Decifrando o código da segurança na nuvem para o ensino superior

A migração de banco de dados e infraestrutura de aplicativos para
a nuvem agora está ocupando o centro do palco para os setores público e privado,
organizações buscam reduzir o custo e o risco de operar seus próprios dados
centros. Segundo
para Forbes, 83% das cargas de trabalho corporativas estarão na nuvem até 2020,
e o ensino superior não fica muito atrás. Uma pesquisa realizada por
MeriTalk descobriu que 60 por cento das instituições de ensino superior são
integrando a computação em nuvem em suas estratégias de TI.

À medida que a adoção cresce, as instituições de ensino superior devem
abordar as preocupações de segurança de todo o setor para adotar totalmente a nuvem e seus principais
benefícios. Por exemplo, regulamentações de privacidade de dados, como a FERPA, ditam como
os registros eletrônicos dos alunos são armazenados e protegidos. Antes de qualquer migração para a nuvem
ocorre ou aplicativos baseados em nuvem são integrados ao cenário de TI, os líderes devem
decidir quais modelos de serviço e implantação fazem mais sentido para o
instituição e determinar as medidas adicionais que tomarão para proteger
dados sensíveis.

Selecionando um modelo seguro de entrega na nuvem

Como uma instituição planeja usar a nuvem e o nível de
segurança necessária com base nos tipos de dados armazenados ajudará a TI e a segurança
os líderes determinam qual modelo de implantação de nuvem selecionar. o NIST
designa os principais modelos de entrega de serviços em nuvem como privado, comunitário, público
e híbrido.

Em um ambiente de nuvem privada, a infraestrutura de nuvem é usada
exclusivamente por uma única organização. A nuvem privada é uma boa opção para
instituições que precisam dos mais altos níveis de controle e segurança para seus dados com
a capacidade de pagar um prêmio por isso. As nuvens comunitárias oferecem um
uso exclusivo da comunidade ou consórcio de infraestrutura em nuvem com base em
preocupações e exigências. Este modelo é útil para compartilhar determinados dados,
talvez entre pesquisadores.

A infraestrutura de nuvem pública é provisionada para uso aberto e
qualquer entidade pode adquirir capacidade. Na nuvem pública, você paga muito menos e
não se responsabiliza pela operação e manutenção do equipamento. Por último,
uma nuvem híbrida oferece uma combinação de infraestruturas de nuvem onde cada uma
permanece distinto, mas permite a portabilidade de dados e aplicativos entre eles. Aqui,
alguns dados e aplicativos podem estar na nuvem, enquanto outros permanecem no local. este
modelo oferece o nível máximo de controle sobre seus dados enquanto ainda ganha
a flexibilidade da nuvem.

Além de avaliar modelos para hospedagem de infraestrutura em nuvem,
é importante identificar como os provedores de aplicativos de ensino superior de um campus estão
hospedando seus próprios aplicativos baseados em nuvem para que os protocolos de segurança adequados sejam
alinhados com os requisitos de segurança da instituição.

Equilibrando controle e segurança na nuvem

A decisão de qual modelo de serviço selecionar também depende
nas linhas de responsabilidade ou extensão de influência – e nível de segurança –
você deseja sobre a infraestrutura de nuvem subjacente. Da maior para a menor influência,
esses modelos são:

1) Infraestrutura como Serviço (IaaS), onde a instituição
pode provisionar processamento, armazenamento, redes e outros recursos computacionais fundamentais
recursos na infraestrutura de nuvem e, em seguida, executar software, como
sistemas e aplicativos;

2) Plataforma como Serviço (PaaS), onde a instituição pode
implantar seus próprios aplicativos ou aplicativos de terceiros na infraestrutura de nuvem, mas
ele não pode gerenciar a infraestrutura de nuvem subjacente, incluindo rede, servidores,
sistemas operacionais ou armazenamento;

3) Software as a Service (SaaS), onde a instituição pode
use os aplicativos de um provedor de soluções em execução na nuvem sem gerenciamento
da infraestrutura subjacente; e

4) Serverless, que abstraiu o aplicativo para apenas
os recursos necessários para suportar os bits.
Este modelo se concentra em exigir apenas a integração de código-lógica necessária
com um microfaturamento ou faturamento de modelo de utilidade.
Este é um recurso de provedor de nuvem nativo e, embora poderoso e menos
manter, é justo observar que isso o vinculará ao provedor de nuvem.

A Figura 1.1 ilustra como essas responsabilidades funcionam
em referência às estratégias acima.

Protegendo seus dados na nuvem

Sem dúvida, muitas faculdades e universidades já
práticas de segurança, políticas e procedimentos em vigor para um local ou
centro de dados fora do local. As práticas fundamentais não devem mudar simplesmente porque um
aplicativo está sendo executado na nuvem. A Tríade da CIA – confidencialidade, integridade
e disponibilidade – deve sempre ser aplicado, não importa onde os dados sejam armazenados. No entanto,
as instituições devem considerar estas medidas de segurança adicionais:

Criptografia – À medida que os invasores descobrem cada vez mais
formas inovadoras de comprometer sistemas, é imperativo proteger
dados em trânsito e em repouso. Os fornecedores de SaaS da sua instituição devem estar criptografando
dados, e sua equipe interna de TI precisará garantir a criptografia se estiver usando IaaS ou
Modelos de PaaS.

Linhas de responsabilidade – Sua TI e segurança
equipe entende quais aspectos de sua infraestrutura de nuvem você é responsável
para, em comparação com as áreas que cabem ao fornecedor da plataforma em nuvem, como a Microsoft
ou Amazon Web Services? Dependendo do modelo de serviço, você pode ter mais ou
menos responsabilidade por suas instâncias de nuvem. Os aplicativos SaaS oferecem a você a
menor quantidade de influência sobre coisas como janelas de manutenção,
atualizações e o modelo geral de segurança.

Permissões baseadas em função – Um aspecto importante da CIA
está limitando o acesso a dados confidenciais apenas àqueles que precisam deles. Baseado em função
permissões agem como um guard-rail em torno de dados confidenciais, então você vai querer
implementar níveis de permissão que protejam os dados sem impedir
acesso.

Privacidade por design – Regulamentos de privacidade de dados como
O GDPR exige que as organizações, incluindo instituições de ensino superior, criem segurança
práticas diretamente em seu código de aplicação desde o início, ao invés de uma
reflexão tardia. A mudança de hoje para uma cultura DevOps, onde os desenvolvedores de aplicativos
e administradores de banco de dados trabalham em ciclos integrados, também facilita a privacidade
por design.

Práticas de codificação seguras – Além da privacidade por
design, faculdades e universidades precisam garantir que seus desenvolvedores estejam seguindo
práticas de codificação seguras e evitando riscos, como os da OWASP Topo
10 lista dos riscos de segurança mais críticos para aplicativos da web.

IA inteligente para segurança – Inteligência Artificial (IA)
pode ser aplicado para identificar e abordar os riscos de segurança dentro das instituições. Por
fornecendo parâmetros de IA para configurações padrão de segurança na nuvem, a IA pode
alertar a equipe de TI de uma universidade sobre anomalias de segurança, bem como recomendar
atualizações de política de segurança com base em aprendizados ao longo do tempo.

Cultura voltada para a segurança – Os usuários são os membros de uma organização
maior risco de segurança. Basta um clique irresponsável em um phishing
e-mail para derrubar uma rede inteira ou expor dados confidenciais à exfiltração.
O treinamento de conscientização de segurança e a prática repetida por meio de simulação são comprovados
ser eficaz no reforço da responsabilidade individual pela organização
segurança.

Apesar das pressões para utilizar a nuvem para operar mais
com eficiência e reduza os gastos gerais com tecnologia no campus, utilizando a tecnologia em nuvem
não deve ser apressado e deve incluir uma avaliação completa das necessidades da organização.
Com um conjunto abrangente de considerações em mente, as instituições podem garantir que seus
plataforma de nuvem e fornecedores de aplicativos atendem à melhor segurança
padrões para proteger os dados dos alunos e garantir a conformidade de segurança contínua.

Greg Leonardo atua como Cloud Architect na Campus Management

Tópicos:

Cloud Security

Fonte: https://www.scmagazine.com/home/opinion/executive-insight/cracking-the-code-on-cloud-security-for-higher-education/

Inteligência de dados generativa

Quebrando o código de segurança na nuvem para o ensino superior

Tópicos:

Desbloqueando uma oportunidade de US$ 25 bilhões: o futuro dos ETFs Bitcoin e Ethereum de Hong Kong depende da adoção regulatória da China

O potencial do ETF Bitcoin e Ethereum de Hong Kong depende da posição da China: uma oportunidade de US$ 25 bilhões em jogo

Inteligência mais recente

Desbloqueando uma oportunidade de US$ 25 bilhões: o futuro dos cripto ETFs de Hong Kong em meio ao cenário regulatório da China

Desbloqueando um mercado de US$ 25 bilhões: o futuro dos ETFs Bitcoin e Ethereum de Hong Kong depende das medidas regulatórias da China

Desbloqueando o mercado de cripto ETF de US$ 25 bilhões de Hong Kong: o papel crucial da postura regulatória da China

ETFs Bitcoin e Ethereum de Hong Kong: um mercado potencial de US$ 25 bilhões aguarda luz verde da China

Salto criptográfico de Hong Kong: Mercado potencial de ETF de US$ 25 bilhões aguarda aprovação da China em meio ao aumento da receita de ações do Meme de Robinhood e aos desenvolvimentos do ecossistema criptográfico

Desbloqueando uma oportunidade de US$ 25 bilhões: O futuro dos ETFs Bitcoin e Ethereum de Hong Kong em meio ao clima regulatório da China” Observe que o conteúdo fornecido parece...