Estratégia Zero Trust: segurança na cloud desde a conceção

Apelo à mudança

Como temos visto nos últimos 18 meses, a cloud abre as portas à agilidade organizacional a uma escala sem precedentes. Mas a segurança é essencial para tirar partido do potencial da cloud. Com a sua dimensão, escala e complexidade, a Accenture conhece em primeira mão o poder da segurança na cloud.

Há seis anos, a Accenture iniciou a migração para a cloud. Embora o nosso estudo recente tenha identificado que o risco de segurança e conformidade é visto como um dos dois principais pontos problemáticos da adoção da cloud, sabíamos desde o início de que a segurança na cloud seria uma componente crítica para satisfazer as necessidades do nosso negócio.

A transição de uma infraestrutura local, onde tínhamos o controlo total, para a colaboração na cloud com fornecedores, com uma dependência da respetiva tecnologia e ambiente, foi uma grande mudança. A infraestrutura e as novas funcionalidades de serviço na cloud são diferentes; não podíamos simplesmente transpor para a cloud o que tínhamos localmente.

Precisávamos de repensar a abordagem para implementar o nosso modelo de segurança, de forma a aproveitar as capacidades das soluções nativas da cloud. Desenvolvemos princípios orientadores de segurança essenciais para satisfazer os requisitos de operação na cloud. Redefinimos as nossas regras de segurança para que se adaptassem à infraestrutura atualizada baseada na cloud. Ao analisarmos a nossa abordagem de segurança, vamos além da infraestrutura e consideramos também os níveis de aplicação, dados e código.

Hoje, a infraestrutura de TI da Accenture opera na cloud híbrida e custa significativamente menos do que os nossos modelos de prestação antigos. A nossa estratégia foi dar prioridade à segurança desde o início, reformulando a nossa abordagem de segurança em termos de recursos da cloud, o que nos ajudou a perceber como as nossas soluções na cloud podem suportar todos os elementos de segurança necessários para o negócio.

Quando a tecnologia se alia ao engenho humano

Logo no início do nosso percurso rumo ao continuum da cloud, reconhecemos a necessidade de desenvolver as nossas práticas de segurança para as adaptar aos nossos principais valores de segurança na cloud. Queríamos que o nosso código de infraestruturas e aplicações se definisse por software, garantindo sua a segurança desde o início. Integrámos análises orientadas para o comportamento, utilizando inteligência artificial (IA) automatizada para identificar anomalias de forma mais rápida e precisa nas nossas plataformas da cloud. Para nós, era importante sermos agnósticos em relação à cloud, adequados para um ambiente multicloud, de tal forma que a estrutura e os princípios de segurança se aplicassem a qualquer fornecedor de cloud, com capacidades de auditoria.

Além disso, integrámos uma defesa robusta, baseada em várias camadas de segurança em diferentes níveis de profundidade: cloud, rede, acesso, dados e endpoints. Centrámos a nossa estratégia numa abordagem Zero Trust, protegendo todos os aspetos do percurso de segurança na cloud e tratando tudo como não fiável. Com o foco no princípio Zero Trust, adotámos uma abordagem centrada na identidade, baseando todo o acesso na identidade, onde cada pedido é explicitamente validado.

Cinco funções essenciais contribuíram para um percurso de segurança na cloud de sucesso:

Partilhámos responsabilidades. À medida que aumentámos o nosso consumo de software como um serviço (SaaS) e de plataforma como um serviço (PaaS) na cloud, focámo-nos e confiámos num modelo de responsabilidade partilhada com os nossos fornecedores de cloud. Ao partilhar a responsabilidade com os nossos fornecedores de hiperescala em vez de a assumirmos na totalidade, tornamo-nos inerentemente mais seguros. As nossas parcerias com os serviços de cloud da Microsoft, Amazon e Google tiraram partido da maturidade destas empresas no mercado, das suas amplas certificações de segurança e do facto de valorizarem a segurança tanto quanto nós.

Procurámos soluções baseadas na cloud. Os fornecedores de cloud estão a investir fortemente nas suas ofertas de inovação e segurança. Ao utilizarmos políticas, controlos, processos e tecnologias nativas da cloud e baseadas na cloud, conseguimos tirar partido de uma agilidade e escalabilidade inerentes no que diz respeito ao suporte da nossa própria segurança na cloud.

Possibilitámos a conformidade. Em parceria com os nossos fornecedores, a nossa estratégia de segurança na cloud baseia-se em normas reconhecidas pelo setor e adapta-se continuamente às necessidades de negócio das empresas. Cumprimos as políticas definidas pelo setor, utilizando alertas, seguindo o princípio Zero Trust e gerindo a segurança através de código para manter a conformidade. Isto garante que os nossos serviços, utilizadores, cargas de trabalho e dados estão seguros desde o primeiro dia e permanecem protegidos contra o cenário de ameaças em constante evolução, além de serem auditáveis para validação por terceiros.

Aumentámos a visibilidade. Adotámos uma abordagem multicamadas, melhorando a segurança através da tecnologia de fornecedores de cloud e soluções avançadas de deteção de ameaças. Ganhámos visibilidade não só para a nossa própria gestão prática, mas também para a auditoria externa.

Desenvolvemos confiança. Acreditamos que a identidade é a nova firewall. A nossa abordagem centrada na identidade significa que adotámos uma estratégia Zero Trust, na qual integramos a validação de identidade adequada e contínua. A confiança será agora fundamentalmente impulsionada pela identidade e pela função.

Uma diferença valiosa

Adotámos uma visão abrangente das várias componentes da operação na cloud para criar uma estratégia de segurança na cloud verdadeiramente holística. Ao implementarmos esta abordagem transformadora de segurança numa infraestrutura multicloud, podemos continuar a aplicar políticas, recursos e serviços de segurança altamente eficazes.

Eis algumas das lições que aprendemos sobre segurança eficaz na cloud:

• Conceber a pensar na cloud: um percurso rumo ao continuum da cloud exige um modelo operacional muito diferente de qualquer solução no local. Repense os seus princípios de segurança em termos de cloud para desbloquear o poder da segurança na cloud e transformar o seu negócio.

• Proceder à mudança cultural: colmate a lacuna cultural em relação aos serviços nativos da cloud, partindo da liderança para a base. A educação e a formação podem ajudar a mudar mentalidades para que as pessoas compreendam os benefícios da cloud e porque é que a sua postura de segurança é importante.

• Promover parcerias: Qualquer percurso rumo ao continuum da cloud envolve não só delegar uma certa quantidade de controlo a terceiros, mas também herdar a sofisticação das soluções da cloud. É importante construir relações de confiança com os seus fornecedores e encarar a responsabilidade pela segurança como partilhada.

No futuro, de forma a garantir e gerir os controlos de acesso num ambiente multicloud, o nosso objetivo é o alinhamento entre plataformas, de forma a que todas as identidades sejam consistentes em todas as plataformas e fornecedores. Utilizando os dados como principal fator de influência, a nossa segurança na cloud continuará a ser abrangente à medida que as nossas capacidades na cloud crescem em todas as plataformas.

E queremos descobrir novas soluções e melhorar a nossa segurança com a IA para a deteção de ameaças e a aprendizagem automática para corrigir o nosso código e prevenir possíveis vulnerabilidades. Isto, aliado à nossa estratégia de Prevenir, Proteger, Detetar e Recuperar, pode fortalecer o nosso imperativo de Zero Trust.