Home 01 - Conceitos 01 - Redes 12 - Seguranca de Redes 06 - Ambientes Específicos 01 - Segurança em Nuvem

Os modelos de serviço em nuvem (IaaS, PaaS e SaaS) são formas distintas de entrega de recursos computacionais, e cada um redefine as responsabilidades de gestão e segurança entre o cliente e o provedor.

Abaixo, detalho como esses modelos são descritos no contexto da segurança:

1. SaaS (Software as a Service)

  • Definição: É o modelo mais próximo do usuário final, onde softwares como e-mail e ferramentas de colaboração são entregues via web ou aplicativos móveis.
  • Segurança e Gestão: O gerenciamento é centralizado pelo provedor, que cuida de toda a infraestrutura subjacente. O uso de SaaS depende de as diretrizes da empresa permitirem a hospedagem de dados externamente e de o provedor garantir os acordos de nível de serviço (SLA) e requisitos de segurança necessários. Um exemplo comum citado é o G Suite, que permite o armazenamento e compartilhamento seguro de documentos na plataforma on-line.

2. PaaS (Platform as a Service)

  • Definição: Oferece um ambiente completo para criar, hospedar e gerir softwares próprios, sendo ideal para equipes que trabalham de forma colaborativa e precisam de integração com bancos de dados complexos.
  • Foco na Segurança: Por ser uma plataforma de desenvolvimento, permite a atualização e o acesso aos aplicativos hospedados de forma segura via dispositivos móveis. É recomendado quando o projeto exige um ambiente computacional complexo que deve ser acessado por diversos desenvolvedores simultaneamente.

3. IaaS (Infrastructure as a Service)

  • Definição: Representa a migração do datacenter local para servidores on-line na nuvem, onde a empresa paga apenas pelo que consome e possui escalabilidade total.
  • Categorias de Nuvem: O IaaS pode ser implementado em nuvens públicas (gerenciadas pelo provedor), nuvens privadas (particulares e com maior controle de personalização) ou nuvens híbridas (combinando ambas conforme a necessidade). A segurança física e a manutenção do hardware ficam a cargo do provedor, permitindo que a empresa foque em seu core business.

O Contexto Amplo de Segurança na Nuvem

Independentemente do modelo (IaaS, PaaS ou SaaS), as fontes destacam desafios críticos de segurança conhecidos como os “sete pecados mortais” da computação em nuvem:

  • Vulnerabilidades Compartilhadas: Em ambientes de nuvem, uma única configuração equivocada pode ser replicada para vários servidores e máquinas virtuais devido ao uso de tecnologias compartilhadas.
  • APIs Inseguras: Interfaces de programação (APIs) mal desenvolvidas podem ser exploradas por invasores para sequestrar contas e acessar dados.
  • Ameaças Internas: Funcionários do provedor com intenções maliciosas ou falta de treinamento representam um risco à integridade dos dados.
  • Perda ou Vazamento de Dados: Pode ocorrer devido ao mau funcionamento das APIs, gestão fraca de chaves criptográficas ou ausência de políticas de destruição de dados.

Para mitigar esses riscos, a governança na nuvem deve se basear no modelo AAA (Autenticação, Autorização e Auditoria), garantindo que se saiba quem é o usuário, o que ele pode fazer e mantendo registros (logs) para rastreabilidade de todas as ações executadas. Além disso, tecnologias como firewalls virtuais e a microssegmentação (via SDN) são fundamentais para proteger o tráfego entre máquinas virtuais e reduzir a superfície de ataque.