Segurança pessoal na nuvem

Segurança pessoal na nuvem. Certificando-se de minimizar o acesso do seu provedor de nuvem aos seus dados.

Sempre que você usa um fornecedor terceirizado, você precisa considerar sua abordagem para a segurança do pessoal. Fornecedores de nuvem não são exceção.

Desde que os Princípios de Segurança em Nuvem do NCSC foram lançados pela primeira vez em 2014, esse tópico foi abordado no Princípio 6: Segurança de pessoal. Tradicionalmente, isso se concentrou na triagem de segurança (geralmente chamada de verificação) e na garantia de que o menor número possível de pessoas tenha acesso aos seus dados.

No entanto, a nuvem evoluiu desde 2014, então recentemente foi  atualizado a orientação para refletir como a segurança pessoal mudou. Em seu blog o NCSC resume o que mudou e por que isso é importante.

Acesso Granular

Embora a triagem de segurança e a limitação de quem tem acesso aos seus dados sejam aspectos importantes da segurança do pessoal, eles só o levarão até certo ponto. Em um provedor de nuvem de hiperescala, ainda podem ser vários milhares de pessoas trabalhando em todo o mundo. A triagem e limitação de segurança por si só ainda deixa um risco significativo de acesso malicioso ou acidental aos dados. Em vez disso, você deve esperar que seu provedor de nuvem adote uma abordagem mais em camadas.

Um bom provedor de nuvem também aplicará controles técnicos para trazer defesa adicional em profundidade. Um serviço de nuvem bem projetado permitirá que um engenheiro de suporte diagnostique e trate a falha sem ter que acessar os dados do cliente em um grande número de casos. Por exemplo, todo acesso a dados e serviços de clientes deve ser auditado e monitorado detalhadamente, para desencorajar o acesso inapropriado e ajudar na investigação de incidentes. Você também deve ser alertado sempre que o pessoal do seu provedor de nuvem acessar seus dados, para que você possa confirmar que isso era esperado.

Ao armazenar dados confidenciais ou operar um serviço importante em um serviço de nuvem, você deve esperar proteções ainda mais avançadas. Por exemplo, para acessar seus dados, o pessoal do seu provedor de nuvem deve fornecer um ticket de suporte ao cliente (ou solicitação de alteração interna) para justificar o acesso. Idealmente, você também deve autorizar cada acesso aos seus dados e receber contexto suficiente para permitir que você tome uma decisão informada.

Administração Segura do Sistema

Quando discutimos a segurança do pessoal, também é importante abordar o Princípio 12: Administração segura do serviço. Isso está intimamente alinhado com nossa orientação mais ampla de administração segura do sistema. Enquanto o Princípio 6 se concentra em um insider obtendo acesso inapropriado aos dados de forma maliciosa ou acidental, o Princípio 12 garante que um invasor externo não possa interferir no uso da nuvem comprometendo a administração do serviço. Lembre-se de que parte dessa administração será realizada pelo pessoal de suporte, que pode não se encaixar no modelo tradicional de ‘administradores de sistema’.

Os dois princípios funcionam lado a lado, cada um apoiando o outro. Um provedor de nuvem que aplica excelentes controles técnicos também tornará muito mais difícil para um invasor externo acessar os dados do cliente. Ao mesmo tempo, a administração segura do sistema impedirá que um insider contorne os controles técnicos que os mantêm honestos.

A Bala de Prata

Um bom provedor de nuvem projetará seu serviço para que você não precise confiar explicitamente em todos os seus funcionários, permitindo que você se concentre em criar confiança no serviço como um todo. As atualizações dos 14 Princípios de Segurança em Nuvem elevaram consideravelmente o nível de segurança pessoal, e já estamos vendo organizações fazendo isso bem. Isso deve servir como um lembrete de que o uso de um bom serviço de nuvem geralmente traz benefícios de segurança que seriam difíceis de obter em implantações tradicionais.

Fonte: NCSC UK por Jamie H.

Veja tabém:

Sobre mindsecblog 1947 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!