Computação em Nuvem
Denilson Guilherme Dudas, Sidnei Coelho, Lucas Rafael de Freitas, Orlei José Pombeiro
Grupo de Pesquisa em Informática e Sociedade
Sistema de Informação - Centro Universitário Autônomo do Brasil
[email protected], [email protected], [email protected],
[email protected]
Resumo – Busca-se apresentar uma introdução ao conceito de Computação em nuvem, tendo
como objetivo abordar a definição do modelo de computação, características, arquitetura,
infraestrutura, vantagens e desvantagens assim como os problemas existentes.
Palavras-chave: Nuvem, NIST, Segurança na nuvem, Políticas de segurança na nuvem, Divisão
lógica,
Introdução
Com o grande avanço da sociedade
moderna, cada vez mais os meios de
informação se tornam importantes em nossas
vidas, tão importantes que se tem a
necessidade de sempre querer algo além
daquilo que já se tem para uso.
Isso vem da necessidade da procura
por novas tecnologias que facilitem nosso dia
a dia no meio da informação. É com esta
grande demanda que se percebe as
mudanças nos meios de informação atual,
fazendo com que se possa visualizar cada vez
mais o conceito de computação em Nuvem.
A nuvem é uma representação para a
Internet ou toda a infraestrutura de
comunicação de componentes arquiteturais,
baseada em uma abstração que oculta a
complexidade da infraestrutura.
A Nuvem
A nuvem não é uma tecnologia criada
em laboratório por um grupo de
pesquisadores, isso faz com que sua
definição seja muito ampla e se tenha uma
grande dificuldade de identificar sua origem.
Um indicio interessante é o trabalho de John
McCarthy, grande nome da inteligência
artificial que no início da década de 60 teve a
ideia
de
“computação
por
tempo
compartilhado”, onde o computador poderia
ser utilizado no tempo ocioso por uma ou
mais pessoas simultaneamente. [1]
Esse conceito já foi introduzido na Cloud
Computing, assim como o de Joseph Carl
Robnett Licklider que além do simples
conceito
de
“poderosa
Calculadora”
entendeu que os computadores podem estar
conectados permitindo assim a comunicação
global e o compartilhamento de dados. [2]
O NIST (National Institute of
Standards and Technology) apresenta a
seguinte definição de computação em nuvem
[3]
“Computação em nuvem é um
modelo que possibilita acesso, de modo
conveniente e sob demanda, a um
conjunto de recursos computacionais
configuráveis (por exemplo, redes,
servidores, armazenamento, aplicações
e serviços) que podem ser rapidamente
adquiridos e liberados com mínimo
esforço gerencial ou interação com o
provedor de serviços”.
Camadas
A nuvem tem embasamento em
camadas, cada camada utiliza uma divisão
logica de hardware e software, onde cada
uma
tem
seu
gerenciamento,
monitoramento diferenciado. Vindo assim a
aumentar a flexibilidade, reusabilidade e
escalabilidade na substituição e adição de
recursos, sem afetar as outras.
A camada de nível mais baixo, vai de
datacenters á recursos de hardware, essa
seria o ambiente dos recursos físicos,
fornecendo assim a flexibilidade de
agregação de novos recursos na medida de
novas necessidades.
A sessão de Middleware e a sessão de
gerenciamento do ambiente físico, possuem
os serviços de cobranças, gerenciamento de
virtualização, serviços de cálculos dentre
outros. O nível acima do Middleware e a
parte do suporte e construção de aplicações,
onde não e utilizado pelos usuários finais e
sim pelos mais experientes.
E por último se encontra a camada
das aplicações, onde por meio dela os
usuários finais utilizam os aplicativos.
Vantagens e Desvantagens
A nuvem alavancou nos últimos anos
juntamente com a geração Y, geração que é
formada por pessoas que nasceram após as
os anos 80, que já vivenciaram muitos
avanços tecnológicos. É conhecida por ter
grande ambição e trocarem de emprego
frequentemente,
sempre
visando
a
flexibilidade e a rapidez dos processos.
O ambiente em nuvem trouxe muitas
vantagens, a flexibilidade, a agilidade,
armazenamento de dados, ganho de espaço
em disco, e também grande economia, onde
não é necessário a aquisição de softwares
caros para tarefas simples como exemplo a
edição de documentos, pois a nuvem
disponibiliza ferramentas freewares com as
mais diversas funcionalidades.
Por outro lado, ainda há os pontos
negativos desse ambiente, sendo eles a
necessidade de uma banda de internet de
boa qualidade, para streaming (fluxo de
dados ou conteúdos multimídia, transmitidos
na rede) e jogos online, sendo este o
principal fator de qualidade para os mesmos.
Outro ponto seria a segurança dos seus
dados, pois os mesmos serão armazenados e
gerenciados por equipes de fora de sua
empresa.
Atualmente
muitos
usuários
depositam sua confiança apenas em acordos
legais e na reputação de empresas que
desenvolvem aplicações para a nuvem. Tal
conduta pode ser ingênua e acarretar o
comprometimento de seus dados em
operações mais sensíveis, exemplo, acesso a
contas bancárias por outros meios que não
sejam na agencia bancária.
Golmann acredita que a segurança em
computação tem início a partir de políticas
que regulam o acesso aos recursos
protegidos. [4]
Os provedores devem ter formas de
impedir o acesso não autorizado as
informações, provendo melhores políticas de
controles de acesso, firewalls certificados,
buscar melhores formas para avaliar sistemas
propícios a invasão, assegurando assim
medidas para que tais vulnerabilidades sejam
resolvidas.
As estratégias de segurança, como
exemplo as utilizadas nos mercados
financeiros, são a utilização de práticas
preventivas para o controle de ameaças,
onde são verificadas a possibilidade de
clonagem das páginas e se a um
direcionamento dos motores de busca para
elas.
Por tanto compreender e documentar
os requisitos dos usuários de nuvem é
imprescindível na concepção de uma solução
que vise assegurar as necessidades
(confidencialidade,
integridade
e
disponibilidade).
Políticas de segurança na Nuvem
Com uma aderência cada vez maior
de empresas disponibilizando seus softwares
na nuvem torna-se necessária a adoção de
políticas adequadas em cada uma das áreas
usadas no índice da Computação em Nuvem
da BSA (Business Software Alliance). [5]
Garantia de Privacidade: o sucesso
depende da confiança do usuário quanto aos
acordos legais e nome da empresa.
Promoção de Segurança: provedores
de nuvem devem implementar segurança de
ponta sem exigirem do usuário tecnologias
especificas para isso.
Combate ao Crime Digital: provedores
devem combater o acesso indevido a dados
armazenados através de mecanismos
efetivos para o cumprimento da lei.
Proteção da Propriedade Intelectual:
as leis devem ser rigorosas quanto a captura
de informações indevidas da estrutura da
nuvem.
A segurança na Nuvem
Um
estudo
realizado
pelo
departamento da Symantec mostra que 86%
das empresas que buscam transferir suas
informações locais para a nuvem, ainda
apontam a questão segurança como o
principal empecilho para aderirem aos
serviços disponibilizados pelas empresas que
atuam nesta tecnologia. [6]
Para ser garantido o mínimo de
segurança na nuvem já existem muitas
soluções no mercado que atendem este
ponto tão crucial, utilização de senhas fortes,
Token (dispositivo eletrônico gerador de
senhas, muito utilizado em bancos), cartão
de segurança (ao ser realizado alguma
operação de acesso a informações, um dos
códigos contidos no cartão será solicitado
aleatoriamente) e a biometria (responsável
por marcar e analisar algum traço da pessoa).
Lembrando que estas são algumas soluções
simples e que dependendo do contexto
aplicado pode não ser possível utiliza-la.
Ainda dentro do problema de
segurança
podemos
citar
algumas
preocupações encontradas sendo elas, surto
de malware, roubo de dados por Hacker,
compartilhamento inseguro de dados
confidenciais, uso irregular da nuvem e
vazamento de informação.
Os surtos de malware começaram a
ocorrer com o crescimento da nuvem, onde
os métodos tradicionais utilizados pelos
Crackers de criar códigos maliciosos e
hospedar em seu próprio site, começaram a
cair em desuso. Devido à grande eficiência
dos fornecedores de segurança em detectar
os códigos maliciosos em páginas, as mesmas
passaram a ser inseridas em listas negras,
vindo assim a não ocasionar mais problemas.
Levando
em
consideração
os
argumentos acima citados os Crackers
começaram a hospedar em provedores
legítimos, fazendo assim com que grande
parte que utiliza o mesmo fosse infectada.
A maioria dos provedores de
armazenamento não fazem a verificação dos
arquivos armazenados, onde eles ficam
hospedados por muito mais tempo. Isso
contribui ainda mais para que esses arquivos
passem despercebidos pelas corporações,
podendo vir a ocasionar o infecção das
organizações.
Os cybers criminosos após a
hospedagem de seus arquivos nos
provedores e a infecção das organizações,
utilizam de engenharia social para que a
disseminação seja realizada, apesar de essa
ser uma técnica bastante antiga vem
crescendo nos últimos anos. Segundo a Trend
Micro, o provedor que mais possui links de
direcionamento para esses arquivos, é o
DropBox. [7]
Os malwares alavancaram ainda mais,
com o aumento da utilização do Internet
Banking, pois com isso os criminosos virtuais
conseguem ter um controle da máquina da
pessoa para benefício próprio.
Esses malwares após instalados
ativam um sistema de monitoramento, onde
gravam tudo o que é digitado no teclado
virtual, tanto o nativo do Windows quanto o
disponibilizado na página de agencias
bancarias. Eles também podem começar a
direcionar para páginas clonadas para
conseguirem as informações que precisam.
Outro método utilizado segundo a
Firehost, e que está tendo um aumento
considerável, são os ataques por injeção SQL
em aplicações Web hospedadas no servidor.
Outro ponto interessante e que essa injeção
ocorre de dentro do próprio provedor de
armazenamento. [8]
Ameaças como o vazamento de dados
é considerado pelos especialistas como uma
das principais vulnerabilidades encontradas
no ambiente de nuvem.
Dados sendo vazados em empresas é
algo visto já a muito tempo, porém com o
grande avanço que a nuvem vem tendo nos
últimos anos, onde cada vez mais são
armazenados dados online do que dentro da
própria empresa, torna este tipo de ameaça
cada vez mais comum. Um exemplo recente
de vazamento de dados aconteceu em abril
de 2011 com a empresa Sony, neste ataque
foram vazados dados de mais de 77 milhões
de usuários, dados como cartão de crédito,
identidades, senhas, e-mails, entre outras
informações cruciais. [9]
Teve como principal alvo de infecção
o
computador
responsável
pela
administração de toda a rede da Sony,
utilizando um ataque conhecido como DDoS.
Este caso foi apenas um dos inúmeros
outros casos que acontecem hoje em dia.
Notasse com isso que o vazamento de dados
indevido é sempre utilizado em conjunto com
outras vulnerabilidades encontradas na
computação em nuvem. Isso envolve tanto
sistema, mecanismos de criptografia fracos
ou até mesmo usuários despreparados, que
por fim tornam este tipo de ameaça tão
impactante e tão utilizado nos meios online.
Outro ponto preocupante visto pelas
empresas, e que de certo modo pode ser
visto como uma ameaça, é o fato da grande
mudança que deverá ser feita em sua
estrutura computacional, ou seja o modo
como os dados serão tratados pela empresa
prestadora do serviço. Quais tratativas serão
dadas as informações na hora de serem
passados aos seus servidores, como visto, o
vazamento de dados pode representar uma
grande ameaça para o cliente, porém a perda
destes dados pode gerar muitos problemas
também.
A perda de dados pode estar
relacionada a vários aspectos, porém elas se
enquadram em dois tipos as intencionais e as
acidentais. A perda acidental pode ocorrer
pelo simples fato de um usuário ou mesmo
alguma aplicação sobrescrever, apagar ou
alterar informações sem a intenção de
prejudicar determinado cliente.
http://www.infowester.com/cloudcomputing
.php > Acesso em:14 abril 2015
Já a forma intencional ocorre quando
alguma pessoa ou aplicação apaga de forma
proposital informações que podem vir a gerar
algum dano ou tirar algum proveito.
[4] ieter Gollmann. Computer Security. Wiley
Interdisciplinary Reviews: Computational
Statistics, 2010;
Por tanto medidas de segurança
devem ser tomadas para que tais perdas não
venham a acontecer, disponibilizando assim
mecanismos eficazes para a realização de
cópias de segurança de informações assim
como deve ser disponibilizado serviços de
segurança da identidade, da informação e da
infraestrutura de seu cliente.
Conclusão
A computação em nuvem está cada
vez mais presente em nosso cotidiano, sua
utilização vai desde uma simples postagem
de foto até um complexo sistema
empresarial. Os benefícios têm sido muito
expressivos pois proporciona flexibilidade,
mobilidade.
No entanto é necessário um maior
amadurecimento na área de segurança de
dados e documentação, pois as mesmas
ainda vêm causando um certo desconforto
nas empresas que a utilizam. O foco no
tratamento do sigilo dos dados é um dos
passos a ser dado pelos provedores para
aumentar a aderência da plataforma.
[3] NIST cloud computing program.
Disponível em: <http://www.nist.gov/itl/
cloud/index.cfm> Acesso em: 15 abril 2015
[5] Pontuação global de computação em
nuvem
da
BSA.
Disponível
em:
http://cloudscorecard.bsa.org/2012/assets/p
dfs/GlobalCloudScorecard_pt.pdf Acesso em:
03 de março 2015
[6] SYMANTEC. Pesquisa sobre Situação de
Cloud Computing: Resultados América Latina.
Disponível
em: < http://www.symantec.com/content/pt
/br/enterprise/images/theme/state-ofcloud
/State-of-Cloud-Report-LAM-PORT-FN.pdf>
[7] Dropbox Used In Delivering UPATRE
Malware. Disponível em:
http://www.trendmicro.com/vinfo/us/threat
-encyclopedia/spam/566/dropbox-used-indelivering-upatre-malware Acesso em: 28/04
[8] FireHost Detects Surge in SQL Injection for
Q3 2013 and Cross-Site Scripting is Rising.
Disponível em: < https://www.firehost.com
/company/newsroom/press-releases/q32013-firehost-web-application-attack-report>
Acesso em: 17 abril 2015
Referências
[9] Mitigação de Ataques de Negação de
Serviço em Rests Autenticáveis na Nuvem
Disponível em:
[1] O que é cloud computing (computação
em
nuvem).
Disponível
em:
<
http://www.infowester.com/cloudcomputing
.php > Acesso em:14 abril 2015
[10] Ataques DoS (Denial of Service) e DDoS
(Distributed DoS) Disponivel em:
http://www.infowester.com/ddos.php
Acesso em: 29 abril 2015
[2] O que é cloud computing (computação
em
nuvem).
Disponível
em:
<