Sete pecados mortais de segurança em cloud computing

Por mais que os profissionais da área de TI já estejam familiarizados com termos ligados ao cloud computing (computação em nuvem), como virtualização e multi-tenancy – arquitetura de software na qual os aplicativos rodam em uma infraestrutura na qual servem múltiplos clientes -, os especialistas alertam que muitos desconhecem os riscos de colocar as aplicações na nuvem.

O diretor-executivo da organização não-governamental CSA (Cloud Security Alliance), Jim Reavis, considera que, por mais que as novas tecnologias pareçam familiares, basta procurar um pouco para descobrir uma série de riscos escondidos. E, segundo o especialista, a situação se torna ainda pior por conta do fato de as organizações geralmente adotarem a computação em nuvem com uma velocidade muito mais rápida do que seria o recomendado pelos especialistas em segurança.

“Com uma abordagem baseada na
compreensão dos riscos reais e práticas atenuantes, podemos adotar a
nuvem de forma segura”, afirma Reavis. O especialista preparou uma lista do que ele considera como os sete pecados mortais da segurança na nuvem. O documento tem como base informações de especialistas de 29 consultorias e fornecedores.

Pecado 1 – Perda de dados ou vazamento
Não há um nível de controle de segurança aceitável na nuvem, segundo
Reavis. Alguns aplicativos podem deixar dados vazarem como resultado de
um controle de API, geração de chaves, armazenamento ou gestão fracos.
Além disso, políticas de destruição de dados podem estar ausentes.

Pecado 2 – Vulnerabilidades de tecnologias compartilhadas
Na nuvem, uma única configuração errada pode ser duplicada em um
ambiente no qual vários servidores virtuais compartilham essa
informação. A organização deve aplicar acordos de nível de serviço
(SLAs) para o gerenciamento de atualizações e as melhores práticas para
a rede e configuração do servidor.

Pecado 3 – Internos maliciosos
O nível de verificações que os provedores da nuvem realizam em uma
equipe pode variar de acordo com o controle de acesso ao datacenter
estabelecido pela empresa, segundo Reavis. “Muito deles fazem um bom
trabalho, mas é desigual”, completou. A recomendação é realizar uma
avaliação de fornecedores e definir um nível de seleção de funcionários.

Pecado 4 – Desvios de tráfego, contas e serviços
Muitos dados, aplicativos e recursos são concentrados na nuvem. Sem
autenticação segura, um intruso pode acessar uma conta de usuário e
obter tudo o que estiver na máquina virtual daquele cliente, afirma
Reavis. Para evitar isso, o ideal é monitorar proativamente ameaças de
autenticação.

Pecado 5 – Interfaces inseguras de programação de aplicativos
É importante ver a nuvem como uma nova plataforma e não apenas como
terceirização quando se trata de desenvolvimento de aplicativos. Deve
existir um processo de investigação relacionado aos ciclos de
aplicações, no qual o desenvolvedor entende e aplica certas orientações
para controles de autenticação, acesso e criptografia.

Pecado 6 – Abuso da computação em nuvem
Usuários mal intencionados estão cada vez mais preparados, segundo
Reavis. Registros indicam que crackers estão aplicando novas ameaças
rapidamente, além da habilidade de se adaptar ao tamanho da nuvem. E
tudo que é preciso é um cartão de crédito.

Pecado 7 – Perfil de risco desconhecido
A questão da transparência continua preocupando os provedores de
nuvem. Usuários de contas interagem apenas com a interface final e não
sabem muito sobre as plataformas ou níveis de segurança que os
provedores estão empregando, afirma Reavis.