Jeferson Propheta*
Numa era anterior à computação em nuvem, as empresas geralmente arcavam com a responsabilidade de proteger os sistemas no data center e seus aplicativos. Hoje, os provedores de serviços em nuvem estão prontos, dispostos e capazes de aliviar parte dessa carga de seus clientes. O quanto, entretanto, vai depender do serviço.
Estabelecer onde começam e onde terminam as obrigações de segurança para os provedores de serviços em nuvem e seus clientes constitui o objetivo do modelo de responsabilidade compartilhada. Aventurar-se na nuvem sem uma compreensão do que precisa ser protegido só aumenta o risco e, potencialmente, abre portas para invasores por meio de sistemas não corrigidos, controles de acesso deficientes e outras vulnerabilidades.
Uma pesquisa conjunta realizada pela Oracle e KPMG no início deste ano apontou, que as empresas têm dificuldades para compreender o seu papel na proteção da nuvem. Segundo o estudo, apenas 8% dos executivos de TI e profissionais de segurança cibernética entrevistados disseram que “entendem totalmente” o modelo de segurança de responsabilidade compartilhada em todos os tipos de serviços em nuvem. Ao mesmo tempo, muitos dos participantes da pesquisa relataram uso generalizado de software como serviço (SaaS), plataforma como serviço (PaaS) e infraestrutura como serviço (IaaS) em suas organizações.
Os provedores de IaaS, normalmente, são responsáveis por proteger tudo, desde o hardware até o hipervisor. O sistema operacional convidado é responsabilidade do cliente, assim como seus dados e a pilha de software necessária para executar seus aplicativos. Já os provedores de SaaS, por outro lado, são comumente responsáveis por gerenciar um aplicativo e uma infraestrutura de atendimento, com os clientes mantendo a responsabilidade pela proteção de seus dados. E o PaaS, por sua vez, é o meio termo entre os dois, pois nesse modelo os clientes geralmente se concentram em seus usuários, aplicativos e dados, enquanto o provedor de serviços em nuvem protege a infraestrutura subjacente.
Em paralelo, observamos a crescente adoção de funções como serviço (FaaS) e contêineres como serviço (CaaS). O FaaS é uma forma de computação sem servidor no qual o provedor de serviços em nuvem executa o servidor, eliminando a necessidade de o cliente manter a infraestrutura associada ao desenvolvimento e implantação de um aplicativo. O CaaS permite que os usuários gerenciem e implantem aplicativos e clusters em contêineres. Mas, independentemente da abordagem que as empresas adotam em relação à nuvem, é fundamental manter padrões suficientes de segurança e conformidade.
Fato é que, com a nuvem impulsionando a transformação digital, proteger os ambientes em nuvem está garantindo o potencial de crescimento. No entanto, aproveitar um serviço nesta área sem primeiro entender as implicações de segurança e conformidade para sua organização é uma receita para o fracasso. Começando com o processo de planejamento, as empresas que colaboram com o fornecedor escolhido devem entender pelo que são responsáveis e como os recursos do provedor de serviços os ajudarão a usar a nuvem com segurança.
*Jeferson Propheta é country manager da Crowdstrike – empresa de cibersegurança que traz soluções para proteção de endpoints, através de tecnologias como Inteligência Artificial e computação em nuvem.