Estratégia Zero Trust: Segurança na nuvem desde a concepção

Chamada para a mudança

Como vimos nos últimos 18 meses, a nuvem abre a porta para a agilidade organizacional em uma escala sem precedentes. Mas a segurança é essencial para aproveitar o potencial da nuvem. A Accenture, com nosso tamanho, escala e complexidade, vivenciou em primeira mão o poder da segurança na nuvem.

Há seis anos, a Accenture iniciou a mudança para a nuvem. Embora nossa pesquisa recente tenha identificado que o risco de segurança e conformidade é visto como um dos dois maiores pontos problemáticos da adoção de nuvem, desde o início ficou claro para nós que a segurança na nuvem seria um componente crítico para apoiar nossas necessidades de negócios.

A transição de uma infraestrutura local, na qual tínhamos controle total, para colaborar na nuvem com fornecedores e precisar confiar em sua tecnologia e ambiente foi uma grande mudança. A infraestrutura e as novas capacidades de serviços na nuvem são diferentes; não foi possível simplesmente traduzir o que tínhamos no local diretamente para a nuvem.

Precisamos reimaginar a abordagem para implementar nosso modelo de segurança para aproveitar as capacidades de soluções nativas da nuvem. Evoluímos princípios orientadores essenciais de segurança para atender aos requisitos de operar na nuvem. Redefinimos nossas regras de segurança para flexibilizar em torno da infraestrutura atualizada baseada em nuvem. Quando olhamos para nossa abordagem de segurança, pensamos além de apenas infraestrutura, também em nível de aplicação, dados e código.

Hoje, a infraestrutura de TI da Accenture opera na nuvem híbrida e custa significativamente menos do que nossos modelos legados de entrega. Nossa estratégia foi ser segura desde o início, reenquadrando nossa segurança em termos de capacidades de nuvem, o que nos ajudou a ver como nossas soluções de nuvem podem apoiar cada elemento de segurança necessário dentro do negócio.

Quando a tecnologia encontra a criatividade humana

No início de nossa jornada rumo à continuidade da nuvem, reconhecemos a necessidade de evoluir nossas práticas de segurança para acomodar nossos valores essenciais de segurança para a nuvem. Queríamos ser impulsionados por definição de software, protegendo nosso código de aplicativo e infraestrutura desde o início. Incorporamos análises baseadas no comportamento, utilizando análises comportamentais automatizadas de inteligência artificial (IA) para identificar anomalias com mais rapidez e precisão ao trabalhar em nossas plataformas em nuvem. Para nós era importante ser agnóstico à nuvem, adequado para um ambiente multinuvem, para que a estrutura e os princípios de segurança se apliquem a qualquer fornecedor de nuvem com auditabilidade.

Além disso, incorporamos uma defesa robusta, contando com várias camadas de segurança em diferentes profundidades: nuvem, rede, acesso, dados e endpoints. Centramos nossa estratégia em uma abordagem de Zero Trust, protegendo todos os aspectos da jornada de segurança na nuvem, tratando tudo como não confiável. Com o foco na Zero Trust, seguimos uma orientação centrada em identidades, baseando todo o acesso na identidade em que cada solicitação é explicitamente verificada.

Cinco funções essenciais contribuíram para uma jornada de segurança na nuvem bem-sucedida:

Compartilhamos responsabilidades. À medida que aumentamos nosso consumo de software como serviço (SaaS) e plataforma como serviço (PaaS) na nuvem, nos concentramos e confiamos em um modelo de responsabilidade compartilhada com nossos fornecedores de nuvem. Ao compartilhar a responsabilidade com nossos hiperescaladores, em vez de assumi-la sozinhos, ficamos inerentemente mais seguros. Nossas parcerias com os serviços de nuvem da Microsoft, Amazon e Google aproveitaram sua maturidade no mercado, suas amplas certificações de segurança e o fato de que eles valorizam a segurança tanto quanto nós.

Buscamos soluções baseadas em nuvem. Os provedores de nuvem estão investindo fortemente em suas ofertas de inovação e segurança. Ao usar políticas, controles, processos e tecnologias nativas da nuvem, conseguimos aproveitar uma agilidade e escala inerentes quando se tratava de apoiar nossa própria segurança na nuvem.

Possibilitamos a conformidade. Em parceria com nossos provedores, nossa estratégia de segurança na nuvem se ancora em padrões reconhecidos pelo setor e se adapta continuamente às necessidades de negócios corporativas. Seguimos as políticas definidas pelo setor, usando alertas, seguindo o princípio de zero trust e gerenciando a segurança por meio de código para manter a conformidade. Isso garante que nossos serviços, usuários, cargas de trabalho e dados estejam seguros no dia zero e permaneçam protegidos contra o cenário de ameaças em constante mudança, bem como auditáveis para validação de terceiros.

Aumentamos a visibilidade. Adotamos uma abordagem multicamada, aprimorando a segurança por meio da tecnologia dos fornecedores de nuvem e de soluções avançadas de detecção de ameaças. Ganhamos visibilidade não apenas para nossa própria gestão acionável, mas também para auditabilidade externa.

Conquistamos a confiança. Acreditamos que a identidade é o novo firewall. Nossa abordagem centrada em identidade significa que adotamos uma estratégia de zero trust na qual incorporamos validação de identidade adequada e contínua. A confiança agora será fundamentalmente impulsionada por identidade e função.

Uma diferença valiosa

Adotamos uma visão abrangente sobre os vários componentes de operar na nuvem para criar uma estratégia de segurança na nuvem verdadeiramente holística. À medida que implementamos essa abordagem transformacional de segurança em uma infraestrutura multinuvem, podemos continuar a aplicar políticas, recursos e serviços de segurança altamente eficazes.

Aqui estão algumas de nossas lições aprendidas sobre segurança na nuvem eficaz:

• Projete em termos da nuvem: Uma jornada Cloud Continuum requer um modelo operacional muito diferente de qualquer solução local. Reformule seus princípios de segurança em termos da nuvem para liberar o poder da segurança na nuvem e transformar seu negócio.

• Faça a mudança cultural: Reduza a distância cultural para adoção de serviços nativos de nuvem, começando pela liderança. Educação e treinamento podem ajudar a mudar mentalidades para que as pessoas entendam os benefícios da nuvem e por que sua postura de segurança é importante.

• Promova parceria: Em qualquer jornada pela continuidade da nuvem, é preciso não apenas transferir parte do controle para terceiros, mas também aproveitar a sofisticação das soluções em nuvem. É importante construir relacionamentos de confiança com seus provedores e olhar para a propriedade da segurança como compartilhada.

No futuro, para proteger e gerenciar os controles de acesso em ambientes multinuvem, buscamos o alinhamento entre plataformas, garantindo que todas as identidades estejam unificadas em todas as plataformas e provedores. Usando dados como principal impulsionador, nossa segurança na nuvem continuará a ser abrangente à medida que nossas capacidades de nuvem cresçam nas plataformas.

E queremos descobrir novas soluções e ampliar nossa segurança com IA para detecção de ameaças e aprendizado de máquina para remediar nosso código e evitar vulnerabilidades potenciais. Isso combinado com nossa estratégia Prevenir, Proteger, Detectar, e Recuperar pode fortalecer nosso imperativo de zero trust.