A segurança da informação é o conceito por trás das políticas, processos e métodos que devem ser empregados para que a circulação dos dados seja segura e controlada.
Quando tratamos da segurança dentro da nuvem é preciso entender que a responsabilidade sobre ela é compartilhada entre fornecedores e clientes.
Este é o modelo de responsabilidade compartilhada da AWS que define camadas específicas, onde o provedor é responsável pela segurança “da” nuvem e o cliente é responsável pela segurança “na” nuvem:
É importante ressaltar que essas camadas podem variar de acordo com a implementação de serviço de nuvem escolhida para cada projeto.
Dentre os 3 modelos de implementação estão:
- Infraestrutura como serviço (IaaS): Permite que a empresa construa seu próprio Data Center virtual com recursos da nuvem.
- Plataforma como serviço (PaaS): Oferece uma variedade de opções de serviços que permitem que o cliente, provisione, implemente ou crie Software.
- Software como serviço (SaaS): Aplicação funcional que não requer gerenciamento de infraestrutura, atualização de patch, etc.
Para cada degrau de serviço de nuvem escalado, menos responsabilidades são atreladas ao cliente e passam a ser do provedor, reduzindo assim os encargos operacionais. Essa é uma das grandes vantagens do uso de serviços gerenciados, ou “serverless”.
A arquitetura de segurança em nuvem não se limita apenas ao hardware ou software. Ela começa com o gerenciamento de riscos, ou seja, saber o que pode dar errado e afetar negativamente a continuidade do seu negócio.
Atualmente, podemos falar em 5 categorias principais em relação a segurança da informação em nuvem que atuam em conjunto para garantir uma camada de segurança confiável e abrangente. São elas:
- Segurança de dados: Pilar responsável por garantir a prevenção de ameaças. Dentre suas principais ferramentas vale citar a criptografia, que impede que agentes maliciosos sejam capazes de acessar informações sigilosas.
- Gerenciamento de acesso e identidade: Fundamento relacionado ao controle de contas de usuários, a fim de garantir que as pessoas e sistemas só tenham acesso ao mínimo de recursos e informações necessários para que executem suas tarefas.
- Governança: Eixo onde se concentram as políticas de prevenção e mitigação de ameaças, buscando sempre impedir que erros aconteçam com antecedência.
- Retenção de dados e planejamento da continuidade de negócios: Categoria que abrange as medidas de recuperação de desastres no caso de perda de dados, como backups e políticas de Disaster Recovery.
- Compliance jurídico e segurança na nuvem: O quinto pilar está amplamente ligado a proteção de privacidade do usuário, garantindo o cumprimento de diretrizes estabelecidas por órgãos especializados em segurança da informação.
Estar alinhado com os 5 pilares acima é uma excelente forma de assegurar a segurança e resiliência do seu empreendimento. O uso da nuvem traz diversas vantagens em relação a segurança. Algumas delas são:
- Os provedores de nuvem podem aumentar ou diminuir rapidamente a capacidade de armazenamento e processamento, o que permite acompanhar as necessidades de segurança em constante mudança;
- Diversas opções de backup e recuperação automatizadas são oferecidas para garantir a segurança dos dados;
- Os Data Centers têm medidas de segurança física rigorosas, como monitoramento de vídeo e acesso restrito, para proteger seus servidores.
Atualmente a AWS está em conformidade com mais de 2500 entidades reguladoras de segurança, por ser uma empresa especializada no assunto, ser seu cliente significa compartilhar do seu know how para alcançar o nível desejado de segurança da sua infraestrutura.