Como garantir a segurança das infraestruturas e aplicações Cloud? | SEIDOR
Seidor
seguridad cloud

16 de novembro de 2022

Como garantir a segurança das infraestruturas e aplicações Cloud?

À medida que as empresas vão tomando consciência de todas as vantagens da computação em nuvem, a sua utilização está a tornar-se cada vez mais generalizada e popular. Isto também abre novos cenários em termos de segurança, à medida que o número de vetores de ataque aumenta dramaticamente e se diversifica.

Segurança num ambiente de nuvem/cloud

À medida que as organizações movem cada vez mais das suas infraestruturas para a nuvem, as suas abordagens e políticas tradicionais de segurança podem ainda ser válidas para alguns casos, mas devem adaptar-se a arquitecturas distribuídas e híbridas. Por conseguinte, é necessária uma abordagem diferente para abordar a segurança neste novo ambiente.

Proteger a infraestrutura da nuvem

Comecemos pela segurança das infraestruturas das nuvens. Para tal, precisamos de considerar uma combinação de políticas, melhores práticas e tecnologias para garantir que os recursos da nuvem (incluindo ambientes informáticos, aplicações e bases de dados) estejam protegidos contra ameaças (tanto internas como externas) na nuvem.

Esta segurança da infraestrutura na nuvem não deve ser confundida com serviços de segurança na nuvem que oferecem vários serviços de segurança através de um modelo empresarial de software como um serviço.

De facto, a segurança na nuvem consiste em diferentes controlos, procedimentos e tecnologias para proteger os sistemas e dados críticos de qualquer organização contra ameaças e riscos de segurança cibernética decorrentes de ambientes na nuvem.

Dependendo do tipo de computação em nuvem que utilizamos, podemos adotar um ou outro tipo de segurança em nuvem:

  • Serviços na cloud pública, operados por um fornecedor de cloud pública. Isto inclui software como serviço (SaaS), infraestrutura como serviço (IaaS) e plataforma como serviço (PaaS).
  • Serviços na cloud privada, operados por um fornecedor de cloud pública. Estes serviços fornecem um ambiente informático dedicado a um cliente, operado por um terceiro.
  • Serviços na cloud privada, operados por pessoal interno. Esta é uma evolução do centro de dados tradicional, onde o pessoal interno opera um ambiente virtual que controla.
  • Serviços na cloud híbrida. Isto combina configurações de computação em nuvem privadas e públicas, workload de alojamento e dados baseados em fatores de optimização, tais como custo, segurança, operações e acesso. A operação envolverá o pessoal interno e, opcionalmente, o fornecedor público de cloud computing.

Segurança de aplicações num ambiente de nuvem

Se abordarmos a necessidade necessária para proteger aplicações de software baseadas na nuvem, devemos também falar sobre políticas, ferramentas, tecnologias e regras ao nível da aplicação para manter a visibilidade de todos os bens, proteger as aplicações baseadas na nuvem de ciberataques e restringir o acesso apenas a utilizadores autorizados.

A segurança das aplicações na nuvem é essencial para organizações que utilizam aplicações Web que funcionam num ambiente multinuvem alojado por um fornecedor de nuvens de terceiros. Estes serviços ou aplicações na nuvem aumentam significativamente a superfície de ataque por natureza, fornecendo muitos novos pontos de acesso para que os atacantes possam entrar na rede.

Melhores práticas para proteger as aplicações Cloud

Em qualquer caso, e como sempre na segurança, há uma série de recomendações para uma boa utilização da tecnologia para evitar comprometer a segurança tanto das infraestruturas como das aplicações em nuvem. Algumas delas são:

  • Alavancar a autenticação multifator como um dos mecanismos mais eficazes para limitar o risco de compromisso da conta.
  • Engenharia social. O erro humano é uma das causas mais comuns de violação de dados. Os funcionários precisam de receber formação e ferramentas como filtros URL, anti-malware e firewalls inteligentes precisam de ser postos em prática.
  • Automatização. As empresas devem automatizar o mais possível a monitorização de aplicações na nuvem, a resposta a incidentes e a configuração. Os fluxos de trabalho manuais são propensos a erros e uma causa comum de descuido ou violações de dados.
  • Privilégios mínimos. Contas de utilizadores e aplicações devem ser configuradas para aceder apenas aos ativos necessários à sua função comercial, aplicando o princípio de privilégios mínimos em todas as plataformas de nuvem.
  • Segurança dos dados. Especialmente nas aplicações, grande parte da abordagem de segurança deve assegurar a integridade e inviolabilidade dos dados. Se for possível utilizar a encriptação, tanto melhor.
  • Auditorias e testes. Finalmente, é aconselhável fazer auditorias e testes constantes para assegurar que tudo está a funcionar correctamente e que os sistemas e políticas de segurança são capazes de responder a um potencial incidente de segurança.

Talvez lhe possa interessar

23 de janeiro de 2023

Serviços-chave de cibersegurança para a sua empresa

As empresas neste milénio, independentemente da sua dimensão, idade ou setor, devem gerir os seus negócios face a riscos de todos os tipos. Em particular, precisam de controlar os riscos tecnológicos muito mais de perto, uma vez que o crescimento da empresa pode ter um enorme impacto que, por sua vez, pode gerar custos associados.

ruben mora
Rubén Mora
CSO/CISO
25 de janeiro de 2023

Modernização da tecnologia e da cloud: O que esperar?

A migração para a cloud é um passo importante para modernizar a tecnologia, especialmente na era digital. Com tantos dos nossos dados armazenados na nuvem nos dias de hoje, é primordial para as empresas tirar partido de tecnologias mais recentes que podem proporcionar maior segurança e fiabilidade. A necessidade de modernização é impulsionada pelo panorama em constante evolução da tecnologia e das ameaças cibernéticas.

Cloud
26 de setembro de 2023

Vantagens e desvantagens da proteção de dados na cloud

À medida que cada vez mais organizações se tornam orientadas para os dados, devem assegurar que esta informação seja sempre acessível, segura e protegida.

SEIDOR em PT