Cloud Security.. Direções no ano de 2022

Muitos e muitos posts falando sobre as possíveis “tendências” de Cloud Security para 2022. Eu efetivamente não gosto da palavra “previsão”, apesar de ser a mais utilizada pelos jornalistas mas, vou focar em tendências.. Abaixo um resumo das principais citadas nos canais de Segurança mundo afora:

- O crescimento do chamado “serverless”. Muitas empresas não somente adotando o “FaaS” (Função como Serviço) mas também começando a explorar a quantidade de ofertas que começam a aparecer como por exemplo o “AWS Pinpoint” que é um serviço de mensageira de fácil configuração e integração. Com o aumento de adesão a estas novas funcionalidade aparece uma nova necessidade de pensamento em Segurança. Mais uma novidade para quebrar a cabeça

- DevSecOps e DevOps. Muitas empresas adotando o “Infrastructure-as-Code (IaC)” para criar seu ambientes autônomos e, a área de Segurança precisa estar a frente destes desenvolvimentos e integrações. Adicionalmente leis e regulamentações irão começar a pegar no pé do “Privacy by Design” e “Security by Design” então já é melhor começar a pensar em como trazer esta galera pro lado da Segurança

- SaaS Security precisa ser levada a sério. Em 2021 vimos vários problemas originários de falta de configuração ou, configurações erradas em servidores em cloud. Com isso também vimos um aumento de ferramentas para monitoração e controle de Segurança. 2022 promete ser o ano de implementação e utilização destas ferramentas

- Nuvens múltiplas estão ai e precisam ter seus riscos mitigados. Muitas equipes trabalhado ao mesmo tempo e subindo várias coisas sem qualquer alinhamento. Chegou a hora do time de Segurança começar a monitorar estas demandas que surgem como chocolate Kinder Ovo (cada dia uma surpresa diferente)

- Controle de acesso e mais controle de acesso. Plataformas em Cloud por natureza já estão expostas mundo afora e, o mínimo que podemos fazer é tratar com seriedade o controle de acesso aos servidores e aplicações. Implementação de um modelo de RBAC (Role based access control) talvez não seja a solução mas um modelo de ABAC (attribute-based access control) pode trazer mais segurança ao ambiente

- Monitoração do ambiente e atenção a indústria. Várias indústrias possuem ataques direcionados como RAT e malwares em Bancos, Ransomwares em hospitais e cidades e por ai vai.. Entenda sua indústria e quais os percalços que ela possui e assim priorize suas ações