Quão segura é a nuvem?

Andres Bang do LinkedIn, Gary Clark da Juniper, Tom Leighton da Akamai, Gordon Ritter da Emergence Capital e Cristina Alesci da Bloomberg

Quão segura é a nuvem? Vários participantes do painel da Bloomberg Enterprise Technology Summit da semana passada falaram sobre esse assunto, especialmente após as revelações de Snowden e a violação do Target. A maioria se mostrou otimista quanto ao potencial dos provedores de nuvem pública em oferecer segurança melhor do que quase qualquer serviço de dados interno. No entanto, mesmo os mais otimistas reconheceram que muitas empresas se sentem mais confortáveis ​​com mais controle sobre seus dados.

Por exemplo, Andres Bang, chefe de sistemas globais de vendas e operações do LinkedIn, disse que sua empresa era um grande cliente de serviços de nuvem pública e, como tal, dependia de tais fornecedores. Mas, ele disse, a empresa manteve as informações de seus membros em uma nuvem privada, para ter mais controle. Gary Clark, CTO de TI da Juniper Networks, disse que vê muitos departamentos de TI evoluindo para agentes de serviços em nuvem, com 80% ou mais de seus aplicativos na nuvem e o restante em uma nuvem privada. Em termos gerais, ele viu empresas mantendo suas informações mais privadas internamente.

Dependendo da segurança no data center, existe um modelo que está prestes a falhar, de acordo com Tom Leighton, CEO e co-fundador da Akamai Technologies. Não basta se defender apenas de produtos no data center; você precisa interceptar e processar antes que ele entre no data center.

CIA: Você é "tão forte quanto o seu elo mais fraco".

Gus Hunt, ex-diretor de tecnologia da CIA

Em outra sessão, Gus Hunt, ex-diretor de tecnologia da Agência Central de Inteligência (CIA) e atual CEO da Hunt Technology, observou que todos os grandes provedores de nuvem têm segurança "realmente excelente", porque precisam disso para atrair clientes. Ele falou sobre como a CIA estava usando a nuvem da Amazon, embora em uma cópia especial que a Amazon gerencia atrás dos muros da CIA (que por sua vez são protegidos por armas e outras seguranças físicas).

Mas ele observou que a segurança "é tão forte quanto o seu elo mais fraco". Ele explicou que, se você tiver uma carga de trabalho com uma vulnerabilidade em cima de um provedor de nuvem, essas vulnerabilidades continuarão a existir. Mas uma vulnerabilidade em uma carga de trabalho não afeta outras na nuvem. Então, ele disse, proteger suas próprias cargas de trabalho continua sendo uma tarefa crítica.

Hunt disse que a questão da segurança está se tornando "algo intratávelmente difícil e difícil" e disse que é realmente difícil para qualquer empresa descobrir como se proteger. Então, ele viu o surgimento de empresas de segurança como serviço que instrumentarão sua rede e controlarão a segurança. Mas ele disse que essa é uma "corrida armamentista sem atrito", com informações sendo compartilhadas sobre coisas como malware quase instantaneamente, tornando cada vez mais difícil.

No final, ele disse, vamos nos concentrar mais na proteção de dados do que em redes. "São os dados, estúpidos", disse ele. Precisamos fazer com que seja difícil encontrar os dados. Mas se alguém passar, ele precisa ser rapidamente detectado e corrigido.

A longo prazo, Hunt disse que as pessoas ganharão mais controle sobre seus dados e sua privacidade, graças a técnicas como criptografia e descriptografia e a capacidade de falsificar locais. Isso é ótimo para os cidadãos, ele disse, mas apresenta grandes desafios para a aplicação da lei. "Você poderá controlar seus dados até um ponto preciso".

Mitigação de riscos e o "efeito neve"

Wade Baker da Verizon Enterprise Solutions, Mike K. Brown da BlackBerry, Dr. Burt Kaliski Jr. da VeriSign, John N. Stewart da Cisco

John N. Stewart, diretor de segurança da Cisco observou que um problema é que não temos uma boa definição de bom ou ruim na segurança da empresa; portanto, é difícil comparar a segurança de um provedor de nuvem para uma nuvem corporativa. E Wade Baker, diretor gerente de pesquisa e inteligência da Verizon Enterprise Solutions, disse que, embora os problemas de segurança possam ocorrer na nuvem, isso geralmente não importa, porque raramente é causado pela nuvem.

Burt Kaliski, diretor de tecnologia da VeriSign, também trouxe o conceito de mudar para uma "abordagem centrada em informações", com muitos mecanismos de proteção, mas mantendo a maior parte disso invisível para o usuário final.

Segundo Stewart, a segurança na nuvem apenas traz "todos os pecados que não resolvemos" à frente, citando problemas como o problema de nomes de usuário e senhas. Ele disse que as empresas estavam muito focadas no perímetro - o "exterior duro e crocante" - não no centro de seus dados, e isso teve que mudar. Ele observou que a proteção dos dados obteve uma má reputação com o DRM, mas pode ser muito importante. Mas ele alertou: "a maioria dos usuários não se preocupa com riscos, eles se preocupam em fazer seu trabalho da maneira mais eficiente".

Existem muitos outros fatores importantes na segurança da empresa, disse Kaliski, incluindo um bom gerenciamento de informações, com foco na confiança de todos os elementos de um sistema, auditoria e gerenciamento de chaves.

Todos concordaram que o "efeito Snowden" chamou a atenção para questões de segurança, com muitos consumidores internacionais agora vendo os EUA como maus, enquanto outros pensam que isso significa que os EUA sabem como consertar as coisas.

Raimund Genes da Trend Micro, Rick Howard da Palo Alto Networks, Cedric Leighton anteriormente da NSA, Michael Riley da Bloomberg News

Outra sessão apenas sobre o impacto de Snowden se seguiu, com a principal preocupação de que isso estava levando à "tribalização da Internet", de acordo com o coronel Cedric Leighton, ex-diretor adjunto de treinamento da NSA e agora CEO da Cedric Leighton Associates. Ele observou que a Internet foi projetada para ser global, mas agora estamos ouvindo coisas como "nuvem alemã" ou "nuvem suíça", além do "grande firewall da China". As revelações de Snowden serviram de desculpa para renacionalizar as coisas, disse ele, e isso está fazendo um desserviço significativo ao mundo e à Internet, com muitas conseqüências não intencionais.

Raimund Genes, diretor de tecnologia da Trend Micro, observou que Snowden também iniciou uma discussão sobre segurança em geral. "Se Snowden pode obter documentos da NSA, o que diz sobre a nossa indústria?" ele perguntou. Ele falou sobre o quão difícil era confiar em empresas internas e a necessidade de criar uma Internet mais segura em geral, dizendo que ele achava que o governo tinha um papel.

Ele concordou que a "Internet foi criada para ser global" e disse que algumas das novas regras européias projetadas para manter os dados dentro de seu país ou região de origem são ridículas.

Enquanto ele e Leighton concordavam que o governo tinha um papel em tornar a Internet mais segura, Rick Howard, diretor de segurança da Palo Alto Networks, disse que todo o incidente provou que o setor fez um bom trabalho em fornecer segurança e disse que os fornecedores como é preciso melhorar a integração da segurança em mais soluções. "Os clientes terão que ter certeza, independentemente do que o governo faça", disse ele.