Fazer login no IT Mídia Redefinir senha
Bem-vindo de volta,
Digite seu e-mail e clique em enviar
Ainda não tem uma conta? Cadastre-se
Salvar em Nova pasta de favoritos

+

Criar pasta
Salvar Escolher Pasta
AWS, Google Cloud e Azure: como seus recursos de segurança se comparam
Home > Tendências

AWS, Google Cloud e Azure: como seus recursos de segurança se comparam

Cada plataforma de nuvem difere nas ferramentas e recursos de segurança que oferece aos clientes para ajudá-los a proteger seus ativos de nuvem

Neal Weinberg, CSO

29/06/2021 às 18h01

Foto: Adobe Stock

A segurança na nuvem pública é baseada no conceito de responsabilidade compartilhada: os maiores provedores de serviços em nuvem oferecem um ambiente seguro e em hiperescala, mas cabe ao cliente proteger tudo o que coloca na nuvem. Essa separação de tarefas pode ser complicada para empresas ao migrar para uma única nuvem, mas se torna ainda mais complicada em um ambiente com várias nuvens.

O desafio para os CISOs é determinar como os três grandes provedores de serviços em nuvem - Amazon AWS, Microsoft Azure e Google Cloud - diferem na maneira como fornecem uma plataforma de nuvem segura e resiliente. Qual fornece as melhores ferramentas nativas para ajudar a proteger seus ativos de nuvem?

Os especialistas concordam que todos os hiperscaladores fazem um excelente trabalho protegendo a própria nuvem. Afinal, fornecer um ambiente seguro e protegido é fundamental para seu modelo de negócios. Ao contrário das empresas com orçamento limitado, os provedores de serviços em nuvem parecem ter recursos ilimitados. Eles têm a experiência técnica e, como Doug Cahill, Analista Sênior do Enterprise Strategy Group (ESG) destaca, “dada sua presença massiva em todo o mundo, todas as zonas de disponibilidade, pontos de presença, fibra óptica escura ao redor do planeta, eles veem um incrível volume de atividades maliciosas todos os dias, o que os coloca em posição de fortalecer suas defesas com base nesse nível de visibilidade”.

Embora as três grandes tendam a manter seus processos e procedimentos internos sob controle, todas elas fazem um excelente trabalho protegendo a segurança física de seus data centers, defendendo-se contra ataques internos e protegendo a camada de virtualização na qual aplicativos e plataformas de desenvolvimento são executados, diz Richard Mogull, Analista e CEO da Securosis.

Cada um dos três fornecedores está expondo mais serviços por meio de APIs e tentando reduzir qualquer confusão ou atrito associado ao modelo de responsabilidade compartilhada. “Os ganchos existem em cada uma dessas plataformas”, diz Mogull. O desafio para as organizações é entender onde está a linha e implementar a segurança em grande escala em várias nuvens.

No entanto, existem diferenças entre as Big 3, de acordo com Mogull, que correspondem aproximadamente à sua participação de mercado relativa. A AWS é a maior, com 31% de participação de mercado. A Azure, que tem trabalhado muito para se recuperar, está em segundo lugar com 20%. O retardatário Google está em um distante terceiro lugar, com 7%, de acordo com uma análise da receita de serviços em nuvem de 2020 realizada pela empresa de análise Canalys.

Amazon Web Services (AWS)

AWS é o mais antigo e maduro dos provedores de serviços em nuvem. “A maior vantagem da AWS é que, como provedor dominante, há muito conhecimento e ferramentas disponíveis. É mais fácil obter respostas, encontrar ajuda e encontrar ferramentas compatíveis. Isso se soma à maturidade e ao escopo geral da plataforma”, afirma Mogull.

O modelo de segurança compartilhado da Amazon afirma que a empresa é responsável pela segurança da infraestrutura de nuvem subjacente e o assinante é responsável por proteger as cargas de trabalho implantadas na nuvem. Especificamente, os clientes são responsáveis por:

  • Proteger os dados do cliente
  • Proteger plataformas, aplicativos e sistemas operacionais
  • Implementar gerenciamento de identidade e acesso (IAM)
  • Configurar firewalls
  • Criptografar dados do lado do cliente, sistemas de arquivos do lado do servidor e tráfego de rede

A AWS disponibiliza uma ampla gama de serviços aos clientes:

  • Monitoramento de atividade de API
  • Inteligência básica de ameaças
  • Firewalls de aplicativos da Web (WAFs)
  • Proteção contra vazamento de dados
  • Avaliação de vulnerabilidade
  • Gatilhos de eventos de segurança para automação

A AWS também faz um bom trabalho padronizando para proteger as configurações.

Mogull acrescenta: “Dois dos melhores recursos de segurança da AWS são sua excelente implementação de grupos de segurança (firewalls) e IAM granular”. No entanto, a segurança da AWS é baseada no isolamento de serviços uns dos outros, a menos que o acesso seja explicitamente habilitado. Isso funciona bem do ponto de vista da segurança, mas a desvantagem é que torna o gerenciamento em escala corporativa mais difícil do que deveria ser e torna mais difícil gerenciar IAM em escala, diz Mogull. “Apesar dessas limitações, a AWS geralmente é o melhor lugar para começar, onde você encontra o menor número de problemas de segurança”.

Microsoft Azure

A Microsoft Azure é baseado em um modelo de responsabilidade compartilhada semelhante. Por exemplo, em um cenário de infraestrutura como serviço (IaaS), o cliente é responsável pela classificação e responsabilidade dos dados, proteção do cliente e do terminal, gerenciamento de identidade e acesso, controles em nível de aplicativo e rede. Mogull diz que a Azure é apenas um pouco “mais áspero em termos de maturidade” do que a AWS, especificamente em áreas de consistência, documentação e o fato de que muitos serviços são padronizados para configurações menos seguras.

A Azure tem algumas vantagens. O Azure Active Directory pode ser vinculado ao Active Directory empresarial para fornecer uma única fonte confiável para gerenciamento de autorizações e permissões, o que significa que tudo pode ser gerenciado em um único diretório. A desvantagem é que o gerenciamento é mais fácil e mais consistente, mas os ambientes são menos isolados e menos protegidos uns dos outros do que com a AWS. Outra compensação: o gerenciamento de acesso e identidade da Azure é muito hierárquico, pronto para uso e mais fácil de gerenciar do que a AWS, mas a AWS pode ficar mais granular, diz Mogull.

A Azure tem dois outros recursos que são importantes para usuários corporativos: os logs de atividades cobrem o console e a atividade da API para toda a organização por padrão em todas as regiões. Além disso, o console de gerenciamento da Central de Segurança da Azure cobre toda a empresa e pode ser configurado para que as equipes locais possam gerenciar seus próprios alertas.

Nuvem do Google

O Google Cloud foi “desenvolvido com base na engenharia de longo prazo e nas operações globais do Google, que são incrivelmente impressionantes”, diz Mogull. O Google oferece ferramentas de segurança integradas sólidas, incluindo:

  • Prevenção de perda de dados na nuvem
  • Gerenciamento de chave
  • Inventário de ativos
  • Encriptação
  • Firewalls
  • Máquinas virtuais protegidas.

O Google Security Command Center fornece visibilidade e controle centralizados, permite que os clientes descubram configurações incorretas e vulnerabilidades, monitora a conformidade e detecta ameaças. O Google oferece monitoramento de primeira linha e análise de registro por meio da aquisição do Stackdriver (agora expandido e rebatizado de Operações do Google Cloud). Também oferece controles de identidade e acesso por meio de sua plataforma BeyondCorp Enterprise Zero Trust.

No entanto, a participação de mercado de 7% do Google é um problema porque há menos especialistas em segurança com profunda experiência no Google Cloud, o que se traduz em uma comunidade menos robusta e menos ferramentas, diz Mogull. Ele acrescenta que o Google Cloud oferece forte centralização e padrões para configurações seguras, que são considerações importantes. Em geral, o Google Cloud “não é tão maduro quanto o AWS” e não tem a mesma variedade de recursos de segurança.

Treinamento interno e habilidades são essenciais

Os hiperscaladores fornecem às empresas as melhores práticas, diretrizes, controles nativos, ferramentas, visibilidade em logs de fluxo e podem até alertar uma organização para o fato de que houve uma configuração incorreta, mas “o assinante é responsável por agir de acordo com as práticas recomendadas, para responder a alertas, para empregar controles apropriados para proteger todos os ativos que você coloca na nuvem”, diz Cahill.

Isso significa que você terá responsabilidades contínuas, incluindo "gerenciar cuidadosamente os controles de acesso, monitorar seu ambiente de nuvem em busca de ameaças à segurança, realizar testes de penetração regulares e treinar exaustivamente seus funcionários nas melhores práticas de segurança em nuvem", disse Michelle Moore, Diretora Acadêmica do Mestrado em Ciência em Operações de Segurança Cibernética e Programa de Liderança da Universidade de San Diego.

Mogull concorda que desenvolver experiência interna em cada nuvem pública é importante. Ele diz que existem três erros críticos que as empresas cometem ao implementar a segurança na nuvem:

  1. Pensar que a segurança da nuvem é como o que você está fazendo atualmente em seu data center ou nuvem privada. “Cada plataforma é fundamentalmente diferente. Superficialmente, as coisas parecem familiares, mas por baixo do capô não são familiares”. As organizações devem desenvolver um conhecimento profundo da plataforma de tecnologia para ter sucesso na nuvem. “Não há chance de sucesso a menos que você tenha as habilidades”, diz Mogull.
  2. Mover-se para um mundo com várias nuvens antes que a organização esteja pronta. Se uma empresa deseja mudar para três nuvens, ela precisa desenvolver a experiência interna em todos os três ambientes de nuvem. Mogull recomenda que as empresas levem isso com calma e acumulem experiência em uma nuvem antes de pular para a próxima.
  3. Sem foco na governança. A maioria das violações relacionadas à nuvem envolve credenciais perdidas ou roubadas, o que é, em última análise, uma falha de governança.

Cahill concorda. “Você está terceirizando seu data center para um terceiro. Existe um nível de abstração. Você está interagindo com APIs para serviços”. Ele acrescenta que os maiores erros que as organizações cometem são configurar incorretamente os serviços de nuvem, configurar incorretamente os armazenamentos de objetos (baldes S3 abertos) e deixar credenciais ou chaves de API em repositórios públicos. Muitas vezes, os consoles de nuvem são protegidos por senhas fracas, em vez de autenticação multifator.

Cahill oferece estas recomendações para proteger os dados corporativos na nuvem:

  1. Torne-se fluente no modelo de responsabilidade compartilhada de segurança em nuvem; entenda onde estão as linhas.
  2. Concentre-se em fortalecer as configurações de nuvem.
  3. Implemente o acesso com privilégios mínimos para identidades de nuvem humanas e não humanas.
  4. Implemente automação para que a segurança acompanhe a velocidade do DevOps; automatize a integração de segurança em todo o ciclo de vida do aplicativo.
  5. Certifique-se de que a implementação de segurança pode ser repetida entre as equipes. Grandes organizações têm várias equipes de projeto que implementam seus próprios controles de segurança.
  6. Use uma abordagem de cima para baixo para obter consistência nas políticas de segurança em todas as equipes de projeto.

Snippets HTML5 default Intervenções CW
Vai um cookie?

A CIO usa cookies para personalizar conteúdo e anúncios, para melhorar sua experiência em nosso site. Ao continuar, você aceitará o uso. Para mais detalhes veja nossa Política de Privacidade.

Este anúncio desaparecerá em:

Fechar anúncio

15