Entendendo a Computação em Nuvem

Leonardo Grandinetti Chaves OAB- SP - Pinheiros

Circuito Digital Outubro 2013

Apresentação

• Pós-graduado em Gerência da Tecnologia da Informação pela Universidade Fumec. Mestre em Ciência da Computação no convênio Universidade Federal de Viçosa e Universidade Federal de Minas Gerais na área de Bancos de Dados – ênfase em Sistemas de Informação Geográfica. Analista e Gerente de Projetos, auditor e consultor de sistemas de informação, tendo atuado e desenvolvido trabalhos com empresas como BDMG, UNIBH, Scinco Consultoria Empresarial, Universidade FUMEC, Linkcom e Webconsult, Localiza Rent a car, etc. Gerente de Projetos, certificado pelo PMI - Project Management Institute. Voluntário do PMI – MG Chapter. Instrutor de cursos em Gerenciamento de Projetos.: Fumsoft, Unileste-MG, PMI-MGChapter. Professor Universitário.

Agenda

• Evolução/Computação Tradicional

• Computação em Nuvem

• Modelos tecnológicos

• Implicações

• Questões tributárias e Jurídicas/Discussões

• Conclusões

Introdução

• Cluster: tipo de arquitetura para processamento distribuído e paralelo Centenas de unidades de processamento

• Grade: Compartilhamento de recursos de máquinas. Plataformas e arquiteturas, que podem estar geograficamente distribuídas e são integradas através da internet Disponibilizam a infraestrutura e as ferramentas, através da internet.

Nuvem

• Definição [NIST - National Institute of Standards and Technology, 2009]

• “Computação em nuvem é um modelo que possibilita acesso, de modo conveniente e sob demanda, a um conjunto de recursos computacionais configuráveis que podem ser rapidamente adquiridos e liberados com mínimo esforço gerencial ou interação com o provedor de serviços”

Evolução

Computação tradicional e Nuvem

Nuvem

• Coleção de computadores interconectados e virtualizados

• Provisionados dinamicamente

• Níveis de serviço (SLA – Service Level Agreement – definidos em contrato)

Nuvem

IaaS

PaaS

SaaSFornece

ForneceConsome

Provedor Desenvolvedor

Usuário Final

Consome

Fornece

Suporta

Suporta

ForneceConsome

Modelos: Saas, PaaS, IaaS

• Software como Serviço (SaaS), Plataforma como Serviço (PaaS) e Infraestrutura como Serviço (IaaS)

• Possuem um nível de abstração que formam a arquitetura em camadas da nuvem, onde os serviços da camada superior utilizam os serviços da camada inferior

Software como Serviço (SaaS)

Plataforma como Serviço (PaaS)

Infraestrutura como serviço (IaaS)

MODELOS DE SERVIÇOS

MODELOS DE IMPLANTAÇÃO

Autosserviço

sob demanda

Amplo acesso

à rede

Elasticidade

Rápida

Serviços

Mensuráveis

Pooling de Recursos

CARACTERÍSTICAS ESSENCIAIS

Comunitária Pública HíbridaPrivada

• Publica:

• Não há restrição de acesso quanto a gerenciamento de rede, técnicas de autenticação e autorização

• Basta que o usuário tenha um computador com acesso à internet e cadastre-se no site do provedor de nuvem.

• Privada:

• é locada (contrato) ou propriedade de uma organização

• Comunitária e Híbrida

Implementação/Nuvens

Tecnologia - IaaS

• Infraestrutura computacional que disponibiliza os recursos e serviços de computação por meio de técnicas de virtualização

• Falhas nesta camada podem interferir no funcionamento de toda a nuvem.

Tecnologia - PaaS

• Camada intermediária (para desenvolvedores de aplicações) com intuito de disponibilizar ferramentas, serviços e um ambiente de programação e testes

PaaS

• Sistema Operacional

• Sistema de Gerenciamento de Banco de Dados

• Ambiente Integrado de Desenvolvimento

• Linguagens de Programação

• ...

• Funciona de forma escalável e transparente.

PaaS: Windows

SaaS

• SaaS ou Software como serviço: permite que o usuário final utilize as aplicações disponibilizadas pelo provedor

• Exemplos: Customer Relationship Managemente (CRM) da Salesforce, Google Docs, Microsoft Office 365, Antivírus da McAffe, etc

SaaS

• Os riscos relacionados ao modelo de serviço SaaS, estão mais vinculados a questões administrativas/contratuais entre a organização e o provedor de serviços em nuvem

SaaS, Nuvem

• Imprevisibilidade

• Armazenamento escalável

• Integração dos serviços

• Disponibilidade do serviço

• Acesso aos dados

• Confidencialidade

• Elasticidade

Implicações Segurança

• Sêmola (2003, p.43) define Segurança da Informação “como uma área do conhecimento dedicada à proteção de ativos de informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade”.

• “preservação da confidencialidade, integridade e disponibilidade da informação”. (ABNT NBR ISO/IEC 27001:2006).

Vulnerabilidades/OWASP

VULNERABILIDADES DETECTADAS NOS AMBIENTES DE NUVEM

VULNERABILIDADES DROPBOX DRIVE SKYDRIVE

V1 - Injeção SQL N.V N.V N.V

V2 - Força Bruta N.V N.V N.V

V3 - XSS N.V VU N.V

V4 - Configuração Padrão VU N.V VU

V5 - Exposição Dados VU N.V VU

V6 - Path Transversal VU N.V N.V

V7 - Componentes Vulneráveis VU N.V N.V

V8 - Redirecionamento de URL N.V VU VU

V9 - Portas Abertas N.V N.V N.V

V10 - CAPTCHA VU N.V N.V

CSA

Princípios de Segurança

• Integridade

• Confidencialidade

• Disponibilidade

• Autenticidade

• Não-repúdio

• Normas ISO

Computação tradicional X Nuvem Modelo de aquisição (contratos)

Hardware, espaço físico, infra estrutura de instalação e funcionamento

X

Aquisição de serviço

Computação tradicional X Nuvem Modelo de Negócio

Custo e depreciação de ativos Overhead administrativo(manutenção)

X

Pagamento baseado na utilização (contratos)

Computação tradicional X Nuvem Modelo de Acesso

Rede interna intranet

X

Internet (segurança)

Computação tradicional X Nuvem Modelo de Técnico

Estático

X

Escalável, elástico, dinâmico (utilização prevista em contrato)

“Requisitos da Nuvem”

• Segurança

• Auditoria

• Cobrança

• Backup

• Dados

• Interfaces

• Aspectos legais

• Localização

Cobrança

• Volume de recursos X Valores

• Armazenamento: 10GB , r$10,00/mês

• Transferência dos dados: 10GB, r$ 1,00/mês

• Mensagens

• Recursos computacionais

Características

• Self-service sob demanda

• Amplo acesso

• Pooling de recursos

• Elasticidade

Ambientes e Plataformas

Questões Jurídicas, contratuais e tributárias

• Contratos dos fornecedores de soluções

• Código Civil

• Marco Civil da Internet

• Outras questões

Implicações Custo/Contratos

• Operacional

• Desenvolvimento

• Cliente paga de acordo com o seu consumo

• Computação sob demanda

Implicações Riscos

• O gerenciamento administrativo de risco pode ser descrito como a capacidade da organização de gerenciar e medir o risco introduzido pela adoção do modelo de computação em nuvem

Implicações Riscos

• A contração de serviços nos níveis de IaaS e PaaS, são de responsabilidade dos administradores de sistemas da própria organização

• As responsabilidades podem ser atribuídas/transferidas em qualquer fase da computação em nuvem (CSA, 2009)

Riscos

• Identificação e a avaliação dos ativos

• Análise de ameaças e vulnerabilidades e mensuração do impacto potencial nos ativos (risco e cenários de incidente)

• Análise das probabilidades de ocorrência de determinados eventos em um cenário de implantação da nuvem

Riscos

• Determinação dos níveis de gestão de risco aprovados, seus critérios de aceitação

• Desenvolvimento de Planos de Tratamentos de Riscos

• Os resultados do plano de tratamento de riscos devem ser parte integrante dos acordos de serviço (SLA)

Riscos e contratos

• Análise de impacto e definição de probabilidade.

• O cliente e o fornecedor devem desenvolver conjuntamente os cenários de risco na Nuvem

• Os serviços, e não apenas o fornecedor, devem ser objeto de avaliação de risco

• O uso de serviços em nuvem devem ser coerentes com os objetivos de Gestão de Risco da organização e com os objetivos de negócio.

Marco Civil da internet

Leis

• LINDB (Lei de Introdução às Normas do Direito Brasileiro – Lei nº 12.376/2010), ou ainda o Código de Defesa do Consumidor (Lei nº 8.078/90)

• Código Civil

Leis • “No Brasil, a Constituição Federal e os demais diplomas legais

são genéricos ao tratar de privacidade e intimidade dos dados dos cidadãos e pessoas jurídicas, cabendo ao entendimento doutrinário, jurisprudencial ou alguma lei específica, podemos citar Lei n.º 9.507/97 (Habeas Data), Lei n.º 8.078/91, arts. 43, 44, 72 e 73 (Código de Defesa do Consumidor), Lei 10.406/2002 (Código Civil), Lei 9.296/1996 (Lei de Interceptação), além dos artigos prevendo definição de territorialidade, quebra de sigilo ou violação de segredo (arts 5º, 6º. 7º, 153, 154 do Código Penal). Há ainda o texto do Anteprojeto de Lei de Proteção aos Dados Pessoais que está em discussão e abrange os dados coletados em território nacional ou por empresas reguladas pela legislação brasileira, ou ainda, quando o armazenamento se dê em terras brasilis.” Fonte:

http://idgnow.uol.com.br/blog/digitalis -

Leis

• “Por fim, fundamental observar os Enunciados 297 e 298, produzidos na III Jornada de Direito Civil, promovida pelo Centro de Estudos Judiciários do Conselho da Justiça Federal, no ano de 2007:

• Enunciado 297 – III Jornada de Direito Civil

• Art. 212 [do Código Civil]: O documento eletrônico tem valor probante, desde que seja apto a conservar a integridade de seu conteúdo e idôneo a apontar sua autoria, independentemente da tecnologia empregada.

• Enunciado 298 – III Jornada de Direito Civil

• Arts. 212 e 225 [do Código Civil]: Os arquivos eletrônicos incluem-se no conceito de “reproduções eletrônicas de fatos ou de coisas” do art. 225 do Código Civil, aos quais deve ser aplicado o regime jurídico da prova documental.” Fonte: Lima, Caio César Carvalho. Aspectos legais da

Perícia Forense Computacional em um cenário de Cloud Computing

Leis

Leis

• Lei Complementar nº 116/2003 (ISS)

• Lei Complementar nº 87/96 (ICMS)

• "O imposto incide sobre: III - prestações onerosas de serviços de comunicação, por qualquer meio, inclusive a geração, a emissão, a recepção, a transmissão, a retransmissão, a repetição e a ampliação de comunicação de qualquer natureza"

Leis

• Lei de Software (Lei nº 9.609/98), de Direitos Autorais (Lei nº 9.610/98), de Propriedade Intelectual (Lei nº 9.279/96), à Consolidação das Leis Trabalhistas (CLT), ao Código Civil, e ao Código de Defesa do Consumidor -- Contratos

Politica de Segurança da informação

• ABNT ISO/IEC 27001, ABNT

• ISO/IEC 27002, e outras tais como a Basiléia II e a Sarbanes-Oxley

Contratos

• SLAs

• Vigencia contratual

• Legislação brasileira - Foro estrangeiro

• União Européia elaborou e aprovou a Diretiva 46:95/CE3

Discussão

• “A computação evolui em movimentos pendulares, da mais completa centralização à total descentralização, e fazendo o caminho de volta quando os extremos são alcançados.” TAURION

Dados

Observações finais

• Legislação internacional

• Códigos

• Jurisprudências

Referências • COULOURIS, G.; DOLLIMORE, J.; KINDBERG, T. Sistemas Distribuidos -

Conceitos e Projeto. São Paulo. Bookman. 2007.

• SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Elsevier, 2003. 154p.

• FURTH, Borko; ESCALANTE, Armando. Handbook of Cloud Computing. Florida, EUA. Springer. 2010.

• Notas de aula. Sistemas Distribuidos. Puc Minas

• Gestão de risco. Disponível em: revistavisaojuridica.uol.com.br/advogados-leis-jurisprudencia/72/como-proteger-a-nuvem-as-opcoes-ja-existentes-de-256030-1.asp

• Aspectos tributários e contratuais do cloud computing . Disponível em: convergecom.com.br /tiinside/12/11/2012/aspectos-tributarios-e-contratuais-do-cloud-computing/

• SBRD, 2010. Simposio Brasileiro de Redes de Computadores.

• Rodrigo Costa de Alcântara. Computação em Nuvem: estudo e desenvolvimento.. 2011. Monografia. (Aperfeiçoamento/Especialização em Arquitetura de Sistemas Distribuídos) - Pontifícia Universidade Católica de Minas Gerais. Orientador: Leonardo Grandinetti Chaves.

Referências • TAURION. Blog. Disponível em :www.developers.ibm.com

• Apoio marco civil na internet. Disponível em: www.sbc.org.br

• Aspectos tributários e contratuais do cloud computing . Disponível em: www.jornalcontabil.com.br/v2/Contabilidade-News/2214.html?print

• Cloud desafia o modelo jurídico. Disponível em: pttp://idgnow.uol.com.br/blog/digitalis –

• Debatendo a soberania dos dados. Disponível em: https://www.ibm.com/developerworks/community/blogs/ctaurion/entry/debatendo_soberania_de_dados_em_cloud_computing?lang=en

• Conheça os riscos legais de cloud computing. Disponível em:http://computerworld.uol.com.br/negocios/2011/11/17/conheca-os-riscos-legais-de-cloud-computing

• Computação em nuvem. Questões legais e regulatórias. Disponível em: technet.microsoft.com/pt-br/magazine/hh994647.aspx

• Trabalho de conclusão de curso de Graduação Pucminas de Felipe Rangel, 2013. SEGURANÇA DA INFORMAÇÃO NA COMPUTAÇÃO EM NUVEM. Orientador: Leonardo Grandinetti Chaves