Adotar uma estratégia em nuvem se tornou extremamente popular. Companhias que movem o seu fluxo de trabalho para a nuvem desfrutam de inúmeros benefícios como escalabilidade, continuidades de negócio e custo-eficiência. Mas apesar das diversas vantagens, a nuvem pode trazer alguns desafios a segurança. Especialmente quando se trata de armazenamento de dados, porém não se pode esquecer de trabalhar esses dados de forma segura.
Principais considerações na utilização segura de um armazenamento na nuvem
Relatórios e monitoramento automatizados
Comparando os três grandes provedores de nuvem
Armazenamento na plataforma em nuvem da Google
A diligência é um requisito
Houve muitos incidentes de segurança importantes envolvendo armazenamento de dados na nuvem. Em 2019, exemplos incluem a Cultura Colectiva, uma parceira do Facebook cuja utilização insegura do AWS expos o registro de 540 mil usuários. Uma companhia de Marketing em Mumbai falhou em assegurar uma base de dados do AWS com uma senha, resultando em quase 50 milhões de exposições de registros de influencers (incluindo dados pessoais como número de telefone e endereço de e-mail). E um dos incidentes mais notórios de 2019 foi a brecha da Capital One, onde um ataque forjado de requisição do servidor foi usado para obter as credenciais no armazenamento de dados da AWS que incluíam cerca de 88 mil contas de bancos e 140 mil números de segurança social (equivalente a RG, CPF) além de um milhão de números de seguros sociais canadenses.
Infelizmente, aparentemente o número de brechas em 2020 irá superar o de 2019. Apenas no primeiro trimestre, mais de 1,6 bilhão de registros de clientes já foram comprometidos. Um dos maiores incidentes até agora ocorreu em março, quando os pesquisadores da CyberNews descobriram um servidor publicamente acessível hospedado na nuvem da Google, deixando mais de 800GB de informações pessoais de usuário e mais de 200 milhões de registros que foram expostos por um período.
Esses incidentes mostram que a nuvem é insegura? Não, a nuvem, quando usada de forma apropriada é tão segura quanto uma arquitetura tradicional on-Premise. Mas estes incidentes mostram que, infelizmente, é fácil cometer erros e expor dados em um armazenamento público na nuvem.
Segurança dos dados na nuvem requer medidas cuidadosas e proativas. Neste artigo cobriremos alguns dos maiores problemas de segurança relacionados ao armazenamento na nuvem, incluindo permissões, monitoramento e alocação de recursos. Então iremos discutir as melhores práticas e soluções relevantes disponíveis no AWS, Microsoft Azure e na plataforma de nuvem da Google.
Principais considerações na utilização segura de um armazenamento na nuvem
Há três tarefas principais a se considerar quando levado em consideração a segurança dos dados na nuvem: Alocação de recursos, aprimoramento de políticas e permissões, monitoramento e relatórios. Cada um com a sua importância.
Alocação dos recursos
Das três tarefas, esta provavelmente é a mais negligenciada. De qualquer forma, é essencial tornar a segurança mais robusta. Primeiramente, você não pode controlar o acesso aos seus dados se nem você sabe quais dados você tem. Segundo, um bom esquema organizacional tornará simples a aplicação apropriada dos níveis de permissão de várias categorias de dados. Inversamente, dados mantidos em descuido praticamente garante que alguns deles não estarão propriamente seguros.
Organizar os recursos da sua nuvem é fundamental no rastreio, gerenciamento e segurança das suas cargas de trabalho. Isso inclui práticas como a aplicação de uma convenção de nomenclatura consistente e a marcação de recursos. Essas marcações podem oferecer uma hierarquia de propriedade, como mencionado acima, que podem ajudar a reforçar o controle de acesso efetivo e as políticas organizacionais.
Políticas e permissões
Políticas de segurança relaxadas para armazenamento (especialmente permissões incorretas) são possivelmente o erro mais comum em segurança na nuvem. Apesar dos maiores provedores de serviço na nuvem (CSPs) tenham isso em mente e tenham tornado mais difícil que os usuários na nuvem exponham dados de forma acidental, ainda é possível para usuários inexperientes de expor os dados.
Felizmente, não é difícil aprender como usar as capacidades de armazenamento da sua CSP. Com apenas um pouco de esforço, as empresas podem configurar e reforçar as políticas apropriadas na nuvem, a aceitação de risco e a responsabilidade de limitar quem pode acessar determinados ativos e quando esses acessos podem ser feitos.
Relatórios e monitoramento automatizados
Relatórios e monitoramento automatizados permitem que você identifique ações suspeitas dentro do sistema e previna ataques em tempo real. Por exemplo, é possível detectar novas conexões internas que não são comuns, como um processo comunicando com um serviço no qual ele não deveria se comunicar. Essa visibilidade de processo para processo é crucial na segurança da nuvem, ela permite o descobrimento de erros que foram feitos nos outros 2 passos, de forma ideal, antes mesmo que um incidente de segurança ocorra.
Comparando os três grandes provedores de nuvem
Não importa onde você escolha armazenar os seus dados, sejam AWS, GCP (Google) ou o Azure, cada plataforma na nuvem tem suas vantagens e desvantagens únicas. Vamos discutir brevemente suas capacidades com base nos três passos descritos acima.
Armazenamento no AWS
O AWS oferece uma ampla variedade de serviços e ferramentas que ajudam a elevar a sua postura de segurança e proteger os dados, aplicações, identidades e dispositivos. Suas ofertas foram examinadas e consideradas seguras o suficiente para cargas de trabalho confidenciais. 
Os recursos incluem o Amazon s3 buckets, instâncias EC2 e o AWS CloudFormation stacks. Os grupos de recurso da Amazon também podem ser usados para ajudar a gerenciar um grande número de recursos que estão interconectados permitindo que você realize ações em massa como atualizar patches de segurança. É recomendado que você marque os seus recursos da AWS, permitindo que você procure, gerencie, rastreie e filtre os recursos de forma eficiente.
A AWS oferece adicionalmente uma variedades de tipos de políticas e permissões como configuração padrão de uma política de gerenciamento completa que ajuda a aprimorar as melhores práticas sem ter que configurá-las você mesmo. Além disso, da aos seus usuários identidade e controles de acesso ajustados. As permissões no AWS são garantidas pelas entidades IAM (usuários, grupos e funções) para controlar o acesso aos dados dos usuários. As permissões também podem depender de várias condições. Já quanto as políticas, você deve atribui-las a um grupo de usuários de IAM para que as alterações sejam feitas a múltiplos usuários de uma vez, diminuindo o risco de garantir muitas permissões a um indivíduo.
Por fim, o AWS permite o monitoramento 24/7, garantindo que os recursos sejam acessados em tempo real apenas pelas pessoas certas no tempo certo. Sua automação de segurança e serviços de monitoramento podem identificar atividades suspeitas como alterações na configuração dentro do seu ambiente na nuvem. Um desses serviços é o AWS CloudTrail, que oferece um histórico detalhado dos eventos para facilitar a sua análise de segurança.
Armazenamento na plataforma em nuvem da Google
A plataforma em nuvem da Google (Google Cloud Platform, GCP) oferece serviços únicos que te ajudar a aprimorar a segurança e a conformidade da sua nuvem. O gerenciador de recurso da GCP permite que você organize os recursos da sua nuvem de forma hierárquica para que os projetos herdem as configurações e políticas. Isso permite que o usuário gerencie facilmente o controle de acesso e as configurações através de toda a operação, controlando de forma central os recursos da companhia.
O GCP vem com uma variedade de políticas e permissões de serviço, incluindo Cloud Identity Access Management (IAM, gerenciamento de identidade e acesso), que oferece as companhias uma visão unificada e controle total dos acessos e permissões. Configurações avançadas permitem que os usuários concedam acesso não apenas a nível de projeto mas também com informações mais sutis como endereço de IP, status de segurança e data. Além disso, o produto vem com funções altamente automatizadas para gerenciar grupos e funções, permitindo os usuários de garantir a permissão padrão a múltiplos usuários de forma centralizada.
Você pode também armazenar, procurar, monitorar, analisar e alertar os dados de log e eventos no Google Cloud através do Cloud Logging. Esse serviço trabalha perfeitamente com o monitoramento da nuvem, que dá a visibilidade nos recursos e serviços da nuvem da Google, como o Compute engine, Cloud SQL, Google Kubernetes Engine, App Engine e o Pub/Sub, garantindo a saúde geral dos seus ativos na nuvem.
Armazenamento no Azure
Os usuários do Azure se beneficiam das múltiplas camadas de segurança da Microsoft que vão desde os data centers físico até as cargas de trabalho no Azure Cloud. Para organizar os seus recursos, o Azure vem com 4 níveis de gerenciamento, gerenciamento de grupos, subscrições, grupos de recurso e recursos. Eles podem ser alavancados para rastrear, gerenciar e assegurar as suas cargas de trabalho. Você também pode usar as marcações Azure para organizar os recursos em uma taxonomia clara.
O Azure active Directory permite que os usuários gerenciem controles de identidade e acesso. Utilizar apenas uma instancia do Azure AD te da clareza e te ajuda a reforçar outras medidas de segurança centrais para reduzir os riscos de segurança. Há diversas outras práticas que podem ser levadas em consideração quando utilizar esse serviço.
O Azure é equipado com uma grande variedade de serviços de relatório e monitoramento, incluindo Log Analytics, que deixam os usuários ter conhecimento sobre a segurança, receber pequenos alertas, criar dashboards e habilitar ações automatizadas.
Conclusão
A maior parte das empresas estão passando a utilizar a nuvem. Mas junto com os diversos benefícios da sua utilização, vem os desafios de usar de forma segura um armazenamento público.
Felizmente, existem etapas claras que você pode seguir para usar o armazenamento na nuvem de forma segura. Isso inclui obter visibilidade e controle de seus ativos na nuvem, organizando seus recursos, configurando corretamente permissões e políticas de acesso e aproveitando o monitoramento e relatórios automatizados para detectar e impedir ameaças em tempo real.
