Grande parte acha que segurança para dados e aplicações é condição garantida automaticamente nos contratos com os provedores
Grande parte dos clientes de nuvens públicas continua achando que segurança para seus dados e aplicações é uma condição garantida por default depois que eles assinam o contrato com o provedor. Não é. Eles continuam tendo uma falsa sensação de segurança quando vão para uma nuvem pública, alerta Vanessa Padua, gerente de Soluções na Nuvem para América Latina e Caribe da Fortinet.
Muitos clientes não tomam conhecimento de que a segurança em nuvem está estruturada num modelo de responsabilidade compartilhada. “Se você entrar nos site dos provedores de nuvem encontra isso declarado com muita clareza”, explica.
Nas diferentes modalidades “as a service” oferecidas pelos provedores (SaaS, IaaS, PaaS), Vanessa observa que sempre existe uma parte da segurança que é de responsabilidade do provedor, “mas outra parte é responsabilidade da empresa”. O que acontece com muita frequência, explica Vanessa, é a falta de conhecimento do modelo compartilhado antes da contratação. “Muitas empresas têm aderido à nuvem inicialmente pelo modelo SaaS, usando recursos como por exemplo o Google Drive. Mas quando ela evolui para outro modelo, como no caso de infraestrutura como serviço (IaaS), é como se a empresa levasse pegasse parte do datacenter dela e levasse para um ambiente remoto, seja da Microsoft, Google ou AWS”, detalha.
No último trimestre de 2019, a Fortinet anunciou no mercado soluções para atender clientes justamente nessas plataformas, para reduzir seus riscos e problemas com a segurança dos dados e aplicações. “Para os clientes a segurança tem de ser a mais abrangente possível. O provedor de nuvem tem de responder principalmente pela disponibilidade do seu serviço”. Em geral, segundo Vanessa, não há soluções prontas. “Precisamos primeiro entender qual o modelo do cliente, que aplicações ele está levando para a nuvem, se é um movimento só de transferência delas, do tipo ‘lift & shift’ ou se haverá remodelamento das aplicações. Temos também de mapear toda a carga de trabalho, suas integrações (inclusive entre aplicações) e a partir daí construir a solução. Se o cliente vai usar Kubernetes, temos de ampliar a segurança para dentro dos containers dele”, acrescenta.
Para piorar o risco, o cliente nem sempre sabe tudo o que ele tem na nuvem, observa a gerente da Fortinet. Ela exemplifica com o recente vazamento de dados da torcida do Palmeiras, que estavam num repositório S3 mal configurado. Vanessa diz que a solução para esse tipo de problema começa com a ampliação da visibilidade do cliente: “Para fazer isso temos de mergulhar na infraestrutura dele e mostrar se ele tem, por exemplo, buckets publicados, como estão as configurações, se existem inconsistências de acesso e assim por diante. Nós temos uma ferramenta para isso. Sem um recurso desses fica complicado o cliente construir sua arquitetura de segurança. Depois que rodamos uma demo de uma semana dessa solução, em geral o cliente se espanta e ao mesmo tempo fica aliviado porque a gente resolve o problema dele.
