Saiba como os líderes de tecnologia estão integrando a IA a aplicativos, protegendo redes complexas e muito mais.
A nuvem oferece oportunidades e riscos e, para a maioria das organizações, a oportunidade ainda supera em muito o risco. Mas grande parte do risco vem na forma de possíveis violações de conformidade. O perigo de que os dados sejam armazenados, acessados, alterados ou vazados de uma forma que coloque uma organização fora de conformidade com a coorte cada vez mais complexa de estruturas regulatórias de proteção de dados e privacidade.
Pior ainda, muitos profissionais de TI e segurança nem sequer têm visibilidade de onde esses riscos podem estar. E a visibilidade fica mais difícil com dados e cargas de trabalho espalhados por diversas nuvens, como é o caso da grande maioria das organizações. A nuvem ficou mais parecida com uma névoa, obscurecendo os riscos de conformidade ocultos. E enquanto isso, os requisitos jurisdicionais que as organizações internacionais devem cumprir continuam se multiplicando.
Como as estruturas de segurança se mostram inadequadas para gerenciar esses riscos de conformidade, as equipes de TI e os agentes de conformidade precisam de uma nova abordagem, uma que lhes permita identificar e mitigar as violações de conformidade em nuvem antes que aconteçam.
Quando os dados hospedados em nuvem são expostos a pessoas não autorizadas, as organizações enfrentam a perda da confiança de seus clientes, danos à reputação, possível escrutínio dos reguladores e outros resultados negativos. No pior dos cenários, uma violação de dados pode resultar em multas se os reguladores acreditarem que uma organização não tomou medidas razoáveis para proteger seus dados.
Como essas exposições ocorrem? De várias maneiras, desde ataques de engenharia social até controle de acesso inadequado e violações de dados total por partes maliciosas externas. No entanto, a nuvem oferece obstáculos e desafios únicos para evitar a exposição de dados. Em particular, com a responsabilidade pela segurança compartilhada entre o provedor de nuvem e o cliente de nuvem, as configurações incorretas são um grande risco.
Erros humanos não intencionais, conhecidos como configurações incorretas, em implantações em nuvem são um dos principais riscos para os dados em nuvem. Implantações em nuvem pública que são deixadas acidentalmente expostas à internet pública ou configuradas incorretamente podem levar a grandes violações, como aconteceu com a Twilio em 2020.
As configurações incorretas em nuvem estão aumentando. À medida que mais empresas fazem a transição para serviços baseados em nuvem, a superfície de ataque se expande, aumentando o risco de exposição devido a recursos mal configurados. De acordo com a Gartner, "Até 2027, 99% dos registros comprometidos em ambientes de nuvem serão resultado de configurações incorretas do usuário e comprometimento de contas, não o resultado de um problema com o provedor de nuvem."
Muitas vezes, os problemas são detectados somente após configurações incorretas já terem tido um impacto. Isso ocorre porque muitos tipos de soluções de segurança em nuvem amplamente utilizadas, como serviços de gerenciamento de postura de segurança em nuvem (CSPM) ou plataforma de proteção de aplicativos nativos em nuvem (CNAPP), identificam os sintomas após o fato e não enquanto as equipes de DevOps estão configurando esses serviços. A detecção posterior leva a alertas, que podem demorar um pouco para serem corrigidos, deixando os recursos em nuvem temporariamente expostos.
Quando uma organização percebe que pode estar fora de conformidade ou exposta a ataques devido a configurações incorretas, pode ser tarde demais.
Há também uma infinidade de outros desafios quando se trata de segurança, integridade e conformidade de dados na nuvem, incluindo:
Exfiltração de dados: os ativos digitais oferecem todos os tipos de vetores de ataques a partes maliciosas, esteja um ativo em nuvem ou no local. No entanto, as implantações multinuvem representam ameaças adicionais, uma vez que a infraestrutura física fica fora da jurisdição e responsabilidade direta de uma organização. Desde simples ataques de engenharia social até explorações de vulnerabilidades altamente personalizadas, os invasores têm vários métodos para extrair dados da nuvem.
Multilocação:as nuvens públicas são compartilhadas entre muitas organizações, e a responsabilidade de protegê-las fica entre o provedor de nuvem e os clientes da nuvem. Estudos demonstraram que os dados hospedados em nuvem podem ser acidentalmente compartilhados com outros inquilinos na nuvem se os perímetros de segurança não forem aplicados.
Infraestrutura em nuvem oculta: as organizações muitas vezes acabam com instâncias em nuvem abandonadas ou esquecidas. Isso acontece naturalmente à medida que as organizações trocam, mudam e expandem, e as funções e responsabilidades se ajustam. Também pode ocorrer quando funcionários bem-intencionados decidem resolver o problema por conta própria para realizar seu trabalho, mas vão além dos procedimentos de TI aprovados. O resultado pode ser uma infraestrutura multinuvem secundária oculta que não é contabilizada e não é protegida por políticas de segurança, mas que contém informações confidenciais.
Esses desafios de conformidade e segurança em nuvem estão tendo impactos em tempo real nas organizações. Em seu Relatório de risco em nuvem, a CrowdStrike detalhou um aumento de 95% na exploração em nuvem. E houve um aumento ainda maior, 288%, nos casos de invasores que atacaram diretamente serviços de nuvem pública. Além disso, o relatório constatou que leva uma média de 207 dias para identificar tais violações e ainda contê-las.
Os problemas de segurança em nuvem são persistentes, deixando as organizações expostas. Isso se torna uma bomba-relógio em relação à conformidade regulatória, à saúde financeira e à segurança geral da organização. E os riscos financeiros são altos. As multas cobradas somente pelo Regulamento Geral sobre a Proteção de Dados (RGPD) da UE podem variar de até € 20 milhões ou 4% da receita anual mundial da empresa, o que for maior.
Além do mais, cada jurisdição estabelece seus próprios regulamentos. As medidas de segurança e privacidade que precisam ser tomadas para proteger os dados variam em todo o mundo. Alguns dos principais regulamentos incluem:
O RGPD e a Diretiva NIS2 têm autoridade sobre dados de residentes da UE
A Lei de Proteção de Dados Pessoais Digitais (DPDP) regula dados pessoais na Índia
Regulamentos específicos do estado ou do setor nos Estados Unidos (por exemplo, CCPA, HIPAA)
Regulamentos do setor, como o PCI DSS, que controlam como os dados pessoais de pagamentos são tratados
Garantir que todas as instâncias de nuvem estejam em conformidade com todas as estruturas regulatórias relevantes é uma tarefa quase impossível de ser concluída com esforço manual. Também pode dificultar o desenvolvimento das empresas à medida que as organizações tentam entrar em novos mercados.
Por fim, é difícil demonstrar conformidade sem auditorias regulares de todos os dados e sistemas, o que é um desafio quando as organizações dependem de implantações multinuvem entre vários provedores de nuvem.
O que é necessário é uma abordagem preventiva. Antecipar e prevenir todos os riscos e erros não é possível, portanto, uma abordagem preventiva deve assumir a forma de verificações de conformidade e segurança e in-line que ocorrem à medida que as instâncias em nuvem são implantadas, não depois que os erros já foram cometidos. Os erros devem ser rastreados e mitigados automaticamente, e a conformidade aplicada automaticamente, não manualmente.
A Cloudflare incorpora exatamente esse tipo de verificação de segurança em nuvem in-line para clientes em sua plataforma. A Cloudflare simplifica a conformidade de segurança em nuvem para os clientes, avaliando e aplicando automaticamente configurações seguras, ajudando a garantir segurança e conformidade robustas com as estruturas regulatórias mais comuns. A Cloudflare inspeciona o tráfego de APIs em nuvem, oferecendo às organizações visibilidade aprimorada e controles granulares, além de permitir uma abordagem proativa na mitigação de riscos e no gerenciamento da postura de segurança em nuvem.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Após ler este artigo, você entenderá:
Os riscos de segurança e conformidade da computação em nuvem
Como o uso de uma infraestrutura multinuvem pode levar a configurações incorretas
Possíveis soluções para a conformidade de dados em várias nuvens e diversas jurisdições.
Saiba mais sobre como proteger serviços de aplicativos baseados em nuvem no artigo técnico Três desafios para proteger e conectar serviços de aplicativos.
Obtenha o artigo técnico