Os ambientes multiccloud se tornaram uma estratégia essencial para muitas organizações que buscam aprimorar sua presença digital. A utilização desta estratégia pode possibilitar um conjunto de benefícios, como: alta disponibilidade, mitigação de riscos, utilização de soluções pré-configuradas, rápida evolução tecnológica, diminuição de latência de aplicações, melhor gestão de custos, contratação sob demanda, etc.
Porém, essa diversificação de provedores de nuvem pode criar novos desafios em relação à segurança, pois cada provedor possui uma implementação distinta para soluções de segurança com o mesmo propósito. Isto leva a necessidade de conhecer cada uma delas e buscar uma configuração que seja semelhante do ponto de vista de resultado obtido em cada implementação.
Neste artigo, exploraremos o que é um ambiente multicloud, e a opção de manutenção conjunta do ambiente enterprise. Abordaremos as principais dificuldades em configurações de segurança para ambientes multicloud ou híbrido, destacamos pontos de atenção importantes desta jornada e ainda abordaremos as vantagens de uma alternativa de uso de um provedor unificado para soluções de segurança.
Definição do que é Multicloud
De modo simplificado, multicloud é uma estratégia de uso de mais de um provedor de serviços de nuvem para atender às necessidades de infraestrutura de uma organização. Os principais provedores de nuvem incluem a Amazon Web Services (AWS), Microsoft Azure, Google Cloud, Akamai Cloud, entre outros. O objetivo é aproveitar as características de cada provedor, como recursos específicos, flexibilidade e simplicidade, soluções “pre-empacotadas”, preços distintos dos recursos, geolocalização de data centers que possam otimizar o desempenho, a escalabilidade e a resiliência do ambiente de aplicações da organização.
Cada organização possui requisitos distintos, e a análise da melhor composição de provedores de soluções em nuvem pode trazer benefícios importantes que ajudam a compor o resultado do negócio.
Ambientes multicloud e enterprise
Os ambientes multicloud e enterprise, também conhecidos como ambientes híbridos, referem-se à coexistência de recursos de nuvem e infraestrutura local (on-premises) em uma única arquitetura de TI. Essa abordagem híbrida é comum em organizações que desejam aproveitar os investimentos já realizados em TI, aproveitando ao máximo estes investimentos até a total depreciação ou obsolescência dos recursos. Adicionar a flexibilidade da nuvem às novas necessidades da organização permite a evolução do ambiente rapidamente, alinhada com as novas demandas de evolução das aplicações da organização para atender as demandas de seus clientes. No entanto, essa mistura de recursos requer uma estratégia de segurança que abrange todos os componentes, tanto na nuvem quanto no ambiente proprietário.
O que é segurança em multicloud
A segurança é um aspecto essencial da computação em nuvem e ninguém pode ignorar a relevância deste tema. À medida que as empresas adotam cada vez mais arquiteturas multi-cloud, ou híbridas, para aproveitar os benefícios dos vários provedores, a complexidade da proteção desses ambientes aumenta exponencialmente.
Estabelecer a segurança em multicloud refere-se a definição de políticas, procedimentos, tecnologias ou tipos de solução de segurança implementadas para proteger dados, aplicativos e infraestrutura nos diferentes provedores de serviços em nuvem selecionados. Esta definição deve atender a necessidade de garantir a confidencialidade, a integridade e a disponibilidade dos recursos e, ao mesmo tempo, manter a conformidade com os requisitos normativos relevantes.
A primeira vista isto até parece ser simples, apesar de trabalhoso. Porém, a primeira coisa a saber sobre a segurança em mulit-cloud é que cada provedor de nuvem tem um conjunto exclusivo de controles e soluções de segurança, alinhados com sua estratégia própria de negócios.
A segurança multicloud requer uma abordagem abrangente que considere as soluções de segurança de cada provedor de nuvem e as interações entre eles. Essa abordagem envolve a identificação e a avaliação dos riscos associados a cada plataforma de nuvem, a implementação de controles de segurança para atenuar esses riscos e o monitoramento do ambiente quanto a possíveis ameaças à segurança.
Alguns desafios deverão ser considerados, como a complexidade de cada ambiente e solução, a integração entre soluções (algumas mais fáceis e outras mais complexas), os gaps de conhecimento das equipes entre os diferentes ambientes e a complexidade de garantir compliance regulatório adequado utilizando soluções distintas.
A segurança em multicloud envolve a integração de ferramentas e serviços de segurança distintos em várias plataformas de nuvem, conhecimentos diversos sobre a solução específica de cada provedor, uso de diferentes ferramentas de gerenciamento de eventos e informações de segurança (SIEM). Também é essencial estabelecer políticas e procedimentos de segurança claros para gerenciar o acesso, a proteção de dados e os processos de resposta a incidentes em todas as plataformas.
Principais dificuldades para a segurança em ambientes multicloud
Estabelecer um adequado modelo de gestão da segurança em ambientes multicloud é um desafio complexo em função da evolução constante do cenário de ameaças, que envolve ataques cibernéticos sofisticados e frequentes, que exploram vulnerabilidades na infraestrutura e nos agentes de acesso à mesma.
Quando iniciamos um plano para estabelecer a segurança em um ambiente multicloud precisamos considerar alguns pontos importantes, e aqui estão alguns deles:
Falta de gestão e governança unificada: utilizar diferentes provedores de nuvem traz benefícios como já mencionado, porém obriga a organização a utilizar diferentes soluções de gerenciamento. Este problema precisa ser equacionado de modo a buscar estabelecer processos semelhantes de gestão em cada plataforma para que se possa estabelecer uma mesma diretriz de governança do ambiente, evitando que análises distintas sejam efetuadas e crie uma maior complexidade para a tomada de decisões, que precisam ser rápidas em casos de incidentes de segurança.
Falta de visibilidade entre plataformas: Ainda associada com a deficiência anterior, utilizar diferentes sistemas de gestão não permite uma visão unificada de todas as soluções de segurança utilizadas. Como cada provedor entrega uma solução de gestão e a organização tem que observar cada uma delas, associar as informações para compor sua visão final pode ser um fator comprometedor. Isto pode tornar difícil identificar ameaças em potencial e viabilizar ações rápidas de mitigação, podendo ainda comprometer conformidade com regulamentações. Obviamente, se desejar obter a unificação de visibilidade de forma automática será preciso novos investimentos em integrações e, talvez, buscar uma solução de gestão externa para tratar todos os dados de cada provedor de nuvem.
Padrões diferentes: Cada provedor de nuvem tem seus próprios padrões de segurança e recomendações. Harmonizar esses padrões e políticas de segurança entre várias nuvens é um desafio, exigindo uma compreensão aprofundada de cada plataforma.
Gestão de identidade e manutenção de controle de acesso: A gestão de identidade e acesso (IAM – Indendity Access Management) torna-se complexa quando envolve várias nuvens. Garantir que políticas de IAM sejam uniformemente aplicadas em todos os provedores é um desafio. Unificar e gerenciar a definição de perfis de acesso para garantir que o controle de acesso, com permissões bem controladas, pode exigir um esforço adicional para os profissionais de segurança da organização.
Automatização de políticas desafiadoras: A automação de políticas de segurança é fundamental para responder às ameaças em tempo real. No entanto, as diferenças nas soluções e nas APIs que podem trazer capacidades de automação deste processo entre os provedores podem dificultar essa tarefa.
Restrições de pessoal e lacunas de capacitação: As inconsistências nas políticas e nos procedimentos de segurança em diferentes ambientes de nuvem podem surgir devido a restrições de pessoal e lacunas de capacitação nas diferentes soluções. Essas inconsistências podem resultar em exposição a ataques e dificultar a resposta eficaz a incidentes de segurança.
Estes são alguns pontos importantes de atenção quando da utilização de uma arquitetura multicloud e suas soluções particulares de segurança. Apesar de complexo, estes não devem ser vistos como agentes desencorajadores da adoção desta estratégia de arquitetura. Os benefícios do uso adequado de uma estratégia multicloud compensam este esforço adicional quando se trata da segurança do ambiente. Vale ressaltar que existem alternativas viáveis de consolidação da estratégia de segurança que abordaremos mais adiante.
Melhores práticas para segurança em multicloud
Apesar da complexidade já descrita, existem um modelo de conduta que pode garantir um ambiente com menor nível de risco para a organização, quando falamos em cibersegurança.
Algumas condutas podem ser vistas como melhores práticas, podendo as mesmas ajudar no processo de gestão de segurança do ambiente e, possibilitar que a organização tenha capacidade de obter uma visão mais adequada e permita rápida resposta, em caso de incidentes.
Use uma plataforma unificada de gerenciamento e governança
Ao usar uma plataforma unificada para o gerenciamento e governança, você pode aplicar políticas consistentes em todos os provedores de nuvem, simplificar os relatórios de conformidade e reduzir o risco de configurações incorretas.
Implemente uma política abrangente de gestão de identidade e perfis de acesso
Uma política abrangente deve incluir controles de acesso baseados em funções, autenticação multifator, gestão unificada de contas de usuários, perfis de acesso baseado na real necessidade de cada grupo, ou pessoa, e redução drástica de acessos com ampla capacidade de administração do ambiente, com processos rígidos de controle de uso dos mesmos.
Monitore e analise registros e eventos
Monitorar logs e eventos permite detectar desvios ou inconsistências que ajudam na identificação de incidentes de segurança e possibilita resposta rápida para minimizar riscos e eventuais impactos negativos. Salve todos os logs dos sistemas de segurança em um único local e, se possível, com uma formatação semelhante. Isto facilitará o processo de análise futura. Na realidade, as organizações não sabem quais informações serão necessárias no futuro para uma análise efetiva.
Realize regularmente avaliações de vulnerabilidade e testes de penetração automatizados
Avaliações de vulnerabilidade e testes de penetração são atividades que devem ser consideradas parte do processo normal de operação de uma organização. Estes são componentes essenciais da segurança quando estamos operando em várias nuvens, pois ajudam a identificar possíveis vulnerabilidades em sua arquitetura, seus aplicativos e nas interconexões entre os diferentes ambientes utilizados.
Uniformidade na aplicação de regras de segurança
Garantir que as regras de segurança sejam aplicadas de maneira consistente em todas as nuvens reduz erros e minimiza vulnerabilidades. Definir regras que possam ser replicadas em todas as nuvens utilizadas pode ajudar no processo de gestão destas e uniformizar o nível de segurança aplicado. Claro que as diferentes soluções dos provedores de nuvem possuem características próprias, mas o “conceito” da regra de proteção criada e implementada em cada provedor deve ser o mesmo.
Capacitação das equipes
Aqui não existe mágica. Utilizar diferentes provedores de nuvem implica em buscar capacitação para as equipes de TI em cada uma das plataformas. É um processo longo, mas precisa ser realizado de forma estruturada e constante. Priorize o que é mais importante e as equipes que possuem atribuições mais críticas para o negócio, mas não negligencie os demais. Elabore um plano de médio e longo prazo e contemple todas as equipes envolvidas. Aproveite para dar visibilidade ao plano, pois isto pode ainda funcionar de forma motivacional positiva para as equipes, demonstrando que todos estão incluídos.
Por que ter apenas um único fornecedor de soluções de segurança
Por último vamos comentar a alternativa de buscar um único fornecedor de soluções de segurança para toda sua arquitetura multicloud ou híbrida.
Selecionar um fornecedor único para as necessidades de segurança trará a possibilidade de aplicar as mesmas regras para todo e qualquer ambiente de nuvem (ou híbrido). A independência da solução de segurança frente ao provedor de nuvem trará benefícios importantes para todo o conjunto multicloud. Uma visão unificada de todo ambiente permitirá melhor gestão de riscos e ações para promover uma segurança mais estável. Permitirá ainda ações rápidas de mitigação que abrangem todo o ambiente tecnológico da organização.
A principal vantagem desta alternativa é que o processo de gestão ficará muito simplificado e proporcionará a redução significativa de riscos de diferenças da efetividade de proteção nas diferentes nuvens utilizadas.
Podemos mencionar alguns pontos positivos no uso desta abordagem, como:
- Independência das configurações de segurança em relação ao provedor de nuvem, promovendo maior consistência entre ambientes;
- Redução da complexidade entre as diferentes configurações de segurança de cada nuvem;
- Uso de soluções unificadas para todos os ambientes de nuvem;
- Atualizações únicas para todo ambiente de segurança;
- Flexibilidade na portabilidade de cargas de trabalho entre provedores, sem implicar em novas configurações de segurança;
- Suporte centralizado;
- Melhor processo de capacitação e treinamento especializado;
- Aumento do nível de conhecimento técnico das equipes;
- Simplicidade do processo de gestão de segurança e tomada de decisão;
- Maior facilidade de compliance com regulações.
Vale ainda ressaltar a possibilidade de ganho de escala e melhor negociação de custos para as soluções de segurança. Investimentos em cibersegurança são significativos, porém necessários e a possibilidade de melhor negociação pode trazer diferenciais importantes
Em resumo, a segurança em ambientes multicloud é um desafio contínuo que exige uma abordagem estratégica e abrangente. A independência das configurações de segurança, o uso de soluções de segurança unificadas, o treinamento especializado e a consideração de um único fornecedor de soluções de segurança são passos essenciais para gerenciar e reduzir riscos com sucesso, permitindo que as organizações aproveitem ao máximo os benefícios da computação multicloud.