Integração e segmentação são chave para proteger a cloud

Conhecer a cloud, incorporar novas defesas, cifrar e proteger dados e estar atento ao shadow IT são as recomendações de José Luis Laguna, director técnico da Fortinet Ibéria, para incrementar os níveis de segurança na cloud.

José Luis Laguna, director técnico da Fortinet Ibéria.

José Luis Laguna, director técnico da Fortinet Ibéria.

Os riscos da segurança na cloud estão a aumentar, os ataques crescem a um ritmo de 45% anualmente a nível global, tal e como indica a Alert Logic. Nos próximos cinco anos, as empresas vão gastar 2 mil milhões de dólares para reforçar as suas defesas na cloud, segundo a Forrester Research.

Proteger ambientes tão dinâmicos requer uma completa integração de tecnologias de segurança e de rede que partilhem inteligência e colaborem na detecção, isolamento e resposta perante ameaças em tempo real.

A questão complica-se se tivermos em conta que a cloud não é apenas uma rede tradicional virtualizada, mas sim um conjunto de redes que operam de forma sincronizada. Os dados necessitam mover-se entre os datacenters para que sejam disponibilizados a cada vez um maior número de utilizadores móveis e clientes.

Os serviços na cloud pública estão a ser adoptados pelas organizações para todo o tipo de actividades, desde o download de pedido elevados de volumes de tráfego, um processo conhecido como cloud bursting, até transferir parte de toda a sua infra-estrutura para a cloud com algum tipo de arquitectura de Software, plataforma ou infra-estrutura como serviço (XaaS).

Da perspectiva da segurança, o desafio principal é como estabelecer e manter políticas de segurança coerentes enquanto a informação se move de um lado para outro a nível local e em ambientes cloud de terceiros. Este é o factor mais determinante que impede as organizações da adopção de uma estratégia de rede XasS.

Para aplicar este modelo devem confluir duas circunstâncias: as organizações necessitam encontrar e trabalhar com um fornecedor que possa proporcionar na cloud a mesma tecnologia de segurança da que dispõem na própria companhia. As organizações necessitam dispor de uma ferramenta para a gestão e coordenação na cloud que permita transferir as políticas e a inteligência de segurança de forma eficaz entre os dispositivos de segurança utilizados em ambientes distribuídos.

No entanto, aquelas organizações que ainda não avançaram para a cloud, devem ter em consideração os cinco “Must” para operar na cloud:

Primeiro, conheça as áreas da cloud. Localize os limites nos modelos de segurança partilhados no serviço cloud. Tenha consciência do alcance das responsabilidades do fornecedor de cloud e das suas próprias. Saiba quais os dispositivos de segurança e de que fabricantes oferecem/permitem ao fornecedor da cloud a sua implementação na cloud.

Segundo, considere incorporar novas defesas às actuais medidas de segurança das que já dispõe para a autenticação e os processos de login nas suas aplicações. Considere a implementação de um segundo factor de autenticação, o controlo do endpoint e a utilização de passwords para uma única utilização. Solicite a mudança do ID de utilizador no primeiro login.

Terceiro, a encriptação de dados é um dos seus principais aliados na segurança na cloud. Consulte com o seu fornecedor de cloud as suas capacidades de encriptação dos dados. Investigue como encriptar os dados que se encontram armazenados, em utilização ou em movimento e verifique onde se encontram.

Quarto, um ambiente virtualizado pode implicar um desafio para a protecção de dados, sobre tudo em relação com a gestão da segurança e o tráfego no âmbito das infra-estruturas partilhadas por múltiplos clientes e máquinas virtuais. Pergunte ao seu fornecedor da cloud como proteger o seu ambiente virtual e que dispositivos virtuais utiliza.

E por último, mas não menos importante: não feche os olhos ao shadow IT. O uso de aplicações e serviços cloud não autorizados, ou shadow IT, está a aumentar a nível empresarial e levanta um desafio para a segurança. Não tente impedir o acesso ao shadow IT, é mais eficaz aumentar a consciencialização dos utilizadores e usar a tecnologia para gerir o problema.

 




Deixe um comentário

O seu email não será publicado