Enquanto o assunto espionagem permanece na pauta dos gurus em segurança digital, existe uma série de assuntos paralelos, também voltados à segurança da virtualização, que merecem atenção imediata das equipes de TI. Um deles, sem dúvida, é como permanecer na nuvem de forma segura.
A computação em nuvem é uma tendência irreversível, que atrai cada vez mais organizações, de diferentes segmentos e portes, em todo o mundo — inclusive no Brasil. De acordo com estudos da consultoria IDC, os investimentos em cloud pelas empresas brasileiras deverão atingir US$ 257 milhões neste ano e crescer 74% ao ano em média, alcançando os US$ 798 milhões em 2015.
O fato é que a nuvem traz vantagens inegáveis, como a redução das despesas operacionais, implantação mais rápida de recursos computacionais, além de facilitar o gerenciamento dos processos de negócios. Aplicável a mais do que simplesmente servidores, a virtualização está se tornando mais comum entre diferentes aplicações de TI, incluindo armazenamento e desktops.
Diante desse cenário, o problema é que questões relacionadas à segurança das informações ainda preocupam muitos gestores de TI, ainda mais, após o recente escândalo sobre a espionagem norte-americana sobre o governo brasileiro, o que acabou representando um obstáculo para a sua disseminação.
O fato que hoje já existem vários processos, ferramentas e prevenções, além das certificações de segurança, que permitem proteger os dados e as aplicações na nuvem, as organizações devem estar atentas, principalmente aquelas que estão em processo de implementação. A questão inicial é verificar se esse conjunto de cuidados faz parte da solução a ser contratada. Conheça cinco itens que pode fazer diferença no momento de optar pela virtualização e manter-se seguro na nuvem.
1 – Confidencialidade, integridade e disponibilidade
A segurança da informação no cloud computing está relacionada com a proteção dos dados mantidos na nuvem Para garantir a segurança, é preciso levar em consideração e voltar a atenção para três pontos-chave: confidencialidade (fator que limita o acesso à informação), integridade (fator que garante a manutenção de todas as características originais da informação manipulada) e disponibilidade (fator que garante que a informação esteja sempre disponível para o uso legítimo).
2 – Integração com usuários
Para se alcançar um elevado grau de segurança da informação no cloud, são necessários vários níveis de proteção da estrutura. Inicie pelo controle do acesso dos usuários à nuvem, que deve incluir uma série de procedimentos. Entre eles, destacam-se a centralização dos usuários em um repositório único e a eliminação de usuários compartilhados; rotinas de verificações dos registros de acesso à rede; alinhamento do processo de admissão, demissão e manutenção dos funcionários com a área de recursos humanos; padronização da complexidade de senha para acesso dos usuários e, ainda, controle do que é acessado de fora da nuvem, entre outros controles.
3- Segurança
Parece primário, mesmo assim há muito desconhecimento sobre a implementação de um sistema de segurança para cada instância virtualizada em detrimento de esquemas que vigiam um cluster de sistemas virtuais. Optar pela execução de um centro de segurança responsável por um grupo de 30 máquinas virtuais equivale a instalar um programa para monitorar cada instância. Outra alternativa prevê a execução de um programa no servidor físico para responder pela segurança de todas as máquinas virtuais e seus sistemas operacionais
No nível da estrutura propriamente dita, é necessário proteger tanto as camadas físicas da nuvem (roteador, firewall e switch) como as virtuais, para prevenir ataques e também acesso externo, ou interno, indevido. A criação de redes locais virtuais (VLANs) segmentadas na camada do switch (físico e virtual), por exemplo, é uma medida de proteção que evita que um usuário "enxergue" os dados e aplicações de outro na nuvem. Além disso, é fundamental resguardar a camada das máquinas virtuais com aplicações de segurança.
A integridade e confiabilidade dos dados no cloud dependem de algumas medidas de extrema importância. Manter o firewall ativo com bloqueios e rotas definidas para equipamentos de fora da nuvem é uma delas. Dotar todos os equipamentos de proteção ativa contra vírus, spyware e malwares, sempre atualizados com a última versão disponível, é outra medida primordial – que deve ser seguida da manutenção de rotinas de verificação. Também é extremamente importante centralizar a distribuição de atualizações dos softwares.
4 – Criptografar ou não?
A virtualização de servidores vai muito além da chegada ao limite máximo de um terminal físico com inúmeras instâncias virtuais. É preciso criar uma rede de comunicação entre esses clientes e nesse quesito entra a criptografia.
A tendência a criptografar vem das exigências governamentais e outras políticas de privacidade, porém a criptografia dos dados que circulam entre máquinas virtuais e a nuvem (privada ou pública) são uma boa medida para fechar a porta na cara de malwares, a medida reforça a segurança, porém isso pode ocasionar uma possível queda no desempenho, daí a necessidade de avaliar cada projeto.
5 – Infraestrutura e certificações
Já a disponibilidade dos dados é garantida por outros fatores igualmente relevantes e um dos itens mais importantes para a continuidade dos negócios. É o caso da existência de mecanismos de continuidade do serviço (sistemas de energia redundante, por exemplo), da redundância dos equipamentos da rede e servidores e, também, do gerenciamento da capacidade dos equipamentos – para evitar a ocorrência de situações como a interrupção do funcionamento dos serviços devido a problemas de esgotamento da capacidade da infraestrutura. É preciso prestar muita atenção nos fatores que garantirá a continuidade das operações.
Existem alguns padrões de certificação que podem ser aplicados na nuvem, entre eles, ISO 27001, PCI (Payment Card Industry) e ISAE 3402/ SSAE 16, que auditam os processos relacionados à segurança das informações. Além disso, uma infraestrutura de cloud segura requer cuidados adicionais, como uma abordagem que leve em conta a segurança atual visando a migração futura, nos padrões da nuvem; a auditoria rotineira nos controles aplicados para segurança; a certificação de terceiros em segurança da informação e a implantação de processos eficientes que equilibrem custos mais baixos com forte proteção dos dados.
Em resumo, cuide da segurança do hypervisor da mesma forma que cuidaria em caso de máquinas físicas normais. É extremamente importante traçar diretrizes para a configuração da segurança em máquinas virtuais e físicas; regularmente, realize vistorias nos sistemas para averiguar se as regras foram atendidas. Por último em um contexto geral, realize as atualizações necessárias em toda as máquinas, virtuais ou não, e desenvolva rotinas para recuperação de sistemas sempre.
* Sérgio Leandro é especialista em segurança da virtualização e CEO da OS&T informática, consultoria em segurança, virtualização e disponibilidade da informação.