Uma pesquisa da empresa de analistas Wikibon demonstra que a segurança permaneceu notavelmente estável como o principal impedimento para a adoção de nuvens públicas. Isso é algo eu lido constantemente em meu cargo atual de CEO na nova divisão cloud da minha empresa, onde eu passo muito do meu tempo trabalhando na auditoria necessária para qualificar para as certificações de segurança, conversando com analistas, etc. O que eu descobri é que, apesar de cada organização ter as suas nuances, fica claro para onde o mercado está se movimentando. Para simplificar, eu divido os requisitos em quatro (um tanto arbitrárias) categorias: Gestão de Dados, Mecanismos, Peace of Mind e Relatórios.
Gestão de Dados:
Enquanto algumas organizações continuam a estocar seus dados mais sensíveis on premise, isso não significa que os dados armazenados na nuvem não são sensíveis, e também não dá abertura para os provedores de nuvem fugirem da responsabilidade da segurança. De fato, muitas organizações demandam de forma correta que seus dados armazenados na nuvem sejam criptografados em repouso (especialmente quando hospedados em um ambiente de nuvem pública) com armazenamentos chave de criptografia em um servidor separado ou on premise. Um provedor de solução na nuvem também deve ter políticas fortes de gerenciamento de dados, retenção, migração, eliminação e padrões de comunicação. Processos adequados para treinamento , contratação e terceirização de funcionários, embora nem sempre sejam uma prioridade para os provedores de cloud que pensam em segurança, são também críticos para assegurar uma boa governança.
Mecanismos
Acesso com base em cargos é o pilar de qualquer sistema de segurança e a nuvem não é uma exceção a isso. Os administradores precisam de um sistema que permita-os atribuir permissões aos colaboradores baseadas em suas funções, com regras demarcadas de forma clara sobre quem tem acesso a cada tipo de informação, quem pode fazer edições, etc. Isso geralmente inclui integração com Microsoft Active Directory e LDAP para dar suporte a autenticação e autorização a todos os usuários e dispositivos em uma rede. A maioria dos negócios também possui a necessidade de suporte para ferramentas SSO como OpenID, Open Authorization (OAuth), SAML, Shibboleth e servidores SSO.
Peace of Mind
Talvez o componente mais crítico para entregar tranquilidade é garantir tempo de atividade contínuo para aplicações de missão crítica. Hoje, muitos SLAs de negócios especificam um mínimo de 99,5% garantido por camadas múltiplas de redundância em data centers espalhados pelo mundo. Isso também inclui fornecimento de backup e restauração em caso de desastres imprevistos, ou situação onde a demanda aumenta drasticamente por conta de fatores como campanhas de marketing sazonais ou implementação de um novo aplicativo. O sistema deve ter a capacidade de se adaptar para funcionar em picos de tráfego, evitando a queda dos canais digitais.
Relatórios
As organizações vão insistir não só em controles de acesso, mas também em logs precisos com informações detalhadas sobre quem acessou qual sistema e quando, além de alertas automáticos, em caso de comportamentos anormais ou sistemas comprometidos. Na prática, isso significa que o provedores de cloud precisam estar preparados para entregar informações sobre duração da sessão de usuários (particularmente por admin ou logins privilegiados), além de CPU e uso de memória ao longo do tempo, entre outras métricas.
Concluindo
Cloud computing se tornou um grande driver no crescimento dos negócios, especialmente na aceleração do ciclo de vida de desenvolvimento e time to market para aplicações corporativas. Apesar disso ser um desenvolvimento positivo, também significa que mais dados sensíveis estão saindo do off premise, e as empresas precisam avaliar os riscos cuidadosamente, para que não fiquem entre as empresas comprometidas por violações de segurança. Em especial, os negócios precisam entender quais certificações de segurança seus provedores de nuvem possuem, que processos eles utilizam para garantir que os dados permaneçam seguros, suas políticas em relação à entrada e saída de pessoas e a granularidade das métricas que eles fornecem aos clientes.
Não deixe nenhum desses pontos lhe assustar! A nuvem é um ambiente surpreendente e repleto de valor de negócio, mas assim qualquer outra compra, você deve à sua organização e aos seus clientes, ir nesse caminho com clareza sobre o ambiente de risco.