Comercial e Empresarial
Proteja sua empresa contra criminosos cibernéticos.
Iniciar Teste GrátisSegurança de computação em nuvem, também chamada de segurança em nuvem, é um termo genérico que se refere às tecnologias, aos processos e aos controles usados para proteger infraestruturas, serviços e aplicativos em nuvem, bem como dados armazenados ou processados na nuvem.
Antes de mergulhar nas informações específicas de segurança em nuvem, é preciso primeiro entender o que é computação em nuvem.
Em um ambiente de dados tradicional, uma organização é dona e opera o próprio hardware de back-end e outras infraestruturas, seja no local ou em um centro de dados (este último sendo conhecido como "nuvem privada"). Isso significa que a organização é responsável por configurar, manter e proteger tudo, incluindo servidores e outros hardwares.
Em um ambiente de computação em nuvem, uma organização essencialmente "aluga" infraestrutura de nuvem de um provedor de serviços de nuvem. O provedor de serviços de nuvem é dono e opera o centro de dados, todos os servidores e outros hardwares, bem como toda a infraestrutura subjacente, como cabos submarinos. Isso libera a organização de ter que manter e proteger a infraestrutura de nuvem e fornece muitos outros benefícios, como escalabilidade fácil e modelos de preços dinâmicos.
Nem todos os serviços de computação em nuvem são criados da mesma forma. Há três tipos principais de serviços de nuvem, e as organizações modernas normalmente os usam de forma combinada:
Software-como-um-Serviço (SaaS) é o tipo mais comum de serviço de nuvem. Quase todos usam aplicativos SaaS, mesmo que não saibam. Um produto de SaaS é entregue pela internet e acessado por um aplicativo móvel, um aplicativo de desktop ou um navegador. Aplicativos SaaS incluem tudo, de aplicativos de grau de consumidor, como Gmail e Netflix, a soluções comerciais, como Salesforce e o pacote de escritório Google Workspace.
Infraestrutura-como-um-serviço (IaaS) é um serviço de nuvem destinado principalmente a organizações, apesar de alguns entusiastas de tecnologia poderem comprar um serviço de IaaS para uso pessoal. O provedor de serviços de nuvem entrega serviços de infraestrutura, como servidores, armazenamento, rede e virtualização, enquanto o cliente lida com o sistema operacional e quaisquer dados, aplicativos, middleware e runtimes. Quando as pessoas falam sobre uma "nuvem pública", normalmente referem-se a IaaS. Exemplos de provedores de nuvem pública incluem as três grandes do setor: Amazon Web Services (AWS), Google Cloud Platform (GCP) e Microsoft Entra ID (Azure).
As soluções de Plataforma-como-um-serviço (PaaS) se destinam diretamente a desenvolvedores. O cliente cuida dos aplicativos e dos dados, e o provedor de uvem cuida de todo o resto, incluindo sistema operacional, middleware e runtime. Em outras palavras, soluções de PaaS dão aos desenvolvedores um ambiente completo onde podem desenvolver, implantar e gerenciar aplicativos sem precisarem se preocupar com atualizações do sistema operacional ou de software. Exemplos de PaaS incluem AWS Elastic Beanstalk, Heroku e Google App Engine. De forma geral, a PaaS é usada em conjunto com a IaaS. Por exemplo, uma empresa pode usar AWS para hospedagem e AWS Elastic Beanstalk para desenvolver aplicativos.
Entender pelo que o provedor de nuvem é responsável e pelo que o cliente de nuvem é responsável é essencial para compreender a segurança de nuvem.
A segurança de nuvem é baseada no que é conhecido como modelo de responsabilidade compartilhada. Neste modelo:
Pense nisso como sendo similar ao aluguel de uma unidade de autoarmazenamento. Você é responsável por proteger seus pertences dentro da unidade, o que significa trancar a porta da unidade e manter a chave em segurança. A empresa de autoarmazenamento é responsável por proteger todo o complexo com controles, como entradas com portões, câmeras, iluminação adequada em áreas comuns e guardas de segurança. O provedor de autoarmazenamento é responsável pela segurança do centro de armazenamento, mas você é responsável pela segurança em sua unidade.
Não importa se estamos falando de um aplicativo SaaS, uma implantação de IaaS (nuvem pública) ou uma plataforma de desenvolvedor PaaS, a segurança de nuvem é fortemente baseada em gerenciamento de identidade e acesso (IAM) e prevenção de perda de dados (DLP); em outras palavras, impedir que pessoas não autorizadas acessem seu serviço em nuvem – e seus dados.
Expandindo nosso exemplo de autoarmazenamento, se você deixar a chave de sua unidade de armazenamento sem supervisão, alguém roubá-la e usá-la para acessar sua unidade, os controles de segurança do provedor de armazenamento não falou - os seus falharam. De forma similar, se você usar uma senha fraca que pode ser facilmente adivinhada para proteger sua conta do Gmail ou o console de administração do GCP, e um ator de ameaça comprometê-la, a falha de segurança foi sua, não do Google.
Além de impedir o acesso não autorizado e o furto de dados, a segurança de nuvem também busca evitar a perda acidental ou o corrompimento de dados devido a erro humano ou negligência, garantir a recuperação de dados se ocorrer uma perda de dados e obedecer às leis de privacidade do usuário, como a HIPAA, que proíbe o acesso não autorizado a registros de saúde privados. A segurança de nuvem é fundamental para a resposta a incidentes de segurança, a recuperação de desastres e o planejamento de continuidade da empresa.
Medidas comuns de segurança de nuvem incluem:
Abaixo, estão alguns dos maiores desafios e riscos associados com a segurança de nuvem.
Certifique-se de entender completamente o modelo de responsabilidade compartilhada e o que sua organização deve ou não proteger. Isso pode soar óbvio, mas definir quem é responsável pelo que pode ser complicado, particularmente em ambientes híbridos.
Um dos benefícios da computação em nuvem é que os recursos podem ser acessados de qualquer lugar e de qualquer dispositivo. No entanto, da perspectiva de segurança, isso significa que há mais terminais a proteger. As ferramentas de gerenciamento de segurança de terminais e de dispositivos possibilitarão que você execute políticas de acesso e implemente soluções de verificação de acesso, firewalls, antivírus, criptografia de disco e outras ferramentas de segurança. Outras práticas recomendadas de computação em nuvem incluem: