*Por Fábio Marques
No universo da Tecnologia da Informação, a forma mais fácil de se abandonar um projeto é levantar a hipótese de que ele tem problemas de segurança. Basta considerar um único ponto relativo a esse tema, que todos os benefícios listados em um extenso planejamento serão descartados imediatamente. E justamente essa linha de pensamento mais cautelosa tem sido a maior barreira na adoção dos projetos baseados em nuvem. Assim como em qualquer outro tipo de projeto, temos que levantar quais são os principais pontos passíveis de falhas e como evitá-las. Podemos citar cinco aspectos de segurança da estratégia de migração para nuvem que devem ser avaliados:
Violação de dados
Os ambientes na nuvem enfrentam os mesmos riscos dos ambientes convencionais. No entanto, devido ao grande volume de dados armazenados de várias origens, a nuvem acaba se tornando muito atrativa para potenciais perpetradores. O potencial de danos é relativo ao nível de confidencialidade dos dados armazenados. Fornecedores de serviços na nuvem já implementam nativamente controles de segurança para proteger os dados dos seus clientes, mas uma boa prática é o próprio cliente assegurar sua própria segurança usando, por exemplo, autenticação multi-fator e armazenar seus dados criptografados.
Credenciais comprometidas e quebra de autenticação
Vazamento de dados e outros tipos de ataques são resultados frequentes de meios fracos de autenticação, senhas fracas e gerenciamento errado de senhas e certificados. Muitas vezes as empresas se preocupam com o gerenciamento de identidades, criando perfis de usuário de acordo com a função ou exigindo senha complexas. Mas, muitas outras vezes, pecam ao serem displicentes com o ciclo de vida de uma credencial. Um exemplo disso é não retirar o acesso de um funcionário que mudou de função ou que até mesmo saiu da empresa. Sistemas de autenticação multifator, tais como senhas descartáveis, autenticação baseada em celulares e smartcards, impossibilitam um hacker de usar uma senha que tenha capturado. É altamente recomendável a utilização de autenticação por certificados ou utilizar uma rotação periódica das senhas.
Vulnerabilidades exploradas
Vulnerabilidades de sistemas ou bugs exploráveis em programas não são novidades, mas eles se tornaram um problema maior com o advento da computação em nuvem. Organizações compartilham memória, bancos de dados e outros recursos em conjunto com outro, criando novas áreas de ataque, onde uma vez explorado, o atacante irá ter acesso a vários ambientes de uma vez. Felizmente esse tipo de vulnerabilidade pode ser minimizado com processos elementares da área de TI, incluindo: escaneamento de vulnerabilidades, aplicação regular de patches e atuação rápida de ameaças reportadas. Estas medidas são amplamente adotadas por todos os fornecedores de cloud em seus ambientes compartilhados. Cabe ao cliente adotar a mesma política em seus ambientes proprietários.
O perigo vem de dentro
A ameaça interna tem muitas faces: um funcionário atual ou ex-funcionário, um administrador de sistema, um empreiteiro ou um parceiro de negócios. A variedade de vulnerabilidades de segurança varia de roubo de dados à vingança. Em um cenário de nuvem, um atacante interno pode destruir infraestruturas inteiras ou manipular dados. É recomendável que as organizações controlem o processo de criptografia e chaves, segregando funções e minimizando o acesso dado aos usuários.
Ataques DoS
Os ataques DoS talvez sejam a forma mais conhecida e antiga. Graças à computação em nuvem eles ganharam destaque novamente, porque muitas vezes afetam a disponibilidade do ambiente. Os sistemas podem ficar muito lentos ou simplesmente ficar completamente indisponíveis. Sofrer um ataque de negação de serviço é como ser pego em engarrafamentos de trânsito na hora do rush; só há uma maneira de chegar ao seu destino e não há nada que você possa fazer sobre isso, exceto sentar e esperar. Provedores de cloud, em princípio, são melhores aparelhados para tratar este tipo de ameaça do que seus clientes. A principal forma de conter este tipo de ataque é detectar antes que ele seja efetivo, e com isso tomar as medidas necessárias à continuidade do serviço.
Como vimos, o medo da insegurança no ambiente de nuvem não é infundado. A superfície de ataque se torna muito grande quando estamos em um ambiente exposto na internet. Mas, também, verificamos que existem muitas medidas a serem tomadas para que este ambiente se torne seguro e tão confiável quanto se estivesse local na empresa. Hoje os fornecedores de cloud disponibilizam inúmeras camadas de segurança para que o cliente não tenha que se preocupar com a segurança dos seus dados e com a disponibilidade do serviço.
*Fábio Marques, executivo da DBACorp