Especialistas dizem que você ainda precisa fazer o trabalho pesado para garantir a segurança forte e políticas de acesso
crédito: ThinkPhoto
O maior fato de que as organizações que estão construindo ambientes de nuvem não entendem sobre governança no novo mundo da infraestrutura-como-um-serviço (IaaS) é que, apesar da entrega de certas funções de TI, a responsabilidade em torno de governança ainda está dentro de casa.
Dentro da estrutura tradicional de TI, as empresas poderiam contornar alguns dos reais desafios de governança por reprimir certos cenários de implantação e manter algo questionável dentro de quatro paredes e sob o controle de segurança da TI interna. Isso não é tão fácil com um verdadeiro ambiente de nuvem, que mistura-se entre as nuvens privadas e públicas, em última análise, com os aplicativos em execução entre os dois, dependendo da demanda e caso de uso.
“O que é ótimo sobre a computação em nuvem é que ela oferece uma grande quantidade de agilidade, mas que representa um desafio para a governança”, disse Bernard Golden, vice-presidente de soluções corporativas do EnStratus, um provedor de gerenciamento de nuvem e de governança. “No passado, mesmo se você não fez governança muito bem, todos e tudo ainda estavam na mesma caixa de proteção. Mas agora você não pode confiar nisso.”
A maioria dos provedores de cloud computing IaaS, mesmo aqueles com Payment Card Industry (PCI) ou outras certificações de conformidade, vai assumir a responsabilidade de garantir seus centros de dados e os serviços que funcionam dentro deles, mas eles param de tomar posse de qualquer coisa feita em cima de sua infraestrutura virtualizada, alerta James Staten, vice-presidente e analista principal da Forrester Research. “O provedor de nuvem é apenas parcialmente responsável pela governação, somente até o ponto de captação, onde os seus serviços param”, disse Staten. “Todo o resto é seu”.
O que faz essa lacuna – ou como Forrester descreve, o “aperto de mão desigual” – significa em termos de uma real aplicação baseada em nuvem? Considere um site que processa cartões de crédito. O provedor de nuvem é responsável por atender aos requisitos do PCI no centro de dados, através das máquinas virtuais, através dos volumes de armazenamento e infraestrutura de rede que é atribuído ao cliente.
No entanto, ainda é responsabilidade do cliente documentar como eles protegem o aplicativo, como patches de segurança são aplicados ao sistema operacional, se os dados são criptografados em voo ou quais portas estão abertas para o mundo exterior. “As pessoas vão para um provedor de nuvem que tem uma certificação de segurança de dados PCI-DSS e acham que não tem nada para se preocupar, mas não é verdade”, conta Staten.
Mesmo as empresas sintonizadas com os desafios da governação na nuvem frequentemente subestimam o equilíbrio delicado de alavancar os benefícios de autoatendimento e agilidade que a nuvem proporciona, com a exigência de manter e gerenciar alguns controles centralizados. “No mundo nuvem, uma das coisas que você realmente está dirigindo é essa noção de autoatendimento, mas o desafio é como conciliar isso com a governação”, disse Dave Roberts, vice-presidente de estratégia e evangelista na ServiceMesh. “Você precisa de governança que trabalhe de maneira que respeite o processo criativo e o promova, mas ao mesmo tempo, que garanta que as coisas estão sendo verificadas e controladas”.
Alguns, como Roberts, acreditam que a governança efetiva na nuvem não é realmente possível sem algum tipo de automação que utilize as regras prescritas para assegurar os níveis de segurança adequados e políticas de acesso aplicadas, que as cargas de trabalho são expedidas para os ambientes adequados ou que os dados não são movidos para uma jurisdição errada, com base em padrões regulatórios globais. Dada a natureza ágil de uma nuvem, processos de governança tradicionais (muitos dos quais podem exigir intervenção humana) só não vão cortá-la neste novo ambiente, de acordo com Roberts.
“A nuvem é muito dinâmica e os processos antigos apenas não podem se manter”, explicou. “Tudo o que exige uma assinatura humana ou um humano no circuito para fazer o provisionamento é muito lento. Você precisa de um sistema de máquina para impor regras de governança e ele precisa ser construído para alto volume sem intervenção humana.”
Outra questão a considerar para aliviar o fardo da governação na nuvem está alavancando políticas internas de TI e serviços de diretório como LDAP para que haja uma visão consistente dos direitos de acesso e políticas em ambos os sistemas internos e externos. Ter a capacidade de orquestrar controles de acesso para quem faz o que é uma outra consideração ao avaliar os provedores de nuvem em nuvem, juntamente com a gestão e ferramentas de governança, dizem especialistas.
Finalmente, as empresas precisam também olhar para os seus modelos organizacionais e assegurar que a governabilidade não é de responsabilidade exclusiva de TI.
Nenhum comentário:
Postar um comentário
deixe aqui seu comentário