Upload
carlos-goldani
View
145
Download
2
Embed Size (px)
DESCRIPTION
Segurança na Nuvem
Citation preview
O termo Nuvem foi importado da imagem utilizada para representar a Internet
Computação na Nuvem significa basicamente que os processos computacionais são realizados na Internet
A terminologia de serviços da Nuvem ainda é confusa e provavelmente as definições mais claras foram estabelecidas pelo National Institute of Standards and Technology (NIST) e Cloud Security Alliance (CSA)
Software como Serviço (SaaS)
O usuário utiliza aplicativos do provedor em uma infraestrutura de nuvem com pouco ou nenhum controle sobre a infraestrutura, rede, servidores, sistemas operacionais, armazenamento, etc...
Plataforma como Serviço (PaaS)
O usuário implementa aplicativos em ambiente de desenvolvimento próprio, exerce total controle sobre suas aplicações e utiliza a infraestrutura disponibilizada pelo provedor (servidores, sistema operacional e dispositivos de armazenamento)
Infraestrutura como Serviço (IaaS)
O cliente obtém APIs (Application ProgrammingInterface), processamento, armazenamento e recursos de computação do provedor. Utiliza seu próprio sistema operacional, suas aplicações e até alguns componentes de rede
Auto-Serviço: Obter (ou dispensar) recursos quando for conveniente, sem consulta ao provedor
Acesso: Utilizar o serviço com qualquer tipo de hardware
Compartilhamento: Vários clientes compartilham um ambiente comum para reduzir custos
Escalabilidade: Administrar variações de demanda de recursos sem prejudicar a qualidade de serviço
Métricas: Indicadores de uso abrangentes e acessíveis
Redução de Custos: Economias de escala permitem reduzir os custos drasticamente (a maioria das empresas utiliza menos de 25% da capacidade de seus servidores)
Mobilidade: Por definição a Nuvem pode ser acessada de qualquer lugar, permitindo total portabilidade das informações
Elasticidade ou Flexibilidade de Ajuste: O cliente utiliza (e paga) recursos e serviços de acordo com a real necessidade
Custos de Armazenamento: Disponível de acordo com a necessidade, sem bancar espaços não utilizados
Experiência do Provedor: Supondo uma escolha correta, a experiência de um fornecedor com foco exclusivo em TI pode ser de grande utilidade para o cliente em questões críticas
A incertezas para migrar para serviços em Nuvem estão centradas em segurança, desempenho e disponibilidade
Desempenho e disponibilidade são sensíveis porque o ambiente do processamento computacional, onde os recursos podem ser vistos e controlados, muda para algo intangível
As principais questões de segurança estão situadas em falhas ou fragilidades da própria tecnologia, no acesso não autorizado à informações, criptografia, aplicativos, autenticação de operadores, virtualização, etc...
Segurança física: As instalações e operadores não são controlados pelo usuário. O provedor deve ter políticas de segurança abrangentes e efetivas
Acesso a informações privilegiadas: O cliente não tem controle sobre quem tem acesso às suas informações
Criptografia: Nuvens são ambientes compartilhados com outros clientes do provedor, talvez até concorrentes do usuário. Violações podem acontecer de um banco de dados para outro. A criptografia é um elemento essencial e muito eficiente, porém cria outro problema, quem é o responsável pela chave criptográfica. As modernas técnicas de criptografia assimétrica (certificação digital) inviabilizam qualquer acesso se a chave for perdida
Relacionamento com terceiros: O axioma básico da segurança é que ela é tão forte quanto seu elo mais fraco. Em ambientes corporativos, o elo mais fraco quase sempre é a integração com parceiros e, no caso da nuvem, ainda mais importante devido e existência de vários terceiros em ambientes compartilhados
Network Security: Provedores de serviços de Nuvem concentram múltiplos usuários e alvos em potencial para hackers. A Nuvem também é suscetível a ataques de negação de serviço
Virtualização: Os os provedores de nuvem usam técnicas de virtualização para usufruir de economias de escala e oferecer melhor arquitetura distribuída. A virtualização tem seu próprio conjunto de problemas de segurança
Segurança de aplicativos: A maioria dos eventos de segurança acontecem através de aplicativos da Web. Na Nuvem o nível de exposição é semelhante ao de uma instalação interna, porém potencializado pelo ambiente compartilhado, sem que o usuário exerça controle sobre ele
Controles de acesso: Algumas das grandes questões para serviços em nuvem são em torno de controle de acesso, autenticação, gerenciamento de usuários, configuração etc. É importante saber com que tipo de padrões o provedor de nuvem está alinhado, como é feito o provisionamento de usuários, quem gerencia o processo de administração de credenciais, se OpenIDs podem ser utilizados para autenticação e se existem VPNsdedicadas
Privilégios de acesso
Dados confidenciais processados e/ou armazenados fora do ambiente empresarial têm um nível inerente de risco, porque desconsideram a cultura e as práticas da organização
Informações privilegiadas restritas à alta direção ou ao departamento de pesquisas de uma empresa não podem ser manipuladas livremente por estagiários de fornecedores de serviços ou empresas terceirizadas
Conformidade com regulamentações
Os clientes são, em última instância, responsáveis pela integridade e segurança dos dados que administram, mesmo que esta atribuição seja delegada a um prestador de serviços
Fornecedores devem disponibilizar relatórios periódicos de auditorias externas e certificações de segurança
Localização dos Servidores
A computação na nuvem desobriga a localização exata dos servidores que hospedam os dados que podem, inclusive, estar fora do país. Embora tecnicamente isto possa ser considerado um avanço, existe o problema de jurisdição legal que deve ser endereçado com critério
O ambiente físico de armazenamento tem que ter compatibilidade com os diplomas legais que regem a empresa assegurando (1) o acesso por decisão judicial e (2) a garantia de privacidade de acordo com a legislação do país de origem
Segregação de Dados
Uma nuvem compartilha as informações de muitos clientes que, na prática, podem ser concorrentes entre si e hospedar suas informações em um mesmo ambiente físico. Normalmente os provedores de serviços utilizam esquemas específicos de criptografia para cada cliente que, no estado da arte da tecnologia, é uma técnica eficaz (os custos para abrir uma criptografia de 1024 bits são absurdos), porém acidentes na administração das chaves podem impedir o acesso aos dados ou comprometer sua disponibilidade
Recuperação
A localização física exata dos dados pode ser incerta, porém o provedor de serviços é obrigado a garantir a sua disponibilidade em casos de desastres ou catástrofes
Contratos que não explicitam a replicação de dados e infraestrutura não garantem a integridade do acervo de informações. É importante constar a capacidade de recuperação completa em casos de acidentes e o tempo necessário para o restabelecimento dos serviços
Viabilidade no longo prazo
Em um ambiente ideal, o fornecedor de serviços de nuvem não encerra suas atividades nem é adquirido por outra empresa, entretanto a dinâmica dos mercados sugere que isto é muito provável
Se um destes eventos ocorrer, a manutenção da portabilidade e disponibilidade são características importantes
Apoio à investigação
A investigação de atividades impróprias ou ilegais é complicada na computação na nuvem. O acúmulo de serviços no provedor pode ocasionar a realocação bancos de dados para outras máquinas ou ambientes físicos. É necessário um compromisso contratual de apoio a formas específicas de investigação, caso contrário qualquer atividade relacionada com esta área é improvável, se não impossível (a nuvem não pode ser um paraíso para pedófilos ou outros usuários inescrupulosos para compartilhar ou ocultar conteúdo)
Padrões
Padrões são restritivos por definição. Várias entidades questionam se a computação na nuvem pode obter algum tipo de benefício com a padronização neste estágio do desenvolvimento. Existe uma relutância latente entre provedores de serviços em seguir recomendações e adotar padrões antes que o mercado defina o seu real cenário. Independente deste fato, organizações internacionais como ISO/IEC e ITU estão desenvolvendo um conjunto de padrões específicos de segurança para a nuvem
Jurisdição
Privacidade protegida por lei em um país pode não merecer o mesmo tratamento em outro. Em muitos casos, como os usuários não sabem onde suas informações são armazenadas, existem processos para tentar harmonizar leis, porém o consenso está distante
A União Européia e seus estados membros favorecem a proteção rígida da privacidade, enquanto o Patriot Actdos EUA garante às suas agências governamentais poderes praticamente ilimitados de acesso às informações, incluindo às que incluem dados de pesquisas desenvolvidas por empresas
A computação na Nuvem oferece muitos benefícios
A segurança é importante, mas está longe de ser é um fator impeditivo, desde que tratado com efetivo cuidado
Um provedor de serviços confiável e acordos sobre níveis de serviços (SLAs) claros e compreensíveis são requisitos essenciais
A migração para serviços de Nuvem não é apenas uma decisão econômica e deve envolver também os setores de tecnologia e jurídico
Carlos Alberto GoldaniTecnologia da Informação