidade e segregação de funções (isto é, aqueles que desenvolvem aplicativos não os operam).
-
Os planos de continuidade de negócios precisam fazer parte de qualquer acordo de nível de serviço para garantir que o provedor atenda seu acordo de nível de serviço para operação contínua com você.
-
Os planos de recuperação de desastres devem garantir que seus recursos (por exemplo, dados e aplicativos) estejam protegidos.
-
-
Manipulação de incidentes: Um ambiente de nuvem híbrido altera o tratamento de incidentes em pelo menos duas maneiras. Primeiro, enquanto você pode ter controle sobre seu próprio centro de dados, se ocorrer um incidente, você precisará trabalhar com seu provedor de serviços porque o provedor de serviços controla pelo menos parte da infra-estrutura.
Em segundo lugar, a natureza multi-inquilino da nuvem geralmente torna a investigação de um incidente mais complicado. Por exemplo, porque a informação pode ser misturada, a análise do registro pode ser difícil, pois seu provedor de serviços está tentando manter a privacidade. Você precisa descobrir como seu provedor de serviços define um incidente e verifique se você pode negociar como você trabalhará com o provedor para garantir que todos estejam satisfeitos.
-
Segurança do aplicativo: Quando um aplicativo está na nuvem, ele está exposto a todos os tipos de ameaças à segurança. O CSA divide a segurança do aplicativo em diferentes áreas, inclusive garantindo o ciclo de vida do desenvolvimento de software na nuvem; autenticação, autorização e conformidade; gerenciamento de identidade, gerenciamento de autorização de aplicativos, monitoramento de aplicativos, testes de penetração de aplicativos e gerenciamento de riscos.
-
Criptografia e gerenciamento de chaves: A criptografia de dados se refere a um conjunto de algoritmos que podem transformar o texto em um formulário chamado cyphertext, , que é uma forma criptografada de texto sem formatação que as partes não autorizadas não conseguem ler. O destinatário de uma mensagem criptografada usa uma chave que desencadeia o algoritmo para descriptografar os dados e fornecê-lo em seu estado original ao usuário autorizado. Portanto, você pode criptografar dados e garantir que apenas o destinatário pretendido possa descriptografá-lo.
Na nuvem pública, algumas organizações podem ficar tentadas a criptografar todas as suas informações, porque estão preocupadas com o seu movimento para a nuvem e o quão seguro ela está na nuvem. Recentemente, especialistas no campo começaram a considerar outras medidas de segurança além da criptografia que pode ser usada na nuvem.
-
Gerenciamento de identidade e acesso: O gerenciamento de identidade é um tópico muito amplo que se aplica a muitas áreas do data center. O objetivo do gerenciamento de identidade é controlar o acesso a recursos, aplicativos, dados e serviços do computador.
O gerenciamento de identidade muda significativamente na nuvem. Em um centro de dados tradicional, você pode usar um serviço de diretório para autenticação e, em seguida, implantar o aplicativo em uma área segura de firewall. A nuvem muitas vezes requer múltiplas formas de identidade para garantir que o acesso aos recursos seja seguro.
Com o crescente uso de computação em nuvem, tecnologia sem fio e dispositivos móveis, você não possui limites bem definidos quanto ao que é interno e o que é externo aos seus sistemas. Você deve avaliar se existem furos ou vulnerabilidades em servidores, redes, componentes de infraestrutura e pontos finais e, em seguida, monitorá-los continuamente. Em outras palavras, você precisa confiar em sua própria infraestrutura, bem como na infra-estrutura de um provedor da nuvem.
