Segurança em nuvem: melhor do que imaginamos?

A computação em nuvem foi reprovada em um teste de segurança, relata Tim Wilson, da Dark Reading. Isso não deve surpreender ninguém. O senso comum diz que a nuvem é insegura por natureza. Mas será mesmo? Ou será que cloud computing é, na verdade, mais segura do que os ambientes tradicionais de TI? Um número crescente de tecnólogos insiste em tal afirmação. E não são fornecedores de nuvem ou marketeiros ou startups que apostam no modelo. Eles são alguns dos tecnólogos seniores de órgãos governamentais americanos, incluindo agência de inteligência e forças armadas, que seriam os últimos lugares de onde esperaríamos tais comentários.

A lista de executivos avaliando as vantagens de segurança em nuvem cresceu e agora inclui o CIO federal Steven Van Roekel; o general Keith Alexander, diretor da Agência Nacional de Segurança e do U.S. Cyber Command; o CTO da CIA, Gus Hunt; pesquisadores de segurança do NIST [Instituto Nacional de Padrões e Tecnologia], Peter Mell e Dr. Ronald Ross; e o ex-diretor administrativo da NASA, Mike McConnell.

Seus comentários sobre segurança em nuvem são, geralmente, seguidos pela afirmação ?se feito corretamente?. Em outras palavras, segurança em cloud é possível, apenas, com a combinação de vigilância, melhores práticas e tecnologia, incluindo criptografia, patching e monitoramento.

A mudança para computação em nuvem é uma oportunidade a ser repensada desde a base para rearquitetar redes e data centers, de forma que lacunas existentes sejam eliminadas. Agentes federais estão ajudando com um crescente conjunto de diretrizes como o documento do NIST, de 68 páginas, sobre segurança em nuvem e controles exigidos como parte do futuro programa de autorização de segurança FedRAMP.

O CTO da CIA, Gus Hunt, fala sobre a mudança, de forma periódica e automática, a carga de trabalho e sobre re-imagem de máquinas como uma forma de criar uma ?superfície de ataque polifórmica? que confundiria possíveis tentativas de ataque, já que seria impossível saber o que está rodando em qual servidor físico em momento nenhum.

Hunt não é nenhum profissional de TI sem importância e a CIA não pode se dar ao luxo de ser negligente com a segurança de seus dados e sistemas. ?Somos paranóicos com bons motivos?, avalia Hunt, durante o evento GovCloud 2011, promovido pela InformationWeek EUA, em outubro último. ?Realmente existe gente atrás da gente. E não estou brincando, quando informações sigilosas vazam, pessoas morrem.?

Alexander disse que a computação em nuvem pode aprimorar patching entre redes e trazer outros benefícios. ?Oferece melhor visibilidade e consciência situacional?, comentou durante um recente evento da Agência de Projetos de Pesquisa Avançada em Defesa, dos EUA. ?Mais importante, se vocês soubessem como fazemos patching hoje, vocês iriam rir ou chorar, porque leva meses. Precisamos de uma forma dinâmica para isso e a nuvem nos permite um processo muito mais rápido.?

Tais conceitos se aplicam, em especial, a nuvem privadas, não públicas. Mesmo assim, Mell, do NIST, um dos criadores do programa FedRAMP, argumentou que confiar dados aos engenheiros de ?nível internacional? da Amazon, Google e Microsoft pode ser mais seguro do que mantê-los em data centers proprietários.

Nem todo mundo está preparado para esse pensamento, é claro. Em um recente evento sobre cibersegurança, em Baltimore (EUA), alguns participantes zombaram da visão de Alexander sobre computação em nuvem. O contra-argumento: consolidação e virtualização podem tornar o ambiente de TI mais gerenciável, mas também criam um alvo maior para engenharia social e outros tipos de ataque.

E o NIST, apesar do otimismo de seus pesquisadores de nuvem, oferece seu próprio conselho: ?O ambiente de computação em nuvem apresenta desafios únicos de segurança?, declarou o Instituto em um documento emitido recentemente sobre o modelo. ?A arquitetura, o potencial de escalonamento, a dependência de rede, o nível de terceirização e o compartilhamento de recursos são aspectos da computação em nuvem que tornam prudente a reexaminação dos controles atuais de segurança?. Prudente? Isso é muito vago. Profissionais de TI que não prestarem a devida atenção aos controles de segurança na nuvem colocam a organização em risco extremo.

Se feito corretamente, no entanto, a nuvem pode ser bem mais segura do que modelos tradicionais de data center. Essa é a visão de influentes líderes de TI dentro de agências governamentais de inteligência e defesa. Talvez seja o momento de pensar melhor sobre os potenciais benefícios de segurança da nuvem, e não apenas sobre os possíveis problemas.

Tradução: Rheni Victorio