 |
Este artigo explica em maiores detalhes um dos tópicos do artigo “Como é Feita a Segurança Física dos Datacenters“, da série Segurança na Nuvem.
Camada de Acesso Físico aos Dados
Com a Camada de Perímetro e a Camada de Infraestrutura Física protegidas, temos a terceira camada de proteção, que envolve o acesso físico ao local em que os dados dos clientes estão armazenados. Essa é a camada tratada com mais criticidade pelos provedores de nuvem, pois é a única área que contém os dados dos clientes. Para ter acesso a essas áreas, qualquer profissional precisa de autorização de pelo menos dois profissionais de controle. Todos os acessos possuem equipamentos de controle eletrônicos que exigem autorização por multifator.
Enquanto aguarda a autorização, e caso seja autorizado, o profissional é monitorado por vídeo e por dispositivos de deteção de intrusão, tanto física quanto tecnológica, em toda a sua atuação no ambiente. Todos os servidores da AWS alertam os funcionários em caso de qualquer tentativa de remoção ou cópia física dos dados e, na improvável eventualidade de uma violação, o servidor é desabilitado automaticamente da infraestrutura para evitar que a violação se propague.
A AWS, por exemplo, dá especial atenção aos dispositivos de armazenamento de mídia que são usados para guardar os dados dos clientes. Todos são classificados como críticos e monitorados em todo o seu ciclo de vida. Protocolos rígidos e exigentes são seguidos para a instalação, conservação e destruição dos dispositivos que não são mais úteis, sendo desativados em conformidade com as técnicas descritas no padrão NIST 800-88, ficando sob o controle da AWS até que seja totalmente destruída com segurança.
Todo esse processo é auditado por auditores externos que consideram mais de 2.600 requisitos todos os anos. São auditores diferentes para as diversas certificações de segurança que a AWS possui, garantindo, inclusive, a validação cruzada de alguns procedimentos. Os auditores inspecionam profundamente os datacenters para confirmar que os processos e sistemas obedecem às regras para a obtenção das certificações de segurança. Algumas certificações, incluem ainda entrevistas com os funcionários para validar os procedimentos e a visualização do material de vídeo das câmeras de segurança, observando como os processos são executados a qualquer momento.