A operadora de data center Rackspace leva muito a sério a segurança física de sua empresa. Em uma publicação sobre o assunto no início deste mês, a empresa, que não quis ser entrevistada para este artigo, destacou alguns dos procedimentos de segurança padrões que segue para se certificar que pessoas de fora, e até mesmo funcionários desonestos, não tenham acesso aos dados de seus clientes. Dentre as medidas estão a autenticação de dois fatores biométricos, vídeo vigilância em toda a empresa e revisões de acesso mensais. “A segurança na nuvem não é apenas virtual,” Jim Battenberg, o especialista em nuvem da Rackspace, escreve na publicação. “Há um grande número de controles físicos que devem ser realizados para certificar a segurança da computação na nuvem.” Não é de se admirar: uma sucessão de roubos em servidores de data center atingiu a indústria em 2008 e serviu de lição para a empresas fortalecerem sua segurança. Dentre as vítimas, a instituição financeira HSBC, serviços de hosting da Cable & Wireless e até o website do Peter Gabriel. Os funcionários também são uma ameaça. Enquanto uma violação física pode não ser o maior risco de uma empresa, e nem está entre os cinco maiores riscos, ainda é uma questão significativa, disse Rocky DeStafeno, CEO da consultora de segurança VisibleRisk, pois funcionários são subornados regularmente por conta de seus acessos à informação. “O problema é que o custo de subornar alguém para se ter esses dados é muito pequeno,” informa. “O custo de uma informação extremamente secreta é quase sempre em centenas de dólares por segredo, não milhões.” E para isto, as medidas de segurança da Rackspace – ou de qualquer outro provedor – poderiam provavelmente ser evitadas com um único pedaço de papel: um mandado de busca ou mais drasticamente, a carta de segurança nacional, utilizada para perseguir espiões e terroristas. Em junho de 2011, por exemplo, a Instapaper perdeu o uso de um servidor porque foi levado durante uma incursão do FBI. As empresas mudam para a nuvem para se tornarem mais eficientes, gerenciar melhor seus dados e ganhar facilidade de acesso de qualquer lugar. Infelizmente, estão abrindo mão do controle sobre o acesso a suas informações, informa Oded Horovitaz, co-fundador e CEO da startup PrivateCore. Até mesmo dados encriptados, para serem processados por aplicativos na nuvem, devem ser descriptados e isto significa colocá-los em risco. “Os provedores de nuvem podem dizer que possuem a melhor segurança física no mundo, mas como saber disso?” questiona o empresário. “Não é que a segurança física seja diferente porque está na nuvem. A diferença é que não é você quem está fazendo, é outra pessoa que faz por você. E agora você tem que confiar nesta pessoa com relação à segurança física.” A PrivateCore visa permitir que as empresas atestem que seus dados estão seguros. Utilizando a Tursted Execution Technology (TXT) da Intel, a PrivateCore criou seu próprio hipervisor de segurança que permite à empresa controlar e manter a segurança em suas próprias máquinas virtuais privadas, mesmo se estiverem rodando em uma infraestrutura em nuvem pública. A tecnologia da empresa permite encriptar qualquer código ou dado na memória, informa Horovitz, e fornece um hipervisor de segurança com uma superfície de ataque muito pequena. Os dados sensíveis estão apenas decriptados dentro de um processador que está baseado em uma tecnologia de computação confiável. A tecnologia permitirá às empresas confiarem na segurança da máquina virtual rodando na nuvem, desde que estejam em plataformas confiáveis, explica o empresário. “Fazemos de uma maneira que você não precisa confiar em nada além do que estiver dentro da CPU,” disse. “A menos que esteja encriptado, mesmo a memória do sistema não pode ser confiada.” Em junho do ano passado, a PrivateCore obteve US$2,25 milhões em financiamento inicial para desenvolver a tecnologia. A tecnologia parece interessante, mas a segurança deve depender da implantação e em como as chaves são gerenciadas, disse DeStafeno da VisibleRisk. Até que estejam prontas para adotar tais tecnologias, as empresas podem solicitar que seus provedores atestem certas medidas de segurança, talvez a mais importante dentre elas seja uma pista de auditoria de quem acessa os servidores dos clientes. “Uma das coisas mais simples é questionar o detalhamento da auditoria de quem está acessando os sistemas,” disse. “Se há acesso fora da auditoria, então facilita o roubo de dados pelos funcionários.”
Fonte: CRN Brasil.
Reviewed by Consultor de Segurança Eletrônica
on
09:25:00
Rating:
Nenhum comentário: