Cinco riscos da nuvem que você não pode ignorar
Querendo ou não você gostou quando o ex-secretário de Defesa dos EUA, Donald Rumsfeld, o fez rir com sua famosa citação sobre “aquilo que sabemos que sabemos, que sabemos que não sabemos, e que não sabemos que não sabemos“.
Apesar de Rumsfeld ter sido ridicularizado por essa declaração, essa foi uma típica ocasião em que um político diz acidentalmente a verdade, e acho que muita gente em segurança de informação entendeu o que ele estava querendo dizer. Estamos sendo constantemente confrontados com os três tipos de riscos: o que sabemos que sabemos, o que sabemos que não sabemos, e o que não sabemos que não sabemos.
Um dos maiores empecilhos para a adoção de computação em nuvem pública é o cálculo dos riscos conhecidos e desconhecidos. Passei os últimos anos contemplando essas questões, tanto como provedor de nuvem pública e quanto como usuário.
Aqui está uma lista de cinco riscos que qualquer empresa enfrenta como cliente de um serviço de nuvem pública.
1:: Acesso compartilhado
Um dos princípios fundamentais da computação em nuvem pública é o modelo multitenancy, de uma única instância lógica compartilhada por centenas ou milhares de clientes. Em outras palavras, a típica arquitetura que permite a otimização de recursos de infraestrutura e software através de compartilhamento, mantendo os inquilinos, empresas/clientes, logicamente separados. É comum os clientes compartilharem os mesmos recursos de computação: CPU, armazenamento, espaço, memória, etc.
Pois bem, multitenancy é um desconhecido conhecido para a grande maioria de nós. Ou seja, algo que sabemos que não sabemos. Não só pelo risco de nossos dados privados vazando acidentalmente para outros inquilinos, mas também por conta dos riscos adicionais do compartilhamento de recursos. Vulnerabilidades multitenancy são muito preocupantes, porque uma falha pode permitir que outro inquilino ou atacante veja todos os outros dados ou assuma a identidade de outros clientes.
Várias novas classes de vulnerabilidades derivam da natureza comum da nuvem. Pesquisadores já foram capazes de recuperar dados de outros inquilinos no que era para ser um novo espaço de armazenamento. Outros pesquisadores já foram capazes de se intrometer na memória de outros inquilinos e em espaços de endereço IP. E alguns poucos foram capazes de assumir totalmente os recursos de outro inquilino simplesmente prevendo os endereços IP ou MAC que foram atribuídos a eles.
Questões de segurança multitenancy só agora estão se tornando importantes para a maioria de nós, com as vulnerabilidades começando a ser exploradas.
Arrisco dizer que multitenancy será um grande problema de segurança no longo prazo.
2:: Vulnerabilidades virtuais
Cada provedor de serviços de cloud é um enorme usuário de virtualização. E cada camada de virtualização representa uma importante plataforma na infraestrutura de TI, com vulnerabilidades embutidas que podem ser exploradas. Servidores virtuais estão sujeitos aos mesmos ataques que atingem os servidores físicos, assim como novas ameaças estão explorando falhas do hypervisor.
Na minha opinião, há quatro principais tipos de riscos de exploração virtuais: apenas no servidor, “guest to guest”, “host to guest”, e “guest to host”. Todos eles desconhecidos e não calculados na maioria das estimativas de risco.
Quando converso com provedores de nuvem sobre esses risco virtuais, muitos arregalam os olhos. A maioria afirma que os riscos são exagerados. Eu costumo dizer-lhes para verificar a lista de patches de seus fornecedores de software. Não são bonitas.
3:: Autenticação, autorização e controle de acesso
Obviamente, os mecanismos de controle de autenticação, autorização e acesso do seu provedor de nuvem é fundamental. Quantas vezes ele procura e remove contas obsoletas? Quantas contas privilegiadas podem acessar seus sistemas – e seus dados? Que tipo de autenticação é necessária para os usuários privilegiados? A sua empresa compartilha um espaço comum com o vendedor e/ou com outros inquilinos?
Namespaces compartilhados e autenticação para criar experiências single-sign-on (SSO) podem aumentar a produtividade, mas também aumentam os riscos, substancialmente.
Certifique-se que os prestadores dos serviços de cloud computing limitam o acesso dos funcionários e as autorizações para o que seja estritamente necessário para a realização de sua tarefas.
Proteção de dados é outra grande preocupação. Se a criptografia de dados é usada e aplicada, as chaves privadas são compartilhadas entre os inquilinos? Quem e quantas pessoas na equipe do fornecedor de nuvem pode ver os seus dados? Onde os seus dados estão armazenados fisicamente? Como seu dado é tratado quando deixa de ser necessário?
Não tenho certeza de quantos fornecedores de nuvem estariam dispostos a compartilhar respostas detalhadas a estas perguntas, mas você tem que pelo menos perguntar se quiser saber o que é conhecido e desconhecido.
4:: Disponibilidade
Quando você é um cliente de um provedor de nuvem pública, redundância e tolerância a falhas não estão sob seu controle. Geralmente o que é fornecido e como é feito, não são divulgados. São completamente opacos. Todo serviço de nuvem alega ter tolerância a falhas e disponibilidade fantásticas, ainda que, mês após mês, vejamos o maior e o melhor cair por terra, com interrupções de serviço por horas ou mesmo dias.
Uma preocupação ainda maior são os poucos casos em que os clientes perderam dados, devido a problema com o provedor de nuvem ou com ataques maliciosos. O fornecedor de nuvem geralmente afirma fazer backups dos dados dos clientes. Mas mesmo com os backups garantidos, clientes já perderam de dados – e de forma permanente. Se possível, a sua empresa deve sempre fazer o backup dos dados compartilhados na nuvem por conta própria. Ou se resguardar, em contrato, estabelecendo as responsabilidades do provedor por perdas de dados.
Tem mais. Alguns provedores de cloud computing dependem de terceiros para prestar determinados serviços. Um potencial cliente precisa saber identificar as interdependências potencialmente problemáticas. Considere um modelo de governança em que um fornecedor detém a responsabilidade global para as interrupções e as falhas de segurança.
5:: Posse
Esse risco é quase sempre uma surpresa para os clientes de cloud, mas muitas vezes eles não são os únicos proprietários dos dados.Muitos provedores de nuvem pública, incluindo os maiores e mais conhecidos, possuem cláusulas em seus contratos que afirmam explicitamente que os dados armazenados pertencem a ele provedor – e não ao cliente.
Eu mesmo conheço alguns casos nos quais o fornecedor de nuvem saiu do negócio e, em seguida, vendeu os dados confidenciais dos clientes como parte de seus ativos. É chocante. Certifique-se de que você tem esse risco previsto em seu contrato. Deixe claro quem é o dono dos seus dados e o que o fornecedor de cloud pode fazer com eles.
Visibilidade nuvem
Mesmo quando os riscos de computação em nuvem são conhecidos, eles são difíceis de calcular com precisão real. Nós simplesmente não temos histórias e provas suficientes para determinar a probabilidade de falhas de segurança ou disponibilidade, especialmente para um determinado fornecedor, ou se esses riscos vão levar a danos substanciais para os clientes. O melhor que você pode fazer é dar uma de Rumsfeld e pelo menos deixar sua gestão entre os itens que você sabe que não sabe.
Para isso, primeiro, tente reduzir tudo o que você por ventura não sabe que não sabe. As mesmas perguntas devem ser feitas repetidas vezes no estabelecimento de contratos de nuvem.
Estabeleça, o melhor que puder, as responsabilidade do fornecedor de Cloud. Só fazendo as perguntas difíceis você poderá começar a entender os riscos totais da computação em nuvem pública.
Embora possa soar como se eu estivesse desaconselhando o uso da computação em nuvem pública, na verdade sou realmente um grande fã dela. Acredito que a maioria dos fornecedores de nuvem pública faz um trabalho de proteção de dados melhor do que muitos de seus clientes. Mas você precisa conhecer brechas de seu fornecedor de nuvem e as medidas que toma para mitigar os riscos.
É preciso analisar detalhadamente as opções para proteção de dados sensíveis oferecidas pelos provedores de serviços de cloud computing. O quanto fluem através da rede, o quanto residem em um servidor, ou na infraestrutura de armazenamento.
Para começar, peça aos fornecedores informações sobre o uso de VPNs, o gerenciamento de chaves, e as opções de criptografia. Antes de assinar um contrato, examine os termos relativos à privacidade de dados, como serão auditados, a confiabilidade do serviço, e contingências contra alterações.
Por fim, certifique-se de elaborar uma estratégia de mitigação de risco de modo que você seja capaz de migrar o seu trabalho para um novo provedor (ou voltar a mantê-lo in-house) com rapidez e facilidade em caso de uma eventualidade.