O recente discurso em torno da segurança da computação em nuvem no setor bancário, destacado pelo artigo de Nicholas Fearn no Tempos Financeiros, pinta um quadro um tanto sombrio do cenário da segurança cibernética quando se trata de bancos migrando para a computação em nuvem. Não querendo apenas me referir a este artigo, mas tenho visto isso como uma tendência nos últimos anos, à medida que o valor da computação em nuvem tem sido cada vez mais questionado. Esta é uma mudança em relação a apenas alguns anos atrás, quando era proibido criticar “a nuvem”.
O que aconteceu entre então e agora? As empresas perceberam os pontos fracos das plataformas de computação em nuvem, como o custo excessivo e a dificuldade de abandoná-las. Isso permitiu apontar os problemas com os provedores de nuvem pública, e eu certamente fiz a minha parte, mesmo quando não estava na moda fazê-lo.
A migração para a nuvem é frequentemente retratada como uma faca de dois gumes. Oferece benefícios significativos em termos de escalabilidade, eficiência e economia de custos, ao mesmo tempo que expõe as instituições financeiras a novas vulnerabilidades e ameaças cibernéticas. No entanto, esta narrativa pode simplificar demasiado as complexidades da segurança na nuvem e ignorar o contexto mais amplo da segurança cibernética.
Equívocos sobre segurança na nuvem
A noção de que a computação em nuvem diminui inerentemente a segurança é uma generalização que não considera os avanços nos protocolos e práticas de segurança na indústria da nuvem. O fato é que os fornecedores estão gastando muito mais no desenvolvimento e implantação de sistemas de segurança para a nuvem do que em sistemas locais tradicionais. Esse aumento de gastos vem dos próprios provedores de nuvem pública, bem como de criadores de ferramentas de segurança de terceiros. Portanto, a tecnologia de segurança na nuvem normalmente é muito melhor do que as opções locais.
Os provedores de serviços em nuvem estão perfeitamente conscientes de sua responsabilidade em manter uma segurança robusta. Estas empresas investem fortemente em investigação de segurança, desenvolvimento de tecnologias seguras e certificações de conformidade que muitas vezes excedem as de muitos outros sectores empresariais. Na verdade, a natureza centralizada dos serviços em nuvem permite atualizações mais rápidas e implementação mais uniforme de patches de segurança, uma vantagem significativa em relação aos sistemas de TI descentralizados tradicionais.
Então, por que esses artigos estão sendo escritos? Se você observar a arquitetura dos provedores de nuvem pública, verá que seus dados estão armazenados em clusters de servidores físicos, mas você não tem ideia de onde esses servidores físicos realmente estão. Essa incerteza gera o medo de que a segurança seja um problema, já que você não pode mexer nos seus servidores. Isto é mais uma percepção mental do que um verdadeiro problema de segurança.
As competências técnicas são outra causa básica. O artigo aponta que as configurações incorretas são as ameaças de segurança mais comuns aos sistemas baseados em nuvem. Isso, é claro, é uma questão humana: são as pessoas, e não os provedores de nuvem pública, que configuram incorretamente as configurações de segurança, e isso permite violações. Embora você realmente não possa culpar os provedores de nuvem por isso, a indústria o faz. É claro que as mesmas ameaças existem nos sistemas locais, talvez mais do que na nuvem. Isso é simplesmente esquecido porque histórias assustadoras de segurança sobre provedores de nuvem parecem mais… bem, assustadoras.
Culpa equivocada?
O artigo sugere que os cibercriminosos que exploram vulnerabilidades e configurações incorretas da nuvem estão levando a riscos maiores. No entanto, estas questões podem indicar desafios mais amplos nas práticas de segurança cibernética das próprias empresas, em vez de falhas inerentes à computação em nuvem.
Também é importante diferenciar os recursos de segurança dos vários provedores de serviços em nuvem. Nem todas as nuvens são criadas iguais. Os principais fornecedores, como AWS, Google Cloud e Microsoft Azure, oferecem recursos de segurança altamente sofisticados que podem ser adaptados às necessidades das empresas. Os fornecedores mais pequenos podem não oferecer o mesmo nível de segurança, o que pode distorcer a perceção de risco quando se discute a segurança na nuvem em termos gerais. Aliás, isso não significa que os pequenos provedores não tenham uma segurança eficaz, apenas que não há tanto investimento feito nos seus sistemas de segurança.
Outro aspecto negligenciado no debate é o papel dos modelos híbridos, onde as empresas têm infra-estruturas locais e baseadas na nuvem. Essa abordagem permite que as empresas armazenem seus dados mais confidenciais em servidores locais privados, ao mesmo tempo em que aproveitam a flexibilidade e a escalabilidade da nuvem para operações menos confidenciais.
Por último, o artigo aborda potenciais ameaças futuras da computação quântica, que poderiam, teoricamente, quebrar os métodos atuais de criptografia. Esta é uma consideração futura que afetaria todos os aspectos da segurança digital, não apenas os sistemas baseados em nuvem. Acredite em mim, os provedores de nuvem já estão trabalhando em métodos de criptografia à prova de quantum para proteger os dados contra ameaças emergentes.
Embora os riscos de segurança associados à computação em nuvem sejam importantes, é crucial manter uma perspectiva equilibrada. Nunca fui um apologista das plataformas de computação em nuvem – ou de qualquer outra plataforma. Quando se trata de segurança, precisamos entender exatamente quais são os problemas e como eles podem ser mitigados. Ultimamente, os provedores de nuvem pública têm recebido má reputação, talvez sem motivo válido. Não podemos deixar que isso confunda nossa avaliação de plataformas para hospedar nossos aplicativos e dados.
