Em nossa última postagem sobre segurança de cloud abordamos alguns dos desafios da distribuição de segurança até a edge computing e como impor controles de segurança na cloud. Ao longo do último ano, intensificou-se a pressão sobre as empresas para o gerenciamento de dados de maneira mais eficaz e segura, de forma a cumprir com a evolução dos regulamentos de privacidade como GDPR e CCPA. E, então, veio a pandemia de COVID-19, forçando mais de 16 milhões de trabalhadores dos EUA a repentinamente passarem a trabalhar em casa [i], o que aumentou o risco em se tratando de dados.
A boa notícia é que nossa capacidade de aprimorar o gerenciamento de dados e a segurança em ambientes multicloud híbridos também está evoluindo. As estratégias fundamentais mais recentes para a estruturação de segurança nesses ambientes incluem:
- Agnosticismo de cloud – Garante que as soluções de segurança funcionarão em qualquer ambiente de cloud, privado ou público;
- Neutralidade de aplicativos e de tecnologia – Permite que as soluções de segurança funcionem com múltiplas tecnologias de fornecedores, bem como em uma variedade de serviços de segurança de virtualização das funções da rede (NFV) de edge;
- Secure Access Service Edge (SASE) – Concentra serviços de rede e de segurança em uma única plataforma agregada à cloud. Também identifica usuários e dispositivos e permite acesso seguro aos aplicativos apropriados. Combinada com SD-WAN, é uma estratégia que oferece segurança de rede a partir da cloud para proteção de usuários, aplicativos e dados, independentemente da localização.
Segurança Distribuída – Digital Edge Playbook
Acesse o manual que descreve como os líderes do setor estão distribuindo segurança para resolver os desafios de escala e integração. Veja como o uso de interconexão e colocation permite que os líderes do setor forneçam novos recursos de comando e controle como parte de sua estratégia na digital edge.
Baixe agoraTendo esses fundamentos para a segurança multicloud híbrida em mente, você pode implementar as recomendações a seguir para eliminar três ameaças críticas aos seus dados.
1. Evite a internet pública através da criação de conexões diretas e privadas para serviços em cloud
À medida que dados circulam entre os sistemas locais e a cloud, você não pode depender da internet pública para segurança ou desempenho. Os dados são mais vulneráveis a hackers, e você tem pouco controle sobre a largura de banda. Por meio da potencialização de data centers de colocation interconectados com densos ecossistemas de parceiros, é possível construir pontos de troca próximos a clouds, clientes, funcionários e parceiros. Você pode, então, mover os dados para onde eles precisam estar a fim de otimizar o desempenho, sem que passem pela internet pública. Também é possível implantar e conectar controles de segurança de edge para fornecer segurança onde for necessário, enquanto dimensiona facilmente esses controles para atender às demandas de largura de banda em evolução.
Os data centers Equinix International Business Exchange™ (IBX®) são instalações neutras quanto a fornecedores que o auxiliam na proteção de dados de missão crítica. Esses data centers oferecem os mais altos níveis de segurança física (5 camadas, incluindo biometria e vigilância 24 horas) e confiabilidade operacional, com um histórico de tempo de atividade superior a 99,9999%, número de liderança no setor.
Com a Platform Equinix®, a maior plataforma global de data centers interconectados e ecossistemas de negócios, você pode se beneficiar das vantagens do Equinix Cloud Exchange Fabric® (ECX Fabric®) para criar uma interconexão privada, direta e segura definida por software entre a infraestrutura distribuída de seu negócio e um vasto ecossistema digital de parceiros de negócios e provedores de serviços, incluindo mais de 1.800 redes e mais de 2.900 provedores de serviços de TI e de cloud.
2. Criptografe todo o tráfego
O SASE facilita a movimentação dos serviços de segurança para a edge e, com a crescente dependência de funcionários trabalhando em casa e de forma remota, você precisa proteger o tráfego que flui entre eles e os serviços de nuvem que acessam. As soluções baseadas em VPN corporativo nunca foram arquitetadas para suportar a quantidade de tráfego gerada hoje, então será necessária uma nova solução de VPN que seja flexível e rapidamente redimensionável. Os serviços de NFV permitem que você implante, dimensione e gerencie de maneira centralizada as conectividades de VPN e firewall – sob demanda – perto de populações robustas de usuários para garantir o desempenho.
Por exemplo, com os serviços do Network Edge da Equinix, você pode aproveitar as vantagens dos serviços de rede virtual de vários fornecedores líderes do setor na Plataform Equinix, sem o tempo ou custo de adicionar espaço, energia ou hardware. A criação de um dispositivo habilitado para SD-WAN Edge SASE pode ser realizada em minutos.
Muitas empresas utilizam o Network Edge para aproveitar as vantagens do tunelamento em IPsec para roteamento cloud-to-cloud (ou seja, de nuvem para nuvem), garantindo a segurança do tráfego entre as clouds ao mesmo tempo em que é mantido o alto desempenho por meio de interconexão direta.
Você também pode utilizar o Network Edge para configurar um firewall na frente de uma nuvem e criar um túnel em IPsec através desse firewall, a fim de garantir que, caso um ambiente de nuvem seja comprometido, os dados em seu data center ainda estarão protegidos.
3. Proteja suas chaves de criptografia
Embora criptografar dados que estejam na nuvem seja essencial, não é o suficiente. Você também precisa garantir que as chaves de criptografia estejam seguras e protegidas; isso é feito mantendo-as separadas dos dados em um serviço de nuvem. Em um ambiente multicloud, manter as chaves de criptografia separadas evita que o comprometimento de uma nuvem se espalhe para as demais. Cada provedor de serviços na nuvem (CSP, do inglês cloud service provider) oferece uma maneira para que você traga sua própria chave (BYOK, do inglês bring your own key) e desacople o gerenciamento de chaves da criptografia de dados, porém gerenciá-las através de vários CSPs pode ser difícil. Além de uma maneira centralizada de gerenciar múltiplas chaves, você quer garantir que a própria chave é criptografada quando enviada para um serviço de nuvem específico.
O Equinix SmartKey®, um serviço de gerenciamento de chaves (KMS) baseado em SaaS, oferece um fluxo de trabalho que facilita o gerenciamento de múltiplas chaves e as mantêm seguras. Oferecido na Platform Equinix, o SmartKey garante que você mantenha o controle total de suas chaves; nem mesmo os provedores de serviços ou governos possuem acesso a elas. Ainda que sua organização precise fornecer dados a terceiros – como resposta a uma intimação, por exemplo –, eles não terão acesso às chaves. O SmartKey também ajuda organizações a cumprir requisitos de governança e conformidade, como o GDPR, oferecendo ao mesmo tempo agilidade, facilidade de uso e tarifas previsíveis para um serviço de cloud.
Não há dúvida de que as infraestruturas multicloud híbridas em evolução são complexas, mas gerenciar sua segurança não precisa ser complicado. Com serviços centralizados e redimensionáveis como o ECX Fabric, o Network Edge e o Equinix SmartKey, gerentes de TI obtêm um ambiente único e centralizado para garantir a segurança dos dados em nuvem, ao mesmo tempo que mantêm o desempenho otimizado.
Para mais informações acerca do desenvolvimento de uma estratégia abrangente de segurança em cloud, leia o Distributed Security – Digital Edge Playbook.
[i] https://slackhq.com/report-remote-work-during-coronavirus
Subscribe to the Equinix Blog