Um dos fatores que atrai os gestores para a cloud pública é a economia, mas um dos grandes empecilhos para a migração é a falta de informação sobre o funcionamento da nuvem. Por isso, no post de hoje vamos falar sobre como garantir a segurança na cloud pública e reduzir riscos fazendo as configurações adequadas. Além disso, vale ressaltar que a segurança dos dados deve ser uma preocupação frequente em qualquer meio de armazenamento, não somente em nuvem.

Política de segurança para cloud pública

Uma preocupação quanto a segurança da cloud pública é a configuração de permissões de acesso aos dados armazenados nos serviços. Uma opção encontrada na AWS, por exemplo, são os perfis de acesso. Por meio de padrões pré-estrabelecidos pela organização é possível restringir o acesso a determinados serviço para garantir a segurança dos dados. Um exemplo comum é o acesso à folha de pagamentos da empresa, que em geral não fica disponível a todos os usuários do sistema.

Os serviços da cloud pública também dispõem de certificações internacionais para garantir a segurança e atender as necessidades dos clientes, algumas delas são: SAS 70, SOC 2, SOC 3, PCI DSS level 1, ITAR, ISO, FIPS,  MTCS, CJIS, CSA, FERPA, HIPAA e MPAA.  Vale destacar que muitas dessas certificações não podem ser implementas em datacenters locais. Já os ambientes de datacenter em nuvem são auditados regularmente com checklists que abrangem infraestrutura, governança, segurança, configuração e gerenciamento, controle de acesso, criptografia, logs, monitoramento dos serviços, resposta de incidentes e recuperação de desastres.

Aliança para Segurança em Cloud

A Cloud Security Alliance (CSA) lançou em 2011 o STAR, um Registro de Segurança, Confiança e Garantia para documentar os controles de segurança oferecidos pelos fornecedores de cloud. Há dois meses foi realizado o CSA Summit San Francisco 2016, onde foram apresentadas novidades em segurança, inclusive para a cloud pública. Durante o evento foi apresentado o relatório com as principais ameaças para a cloud computing em 2016, que contribui para mitigação de riscos na nuvem. O site do evento disponibiliza várias apresentações neste link. Os principais fornecedores de serviços de cloud pública estão em conformidade com a Cloud Security Alliance e tem o selo STAR Registrant. Para isso, a CSA fornece um framework de várias etapas para selt-assesment, Attestation, Certification, C-STAR Assessment e STAR Continuous Monitoring, o que garante aos fornecedores de cloud pública um dos programas mais poderosos de segurança em cloud.

Firewall

Mesmo os serviços da sua empresa estando na nuvem, é possível alocar um firewall para manter a segurança lógica dos dados. Geralmente estes serviços são comercializados por tempo de uso (hora) e estão disponíveis conforme o tamanho dos recursos utilizados dentro da cloud.

Dados criptografados

A criptografia é o método usado para transformar uma informação convencional em uma mensagem secreta para garantir a segurança dos usuários. Por exemplo, quando uma senha é criptografada, ela é embaralhada para que só seja decifrada pelo sistema que tem a chave dessa criptografia. É uma forma de de garantir a segurança dos dados na cloud pública, principalmente em transações que envolvem dados pessoais, como: cartão de crédito, RG, CPF, entre outras informações confidenciais.

A criptografia pode ser de chave simétrica ou de chaves assimétricas. A primeira usa a mesma chave para codificar e decodificar as informações, enquanto a segunda opção usa chaves diferentes, que são armazenadas em locais diferentes e só liberam o acesso à informação se usadas de forma combinada, como é o caso dos tokes, por exemplo. Geralmente, a recomendação é usar a criptografia de chave simétrica para garantir a confidencialidade dos dados que você salva na cloud pública, já que o acesso é mais fácil.

Você já implantou a cloud pública? Compartilhe conosco nos comentários os principais diferenciais e a economia gerada.

Crédito de imagem: perspec_photo88 via VisualHunt / CC BY-SA