O que você deve considerar para escalar uma aplicação sem ter a segurança do ambiente web comprometida?

Com todas as mudanças que surgiram junto à tecnologia do cloud computing, contamos também com certa dose de incertezas, especialmente relacionadas à segurança das aplicações. Um dos principais desafios em escalar e migrar para a nuvem é manter os padrões de segurança estabelecidos em ambientes de hospedagem tradicionais. Por isso, listamos aqui alguns itens de indispensáveis que você deve considerar antes de adotar um provedor de cloud.

Backup e restauração

Além do backup, é importante testar suas restaurações pelo menos uma vez por ano, examinando e garantindo a integralidade e a integridade dos dados. Algumas questões importantes para esse item são: quais os dados que o seu provedor guarda e qual a periodicidade com que esses backups são feitos? Como você pode solicitar um backup? Durante quanto tempo os dados serão mantidos e onde eles estarão armazenados? Que técnicas são utilizadas para restaurar dados? Existem testes de integridade de dados nas restaurações? As respostas a essas perguntas são bons guias para avaliar o comprometimento do provedor nessa área.

Testes de vulnerabilidade

Provedores sérios devem estar atentos às vulnerabilidades divulgadas e rapidamente buscar e aplicar atualizações de segurança, evitando riscos nas aplicações hospedadas. Além disso, devem realizar testes de vulnerabilidade periodicamente para desvendar falhas antes mesmo de elas serem divulgadas. Por outro lado, o desenvolvedor da aplicação também deve se atentar para possíveis vulnerabilidades em sua aplicação, executando atualizações periódicas e estando atento aos riscos de segurança mais críticos em aplicações web com base no TOP 10 da OWASP (Projeto de Segurança de Aplicações Web Aberto).

Gerenciamento de patches para servidores

Depois das vulnerabilidades, a segunda maior fonte de brechas de segurança são os softwares sem correções. Você deve questionar se seu provedor faz testes de patches de segurança crítica e os aplica o mais rápido possível – de preferência no prazo de uma semana da disponibilidade no caso de correções simples, e ainda mais rápido durante alguma campanha agressiva antimalware. Descubra se o provedor executa o gerenciamento e verifica o status de patches com regularidade.

Encriptação

É importante encriptar dados sensíveis das suas aplicações, especialmente os hospedados na Nuvem. Quais tipos de algoritmos de criptografia são usados e como eles são aplicados? Os dados são criptografados em repouso e em trânsito? Que tamanho de chave é usado nas suas aplicações? Com que frequência as chaves são renovadas e substituídas? Quem tem acesso às chaves? Essas são perguntas que você precisa esclarecer antes de entregar seus dados ao provedor. Geralmente chaves simétricas são consideradas fortes se tiverem ao menos 256 bits.

Detecção de intrusão

É importante saber quais os métodos utilizados para detectar possíveis tentativas de intrusão. Ambientes que envolvem entregas de serviços críticos precisam contar com gerenciamento de logs ativo para que se possa identificar possíveis eventos de segurança relevantes.

Respostas a incidentes

Provedores de Cloud devem ter uma equipe responsável pela resposta a incidentes devidamente treinada, que responderá rapidamente a eventos críticos. Se um evento de segurança é observado, quanto tempo demora para que a equipe responda? Em quanto tempo você será notificado depois de um comprometimento de dados?

Isolamento de domínio

Tradicionalmente, ambientes de tecnologia da informação eram divididos em internos, externos e DMZ. Infelizmente, o Cloud não se encaixa nessas categorias. Sendo assim, pergunte ao provedor como é feito o isolamento de domínios. Esse é um item necessário de segurança para que haja certeza de que apenas usuários e dispositivos permitidos tenham acesso à leitura e à manipulação do conteúdo hospedado.

Elucidamos aqui alguns pontos relacionados à segurança, imprescindíveis quando estamos alocando nossos serviços na nuvem. Esses itens devem ser analisados de forma minuciosa, para que possamos ter segurança ao escolher o provedor para o nosso projeto. Ao avaliar soluções Cloud Computing, não devemos economizar tempo!

***

Artigo publicado originalmente na Revista iMasters #15: http://issuu.com/imasters/docs/revista_imasters_15_agosto2015