Universidade Federal de Santa Catarina – UFSC
Centro Tecnológico - CTC
Departamento de Informática e Estatística - INE
Curso Ciências da Computação – CCO
Disciplina Redes de Computadores I - INE5414
Professor Carlos Becker Westphall
Florianopolis, 20/12/2012
Artigo
Riscos de Segurança em Cloud Computing
Questões de segurança e gestão de riscos
Parte 3
Aluno
Fristtram Helder Fernandes 1
Matricula: 10206699
___________________________________
1
Graduação em Ciências da Computação –UFSC [email protected] ; [email protected]
http://www.inf.ufsc.br/~fristtram/
Abstract
Um dos grandes atrativos da Computação em Nuvem é sem
dúvida a promessa de redução dos custos com TI, além de se delinear
como sendo a oportunidade para que as empresas possam agilizar
processos e aumentar a inovação tecnológica. Pesquisas apontam que o
uso do modelo irá crescer até representar 60% de mercado. O interesse
em aderir a tal modelo também cresce de maneira exponencial, devido à
proposta de integração de serviços e uso racional dos recursos de TI pelas
organizações, o que concretiza o sonho de consumo dos gestores de TI.
No entanto, questões de segurança e gestão de riscos com o uso
disseminado do modelo têm sido abordadas constantemente por
especialistas em segurança da informação. A adesão a tais serviços
obrigará às equipes de segurança de TI das companhias a estabelecer
maiores controles para os serviços baseados na Nuvem. Este artigo
contribui com a definição de requisitos para a gestão de riscos de
segurança da informação na adoção dos serviços da Nuvem.
1. Introdução
A Computação em Nuvem (Cloud Computing) é fruto da evolução e da reunião
dos fundamentos técnicos de áreas como virtualização de servidores, Grid Computing
(Computação em Grade), que também foi desenvolvido um protótipo para avaliar a
proposta de arquitectura usando Grid-M, um middleware da pesquisa do grupo
desenvolvido na Universidade Federal de Santa Catarina. Software orientado a serviços,
gestão de grandes instalações (Data Centers), dentre outras. Trata-se de um modelo
eficiente para utilizar softwares, acessar, armazenar e processar dados por meio de
diferentes dispositivos e tecnologias web.
Na prática, a Computação em Nuvem seria a transformação dos sistemas
computacionais físicos de hoje em uma base virtual. De forma mais ampla, o paradigma
da Computação em Nuvem parte do princípio de que todos os recursos de infraestrutura
de TI (hardware, software e gestão de dados e informação), até então tratada como um
ativo da empresa usuária, passam a ser acessados e administrados por estas através da
internet (Nuvem) com o uso de um simples navegador da rede mundial de
computadores, utilizando-se qualquer tipo de equipamento – celulares inteligentes,
Notebooks, Netbooks, Desktops, iPods, Tablets, etc. Fornecedores de tecnologia passam
a prover a infraestrutura e os serviços capacitados para atender a essa demanda. Nesse
cenário delineia-se uma série de questões que ainda precisam ser respondidas, afim de
que se possibilite a sua plena utilização e adoção sem receios pelas empresas.
Este artigo está organizado da seguinte forma:
1. Introdução - Descreve um pouco sobre a computação em nuvens que é a base deste
artigo.
2. Conceitos Básicos envolvidos - Descreve sobre um breve histórico da Computação
em Nuvem;
a) Software como Serviço que é um modelo onde o software é executado em um
servidor.
b) Infra-estrutura como Serviço é um modelo de serviço que fornecimento de
infraestrutura computacional em ambientes virtualizados.
c) Plataforma como Serviço é um modelo de serviço que caracteriza entrega de uma
plataforma para desenvolvimento.
3. Aspectos Relevantes - Essa parte mostra a importancia desse trabalho, que é
definição do modelo que melhor se adapte às particularidades de cada empresa, depende
do processo de negócios, do tipo de informação e do nível de visão desejado, podem ser
divididos em seguintes partes:
a) Nuvem Privada – ali mostramos a necessidade da implantação de uma nuvem
privada que são empregadas políticas de acesso aos serviços, nível de gerenciamento
de redes, configurações dos provedores de serviços e a utilização de tecnologias de
autenticação;
b) Nuvem Publica – esta parte a implantação da infra-estrutura de nuvens é
disponibilizada para o público em geral;
c) Nuvem Comunitário – aqui a implantação da comunidade, ocorre o
compartilhamento por diversas empresas de uma nuvem e por fim.
d) Nuvem Hibrida – Essa parte caracterizase pela composição de dois ou mais
modelos de implantação de nuvem (comunidade privada ou pública).
4. Conclusão - Neste parte encerramos o artigo com algumas conclusões concernentes
ou interessantes. E por ultimo
5. Referencia Bibliografica – Contem links que usei durante as pesquisas para
materialização deste artigo.
2. Conceitos básicos envolvidos
Ambientes de computação em nuvem podem ser compostos por três diferentes
modelos de serviços que definem um padrão arquitetural para soluções de computação
em nuvem (Armbrust et al. 2009). Riscos e benefícios globais serão diferentemente
tratados, dependendo do modelo de serviço e tipo de implantação que atenderá as
necessidades da empresa contratante. É importante notar que, ao se considerar os
diferentes tipos de serviços e modelos de implantação, as empresas devem considerar os
riscos que os acompanham.
a) Software como Serviço (Software as a Service - SaaS) – Nesse modelo de serviço
o software é executado em um servidor, não sendo necessário instalar o sistema no
computador do cliente, basta acessá-lo por meio da internet. O modelo de serviço
de SaaS ainda tem uma série de desafios a serem vencidos, dentre os quais
podemos destacar os problemas regulatórios, a integração com os recursos internos
da organização, a disponibilidade e mais especificamente a segurança das
informações.
Alguns especialistas afirmam que o mercado ao redor de SaaS envolve cifras em
torno de US$ 5 e até 2011, deverá representar 25% das vendas totais para o
segmento corporativo. O uso bilhões. Ainda, de acordo com o Gartner Group, SaaS
representou cerca de 5% do mercado total de software em 2005 de SaaS para a
automação dos processos de negócio fim-a-fim, como ordens de pagamento para
grandes empresas por exemplo, deve crescer ainda mais nos próximos anos.
Figura 1. Gráfico ilustrativo, software como serviço.2
b) Infra-estrutura como Serviço (Infrastructure as a Service – IaaS) – Esse modelo
de serviço refere-se ao fornecimento de infraestrutura computacional (geralmente
em ambientes virtualizados) como um serviço. O serviço IaaS possui algumas
características básicas como, fornece uma interface única para administração da
infraestrutura; provisionamento dinâmico de serviços; Alta-disponibilidade; e
Balanceamento de carga de máquinas virtuais, a Infraestrutura como serviço
também é conhecido por um conceito que envolve a liberdade de contratrar a
infraestrutura de hardwares em Cloud Computing e espaço em data center sem a
necessidade da imobilização de recursos, maximizando a rentabilidade do seu
negócio.
c) Plataforma como Serviço (Platform as a Service - PaaS) - Esse modelo de serviço
caracteriza-se pela entrega de uma plataforma para desenvolvimento, teste e
disponibilização de aplicativos web com a finalidade de facilitar a implantação de
aplicações sem os custos e complexidade de gerenciamento do hardware. Um fator
inibidor de adoção é que aplicações desenvolvidas em uma PaaS normalmente
ficam presas ao fornecedor. É preciso que futuros clientes estejam atentos a esse
detalhe. E também podemos dizer que é um conceito que oferece um conjunto de
hardwares e softwares em forma de serviço. Facilita a implantação de aplicações
sem o custo e a complexidade de compra e gerenciamento de softwares subjacentes.
__________________
2 O gráfico demonstra que, conforme baixamos o custo de adoção, um número maior de clientes pode adotar nossa
solução. E esse número tende ao infinito, uma vez que a curva não toca o eixo "x". Assim, no modelo SaaS de
fornecimento de software, precisamos pensar em soluções e infra-estruturas de baixo custo, com alto aproveitamento
de recursos por um número muito grande de clientes, para atingirmos um público não suportado hoje em dia, devido
os custos proibitivos de entrada.
Figura 2. Mostra como os três modelos estão interligados.
3. Aspectos relevantes
A computação em nuvem oferece quatro (4) aspectos relevantes para sua
implantação. A definição do modelo que melhor se adapte às particularidades de cada
empresa, depende do processo de negócios, do tipo de informação e do nível de visão
desejado. Segundo o NIST (National Institute of Standards and Technology) (NIST,
2009), os modelos de implantação de computação em nuvem podem ser divididos em:
privado, público, comunitário e híbrido. As principais características desses modelos
serão listadas a seguir.
a) Nuvem Privada (Private Cloud) – A implantação de uma nuvem privada permite
que esta seja administrada pela própria empresa ou por terceiros. Neste modelo de
implantação são empregadas políticas de acesso aos serviços. As técnicas utilizadas
para prover tais características podem ser em nível de gerenciamento de redes,
configurações dos provedores de serviços e a utilização de tecnologias de
autenticação e autorização (NIST, 2009). Em comparação com outros modelos de
implantação de nuvem, esse modelo é o que prover um menor risco, em detrimento
de sua natureza privada. E, embora traga algumas facilidades por estar no ambiente
da empresa, esse modelo exige gerenciamento interno, o que diminui a economia de
recursos. Além disso, por estar diretamente atrelado aos processos corporativos,
torna-se engessado em termos de automação de tarefas como atualizações. E ainda
Private Cloud é um conceito tecnológico que proporciona a capacidade de criar e
gerenciar uma nuvem privada em um ambiente extremamente seguro, com
liberdade e grandes recursos a sua disposição. No ambiente de Private Cloud da
SAN, nossos clientes podem provisionar recursos tecnológicos de primeira linha
para montar a sua solução dentro de uma "nuvem privada".
Figura 3. Mostra um exemplo de nuvem privada.
b) Nuvem Pública (Public Cloud) - Neste modelo de implantação a infra-estrutura de
nuvens é disponibilizada para o público em geral ou para grupos de indústrias
(NIST, 2009), sendo acessado por qualquer usuário que conheça a localização do
serviço. Por isso não podem ser aplicadas restrições de acesso quanto ao
gerenciamento de redes, e menos ainda, aplicar técnicas de autenticação e
autorização. O conceito de nuvens públicas proporciona as organizações mais
economia de escala, uma vez que compartilha os recursos. Por outro lado, possui
limites de customização relacionados justamente à segurança das informações,
SLAs e políticas de acesso, uma vez que os dados podem ser armazenados em
locais desconhecidos e não podem ser facilmente recuperável. E também nuvem
pública provisione recursos ou estenda com segurança sua infraestrutura virtual
interna para a nuvem pública com a VMware e que é os provedores de serviços
com a tecnologia vCloud, que fazem parte do maior ecossistema de parceiros de
computação em nuvem. Aproveite recursos de nuvem híbrida seguros com
confiança e, ao mesmo tempo, forneça escolha e flexibilidade, garantindo
interoperabilidade e portabilidade de cargas de trabalho entre ambientes em nuvem
com uma infraestrutura VMware vCloud baseada em VMware vSphere, VMware
vCenter, VMware vCloud Director e VMware vCloud Networking and Security.
Figura 4. Mostra um exemplo de nuvem publica
c) Nuvem Comunitária (Community Cloud) - No modelo de implantação
comunidade ocorre o compartilhamento por diversas empresas de uma nuvem,
sendo esta suportada por uma comunidade específica que partilha de interesses
semelhantes, tais como a missão, os requisitos de segurança, política e
considerações sobre flexibilidade. Este tipo de modelo de implantação pode existir
localmente ou remotamente e pode ser administrado por alguma empresa da
comunidade ou por terceiros (NIST, 2009), semelhante ao modelo de Nuvem
Privada em relação à definição de políticas de acesso e a utilização de tecnologias
de autenticação e autorização. Outro fator que merece destaque é o fato dos dados
poderem ser armazenados com os dados de outros concorrentes pertencente à
comunidade.
Figura 5. Mostra um exemplo de acesso que pode ser de forma privada, publica,
comunitária ou hibrida.
d) Nuvem Híbrida (Hybrid Cloud) – Este modelo caracterizase pela composição de
dois ou mais modelos de implantação de nuvem (comunidade privada ou pública)
que permanecem como entidades únicas, sendo ligadas por uma tecnologia
padronizada ou proprietária que permite a portabilidade de dados e de aplicações
(por exemplo, nuvem de ruptura para balanceamento de carga entre nuvens)
(ISACA, 2009). A adoção do modelo exige uma minuciosa classificação e
rotulagem dos dados, para garantir que os mesmos estão sendo atribuídos ao tipo de
nuvem correto. Um fator negativo do modelo é o alto risco, uma vez que funde
diferentes formas de implantação. A infraestrutura em nuvem híbrida de alguns
empresa, resultou em economias significativas, uma vez que a empresa não
precisou expandir a área de cobertura de seu data center físico. Como por exemplo
a Consona, uma empresa de software, adotou uma infraestrutura em nuvem híbrida
para otimizar seus três data centers internos no mundo, bem como acomodar o
crescimento explosivo associado à sua área de Pesquisa e Desenvolvimento e ao
suporte pós-venda. Com uma infraestrutura em nuvem híbrida segura, em
conformidade e gerenciada nuvem hibrida.
Figura 6. Mostra um exemplo como funciona nuvem hibrida
4. Conclusões
As questões fundamentais de gestão de riscos de segurança em cloud computing
na adesão dos serviços da nuvem dizem respeito à identificação e implementação de
estruturas organizacionais adequadas, processos e controles para manter a gestão eficaz
da segurança da informação, gestão de riscos, e cumprimento. As organizações devem
garantir a segurança da informação razoável em toda a cadeia de fornecimento da
informação. A Gestão de Riscos dos ativos na Nuvem permite alinhar a exposição ao
risco e a capacidade de gerências a tolerância ao risco do proprietário dos dados. Desta
forma, caracteriza-se como principal meio de decisão e suporte para os recursos de TIC
para proteger a confidencialidade, integridade, e disponibilidade dos ativos de
informação na Nuvem. No entanto, para garantir a eficácia da Gestão de Riscos na
Nuvem é preciso estabelecer requisitos contratuais adequados e adotar tecnologias
capazes de coletar os dados necessários para informar as decisões de informação de
risco (por exemplo, o uso da informação, acesso, controles de segurança, localização,
etc.). Nesse processo os prestadores de serviços de Nuvem devem incluir métricas e
controles para auxiliar os clientes na implementação dos seus requisitos de informação
de Gestão de Risco. Atualmente entidades como o Open Cloud Manifesto, Computing
Use Cases Group e o Cloud Security Alliance trabalham no desenvolvimento de
padrões de segurança para computação em nuvem, levando essas pesquisas para um
grande número de áreas, incluindo auditoria, aplicativos, criptografia, governança,
segurança de rede, gerenciamento de risco, armazenamento e virtualização. Segundo
especialistas o primeiro passo é identificar as diferenças entre a segurança local e a
segurança na nuvem e examinar quais padrões existentes combinam com as operações
em nuvem. No final, eles esperam chegar a padrões que permitam que as empresas
possam integrar, seguramente, serviços de computação em nuvem de diferentes
fornecedores e ter a garantia de que seus dados ficarão seguros na nuvem.
5. Referências bibliográficas
VIEIRA, SCHULTER, WESTPHALL C. B, and C. M. WESTPHALL
Intrusion Detection for Grid and Cloud Computing
Federal University of Santa Catarina, Brazil, July/August 2010
http://www.inf.ufsc.br/~westphal/idscloud.pdf
NEXTGENERATION (Brasil). Intel (Org.). Dialogo TI – Cloud Computing.
http://www.nextgenerationcenter.com/home.aspx
ISACA, Emerging Technology – “Cloud Computing: Business Benefits with Security,
Governance and Assurance Perspectives.” – ISACA, Illions, USA – Oct, 2009.
http://www.isaca.org
WESTPHALL C. B, Grid and Cloud Computing Management and Security,
tutorial presented in NOMS 2010
http://www.inf.ufsc.br/~westphal/Tutorial3-NOMS2010.pdf
KAUFMAN, Lori M. et al. Data Security in the World of Cloud Computing: It all
Depends. Published by the IEEE Computer and Reliability Societies,
Virginia, USA, n. , p.61-64, ago. 2009.
http://www.computer.org/security
MARTY HUMPHREY, MEMBER, IEEE, MARY R. THOMPSON, MEMBER, IEEE,
AND KEITH R. JACKSON
Security for Grids
http://www.inf.ufsc.br/~westphal/s4.pdf
http://en.wikipedia.org/wiki/Cloudcomputing
BLOG ARQUITETURA DE SOLUÇÕES
Waldemir Cambiucc
http://blogs.msdn.com/b/wcamb/archive/2008/03/09/saas-software-as-a-service-uma-vis-osobre-o-software-como-servi-o.aspx
SAN INTERNET
http://www.saninternet.com/site/
VM-WARE
http://www.vmware.com