Segurança é o principal motivador para empresas retardarem o uso de computação em nuvem.

Embora a nuvem seja tão ou mais segura do que os data centers privados, é necessário uma postura diferenciada dos líderes de segurança em relação à proteção de dados dentro das empresas. 

Isso se dá em razão do modelo de responsabilidade compartilhada, no qual os provedores de nuvem são responsáveis ​​por proteger a camada de infraestrutura e fica sob a responsabilidade do usuário a configuração dos serviços que utilizam na nuvem. 

No cenário atual, o qual a proteção de dados se tornou prioridade, principalmente com a chegada da LGPD (Lei Geral de Proteção de Dados), o mercado como um todo precisou dar atenção redobrada à proteção dos dados. A preocupação com relação à postura de segurança e conformidade na nuvem teve maior ênfase nos setores regulados, em especial o setor financeiro, que precisa seguir as exigências do Banco Central.

Além disso, a implementação do Open Banking, que facilita o compartilhamento de informações sensíveis entre os bancos, tende a aumentar bastante a superfície de ataque cibernético nesse novo ecossistema. 

Nesse cenário existem as soluções CSPM (Cloud Security Posture Management) que auxiliam as organizações a realizar os processos e configurações necessárias para estar de acordo com os parâmetros de segurança e conformidade estabelecidos. 

Para auxiliar neste processo, há uma linha de produtos em Cloud Security, o CSPM, categoria que verifica a postura de segurança e conformidade na nuvem, e auxilia as empresas na identificação e correção desses recursos. 

O que significa?  

CSPM permite aplicar processos para identificar e remediar de forma proativa os riscos de segurança na nuvem a partir de avaliações da postura de segurança e conformidade. 

O uso de um produto de CSPM ajuda as organizações nos seguintes aspectos:

1. Avaliação de políticas de conformidade: Detecta violações de conformidade de acordo com regulações e políticas de segurança interna.
2. Monitoramento Operacional: Analisa novos ativos e identifica ameaças que afetam a segurança da nuvem.
3. Resposta a incidentes: Detecta vulnerabilidades para serem remediadas.
4. Identificação e visualização de riscos: Identifica e classifica os riscos para priorizar correções e manter a segurança da nuvem.
5. Classificação de ativos: Oferece visibilidade dos ativos na nuvem e como eles estão configurados.

Principais tipos de vulnerabilidades

Os produtos de CSPM geralmente atuam na identificação dos seguintes tipos de vulnerabilidades:

• Recursos acessíveis diretamente da internet;
• Recursos sem criptografia;
• Gerenciamento impróprio de chaves de criptografia;
• Permissões de conta com privilégios excessivos;
• Contas críticas do sistema sem autenticação multifator (MFA) ativo;
• Registro de log não ativado para monitorar atividades críticas, como fluxos de rede, acesso a banco de dados ou atividade de usuário com privilégios.

Aplique as melhores práticas 

Aqui estão algumas práticas importantes a serem seguidas para melhorar a postura de segurança e conformidade da nuvem pública:

1. Identifique os benchmarks e regulações 

Centralize os esforços em benchmarks e regulações que se aplicam ao negócio, como o caso de organizações brasileiras que precisam seguir a Lei Geral de Proteção de Dados – LGPD e as ligadas ao mercado financeiros que devem seguir a regulação Bacen 4893, com questões sobre a  política de segurança cibernética, e, em alguns casos, o PCI, padrão global de segurança para empresas de cartões de pagamento. 

2. Priorize tarefas 

A quantidade de itens para corrigir em grandes ambientes em nuvem pode sobrecarregar a equipe de segurança. 

Para isso é recomendado priorizar vulnerabilidades críticas como recursos com acesso irrestrito ou sem criptografia habilitada, e vulnerabilidades de um serviço ou região que contenha dados sensíveis. 

3. Use um produto de CSPM 

O ambiente em nuvem está em constante mudança. 

Como são diversos aspectos para se atentar é recomendado a automação do processo com o uso de um produto CSPM.

Indicamos, claro, o CleanCloud Score, produto de CSPM que traz de forma automática e periódica um assessment com mais de 300 verificações de conformidade para a nuvem AWS, Azure e Google Cloud, de acordo com os principais frameworks e regulações do mercado, incluindo PCI, Bacen e LGPD.