O que é o Cloud Security?

• Ative a inteligência artificial (IA) e o machine learning (ML) para se adaptar automaticamente e lidar com ameaças de segurança
• Use recursos autônomos para dimensionar as respostas de segurança, corrigir riscos e eliminar erros
• Proteja os dados de maneira proativa com controles de acesso, gerencie o risco e a visibilidade do usuário, e forneça ferramentas para descoberta e classificação
• Siga o modelo de responsabilidade de segurança compartilhada da nuvem para cobrir conscientemente as atividades de segurança entre o cliente e o provedor de serviços na nuvem
• Incorpore a segurança no design da arquitetura para uma abordagem “segurança em primeiro lugar”

A segurança em nuvem fornece às organizações uma abordagem para atender aos requisitos de segurança e garantir que as organizações cumpram os requisitos de conformidade regulamentar. A segurança eficaz em nuvem requer várias camadas de defesa em toda a pilha de tecnologia em nuvem composta de:

• Controles preventivos projetado para bloquear o acesso autorizado a sistemas e dados confidenciais
• Controles de detetive projetados para revelar sistemas não autorizados, e acesso a dados e alterações por meio de auditoria, monitoramento e relatórios
• Controles automatizados projetados para prevenir, detectar e responder às atualizações de segurança, regulares e críticas
• Controles administrativos projetados para abordar políticas, padrões, práticas e procedimentos de segurança

O machine learning e a inteligência artificial estendem as tecnologias de consciência contextual em um portfólio de segurança em nuvem. Com a segurança na nuvem, as empresas têm proteção em IaaS, PaaS, e SaaS, estendendo a segurança às camadas de rede, hardware, chip, sistema operacional, armazenamento e aplicativos.

A segurança na nuvem é uma responsabilidade de segurança compartilhada entre o provedor de nuvem e o cliente. O modelo de responsabilidade de segurança compartilhada em nuvem é uma construção de segurança e gerenciamento de riscos de base para transmitir a divisão de trabalho entre o provedor de serviços na nuvem e o assinante do serviço. Uma compreensão clara do modelo de responsabilidade de segurança compartilhada para todos os tipos de serviços em nuvem é fundamental para programas de segurança em nuvem. Infelizmente, também pode ser dito que o modelo de responsabilidade de segurança compartilhada é um dos conceitos de segurança menos compreendidos na nuvem. Na verdade, apenas 8% dos CISOs entendem totalmente sua função na proteção de SaaS em comparação com o provedor de serviços em nuvem (CSP). Simplificando, o modelo de responsabilidade de segurança compartilhada descreve a área de responsabilidade do provedor de serviços em nuvem em relação à manutenção da segurança e da disponibilidade do serviço, e a responsabilidade do cliente de garantir o uso seguro do serviço e onde ambos compartilham uma função específica.

É necessário que as empresas entendam suas responsabilidades. A falha em proteger os dados de maneira adequada pode levar a consequências graves e caras. Muitas organizações que enfrentarão o resultado de uma violação podem não ser capazes de absorver o custo, mesmo as grandes empresas podem ver o impacto em suas finanças. O objetivo de um modelo de responsabilidade de segurança compartilhada é fornecer flexibilidade com segurança integrada, permitindo uma implementação rápida. Portanto, as organizações devem compreender suas responsabilidades de segurança em nuvem - geralmente denominada segurança "da" nuvem versus segurança "na" nuvem.

Hoje, as empresas recebem uma ampla variedade de ferramentas de segurança em nuvem para proteger seus ambientes ao mover cargas de trabalho e dados para a nuvem. No entanto, algumas dessas ferramentas vêm com instruções personalizadas e são oferecidas como serviços individuais. Espera-se que os usuários e administradores da nuvem saibam como os serviços de segurança da nuvem funcionam, como configurá-los corretamente e como manter suas implantações na nuvem. Embora não haja falta de opções de segurança, elas podem ser complicadas de configurar e pode ser fácil cometer um erro em uma área. Além disso, o ciclo incessante de phishing, malware, fraude cibernética crescente e uma variedade de serviços em nuvem mal configurados aumentam ainda mais os programas de segurança cibernética já desafiados. Isso resultou em organizações enfrentando violações de dados e danos à marca, custos de recuperação e multas resultantes. Abaixo estão vários requisitos importantes para manter os dados da nuvem seguros:

• Responsabilidade e confiança de segurança compartilhada: a confiança é fundamental para escolher um parceiro na nuvem para manter o fim do modelo de segurança compartilhado. As organizações devem ter uma compreensão clara das funções e responsabilidades, e acesso a auditorias e atestados de segurança de terceiros independentes.
• Automação e machine learning: as ameaças de nuvem estão se movendo à velocidade da máquina, enquanto a segurança empresarial tradicional analisa e reage na velocidade humana. A segurança moderna em ambientes de nuvem deve automatizar a detecção e resposta a ameaças. Ameaças avançadas exigem soluções de segurança que trazem um novo nível de sofisticação para previsão, prevenção, detecção e resposta de ameaças com aprendizado de máquina.
• Defesa em profundidade: várias camadas de segurança em toda a pilha de tecnologia devem incluir controles preventivos, de detecção e administrativos para as pessoas, processos e tecnologia certos para ajudar a proteger os data centers físicos dos provedores de nuvem.
• Gerenciamento de identidade: à medida que dispositivos móveis, aplicativos e personas de usuário se tornam mais onipresentes, a identidade se tornou o novo perímetro. É fundamental controlar o acesso e os privilégios na nuvem e no local com base em credenciais seguras.
• Visibilidade: um corretor de segurança de acesso à nuvem e uma solução de gerenciamento de postura de segurança na nuvem estendem a visibilidade e o controle em todo o ambiente de nuvem da organização.
• Conformidade contínua: a conformidade regulatória não é opcional, e a conformidade e a segurança não são iguais. As organizações podem experimentar violações de conformidade sem uma violação de segurança, por exemplo, devido a desvios de configuração e erros. É essencial que as empresas tenham uma solução de gerenciamento de nuvem que forneça dados abrangentes, oportunos e acionáveis relacionados à conformidade em seus ambientes de nuvem.
• Segurança por padrão: controles de segurança devem ser ativados pelo provedor de nuvem por padrão, em vez de exigir que a empresa se lembre de ativar a segurança. Nem todo mundo tem um forte entendimento dos diferentes controles de segurança, e como eles funcionam juntos para reduzir os riscos e implementar uma postura de segurança completa. Por exemplo, a criptografia de dados deve ser ativada por padrão. Controles e políticas consistentes de proteção de dados precisam ser aplicados nas nuvens.
• Monitoramento e migração: as políticas de segurança para tenancies e compartimentos de nuvem devem ser configuradas e aplicadas aos administradores para ajudar a proteger as cargas de trabalho. Uma visão unificada da postura de segurança na nuvem entre os locatários da nuvem também é essencial para detectar recursos mal configurados e atividades inseguras entre os locatários, e fornece aos administradores de segurança visibilidade para fazer a triagem e resolver problemas de segurança na nuvem.
• Separação de tarefas e acesso de privilégio mínimo: os princípios da separação de tarefas e do acesso de privilégio mínimo são as melhores práticas de segurança que devem ser implementadas em ambientes de nuvem. Isso ajuda a garantir que os indivíduos não tenham direitos administrativos excessivos e não possam acessar dados confidenciais sem autorização adicional.

Webcast: Cloud Guard e Zonas de Segurança (21:37)

Como a adoção da nuvem continua a acelerar como resultado das prioridades de transformação digital, as empresas devem antecipar e navegar pelas complexidades da proteção de seus ambientes de nuvem. É essencial escolher um provedor de nuvem que projete a segurança para ser integrada automaticamente em toda a pilha da nuvem (IaaS, PaaS, SaaS). Considerações adicionais no futuro da segurança na nuvem incluem:

• Segurança da infraestrutura de nuvem: proteja as cargas de trabalho com uma abordagem de segurança em primeiro lugar na computação, rede e armazenamento da infraestrutura de nuvem - começando com a arquitetura. Aproveite os serviços de segurança essenciais para fornecer os níveis necessários de segurança para as cargas de trabalho mais críticas para os negócios.
• Segurança de banco de dados na nuvem: Reduza o risco de uma violação de dados e acelere a conformidade na nuvem. Adote soluções de segurança de banco de dados que incluem criptografia, gerenciamento de chaves, mascaramento de dados, controles de acesso de usuário privilegiado, monitoramento de atividades e auditoria.
• Segurança de aplicativos em nuvem: a proteção de aplicativos críticos contra fraude e uso indevido é essencial para proteger os dados críticos de negócios da sua organização. Controles de acesso, visibilidade e monitoramento refinados são componentes essenciais das defesas em camadas atuais.
• Segurança e privacidade corporativas: proteja a confidencialidade, a integridade e a disponibilidade dos dados e de seus sistemas hospedados na nuvem, independentemente do produto escolhido na nuvem.
• Advanced Customer Services: ao fazer transição para ambientes de nuvem ou várias nuvens, as equipes de segurança são desafiadas por uma superfície de ataque em expansão, sobrecargas de alerta e uma escassez de habilidades de segurança cibernética. Adote serviços avançados de seu provedor de serviços na nuvem para ajudar a enfrentar esses desafios.
• IAM (Identity and access management): controle o acesso a quem tem acesso aos seus dados, que tipo de acesso eles têm e a quais recursos específicos usando credenciais seguras, quer eles sejam hospedados na nuvem ou on-premises.

1. Relatório sobre ameaças na nuvem da Oracle e KPMG (PDF)
2. Primer técnico: como proteger o Oracle Database (PDF)