A  segurança sempre foi a principal preocupação para os responsáveis de dados de uma empresa, e essa preocupação permanece à medida que as empresas transferem cada vez mais os seus negócios para a cloud. Este tema suscita uma polaridade de opiniões interessante, existindo uma corrente que questiona esta segurança e outra que a dá como quase assegurada, uma vez que os fornecedores de serviços cloud a controlam. 

Como quase tudo na vida, o segredo está em encontrar a posição de equilíbrio. Apesar de ser certo que os fornecedores de serviços cloud de referência são especializados em segurança e estão empenhados na sua manutenção, a realidade é que a segurança dos dados colocados na cloud depende dos mecanismos de segurança aplicados. No ambiente cloud, os fornecedores são responsáveis pela segurança da cloud, mas as empresas são responsáveis pela segurança dos dados que aí colocam.  

A velocidade da adoção da cloud por parte das empresas e a rapidez com que os fornecedores oferecem novos serviços exige uma abordagem estruturada à segurança, garantindo que esta é pensada de forma contínua, desde a conceção de uma solução à implementação e monitorização/validação contínua. 

Esta abordagem deve considerar vários pontos: uma revisão das políticas e procedimentos de segurança, de forma a incluir as especificidades da infraestrutura e serviços na cloud; a criação de uma arquitetura de segurança específica para a cloud, visto existirem diferenças na proteção de ambientes na cloud, bem como ferramentas, processos e competências; a configuração da segurança para a nova realidade e a implementação de automatismos que certifiquem que o ambiente cloud está configurado de forma compatível com as regras e políticas definidas, aplicando melhores práticas de mercado, diminuindo a possibilidade de erro humano e potenciando a normalização; a identificação dos controlos necessários para monitorizar continuamente as políticas e controlos para assegurar que se mantêm adequados; a mudança para um modelo DevSecOps, onde a infraestrutura é tratada como um código de aplicação e é validada antes de ser implementada para verificar erros de configuração ou incompatibilidades. 

Para garantir a segurança dos dados na cloud, é necessário garantir que há um maior controlo sobre quem pode aceder aos ambientes, à sua configuração e aos dados, bem como o que é permitido fazerem; é preciso capturar e registar todas as atividades e implementar mecanismos de correlação de eventos entre os ambientes cloud e os ambientes no centro de dados; e assegurar que os repositórios de dados estão encriptados e que todas as comunicações, transferências e acessos a dados se realizam através de canais seguros/encriptados.

Os desafios da adoção da cloud estendem-se à sua operação e monitorização, sendo que as organizações têm de conseguir analisar e monitorizar todos os ambientes cloud, de forma integrada com os restantes sistemas, para identificar anomalias e corrigi-las em conformidade. 

Costumamos ouvir que a cloud é mais segura que os centros de dados locais de uma empresa tradicional. Isso é verdade se estivermos a falar de proteção dos fornecedores em relação ao acesso aos seus serviços. Isso não significa que os ambientes aí criados sejam automaticamente mais seguros. À medida que as empresas transferem sistemas para a cloud, e para diferentes clouds de fornecedores, é preciso ir além das soluções base que cada fornecedor de serviços oferece e aplicar uma abordagem única e aplicável a todos os ambientes. Essa é a chave para manter a segurança desde o início num ambiente híbrido e multi-cloud.