Papo Oracle Cloud T2 04 – Segurança: utilizando o máximo de recursos para um ambiente seguro

Olá, tudo bem?

Seja bem-vindo a segunda temporada do Papo Oracle Cloud.

Esse conteúdo foi produzido em conjunto com o time da Oracle Brasil.

Nessa temporada, discutiremos em 6 episódios temas que impactam diretamente na sua estratégia de adoção de soluções em nuvem. Sabemos que toda e qualquer jornada tem um início.

Por isso, é importante saber por onde, e desenvolver as melhores práticas em Cloud.

Compreender como e porque a alta disponibilidade e a recuperação de desastre, vai muito além de um simples backup.

Segurança, um tema tão importante, não poderia ficar de fora. Aqui vamos entender como maximizar cada recurso, e ter um ambiente seguro para o ambiente para os negócios.

Otimizar a arquitetura de soluções por meio da multicloud, é o próximo passo. Entenderemos como a Oracle Cloud, e a Microsoft Azure desenvolvem e entregam essas soluções em conjunto para os seus clientes.

Além disso tudo, lições aprendidas com quem já viveu, e vive toda essa jornada.

São bate-papos superdescontraídos, leves, e com muita informação.

Te convido a visitar o site do Papo Cloud, para conferir a transcrição completa de cada episódio, além de um conteúdo sobre transformação digital, e como ativar o seu modo gratuito da Oracle Cloud.

Todos os links, você vai encontrar na descrição desse episódio, no seu agregador de Podcast favorito.

Eu sou Vinícius Perrott, e seja muito bem-vindo a segunda temporada do Papo Oracle Cloud.

Nesse episódio da segunda temporada aqui do Papo Oracle Cloud, eu tenho a presença da Diogo Shibata – Senior Sales Consultant. Diogo, seja bem-vindo a nossa minissérie.

Diogo: Opa Vinicius. Obrigado. Obrigado pelo convite. Olá ouvintes. Vamos que a sessão vai ser fera. O assunto é bem quente.

Perrott: Com certeza. Eu que agradeço Diogo. E o nosso assunto é quente sim. Porque falar de segurança da informação, ainda mais no conceito de computação em nuvem é importante. Mas antes de a gente entrar no nosso tema principal aqui, por favor, se apresente para quem está aqui nos ouvindo lhe conhecer um pouco mais, o Diogo.

Diogo: Vinicius, eu estou a cinco anos na Oracle, nessa área de tecnologia, que eu gosto muito. Eu comecei aqui na parte comercial, na parte de prospecção como trainee de vendas. Fui mais para o caminho técnico. Eu passei mais ou menos uns dois anos nesse caminho mais técnico. Hoje eu estou num time mais voltado para estratégia comercial Go to Market a gente identificar o que acontece na corporação, para a gente conseguir trazer para a América Latina. Sempre fui muito apaixonado, próximo da tecnologia. Comecei com 11 anos de idade, mais ou menos, desenvolvendo na calculadora do meu pai. Meio por aí. Depois, eu nunca me afastei muito de tecnologia. Fui para o setor de energia, fiz um intercâmbio fora também para estudar engenharia, também a parte técnica aí. E hoje estamos participando do PodCast.

Perrott: Legal Diogo. Legal. É uma boa bagagem. E com certeza, tudo a ver com o nosso assunto aqui. Afinal de contas, os negócios são muito direcionados com área técnica, área de gestão, área comercial. Então é bom, que a sua bagagem vai complementar bastante o nosso tema aqui. Mas Diogo, vamos lá. Existe um tema que sempre se fala que é a tal da segurança da informação. Não é um assunto necessariamente novo. Mas a cada ano e, mais fortemente, a cada semana, a gente tem visto em sites especializados e, às vezes, nem tão especializados assim, acabam noticiando alguma informação sobre um determinado vazamento ou alguma coisa em relação a isso. Então acaba voltando de novo para a segurança da informação. Mas vamos tentar entender aqui o básico desse conceito. Por que é importante a segurança da informação para os negócios e para as empresas?

Diogo: A gente precisa entender que hoje o mundo gira bastante em torno de dados. Esse é até um tema legal para ser tratado. Esses dados vão se transformar em informação útil para alguma coisa e eles precisam sempre estar disponíveis. Esse é um ponto interessante da segurança também, a disponibilidade dos dados. Mas o que é legal mencionar: os dados estando disponíveis, eles precisam ser acessados pelas pessoas certas e no momento certo. Então existe uma grande importância de uma governança em cima desses dados, para que isso aconteça. Vários passos atrás antes dessa jornada para a nuvem, que nós vamos entrar aqui mais para frente. Mas o grande ponto é que esses dados estando disponíveis para os negócios e para as pessoas que precisam acessar realmente, eles podem acabar com o negócio caso essa regra não seja tomada de forma certa. Então por vários motivos, por exemplo, multas para essas várias regulamentações que a gente tem hoje em dia. Então, uma perda financeira pode acontecer para as empresas, caso elas não tenham acertado toda essa estrutura de segurança. Perda de clientes ou perda de confiança na marca podem acontecer muitas vezes. Tudo isso envolvendo segurança. Um cliente tem o interesse de colocar a informação em empresas que não sejam realmente seguras, que pode ter o seu dado vazado a qualquer momento ou que já tenha um histórico de algum tipo de vazamento de dados. E, muitas vezes, também essa questão da segurança, a gente teve em 2017, aquele ataque em nível global de Ransomware, o WannaCry, que muita gente chorou nessa época realmente. Foi realmente a disponibilidade de dados. Então falhas de segurança geram paradas de empresas, paradas de observação.

Perrott: Sim.

Diogo: Em alguns momentos, até perdas de vidas em hospitais, por exemplo, que tiveram a operação parada, enfim. Então a segurança é muito importante para o negócio, exatamente para a continuidade dele. Para a existência no longo prazo. Isso é realmente um tema cada vez mais quente hoje em dia.

Perrott: Agora, existe também certa desconfiança, por mais que a gente já tenha completado uma década de computação em nuvem, de que alguns segmentos e algumas empresas, gestores e as suas equipes técnicas, acharem que eu estar em nuvem, eu posso estar mais suscetível a um ataque. Ou, de repente, eu posso estar mais exposto a algumas possibilidades de invasão, um sequestro dos dados, como você mesmo citou de casos tão recentes. Mas vamos lá: é de fato isso? É uma preocupação a mais? O que o gestor e as suas equipes devem olhar quando vão para a computação em nuvem, para se tranquilizarem, propriamente dito?

Diogo: Legal. Eu acho que são dois pontos aí Vinicius. A gente está mais exposto realmente? E como isso pode ser contornado? É indiferente a resposta, positiva ou negativa. Como a gente pode trabalhar essa questão com os times técnicos e gestão? A pergunta é complexa, porque tem vários vieses ali; várias interpretações. Mas a resposta direta para a questão da exposição na nuvem é não. Nós não estaremos mais expostos na nuvem. Eu não vou entrar em questão de disponibilidade. Mas a gente tem dois pontos que são importantes de mencionar. O primeiro ponto é o aspecto físico, que muitas vezes, acaba não sendo do próprio provedor de nuvem, mas de data centers que são parceiros desses provedores de nuvem, por conta do acesso, muitas vezes. E por conta da segurança toda que existe no entorno daqueles equipamentos que vão compor a nuvem, no final das contas. Então, a grande maioria dos locais físicos, dos data centers têm certificações de segurança. Têm vários níveis para se chegar em cada uma das salas que possuem os equipamentos. Então esse aspecto é muito bem controlado, muito bem normatizado. E é um ponto que eu acho que já é bastante batido no sentido de sim, estruturas de data centers dedicadas são mais seguras, do que o modelo tradicional ali, geralmente dentro de casa. E o segundo ponto é o ponto virtual. O ponto ali, que os próprios fornecedores de nuvem têm de forma individual, o desenvolvimento próprio, como ele vai construir toda a arquitetura deles. E aí a gente tem tanto os mecanismos que são fornecidos por esses provedores, que são diversos, múltiplos. Isso depende de cada um dos fornecedores, realmente. E as arquiteturas que são definidas pelo próprio cliente. E na nuvem ele tem diversas possibilidades de arquitetura. E ele pode trabalhar na arquitetura que for mais conveniente para ele, trazendo a questão de segurança sempre em evidência. Esses dois pontos: o físico e o virtual. Nós estamos no Papo Oracle Cloud, dentro da estrutura da Oracle, ela foi pensada realmente como segurança, desde o momento zero. Isso é um ponto bastante importante. E a gente fala que a nossa nuvem é de segunda geração. Porque ela foi realmente construída do zero, com um foco muito grande em segurança e em manutenção do desempenho. Nós temos os três SLAs que a gente costuma falar: de desempenho, disponibilidade e gerenciamento. Porque a nossa arquitetura, a nossa construção da segunda geração desde o zero, permite isso. Então a gente tem várias estruturas de hardware que são isoladas, para controle do software, de forma realmente a minimizar qualquer possibilidade de problema de segurança. Além disso – a gente passa mais para a parte de configuração também – a gente tem diversos recursos que permitem que sejam analisadas quais as possibilidades ali. Quais as exposições que seriam indevidas. Ou potenciais pontos de falha de segurança. Eu vou entrar nisso um pouquinho depois, para compor a segunda resposta da pergunta. E a gente tem um modelo em que a gente parte do risk of privileged, o menor privilégio. Então, qualquer usuário que seja colocado ali, que a empresa coloque na nuvem, ele não vai ter acesso a nada. Isso é interessante, porque a gente tem o Always Free, o Free Trier, que o pessoal pode experimentar isso. Então o usuário principal vai estar como administrador. Ele tem permissão de praticamente tudo ali dentro. Se ele adicionar outro usuário, novo, esse novo usuário já não vai conseguir fazer nada, a não ser o login na plataforma. Esse é um ponto importante. Ele precisa receber as atribuições de qualquer tipo de gerenciamento que ele vai fazer ali dentro, conforme realmente o que ele pode fazer ou deve fazer. É um ponto interessante. Lá atrás, eu falei que as pessoas precisam ter acesso só aos dados que são importantes para elas. Elas devem ter acesso e o momento em que elas devem ter acesso. Esse é outro ponto também. A gente precisa que as pessoas possam gerenciar o que realmente elas devem gerenciar. Então um usuário comum não pode, por exemplo, destruir uma máquina virtual. Ou criar algum recurso que não deveria ser criado, um recurso espião. Então a gente tem todos esses mecanismos para tornar o ambiente nuvem muito menos exposto, do que o ambiente on premise, o ambiente local. E a segunda pergunta Vinicius foi sobre os desafios da gestão e do time técnico?

Perrott: Isso.

Diogo: Aí eu tenho alguns desafios relacionados à capacitação, que em nuvem é muito mais ágil se fazer isso. Exatamente por conta da homogeneidade de conhecimento e de teoria para isso. Mas eu acho que o principal desafio e que é comum aos dois – tanto o time técnico, quanto o de gestão – é saber o que proteger. Qual é a jornada que a gente vai seguir no contexto de segurança? Porque não é de um dia para o outro que a gente vai falar: agora o meu ambiente está seguro. Existe toda uma jornada, desde o princípio, que é a análise do que eu vou realmente implementar. Subir no meu ambiente de nuvem. Ou até mesmo no ambiente local, no ambiente híbrido. Como que isso vai funcionar? E qual vai ser a jornada para chegar em um modelo que realmente eu consigo corrigir? Ou consigo ali, antecipar qualquer problema de segurança que eu tenho? Dentro do ambiente de Oracle Cloud a gente tem dois aspectos que valem citar. Um deles é o Cloud Guard que vai fazer exatamente isso: vai fazer um diagnóstico do que a gente tem em nuvem, ou do que o cliente tem em nuvem. E o que ele deveria realmente alterar de configuração no ambiente dele, para que se tornasse um ambiente mais seguro. Isso é gratuito. A partir do momento que o cliente tem acesso ao Oracle Cloud, ele consegue ter acesso ao Cloud Guard com todos os relatórios dele. E sugestões também de alteração de operação. Isso é bastante interessante. Não é só um relatório que ele tira. Ele tira o relatório e fala o que poderia ser alterado. E tem um botão de ação, que você pode ali executar essa alteração no momento que você recebe essa informação dentro do seu ambiente de nuvem. E tem outro aspecto que vale também considerar aqui que é o Data Safe. Dando nome aos bois. Dando nome aos nossos produtos. O Data Safe vai trabalhar principalmente na camada de banco de dados. Então, vamos supor que o cliente usa o banco de dados mais popular atualmente, o nosso Oracle. E ele precisa ali entender quais são as deficiências que ele tem dentro desse banco de dados, relacionadas à segurança. O Data Safe já vem embarcado de Oracle Cloud e caso ele rode o banco de dados em nuvem, como plataforma ali, no modelo Pass, o Data Safe também já está incluso na oferta. Então ele consegue fazer toda essa análise do banco de dados dele. O Data Safe vai trazer um relatório também, sugerindo alterações que podem ser realizadas no banco de dados, informando quais são os dados sigilosos, confidenciais, dentro de um modelo de dados que existe. E ele pode aplicar essas alterações dentro do banco de dados dele conforme a necessidade, conforme realmente a edição do banco de dados que ele tiver ali rodando. Então a gente tem essa questão toda: a proteção dos dados diretamente e a proteção do ambiente de nuvem e dos acessos todos de usuários, que precisam ali tanto ser observados por gestão, quanto pelos times técnicos.

Perrott: Uma coisa que você falou que eu fiquei até animado em saber. Existe então, um processo. Você falou: primeiro eu tenho que saber exatamente o que eu tenho que proteger. Mas para saber o que eu tenho que proteger, eu tenho que promover um assessment, eu tenho que levantar as informações. Fazer essa descoberta dentro do meu ambiente. E até mesmo, de uma forma mais cadenciada, mais estruturada. Sair do modelo de planilha e utilizar um conjunto de ferramentas que possa me trazer uma visão mais técnica e mais aprofundada e especializada. Então isso eu já fico muito animado. Em saber que existe um caminho. Existe um processo. E, provavelmente, quem está ouvindo nosso episódio também está entendendo que existe algo de fato prático. E que possa, inclusive, até finalizar esse PodCast, termine de ouvir, e vá lá implementar as soluções que o Diogo aqui acabou comentando. Mas Diogo, veja só: eu entendo que tem todo esse processo, essa forma de trabalhar. Mas isso é para todo mundo? Isso é para qualquer tipo de empresa? Como você tem visto a adoção de computação em nuvem com segurança e buscando soluções de segurança? Quais são os segmentos que estão mais em destaque? É só para grandes empresas ou não?

Diogo: Esse é um ponto legal Vinicius. Porque assim, hoje como segurança é um tema muito quente, todas as empresas estão preocupadas com segurança. Eu comentei ali que realmente é uma jornada. Então assim, a empresa muitas vezes, ela vai começar com um aspecto de segurança, que é o controle de acesso mesmo. Então eu vou colocar ali uma autenticação multifator, por exemplo. E aí ela vai se desenvolvendo para chegar em um nível mais robusto de segurança. Porém, todas elas estão muito preocupadas com essa questão de segurança. Por legislação, por impacto na marca, por todo esse contexto aí que já foi comentado. Mas o que é bastante interessante? Hoje a gente vê muitas empresas ou parceiros da Oracle se especializando no tema segurança. Porque todo mundo precisa. É aquela história: quando alguns choram, alguns vendem o lenço. A função da Oracle aqui é fazer com que o cliente não chore, para que ele não precise comprar o lenço. E existem outras empresas que realmente estão vendendo o lenço ali, para quando tem algum tipo de problema no cliente, eles vão lá e vendem o serviço de segurança, de manutenção, de correção de alguma coisa. Então, o nosso papel é dar as ferramentas para o cliente para que, no máximo possível, ele se mantenha dentro da operação dele com o mínimo possível de falhas de segurança, aí preferencialmente, zero. A gente tem diversas empresas se especializando também nessa área de segurança para fazer esse assessment que você comentou também, antecipando os problemas para os nossos clientes finais. Existe aí todo um modelo de parceria, muitas vezes. Algumas empresas que também fazem o processo de consultoria e acabam também aplicando esse tipo de assessment no cliente. E a gente tem empresas que já passaram por algum tipo de problema de segurança. E estão procurando essas empresas, esses parceiros, para apoiá-las. E aí é bastante interessante, porque a gente tem muito conteúdo voltado para a segurança. O próprio site da Oracle, enfim. Existem diversos relatórios sobre segurança. Diversos informes ali, com major profundidade sobre as soluções que são oferecidas também, para cada vez mais a gente mitigar os problemas, mitigar os erros e ter um ambiente sempre mais seguro. Precisa ter a segurança ali como foco. Segurança em primeiro lugar.

Perrott: Legal. Bem mestre, eu sei que a gente tem muito assunto para tratar, principalmente segurança. Dá para a gente fazer uma série aqui de 100 horas só sobre segurança e, principalmente, segurança em cloud. Mas eu queria agradecer a todos os insights que você compartilhou aqui. Porém, sempre uma pergunta que eu faço aqui aos meus convidados, para fechar o nosso episódio, que tem caráter, para você dizer aqui com a sua vontade, com a sua experiência, sobre um tema importante, que é o que acaba trazendo todo esse pano de fundo aqui do episódio. Então vamos lá. Para Diogo Shibata, o que é computação em nuvem?

Diogo: Vinicius, computação em nuvem, eu definiria como acessibilidade e inclusão tecnológica. Simples assim. Porque para você conseguir utilizar e acessar cloud computing, computação em nuvem, você precisa de um dispositivo. Simples. Simples, fácil, rápido. Então se torna acessível. E internet. Com isso você acessa o painel. E aí o mundo é seu dentro de cloud computing. E inclusão tecnológica, porque todo mundo de cloud computing, permite que você utilize sempre os recursos mais recentes, dentro de diversas nuvens, que você tem cada um oferecendo o que tem de melhor dentro da sua possibilidade. E você não precisa realmente ter um investimento muito grande financeiro, para trabalhar com essas últimas tecnologias. Então você consegue se inserir nesse mercado, utilizar processamento de alto desempenho, GPU, ver a questão de machine learning, inteligência artificial. Tudo isso que pode ser utilizado na nuvem da Oracle. Tudo isso você consegue com poucos clicks. Sem precisar de equipamento. Esperar chegar. Fazer o decoy. Então, acessibilidade e inclusão tecnológica. Essa é a forma como eu definiria cloud computing.

Perrott: Maravilha. Diogo, muito obrigado pela sua participação aqui na nossa minissérie. E até o próximo episódio.

Diogo: Valeu Vinicius. Muitíssimo obrigado pelo espaço. Eu espero ter conseguido agregar um pouquinho aí para o pessoal. Valeu. Um abraço grande.

E aí, o que achou desse episódio?

Aproveite para compartilhar com seus amigos, nas suas redes sociais.

Manda um comentário aqui para a gente, pode ser pelo Telegram. bit.ly/papocloudtelegram.

Até o próximo episódio do Papo Oracle Cloud!