As promessas da cloud computing são irresistíveis. Criar servidores, backups com um clique e não se preocupar com compra de hardware são experiências tentadoras, mas o que se ganha em conveniência, perde-se em controle. Afinal, o que está por trás dos bastidores da computação em nuvem?
Inicialmente, as empresas estavam com o pé atrás de migrar para a nuvem por preocupações básicas, como segurança e privacidade. E embora a nuvem tenha se tornado estratégia primária de TI atualmente, muitos desses receios persistem.
Confira 12 segredos de segurança obscuros da cloud computing.
Falhas de segurança continuam existindo
As nuvens executam os mesmos sistemas operacionais que desktops ou servidores independentes. Se há um backdoor no Ubuntu 14 que permite que alguém invada uma máquina, é quase certo que o mesmo backdoor permitirá que uma pessoa mal intencionada acesse a versão rodando na nuvem. Os serviços de nuvem foram projetados para serem intercambiáveis com o hardware privado e, infelizmente, os bugs também fazem parte do pacote.
Falta de certeza sobre o que é executado
Quando você ligou sua máquina na nuvem, clicou no botão do Ubuntu 18.04 ou talvez no botão do FreeBSD. Mas você tem certeza de que está executando a distribuição padrão? Um amigo que trabalhou com a instalação de harware compartilhado afirma que sua empresa inseriu contas secretas em suas distribuições e depois interferiu nas rotinas padrão do UNIX, para garantir que suas atividades fossem invisíveis. Ele disse que as versões com defeito foram criadas para melhorar a experiência do cliente, mas é claro que a medida também poderia ser usada para fins duvidosos.
Confiar no provedor de nuvem tem que ser incontestável. É preciso ter uma crença sólida em sua incorruptibilidade. Infelizmente, é mais difícil ter a mesma certeza sobre as pessoas.
Falta de controle sobre camada extra
As plataformas de nuvem geralmente contam com uma camada extra de software localizada no sistema operacional - e o usuário não tem qualquer controle sobre ela. Você pode ter acesso root ao SO, mas não sabe o que está acontecendo por trás. Essa camada, em grande parte não divulgada, pode ser usada para fazer qualquer coisa em seus dados enquanto está em funcionamento.
A equipe não trabalha para você
Os provedores de nuvem gostam de oferecer suporte extra e equipes de segurança que contribuem para o melhor funcionamento dos serviços. Como a maioria das empresas não é grande o suficiente para se dedicar ao assunto, é fácil para fornecedores de nuvem abordarem problemas que as companhias menores não conseguirão resolver.
O problema nesse caso é que a equipe da provedora não trabalha para a sua empresa. Eles não se reportam aos seus colaboradores e o futuro deles tem pouco a ver com os resultados alcançados nos negócios. É provável que você sequer saiba o nome das pessoas envolvidas ou receba o suporte prometido.
Não se sabe quem está nas máquinas
A grande vantagem econômica da cloud computing é o compartilhamento do custo de manutenção com outros usuários. Já a grande limitação é a perda do poder de controlar completamente o hardware. Na nuvem, não se sabe quem está utilizando a mesma máquina. Pode ser uma senhora da igreja que está construindo um banco de dados de fiéis, mas também pode ser um psicopata. Em último caso, pode ser um criminoso tentando roubar seus dados.
Economia perigosa
A grande questão sobre a nuvem é que a grande economia. Os valores são tão baratos porque as provedoras têm muitos racks. Isso ajudar a manter os preços baixos - mas também gera uma monocultura que torna a vida dos invasores mais simples. Encontrar uma falha em uma camada pode abrir espaço para resultados catastróficos.
Trade-offs de segurança aumentam os custos
As empresas de nuvem vivem um dilema. Elas podem se defender contra ataques desativando a previsão de ramificação, mas dessa forma o serviço fica mais lento. Será que as provedoras querem diminuir o desempenho? Os usuários querem isso? Na nuvem, máquinas mais lentas só fazem aumentar os preços.
Diferentes necessidades de segurança
Um usuário pode executar uma operação bancária movimentando bilhões de dólares, mas isso não é da conta de todos na nuvem. O fato é que uma ferramenta não serve para todos os negócios, mas as empresas de nuvem estão trabalhando com características uniformes. Cada cliente é diferente e possui necessidades diversas, o que geralmente não pode ser abarcado pela nuvem.
Tudo é mistério
A nuvem é como um reservatório escuro de poder computacional, o que, por um lado, acaba acalmando os usuários. Ora, se não sabemos onde estão as nossas fichas, os invasores também não devem saber. O problema é que, no final das contas, as pessoas estão apenas rezando para que os hackers não consigam encontrar uma forma de compartilhar as máquinas. Mas e se houver um padrão que possa ser explorado? E se houver alguma falha secreta que possa ser aproveitada?
Invasores têm poder sobre recursos
Um recurso importante da nuvem é que ela se adapta automaticamente à demanda. Se houver aumento nos pedidos, por exemplo, o serviço pode gerar novas versões das máquinas. O problema é que é muito simples criar falsas demandas. Um invasor pode acionar um dos aplicativos para gerar milhares de visitas e, assim, ativar a expansão na nuvem, aumentando as chances de compartilhar a máquina.
Clonagem
Muitos arquitetos de nuvem gostam do modelo de utilização de diversas máquinas menores que podem ser iniciadas e interrompidas conforme a demanda aumenta ou diminui. A simplicidade incentiva que todos façam máquinas exatamente iguais, o que significa a duplicação das mesmas informações. Se houver uma chave privada usada para assinar documentos ou efetuar login em um banco de dados, todas as instâncias clonadas terão o mesmo. Com diversos alvos, as chances de um invasor conseguir acesso ao mesmo hardware são maiores.
Chance de invasão pode ser maior do que se pensa
As chances de ataques podem ser grandes, mesmo não sendo fáceis de executar. A grande vantagem da segurança na nuvem é ser, de fato, um conjunto de poder computacional obscuro. Mas como criminosos conseguem acessar nossas informações? Quais são as chances de alguém mal intencionado dividir o mesmo hardware? O hacker pode nos encontrar? É confortável sentir segurança, mas quem a garante?
Inicialmente, as empresas estavam com o pé atrás de migrar para a nuvem por preocupações básicas, como segurança e privacidade. E embora a nuvem tenha se tornado estratégia primária de TI atualmente, muitos desses receios persistem.
Confira 12 segredos de segurança obscuros da cloud computing.
Falhas de segurança continuam existindo
As nuvens executam os mesmos sistemas operacionais que desktops ou servidores independentes. Se há um backdoor no Ubuntu 14 que permite que alguém invada uma máquina, é quase certo que o mesmo backdoor permitirá que uma pessoa mal intencionada acesse a versão rodando na nuvem. Os serviços de nuvem foram projetados para serem intercambiáveis com o hardware privado e, infelizmente, os bugs também fazem parte do pacote.
Falta de certeza sobre o que é executado
Quando você ligou sua máquina na nuvem, clicou no botão do Ubuntu 18.04 ou talvez no botão do FreeBSD. Mas você tem certeza de que está executando a distribuição padrão? Um amigo que trabalhou com a instalação de harware compartilhado afirma que sua empresa inseriu contas secretas em suas distribuições e depois interferiu nas rotinas padrão do UNIX, para garantir que suas atividades fossem invisíveis. Ele disse que as versões com defeito foram criadas para melhorar a experiência do cliente, mas é claro que a medida também poderia ser usada para fins duvidosos.
Confiar no provedor de nuvem tem que ser incontestável. É preciso ter uma crença sólida em sua incorruptibilidade. Infelizmente, é mais difícil ter a mesma certeza sobre as pessoas.
Falta de controle sobre camada extra
As plataformas de nuvem geralmente contam com uma camada extra de software localizada no sistema operacional - e o usuário não tem qualquer controle sobre ela. Você pode ter acesso root ao SO, mas não sabe o que está acontecendo por trás. Essa camada, em grande parte não divulgada, pode ser usada para fazer qualquer coisa em seus dados enquanto está em funcionamento.
A equipe não trabalha para você
Os provedores de nuvem gostam de oferecer suporte extra e equipes de segurança que contribuem para o melhor funcionamento dos serviços. Como a maioria das empresas não é grande o suficiente para se dedicar ao assunto, é fácil para fornecedores de nuvem abordarem problemas que as companhias menores não conseguirão resolver.
O problema nesse caso é que a equipe da provedora não trabalha para a sua empresa. Eles não se reportam aos seus colaboradores e o futuro deles tem pouco a ver com os resultados alcançados nos negócios. É provável que você sequer saiba o nome das pessoas envolvidas ou receba o suporte prometido.
Não se sabe quem está nas máquinas
A grande vantagem econômica da cloud computing é o compartilhamento do custo de manutenção com outros usuários. Já a grande limitação é a perda do poder de controlar completamente o hardware. Na nuvem, não se sabe quem está utilizando a mesma máquina. Pode ser uma senhora da igreja que está construindo um banco de dados de fiéis, mas também pode ser um psicopata. Em último caso, pode ser um criminoso tentando roubar seus dados.
Economia perigosa
A grande questão sobre a nuvem é que a grande economia. Os valores são tão baratos porque as provedoras têm muitos racks. Isso ajudar a manter os preços baixos - mas também gera uma monocultura que torna a vida dos invasores mais simples. Encontrar uma falha em uma camada pode abrir espaço para resultados catastróficos.
Trade-offs de segurança aumentam os custos
As empresas de nuvem vivem um dilema. Elas podem se defender contra ataques desativando a previsão de ramificação, mas dessa forma o serviço fica mais lento. Será que as provedoras querem diminuir o desempenho? Os usuários querem isso? Na nuvem, máquinas mais lentas só fazem aumentar os preços.
Diferentes necessidades de segurança
Um usuário pode executar uma operação bancária movimentando bilhões de dólares, mas isso não é da conta de todos na nuvem. O fato é que uma ferramenta não serve para todos os negócios, mas as empresas de nuvem estão trabalhando com características uniformes. Cada cliente é diferente e possui necessidades diversas, o que geralmente não pode ser abarcado pela nuvem.
Tudo é mistério
A nuvem é como um reservatório escuro de poder computacional, o que, por um lado, acaba acalmando os usuários. Ora, se não sabemos onde estão as nossas fichas, os invasores também não devem saber. O problema é que, no final das contas, as pessoas estão apenas rezando para que os hackers não consigam encontrar uma forma de compartilhar as máquinas. Mas e se houver um padrão que possa ser explorado? E se houver alguma falha secreta que possa ser aproveitada?
Invasores têm poder sobre recursos
Um recurso importante da nuvem é que ela se adapta automaticamente à demanda. Se houver aumento nos pedidos, por exemplo, o serviço pode gerar novas versões das máquinas. O problema é que é muito simples criar falsas demandas. Um invasor pode acionar um dos aplicativos para gerar milhares de visitas e, assim, ativar a expansão na nuvem, aumentando as chances de compartilhar a máquina.
Clonagem
Muitos arquitetos de nuvem gostam do modelo de utilização de diversas máquinas menores que podem ser iniciadas e interrompidas conforme a demanda aumenta ou diminui. A simplicidade incentiva que todos façam máquinas exatamente iguais, o que significa a duplicação das mesmas informações. Se houver uma chave privada usada para assinar documentos ou efetuar login em um banco de dados, todas as instâncias clonadas terão o mesmo. Com diversos alvos, as chances de um invasor conseguir acesso ao mesmo hardware são maiores.
Chance de invasão pode ser maior do que se pensa
As chances de ataques podem ser grandes, mesmo não sendo fáceis de executar. A grande vantagem da segurança na nuvem é ser, de fato, um conjunto de poder computacional obscuro. Mas como criminosos conseguem acessar nossas informações? Quais são as chances de alguém mal intencionado dividir o mesmo hardware? O hacker pode nos encontrar? É confortável sentir segurança, mas quem a garante?