Gestão de Vulnerabilidades em Cloud Computing: Um Cenário da Nuvem Pública
Rita de C. C. de Castro1, 2, Luiza Domingos¹, Glaucivânia Luz¹, Claudio Pereira¹, Marcelo Gomes¹
1
Instituto Federal de Educação, Ciência e Tecnologia do Ceará (IFCE) – Campus Canindé
2
Universidade Estadual do Ceará (UECE) - Centro de Ciência e Tecnologia (CCT)
Mestrado Profissional em Computação UECE/IFCE (MPCOMP)
{rcacordeiro, luizadomix, claudio.pereira0625, marceloprf2007}@gmail.com; [email protected]
e informação), até então tratada como um ativo da empresa
usuária, passam a ser acessados e administrados por estas
através da internet (Nuvem) com o uso de um simples
navegador da rede mundial de computadores, utilizando-se
qualquer tipo de equipamento – celulares inteligentes,
notebooks, netbooks, desktops, etc. Fornecedores de
tecnologia passam a prover a infraestrutura e os serviços
capacitados para atender a essa demanda.
A Computação
em Nuvem oferece aspectos
computacionais que a diferencia de outros modelos. Tratase da escalabilidade e flexibilidade que este modelo
permite ao usuário, em razão da oferta de serviços on
demand (sob demanda). Diante da eventual necessidade de
ampliação ou redução da estrutura tecnológica, bastam
poucos comandos e acertos com o provedor do serviço,
que, em geral, dispõe de capacidade extra que pode ser
negociada instantaneamente, e eventualmente, até com um
custo mais baixo.
Este artigo está estruturado da seguinte forma: nesta
introdução são apresentadas breves considerações sobre
os aspectos gerais da Computação em Nuvem; na seção 2,
são apresentadas as principais particularidades da Nuvem,
enumerando seus modelos de entrega de serviços e suas
formas de implementação; na seção 3, são apresentadas as
questões de segurança em ambientes da Computação em
Nuvem e os relacionamentos com os princípios da
Segurança da Informação; a seção 4 trata do processo de
gestão de vulnerabilidades; seção 5, é apresentado o
modelo de referência da Nuvem e os aspectos de
segurança no modelo IaaS; seção 6, apresenta a taxonomia
das vulnerabilidades em ambientes IaaS; e por fim na
seção 7, é recomendado um mapeamento e uma
classificação dessas vulnerabilidades.
Resumo
A Computação em Nuvem (Cloud Computing), assim como
toda tecnologia emergente, além de arregimentar
vulnerabilidades provenientes de tecnologias que a
originou, traz à luz novas vulnerabilidades. O discurso
atual sobre as inúmeras questões de segurança na nuvem
aumenta a dificuldade, por parte dos gestores de TIC
(Tecnologia da Informação e Comunicação), para uma
compreensão, bem fundamentada, sobre o real impacto
que essas vulnerabilidades poderão causar aos ativos da
informação envolvidos na contratação do serviço. A
adesão aos serviços providos pela Nuvem obrigará às
equipes de segurança de TIC das companhias a
estabelecer controles mais eficazes. Dessa forma, a
identificação e o mapeamento das vulnerabilidades em
tais ambientes, objetiva apoiar a tomada de decisão,
servindo como ferramenta de suporte às etapas do
processo de planejamento para adesão aos serviços da
nuvem. Este artigo contribui com a identificação e
classificação (taxonomia) das possíveis vulnerabilidades
presentes na Nuvem Pública (Public Cloud) no modelo de
serviço IaaS (Infrastructure as a Service – IaaS) –
Infraestrutura como Serviço.
Palavras-chave: Cloud Computing; Vulnerabilidades;
Nuvem Pública; Taxonomia.
1. Introdução
Compreender a importância da Computação em Nuvem
para saber lidar com essa tendência é hoje um dos grandes
desafios que se apresenta ao mundo corporativo. A
Computação em Nuvem (Cloud Computing) é fruto da
evolução e da reunião dos fundamentos técnicos de áreas
como virtualização de servidores, Grid Computing
(Computação em Grade), Software orientado a serviços,
gestão de grandes instalações (Data Centers), dentre
outras. Trata-se de um modelo eficiente para utilizar
software, acessar, armazenar e processar dados por meio
de diferentes dispositivos e tecnologias web. Na prática, a
Computação em Nuvem seria a transformação dos
sistemas computacionais físicos de hoje em uma base
virtual.
De forma mais ampla, o paradigma da Computação em
Nuvem parte do princípio de que todos os recursos de
infraestrutura de TI (hardware, software e gestão de dados
2. Particularidades dos Serviços na Computação em
Nuvem
Para ser capaz de oferecer escalabilidade e flexibilidade,
aspectos primordiais da Computação em Nuvem, o modelo
disponibiliza, segundo o NIST (National Institute of
Standards and Technology) (NIST, 2009), três
modalidades básicas de serviços: SaaS - Software as a
Service (software como serviço), indicado aos que
necessitam apenas de soluções em programas e aplicativos
tecnológicos; PaaS - Plataform as a Service (plataforma
como serviço), que envolve um ambiente virtual para
criação, hospedagem e controle de softwares e bancos de
dados; e IaaS - Infrastructure as a Service (infraestrutura
como serviço), que é a mais completa modalidade,
1
em Nuvem, muitas literaturas apontam a necessidade e a
importância de se adotar um modelo de Governança da
Segurança da Informação com a finalidade de mitigar os
riscos inerentes dos modelos de prestação de serviços na
Nuvem.
Considerando a multiplicidade de serviços prestados pelos
provedores de Computação em Nuvem, tais como, e-mails,
desenvolvimento
de
aplicativos
personalizados,
armazenamento de dados e gestão de infraestrutra,
podemos considerar que esses são concentrações maciças
de recursos e dados. A percepção de que a nuvem é um
aglomerado de informações pode caracterizá-la como
sendo um alvo propício a ataques por potenciais invasores.
Ameaças como esta podem afetar diretamente os pilares da
segurança
da
informação:
disponibilidade,
confidencialidade e integridade, e consequentemente
comprometer toda a nuvem. A garantia do cumprimento
desses princípios relaciona-se diretamente com o modelo
de implantação contratado pela empresa, por exemplo, o
modelo de Nuvem Privada, que permite a restrição de
acessos uma vez que se encontra atrás do Firewall da
empresa, mantendo, dessa forma, controle do nível de
serviço e aderência às regras de segurança da empresa
(Turion, 2009).
Na Tabela 1, resume-se uma análise do modelo de
implantação de Nuvem Publica de acordo com princípios
de segurança da informação, considerando questões que
devem ser abordadas antes da adoção do modelo. Dessa
forma uma metodologia que permita o mapeamento das
vulnerabilidades inerente de cada modelo de
implementação, auxiliará na implantação de controles e
adoção de medidas para a continuidade de negócios, e
ainda resguardar os princípios da segurança da
informação.
envolvendo servidores, sistemas de rede de armazenagem,
softwares e todo o ambiente tecnológico dedicado. Tudo
isso pode estar disponível por meio de modelos de
implementação conhecidos como Nuvem Pública (Public
Cloud), Nuvem Privada (Private Cloud) ou Nuvem
Híbrida (Hybrid Cloud) (que integra as duas anteriores). A
definição do modelo que melhor se adapte às
particularidades de cada empresa, depende do processo de
negócios, do tipo de informação e do nível de visão
desejado.
A Computação em Nuvem oferece diversas vantagens
importantes para as organizações, entre elas a redução de
custos, automação, independência de hardware, alta
disponibilidade, maior flexibilidade e a inovação
tecnológica. Vulnerabilidades e benefícios globais serão
diferentemente tratados, dependendo do modelo de serviço
e tipo de implantação que atenderá as necessidades da
empresa contratante (CASTRO e SOUSA, 2010). É
importante notar que, ao se considerar os diferentes tipos
de serviços e modelos de implantação, as empresas devem
considerar as vulnerabilidades que os acompanham.
3. Questões de Segurança em Ambientes na Nuvem
Em um ambiente computacional tradicional, é comum
observarmos que os requisitos de segurança são ignorados
em detrimento dos requisitos funcionais dos sistemas. Tal
fato ocasiona o desenvolvimento de sistemas e ambientes
extremamente vulneráveis aos ataques externos. Quando o
assunto relaciona-se aos riscos associados à Computação
em Nuvem a conversa geralmente envereda por questões
relacionadas à privacidade e segurança das informações
residentes na Cloud. Apesar das preocupações, o debate
sobre os riscos, muitas vezes ignora a importância de criar
planos de contingência e Acordo de Níveis de Serviço
(ANS) (em inglês SLA – Service Level Agreement),
voltados a garantir confiabilidade e a certeza de que os
negócios não sofrerão grandes baques no caso de um
incidente. Os riscos referentes à segurança e privacidade
das informações na Nuvem bem como a portabilidade dos
dados delineia-se como sendo de alta criticidade. Além
disso, quando as informações críticas das empresas estão
nas mãos de outras pessoas também pode refletir em
menos garantia do cumprimento das leis.
Na computação tradicional, ambientes in-house, os
usuários têm total controle sobre seus dados, processos e
seu computador (Kandukuri et. al., 2009). Em
contrapartida, na Computação em Nuvem todos os
serviços e manutenção dos dados são fornecidos por um
provedor de Nuvem. Neste contexto o cliente (usuário)
desconhece quais processos estão em execução ou onde os
dados estão armazenados, essa abstração de atividades se
deve justamente ao dinamismo inerente da nuvem. Sendo
assim o cliente não tem controle sobre todas as
movimentações de seus dados na nuvem. Então como
exigir garantias de que as informações residentes na
nuvem estão realmente seguras?
Ao analisar o cenário atual para o gerenciamento de
segurança da informação em ambientes de Computação
Tabela 1 – Princípios da Segurança da Informação em um modelo de
Nuvem Publica.
Fonte: Castro e Sousa, 2010
Princípios da
Segurança
Integridade
Confidencialidade
Questões
Invasões por hackers
aos ambientes da
nuvem.
Violação de leis de
proteção de dados.
Aplicações de diversos
usuários coabitam nos
mesmos sistemas de
armazenamento.
Quais são as garantias
sobre a preservação da
integridade dos dados?
Disponibilidade
Recuperação de dados
gerenciados por
terceiros.
Autenticidade
Verificação da
autenticidade das
entidades
comunicantes.
Auditabilidade das
ações executadas por
usuários no sistema.
Não-repúdio
2
Cenário do Risco
Como é realizada a
segregação de dados?
Como é protegida a
propriedade intelectual
e segredos comerciais?
Como é garantida a
arquitetura de
disponibilidade?
A recuperação de
informações críticas,
está sujeita a atrasos?
Que recursos são
utilizados na
autenticação e controle
de acesso?
Os usuários do modelo
são capazes de
negarem suas ações?
elementos listados a seguir são essenciais para
implementar um processo eficiente e eficaz para localizar e
tratar vulnerabilidades.
4. Gestão de Vulnerabilidades
Uma vulnerabilidade representa um ponto potencial de
falha, ou seja, um elemento relacionado à informação que
é passível de ser explorado - pode ser um servidor ou
sistema computacional, uma instalação física, um
funcionário insatisfeito (MARCIANO, 2006), se
configurando como uma fragilidade presente em um ativo
ou grupo de ativos que pode ser explorada por uma ou
mais ameaças (ISO/IEC 27002:2005). Dada a incerteza
associada aos ativos e às vulnerabilidades a eles
relacionadas, muitas vezes a mensuração dos danos
causados por sua exploração são difíceis de serem
avaliados. Há aproximadamente duas décadas o impacto
das falhas detectadas em um ambiente computacional eram
mais facilmente tradadas, pois se restringiam à ambiente
de baixa complexidade, hoje com a imensa quantidade de
máquinas interligadas em rede, um atacante pode explorar
essa vulnerabilidade de qualquer lugar do mundo e o
impacto causado por essa ação pode gerar problemas de
grande dimensão como os que seriam causados por
eventuais ataques a infraestruturas críticas de um país
inteiro.
No contexto deste artigo a definição adotada para
vulnerabilidade é a estabelecida pelo ITSEC (Information
Technology Security Evaluation Criteria), que se segue “A
existência de uma fraqueza (falha), que pode levar a um
evento inesperado, indesejável, compremetendo a
segurança de sistemas de computadores, rede, aplicativos e
protocolos”. Esta definição de vulnerabilidade é adotada
pela ENISA (European Network and Information Security
Agency).
A gestão de vulnerabilidades é um processo contínuo que,
além de proteger as informações valiosas da organização,
protege também os recursos críticos da rede e a
propriedade intelectual, sendo sua implementação
recomendada pela norma ISO/IEC 27002. Seu processo
gerencial deve ocorrer de maneira efetiva, sistemática e de
forma repetível com medições de confirmação de
efetividade. A norma sugere que se obtenha informação,
em tempo hábil, sobre vulnerabilidades existentes nos
ativos de informação, avaliada a exposição e tomadas as
medidas apropriadas para o tratamento da falha.
O correto funcionamento do processo de gestão de
vulnerabilidades é crítico para muitas organizações, seu
planejamento deve estar focado no mapeamento dos
processos críticos de negócios e principalmente na
elaboração de inventário dos ativos envolvidos, portanto,
convém que se seja monitorado regularmente (ISO/IEC
27002). Um inventário de ativos preciso é essencial para
assegurar que vulnerabilidades potenciais sejam
identificadas e tratadas. O caminho para estabelecer os
requisitos essenciais de segurança da informação se inicia
no processo de inventário dos ativos os de segurança
precisam ser que norteiam todas as ações conhecidos com
pilares visando assim preservar ativos de informação.
Segundo a norma ISO/IEC 27002 (2005), um programa de
gestão de vulnerabilidades deve apresentar alguns
elementos chave, abaixo descritos, para obter sucesso. Os
a) Definir funções e responsabilidades – Todas as
melhores práticas de gestão de vulnerabilidade,
checklists e procedimentos são inúteis se as
responsabilidades não são adequadamente
atribuídas. Definir as funções e os procedimentos
de execução e atribuir às responsabilidades são
críticos para a segurança da empresa.
b) Avaliar os ativos de informação - A base de
dados que guarda as informações de cartão de
crédito do cliente, por exemplo, é mais
importante do que o servidor que contém
arquivos de rotina. Atribuir um valor aos ativos
de informação é a base para dar prioridade aos
seus esforços de gestão de vulnerabilidade.
c) Analisar e documentar a importância de cada
ativo - É crítico saber quais são as informações
que devem ser protegidas primeiramente. Dessa
forma será possível prever as conseqüências de
um ataque com sucesso e mensurar o impacto
sobre a produtividade da empresa e a
continuidade dos negócios.
d) Classificar as ameaças – O uso de um esquema
e/ou modelo de classificação auxilia na
categorização das vulnerabilidades e ameaças por
seu grau provável de êxito e nível potencial de
estrago. O esquema de classificação também deve
incluir os ativos alvos e o impacto no negócio
destes tipos de ataques.
e) Controlar o fluxo de informação - O volume de
informação sobre novas vulnerabilidades e
ameaças pode facilmente sobrecarregar a rede e
as equipes de segurança. As vulnerabilidades de
diversos produtos e sistemas operacionais são
divulgadas a cada semana e a equipe responsável
pela segurança necessita estar informada sobre
todas aquelas que possam vir a afetar o ambiente
da empresa.
5. O Modelo de Referência da Nuvem
Para se compreender as vulnerabilidades de segurança
presentes na Computação em Nuvem, é fundamental
entender as relações e dependência entre os modelos de
implementação e seus serviços. O serviço IaaS é o
fundamento de todos os serviços de nuvem, todos os
outros modelos de serviços estão construídos sobre sua
base. A figura 1 ilustra essa característica por meio do
diagrama de Referência da Nuvem, elaborado pela
entidade Cloud Security Alliance (CSA, 2010). Da mesma
forma como as capacidades são herdadas, na integração
entre as camadas, também serão herdadas as questões de
segurança da informação e as vulnerabilidades. É
importante notar que nem todos os provedores comerciais
de nuvem se encaixam perfeitamente nos modelos de
serviços em camadas. No entanto, o modelo de referência
3
funcionalidades integradas, complexidade versus abertura
(extensibilidade), e segurança. As compensações entre os
três modelos de implantação da nuvem incluem:
é importante para estabelecer uma relação entre os serviços
do mundo real e o framework arquitetônico, bem como a
compreensão dos recursos e serviços que exigem análise
de segurança (CSA, 2010).
a) O serviço SaaS oferece a funcionalidade mais integrada,
construída diretamente baseada na oferta, com a menor
extensibilidade do consumidor, e um nível relativamente
elevado de segurança integrada (pelo menos o fornecedor
assume a responsabilidade pela segurança).
b) O serviço PaaS visa permitir que os desenvolvedores
criem seus próprios aplicativos em cima da plataforma.
Como resultado, ela tende a ser mais extensível que o
SaaS, às custas de funcionalidades previamente
disponibilizadas aos clientes (NIST, 2010). Esta troca se
estende às características e capacidades de segurança, onde
as capacidades embutidas são menos completas, mas há
maior flexibilidade para adicionar uma a camada de
segurança extra.
c) O serviço IaaS oferece pouca ou nenhuma característica
típica de aplicações, mas enorme extensibilidade (CSA,
2010). Isso geralmente significa menos recursos e
funcionalidades integradas de segurança além de proteger
a própria infraestrutura. Este modelo requer que os
sistemas operacionais, aplicativos e o conteúdo possam ser
gerenciados e protegidos pelo consumidor da nuvem.
Uma conclusão fundamental sobre a arquitetura de
segurança é que quanto mais baixo na pilha o prestador de
serviços de nuvem parar, mais recursos de segurança e
gestão os consumidores terão a responsabilidade de
implementar e gerenciar por si próprios.
No caso do serviço SaaS, isso significa que os níveis de
serviço, segurança, governança, conformidade, e as
expectativas de responsabilidade do prestador de serviço
estão estipuladas, gerenciadas e exigidas contratualmente.
No caso dos serviços de PaaS ou IaaS é de
responsabilidade dos administradores de sistema do cliente
gerenciar eficazmente o mesmo, com alguma
compensação esperada pelo fornecedor ao proteger a
plataforma e componentes de infraestrutura subjacentes
que garantam o básico em termos de disponibilidade e
segurança dos serviços. Deve ficar claro em qualquer caso
que se pode atribuir / transferir a responsabilidade, mas
não necessariamente a responsabilidade final.
Figura 1 – Modelo de Referência da Nuvem
Fonte: Cloud Security Alliance, 2010
O serviço de IaaS inclui todos os recursos da pilha de
infraestrutura desde as instalações até as plataformas de
hardware que nela residem. Ela incorpora a capacidade de
abstrair os recursos (ou não), bem como oferecer
conectividade física e lógica a esses recursos. O serviço
fornece ainda, um conjunto de APIs (Applications
Programming Interface) que permitem a gestão e outras
formas de interação com a infraestrutura por parte dos
consumidores. Logo acima e acrescentada uma camada
adicional de integração, onde funciona o serviço PaaS,
com frameworks de desenvolvimento de aplicativos,
recursos de middleware e funções como banco de dados,
mensagens e filas, o que permite aos desenvolvedores
criarem aplicativos para a plataforma cujas linguagens de
programação e ferramentas são suportadas pela pilha.O
serviço SaaS por sua vez, é construído sobre as pilhas IaaS
e PaaS, e fornece um ambiente operacional auto-contido
usado para entregar todos os recursos do usuário, incluindo
o conteúdo, a sua apresentação, as aplicações e as
capacidades de gestão.
Consequentemente deve ficar claro que existem
importantes compensações de cada modelo em termos das
5.1. Aspectos específicos da segurança em IaaS
No modelo de arquitetura da Computação em Nuvem, o
nível IaaS serve de base para os demais modelos de
fornecimento de serviço (PaaS e SaaS), sendo que a falta
de segurança nesse nível certamente afetará os modelos
construídos sobre a mesma. O uso da virtualização, por
exemplo, permite que os provedores de Computação em
Nuvem maximizem a utilização do hardware, comutando
várias VMs (Virtual Machine) de consumidores em uma
mesma infraestrutura física (RISTENPART et. al. 2009,
DAWOUD et. al. 2010). Essa abordagem pode introduzir
vulnerabilidades,
pois
geralmente
executa-se
a
multilocação (multi-tenancy) – comutação das máquinas
4
virtuais de consumidores distintos sobre o mesmo
hardware. Outro ponto importante é o fato de os
fornecedores de IaaS prestarem serviços compartilhando
uma mesma infraestrutura física. Porém, componentes
físicos do hardware como a memória cache on die da CPU
não foram projetados para oferecer propriedades de
isolamento para uma arquitetura com vários usuários
(multi-tenant – multi-inquilinos). Tal vulnerabilidade foi
mapeada como “Falta de Isolamento de Recursos”
(ENISA, 2009).
Todo o processo de implementação, instalação e
configuração do ambiente de nuvem deve seguir boas
práticas de segurança, sendo que após essa fase o ambiente
deve ser monitorado visando detectar mudanças ou
atividades não autorizadas. Modelos de segurança para a
camada de IaaS podem ser utilizados como um guia para
avaliar e reforçar a segurança do ambiente (DAWOUD et.
al. 2010), mas para isso é necessário o mapeamento das
vulnerabilidades inerentes ao modelo.
6. Taxonomia das Vulnerabilidades em ambientes IaaS
Considerando o cenário relacionado à segurança da
informação no modelo de entrega de serviço IaaS, as
comunidades, científica e empresarial, uniram-se em busca
de desenvolver padrões que permitam que as empresas
possam integrar, seguramente, serviços de Computação em
Nuvem de diferentes fornecedores e ainda ter a garantia de
que seus dados ficarão seguros. Como parte dessa
iniciativa a European Network and Information Security
Agency (ENISA, 2009) publicou um estudo sobre a
avaliação dos riscos de segurança e benefícios do uso da
Computação em Nuvem (ENISA, 2009). O documento
fornece uma visão sistêmica não só relacionada ao nível de
risco, mas também arrola uma série de vulnerabilidades
passíveis de serem exploradas, configurando assim um
cenário de incidentes1 na Nuvem. A entidade supracitada
mantém ainda um inventário das bases de dados, e dos
órgãos que as administram, sobre vulnerabilidades,
descobertas, em ambientes computacionais. As
informações mantidas nessas bases de dados objetivam
prover aos usuários a melhoria nos controles e
contramedidas de segurança, antes que uma ameaça se
concretize.
Dada a incerteza associada aos ativos da informação na
Nuvem e às vulnerabilidades a eles relacionadas, várias
ferramentas têm sido utilizadas para o mapeamento dos
diferentes elementos da informação, na construção dos
conjuntos de vulnerabilidades associadas a cada um desses
ativos. Com o intuito de prover uma solução a essa
questão, a taxonomia apresentada na figura 2, foi
concebida
baseando-se
nos
levantamentos
das
vulnerabilidades mapeadas pela ENISA (ENISA, 2009) e
pela norma ABNT NBR ISO/IEC 27005 (ISO 27005,
2008).
Figura 2 – Taxonomia das Vulnerabilidades em IaaS
Na abordagem para classificação das vulnerabilidades
levou-se em consideração fatores importantes e prédeterminados na documentação utilizada como base de
conhecimento. Sempre com foco nos critérios de análise
de impacto e definição de probabilidade de uma ameaça
explorar tal vulnerabilidade.
7. Conclusão
As empresas, dependendo do seu ramo de negócio,
possuem necessidades distintas e estão sob padrões e
regulamentações específicas da natureza de seus negócios.
Dessa forma, apresentam abordagens diversas para tratar
questões relacionadas à gestão de vulnerabilidades,
principalmente na adesão aos modelos de entrega de
serviços, recentemente difundidos, como a Computação
1
A probabilidade de uma ameaça explorar a
vulnerabilidade presente no sistema (ENISA, 2009).
5
em Nuvem. Nesse contexto, observou-se que as
investigações abrangem cenários diferenciados, muito
embora os trabalhos ainda sejam raros, se não inexistentes,
quando se trata de identificação e classificação
(Taxonomia) de vulnerabilidades para aplicação no
modelo de serviço IaaS, de modo a proporcionar apoio
adequado à tomada de decisão no momento da contratação
da nuvem.
Dessa forma, o mapeamento dessas vulnerabilidades deve
ser definido pela organização para guiar os mais diversos
esforços em se adotar, adequadamente, uma metodologia
de análise e gestão de riscos de segurança da informação,
voltada para a contratação desses serviços. Um dos fatores
determinantes para as questões de segurança nessas
contratações, está vinculado à criação de mecanismos que
possibilitem a identificação de vulnerabilidades no
ambiente, os ativos afetados e as medidas de correção /
proteção, antes que haja a exploração da falha. A lacuna
identificada, e que se pretende preencher, é a de se
promover a identificação de vulnerabilidades na Nuvem
Pública, além de proporcionar um entendimento comum
na denominação dessas, buscando se alcançar o
compartilhamento e a interoperabilidade semântica,
estabelecendo dessa forma o ecossistema para gestão
otimizada das vulnerabilidades na Nuvem.
3.
KUROSE, J. F.; ROSS, K.W., Redes de Computadores e a
Internet – Uma Abordagem Top-Down. 3ª Ed., Pearson
Addison Wesley, São Paulo, SP - 2005.
KORZENIOWSKI, Paul. Segurança na Nuvem: Padrões estão
sendo trabalhados. Information Week, EUA - 20/11/2009.
Disponível em: <http://www.itweb.com.br/noticias>. Acesso em:
01 mar. 2010.
TAURION, Cezar. Cloud Computing: Transformando o
Mundo do TI. 1ª Ed., Editora Brasport, Rio de Janeiro, RJ 2009.
NIST (National Institute of Standards and Technology) The NIST Definition of Cloud Computing, Version 15, 10-72009, National Institute of Standards and Technology,
Information Technology Laboratory – Gaithersburg, Maryland –
USA. Disponível em: http://www.nist.org Acesso em
01/03/2010.
CSA (Cloud Security Alliance) - Security Guidance for Critical
Areas of Focus in Cloud Computing V2.1 Prepared by the
Cloud Security Alliance December 2009
ENISA - The European Network and Information Security
Agency, Security and Resilience in Governmental Clouds –
Making an Informed Decisionfits, risks and recommendation for
information
–
January
2011.
Disponível
em:
<
http://www.enisa.europa.eu/>
Referências Bibliográficas
NEXTGENERATION (Brasil). Intel (Org.). Dialogo TI - Cloud
Computing. Disponível em: <www.nextgenerationcenter.com>.
Acesso em: 05 mar. 2010.
RISTENPART, T., Tromer, E., Shacham, H., e Savage, S.
(2009). Hey, you, get off of my cloud: exploring information
leakage in third-party compute clouds. Em ACM conference on
Computer and communications security, páginas 199–212. ACM.
ARMBRUST, M, Fox, A., Griffith, R., Anthony D. Joseph,
Randy Katz, Andy Konwinski, Gunho Lee, David Patterson,
Ariel Rabkin, Ion Stoica, and Matei Zaharia - “Above the
Clouds: A Berkeley View of Cloud Computing” – UC
Berkeley Reliable Adaptive Distributed Systems Laboratory February 10, 2009 http://radlab.cs.berkeley.edu/
ABNT – Associação Brasileira de Normas Técnicas. Tecnologia
da Informação – Código de Prática para a Gestão da Segurança
da Informação. NBR ISO/IEC 27002: 30/09/2005.
ABNT – Associação Brasileira de Normas Técnicas. Tecnologia
da Informação – Técnicas de Segurança – Gestão de Riscos de
Segurança da Informação. NBR ISO/IEC 27005: 07/08/2008.
ISACA, Emerging Technology – “Cloud Computing: Business
Benefits with Security, Governance and Assurance
Perspectives.” – ISACA, Illions, USA – Oct, 2009. Disponível
em http://www.isaca.org
CASTRO, R. C. C., Pimentel de Sousa, V. L., Segurança em
Cloud Computing: Governança e Gerenciamento de Riscos de
Segurança, In: III Congresso Tecnológico de TI e Telecom
InfoBrasil 2010, Anais Eletrônicos; Fortaleza, CE, 2010.
Disponível em http://www.infobrasil.inf.br/userfiles/26-05-S5-168740-Seguranca%20em%20Cloud.pdf
DIKAIAKOS M.D., PALLIS G., KATSAROS D., MEHRA P.,
VAKALI A., - Cloud Computing: Distributed Internet
Computing for IT and Scientific Research, Published by the
IEEE Computer Society - p. 10-13 - Nicosia, Greece September/October 2009 –- www.computer.org/internet/.
MARCIANO, J. L. P., 2006, Segurança da Informação – Uma
Abordagem Social. Tese de Doutorado - Universidade de
Brasília, UnB, DF, 2006.
KAUFMAN, Lori M. et al. Data Security in the World of Cloud
Computing: It all Depends. Published by the IEEE Computer
and Reliability Societies, Virginia, USA, n. , p.61-64, ago. 2009.
DAWOUD, W., Potsdam, G., Takouna, I., e Meinel, C. (2010).
Infrastructure as a service security: Challenges and solutions. Em
7th International Conference on Informatics and Systems
(INFOS).
http://www.computer.org/security
KANDUKURI, Balachandra Reddy; V, Ramakrishna Paturi;
RAKSHIT, Dr. Atanu. Cloud Security Issues. IEEE
International Conference On Services Computing, Pune, India, n.
, p.517-520, September 2009.
6