Forma de aprimorar a segurança na nuvem por meio de estratégias financeiras.
Texto parafraseado: Finops traz vantagens claras do ponto de vista financeiro, porém a segurança pode ser um diferencial importante. É hora de as equipes de segurança unirem forças.
chsyys/KaboomPics
Cloud finops é a prática de gerenciar e aprimorar os custos relacionados à computação em nuvem. Surgiu como resposta aos gastos excessivos na nuvem e como uma forma de organizar a utilização de recursos nesse ambiente. Embora seja considerado um avanço positivo, raramente se destaca seu potencial para aumentar a segurança.
A importância dos links na proteção da nuvem.
Um gerenciamento eficaz dos custos da nuvem exige um profundo entendimento dos padrões de utilização. Durante as atividades rotineiras, ao monitorar o uso da nuvem, as equipes de finops conseguem identificar irregularidades e erros de configuração de segurança, prevenindo possíveis ameaças.
A vantagem é que eles podem fazer isso muito antes de uma violação ser provável.
As ferramentas Finops oferecem dados sobre o controle de despesas na nuvem. Aumentos repentinos nos custos podem sugerir uma possível violação de segurança, como a sobrecarga da CPU causada por um ataque em curso.
Os profissionais de Finops também podem auxiliar na integração entre políticas de segurança e controles financeiros. As equipes podem assegurar que apenas recursos e configurações autorizados sejam utilizados, o que diminui o risco de configurações incorretas que possam resultar em vulnerabilidades e violações de dados. Quanto mais complexa for a implementação em nuvem, como no caso de multicloud, maior a probabilidade de ocorrência dessas configurações inadequadas.
Os invasores que conseguem acessar contas na nuvem sem permissão podem modificar as configurações financeiras e disponibilizar serviços não autorizados sem que o dono da conta saiba. As políticas e ferramentas de finops podem proteger contra a criação de recursos não autorizados de máquinas virtuais e armazenamento, diminuindo assim o perigo de roubo de identidade.
As informações sobre retorno e cobrança possibilitam a identificação de equipes que não configuraram corretamente os serviços em nuvem. Da mesma forma, os alertas de orçamento estabelecidos para limites de gastos podem indicar problemas de configuração nos serviços em nuvem.
Conseguindo integração entre finanças e segurança na nuvem.
Atualmente, a conexão entre os profissionais de finanças de nuvem e segurança na nuvem costuma ser inexistente. Muitos consideram a equipe de finanças como pessoas irritantes que solicitam o desligamento de instâncias na nuvem ou alertam sobre possíveis excedentes de orçamento para uso de banco de dados na nuvem. Eles frequentam mesas separadas na cafetaria e vão para bares diferentes após o expediente.
Dado que há vantagens mútuas entre os grupos, como promover uma colaboração mais eficaz entre eles? Aqui estão algumas ideias que posso sugerir.
As equipes de controle e segurança cibernética já estabelecidas devem revisar regularmente sua colaboração como parte de um processo constante de aprimoramento. Foi observado que ocorreram violações importantes, mas a equipe de finops identificou um aumento nos custos de CPU, que poderia ter indicado o início de um ataque. Surpreendentemente, isso passou despercebido pelas equipes de segurança da nuvem por algum motivo.
Além disso, é importante que as pessoas sejam treinadas em diferentes ferramentas. Os profissionais de finanças e operações devem compreender bem o funcionamento das ferramentas de segurança, enquanto a equipe de segurança deve estar à vontade com as ferramentas financeiras e operacionais. Ambos os grupos devem ter acesso imediato aos painéis necessários para desempenhar suas funções com segurança, permitindo que tenham mais informações para realizar seus trabalhos de maneira mais eficiente.
Em resumo, o texto aborda a importância de ampliar os níveis de observação em diversas áreas, como operações, despesas, segurança e governança. Em vez de se concentrar em tecnologias isoladas, como um único provedor de nuvem, a proposta é implementar ferramentas que transcendam os provedores de nuvem pública e até mesmo os sistemas legados tradicionais. Esta é a essência por trás do conceito emergente de supercloud ou metacloud, que ainda está em evolução como uma ideia e plataforma tecnológica.
Enquanto as empresas não adotarem a observabilidade entre plataformas, é importante facilitar a eficiência e a segurança. Iniciar a comunicação entre a equipe de segurança e a equipe de finanças é um passo positivo nesse sentido.
