As empresas preocupadas com a segurança de seus dados na nuvem, geralmente tomam o mesmo caminho para proteger suas informações, incluindo codificação de dados e usando autenticação para evitar acesso.
Ainda assim, há inúmeras maneiras menos óbvias de vazamento de dados e pesquisas em andamento mostram que clientes de serviços em nuvem – mesmo serviços em nuvem seguros – precisam se preocupar com seus dados. Por exemplo, sistemas de gerenciamento de acesso e identidade podem travar a senha e as credenciais do usuário, mas não avalia o fato de que a fonte de acesso e sua frequência é uma informação valiosa. Em outros caos, chamadas de APIs para um serviço podem carregar informações sobre quais recursos uma empresa acessa, bem como outros detalhes.
Esses ataques chamados de “canais laterais de ataque” na rede, não são novos, mas com a popularidade dos serviços em nuvem estão ser tornando mais sérios, afirma Carl Herberger, vice-presidente de soluções de segurança para o provedor de aplicativos de segurança em nuvem, Radware.
Canais laterais de ataque analisam padrões de tráfego e controlam sinais para ganhar informação sobre conteúdo de comunicação. Em 2010, uma pesquisa realizada pela Universidade de Indiana e pela Microsoft Research, descobriu que tais ataques podem dar inúmeras informações sobre as ações dos usuários em ofertas software as a service. O estudo descobriu quem serviços e aplicativos populares vazavam uma quantidade significativa de informação, como condições médicos em serviços de saúde e renda, em serviço de impostos.
Outras pesquisas descobriram perigos similares: em 2009, cientistas de computação da Universidade da Califórnia e MIT descobriam que invasores podiam explorar a infraestrutura virtualizada de computação em nuvem para criar uma instância de máquinas virtuais que poderia então reunir informações sobre outras máquinas virtuais de clientes no mesmo servidor físico. Em 2010 em estudo realizado pela IBM descobriu que o armazenamento em nuvem que usava deduplicação através dos dados dos clientes podia vazar informação sobre os nomes dos arquivos e conteúdos.
Muitos desses problemas são endêmicos dos serviços em nuvem multi-inquilinos, ou ao fato de que serviços de provedores de nuvem terceirizados adicionam outro canal por meio do qual os invasores podem ganhar acesso aos dados de uma empresa. Com o simples fato de colocar seus dados na nuvem, a empresa abre a possibilidade de acesso à informação para agentes da lei ou tribunais civis sem serem notificadas.
Muitos provedores em nuvem afirmaram que irão apoiar o direito de seus clientes, mas são obrigados a seguir a lei, afirmou John Howie, diretor do escritório de operações na Cloud Security Alliance.
Segundo Peter Wayner, autor do “Transluscent Databases”, a não ser que a empresa controle seu próprio data center, é difícil ter segurança.
Os funcionários das empresas podem criar o próprio canal para vazar informações ao usar serviços não autorizados para armazenar ou comunicar dados. Funcionários usam aplicativos e soluções em nuvem em seus dispositivos e, em muitos caso, estão indexando e analisando os dados para vendas de anúncios, mas podem expô-los de outra forma. A IBM, por exemplo, decidiu banir inúmeros aplicativos na nuvem, incluindo o serviço de reconhecimento de voz Siri, da Apple, por temer o armazenamento de consultas dos funcionários.
As empresas precisam educar seus funcionários acerca do perigo de armazenar os dados da empresa nos serviços em nuvem. Além disso, devem discutir o possível vazamento de dados com seus provedores na cloud.
Tradução: Alba Milena, especial para o IT Web | Revisão: Thaís Sabatini
Saiba mais:
4 pontos para se observar em cloud computing
Lei do Cibercrime: texto não contempla cloud computing, diz especialista
Segurança ainda é empecilho para adoção da cloud computing
Cloud computing mudará perfil do profissional técnico
Lista: 4 tecnologias que vão transformar a TI
Gartner lista 5 tendências de cloud que afetarão a estratégia das empresas até 2015
A era do PC acabou e cloud computing agora é pessoal, diz Citrix
Cloud computing de hoje é o mainframe de ontem, diz executivo
2012: computação em nuvem e consumerização são principais tendências, diz Gartner
Computação em nuvem preocupa futuro da segurança
Diogo Cortiz, professor da PUC-SP e doutor em Tecnologias da Inteligência e Design Digital, tem…
DJ Sampath chegou aos Estados Unidos há 30 anos com oito dólares no bolso e…
A evolução da inteligência artificial nos serviços financeiros ainda esbarra em desafios relacionados à experiência…
A Motorola Solutions anunciou a assinatura de um acordo definitivo para adquirir a D-Fend Solutions,…
Nesta terça-feira (2), a Meta anunciou a expansão global de configurações de conteúdo para contas…
por Bruno Paiuca Dentro da jornada de digitalização dos ecossistemas de segurança, a validação e…