Cloud Security: Responsabilidade Compartilhada

Segurança na nuvem é e sempre será uma responsabilidade partilhada. A Amazon Web Services (AWS) tem se dedicado cada vez mais a este tema e acreditamos que agora é um bom momento para explorar e refletir sobre a ideia de um Modelo de Segurança Compartilhada. Ao contrário do senso comum, podemos afirmar que o Modelo de Segurança Compartilhada é um modelo muito simples. Sabemos que a segurança é necessária em todos os lugares onde residem ou trafegam as nossas informações. Precisamos de segurança para todas as camadas:

  • Infraestrutura física
  • Infraestrutura de rede
  • Camada de virtualização
  • Sistema operacional
  • Aplicações
  • Dados

A partir do entendimento dessa necessidade, o próximo passo é ter claro quem é o responsável pelo aspecto da segurança em cada uma destas camadas. Qual parte é de responsabilidade do provedor de serviços em nuvem, como por exemplo a AWS, e qual parte é de responsabilidade do usuário? É fato que as responsabilidades pela segurança mudam de acordo com o tipo de infraestrutura adotada. Considerando uma infraestrutura de data center tradicional; IaaS pode ser exemplificado pelas soluções EC2, EBS e VPC da AWS, PaaS tem como referências as ofertas RDS, EMR, OpsWorks da AWS e SQS e SNS, SES e Route53 são exemplos de soluções da AWS no modelo SaaS. A regra geral é: quanto maior é a abstração da infraestrutura tradicional menor é a responsabilidade direta que os usuários têm pela segurança. Usando o EC2 como exemplo, a AWS é responsável pela segurança da infraestrutura física, da infraestrutura de rede, e também pela segurança na camada de virtualização. Isso significa que a equipe de TI da empresa contratante fica responsável pela segurança do sistema operacional, aplicativos e dados; além de atuar na aplicação de patches no SO, na configuração do security groups (firewall) e das sub-redes de VPC. 

No cenário de computação em nuvem, a Trend Micro atua como um provedor de serviços habilitado a auxiliar as empresas na implementação de soluções e processos que garantam que a segurança seja completa e fácil para proteção da aplicações, sistemas operacionais e dados residentes em ambientes da AWS. Veja a seguir alguns exemplos dessa atuação: 

a) Impedindo a violação de dados e interrupções nos negócios das empresas

  • Verificação contínua das aplicações para detectar ataques complexos
  • Criptografia padrão AES-256 das informações sensíveis
  • Detecção e remoção de malware em tempo real
  • Redução da exposição aos ataques, garantindo que os servidores em nuvem se comuniquem apenas com os sistemas programados
  • Blindagem contra vulnerabilidades conhecidas e desconhecidas com patching virtual para proteger aplicações e servidores sensíveis
  • Detecção e alerta sobre atividade maliciosa ou suspeita, acionando medidas proativas e preventivas

b) Maximizando as reduções do custo operacional com Segurança em AWS

  • Automação de tarefas repetitivas de segurança
  • Reconhecimento e provisionamento automáticos de segurança
  • Redução no esforço de implementação e gerenciamento de produtos distintos
  • Redução da carga de trabalho administrativo na AWS

c) Atendendo normas e padrões de conformidade externa e interna

  • Atendimento dos principais requisitos de conformidade como PCI DSS 3.0, e também HIPAA, NIST e SAS 70
  • Proteção de dados com criptografia validada pelo FIPS 140-2
  • Utilização de tecnologia certificada do Common Criteria EAL 4+
  • Fornecimento de relatórios auditáveis e detalhados.
  • Redução no tempo e no esforço de preparação de auditorias externas e internas através de controles de segurança centralizados e relatórios consolidados

A Trend Micro está à disposição para ajudar na qualificação para segurança durante a migração para nuvem AWS.   

Rodrigo Garcia – Trend Micro

Posts mais lidos

Microsoft Viva Insights: como melhorar sua gestão pessoal?

O Microsoft Viva Insights fornece, basicamente, algumas informações pessoais sobre dois fatores de extrema importância na gestão pessoal: o seu tempo e a sua produtividade. Ou seja, ele ajuda as pessoas a entenderem como gastam seu tempo e com que o gastam. Com ele, você pode ver – e gerenciar – como gastou seu tempo […]

Gestão de equipes: ajude o seu time a prosperar com o Microsoft Viva

Você já ouviu falar no Microsoft Viva para Gestão de Equipes? Para aqueles que ainda não conhecem, o Viva é uma plataforma de gestão de equipes e experiência de colaboradores, baseado na Microsoft 365 e usado no Microsoft Teams. Além disso, ele reúne comunicações, conhecimentos, aprendizados, recursos e insights para otimizar o fluxo de trabalho. […]

Segurança de dados e mercado de e-Learning: qual a relação?

Com o distanciamento social causado pela pandemia do coronavírus, as edtechs e o mercado de e-Learning, como um todo, tiveram um crescimento acelerado, sobretudo nos dois últimos anos. Mas, a boa notícia é que essa tendência de educação à distância deve continuar em alta, em ambos os segmentos, mesmo agora no pós-pandemia. Pelo menos, é […]

Assine a Newsletter