Instituto de Educação Tecnológica
Pós-graduação
Gestão e Tecnologia da Informação - Turma nº 25
09 de abril de 2015
Segurança e Computação em Nuvem
Jean Poinho Malard
Coordenador em Tecnologia da Informação
[email protected]
RESUMO
O objetivo deste artigo técnico é abordar as principais vantagens e tendências de mercado
em relação à computação em nuvem, bem como os questionamentos existentes em relação
à segurança da informação quando este modelo é adotado. Esta pesquisa justifica-se pela
crescente utilização da computação em nuvem pelas empresas e pela necessidade de
apontar aos gestores os principais pontos a serem considerados em uma tomada de
decisão que envolva uma mudança para este modelo.
Palavras-chave: Computação em Nuvem. Cloud Computing.
1 INTRODUÇÃO
A computação em nuvem é uma tendência crescente nos últimos anos no cenário mundial.
Os investimentos em serviços públicos de computação em nuvem deverão chegar a cerca
de US$ 921 bilhões até 2017, segundo as previsões apresentadas no simpósio Gartner/IT
realizado em 2013 (FIGURA 1). As empresas têm se apresentado mais receptivas a este
mercado e os gestores têm mostrado maior abertura a esta tecnologia, entendendo-a como
inevitável em pelo menos parte das informações corporativas armazenadas. As estruturas
em nuvem oferecem aos clientes inúmeras vantagens em suas propostas comerciais,
incluindo redução de custos, infraestruturas com certificações, alta disponibilidade e
segurança da informação , entre outras. Este artigo tem como objetivo abordar os principais
pontos a serem analisados em relação à segurança da informação no ambiente de
2
computação em nuvem, procurando apontar de forma objetiva o que deve ser considerado
por um gestor, além das vantagens já apontadas pelos fornecedores, no momento da
tomada de decisão.
Figura 1 – Investimentos em Computação em Nuvem
Fonte: Gartner 2013
2 DESENVOLVIMENTO
Um importante critério a ser considerado em uma mudança para o ambiente de computação
em nuvem é a análise de riscos. Quando uma empresa adota este modelo de
armazenamento de dados está assumindo riscos na maioria das vezes desconhecidos, e
não alertados pelos fornecedores. O conhecimento desses riscos é de vital importância para
uma tomada de decisão assertiva e elaboração de contratos seguros para o cliente.
O acesso compartilhado no modelo de computação em nuvem é feito utilizando o princípio
de multitenant, ou multi-inquilino. Neste modelo vários clientes compartilham os mesmo
recursos de memória, CPU, armazenamento etc. A arquitetura multi-inquilino é
3
desconhecida para a maioria dos clientes, e representa um dos riscos da computação em
nuvem. Vulnerabilidades nesta arquitetura podem permitir que inquilinos leiam dados de
outros. No estudo dessas vulnerabilidades, pesquisadores conseguiram ler dados de outros
inquilinos em locais que deveriam ser um novo espaço de armazenamento e conseguiram
também recuperar dados de memória que deveriam ser privados. Trata-se, portanto, de uma
arquitetura que ainda possui falhas de segurança, apesar de estar em constante evolução. A
Figura 2 mostra o conceito do modelo multitenant.
Figura 2 – Modelo Multitenant
Fonte: Hernandez, 2012
A virtualização é comum no ambiente de computação em nuvem. Os provedores costumam
virtualizar seus servidores físicos em inúmeras instâncias para atender os seus clientes. Os
mesmos ataques a servidores físicos podem ocorrer em servidores virtuais. Segundo
levantamentos do Gartner, os times de segurança da informação não são envolvidos nos
estágios iniciais em cerca de 40% dos projetos de virtualização. A comunicação entre
máquinas virtuais geralmente ocorre com a utilização de softwares baseados em redes
virtuais e switches localizados dentro do servidor para otimizar o tráfego de informações.
Este tráfego, porém, não é detectado por dispositivos de segurança baseados em rede
física. A virtualização pode também trazer outros riscos, como acessos mal dimensionados
aos administradores de sistema ou usuários e cargas de trabalho em um mesmo servidor
físico sem separação suficiente. A Figura 3 mostra o compartilhamento de recursos em um
ambiente virtual.
4
Figura 3 – Virtualização
Fonte: Perbone
Outro importante ponto a ser analisado na computação em nuvem é a autenticação. A
remoção de contas obsoletas deve ser feita e os privilégios aos administradores devem ser
limitados. O fornecedor deve determinar quantas e quais pessoas poderão ver os dados do
cliente. As chaves de criptografia de dados não deve ser a mesma para inquilinos diferentes,
mesmo que os dados de cada um estejam separados. O cliente deve ter conhecimento de
onde os dados estão armazenados fisicamente em todas as etapas de backup. Também
deve ser de conhecimento do cliente o tratamento dado aos seus dados que não são mais
necessários.
A disponibilidade é outro item de grande peso no armazenamento em nuvem. Os
fornecedores sempre garantem disponibilidade total do serviço e redundâncias em caso de
falhas. Mesmo com o backup garantido pelos fornecedores, recomenda-se que cada
empresa realize o seu próprio backup dos dados compartilhados periodicamente. Há
registros de perda de dados de clientes depois de ataques maliciosos a provedores. Os
contratos devem sempre conter cláusulas detalhadas sobre o backup dos dados, que deve
ser de total responsabilidade do fornecedor. É também importante saber se o fornecedor
terceiriza algum tipo de serviço. Quanto maior a interdependência do fornecedor maior será
o risco. Por fim, a posse dos dados deve também ser garantida em contrato. Deve ficar claro
que o cliente é o proprietário dos dados e que os mesmos não podem ser transferidos em
hipótese nenhuma.
As informações de alguns desses itens citados acima, referentes à infraestrutura em nuvem,
nem sempre estarão disponíveis pelos provedores, mas recomenda-se que sejam sempre
questionadas a fim de mitigar os riscos e trazer maior segurança na tomada de decisão.
5
3 CONCLUSÃO
A computação em nuvem representa uma tendência atual de mercado e traz
comprovadamente redução de custo aos clientes que adquirem este serviço. Antes de tomar
uma decisão sobre colocar ou não os dados e sistemas em nuvem, os gestores devem em
primeiro lugar considerar o que de fato deve ser transferido. Muitas vezes é mais
interessante para as empresas manter os dados em sua infraestrutura interna. Isto irá
depender muito do negócio e do nível de segurança que os dados exigem. Em outros casos
a transferência de alguns serviços para a nuvem é mais simples como, por exemplo,
serviços de correio e pacote Office. Segundo o Gartner, alguns mitos da computação em
nuvem ainda são muito comuns. Entre eles destacam-se o fato das empresas entenderem
que precisam ter todos os serviços em nuvem para serem competitivas; as empresas
esperarem o desempenho em nuvem igual ao de um datacenter físico, e o fato das
empresas enxergarem a virtualização como uma nuvem privada. Muitos destes conceitos
devem ser estudados a fundo em conjunto com o levantamento dos riscos ainda existentes
nesta tecnologia, que está em constante evolução mas ainda pode apresentar falhas. O bom
senso na escolha dos serviços a serem contratados, aliados ao conhecimento dos riscos
sob o ponto de vista técnico e a elaboração de contratos sólidos deverão mitigar os riscos e
aumentar as chances de sucesso de um projeto de computação em nuvem.
REFERÊNCIAS
SMITH, David Mitchell. The Top 10 Cloud Miths, Gartner, 01. out. 2014. Disponível em: <
https://www.gartner.com/doc/2860422?ref=SiteSearch&sthkw=cloud%20computing&fnl=sear
ch&srcId=1-3478922254>.
Acesso
em:
30
mar.
2015.
GRIMES, Roger A. 5 problemas que não podemos ignorar quando o assunto é cloud
computing,
Computerworld,
20
fev.
2015.
Disponível
em:
<
http://computerworld.com.br/gestao/2015/02/20/5-riscos-que-nao-devemos-ignorar-quandoo-assunto-e-cloud-computing>.
Acesso
em:
29
mar.
2015.
HERNANDEZ, Jesús Gil. Multitenancy Architeture, Management and Leadership Notes, 13
dez. 2012. Disponível em: < http://jesusgilhernandez.com/2012/12/13/multitenancy-architecture/>.
Acesso
em:
30
mar.
2015.
PERBONE, Gregory. Virtualização: Instalação da VMware + Windows Server 2003,
Devmedia, Disponível em: < http://www.devmedia.com.br/virtualizacao-instalacao-davmware-windows-server-2003/24571>.
Acesso
em:
29
mar.
2015.