Segurança em Nuvem Definida

• Ative a inteligência artificial (IA) e o machine learning (ML) para se adaptar automaticamente e lidar com ameaças de segurança
• Use recursos autônomos para dimensionar as respostas de segurança, corrigir riscos e eliminar erros
• Proteja os dados de maneira proativa com controles de acesso, gerencie o risco e a visibilidade do usuário, e forneça ferramentas para descoberta e classificação
• Siga o modelo de responsabilidade de segurança compartilhada da nuvem para cobrir conscientemente as atividades de segurança entre o cliente e o provedor de serviços na nuvem
• Implante segurança no design da arquitetura para uma abordagem “segurança em primeiro lugar”

A segurança em nuvem fornece às organizações uma abordagem para atender aos requisitos de segurança e garantir que as organizações cumpram os requisitos de conformidade regulamentar. A segurança eficaz em nuvem requer várias camadas de defesa em toda a pilha de tecnologia em nuvem composta de:

• Controles preventivos projetado para bloquear o acesso autorizado a sistemas e dados confidenciais
• Controles de detetive projetados para revelar sistemas não autorizados, e acesso a dados e alterações por meio de auditoria, monitoramento e relatórios
• Controles automatizados projetados para prevenir, detectar e responder às atualizações de segurança, regulares e críticas
• Controles administrativos projetados para abordar políticas, padrões, práticas e procedimentos de segurança

O machine learning e a inteligência artificial estendem as tecnologias de consciência contextual em um portfólio de segurança em nuvem. Com a segurança na nuvem, as empresas têm proteção em IaaS, PaaS, e SaaS, estendendo a segurança às camadas de rede, hardware, chip, sistema operacional, armazenamento e aplicativos.

A segurança na nuvem é uma responsabilidade de segurança compartilhada entre o provedor de nuvem e o cliente. O modelo de responsabilidade de segurança compartilhada em nuvem é uma construção de segurança e gerenciamento de riscos de base para transmitir a divisão de trabalho entre o provedor de serviços na nuvem e o assinante do serviço. Uma compreensão clara do modelo de responsabilidade de segurança compartilhada para todos os tipos de serviços em nuvem é fundamental para programas de segurança em nuvem. Infelizmente, também pode ser dito que o modelo de responsabilidade de segurança compartilhada é um dos conceitos de segurança menos compreendidos na nuvem. Na verdade, apenas 8% dos CISOs entendem totalmente sua função na proteção de SaaS em comparação com o provedor de serviços em nuvem (CSP). Simplificando, o modelo de responsabilidade de segurança compartilhada descreve a área de responsabilidade do provedor de serviços em nuvem em relação à manutenção da segurança e da disponibilidade do serviço, e a responsabilidade do cliente de garantir o uso seguro do serviço e onde ambos compartilham uma função específica.

É’ necessário que as empresas entendam suas responsabilidades. A falha em proteger os dados de maneira adequada pode levar a consequências graves e caras. Muitas organizações que enfrentarão o resultado de uma violação podem não ser capazes de absorver o custo, mesmo as grandes empresas podem ver o impacto em suas finanças. O objetivo de um modelo de responsabilidade de segurança compartilhada é fornecer flexibilidade com segurança integrada, permitindo uma implementação rápida. Portanto, as organizações devem compreender suas responsabilidades de segurança em nuvem—geralmente referido como segurança “da” nuvem versus segurança“na” nuvem.

Hoje, as empresas recebem uma ampla variedade de ferramentas de segurança em nuvem para proteger seus ambientes ao migrar cargas de trabalho e dados para a nuvem. No entanto, algumas dessas ferramentas vêm com instruções personalizadas e são oferecidas como serviços individuais. Espera-se que os usuários e administradores da nuvem saibam como os serviços de segurança da nuvem funcionam, como configurá-los corretamente e como manter suas implantações na nuvem. Embora’ não faltem opções de segurança, eles podem ser complicados de configurar e pode ser fácil cometer um erro em uma área. Além disso, o ciclo incessante de phishing, malware, fraude cibernética crescente e uma variedade de serviços em nuvem mal configurados aumentam ainda mais os programas de segurança cibernética já desafiados. Isso resultou em organizações enfrentando violações de dados e danos à marca, custos de recuperação e multas resultantes. Abaixo estão vários requisitos importantes para manter os dados da nuvem seguros:

• Responsabilidade de segurança e confiança compartilhadas: A confiança é fundamental na escolha de um parceiro de nuvem para sustentar sua extremidade do modelo de segurança compartilhado. As organizações devem ter uma compreensão clara das funções e responsabilidades, e acesso a auditorias e atestados de segurança de terceiros independentes.
• Automação e machine learning: As ameaças em nuvem estão se movendo na velocidade da máquina, enquanto a segurança corporativa tradicional analisa e reage na velocidade humana. A segurança moderna em ambientes de nuvem deve automatizar a detecção e resposta a ameaças. Ameaças avançadas exigem soluções de segurança que trazem um novo nível de sofisticação para previsão, prevenção, detecção e resposta de ameaças com aprendizado de máquina.
• Defesa avançada: Múltiplas camadas de segurança em toda a pilha de tecnologia devem incluir controles preventivos, de detecção e administrativos para as pessoas, processos e tecnologia certos para ajudar a proteger os data centers físicos dos provedores de nuvem.
• Gerenciamento de identidade: À medida que dispositivos móveis, aplicativos e personas do usuário se tornam mais onipresentes, a identidade se torna o novo perímetro. É fundamental controlar o acesso e os privilégios na nuvem e no local com base em credenciais seguras.
• Visibilidade: Um corretor de segurança de acesso à nuvem e uma solução de gerenciamento de postura de segurança na nuvem estendem a visibilidade e o controle em todo o ambiente de nuvem da organização’.
• Conformidade contínua: A conformidade regulamentar não é opcional, e conformidade e segurança não são a mesma coisa. As organizações podem experimentar violações de conformidade sem uma violação de segurança, por exemplo, devido a desvios de configuração e erros. É essencial que as empresas tenham uma solução de gerenciamento de nuvem que forneça dados abrangentes, oportunos e acionáveis relacionados à conformidade em seus ambientes de nuvem.
• Segurança por padrão: Os controles de segurança devem ser habilitados pelo provedor de nuvem por padrão, em vez de exigir que a empresa se lembre de ativar a segurança. Nem todo mundo tem um forte entendimento dos diferentes controles de segurança, e como eles funcionam juntos para reduzir os riscos e implementar uma postura de segurança completa. Por exemplo, a criptografia de dados deve ser ativada por padrão. Controles e políticas consistentes de proteção de dados precisam ser aplicados nas nuvens.
• Monitoramento e migração: As políticas de segurança para locações e compartimentos de nuvem devem ser configuradas e aplicadas aos administradores para ajudar a proteger as cargas de trabalho. Uma visão unificada da postura de segurança na nuvem entre os locatários da nuvem também é essencial para detectar recursos mal configurados e atividades inseguras entre os locatários, e fornece aos administradores de segurança visibilidade para fazer a triagem e resolver problemas de segurança na nuvem.
• Separação de funções e acesso com privilégios mínimos: Os princípios de separação de funções e acesso com privilégios mínimos são boas práticas de segurança que devem ser implementadas em ambientes de nuvem. Isso ajuda a garantir que os indivíduos não’ tenham direitos administrativos excessivos e não possam acessar dados confidenciais sem autorização adicional.

Como a adoção da nuvem continua a acelerar como resultado das prioridades de transformação digital, as empresas devem antecipar e navegar pelas complexidades da proteção de seus ambientes de nuvem. É essencial escolher um provedor de nuvem que projete a segurança para ser integrada automaticamente em toda a pilha da nuvem (IaaS, PaaS, SaaS). Considerações adicionais no futuro da segurança na nuvem incluem:

• Segurança da infraestrutura em nuvem: Proteja as cargas de trabalho com uma abordagem de segurança em primeiro lugar em computação, rede e armazenamento da infraestrutura em nuvem, começando com a arquitetura. Aproveite os serviços de segurança essenciais para fornecer os níveis necessários de segurança para as cargas de trabalho mais críticas para os negócios.
• Segurança em nuvem do banco de dados: Reduza o risco de violação de dados e acelere a conformidade na nuvem. Adote soluções de segurança de banco de dados que incluem criptografia, gerenciamento de chaves, mascaramento de dados, controles de acesso de usuário privilegiado, monitoramento de atividades e auditoria.
• Segurança de aplicativos em nuvem: Proteger aplicativos essenciais contra fraude e uso indevido é imprescindível para a segurança de dados críticos de negócios da sua organização. Controles de acesso refinados, visibilidade e monitoramento são componentes essenciais das defesas em camadas de hoje.
• Segurança corporativa e privacidade: Proteja a confidencialidade, integridade e disponibilidade dos dados e seus sistemas hospedados na nuvem, independentemente do produto de nuvem escolhido.
• Serviços avançados de atendimento ao cliente: Ao fazer a transição para ambientes de nuvem ou de várias nuvens, as equipes de segurança são desafiadas por uma superfície de ataque em expansão, sobrecargas de alertas e escassez de habilidades de segurança cibernética. Adote serviços avançados de seu provedor de serviços na nuvem para ajudar a enfrentar esses desafios.
• Gerenciamento de identidade e acesso (IAM): Controle o acesso a quem tem acesso aos seus dados, que tipo de acesso eles têm e a quais recursos específicos usando credenciais seguras, independentemente de eles’ estarem hospedados na nuvem ou on-premises.

1. Relatório sobre ameaças na nuvem da Oracle e KPMG (PDF)
2. Manual técnico: Protegendo o Oracle Database (PDF)