Segurança na nuvem é e sempre será uma responsabilidade partilhada. A Amazon Web Services (AWS) tem se dedicado cada vez mais a este tema e acreditamos que agora é um bom momento para explorar e refletir sobre a ideia de um Modelo de Segurança Compartilhada. Ao contrário do senso comum, podemos afirmar que o Modelo de Segurança Compartilhada é um modelo muito simples. Sabemos que a segurança é necessária em todos os lugares onde residem ou trafegam as nossas informações. Precisamos de segurança para todas as camadas:
- Infraestrutura física
- Infraestrutura de rede
- Camada de virtualização
- Sistema operacional
- Aplicações
- Dados
A partir do entendimento dessa necessidade, o próximo passo é ter claro quem é o responsável pelo aspecto da segurança em cada uma destas camadas. Qual parte é de responsabilidade do provedor de serviços em nuvem, como por exemplo a AWS, e qual parte é de responsabilidade do usuário? É fato que as responsabilidades pela segurança mudam de acordo com o tipo de infraestrutura adotada. Considerando uma infraestrutura de data center tradicional; IaaS pode ser exemplificado pelas soluções EC2, EBS e VPC da AWS, PaaS tem como referências as ofertas RDS, EMR, OpsWorks da AWS e SQS e SNS, SES e Route53 são exemplos de soluções da AWS no modelo SaaS. A regra geral é: quanto maior é a abstração da infraestrutura tradicional menor é a responsabilidade direta que os usuários têm pela segurança. Usando o EC2 como exemplo, a AWS é responsável pela segurança da infraestrutura física, da infraestrutura de rede, e também pela segurança na camada de virtualização. Isso significa que a equipe de TI da empresa contratante fica responsável pela segurança do sistema operacional, aplicativos e dados; além de atuar na aplicação de patches no SO, na configuração do security groups (firewall) e das sub-redes de VPC.
No cenário de computação em nuvem, a Trend Micro atua como um provedor de serviços habilitado a auxiliar as empresas na implementação de soluções e processos que garantam que a segurança seja completa e fácil para proteção da aplicações, sistemas operacionais e dados residentes em ambientes da AWS. Veja a seguir alguns exemplos dessa atuação:
a) Impedindo a violação de dados e interrupções nos negócios das empresas
- Verificação contínua das aplicações para detectar ataques complexos
- Criptografia padrão AES-256 das informações sensíveis
- Detecção e remoção de malware em tempo real
- Redução da exposição aos ataques, garantindo que os servidores em nuvem se comuniquem apenas com os sistemas programados
- Blindagem contra vulnerabilidades conhecidas e desconhecidas com patching virtual para proteger aplicações e servidores sensíveis
- Detecção e alerta sobre atividade maliciosa ou suspeita, acionando medidas proativas e preventivas
b) Maximizando as reduções do custo operacional com Segurança em AWS
- Automação de tarefas repetitivas de segurança
- Reconhecimento e provisionamento automáticos de segurança
- Redução no esforço de implementação e gerenciamento de produtos distintos
- Redução da carga de trabalho administrativo na AWS
c) Atendendo normas e padrões de conformidade externa e interna
- Atendimento dos principais requisitos de conformidade como PCI DSS 3.0, e também HIPAA, NIST e SAS 70
- Proteção de dados com criptografia validada pelo FIPS 140-2
- Utilização de tecnologia certificada do Common Criteria EAL 4+
- Fornecimento de relatórios auditáveis e detalhados.
- Redução no tempo e no esforço de preparação de auditorias externas e internas através de controles de segurança centralizados e relatórios consolidados
A Trend Micro está à disposição para ajudar na qualificação para segurança durante a migração para nuvem AWS.
Rodrigo Garcia – Trend Micro
