Como proteger dados e aplicativos na nuvem

Como proteger dados e aplicativos na nuvem

Saiba como proteger dados e aplicativos na nuvem por meio desta comparação entre as gigantes Amazon, Google, Microsoft e Oracle.

proteger dados aplicativos nuvem

Capacidades de segurança na nuvem

A nuvem é o novo normal. Inclusive, um relatório de 2020 da O’Reilly sobre a adoção da nuvem revelou que 88% das organizações estão usando serviços de infraestrutura em nuvem pública. Já 50% terão todos os seus dados armazenados em tais ambientes dentro de dois anos. Portanto, à medida que os serviços essenciais aos negócios são migrados para a nuvem cada vez mais, reduzir os ataques à nuvem é estrategicamente crítico para proteger as cargas de trabalho das organizações. Então, é fundamental proteger seus dados e aplicativos na nuvem de forma assertiva.

Um aspecto fundamental da segurança em plataformas de nuvem de infraestrutura como serviço (IaaS) é quem tem responsabilidade e propriedade das diferentes camadas da pilha de nuvem, de ativos físicos a dados. A responsabilidade é definida no modelo de responsabilidade compartilhada como o que o provedor é responsável e qual é o ônus do usuário. Normalmente, o provedor de nuvem é responsável por garantir que a infraestrutura construída dentro de sua plataforma seja inerentemente segura e confiável. Enquanto isso, o cliente é responsável por proteger seus dados e aplicativos na nuvem, como acesso do usuário, sistemas operacionais e tráfego de rede virtual. Os desafios típicos do lado do cliente incluem o seguinte:

  • Dados não criptografados compartilhados entre usuários e aplicativos;
  • Erros de configuração que permitem acesso não autorizado aos aplicativos;
  • Serviços de sombra implantados por usuários corporativos para fins comerciais específicos, sem supervisão de segurança de TI;
  • Permissões baseadas em função de usuário não configuradas ou entendidas corretamente, incluindo o uso de métodos de acesso  baseados em token;
Atenção aos detalhes

Portanto, compreender os recursos de segurança de um provedor IaaS significa examinar os controles disponíveis para o cliente combinado com a base subjacente da infraestrutura em nuvem. As principais áreas pelas quais se deve avaliar a capacidade de segurança de um provedor de IaaS inclui o seguinte:

  • Segurança física implementada pelo provedor de IaaS, como proteção de ativos físicos em um local geograficamente isolado com recursos e zoneamento;
  • Segurança da infraestrutura, como garantir que os patches de segurança sejam atualizados o mais rápido possível e que portas sejam sempre verificadas quanto há comportamento anormal;
  • Dados e controles de segurança de acesso disponíveis para o usuário, como criptografar dados, controlar os privilégios de usuário e gerenciamento de acesso a recursos.

Então, a Dao Research desenvolveu um levantamento a fim de ajudar os profissionais de segurança da informação a traçar um caminho através desse cenário tão complexo. Portanto, a seguir, você terá acesso a uma análise comparativa técnica independente entre as quatro principais plataformas de nuvem:

  1. Amazon Web Services (AWS);
  2. Microsoft Azure;
  3. Google Cloud Platform (GCP);
  4. Oracle Cloud Infrastructure (OIC).

A análise avalia como cada fornecedor protege dados e cargas de trabalho altamente confidenciais na nuvem central. Contudo, também inclui serviços de computação IaaS. A agência selecionou seis categorias para fornecer o máximo de informações possível sobre a ampla gama de recursos de segurança oferecidos por cada CSP para proteger dados e aplicativos na nuvem em áreas que os clientes em potencial consideram uma prioridade.

Principais diferenças entre níveis de proteção

À medida que o mercado de nuvem amadureceu na última década, as expectativas em relação ao que é exigido de um provedor amadureceram e podem ser examinadas em seis áreas de capacidade. Afinal, os quatro provedores IaaS avaliados pela Dao Research observaram ter muitas semelhanças nas capacidades nas seis áreas examinadas.

Embora todos esses provedores ofereçam um conjunto abrangente de serviços para proteção de dados, a pesquisa também descobriu que cada fornecedor tem vantagens de nicho sobre a concorrência em algumas áreas.

Em suma, a AWS fornece a maior variedade de serviços, enquanto o Azure se destaca em conformidade e monitoramento, uma interface amigável e integração perfeita com o Microsoft Office 365. O GCP é econômico, é mais aberto do que outros provedores de nuvem e possui profundo conhecimento em segurança cibernética, inteligência artificial e aprendizado de máquina, e gerenciamento de contêineres. Já a OCI se destaca por oferecer mais recursos sem custo extra, tal como recursos que são  ativados por padrão para minimizar o erro humano

Portanto, com base nessa avaliação, os diferenciais de alto nível entre os quatro fornecedores para proteger dados e aplicativos na nuvem são os seguintes.

Segurança de perímetro
  • A AWS oferece uma gama mais ampla de serviços do que outros provedores;
  • Além disso, a AWS proporciona o mais alto nível de personalização em relação a qualquer outro fornecedor;
  • A definição da política de firewall de aplicativo da web (WAF) da OCI é a mais intuitiva e amigável entre todos os provedores;
  • Entretanto, ao contrário dos outros CSPs, a OCI também oferece regiões dedicadas que disponibilizam todos os serviços OCI para implantação em datacenters de clientes sem custo adicional.
Segurança de rede
  • As regras de firewall do GCP do Azure oferecem mais stateful para conexões internas e externas;
  • As listas de controle de acesso à rede (ACLs) da AWS são stateless e os grupos de segurança stateful; 
  • Já as regras de segurança virtual da OCI têm uma opção para firewalls com ou sem stateful;
  • Além disso, a OCI oferece suporte a listas de segurança e grupos de segurança de rede (NSGs), fornecendo uma visão mais granular e abordagem flexível para proteger uma rede em nuvem;
  • O Google é único porque possui a rede física na qual estão seus serviços em nuvem, incluindo
  • serviços de telecomunicações em todo o mundo.
Virtualização / Host
  • A AWS e OCI fornecem os serviços bare metal mais abrangentes entre os quatro CSPs;
  • Contudo, a AWS também oferece instâncias bare metal que permitem que seus clientes Elastic Compute Cloud (EC2) executem cargas de trabalho de aplicativos que requerem acesso direto à infraestrutura bare metal;
  • O Azure tem uma infraestrutura bare metal desenvolvida especificamente para dimensionar cargas de trabalho. Contudo, apenas para dispositivos analíticos de alto desempenho SAP (HANA);
  • A OCI projetou seus serviços bare metal do zero para oferecer suporte a cargas de trabalho de alto desempenho;
  • Portanto, os clientes da Oracle podem executar instâncias bare metal em servidores físicos dedicados ao cliente ou como instâncias de máquinas virtuais (VM). Ou seja, em ambientes de computação isolados em cima de hardware bare metal;
  • Contudo, a OCI tira a virtualização da rede e o IO de disco da pilha de software e os coloca na rede. Isso remove a necessidade de hipervisores e outros códigos CSP serem executados nas instâncias do cliente, caso estejam rodando em servidores bare metal ou dedicados;
  • O Oracle Autonomous Linux é o primeiro de seu tipo e oferece OCI na borda, com correção automática de tempo de inatividade zero, detecção de exploit conhecida e muito mais;
  • O GCP usa a rede interna de latência ultrabaixa global do Google, que é propriedade do Google. Com o GCP, os clientes podem construir facilmente uma infraestrutura global com dados distribuídos geograficamente. Isso é difícil com outros provedores.
Gerenciamento de identidade e acesso
  • Azure Active Directory (AD) é a opção mais amigável (semelhante ao Microsoft AD). Afinal, o Azure AD possui sincronização integrada com o Microsoft AD. Em contrapartida, os outros CSPs exigem outro serviço ou uma solução de terceiros com um custo..
  • AWS oferece o controle de acesso mais granular, mas pode ser difícil de implementar. Portanto, o consultor de acesso do AWS Identity and Access Management (IAM) e o GCP Recommender ajudam na auditoria de permissões de usuário;
  • O gerenciamento de identidade do GCP funciona extremamente bem devido ao Cloud Identity do G Suite. Afinal, ele fornece conexão única com autenticação multifator, portanto, não há necessidade de usar outras soluções;
  • O recurso de compartimento da OCI combinado com IAM orientado por política fornece uma maneira muito mais fácil de implementar IAM e capacidade de controle de acesso muito forte.
Gerenciamento de postura de segurança
  • A falta de aplicação de configuração automatizada historicamente contribuiu para incidentes graves nos ambientes AWS;
  • Nenhum CSPs tem um recurso semelhante às zonas de segurança da OCI;
  • O AWS Config oferece o melhor recurso para monitorar alterações de configuração;
  • A AWS e OCI têm suas próprias variantes do Linux. AWS oferece System Manager Patch Management Serviços. Enquanto isso, a OCI oferece gerenciamento autônomo por meio de seu serviço de gerenciamento de sistema operacional;
  • O pacote de operações GCP com a adição de serviços pagos, como logs de fluxo de nuvem privada virtual (VPC) podem fornecer capacidade de auditoria automatizada;
  • O OCI Cloud Guard trabalha para analisar dados e detectar ameaças e configurações incorretas automaticamente, além de fornecer autocorreção pré-configurada sem a necessidade de supervisão humana com coleta de dados contínua de todas as partes da infraestrutura e da pilha de aplicativos.
Segurança de dados
  • Tanto a OCI quanto o Azure oferecem criptografia no banco de dados. No entanto, o Azure só oferece isso em suas versões mais recentes do serviços SQL e NoSQL;
  • Tanto Azure quanto OCI oferecem criptografia por padrão em bancos de dados relacionais para Microsoft SQL Server e serviços Oracle, respectivamente. Contudo, a criptografia precisa ser habilitada manualmente no AWS RDS (banco de dados relacional serviço) e Aurora;
  • O Oracle Data Safe adiciona vários recursos de segurança sem custo adicional para bancos de dados Oracle Cloud, incluindo avaliações de segurança de banco de dados, pontuação de risco do usuário, descoberta de dados confidenciais e mascaramento de dados. Afinal, isso complementa os fortes recursos de segurança nativos dos bancos de dados Oracle;
  • A infraestrutura do Google fornece uma variedade de serviços de armazenamento, como BigTable e Spanner, e um serviço central de gerenciamento de chaves (KMS) para proteger os dados;
  • Com seus novos serviços de nuvem para segurança, incluindo Cloud Guard, zonas de segurança e dados seguros, a Oracle tem uma vantagem sobre a Amazon, Microsoft e Google. Afinal, fornece uma configuração e postura de segurança e gestão mais centralizada, bem como aplicação mais automatizada de práticas de segurança sem custos adicionais. Isso permite aos clientes OCI melhorar a segurança geral sem exigir esforço manual adicional, como é o caso com AWS, Azure, e GCP.

Facebook
Twitter
LinkedIn

posts relacionados

Perguntas
frequentes

Nós falamos com o seu fornecedor atual e colhemos todas as informações necessárias diretamente com eles. Também podemos fazer o mapeamento de todas as informações diretamente na sua empresa.

SIM, é possível melhorar a qualidade e o desempenho e ainda reduzir custos. Essa eficiência é possível graças ao sistema de melhoria contínua que aplicamos há anos.

SIM, o time interno pode ser absorvido, com os profissionais se tornando colaboradores da Infonova.

SIM. Em conjunto com seu departamento, ou consultoria jurídica, ajudamos a implantar as ações de TI necessárias para adequação da LGPD.

A transição pode ocorrer com ou sem o apoio do fornecedor atual. A Infonova vai mapear todas as informações, identificar os itens críticos e realizar a transição de forma segura, sempre em alinhamento com o cliente.

Em geral é rápida. O tempo exato depende de cada situação. O prazo mais comum de transição em paralelo é entre 1 semana e 15 dias.

NÃO. Temos soluções para empresas de 10 a 2.500 colaboradores. Desenvolvemos uma metodologia para atender empresas em diversos segmentos, em situações de crescimento ou retenção.

Temos diversas soluções para proteger o acesso de usuários que ficam externos ou em home office.

SIM, trabalhamos com os principais provedores de nuvem e possuímos um datacenter próprio.

Já vai?

Receba conteúdos exclusivos e gratuitos direto no seu e-mail, para ler sem pressa ;)

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

FALE
COM UM
ESPECIALISTA