Múltiplas Nuvens? Riscos Múltiplos.

A maioria das organizações opera em diversas propriedades de nuvem, além de sua própria nuvem privada local. Nos últimos três anos, perguntamos sobre os desafios e frustrações que os profissionais de todas as funções de TI enfrentam ao operar nesse modo.

Todos os anos a resposta mais comum é a mesma: consistência.

Isso não é nenhuma surpresa. As organizações ainda trabalham, em grande parte, como equipes isoladas, e a introdução da nuvem pública não mudou isso. Na verdade, o número de silos aumentou bastante, pois equipes focadas na nuvem geralmente são necessárias para se adaptar adequadamente aos painéis, consoles e formas de operar exclusivos de cada nuvem pública.

Essa realidade dificulta a proteção de aplicativos pelos quais as organizações — e não os provedores de nuvem — são responsáveis. Os desafios surgem em parte do uso de serviços de segurança heterogêneos que podem ou não fornecer a paridade de políticas necessária para proteger suficientemente um aplicativo de acordo com as expectativas da empresa. As capacidades de um serviço de segurança podem não ser as mesmas de outro. Se houver uma funcionalidade da qual você depende para proteger um aplicativo e ela estiver disponível em uma nuvem, mas não na outra, você não poderá obter segurança consistente.

Portanto, não foi surpresa que um relatório da Sophos sobre o Estado da Segurança na Nuvem 2020 tenha encontrado um número maior de incidentes de segurança entre as organizações que operam em diversas propriedades de nuvem:

"Organizações multinuvem relataram mais incidentes de segurança nos últimos 12 meses. Setenta e três por cento das organizações pesquisadas usavam dois ou mais provedores de nuvem pública e relataram mais incidentes de segurança do que aquelas que usavam uma única plataforma."

O relatório esclareceu ainda mais a origem desses incidentes, descobrindo que as lacunas de segurança causadas por configuração incorreta foram exploradas em 66% dos ataques, dividindo-se ainda em três categorias: 

• 33% Credenciais de conta na nuvem roubadas
  
• 22% Configuração incorreta de recursos da nuvem 
• 44% Firewall de aplicativo da web mal configurado

A configuração incorreta pode ser resultado de muitas coisas. Erros de digitação são comuns. Interpretar mal a terminologia ou entender mal o modelo de política pode ser outra.

Para reduzir erros de digitação e outros erros introduzidos por humanos, a automação geralmente entra em cena. Mas isso não ajuda no último caso, onde diferenças em modelos de políticas e idiomas podem ser uma fonte de confusão que leva a configurações incorretas.

A melhor resposta hoje para resolver o problema de configuração incorreta é a padronização. Escolher um conjunto padrão de serviços de segurança que operem em todos os ambientes em que você precisa que eles operem contribuirá muito para eliminar configurações incorretas. Ao focar em um único conjunto de serviços de segurança, as habilidades adquiridas são retidas em todas as propriedades da nuvem. A expertise é construída com base na experiência e, ao se concentrar em um conjunto mais restrito de linguagens e modelos de políticas, as organizações podem abordar com mais confiança a proteção de aplicativos em qualquer ambiente.

A padronização também atua como um multiplicador de força para automação, permitindo a reutilização de código, scripts e modelos que provisionam, implantam e gerenciam serviços de segurança em várias nuvens. Os artefatos de automação são reforçados e otimizados pelo uso e reutilização, o que inspira maior confiança no uso da nuvem.

A nuvem veio para ficar, assim como a realidade de múltiplas nuvens por organização. Mas isso não significa que precisamos aceitar a realidade do aumento de incidentes de segurança. Ao abordar deliberadamente os serviços de segurança com foco na padronização e atenção às estruturas organizacionais internas que podem estar impedindo a colaboração, as organizações podem tomar medidas positivas para melhorar a segurança, expandir a automação e otimizar as habilidades e a experiência de seus ativos mais valiosos: seus funcionários.