Logo
Logo

Segurança da nuvem

06.08.2023 - 09:46:28
WhatsAppFacebookLinkedInX

O controle de acesso a aplicações, APIs (Application Programming Interfaces) e outros recursos digitais na nuvem é um dos maiores desafios de CISOs do Brasil e do mundo. Estudo do IDC de dezembro de 2021 revela que, dos 800 líderes de tecnologia entrevistados, 50% afirmaram que 25% de todas as violações sofridas exploraram inconsistências no controle de acesso. Para os CISOs de empresas com mais de 20.000 colaboradores, a marca é ainda maior: 50% das violações surgiram de problemas com o controle de acesso.
 
Ambiente distribuído por natureza, a nuvem precisa de uma rigorosa política de acesso de usuários para efetivamente estar protegida. Estudo do Ponemon Institute construído a partir de entrevistas com 662 líderes de ICT Security dos EUA, em 2021, enfatiza que, para 62% deste universo, Cloud Account Takeovers são um dos maiores riscos para a integridade dos dados de suas organizações. A partir da apropriação ilícita das credenciais de identidade de um usuário, gangues digitais conseguem realizar acessos indevidos ao patrimônio de dados das organizações. Uma resposta de múltipla escolha demonstra o efeito cascata de falhas no controle de acesso à nuvem:  59% dos entrevistados sofrem com roubo de dados críticos, 56% reclamam de interrupções nos processos de negócios e 40% pagam o preço de danos à marca causados por esse tipo de ataque.
 
Na economia de APIs, com aplicações trocando dados entre si por meio dessas linguagens, o controle de acesso também é crítico. A edição 2023 do relatório State of APIs, da Postman, realizado a partir de entrevistas com 40.000 desenvolvedores e gestores de TI de todo o mundo, coloca as dificuldades com o controle de acesso às APIs no topo das preocupações de segurança deste universo. Numa resposta de múltipla escolha, 30% indicaram que falhas de autenticação, autorização ou controle de acesso de APIs são suas maiores preocupações.
 
Rigorosas políticas de segurança
 
Neste contexto, é essencial implementar políticas de controle de acesso rigorosas, que determinam quem tem acesso a dados e como esses ativos podem ser usados. Em um ambiente de nuvem, as políticas são uma ferramenta importante para a minimização de riscos. A meta é manter o maior nível possível de proteção.
 
A premissa básica do controle de acesso é limitar a maneira como os usuários podem mover-se em uma rede e acessar bases de dados. Isso é feito a partir de parâmetros estabelecidos pelos administradores. Permissões são concedidas aos usuários segundo esses parâmetros. Um bom exemplo é limitar o acesso a dados financeiros de modo que somente funcionários do departamento de contabilidade possam visualizá-los. Esse acesso é proibido para todos os demais.
 
Em um cenário de proteção de nuvem, o controle de acesso atende a dois propósitos. Primeiro, limita o modo como os usuários internos da rede podem acessar e utilizar os dados. Segundo, mantém afastados os invasores externos. O controle de acesso reduz certos tipos de ameaças à segurança cibernética trancando suas portas para hackers que, de outra maneira, poderiam obter acesso inicial a uma rede.
 
Diferentes tipos de controle de acesso
 
Uma proteção robusta da nuvem utiliza diversas formas de controle de acesso. A forma mais comum é controle de acesso com base em função (RBAC). Esse modelo específico atribui papéis (direitos e proibições) a usuários da rede com base nos seus cargos. Funções típicas incluem categorias como administrador, assinante e usuário. As equipes de segurança cibernética podem criar todos os tipos de funções com base nas necessidades da sua organização.
 
Poderá haver funções diferentes para administradores sênior e para pessoal de segurança de TI menos privilegiado. Poderá haver funções diferentes para gerentes de alto, de médio e de baixo escalão. As possibilidades são infinitas.
 
Além do RBAC, outras formas de controle de acessos incluem:
 

  • Controle de acesso com base em atributo – (ABAC) – As permissões são atribuídas com base nos atributos do usuário. Os atributos poderão ser qualquer coisa, desde nome do departamento até nome do cargo.

 

  • Controle de acesso com base em tempo (TBAC) – O acesso interno é concedido com base em uma quantidade de tempo predeterminada. Por exemplo, o acesso irrestrito a todos os dados poderá ser concedido durante períodos de manutenção noturna. Em todos os outros momentos são seguidas as políticas padrão.

 

  • Controle de IP – O acesso é concedido ou bloqueado com base no endereço IP do usuário. Os administradores criam whitelists e blacklists para simplificar o controle de tráfego.

 
Todo modelo de controle de acesso tem uma coisa em comum: estabelece parâmetros pelos quais as permissões de acesso a dados são, então, atribuídas aos usuários. Nenhum usuário consegue obter acesso a dados, ou até mesmo a locais da rede, sem as permissões corretas.
 
O controle de acesso deve ser uma política padrão em todo ambiente de nuvem. Uma nuvem não protegida por meio de controle de acesso é vulnerável por natureza. Tudo que um hacker precisa fazer é entrar na nuvem. Quando ele o consegue, o resultado é imprevisível.
 
O fim do perímetro veio com a era da infraestrutura digital fluida – muitas vezes baseada em software – e distribuída, com usuários acessando dados críticos a partir de qualquer ponto geográfico e qualquer tipo de dispositivo. Essa realidade só pode avançar na postura de segurança quando o controle de acesso é algo sustentado 24×7, qualquer que seja o modelo da nuvem utilizado (pública, híbrida, privada, cloud, edge, fog).
 
*André Kupfer é Líder Latam de Engenharia de Vendas na Hillstone.

compartilhar
WhatsAppFacebookLinkedInX
por André Kupfer

*

Mais Lidas
Postagens Relacionadas
Leonardo Ribeiro
24.02.2026
Quaresma: rumo ao deserto para escutar e viver

Com a graça de Deus iniciamos, unidos com a Igreja, o Tempo da Quaresma. Como todos os anos, neste período de quarenta dias, somos convidados a mergulhar com intensidade e coração aberto neste tempo propício de revisão de vida e conversão pessoal. A própria Liturgia da Quarta-Feira de Cinzas, que marca o início da Quaresma, […]
Ricardo Menegatto
17.02.2026
Prejuízos causados por eventos climáticos: quais são os direitos do consumidor?

Os alertas da Defesa Civil sobre tempestades severas tornaram-se parte da rotina de moradores de São Paulo e de diversas capitais brasileiras. Com eles, cresce também a apreensão quanto à possibilidade de quedas de energia elétrica e aos prejuízos que podem atingir residências, comércios e até a saúde de pessoas que dependem de equipamentos essenciais. […]
Carla Conti
14.02.2026
Educar com consciência planetária é um compromisso com a vida

A universidade é, historicamente, a casa do conhecimento. É nela que se formam profissionais de todas as áreas e onde se outorgam diplomas que autorizam a atuação no mundo. Mas esse gesto formal carrega uma responsabilidade que vai muito além da formação técnico-científica. Em um cenário marcado por crises ambientais, desigualdades sociais persistentes e pelo […]
Anna Carolina Cruz
13.02.2026
O tempo que não temos

Há dias em que a alma pede silêncio. Não o silêncio da ausência de barulho, mas o silêncio da consciência que desperta. Tenho pensado muito na forma como estamos vivendo. Corremos como se houvesse um incêndio permanente, como se cada mensagem ou e-mail não respondido fosse o fim do mundo, como se cada prazo fosse […]
Bruno D´Abadia
12.02.2026
Gestão de dados fortalece operadoras de saúde

O setor de saúde suplementar vive uma transição decisiva. Transparência, integridade da informação e precisão técnica deixaram de ser apenas exigências regulatórias e passaram a influenciar diretamente a sustentabilidade e a credibilidade das operadoras. Em um ambiente cada vez mais monitorado, dados corretos não são apenas números enviados à Agência Nacional de Saúde Suplementar (ANS). […]
Ralph Rangel
12.02.2026
O Homo Instagramabilis: O crepúsculo da inteligência

Houve um tempo em que o ser humano era definido pela sua capacidade de busca: a busca pelo abrigo, pelo fogo, pela forma de armazenar o alimento, pela verdade, pelo conhecimento profundo, enfim, éramos buscadores. Hoje, essa trajetória evolutiva parece ter sofrido um curto-circuito. Estamos testemunhando a ascensão de um novo tipo de pária social: […]
Luciana Brites
11.02.2026
Por que as crianças estão perdendo habilidades motoras na era digital?

O aumento do uso de tablets e celulares reduz o tempo de brincadeiras físicas, prejudicando o desenvolvimento motor e cognitivo. Por este motivo, temos notado que muitas crianças estão perdendo habilidades motoras. As atividades para coordenação motora são essenciais para desenvolver a integração de movimentos e a precisão no controle muscular. A coordenação motora global […]
Mardonio Pereira da Silva
10.02.2026
Quando o ódio invade a sala de aula: violência, feminicídio e a negação do Direito em um Estado Democrático

A morte brutal da Professora de Direito e policial civil, Juliana Santiago, assassinada dentro da sala de aula por um aluno do 5º período, não é apenas um crime hediondo: é um ataque frontal ao Estado Democrático de Direito. A barbárie ocorrida no ambiente universitário rompe todas as fronteiras do aceitável e impõe uma reflexão […]