por leonardobecker

09 jun 2016

Cloud pública: como garantir a segurança dos dados

Um dos fatores que atrai os gestores para a cloud pública é a economia. Tanto que 80% das empresas pretende contratar ou ampliar seus serviços de nuvem nos próximos três anos. Esses dados são de uma pesquisa da consultoria McKinsey em parceria com a Google Cloud. 

No entanto, o relatório também apontou que uma das maiores barreiras para que as organização migrem todos (ou grande parte) os seus dados para a cloud é justamente a desconfiança com a segurança neste tipo de serviço

Neste post vamos falar sobre como garantir a segurança dos dados em uma nuvem pública e reduzir riscos fazendo as configurações adequadas. Além disso, vale ressaltar que a segurança dos dados deve ser uma preocupação frequente em qualquer meio de armazenamento, não somente em nuvem.

Política de segurança para cloud pública

Uma preocupação quanto à segurança da cloud pública é a configuração de permissões de acesso aos dados armazenados. Uma opção encontrada na AWS, por exemplo, são os perfis de acesso. Serviço semelhante também é oferecido por outros provedores, como a Azure e a Google Cloud.

Por meio de padrões pré-estabelecidos pela organização, é possível restringir o acesso da determinados serviços apenas a alguns usuários. Desta forma, deixa-se os dados e informações mais seguros. Um exemplo comum é o acesso à folha de pagamentos da empresa que, em geral, não fica disponível a todos os usuários do sistema. Outro é que pessoas relacionadas à gestão mais estratégica tenham acesso a informações sigilosas, enquanto o restante dos colaboradores não. 

Os serviços da cloud pública também dispõem de certificações internacionais para garantir a segurança dos dados dos clientes. Algumas delas são: SAS 70, SOC 2, SOC 3, PCI DSS level 1, ITAR, ISO, FIPS,  MTCS, CJIS, CSA, FERPA, HIPAA e MPAA.  Segurança de dados na Cloud pública

Vale destacar que muitas dessas certificações não podem ser implementas em data centers locais. Já para ambientes de data center em nuvem, existe uma auditoria regular com checklists. Eles abrangem infraestrutura, governança, segurança, configuração e gerenciamento, controle de acesso, criptografia, logs, monitoramento dos serviços, resposta de incidentes e recuperação de desastres.

Firewall em nuvens públicas

Mesmo quando os serviços da sua empresa estão na nuvem, é possível alocar um Firewall para manter a segurança lógica dos dados. Ele atua como uma segunda camada de segurança para os dados e aplicações. Geralmente estes serviços são comercializados por tempo de uso (hora) e estão disponíveis conforme o tamanho dos recursos utilizados dentro da arquitetura.

Dados criptografados

A criptografia é o método usado para transformar uma informação convencional em uma mensagem secreta. Por exemplo, quando uma senha é criptografada, ela é embaralhada para que só seja decifrada pelo sistema que tem a chave dessa criptografia.

É uma outra forma de garantir a segurança de dados armazenados em nuvens públicas. Elas são especialmente importantes em transações que envolvem dados pessoais. É o caso de cartão de crédito, CPF e outras informações confidenciais.

A criptografia pode ser de chave simétrica ou de chaves assimétricas. A primeira usa a mesma chave para codificar e decodificar as informações. Já a segunda usa chaves diferentes, que são armazenadas em locais distintos. O acesso à informação só é liberado se as chaves forem usadas combinadas. Esse é o o caso dos tokens, por exemplo.

Geralmente, a recomendação é usar a criptografia de chave simétrica para garantir a confidencialidade dos dados que você salva na cloud pública. Este modelo tem preferência porque o seu acesso é mais fácil.

Trilha de cloud computing: do básico à prática



Acompanhe nossas novidades nas redes sociais!