7 pecados mortais de segurança em computação na nuvem

Especialistas de segurança alertam que as organizações que estão aderindo à computação em nuvem podem
conhecer termos familiares como multi-tenancy e virtualização, mas isso
não significa que eles entendem tudo sobre como colocar aplicações na
nuvem.

No mundo da cloud computing, essas tecnologias são
integradas para criar uma nova classe de aplicativos com seu próprio
pacote de regras de operações, afirma o diretor executivo da
organização não-governamental, Cloud Security Alliance (CSA), Jim
Reavis. O objetivo da CSA é promover as melhores práticas para uso da
computação na nuvem.

“Essa é uma nova era na computação”, diz
Reavis. Mesmo se tudo soa familiar, basta procurar um pouco mais para
descobrir uma série de novos riscos. As organizações geralmente adotam
a computação em nuvem com uma velocidade muito maior do que os
profissionais de segurança recomendam, afirma Reavis. Uma abordagem
pragmática é necessária. “Com uma abordagem baseada no risco para a
compreensão de riscos reais e práticas atenuantes, podemos adotar a
nuvem de forma segura”.

A CSA, em colaboração com a HP, fez uma
listagem do que chamam de sete pecados mortais da segurança na nuvem. A
pesquisa é baseada em informações de especialistas de segurança de 29
empresas, provedores de tecnologia e companhias de consultoria.

1- Perda de dados ou vazamento
Não há um nível de controle de segurança aceitável na nuvem, segundo
Reavis. Alguns aplicativos podem deixar dados vazarem como resultado de
um controle de API, geração de chaves, armazenamento ou gestão fracos.
Além disso, políticas de destruição de dados podem estar ausentes.

2- Vulnerabilidades de tecnologias compartilhadas
Na nuvem, uma única configuração errada pode ser duplicada em um
ambiente no qual vários servidores virtuais compartilham essa
informação. A organização deve aplicar acordos de nível de serviço
(SLAs) para o gerenciamento de atualizações e as melhores práticas para
a rede e configuração do servidor.

3- Internos maliciosos
O nível de verificações que os provedores da nuvem realizam em uma
equipe pode variar de acordo com o controle de acesso ao datacenter
estabelecido pela empresa, segundo Reavis. “Muito deles fazem um bom
trabalho, mas é desigual”, completou. A recomendação é realizar uma
avaliação de fornecedores e definir um nível de seleção de funcionários.

4- Desvios de tráfego, contas e serviços
Muitos dados, aplicativos e recursos são concentrados na nuvem. Sem
autenticação segura, um intruso pode acessar uma conta de usuário e
obter tudo o que estiver na máquina virtual daquele cliente, afirma
Reavis. Para evitar isso, o ideal é monitorar proativamente ameaças de
autenticação.

5- Interfaces inseguras de programação de aplicativos
É importante ver a nuvem como uma nova plataforma e não apenas como
terceirização quando se trata de desenvolvimento de aplicativos. Deve
existir um processo de investigação relacionado aos ciclos de
aplicações, no qual o desenvolvedor entende e aplica certas orientações
para controles de autenticação, acesso e criptografia.

6- Abuso da computação em nuvem
Usuários mal intencionados estão cada vez mais preparados, segundo
Reavis. Registros indicam que crackers estão aplicando novas ameaças
rapidamente, além da habilidade de se adaptar ao tamanho da nuvem. E
tudo que é preciso é um cartão de crédito.

7- Perfil de risco desconhecido
A questão da transparência continua preocupando os provedores de
nuvem. Usuários de contas interagem apenas com a interface final e não
sabem muito sobre as plataformas ou níveis de segurança que os
provedores estão empregando, afirma Reavis.

O chefe de
tecnologia de segurança na nuvem da HP, Archie Reed, tem o cuidado de
observar que a lista dos sete pecados mortais da segurança na nuvem não
é abrangente, mas de alto nível. “Deve servir como uma aproximação, mas
não definir as questões de segurança”, afirmou Reed.