<p>Basta considerar um único ponto relativo a esse tema, que todos os benefícios listados em um extenso planejamento serão descartados imediatamente. E justamente essa linha de pensamento mais cautelosa tem sido a maior barreira na adoção dos projetos baseados em nuvem. Assim como em qualquer outro tipo de projeto, temos que levantar quais são os principais pontos passíveis de falhas e como evitá-las. Podemos citar cinco aspectos de segurança da estratégia de migração para nuvem que devem ser avaliados:</p>
<p><strong>Violação de dados</strong></p>
<p>Os ambientes na nuvem enfrentam os mesmos riscos dos ambientes convencionais. No entanto, devido ao grande volume de dados armazenados de várias origens, a nuvem acaba se tornando muito atrativa para potenciais perpetradores. O potencial de danos é relativo ao nível de confidencialidade dos dados armazenados. Fornecedores de serviços na nuvem já implementam nativamente controles de segurança para proteger os dados dos seus clientes, mas uma boa prática é o próprio cliente assegurar sua própria segurança usando, por exemplo, autenticação multi-fator e armazenar seus dados criptografados.</p>
<p><strong>Credenciais comprometidas e quebra de autenticação</strong></p>
<p>Vazamento de dados e outros tipos de ataques são resultados frequentes de meios fracos de autenticação, senhas fracas e gerenciamento errado de senhas e certificados. Muitas vezes as empresas se preocupam com o gerenciamento de identidades, criando perfis de usuário de acordo com a função ou exigindo senha complexas. Mas, muitas outras vezes, pecam ao serem displicentes com o ciclo de vida de uma credencial. Um exemplo disso é não retirar o acesso de um funcionário que mudou de função ou que até mesmo saiu da empresa. Sistemas de autenticação multifator, tais como senhas descartáveis, autenticação baseada em celulares e smartcards, impossibilitam um hacker de usar uma senha que tenha capturado. É altamente recomendável a utilização de autenticação por certificados ou utilizar uma rotação periódica das senhas.</p>
<p><strong>Vulnerabilidades exploradas</strong></p>
<p>Vulnerabilidades de sistemas ou bugs exploráveis em programas não são novidades, mas eles se tornaram um problema maior com o advento da computação em nuvem. Organizações compartilham memória, bancos de dados e outros recursos em conjunto com outro, criando novas áreas de ataque, onde uma vez explorado, o atacante irá ter acesso a vários ambientes de uma vez. Felizmente esse tipo de vulnerabilidade pode ser minimizado com processos elementares da área de TI, incluindo: escaneamento de vulnerabilidades, aplicação regular de patches e atuação rápida de ameaças reportadas. Estas medidas são amplamente adotadas por todos os fornecedores de cloud em seus ambientes compartilhados. Cabe ao cliente adotar a mesma política em seus ambientes proprietários.</p>
<p><strong>O perigo vem de dentro</strong></p>
<p>A ameaça interna tem muitas faces: um funcionário atual ou ex-funcionário, um administrador de sistema, um empreiteiro ou um parceiro de negócios. A variedade de vulnerabilidades de segurança varia de roubo de dados à vingança. Em um cenário de nuvem, um atacante interno pode destruir infraestruturas inteiras ou manipular dados. É recomendável que as organizações controlem o processo de criptografia e chaves, segregando funções e minimizando o acesso dado aos usuários.</p>
<p><strong>Ataques DoS</strong></p>
<p>Os ataques DoS talvez sejam a forma mais conhecida e antiga. Graças à computação em nuvem eles ganharam destaque novamente, porque muitas vezes afetam a disponibilidade do ambiente. Os sistemas podem ficar muito lentos ou simplesmente ficar completamente indisponíveis. Sofrer um ataque de negação de serviço é como ser pego em engarrafamentos de trânsito na hora do rush; só há uma maneira de chegar ao seu destino e não há nada que você possa fazer sobre isso, exceto sentar e esperar. Provedores de cloud, em princípio, são melhores aparelhados para tratar este tipo de ameaça do que seus clientes. A principal forma de conter este tipo de ataque é detectar antes que ele seja efetivo, e com isso tomar as medidas necessárias à continuidade do serviço.</p>
<p>Como vimos, o medo da insegurança no ambiente de nuvem não é infundado. A superfície de ataque se torna muito grande quando estamos em um ambiente exposto na internet. Mas, também, verificamos que existem muitas medidas a serem tomadas para que este ambiente se torne seguro e tão confiável quanto se estivesse local na empresa. Hoje os fornecedores de cloud disponibilizam inúmeras camadas de segurança para que o cliente não tenha que se preocupar com a segurança dos seus dados e com a disponibilidade do serviço.</p>
<p><em>(*) Executivo da DBACorp</em></p>
