Há espionagem na nuvem?

Enquanto o assunto “espionagem” permanece como pauta principal nos círculos formados por gurus em segurança digital, existe uma série de assuntos paralelos, também voltados à segurança da virtualização, que merecem atenção imediata das equipes de TI. A principal pergunta é como permanecer na 'nuvem' de forma segura?

Aderir a cloud computing é uma tendência irreversível, que atrai cada vez mais organizações, de diferentes segmentos e portes, em todo o mundo – inclusive no Brasil. De acordo com estudos da consultoria IDC, os investimentos em nuvem pelas empresas locais deverão atingir US$ 257 milhões em 2013 e crescer 74% ao ano em média, alcançando os US$ 798 milhões em 2015.

A nuvem traz vantagens inegáveis, como a redução das despesas operacionais, implantação mais rápida de recursos computacionais, além de facilitar o gerenciamento dos processos de negócios. Aplicável a mais do que simplesmente servidores, a virtualização está se tornando mais comum entre diferentes aplicações de TI, incluindo armazenamento e desktops.

Diante deste cenário, o problema é que questões relacionadas à segurança das informações ainda preocupam muitos gestores de TI, ainda mais, após o recente escândalo de espionagem norte-americana sobre o governo brasileiro  – o que acabou representando um obstáculo para a sua disseminação.

Hoje já existem vários processos, ferramentas e prevenções, além das certificações de segurança, que permitem proteger os dados e as aplicações na nuvem. As organizações devem estar atentas, principalmente aquelas que estão em processo de implementação. A questão inicial é verificar se esse conjunto de cuidados fazem parte da solução a ser contratada. Conheça cinco itens que pode fazer diferença no momento de optar pela virtualização para manter sua empresa segura na nuvem.

1 – Confidencialidade, integridade e disponibilidade

A segurança da informação no cloud está relacionada com a proteção dos dados mantidos na nuvem. Para garantir a segurança, é preciso levar em consideração e voltar atenção para três pontos-chave: confidencialidade (fator que limita o acesso à informação), integridade (fator que garante a manutenção de todas as características originais da informação manipulada) e disponibilidade (fator que garante que a informação esteja sempre disponível para o uso legítimo).

2 – Integração com usuários

Para se alcançar um elevado grau de segurança da informação na cloud, são necessários vários níveis de proteção da estrutura. Inicie pelo controle do acesso dos usuários à nuvem, que deve incluir diversos procedimentos. Entre eles, destacam-se a centralização dos usuários em um repositório único e a eliminação de pessoas compartilhadas; rotinas de verificações dos registros de acesso à rede; alinhamento do processo de admissão, demissão e manutenção dos funcionários com a área de Recursos Humanos; padronização da complexidade de senha para acesso dos usuários e, ainda, controle do que é acessado de fora da nuvem – entre outros controles.

3- Segurança

Parece primário, mesmo assim há muito desconhecimento sobre a implementação de um sistema de segurança para cada instância virtualizada em detrimento de esquemas que vigiam um cluster de sistemas virtuais. Optar pela execução de um centro de segurança responsável por um grupo de 30 máquinas virtuais equivale a instalar um programa para monitorar cada instância. Outra alternativa prevê a execução de um programa no servidor físico para responder pela segurança de todas as máquinas virtuais e seus sistemas operacionais

No nível da estrutura propriamente dita, é necessário proteger tanto as camadas físicas da nuvem (roteador, firewall e switch) como as virtuais, para prevenir ataques e também acesso externo, ou interno, indevido. A criação de VLANs segmentadas na camada do switch (físico e virtual), por exemplo, é uma medida de proteção que evita que um usuário “enxergue” os dados e aplicações de outro na nuvem. Além disso, é fundamental resguardar a camada das máquinas virtuais com aplicações de segurança.

A integridade e confiabilidade dos dados na cloud dependem de algumas medidas de extrema importância. Manter o firewall ativo com bloqueios e rotas definidas para equipamentos de fora da nuvem é uma delas. Dotar todos os equipamentos de proteção ativa contra vírus, spyware e malwares, sempre atualizados com a última versão disponível, é outra medida primordial – que deve ser seguida da manutenção de rotinas de verificação. Também é extremamente importante centralizar a distribuição de atualizações dos softwares.

 4 – Criptografar ou não?

A virtualização de servidores vai muito além da chegada ao limite máximo de um terminal físico com inúmeras instâncias virtuais. É preciso criar uma rede de comunicação entre esses clientes e nesse quesito entra a criptografia.

A tendência de criptografar vem das exigências governamentais e outras políticas de privacidade. Porém a criptografia dos dados que circulam entre máquinas virtuais e a nuvem (privada ou pública) são uma boa medida para fechar a porta na cara de malwares. A medida reforça a segurança, porém isso pode ocasionar uma possível queda no desempenho, daí a necessidade de avaliar cada projeto.

5 – Infraestrutura e certificações

Já a disponibilidade dos dados é garantida por outros fatores igualmente relevantes e um dos itens mais importantes para a continuidade dos negócios. É o caso da existência de mecanismos de continuidade do serviço (sistemas de energia redundante, por exemplo), da redundância dos equipamentos da rede e servidores e, também, do gerenciamento da capacidade dos equipamentos – para evitar a ocorrência de situações como a interrupção do funcionamento dos serviços devido a problemas de esgotamento da capacidade da infraestrutura. É preciso prestar muita atenção nos fatores que garantirá a continuidade das operações.

Existem alguns padrões de certificação que podem ser aplicados na nuvem – entre eles, ISO 27001, PCI (Payment Card Industry) e ISAE 3402/SSAE 16, que auditam os processos relacionados à segurança das informações. Além disso, uma infraestrutura de cloud protegida requer cuidados adicionais, como uma abordagem que leve em conta a segurança atual visando a migração futura, nos padrões da nuvem; a auditoria rotineira nos controles aplicados para segurança; a certificação de terceiros em segurança da informação e a implantação de processos eficientes que equilibrem custos mais baixos com forte proteção dos dados.

É importante cuidar da segurança do hypervisor da mesma forma que lidaria em caso de máquinas físicas normais. É essencial traçar diretrizes para a configuração da segurança em máquinas virtuais e físicas; regularmente, realize vistorias nos sistemas para averiguar se as regras foram atendidas. Por último em um contexto geral, realize as atualizações necessárias em todas as máquinas, virtuais ou não, e desenvolva rotinas para recuperação de sistemas sempre.

Fonte: Computerworld