Modelos de segurança e componentes

Modelos de segurança on-premise

Ainda que a segurança on-premise seja frequentemente definida como um modelo de segurança "legado" (legacy) atualmente, muitas empresas continuam usando, seja para manter o controle físico da segurança dos dados ou para ter esses dados localizados por motivos de compliance com regulações como HIPAA ou PCI.

Nesse modelo de segurança, as empresas percebem que têm maior controle da segurança de seus dados, usando uma combinação de soluções de hardware e software para criar um perímetro corporativo seguro em torno de dados e workloads, mantendo-os no local e protegendo-os de ameaças externas. Isso inclui componentes de segurança como firewalls, antivírus, VPN e segurança física.

Modelo de segurança cloud

Desde a introdução da cloud computing, as empresas estão migrando cada vez mais para a cloud como uma forma de obter uma infraestrutura mais flexível. Já que são definidos por software, os recursos de cloud podem ser escalados on demand, em vez de ter que redimensionar, comprar, instalar e manter servidores on-premise. A cloud computing não reduz apenas os custos iniciais, mas também as tarefas de gerenciamento, já que os provedores de cloud são responsáveis pelo gerenciamento do hardware e de parte (ou todo) do software, dependendo do modelo de cloud computing que está sendo usado:

• Infrastructure-as-a-Service (IaaS): oferece recursos de computação virtualizados na internet, com hardware e instalações operadas pelo provedor de cloud.

• Platform-as-a-Service (PaaS): oferece um ambiente de desenvolvimento e implantação com ferramentas para construir, executar e gerenciar aplicações usando hardware, instalações, OS e runtime operados pelo provedor de cloud.

• Software-as-a-Service (SaaS): soluções de software prontas para usar que são totalmente gerenciadas pelo provedor de cloud.

A maioria dos provedores de cloud possuem suas próprias soluções de segurança, mas, dependendo do modelo de assinatura usado, os clientes também podem construir e gerenciar as suas próprias, usando soluções de terceiros em máquinas virtuais. Diferente da segurança on-premise, na qual o usuário é totalmente responsável pela licença, operação e gerenciamento do seu próprio hardware e software, os provedores de cloud compartilham as responsabilidades com seus clientes, que assumem mais tarefas client-side e o provedor gerencia a segurança do hardware, instalações e alguns dos serviços back-end.

Modelo de segurança serverless edge

Similar à cloud computing, a serverless edge computing proporciona aos usuários uma plataforma para construir e executar aplicações usando recursos gerenciados. Diferente da cloud computing, no entanto, a infraestrutura da edge computing é distribuída geograficamente em locais próximos aos usuários finais, o que resulta em menores custos, melhor performance e maior disponibilidade. Como é observado pela Linux Foundation, “encurtando a distância entre os dispositivos e os recursos de cloud que os atendem, e também reduzindo os hops da rede, a edge computing mitiga a latência e as restrições de largura de banda da internet atual, abrindo as portas para novos tipos de aplicações”.

O modelo serverless é gerenciado completamente. Dessa forma, os usuários são responsáveis apenas pelas tarefas de segurança client-side, como a segurança das camadas de rede e de aplicação, os dados client-side, assim como a autorização e autenticação dos usuários. Considerando que as edge locations estão altamente distribuídas, a segurança no edge não se trata de manter as ameaças fora de um perímetro seguro; em vez disso, é baseada na confiança nos controles de acesso e autorização, na proteção das aplicações web, na segmentação da rede, assim como nas ferramentas analíticas para o controle dos acessos dos usuários, na criação de microperímetros e na proteção contra ameaças como o OWASP Top 10 e ataques DDoS, geralmente usando ferramentas específicas da plataforma.

Comparação de custos dos modelos On-Prem, Cloud e Edge

Calculando os custos

As soluções de segurança on-premise geralmente têm um grande custo para as empresas, incluindo aqueles que podem ser difíceis de estimar antecipadamente. Sem saber quais são os recursos que a empresa vai precisar para escalar com antecedência, os responsáveis pelas decisões de TI frequentemente provisionam em excesso, resultando em grandes despesas de capital (CAPEX), ou aguardam para fazer o provisionamento e arriscam ter interrupções na continuidade dos negócios conforme a empresa cresce e mais servidores são necessários para escalar as operações. Além disso, existem custos contínuos referentes às operações e gerenciamento das soluções on-premises. O hardware requer uma manutenção contínua que é cara, precisando também de técnicos habilidosos no local para atualizá-lo e repará-lo. Finalmente, quando o hardware finaliza sua vida útil, deve ser substituído.

Com a segurança cloud, a tecnologia está atualizada sempre que possível, sem necessidade de orçar custos adicionais para substituir ou reparar o hardware. Como as soluções de cloud escalam on demand, os clientes pagam somente pelos recursos da infraestrutura que usam, mais o serviço ou licença do software. Além disso, as tarefas de gerenciamento são reduzidas, resultando em economia dos custos operacionais.

A ​​serverless edge computing usa o mesmo modelo pré-pago que a cloud computing, porém com uma escala automática altamente granular que não requer provisionamento antecipado, reduzindo o consumo de recursos, as tarefas de gerenciamento e os custos antecipados.

Custos ocultos

Além do capital e despesas operacionais associadas a cada solução de segurança, deve-se considerar os custos ocultos que resultam quando a performance das soluções se degrada ou afeta a escalabilidade e agilidade, resultando em oportunidades perdidas por causa do downtime, uma experiência de usuário ruim e um lento time-to-market.

Com menos custos antecipados, as soluções de cloud possibilitam um time-to-market mais rápido, mas os dados e workloads ainda estão centralizados, resultando em mais latência de rede comparado às soluções on-premise e edge, já que os dados devem viajar desde e até data centers hiperescalados localizados muito longe dos usuários finais. As soluções de fornecedores de cloud também são propensas ao vendor lock-in, o que reduz a portabilidade por meio do uso de tecnologia patenteada, exigindo que os desenvolvedores que desejam mudar de provedor alterem significativamente seu código para se adaptar a outras plataformas. Como alternativa, os usuários de cloud podem construir suas próprias soluções de segurança usando terceiros, mas as soluções devem ser gerenciadas por eles mesmos.

E enquanto os provedores de serverless edge reduzem significativamente as responsabilidades das equipes de segurança, o usuário ainda deve levar em conta a segurança da aplicação, autenticação e autorização do usuário, entre outras tarefas client-side, o que pode exigir experiência real, uma vez que o teste e a depuração são geralmente mais difíceis em sistemas distribuídos.

Escolhendo um modelo de segurança eficaz

Além dos fatores acima, mais um componente crucial afeta o resultado final dos custos de segurança: sua eficácia. Gastar mais em uma solução de segurança pode valer a pena se permitir necessidades de segurança personalizadas, como compliance localizada, e evitar uma violação de dados onerosa no futuro.

Sem dúvida, essa é uma preocupação para muitas empresas relutantes em mover todos ou alguns de seus dados e workloads fora de seus locais. Presume-se que manter o controle físico da própria segurança é, em última instância, necessário para proteger dados confidenciais e atender aos regulamentos de compliance.

Mas, é verdadeira essa presunção? O que define uma política de segurança “eficaz”? E com quais fatores as equipes de segurança devem se preocupar, considerando o atual cenário de ameaças?

Definindo uma segurança eficaz

O NIST Security Framework é um modelo chave para definir se uma política de segurança é eficaz. Esse framework foi criado pelo governo dos Estados Unidos e tem sido traduzido e usado por governos e empresas em todo o mundo como o padrão para gerenciar e reduzir os riscos de cibersegurança. O framework NIST divide a segurança em cinco funções únicas, as quais define e descreve da seguinte forma:

• Identificar: desenvolver um entendimento organizacional para gerenciar o risco de segurança cibernética em torno de sistemas, pessoas, ativos, dados e capacidades.

• Detectar: desenvolver e implementar medidas de segurança apropriadas para garantir a entrega de serviços críticos.

• Proteger: desenvolver e implementar atividades apropriadas para identificar a ocorrência de um evento de segurança cibernética.

• Responder: desenvolver e implementar atividades apropriadas para atuar a respeito de um incidente de segurança cibernética detectado.

• Recuperar: desenvolver e implementar atividades apropriadas para manter planos de resiliência e restaurar quaisquer recursos ou serviços que foram prejudicados devido a um incidente de segurança cibernética.
  

Nesse framework, a segurança cibernética não envolve apenas a prevenção de ataques, mas também a implementação de políticas para identificar e abordar as necessidades específicas de segurança de uma empresa; monitorar e refinar continuamente as políticas para abordar ameaças e vulnerabilidades específicas; assim como responder e se recuperar eficazmente aos ataques. Como resultado, a capacidade de adaptar as políticas de segurança às necessidades específicas de uma organização é extremamente importante para a eficácia dessas políticas. As soluções de segurança com um mesmo padrão para todos não são boas nesse aspecto. E embora outros serviços gerenciados, como a serverless edge computing, permitam que as empresas criem funções de segurança mais personalizadas, essa liberdade é prejudicada pela ameaça do lock-in.

No entanto, mesmo quando as organizações possuem e operam suas próprias soluções, uma personalização completa pode ser difícil de conseguir. Conforme indicado no “The Security Bottom Line”, um relatório de 2019 da Cisco, “as equipes de segurança nem sempre podem ditar seus requisitos a grupos ou organizações externas. Por exemplo, quando um fabricante precisa atender a dezenas de padrões e regulamentos operacionais específicos de cada país, pode levar anos para limpar e distribuir uma atualização de software para seus sistemas de controle”.

Fatores que afetam a segurança

Enquanto frameworks teóricos, como o NIST, oferecem um excelente ponto de início para a compreensão das necessidades de segurança da sua organização, a importância dos casos de uso da vida real não pode ser subestimada. Em 2021, a Cisco entrevistou 4.800 profissionais de cibersegurança de mais de 25 empresas globais para determinar quais são as práticas de segurança que têm o maior impacto na capacidade de suas organizações para se defender contra ameaças cibernéticas. No geral, se descobriu que a correlação mais forte entre as práticas de segurança cibernética de uma empresa e sua capacidade de atingir seus objetivos era “uma atualização tecnológica proativa e de ponta”; quer dizer, a frequência com a qual os componentes tecnológicos chave eram atualizados com o fim de garantir uma alta performance.

Para atingir esse resultado on-premise, as equipes de segurança precisam se comprometer com um ciclo constante de retirar e comprar novos produtos, sem mencionar o treinamento que deve ser feito para aprender a usá-los. Os provedores de cloud e edge, por outro lado, atualizam continuamente seus hardware e software para adicionar valor às suas ofertas. Com os serviços gerenciados, a atualização tecnológica é parte do pacote.

Mas, talvez, o talento é o melhor e mais documentado fator que contribui para o sucesso ou fracasso de uma determinada equipe. Esse não é apenas o caso das soluções on-premise que confiam somente nas equipes de segurança internas, mas também dos serviços de cloud, já que a grande maioria dos incidentes de segurança de cloud residem no usuário, e não no provedor. Em 2019, Gartner previu que, para 2025, 99% das falhas de segurança de cloud poderiam ser culpa dos clientes5. O documento Data Breach Incident Report publicado pela Verizom em 2021 também confirma a prevalência de erros do usuário: os três principais tipos de incidentes entre os usuários de cloud foram credenciais roubadas, configurações incorretas e phishing.

E enquanto os provedores de edge serverless reduzem significativamente as responsabilidades das equipes de segurança, o usuário ainda deve levar em conta a segurança das aplicações, a autenticação e autorização do usuário e outras tarefas client-side. Isto pode exigir experiência de verdade, já que o teste e a depuração são geralmente mais difíceis em sistemas distribuídos.

Respondendo ao cenário de ameaças atual

Embora a segurança on-premise seja usada frequentemente para dados e workloads confidenciais, esse modelo não é adequado para o atual cenário de ameaças. No relatório “Future-Proof Your Digital Business with Zero Trust Security”, Forrester observou que "assim como as empresas monetizam informações e insights em um ecossistema de negócios complexo, a ideia de um perímetro corporativo se torna estranha, e até mesmo perigosa… O perímetro não é mais estático; é dinâmico e o novo “edge” está formado por microperímetros que incluem usuários, dispositivos, identidades, ativos e dados”.

Para proteger os dados e workloads neste cenário de segurança em constante mudança, Forrester propôs um novo modelo de segurança em 2010, chamado “zero trust”, - "confiança zero" em português -, que limita o dano que os agentes maliciosos podem fazer ao remover o acesso automático de tudo e todos dentro e fora da rede. Em vez de conceder permissões amplas a determinados usuários, programas e entidades, o modelo insiste que a verificação está em andamento e o acesso é concedido individualmente para cada caso, concedendo aos usuários as permissões mínimas necessárias para executar uma ação específica. Finalmente, cada sessão é monitorada para identificar atividades suspeitas ou de risco, com protocolos desenhados para responder às ameaças em tempo real.

O modelo zero trust permite às empresas criar protocolos de segurança que são construídos para aplicações modernas complexas e uma economia impulsionada pelos dados. É uma grande melhoria em relação aos modelos de segurança on-premise projetados para proteger um perímetro corporativo que praticamente desapareceu. No entanto, a segurança on-premise ainda oferece às empresas níveis adicionais de controle dos seus dados e workloads que não estão disponíveis nas plataformas de segurança cloud e edge. No momento de escolher um parceiro, é fundamental que as empresas encontrem um provedor que possa atender às suas necessidades específicas e se proteger contra o lock-in, o que pode impedi-las de trocar de provedor no futuro para melhorar sua segurança ou diminuir os custos.