SEGURANÇA

7 pecados mortais de segurança em computação na nuvem

A cloud computing traz oportunidades, mas especialistas destacam a importância de analisar os riscos de segurança da plataforma.

Por IDG NEWS SERVICE

06 de abril de 2010 - 07h05

página 1 de 1

• retweet53
• Recomendar!
• Share

QUEM LEU ESTA MATÉRIA TAMBÉM LEU:

• 4 etapas para a gestão de redes sociais nas empresas
• Altos executivos devem se envolver com cibersegurança
• Conheça 3 maneiras de analisar projetos que envolvam mudanças
• Governo adia de novo decisão sobre Plano de Banda Larga

Desenvolvido por:

Especialistas de segurança alertam que as organizações que estão aderindo àcomputação em nuvem podem conhecer termos familiares como multi-tenancy e virtualização, mas isso não significa que eles entendem tudo sobre como colocar aplicações na nuvem.

No mundo da cloud computing, essas tecnologias são integradas para criar uma nova classe de aplicativos com seu próprio pacote de regras de operações, afirma o diretor executivo da organização não-governamental, Cloud Security Alliance (CSA), Jim Reavis. O objetivo da CSA é promover as melhores práticas para uso da computação na nuvem.

“Essa é uma nova era na computação”, diz Reavis. Mesmo se tudo soa familiar, basta procurar um pouco mais para descobrir uma série de novos riscos. As organizações geralmente adotam a computação em nuvem com uma velocidade muito maior do que os profissionais de segurança recomendam, afirma Reavis. Uma abordagem pragmática é necessária. “Com uma abordagem baseada no risco para a compreensão de riscos reais e práticas atenuantes, podemos adotar a nuvem de forma segura”.

A CSA, em colaboração com a HP, fez uma listagem do que chamam de sete pecados mortais da segurança na nuvem. A pesquisa é baseada em informações de especialistas de segurança de 29 empresas, provedores de tecnologia e companhias de consultoria.

1- Perda de dados ou vazamento
Não há um nível de controle de segurança aceitável na nuvem, segundo Reavis. Alguns aplicativos podem deixar dados vazarem como resultado de um controle de API, geração de chaves, armazenamento ou gestão fracos. Além disso, políticas de destruição de dados podem estar ausentes.

2- Vulnerabilidades de tecnologias compartilhadas
Na nuvem, uma única configuração errada pode ser duplicada em um ambiente no qual vários servidores virtuais compartilham essa informação. A organização deve aplicar acordos de nível de serviço (SLAs) para o gerenciamento de atualizações e as melhores práticas para a rede e configuração do servidor.

3- Internos maliciosos
O nível de verificações que os provedores da nuvem realizam em uma equipe pode variar de acordo com o controle de acesso ao datacenter estabelecido pela empresa, segundo Reavis. “Muito deles fazem um bom trabalho, mas é desigual”, completou. A recomendação é realizar uma avaliação de fornecedores e definir um nível de seleção de funcionários.

4- Desvios de tráfego, contas e serviços
Muitos dados, aplicativos e recursos são concentrados na nuvem. Sem autenticação segura, um intruso pode acessar uma conta de usuário e obter tudo o que estiver na máquina virtual daquele cliente, afirma Reavis. Para evitar isso, o ideal é monitorar proativamente ameaças de autenticação.

5- Interfaces inseguras de programação de aplicativos
É importante ver a nuvem como uma nova plataforma e não apenas como terceirização quando se trata de desenvolvimento de aplicativos. Deve existir um processo de investigação relacionado aos ciclos de aplicações, no qual o desenvolvedor entende e aplica certas orientações para controles de autenticação, acesso e criptografia.

6- Abuso da computação em nuvem
Usuários mal intencionados estão cada vez mais preparados, segundo Reavis. Registros indicam que crackers estão aplicando novas ameaças rapidamente, além da habilidade de se adaptar ao tamanho da nuvem. E tudo que é preciso é um cartão de crédito.

7- Perfil de risco desconhecido
A questão da transparência continua preocupando os provedores de nuvem. Usuários de contas interagem apenas com a interface final e não sabem muito sobre as plataformas ou níveis de segurança que os provedores estão empregando, afirma Reavis.

O chefe de tecnologia de segurança na nuvem da HP, Archie Reed, tem o cuidado de observar que a lista dos sete pecados mortais da segurança na nuvem não é abrangente, mas de alto nível. “Deve servir como uma aproximação, mas não definir as questões de segurança”, afirmou Reed.