O que é cibersegurança na nuvem?

As plataformas de nuvem mudaram completamente a forma como consumimos tecnologias, adaptando-se a sistemas de todos os tipos.

O modelo de distribuição de licenças foi abandonado, dando lugar a uma abordagem muito mais orientada para o serviço. Agora, esta tendência está mudando as operações de todos os tipos de organizações, independentemente do tamanho, indústria ou localização geográfica, com o objetivo de proteger ambientes de computação em nuvem, bem como suas aplicações e dados armazenados na nuvem.

Desde sua origem, a segurança nas nuvens ou segurança cibernética consiste nas seguintes categorias:

  • Segurança dos dados.
  • Gerenciamento de identidade e acesso (IAM).
  • Governança (políticas de prevenção, detecção e mitigação de ameaças).
  • Planejamento de retenção de dados (DR) e continuidade de negócios (BC).
  • Conformidade legal.

 

 

Mais importante ainda, é importante entender o que está sendo protegido por tais protocolos de segurança cibernética, bem como todas as funcionalidades que a solução deve gerenciar. De modo geral, porém, a segurança cibernética é capaz de proteger os seguintes aspectos contra vulnerabilidades e riscos:

  • Redes físicas: roteadores, energia, cabeamento, controles climáticos, etc.
  • Armazenamento de dados, tais como discos rígidos internos e externos, pen drives, etc.
  • Servidores de dados habilitados como hardware e software de computador operando em uma única rede central.
  • Plataformas de virtualização de hardware, tais como software de máquinas virtuais, máquinas host e máquinas externas (convidadas).
  • Sistemas operacionais (SO) disponíveis, tais como software que suporta todas as funções de computação empresarial.
  • Middleware, que se refere ao gerenciamento da interface de programação da aplicação (API).
  • Ambientes de execução e manutenção de um programa em execução.
  • Dados e todas as informações armazenadas, modificadas e acessadas por diferentes usuários.
  • Aplicações ou serviços tradicionais de software, tais como e-mail, software fiscal, pacotes de produtividade, entre outros.
  • Hardware de usuário final ou de uso pessoal, tais como computadores, dispositivos móveis, etc.

 

 

Atualmente, o fenômeno da segurança nas nuvens está criando grandes desafios de segurança. Tanto a computação em nuvem quanto a segurança cibernética estão no topo da lista de prioridades das empresas de tecnologia intensiva. Isto foi evidenciado pelo relatório da McAfee "Building Trust in a Cloudy Sky", do qual podemos destacar:

  • Os serviços em nuvem são utilizados por mais de 90% das organizações em todo o mundo.
  • 49% dos profissionais pesquisados disseram não ter atrasado sua adoção da nuvem por causa da falta de pessoal de segurança cibernética.
  • Os profissionais que confiam nas nuvens públicas superam em número aqueles que desconfiam delas por uma proporção de 2:1.
  • 52% dos entrevistados dizem ter rastreado malware ou infecção em um aplicativo SaaS.

 

Dados como estes nos permitem concluir que as empresas estão confiando cada vez mais nos serviços da nuvem, mas que a segurança é um fator ao qual deve ser sempre dada atenção especial.

De quem é a responsabilidade pela segurança na nuvem?

Algumas empresas provavelmente assumem que se contratarem um provedor de serviços de segurança cibernética, a responsabilidade por qualquer risco ou vulnerabilidade recairá diretamente sobre o software. Este não é o caso. A realidade é que a segurança nas nuvens é uma responsabilidade compartilhada entre o fornecedor e o cliente.

Enquanto o provedor protege os componentes do sistema operacional, hospedagem e instalações físicas, o cliente deve ficar de olho em suas plataformas, sistemas, aplicativos, configuração e redes, e prestar atenção especial às permissões e privacidade com as quais os usuários acessam suas plataformas de nuvem. Desta forma, é o cliente que controla a arquitetura de segurança, a força de suas senhas, permissões de acesso, etc.

Isto significa que, ao contrário da segurança tradicional de TI, a segurança na nuvem torna-se um modelo de responsabilidade compartilhada porque o provedor de serviços tem o dever de gerenciar a segurança da infra-estrutura remota subjacente, enquanto o cliente é responsável pela segurança de tudo o que está acima do hypervisor, como sistemas operacionais convidados, acesso de usuários, aplicações, dados, etc.

Tipos de serviços na nuvem

Existem três modelos principais de serviços de computação em nuvem: Infraestrutura como Serviço (IaaS), Plataforma como Serviço (PaaS) e Software como Serviço (SaaS).

 

1| SaaS (Software as a Service)

Este tipo de serviço em nuvem é caracterizado pela implantação de software pela Internet para várias empresas que pagam por assinatura ou modelo pay-as-you-go. O provedor gerencia as diversas aplicações do cliente, seus dados, tempos de execução, middleware e sistema operacional em seus servidores. Exemplos de software SaaS incluem Google Drive, Slack, Webdox CLM, Microsoft 365, e Evernote.

 

2| PaaS (Platform as a Service)

O serviço PaaS oferece plataformas como serviços, ou seja, o provedor implementa a estrutura de infra-estrutura e software, mas é o cliente que desenvolve e executa suas próprias aplicações. Os provedores gerenciam o tempo de execução, o middleware e o sistema operacional, enquanto os clientes gerenciam suas aplicações, dados, acesso de usuários, dispositivos de usuários finais e redes de usuários finais. Exemplos de soluções PaaS incluem Windows Azure, IBM Smartcloud e Longjump.

 

3| IaaS (Infrastructure as a Service)

A infraestrutura como serviço é quando um provedor hospeda infraestrutura para seus clientes. É um tipo de solução de nuvem que fornece recursos de computação, rede e armazenamento aos clientes sob demanda. Ou seja, o usuário final pode hospedar a maioria de suas tarefas de computação, incluindo o sistema operacional nas plataformas de hardware e conectividade remota, gerenciando tudo o que está empilhado no sistema operacional, enquanto o provedor é responsável apenas pelo gerenciamento dos serviços básicos na nuvem. Exemplos de empresas que aplicam o modelo IaaS são: Amazon Web Services (AWS), Microsoft Azure e Google Compute Engine (GCE).

 

 

 

Nueva llamada a la acción

Tipos de ambientes de nuvens

Existem três tipos de ambientes de nuvem que são aplicados nas empresas hoje em dia, todos com o objetivo de segmentar as responsabilidades de gestão, incluindo a segurança entre clientes e fornecedores.

 

1| Nuvem pública

Este tipo de ambiente de nuvem permite que vários usuários acessem automaticamente uma interface de auto-atendimento.  Em outras palavras, um cliente compartilha os servidores de um provedor com outros usuários e clientes, tornando-a uma solução prática e acessível. Por fim, a nuvem pública consiste em serviços de terceiros executados pelo provedor para dar aos clientes acesso através da web. Normalmente, as implantações de nuvem pública são usadas para fornecer e-mail baseado na web, aplicações de escritório online, armazenamento e ambientes de desenvolvimento e teste.

 

2| Nuvem privada

A infra-estrutura deste tipo de ambiente de nuvem deve ser operada por uma única organização, por isso o serviço é mais caro, pois é projetado sob medida.

A nuvem privada pode ser fisicamente localizada no centro de dados da organização ou hospedada por um prestador de serviços externo. Normalmente, as nuvens privadas são adquiridas por agências governamentais, instituições financeiras e qualquer organização que tenha operações comerciais críticas e procure aumentar o controle sobre seu ambiente.

 

3| Nuvem híbrida

Este tipo de ambiente é caracterizado pela unificação do melhor da nuvem pública e privada. Em outras palavras, é uma arquitetura de computação que incorpora parte das cargas de trabalho em dois ou mais ambientes. É comumente definida como qualquer combinação de soluções de nuvem que trabalham em conjunto em ambientes locais e fora dos locais para fornecer serviços de computação a uma organização. Este tipo de ambiente de nuvem é ideal para start-ups que ainda não estão em condições de investir em servidores de alto custo próprios.

O que protege a cibersegurança na nuvem?

Também conhecido como o pior pesadelo de um administrador de sistemas, os ataques DDoS (Distributed Denial of Service) podem causar estragos fatais nas redes corporativas e custar às empresas somas significativas de dinheiro se não estiverem preparadas, tornando-as uma das maiores ameaças em termos de segurança cibernética.

Enquanto as empresas com seus próprios servidores locais são geralmente as mais afetadas, aquelas que utilizam sistemas de computação em nuvem, tais como Google Cloud, Amazon Web Services (AWS) ou Microsoft Azure, não estão isentas de tais ameaças.

Abaixo, revisaremos algumas das melhores práticas para prevenir e mitigar estes tipos de ataques em configurações de computação em nuvem, mas primeiro, vamos ao básico.

 

 

O que é um ataque DDoS?

Um ataque DDoS (Distributed Denial of Service) é uma tentativa de esgotar os recursos disponíveis para uma rede, aplicação ou serviço para que seus usuários legítimos não possam acessá-lo.

Há alguns anos, e em grande parte impulsionado pelo aumento do "hacktivismo", foi visto um renascimento nos ataques DDoS que levou à inovação nas áreas de ferramentas, alvos e técnicas utilizadas para executá-los.

Hoje, a definição de um "ataque DDoS" continua a ser complicada. Os hackers utilizam uma combinação de ataques de alto volume, juntamente com infiltrações mais sutis e difíceis de detectar que visam aplicações, bem como a infra-estrutura de segurança de rede existente, como firewalls e IPS (sistemas de proteção contra intrusões).

 

 

Como evitar esses ataques quando se trabalha com servidores de nuvem?

Desenvolver soluções escaláveis: Uma infra-estrutura escalável é fundamental para um sistema bem estruturado, mas é também uma técnica altamente eficaz para prevenir ataques DDoS. O dimensionamento para atender volumes adicionais de tráfego, seja válido ou de um ataque DDoS, aumentará a capacidade dos servidores para continuar operando.

Minimização da área de ataque: Neste caso, é fundamental desacoplar partes da infra-estrutura da rede. Por exemplo, ao executar websites públicos, é recomendável dissociar a aplicação do banco de dados e, se possível, a mídia e seu conteúdo estático também. As aplicações desacopladas limitam o acesso à Internet a componentes críticos do sistema, protegendo contra um ataque.

 

 

Como minimizar um ciberataque?

Isolando o tráfego interno da rede externa: ou seja, implementar instâncias sem IPs públicos, a menos que seja necessário. Por exemplo, configurando um gateway NAT ou um bastião SSH para limitar o número de instâncias que estão expostas à Internet. Uma vez disponível, o balanceamento de carga interna é executado para permitir que instâncias internas do cliente tenham acesso a serviços implantados internamente, evitando assim a exposição ao mundo externo.

Balanceamento de carga com a ajuda de Proxies: AWS e Google Cloud possuem ferramentas de balanceamento de carga HTTP(S) ou SSL Proxy, de modo que sua infra-estrutura de servidor de nuvem é capaz de mitigar e absorver muitos ataques de Camada 4 e outros, tais como SYN flooding, IP fragment flooding, etc. Ao ter uma ferramenta de balanceamento de carga HTTP(S) multi-região, eles conseguem dispersar quaisquer ataques potenciais através de suas instâncias de servidores ao redor do globo.



Em conclusão, enquanto os ataques DDoS continuam a ser uma ameaça sempre presente às infra-estruturas de nuvem, há muitas maneiras de estar preparado e lidar com eles com sucesso para manter sites ou aplicações sempre disponíveis no caso de uma tentativa de sobrecarregar a rede. É sempre necessário ter estes fatos em mente para manter uma rede saudável e estável.

Melhores práticas para melhorar a segurança na nuvem

Embora a responsabilidade pela segurança cibernética na nuvem seja uma tarefa compartilhada, é crucial que os próprios clientes implementem uma série de medidas de segurança para proteger suas aplicações e os dados armazenados na nuvem, a fim de mitigar os riscos de segurança. As melhores práticas de segurança cibernética incluem:

 

 

Proteção de dados no console de gerenciamento da nuvem: todos os provedores de serviços cibernéticos de segurança possuem um console de nuvem, um sistema que fornece uma interface web completa para que a organização gerencie e consulte todas as informações sobre serviços de nuvem, tais como aplicações web, administração de contas, gerenciamento de banco de dados, sistemas virtuais, redes ou data warehouses. Uma boa prática para proteger as informações armazenadas neste ambiente é que as organizações controlem o acesso e o monitorem rigorosamente, limitando os privilégios de acesso ao console para evitar ataques e vazamento de dados, pois eles são um dos principais alvos dos cibercriminosos.


Proteger a infra-estrutura virtual: este é outro alvo de interesse para ciberataque: servidores virtuais, contêineres, depósitos de dados e outros recursos semelhantes podem ser violados se não forem adequadamente protegidos. Neste sentido, os cibercriminosos podem invadir as ferramentas de provisionamento automático e explorá-las para montar ataques e interromper os serviços. Portanto, é essencial que os clientes estabeleçam fortes práticas de segurança para impedir o acesso não autorizado a scripts de automação e ferramentas de provisão de nuvens.



Proteção chave SSH API: Um servidor SSH pode autenticar clientes através de uma variedade de sistemas. O formulário mais comum é a autenticação por senha, que é fácil de usar, mas não é o mais seguro. Portanto, outra boa prática de salvaguarda da cibersegurança é proteger as chaves SSH API removendo as chaves SSH embutidas das aplicações e garantindo que somente as aplicações autorizadas tenham acesso a elas, impedindo que sejam instaladas em repositórios públicos.



Proteção no desenvolvimento e gerenciamento DevOps: O desenvolvimento de aplicações e processos operacionais são provavelmente um dos aspectos mais importantes a considerar em termos de segurança cibernética.  Os criminosos cibernéticos freqüentemente tentam explorar consoles DevOps e ferramentas de gerenciamento a fim de lançar ataques ou roubar dados. Portanto, é fundamental que as empresas, em seu papel como clientes, monitorem e avaliem constantemente o acesso às ferramentas e consoles de gestão utilizados em cada etapa do processo de desenvolvimento e entrega de aplicativos para mitigar riscos.



Proteger código nos processos de desenvolvimento e operações: É comum que os desenvolvedores insiram credenciais de segurança no código fonte armazenado no armazenamento compartilhado ou em repositórios de código público na nuvem. Isto pode criar vulnerabilidades no processo DevOps quando as credenciais de aplicação são mal administradas, roubando, por exemplo, informações proprietárias e criando problemas mais sérios para o cliente. Neste sentido, a recomendação é que a organização elimine os segredos do código fonte, implementando sistemas e práticas para monitorar e controlar o acesso automaticamente de acordo com cada política comercial.



Proteger o acesso de administração para provedores de nuvens: Como mencionado acima, todos os provedores de serviços em nuvem (SaaS) têm um console de gerenciamento integrado para administrar usuários e serviços. Entretanto, estas contas de gestão são outro alvo para os ciberataqueiros. Para evitar riscos, os clientes devem controlar e monitorar de forma regular e rigorosa os privilégios de acesso ao console de gerenciamento SaaS para garantir a segurança dos dados.



Os principais provedores de serviços em nuvem, tais como Amazon Web Services ou Google Cloud, nos quais grande parte dos serviços em nuvem oferecidos no mercado opera, abordaram proativamente seus controles de segurança conduzindo verificações independentes de políticas de segurança, privacidade e conformidade e tornando esses relatórios publicamente disponíveis.

8 novas tendências de cibersegurança

Durante a Cúpula de Gestão de Risco e Segurança do Gartner 2021, Peter Firstbrook, vice-presidente de pesquisa do Gartner, enfatizou as 8 principais tendências para este ano como uma resposta aos persistentes desafios globais que todas as organizações estão enfrentando em termos de gestão de risco, falhas de processo e segurança devido à atual crise de saúde.

No evento, Firstbrook enfatizou que o principal desafio para as organizações é a falta de habilidades, com 80% achando difícil encontrar e contratar talentos que economizam em segurança, enquanto 71% dos entrevistados dizem que sua capacidade de entregar projetos relacionados à segurança foi afetada.

A situação geopolítica atual, além das regulamentações globais em vigor, são outros aspectos que as organizações devem avaliar constantemente para manter a segurança da informação e mitigar os riscos, especialmente à medida que os espaços e cargas de trabalho migram para fora dos ambientes e redes tradicionais. 

O crescimento em termos de diversidade e novos pontos finais também cria uma sensação de incerteza, especialmente em termos dos desafios do resgate e do compromisso de e-mail empresarial, entre outras questões.

As principais tendências de segurança cibernética e gerenciamento de risco do Gartner para 2021, são as seguintes: 




1| Rede de cibersegurança

Solução focada na implementação de controles de segurança onde eles são mais necessários, em vez de todas as ferramentas estarem localizadas em um único silo, estendendo assim os controles de segurança a todos os ativos distribuídos fora dos perímetros tradicionais da empresa.

 

 

2| Segurança da identidade

O acesso para qualquer usuário a qualquer momento e de qualquer lugar é hoje uma realidade indiscutível. É por isso que a segurança da identidade por usuário requer uma mudança essencial no gerenciamento e monitoramento dos perfis em comparação com os modelos tradicionais de identificação, sempre verificando sua autenticação para detectar possíveis ataques contra infra-estruturas.



3| Suporte de segurança para trabalho remoto

Uma alta porcentagem da força de trabalho global continuará a trabalhar remotamente mesmo após a pandemia. Esta mudança de paradigma requer uma reinicialização total das políticas e ferramentas de segurança específicas do espaço de trabalho on-line, levando a uma revisão periódica das políticas de proteção de dados, recuperação de desastres e backup para garantir que as organizações continuem a operar em um ambiente remoto.

 

 

4| Cyber Management Board

O Gartner prevê que até 2025, 40% dos conselhos de administração terão um comitê dedicado à cibersegurança supervisionado por um membro qualificado do conselho, em comparação com menos de 10% atualmente.

 

 

5| Consolidação dos fornecedores de segurança

Ter um grande número de fornecedores associados à segurança da informação nas organizações pode ser contraproducente, pois aumenta a complexidade do processo, os custos de integração e os requisitos de pessoal. Neste sentido, ter menos soluções de segurança pode facilitar a configuração e resposta adequada aos alertas, melhorando sua postura de risco de segurança. 

 

 

6| Computação de reforço da privacidade

Estão surgindo novas soluções informáticas que protegem os dados enquanto estão sendo utilizados em tempo real, e não quando estão apenas em repouso, permitindo que sejam processados e trocados de forma mais eficiente e segura.

O Gartner prevê que até 2025, 50% das grandes organizações adotarão computação que melhore a privacidade para processar dados em ambientes não confiáveis ou em casos de uso analítico de dados multipartidário.

 

 

7| Simulação de violações e ataques

Os avanços na tecnologia de segurança cibernética permitiram o desenvolvimento de ferramentas de simulação de violação e ataque (BAS) para fornecer avaliações contínuas de postura defensiva, desafiando a visibilidade limitada. Desta forma, as equipes são capazes de identificar lacunas em sua postura de segurança de forma mais eficaz, priorizando as iniciativas de segurança de forma mais eficiente.


8| Gerenciamento de identidade de máquinas

Esta última tendência para segurança cibernética visa estabelecer e gerenciar a confiança na identidade de uma máquina interagindo com outras entidades, tais como dispositivos, aplicações, serviços em nuvem ou gateways, especialmente agora que a digitalização de processos e a Internet sem fio assumiram um papel de liderança em empresas perturbadoras.

Como Webdox CLM ajuda a atender aos padrões de segurança cibernética

O uso de soluções em nuvem tornou-se um dos sistemas mais amplamente utilizados para melhorar a colaboração, a agilidade dos processos e a disponibilidade de informações. Esta mudança significa que as equipes de TI têm que atualizar suas habilidades e estabelecer vários protocolos, com medidas de segurança para controlar e salvaguardar o acesso à informação.

A boa notícia é que cada vez mais empresas estão se unindo à tendência de automatizar seus processos a fim de otimizar a gestão de recursos e gerar vantagens competitivas. Isto também incentiva a necessidade de automatizar a gestão de contratos, um aspecto chave que se aplica a todas as empresas no mundo inteiro, para seus diferentes departamentos e indústrias. 

 

 

Que fatores de segurança um software de gestão de contratos deve oferecer? 

Uma plataforma SaaS para gestão de contratos, como Webdox CLM,tem que cumprir uma série de padrões de segurança cibernética, baseados nos principais desafios que um ambiente de nuvem representa. Entre as principais estão:

  • Proteger o acesso não autorizado aos dados e as credenciais dos usuários.
  • Evitar a perda de dados e gerar backups na nuvem. 
  • Construir interfaces de gerenciamento seguras e APIs.
  • Implementar barreiras para impedir a negação de serviços, por exemplo, pelos chamados ataques "DoS/DDoS" e similares.
  • Definir protocolos para roubo ou perda de dispositivos.

 

Neste sentido, e em conformidade com a legislação vigente, o software de gerenciamento de contratos Webdox CLM adotou as medidas técnicas e organizacionais de segurança e confidencialidade adequadas à categoria de dados pessoais, necessárias para manter o nível de segurança exigido, com o objetivo de evitar ao máximo a alteração, perda ou processamento ou acesso não autorizado que possa afetar a integridade, confidencialidade e disponibilidade das informações.

 

Webdox CLM tem uma equipe que preserva a segurança de suas informações, conduzindo testes de vulnerabilidade e fornecendo segurança a seus usuários de duas maneiras específicas:

 

Servidores e infra-estrutura: As informações que os usuários carregam no Webdox CLM são armazenadas em datacenters da plataforma Google Cloud Platform (GCP). Portanto, a Webdox CLM aproveita as inúmeras certificações de segurança que a GCP possui atualmente (Google Cloud Compliance), para demonstrar a segurança no armazenamento de informações. Ele também adapta sua arquitetura de servidor Google para que seja capaz de evitar ataques de computador de diferentes tipos.

Segurança da plataforma: Webdox CLM contém uma série de funcionalidades projetadas para proteger informações, associadas ao gerenciamento de senhas, segurança de sessão, controle IP ao acessar o sistema, criptografia de dados, eliminação e perda de informações. Webdox também é certificado pela ISO 27001, especificamente na plataforma de gerenciamento de contratos CLM e assinatura eletrônica.


Considerando o acima exposto, é necessário estar ciente do papel fundamental que os contratos desempenham em organizações de todos os tamanhos e indústrias, especialmente em termos das valiosas informações que possuem, de modo que a segurança cibernética não pode ser deixada ao acaso. A chave é escolher uma plataforma que tenha padrões de segurança de classe mundial, que proporcione transparência durante todo o processo contratual com as áreas envolvidas e assim aproveitar todos os benefícios que o ciclo de vida do contrato proporciona.

BLOG WEBDOX Saiba mais sobre otimização de processos contratuais e ciclo de vida dos contratos
Administra digitalmente los contratos y documentos legales con Webdox CLM

11 enero, 2022

Administra digitalmente los contratos y documentos legales con Webdox CLM
¿Qué es el contrato de comodato?

22 septiembre, 2021

¿Qué es el contrato de comodato?
Las Claves del Contrato de Compraventa

22 septiembre, 2021

Las Claves del Contrato de Compraventa