A segurança na nuvem parece algo específico para um provedor de nuvem, mas abordagens e tecnologias emergentes estão mudando o jogo

Por: David Linthicum, da Infoworld

A primeira pergunta que a maioria dos arquitetos de segurança na nuvem faz quando está encarregado de projetar uma solução de segurança na nuvem é: qual nuvem você está usando?

Em seguida, eles geralmente selecionam um conjunto de tecnologias, como IAM (gerenciamento de identidade e acesso) e criptografia, nativas dessa marca em nuvem específica.

Essa pode ter sido uma abordagem sólida há apenas alguns anos, mas hoje vivemos em um mundo multicloud onde a segurança precisa remover a complexidade e os riscos.

Aqui estão três segredos de segurança na nuvem que os provedores de nuvem pública não lhe dirão:

1) As soluções de segurança nativas da nuvem oferecidas pelos grandes fornecedores não são úteis se você tiver uma solução multicloud heterogênea

A tecnologia de segurança pode funcionar muito bem para o próprio produto de um provedor de nuvem específico, mas não há suporte ou suporte limitado para outras nuvens públicas – e a maioria de nós está usando multicloud.

Você tem duas escolhas. Se você alavancar qualquer sistema nativo de cada nuvem pública, precisará gerenciar dois ou mais sistemas de segurança.

Ou você pode encontrar uma solução de segurança comum, como um gerenciador de segurança, que pode lidar com os diferentes problemas de cada provedor de nuvem e abstraí-lo da complexidade, o que provavelmente é um risco para si. A última é a opção que escolho, e funciona melhor para a maioria das empresas.

2) A segurança pode prejudicar o desempenho e custar muito mais dinheiro a cada mês, se não for projetada corretamente nos aplicativos e armazenamentos de dados

Os provedores de nuvem se beneficiam com a venda de serviços de computação e armazenamento e, se suas soluções de segurança consumirem mais ciclos de CPU do que deveriam, é hora de reprojetar essas soluções e como os aplicativos as usam.

Vi os esforços de segurança e ajuste de aplicativos reduzirem os custos mensais em 80% e, ao mesmo tempo, aumentarem o desempenho desses aplicativos quatro vezes.

3) Treinamento conta mais que a tecnologia

Investiguei muitas violações nos últimos anos. Para muitos, não é falta de ferramentas e tecnologia de segurança, é falta de compreensão de como usá-las corretamente.

O dinheiro gasto em treinamento na verdade reduz o risco em um fator de 1000. Para cada dólar gasto em treinamento, você remove US$ 1.000 em risco (custo de risco) para a implementação.

Além disso, não se trata de um treinamento de segurança nativo da nuvem, oferecido pelos provedores de nuvem, é para arquiteturas e soluções de segurança comuns que abrangem todas as nuvens públicas e sistemas locais.

O tema é pensar de forma independente e questionar por que as coisas são feitas atualmente dessa maneira. A segurança da nuvem só melhorará em uma cultura que desafia o status quo.

Fonte: CIO