Skip to main content

Conhecer a engenharia de segurança na nuvem

Objetivos de aprendizagem

Após concluir esta unidade, você estará apto a:

  • Definir a engenharia de segurança na nuvem.
  • Identificar como os engenheiros de segurança na nuvem trabalham com outras equipes e fornecedores.
  • Explicar a importância da engenharia de segurança na nuvem.

O que é a Engenharia de segurança na nuvem?

A computação em nuvem apresenta muitos problemas e desafios de segurança específicos. Na nuvem, os dados são armazenados em um provedor terceirizado e acessados pela internet. Isso significa que a visibilidade da estrutura que conserva esses dados é limitada. Assim, os clientes podem não ter uma visão clara da superfície de ataque e isso pode dificultar a previsão dos vetores de ataque que um agente hostil pode explorar. É imperativo que tanto o cliente quanto o provedor de serviços de nuvem (CSP, Cloud Service Provider) entendam suas respectivas funções e os problemas de segurança inerentes à computação em nuvem.

Como engenheiro de segurança na nuvem, você ajuda sua organização a fortalecer sua postura de segurança na nuvem. Você faz isso protegendo a confidencialidade, a integridade e a disponibilidade (CIA, Confidentiality, Integrity and Availability) dos sistemas de nuvem, bem como as informações armazenadas e processadas por esses sistemas. Vamos dar uma olhada no que significa cada um desses termos.

  • Confidencialidade significa manter a privacidade ou a confidencialidade dos dados controlando o acesso a eles e impedindo sua divulgação não autorizada. Por exemplo, somente funcionários autorizados do setor de pagamentos devem ter acesso ao banco de dados de folha de pagamento de funcionários.
  • Integridade significa fazer com que os dados não sejam adulterados para manter sua confiabilidade. Por exemplo, as informações sobre produtos e preços estão corretas em um sistema de comércio eletrônico.
  • Disponibilidade significa garantir o funcionamento de infraestrutura, sistemas e aplicativos e que os usuários autorizados tenham acesso oportuno e confiável aos recursos quando necessário; por exemplo, a prevenção de ataques de negação de serviço em que agentes hostis bloqueiam intencionalmente o acesso dos usuários pertinentes a um sistema.

Esta é Andrea. Ela é engenheira de segurança na nuvem em uma instituição de ensino superior. Ela ajuda sua organização a adotar, criar e operacionalizar as tecnologias de nuvem. Ela trabalhou em projetos como migração do sistema de agendamento de cursos herdado da instituição para a nuvem e planejamento e engenharia de um novo sistema nativo na nuvem para funções administrativas. 

Hoje, Andrea está avaliando a infraestrutura e as soluções de pesquisa existentes da instituição a fim de mover funções diferentes (por exemplo, armazenamento de banco de dados associado a um curso acadêmico) para um sistema baseado em nuvem. Ela avalia a infraestrutura de TI existente da instituição e propõe alterações junto com as equipes de arquitetura e engenharia. Ela trabalha junto com essas equipes a fim de integrar a estrutura existente do banco de dados a um sistema baseado em nuvem. 

Uma engenheira de segurança na nuvem falando com membros das equipes de engenharia e arquitetura sobre sistemas de nuvem seguros

Como migrar sistemas, aumentar a segurança e impor políticas

Quando a equipe decide migrar o armazenamento de banco de dados para a nuvem, Andrea ajuda na migração e mantém o sistema na nuvem. Ela também negocia com os provedores de serviços de nuvem que a instituição usa. Durante o projeto, Andrea comunica o progresso à gerência sênior da instituição. 

Todos os dias, Andrea trabalha para aumentar a segurança dos sistemas baseados em nuvem da instituição e dos dados de seus alunos, corpo docente e funcionários administrativos. Ela desenvolve, implementa e prega as melhores práticas de segurança em toda a estrutura de TI da instituição, incluindo recomendações de segurança sobre tópicos como design de microsserviços (uma abordagem arquitetônica ao desenvolvimento de um único aplicativo como um conjunto de serviços menores) e desenvolvimento de aplicativos. Ela está sempre analisando as estruturas de nuvem existentes para criar e aprimorar métodos de segurança e colabora com os arquitetos de segurança da instituição a fim de desenvolver estruturas de segurança na nuvem para a organização. 

Ela também ajuda a impor as políticas de segurança e a implementar controles de segurança nos sistemas de nuvem, incluindo controles relativos a gerenciamento de acesso, autenticação, segurança de aplicativo, proteção de dados, gerenciamento de chaves, criptografia e firewalls. Ela trabalha com as equipes de aplicativo e infraestrutura para arquitetar a infraestrutura (rede, sistemas operacionais, bancos de dados) e os aplicativos a fim de proteger contra invasores e estabelecer e manter uma nuvem segura. Ela até põe a mão na massa na implementação de mecanismos de proteção física, por exemplo, firewalls e túneis de rede privada virtual (VPN).

Como monitorar sistemas e informar métricas

Além de implementar essas proteções de segurança, Andrea monitora a postura de segurança dos sistemas e da infraestrutura de nuvem da instituição, trabalha para detectar ameaças e auxilia na resposta a incidentes. Ela protege contra ameaças de dia zero e inspeciona tráfego criptografado e descriptografado para detectar ameaças em toda a kill chain (modelo que descreve os estágios de um ataque cibernético). Ela faz simulações de ameaças para detectar possíveis riscos e testa vulnerabilidades de segurança. Ela também configura o monitoramento de sistemas de chaves para verificar a CIA dos recursos e dos processos críticos. Ela avalia os registros de sistema e aplicativo para verificar a conclusão de trabalhos críticos agendados, por exemplo, backups.

Por fim, Andrea desenvolve, mantém e informa as principais métricas de segurança na nuvem. Alguns exemplos de métricas que ela rastreia incluem o número de dispositivos não gerenciados que têm acesso a dados confidenciais na nuvem, o número de instâncias de dados confidenciais na nuvem cujas chaves de criptografia não são gerenciadas pela organização e o número de aplicativos de nuvem não gerenciados que não têm logs para rastreamento de atividades e logins de usuários. Ela trabalha com as equipes de tecnologia e comercial para preencher as lacunas representadas por essas métricas. Ela também trabalha com a equipe de resposta a incidentes para reparar incidentes e falhas tecnológicas e recuperar-se deles, coordenando e comunicando-se com as equipes afetadas. Ela é uma super-heroína da segurança na nuvem!

Equipes de segurança na nuvem

Como engenheiro de segurança na nuvem, você costuma ser parte de uma equipe maior dedicada ao gerenciamento e à segurança baseados em nuvem. Você ensina às outras equipes os métodos de codificação adequados. Você também trabalha com equipes multifuncionais que são uma mistura de arquitetura, software e operações. 

Além disso, o uso de computação na nuvem pode indicar que um número crescente de funções de TI está sendo terceirizado. É comum uma empresa trabalhar com contratados e subcontratados para tirar proveito de habilidades especializadas, como criptografia de dados, gerenciamento de chaves e autenticação na nuvem. Em alguns casos, um engenheiro pode precisar se comunicar por telefone ou email com um colaborador técnico que trabalha na infraestrutura de nuvem em uma cidade distante. Esses parceiros de nuvem trazem especialização para o projeto que pode não estar disponível internamente. É uma estratégia eficaz, já que as tecnologias de nuvem continuam a progredir.

A importância da engenharia de segurança na nuvem

O mundo todo está ficando mais voltado para a tecnologia da computação. Quase todos os setores dependem cada vez mais de várias formas de tecnologia em suas operações diárias. Como parte desse panorama em evolução, a segurança virou uma consideração fundamental.

De acordo com a GlobeNewswire, o setor de computação em nuvem deve crescer de US$ 371,4 bilhões em 2020 para US$ 832,1 bilhões em 2025. À medida que as empresas vão se afastando do modelo de infraestrutura local para uma abordagem que prioriza a nuvem na hora de fazer upgrade ou de projetar novos ambientes, a necessidade de contratar tecnólogos com experiência de nuvem aumentou drasticamente. 

Todos os sistemas de TI conectados à internet exigem segurança forte. A nuvem é particularmente vulnerável a ataques porque a superfície de ameaças é muito ampla. Quando há aplicativos hospedados no próprio data center da empresa, a segurança é bem simples: você coloca a tecnologia de segurança adequada nos locais certos para lidar com as questões de segurança pertinentes. A segurança do data center pode ser feita com a proteção das conexões externas por meio de firewalls e sistemas de detecção contra intrusões. 

Mas no ambiente moderno de computação em nuvem distribuída, manter a segurança é muito mais difícil. No ambiente de nuvem, a segurança é uma responsabilidade compartilhada entre o provedor de nuvem e o cliente que utiliza os serviços de nuvem. 

Responsabilidades do fornecedor e do cliente

Desenhada em camadas, a segurança inclui tanto os componentes físicos quanto os lógicos. A infraestrutura de nuvem oferecida por fornecedores de Infraestrutura como serviço (IaaS, Infrastructure as a Service) é protegida de várias formas. Do ponto de vista da disponibilidade, a infraestrutura é criada pelo fornecedor para ser altamente disponível, e o tempo de atividade dela é de responsabilidade do fornecedor. Do ponto de vista da segurança, o fornecedor é responsável somente por proteger a infraestrutura que ele oferece.

Como cliente, quando você instala um ou mais aplicativos virtualizados na infraestrutura de nuvem do fornecedor, é responsável por proteger o acesso, o tráfego de rede e os aplicativos de dados. Muitos fornecedores oferecem ferramentas de segurança para proteger várias partes do ambiente de aplicativo de nuvem do cliente. No entanto, essas ferramentas podem apresentar alguns problemas.

Primeiro, elas podem oferecer apenas funções de segurança básicas, e são as mesmas ferramentas que os fornecedores usam para proteger a infraestrutura subjacente. Se um invasor contornar essas ferramentas na camada da infraestrutura, provavelmente conseguirá contorná-las também no nível do aplicativo do cliente.

Segundo, e talvez mais importante: muitas organizações operam em um ambiente híbrido em que alguns dos aplicativos ficam hospedados em seus próprios data centers, alguns na plataforma de nuvem IaaS do fornecedor, alguns na plataforma de nuvem de outro fornecedor e vários outros em vários fornecedores de Software como serviço (SaaS, Software as a Service). Isso é chamado de ambiente "multinuvem" e vem com um problema "multinuvem": várias soluções de segurança descoordenadas e independentes, um problema que pode crescer em complexidade devido ao número de fornecedores envolvidos. Isso pode apresentar um desafio de segurança sério e sublinha a importância e a necessidade de engenheiros de segurança na nuvem talentosos.

Resumo

A computação em nuvem oferece muitas vantagens aos desenvolvedores e pode ajudar a tornar a tecnologia mais acessível ao mundo. Mas para que ela seja bem-sucedida, as organizações precisam integrar a segurança na nuvem. A migração para ambientes de nuvem apresenta novos desafios e exige a reavaliação das soluções de segurança e conformidade. Isso significa muito trabalho para você, como engenheiro de segurança na nuvem, a fim de garantir a proteção das soluções de nuvem que sua organização usa. Vamos ver melhor suas responsabilidades e o conjunto de habilidades correspondente na próxima unidade. 

Recursos

Continue a aprender de graça!
Inscreva-se em uma conta para continuar.
Inscrever-se Login
O que você ganha com isso?
  • Receba recomendações personalizadas para suas metas de carreira
  • Pratique suas habilidades com desafios práticos e testes
  • Monitore e compartilhe seu progresso com os empregadores
  • Conecte-se a orientação e oportunidades de carreira
Pular por enquanto