Nos últimos anos temos presenciado como a cloud pública passou de ser um conceito inovador a uma realidade disruptiva. Esta disrupção é essencialmente impulsionada pela democratização das tecnologias e o acesso a soluções que outrora eram acessíveis somente a empresas de grande dimensão.
Desde 2019, a pandemia e a consequente falta de semicondutores impulsionaram o movement para a cloud, inclusive nos setores mais conservadores. Esta escassez de componentes, que segundo as previsões mais conservadoras poderá estender-se pelo menos até finais de 2022, coincide também com um aumento exponencial dos ciberataques.
Por esta razão, graças ao modelo ready-to-use, a cloud torna-se uma alternativa viável, principalmente para aquelas empresas que não podem aguardar os prolongados prazos de entregas atuais.
A adoção da cloud traz benefícios indiscutíveis, não só porque permite resolver as dificuldades associadas às falhas nas cadeias globais de abastecimento, mas também porque simplifica o trabalho remoto, permite a modernização das infraestruturas e aplicações, além de constituir um fator fulcral para a segurança das empresas, dentro e fora dos seus perímetros.
De acordo com um estudo feito pelo IDC, 2022 será o ano onde o 85% das empresas a nível global vão contar com uma estratégia híbrida para sustentar os sistemas legacy, mas também vão continuar a incorporar várias clouds públicas.
Esta heterogeneidade também se situa ao nível dos workloads. Atualmente é bastante comum que as empresas não se limitem apenas a fazer um lift and shift, mas que optem por utilizar arquiteturas modulares como serverless ou microservices.
Por sua vez, esta diversidade traz também alguns desafios e riscos que, se não mitigados atempadamente, podem condicionar o sucesso da jornada continuada para a cloud.
Não existem fórmulas mágicas que permitam aproveitar ao máximo os benefícios da cloud e mitigar os riscos associados a esta nova realidade. Contudo, com o objetivo de garantir a sustentabilidade do negócio a longo do tempo, é importante contemplar 3 aspetos fundamentais na adoção da cloud: definir uma visão estratégica, estabelecer uma abordagem moderna de segurança e implementar uma framework de governance.
Visão estratégica
Qualquer esforço de transformação digital leva à necessidade de delinear uma estratégia clara que envolva as pessoas, as tecnologias e os processos. Esta estratégia deve estar motivada não só pela necessidade de satisfazer os desafios tecnológicos, mas também de atingir os objetivos mais relevantes para o negócio. Começar a fazer o movement para a cloud sem uma visão estratégica pode representar um risco para o crescimento do negócio.
Esta estratégia deve contemplar, em primeiro lugar, uma análise aprofundada do ambiente existente, de modo a traçar um plano de transformação dos workloads, que vise definir uma arquitetura concebida com base nas melhores práticas, assim como obter expetativas de custos altamente precisas. Por outro lado, é necessário implementar uma plataforma de cloud moderna, suficientemente robusta e preparada para receber, quer as aplicações e workloads atuais, quer as aplicações futuras.
Esta plataforma, ou landing zone, deve ter a capacidade de reunir todos os elementos necessários para gerir e operar o ecossistema tecnológico das empresas com base na definição de políticas de segurança e conformidade, alta disponibilidade, continuidade do negócio em caso de falhas, erro humano ou desastres, um modelo de governance, assim como acompanhar a inovação contínua durante todo o ciclo de vida do negócio.
Esta estratégia vai permitir estabelecer os fundamentos sólidos necessários para sustentar o crescimento do negócio, independentemente do modelo cloud subjacente, seja híbrido ou multicloud.
Redefinir o modelo de segurança
A segurança, tal como a transformação digital, é uma jornada, o que significa que tem de evoluir ao longo do tempo. Uma abordagem de segurança tradicional, cujo foco principal assenta em proteger o acesso à rede corporativa com firewalls e VPNs, é importante, mas não suficiente, na medida em que os utilizadores, assim como os dispositivos que acedem aos dados, estão localizados tanto dentro como fora da rede corporativa. O princípio de segurança Zero Trust, ou confiança zero, defende uma abordagem de segurança sem perímetro, de modo a proteger uma superfície de ataques cada vez mais abrangente. O modelo Zero Trust assenta em três princípios: a verificação explícita e contínua, a atribuição dos privilégios de acesso mínimos necessários e, por fim, a perceção que os ataques de segurança podem acontecer.
As áreas de defesa deste tipo de arquiteturas por norma são constituídas, mas não se limitam à proteção das identidades, o que permite verificar constantemente que apenas as pessoas, os dispositivos e os processos aos quais foi concedido acesso aos recursos possam aceder aos mesmos. Adicionalmente, permitem proteger os endpoints, incluindo os dispositivos IoT, através de uma validação ao nível do hardware e, consequentemente, permitem o acesso aos mesmos apenas se reunirem as condições de segurança e conformidade definidas. Esta validação também é feita ao nível das aplicações, sejam elas cloud ou on-premises, assim como a camada de rede, incluindo os seus recursos dentro do perímetro corporativo como parte fundamental da solução.
Numa arquitetura desta natureza também é possível estabelecer uma supervisão ao nível da infraestrutura, independentemente de residir na cloud ou no datacenter local, ou inclusive de estar constituída por workloads heterogéneos, nomeadamente containers, microservices, máquinas virtuais, entre outros. E finalmente, avaliar continuamente e proteger à informação de acessos indevidos, quer aos sistemas de gestão documental, aos conteúdos estruturados ou aos dados não estruturados.
As arquiteturas que seguem o princípio Zero Trust usualmente estão mais preparadas para responder rapidamente às ameaças de segurança e podem ser implementadas de uma forma faseada, dando prioridade às áreas que têm maior impacto para o negócio.
Naturalmente, a segurança não se limita somente ao domínio da adoção de ferramentas. É preciso também geri-las, o que significa que é necessário adotar uma estratégia que combine também pessoas e processos. Esta gestão carece de tempo, recursos, e acima de tudo, competências. Os Managed Services, sustentados por um Centro de Operações de Segurança Global e equipas especializadas em segurança visam garantir uma proteção 360º e constituem uma alternativa aliciante para aquelas empresas que não contam com equipas dedicadas in-house.
Framework de Governance
A cloud mudou o paradigma do governance. As arquiteturas híbridas e multicloud, trazem desafios acrescidos. Manter o controlo e a uniformidade dos processos em ecossistemas heterogéneos é complexo, e esta dificuldade advêm principalmente da falta de visibilidade e controlo dos workloads alojados em várias plataformas. Esta inconsistência pode rapidamente conduzir ao caos, principalmente quando as empresas começam a escalar.
Para colmatar estes riscos é necessário implementar uma framework de governance e estabelecer políticas corporativas que permitam garantir que todos os recursos seguem os princípios definidos pelas organizações, independentemente da tipologia e localização subjacente.
Esta framework visa simultaneamente aumentar o controlo e a consistência dos recursos, estabelecer uma baseline de segurança e conformidade, simplificar a gestão de custos, assim como acelerar e automatizar a implementação de novos workloads.
A governação do IT não se trata apenas de estabelecer controlos rigorosos, mas também de dar autonomia e agilidade às pessoas para atingirem mais depressa as metas do negócio.
Imagine que precisa de dar liberdade às suas equipas para desenvolverem e implementarem as aplicações, e ao mesmo tempo garantir que estas novas aplicações cumprem com uma política interna da organização, por exemplo, de manter os dados dentro do espaço da União Europeia por razões de compliance. Este objetivo pode ser alcançado com uma estratégia de governance.
O governance permite também estabelecer políticas de segurança que limitem, por exemplo, a utilização de recursos de CPU e memória, de modo a mitigar eventuais exhaustion attacks dirigidos aos containers num cluster Kubernetes.
Outro exemplo pode ser a criação de regras que limitem apenas o aprovisionamento dos serviços de computação e/ou storage permitidos pela empresa, de forma a melhor gerir os budgets definidos.
Tudo isto é possível através da implementação de uma Landing Zone que incorpore uma framework de governance agnóstica a tecnologias e plataformas.
A Logicalis enquanto Azure MSP Expert, tem como missão ajudá-lo a fazer face a estes desafios de transformação, enquanto a sua organização mantém o foco naquilo que é mais importante para si, o desenvolvimento do seu negócio.
Júlio Agelvis
Design Consultant, Cloud Services da Logicalis Portugal
