Segurança na borda: Web Application Firewall em Nuvem
Bate papo com Diogo Dantas e Gustavo Ribeiro, Arquitetos de Soluções em Nuvem, falamos sobre a importância de se ter uma estratégia de segurança para aplicações em nuvem e como
chevron_left
-
play_arrowPapo Cloud 319 – O Mercado de Cloud no Brasil – Mauro Souza – Edge UOL Vinícius Perrott
-
play_arrowPapo Cloud 318 – Transformando a Saúde com Tecnologia – Marcos Gonçalves – Beth Health Tech Vinícius Perrott
-
play_arrowPapo Cloud 315 – Certificações Red Hat – Cristina Crepalde – Red Hat Vinícius Perrott
-
play_arrowPapo Cloud 314 – Descomplicando a Cidadania Europeia – Rodrigo Gianesini – Cidadania4U Vinícius Perrott
Olá! Seja bem-vindo ao VEEZOR Podcast.
Um espaço totalmente dedicado a discutir sobre as principais tecnologias em computação em nuvem, segurança, banco de dados e inteligência artificial, gestão de identidade e tantos outros temas, que serão discutidos aqui.
Quer entender como essas e outras tecnologias em cloud podem revolucionar o seu negócio?
Entre em contato pelo site veezor.com
Esse conteúdo conta com o apoio da AWS, Amazon Web Services.
Eu sou Vinicius Perrott. Seja bem-vindo ao VEEZOR Podcast!
Vinicius Perrott: Seja bem-vindo ao Veezor PodCast. Olá, você que segue aqui a nossa minissérie, nesse bate-papo, eu conto com a presença do Gustavo Ribeiro e do Diogo Dantas. Gustavo seja bem-vindo.
Gustavo Ribeiro: Obrigado. Valeu.
Perrott: Diogo seja bem-vindo.
Diogo Dantas: Obrigado pelo convite.
Vinícius Perrott: Pessoal, a gente vai falar sobre o tema: segurança da informação. É comum que a gente tenha uma prática de achar que a segurança da informação é só aquele antivírus que a gente instalava lá na nossa máquina ou aquele Firewall; ou outro software que a gente tinha no nosso ambiente on premise. Essa visão não estava errada. Na verdade, é o que nos sustentou por muitos anos na área de tecnologia. Só que no advento da computação em nuvem – a gente está falando de mais de 10 anos de computação em nuvem, incluindo o Brasil – a gente tem outras soluções vão muito além de, simplesmente, um antivírus e Firewall. Que soluções são essas? Fala aí para a gente, faz o favor.
Gustavo: Hoje a nuvem, ela tanto permitiu você adotar soluções muito mais automatizadas do que você tinha no on premise, como também abriu um novo leque de caminhos que você precisa se preocupar. Então, falando da nuvem como um ambiente, hoje você tem uma preocupação em relação ao perímetro da nuvem. Então, você não vai fisicamente lá na nuvem. Você não precisa cadastrar a sua biometria, os seus documentos. Você vai ter um login, uma senha. Você vai entrar na nuvem. Vai subir recursos. Vai desligar recursos. Modificar. Essas ações, elas precisam também, de certo modo, serem monitoradas. Então em vez de no data center, colocar câmeras, enfim, guardas. Na nuvem eu preciso de mecanismos parecidos para poder, também, monitorar meu ambiente. Então hoje, dentro do provedor de nuvem, existem ferramentas que vão fazer o monitoramento das ações dessas pessoas que vão gerir a infraestrutura. E vão cuidar para que seja atacado através de falhas de segurança do time. Vazamento de senha, alguma coisa nesse sentido. O vazamento de chaves de API, porque a nuvem também se comporta como um API. E consiga antecipar e fazer bloqueios para que não haja essa invasão do perímetro de software da nuvem.
Perrott: Então, quer dizer que dentro da nuvem, eu tenho mais soluções do que eu tinha no meu ambiente on premise? Cada solução vai me ajudar numa determinada estratégia? É isso?
Diogo: É. É algo como isso, Perrot. Na verdade, no ambiente on premise, você já tinha como implantar algumas dessas ferramentas de soluções, que o Gustavo já citou. Mas a dificuldade técnica para fazer isso era muito grande. Então a nuvem, com o advento da nuvem, facilitou muito o trabalho da gente como construtor e administrador de nuvem, como arquiteto de nuvem. Facilitou bastante o nosso trabalho. Com certeza. Outra coisa que eu queria acrescentar – Gustavo, já venho adicionando – além dessa segurança do perímetro, a nuvem também tem ferramentas para, por exemplo, impedir o vazamento de informações pessoais, de identificação das pessoas. Ferramentas de anonimização dos dados. Inclusive, para as empresas que precisam estar de acordo. Na verdade, todo mundo precisa.
Perrott: Sim.
Diogo: Estar de acordo com a nova Lei Geral de Proteção de Dados e também com a lei europeia, que era mais usada antes, a GNPR. Agora, no Brasil, LGPD. Também existem ferramentas para isso. Outro ponto que eu acho que vale a pena a gente citar aqui é que essas ferramentas, nos maiores provedores de nuvens, elas estão unidas numa central única de monitoramento. Então, você consegue gerenciar várias ferramentas de nuvem numa console unificada. O que facilita muito essa parte do gerenciamento de segurança, que é uma coisa bem complexa.
Perrott: Então assim, uma empresa tem uma equipe, às vezes, uma equipe reduzida. E até mesmo, não dedicada à segurança da informação. Às vezes lá está o administrador, dividindo os papéis com infra, com banco. A gente sabe como é a realidade da maioria das empresas. Nem todas as empresas têm um recurso, uma equipe dedicada à segurança da informação. Ter essa estrutura centralizada acelera a sua ação. Torna a sua reação a um PET, a uma atualização mais rápida do seu sistema. Sabendo que você tem uma base de dados compartilhada entre grandes provedores. Então você tem uma capacidade. E não precisa ter um conhecimento tão alto para ter essa especialização. Basta seguir as recomendações, porque minimamente, você já está num bom caminho. É isso?
Diogo: Isso. Basicamente você vai montar o seu playbook, a sua regra de negócios em relação à área de segurança. E a ferramenta vai lhe dar braço. Então, em vez de você ter uma grande equipe que precisa estar a todo o momento atenta a novas falhas de segurança, aos novos bugs que vão surgindo. E você tem que atualizar os seus workloads. Você vai usar uma ferramenta automatizada que vai trazer insights para você. É claro que você ter que ter uma preocupação. Você tem que ter uma equipe que esteja muito bem capacitada para trabalhar com essas ferramentas, com a nuvem. E você vai ativar essas ferramentas nos seus workloads. E basicamente, você vai reagir a essas descobertas. Então a ferramenta vai lhe ajudar a fazer essas descobertas. Vão gerar gatilhos para ações que você deve tomar. Ou seja, atualização dos seus workloads. Ou, até mesmo, atualizações no próprio serviço de nuvem que está utilizando. Você poder gerar um gatilho no próprio serviço de nuvem. Atualizar ele a si próprio. Então, dentro da AWS, por exemplo, ela trabalha fazendo atualizações. Você pode ativar essas atualizações, inclusive de forma automática. Mas você pode concentrar esse centro de informações em relação a falhas de segurança e daí, gerar gatilhos para o seu time de segurança agir. Tomar decisões para a própria nuvem resolver isso de forma automática. Ou ele agir junto com o time de desenvolvimento, o time de software que ele está hospedando ali dentro da nuvem.
Perrott: Então nada mais de playbook escrito a mão né gente? Isso é coisa do passado. Agora é automatizado. Não é isso?
Diogo: Isso. Exatamente. A ideia é que você use a nuvem para ganhar tempo. Então você se concentra em fazer um trabalho muito mais evolutivo, de aprender todos os recursos novos que vão surgindo, vão sendo disponibilizados para você atuar nessa área de segurança. E aí o seu papel é exatamente gastar esse tempo em implantações. E aí o trabalho braçal do dia a dia, de fazer checagens, de fazer buscas em relação a incidentes. Prevenir incidentes que possam acontecer. Você consegue automatizar hoje a maior parte.
Perrott: Massa. Então é isso. Vamos resumir aqui esse episódio. Segurança da informação em nuvem não é só antivírus. Tem muito mais coisa. E esses serviços estão associados – principalmente agora – à Lei Geral de Proteção de Dados, a LGPD, algo tão importante e crucial. E um diferencial para as empresas, não é verdade?
Gustavo: Sim. Com certeza. Hoje têm ferramentas – como o Diogo falou – que conseguem gerar gatilhos para a privacidade. Então, com esse conjunto de ferramentas que vão cuidar do seu perímetro, que vão cuidar de eventuais falhas de segurança que possam aparecer no seu software ou nos seus workloads. E, ao mesmo tempo, você tratar muito bem os dados privados que estão sendo inseridos dentro do seu ambiente; você passa a ter uma solução que olha 360 a sua segurança e a privacidade. E consegue trazer garantias muito importantes para o seu time em relação à durabilidade do ambiente no quesito de segurança.
Perrott: Pode complementar.
Diogo: O mais importante – que eu acho que vale a pena lembrar aqui – é que essas ferramentas que centralizam; que dão essa visão 360 da segurança – que o Gustavo citou – elas também são ferramentas customizáveis. E você pode customizar as ferramentas, essas soluções, para aderirem a uma determinada conformidade, que a sua empresa estabelece. Então, se a sua empresa tem uma política de segurança, tem uma política voltada para a LGPD, você pode tentar estabelecer essas políticas de forma mais tecnológica, diretamente nessas ferramentas. Elas estão aptas para isso também.
Perrott: Legal. Gustavo, Diogo, obrigado pela participação nesse episódio. E até a próxima. Tá legal?
Gustavo: Valeu.
Perrott: Maravilha. Então fica assim pessoal. Eu queria agradecer a presença de vocês dois. E até o próximo episódio.
-
play_arrowServiços de Segurança da Informação em Nuvem
Vinícius Perrott
Podcast: Tocar em nova janela | Download
Subscribe: RSS
Episódio anterior
Episódios relacionados
Comentários (0)