Parte do problema da segurança da TI híbrida é que muitas pessoas estão confusas até mesmo com relação ao que isso significa. Além disso, mesmo aqueles que entendem seu significado estão incertos sobre como as políticas de segurança devem se aplicar à TI híbrida. Por quê? Bem, é uma questão realmente complicada. Em essência, a TI híbrida é complexa: infraestrutura e aplicativos de TI em execução no local (em um data center próprio ou hospedado) combinados com o que está na nuvem. É a dependência não só dos serviços completamente gerenciados por uma equipe interna, mas também daqueles totalmente gerenciados por um fornecedor externo.
No último Relatório de tendências de TI da SolarWinds (2016), 98% dos profissionais de TI brasileiros afirmaram que adotar tecnologias de nuvem é importante para o sucesso comercial de longo prazo das organizações. Embora isso possa apontar para um futuro totalmente na nuvem, a realidade é que você utilizará a nuvem apenas em parte da estratégia geral de TI, mas talvez não chegue a migrar toda a infraestrutura para a nuvem. Na verdade, de acordo com o relatório, 60% também afirmaram que é improvável que toda a infraestrutura da sua organização chegue a ser migrada para a nuvem. Isso significa que você precisa entender e desenvolver políticas de segurança aplicáveis a um universo com um modelo de propriedade mista.
Um dos principais elementos desse modelo misto é o software como serviço (SaaS). O SaaS é uma maneira de fornecer o software. Significa apenas que o consumidor do software não precisa se preocupar com os detalhes subjacentes do aplicativo ou infraestrutura, bastando que consuma o serviço comercial, como acontece com e-mail ou CRM. Da mesma forma, na empresa, a TI geralmente fornece aplicativos como um serviço, geralmente com fatura retroativa mensal ou trimestral do departamento ou unidade de negócios que consome o serviço. E os últimos dez anos testemunharam a adoção em massa de SaaS público pelo mercado, o que significa que nós da TI agora temos ainda menos com que nos preocupar com relação a levar os aplicativos para os usuários. É claro que há muitos desafios que acompanham esse processo.
Quando ocorre um problema com a infraestrutura ou com os aplicativos necessários para fornecer um serviço pelo qual não somos responsáveis ou que não gerenciamos, ficamos limitados a abrir um tíquete e aguardar a resposta, como todo mundo. Sim, existem coisas que podemos verificar: podemos garantir que nossa infraestrutura interna está funcionando ou que nosso ISP de próximo salto não passa por nenhum problema; mas isso é tudo. Esse é o principal desafio da TI híbrida – responsabilidade sem controle.
E, logicamente, não se trata apenas de uma problema de garantia de disponibilidade. O modelo clássico de segurança deconfidencialidade, disponibilidade e integridade é bastante diferente no universo da TI híbrida. Por definição, a TI híbrida obtém os dados que estavam em seu data center e os dissemina pela Internet. Como garantir a confidencialidade, se seus dados são inseridos no aplicativo de um fornecedor e então enviados para data centers de várias partes do mundo, cada uma com regulamentações diferentes quanto à segurança de dados? A criptografia em trânsito no nível do aplicativo, normalmente TLS, pode ajudar, mas o fato de os dados terem sido transportados com segurança não significa que serão armazenados em segurança.
O mesmo se aplica à integridade dos dados. Como garantir que os dados armazenados fora do seu controle não sejam modificados? Mesmo em implantações totalmente locais, raramente vejo departamentos de TI com um programa estabelecido para assegurar e auditar a integridade dos dados que armazenam. A bem da verdade, é muito mais fácil encontrar notícias sobre violações de dados de implantações locais do que de fornecedores de nuvem pública ou SaaS. A questão não é discutir se o privado é mais seguro do que o público ou híbrido; mas como fornecedor ou consumidor desses serviços, você precisa entender como a confidencialidade e a integridade de seus dados estão sendo gerenciadas.
Outra questão de segurança relacionada à TI híbrida tem a ver com o local onde certos componentes de um aplicativo estão implantados na nuvem. Por exemplo, um banco de dados ou serviço de fila de mensagens. É assim que muitos departamentos de TI começam quando desejam migrar seus aplicativos existentes para a nuvem, especialmente serviços Web. Logicamente, novos aplicativos também seguem esse caminho.
Ao fazer isso, é necessário garantir que você não só segue os processos de segurança internos, mas também que eles sejam atualizados para levarem em conta a natureza específica da implantação dos serviços baseados na nuvem e como ela altera o seu design. Por exemplo, é fácil executar uma instância de banco de dados como serviço (DBaaS) e simplesmente começar a usá-la. Mas, da mesma forma como você não colocaria seu servidor de banco de dados diretamente na Internet pública, precisa garantir que suas políticas de rede estejam instauradas de tal maneira que somente os servidores necessários possam acessar esse serviço.
É nesse ponto que muitas pessoas acabam errando. Se você estiver usando DBaaS, entenda que esse é apenas um componente. Você ainda precisa solucionar os problemas de conectividade e segurança, exatamente como fez quando implantou um banco de dados no data center. Para complicar, quando se trata de qualquer coisa “como serviço”, há sempre a expectativa de uma implantação muito rápida, com frequência em detrimento da segurança. Apesar de questão de velocidade x segurança sempre ter sido um problema, ela é exacerbada pela própria natureza da nuvem: fácil implantação e local fora do perímetro de segurança existente.
Independentemente de você estar começando a trilhar o caminho da nuvem ou estar totalmente envolvido em um ambiente de TI híbrida, suas políticas e controles de segurança devem refletir claramente a realidade de um universo de TI distribuída de propriedade mista. Onde quer que você esteja, nunca é cedo ou tarde demais para garantir que os planos de TI híbrida posicionem você de maneira a fornecer serviços seguros e confiáveis. Não se esqueça de reservar o tempo necessário para entender como isso altera a infraestrutura, a equipe e a abordagem de segurança.
Mav Turner, diretor de estratégia de negócios de segurança da SolarWinds
You must be logged in to post a comment.
