theNet by CLOUDFLARE

Conformidade multinuvem em um mundo multijurisdicional

A nuvem obscura: riscos incertos com consequências graves

As oportunidades oferecidas pela nuvem continuam a superar em muito os riscos. E grande parte do risco gira em torno da regulamentação, devido à possibilidade de que os dados sejam armazenados, acessados, alterados ou vazados de uma forma que coloque uma organização fora de conformidade com o grupo cada vez mais complexo de estruturas regulatórias de proteção de dados e privacidade.

Pior ainda, muitos profissionais de TI e segurança nem sequer têm visibilidade de onde esses riscos podem estar. A visibilidade fica mais difícil com dados e cargas de trabalho espalhados por ambientes multinuvem. A nuvem se tornou uma névoa, obscurecendo os riscos de conformidade ocultos. E enquanto isso, os requisitos jurisdicionais que as organizações internacionais devem cumprir continuam se multiplicando.

Como as estruturas de segurança tradicionais se mostraram inadequadas para gerenciar esses riscos de conformidade, as equipes de TI e os agentes de conformidade precisam de uma nova abordagem, uma que lhes permita identificar e mitigar violações em nuvem antes que aconteçam.

O desafio da conformidade em nuvem

Quando dados hospedados em nuvem são expostos, as organizações perdem a confiança dos clientes, sofrem danos à reputação e ficam sujeitas à fiscalização regulatória. No pior dos cenários, uma violação de dados pode resultar em multas se os reguladores acreditarem que uma organização não tomou medidas razoáveis para proteger seus dados.

As exposições ocorrem de várias maneiras, desde engenharia social até controle de acesso inadequado e violações de dados completas. No entanto, a nuvem oferece obstáculos e desafios únicos para evitar a exposição de dados. Especificamente, com a responsabilidade pela segurança compartilhada entre o provedor de nuvem e o cliente de nuvem, as configurações incorretas são um grande risco.

Erros humanos não intencionais, em particular, configurações incorretas, são um dos principais riscos para os dados em nuvem. Implantações em nuvem pública que são deixadas acidentalmente expostas à internet pública ou configuradas incorretamente podem levar a grandes violações.

As configurações incorretas em nuvem estão aumentando. À medida que mais empresas fazem a transição para serviços baseados em nuvem, a superfície de ataque se expande, aumentando o risco de exposição devido a recursos mal configurados.

Muitas vezes, os problemas são detectados somente após configurações incorretas já terem tido um impacto. Isso ocorre porque muitos tipos de soluções de segurança em nuvem amplamente utilizadas, como serviços de gerenciamento de postura de segurança em nuvem (CSPM) ou plataforma de proteção de aplicativos nativos em nuvem (CNAPP), identificam os sintomas após o fato.

A detecção posterior leva a alertas, que podem demorar algum tempo para serem corrigidos, deixando os recursos em nuvem temporariamente expostos. Quando uma organização percebe que está fora de conformidade ou exposta a ataques devido a configurações incorretas, pode ser tarde demais.

Há também uma infinidade de outros desafios para garantir a segurança, a integridade e a conformidade dos dados em nuvem, incluindo:

  • Exfiltração de dados: os ativos digitais oferecem todos os tipos de vetores de ataques a partes maliciosas, esteja um ativo em nuvem ou no local. No entanto, as implantações multinuvem representam ameaças adicionais, uma vez que a infraestrutura física fica fora da jurisdição e responsabilidade direta de uma organização. Desde simples ataques de engenharia social até explorações de vulnerabilidades altamente personalizadas, os invasores têm vários métodos para extrair dados da nuvem.

  • Infraestrutura em nuvem oculta: as organizações muitas vezes acabam com instâncias em nuvem abandonadas ou esquecidas. Isso acontece naturalmente à medida que as organizações trocam, mudam e expandem, e as funções e responsabilidades se ajustam. Também pode ocorrer quando funcionários bem-intencionados decidem resolver o problema por conta própria para realizar seu trabalho, mas vão além dos procedimentos de TI aprovados. O resultado pode ser uma infraestrutura em nuvem oculta que não é contabilizada e não é protegida por políticas de segurança.

  • Multilocação: as nuvens públicas são compartilhadas entre muitas organizações, e a responsabilidade de protegê-las fica entre o provedor de nuvem e os clientes da nuvem. Os dados hospedados em nuvem podem ser compartilhados acidentalmente com outros locatários da nuvem se os perímetros de segurança não forem aplicados.

Esses problemas de segurança em nuvem podem persistir, deixando as organizações expostas. Em relação à conformidade regulatória, à saúde financeira e à segurança geral da organização, os riscos são altos. As multas cobradas somente pelo Regulamento Geral sobre a Proteção de Dados (RGPD) da UE podem variar de até 20 milhões de euros ou 4% da receita anual mundial da empresa, o que for maior.

O mundo multijurisdicional

Para tornar a segurança e a conformidade mais complicadas, cada jurisdição tem seus próprios regulamentos. As medidas de segurança e privacidade variam em todo o mundo. Alguns dos principais regulamentos incluem:

  • O RGPD e a Diretiva NIS2 têm autoridade sobre dados de residentes da UE

  • A Lei de Proteção de Dados Pessoais Digitais (DPDP) regula dados pessoais na Índia

  • Regulamentos específicos do estado ou do setor nos Estados Unidos (por exemplo, CCPA, HIPAA)

  • Regulamentos de setor, como o PCI DSS, que controla como os dados pessoais de pagamentos são tratados

Garantir que todas as instâncias em nuvem estejam em conformidade com todas as estruturas regulatórias relevantes é quase impossível apenas com esforço manual. Também é difícil demonstrar conformidade sem auditorias regulares de todos os dados e sistemas, uma tarefa ainda mais difícil quando as organizações dependem de implantações multinuvem entre vários provedores de nuvem. Esse trabalho demorado também pode dificultar a expansão e o desenvolvimento da empresa à medida que as organizações buscam entrar em novos mercados.

A solução para a segurança em nuvem

Para reduzir a incidência de configurações incorretas dispendiosas, as organizações devem adotar uma abordagem preventiva, protegendo o ponto de controle onde ocorre quase toda a atividade em nuvem e SaaS: as chamadas de API. Embora prevenir todos os erros de configuração com antecedência seja impossível, as organizações devem ser capazes de inspecionar todas as chamadas de API em linha, à medida que novas instâncias em nuvem são implementadas, e não apenas depois que o dano for feito. Além disso, as equipes precisam de maneiras de encontrar e mitigar erros e impor a conformidade automaticamente, para que não precisem adicionar etapas manuais.

Uma plataforma de segurança baseada em nuvem pode ajudar você a implementar essa abordagem preventiva, se ela for capaz de definir regras e estabelecer controles na borda.

A Cloudflare simplifica a conformidade de segurança em nuvem para os clientes, avaliando e aplicando automaticamente configurações seguras, ajudando a garantir segurança e conformidade robustas com as estruturas regulatórias mais comuns. A Cloudflare inspeciona o tráfego de APIs em nuvem, oferecendo às organizações visibilidade aprimorada e controles granulares, além de permitir uma abordagem proativa na mitigação de riscos e no gerenciamento da postura de segurança em nuvem.

Ao fornecer controles e proteções em todos os locais regionais, a Cloudflare ajuda a evitar diversas configurações incorretas em nuvem que podem deixar você vulnerável e comprometer a conformidade. E, ao colocar esses recursos em linha (entre sua organização e as nuvens que você está usando), a plataforma da Cloudflare centraliza o gerenciamento de controles de segurança e desempenho. Como resultado, você pode continuar a aproveitar ao máximo várias nuvens, em diversas jurisdições, aumentando a eficiência e mitigando os riscos.

Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.

Principais conclusões

Após ler este artigo, você entenderá:

  • Os riscos de segurança e conformidade da computação em nuvem

  • Como o uso de uma infraestrutura multinuvem pode levar a configurações incorretas

  • Possíveis soluções para a conformidade de dados em várias nuvens e diversas jurisdições.

Recursos relacionados

Saiba mais sobre esse assunto

Saiba mais sobre como proteger serviços de aplicativos baseados em nuvem no artigo técnico Três desafios para proteger e conectar serviços de aplicativos .

Receba um resumo mensal das informações mais populares da internet.

Assine o theNET

COMECE A USAR

SOLUÇÕES

SUPORTE

CONFORMIDADE

INTERESSE PÚBLICO

EMPRESA

© 2025 Cloudflare, Inc.Política de privacidadeTermos de UsoDenuncie problemas de segurançaConfiança e segurançaMarca registradaImpressum