book_icon

Cinco itens de segurança em Nuvem indispensáveis para 2021

As organizações que embarcam em sua jornada para a Nuvem enfrentam uma avalanche de palavras, que às vezes são confusas. Nuvem híbrida, multicloud, Transformação Digital, microsserviços e muitas outras. Embora esses termos possam ser confusos, o principal elemento a ser lembrado é que a segurança de dados na Nuvem deve ser parte inerente da estratégia e da discussão em nível de negócios para qualquer migração de Nuvem bem-sucedida.

A importância de atender às principais necessidades de segurança e conformidade pesa sobre muitas organizações. É certamente uma preocupação válida: estima-se que cerca de 990 milhões de servidores em Nuvem estão mal configurados.

Além das configurações incorretas da Nuvem, algumas das principais preocupações sobre a Nuvem híbrida e multicloud incluem:
Estabelecimento uma estratégia de segurança pronta para a Nuvem
Falta de experiência juntamente com o aumento dos requisitos de qualificação
Necessidade de atender aos requisitos de conformidade
Visibilidade centralizada e gerenciamento de ameaças
Uma sobrecarga de novas ferramentas e tecnologias
Manter políticas de segurança no cenário público / privado

Com tantos problemas a ser considerados ao mesmo tempo, pode ser difícil resolvê-los com eficiência. Para economizar tempo e aumentar a produtividade, comece com estes cinco princípios básicos que irão melhorar os resultados de qualquer programa de segurança na Nuvem.

Governança e estratégia na Nuvem
No centro de todo programa de segurança na Nuvem bem-sucedido fica uma estratégia bem definida que inclui os seguintes critérios:
Estabelecimento de uma linha de base de segurança para ambientes em nuvem
Compreensão de onde estão os dados críticos, o que são e quem tem acesso a eles
Definição dos requisitos de segurança, conformidade, indústria ou regulamentares
Racionalização do conjunto correto de controles para atender a esses requisitos
Construção de uma meta e de um roteiro a partir do qual executar

Segurança nativa na Nuvem
Em algum ponto, pode ser considerado se os controles de segurança nativos do Cloud Service Provider (CSP) são viáveis ou adequados para gerenciar a segurança de um ambiente. Os CSPs têm vários conjuntos de controles de segurança em suas plataformas de Nuvem. Eles podem oferecer muitas vantagens, incluindo um limite no número de licenças de terceiros que estão sendo gerenciadas, consumo flexível, facilidade de integração e muito mais.

No entanto, uma abordagem de segurança nativa da Nuvem levanta algumas questões a serem atendidas:
Os controles nativos têm o nível apropriado de maturidade ou fornecem o nível adequado de visibilidade para atender aos requisitos de conformidade?
Quais controles nativos de Nuvem fazem mais sentido para o ambiente de nuvem híbrida e multicloud?
Você tem as habilidades certas para gerenciar um novo conjunto de tecnologias de segurança em rápido crescimento?
Como esses controles são adequadamente projetados, implementados, configurados e integrados ao restante das operações de segurança?
O que você faz com todos esses novos dados de telemetria e de segurança em nuvem, e quais decisões ou ações você pode tomar com eles?

Depois de decidir quais controles de segurança nativos são apropriados para sua organização, o gerenciamento eficaz desses controles e políticas requer primeiro garantir que você tenha a arquitetura e as políticas corretas para oferecer suporte aos requisitos regulatórios e de negócios. E uma forte camada de governança deve estar implementada, para converter telemetria e alertas nativos da nuvem em uma tomada de decisão acionável e priorizada.

Gerenciamento da postura de segurança na Nuvem
Ter a configuração correta e a conformidade contínua de seus ambientes de Nuvem é vital para seu programa de segurança cibernética em Nuvem, mas isso pode ser complexo de monitorar. Você pode ter várias equipes ou linhas de negócios usando seus serviços em nuvem e, ao mesmo tempo, ter que demostrar conformidade com os padrões globais de organizações como o Center for Internet Security (CIS). Para complicar a sua situação, pode existir uma incapacidade de obter o contexto e a correlação da nuvem com rapidez suficiente para ajudar a detectar e responder aos problemas de segurança da Nuvem.

Deve-se considerar o uso do gerenciamento de postura de segurança na Nuvem para lidar com essas complicações e atingir os seguintes objetivos:
Monitorar continuamente um inventário de ativos de Nuvem em tempo real para fins de conformidade, relatórios regulatórios e auditoria
Evitar violações através da detecção ágil e resposta rápida à configuração incorreta da Nuvem
Fortalecer continuamente sua postura de segurança e conformidade
Incorporar insights de segurança e de automação para anomalias na Nuvem

Cargas de trabalho em Nuvem e segurança de contêiner
O ambiente de contêiner de aplicações pode enfrentar a complexidade dos desafios de segurança e visibilidade, tempo de teste limitado durante o rápido aumento de escala e entrega, aumento do tráfego e ameaças que podem comprometer o contêiner. As seguintes fases de ambientes de contêiner são riscos significativos que podem atuar como vetores de ameaças:
Criação de imagens, testes e credenciamento
Registro para armazenamento de imagens
Orquestração para recuperação
Contêiner para implementação
Sistema operacional host para gerenciamento

Felizmente, a cobertura existe para proteger as cargas de trabalho do contêiner em um ambiente híbrido e com várias nuvens. Ao seguir uma estratégia e avaliação abrangentes, você deve considerar os serviços de integração, design e implementação, bem como o gerenciamento contínuo para todas as fases do ciclo de vida do contêiner. Quando esses recursos estão disponíveis, você tem os seguintes benefícios de segurança para Red Hat OpenShift, Kubernetes, Docker e outras plataformas de contêiner:
Maior postura de segurança nos serviços existentes em contêineres em nuvem
Serviços de segurança gerenciados distribuídos em ambientes de nuvem híbrida
Ajuda na obtenção de mandatos de conformidade para ambientes de contêineres
Painel único para gerenciar todas as funcionalidades de segurança

DevSecOps e segurança de aplicações
As equipes de desenvolvimento se concentram principalmente na produção de novas aplicações e de funcionalidades para os consumidores o mais rápido possível. As equipes de operações trabalham para garantir um sistema ágil e estável. Para atender à crescente demanda por inovação em nuvem, o desenvolvimento e as operações devem ser integrados para promover a colaboração e o equilíbrio entre desenvolvimento e qualidade.

A segurança busca garantir que as implantações rápidas de aplicações estejam livres de vulnerabilidades e que cumpram os requisitos regulatórios e corporativos.

Para atender à maioria das metas críticas dessas equipes, uma mudança de cultura em direção às metodologias DevSecOps deve ser considerada. DevSecOps é o conjunto consolidado de práticas que representa uma combinação de cultura, processos e tecnologia para profissionais.

Ao adicionar DevSecOps e garantir práticas de desenvolvimento nas cargas de trabalho, alguns dos benefícios incluem:
Cultura com uma mentalidade ágil, lean e contínua de feedback, alinhada com a estratégia de segurança, risco, governança e conformidade
Automatização de cada processo para maior agilidade, confiabilidade e segurança, tudo isso com ferramentas modernas
Mais oportunidades para fomentar a inovação, como um círculo de feedback e colaboração que leva a maior autonomia e implantações seguras

Por Michael Massimi, global business leader, Cloud Security Services, IBM

Últimas Notícias
Você também pode gostar
As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.