A SEGURANÇA NA PRESERVAÇÃO E USO DAS INFORMAÇÕES NA COMPUTAÇÃO NAS NUVENS Ricardo José Gouveia CARNEIRO (1); Cleisson Christian Lima da Costa RAMOS (2) (1) FATEC - Faculdade de Tecnologia de João Pessoa, e-mail: [email protected] (2) FATEC - Faculdade de Tecnologia de João Pessoa, e-mail: [email protected] RESUMO Na atual era do conhecimento, a informação tornou-se o “ativo” mais valioso das empresas, e a segurança dessa informação, um fator primordial. A Tecnologia da Informação avançou rapidamente em pouco tempo as empresas utilizam estes avanços tecnológicos para melhorar as operações organizacionais e o potencial de mercado. A Computação nas Nuvens ou Cloud Computing é considerada uma evolução natural da computação atual e onde, a cada dia, empresas investem em ritmo crescente nesta tecnologia. Uma das principais vantagens é a virtualização de produtos e serviços computacionais, proporcionando uma redução dos altos custos com tecnologia e infra-estrutura local, além disso, as empresas ganham praticidade e versatilidade, pois os serviços são obtidos de maneira mais fácil e transparente. No entanto, pairam diversos questionamentos sobre esse novo paradigma. Como garantir que dados e informações estarão protegidos e preservados? Será que podemos confiar nas empresas que fornecem a Computação nas Nuvens? E o sigilo dos dados? Em meio a tantas dúvidas, nota-se que a grande preocupação é com a Segurança da Informação. Este artigo tem por fim apresentar os conceitos, modelos e tecnologias da Computação nas Nuvens, bem como, relacionar os principais desafios para uso desta tecnologia. Neste artigo utilizou-se como principal meio de estudo a análise de obras relacionadas ao tema proposto, além da pesquisa qualitativa com abordagem exploratória. Palavras-chave: Computação nas Nuvens, segurança da informação, virtualização. ABSTRACT In the current era of knowledge, information has become the "active" more valuable business, and security of that information, a factor paramount. Information Technology has advanced rapidly in a short time and companies use these technological advances to improve organizational operations and market potential. The Cloud Computing or Cloud Computing is considered a natural evolution of modern computing and where, every day, companies invest intensively in this technology. One of the main advantages is the virtualisation of products and services computer, providing a reduction of the high costs technology and local infrastructure, in addition, companies gain practicality and versatility, as the services are obtained in a more easy and transparent. However, several questions hanging over this new paradigm. How to ensure that data and information will protected and preserved? Can we trust the companies that provide cloud computing? And the secrecy of the data? Amidst all doubt, noticed that the big concern is with the Security Information. This article is intended to present the concepts, models and technologies for Cloud Computing, as well as relating the key challenges for use of this technology. This article was used as primary means of study the analysis of works related to the theme proposed, in addition to qualitative research, with an exploratory approach. Keywords: Cloud computing, information security, virtualization. 1. INTRODUÇÃO A utilização dos computadores e o uso da Internet tornaram-se nas últimas décadas parte integrante no modo de vida das pessoas. Com a evolução constante das tecnologias computacionais e das telecomunicações que estão disponibilizando o acesso à Internet cada vez mais amplo e mais rápido. Em países desenvolvidos como Japão, Alemanha e Estados Unidos, é possível ter acesso rápido à Internet pagando muito pouco, criando um cenário perfeito para a popularização da Computação nas Nuvens, embora esse conceito esteja se tornando conhecido no mundo todo, inclusive no Brasil. Com a Computação nas Nuvens, muitos aplicativos dos usuários, assim como seus arquivos, não precisam mais estarem instalados ou armazenados em seu computador. Eles ficam disponíveis na "nuvem", isto é, na Internet. Ao fornecedor da aplicação cabe todas as tarefas de desenvolvimento, armazenamento, manutenção, atualização, backup, etc. O usuário não precisa se preocupar com nada disso, apenas como acessar e usar. A conectividade oferecida pela Internet também introduziu uma série de facilidades no dia-a-dia das pessoas, como: downloads, games on-line, shopping on-line, transações financeiras e a própria World Wide Web, dentre muitas outras, permitindo o acesso quase que anônimo a quase todos os tipos de informações. Sabe-se que no mundo “real” não existem sistemas totalmente seguros e o mundo “virtual” segue esse mesmo preceito. Por maior que seja a proteção adotada, o usuário sempre estará sujeito a invasões, roubos e ataques. Apesar dos benefícios de captar a computação nas nuvens de alguém, existem armadilhas potenciais. Uma delas é a segurança. Você deve confiar em um estranho para proteger seus aplicativos e informações neles contidas? Há um imenso potencial na Computação nas Nuvens, e a longo prazo poderá ser o paradigma dominante de uso de Tecnologia da Informação, mas ainda precisa evoluir bastante nas questões de segurança e interoperabilidade. Mas, é questão de tempo e maturidade. 2. A INFORMAÇÃO O conceito, a noção que temos de informação é bem vago e intuitivo. A palavra “informação”, segundo Teixeira (2005), sempre foi ambígua e liberalmente empregada para definir diversos conceitos. Os dicionários registram que a palavra tem sua raiz no latim informare, que significa “a ação de formar matéria, tal como pedra, madeira, couro etc.” A definição mais comum é : “a ação de informar; formação ou moldagem da mente ou do caráter, treinamento, instrução, ensinamento, comunicação de conhecimento instrutivo”. Conforme a International Organization for Standardization (ISO/IEC 17799, 2005), a informação pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente. 3. SEGURANÇA DA INFORMAÇÃO A Internet tem revolucionado o mundo das comunicações como nenhuma invenção foi capaz de fazer antes. Ela é, de uma vez e ao mesmo tempo, um mecanismo de disseminação da informação e divulgação mundial e um meio para colaboração e interação entre indivíduos e seus computadores, independentemente de suas localizações geográficas. Já a Segurança da informação pode ser definida como um conjunto de medidas que se constituem basicamente de controles e políticas de segurança, tendo como principal objetivo a proteção das informações de clientes e empresa (bens/ativos), controlando o risco de revelação ou alteração por pessoas não autorizadas. Na figura 1.0, logo abaixo, é contextualizado os três princípios básicos da Segurança da Informação: Confidencialidade, Integridade e Disponibilidade. Figura 1.0 – Princípios da Segurança da Informação. Além dos três princípios básicos, existem outros princípios que devem ser seguidos conforme a figura 1.1: Figura 1.1 – Princípios Auxiliares da Segurança da Informação. 3.1. – Principais Ameaças De acordo com Cunha (2005), podemos definir ameaças como sendo agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades. As ameaças, quanto a sua intencionalidade, podem ser divididas nos seguintes grupos: • Naturais: são decorrentes de fenômenos da natureza, como incêndios, enchentes, terremotos, tempestades eletromagnéticas, maremotos, aquecimento e poluição. • Involuntárias: são ameaças inconscientes, quase sempre causadas pelo desconhecimento, elas podem ser causadas por acidentes, erros, faltas de energia e etc. • Voluntárias: são propositais, causadas por agentes humanos como hackers, invasores, espiões, ladrões e etc. 3.2. – Necessidade de Segurança da Informação Diariamente as organizações, seus sistemas e redes de computadores são expostos a diversos tipos de ameaças a segurança das informações. A International Organization for Standardization (ISO/IEC 17799, 2005), afirma que a segurança da informação é importante para os negócios, tanto do setor público quanto o privado, e para proteger as infraestruturas críticas A interconexão de redes públicas e privadas e o compartilhamento de recursos de informação aumentam a dificuldade de se controlar o acesso. Muitos sistemas de informação não foram projetados para serem seguros. A segurança da informação que pode ser alcançada por meios técnicos é limitada e deve ser apoiada por uma gestão e por procedimentos apropriados. (ISO/IEC 17799, 2005) Atualmente, numa era onde o conhecimento e a informação são fatores de suma importância para qualquer indivíduo, organização ou nação, a Segurança da Informação é um pré-requisito para todo e qualquer sistema de informações estarem, de certa forma, protegidos. 3.3. – Segurança Lógica A norma técnica NBR ISSO/IEC 17799 - Código de Prática para a Segurança da Informação, estabelece que as regras para concessão de acesso devam ser baseadas na premissa “Tudo deve ser proibido a menos que expressamente permitido”, ao invés da regra “Tudo é permitido a menos que expressamente proibido”. Ferreira (2003) define que o controle de acesso lógico procura assegurar que só os usuários que tenham autorização possam acessar aos recursos, como também, ter acesso apenas aos recursos realmente indispensáveis para a execução de suas atividades. Os usuários sejam impedidos de efetuar tarefas que não sejam compatíveis com a sua função e o acesso a recursos sendo constantemente monitorado e restrito. O controle para o acesso dos usuários pode ser diminuído em termos de funções de identificação e autenticação, monitoramento e gerenciamento de privilégios, limitação e desabilitação de acessos e na prevenção de acessos não autorizados. Os controles de acessos podem ser feitos nos processos de logon, identificação e autenticação do usuário, controle de senhas de acesso e sistemas biométricos. 3.4. – Prejuízos causados com a ausência da Segurança da Informação Uma parada repentina nos sistemas informatizados de uma empresa pode comprometer seus negócios ocasionando prejuízos financeiros, como também, afetando a credibilidade perante seus clientes e o mercado. Principalmente se essa parada for ocasionada por algum tipo de ataque bem sucedido que teve por objetivo o captura das informações da empresa. Ferreira (2003) afirma que alguns dos maiores riscos que uma empresa está vulnerável pela falta de um nível adequado de segurança de informações são: • Perdas por fraudes e erros; • Imagem e credibilidade podendo ser afetadas; • Vazamento de informações; • Indisponibilidade da informação; e outros. 4. COMPUTAÇÃO NAS NUVENS A Computação nas Nuvens ou Cloud Computing se refere, à ideia de utilizarmos, em qualquer lugar e independentemente de plataforma, as mais variadas aplicações atrás da Internet. Seu conceito ainda é nublado, mas conforme Santos e Meneses (2009) pode-se definir como a virtualização de produtos e serviços computacionais, ou seja, é uma maneira de armazenar todas as informações em servidores virtuais chamados de “nuvem”, onde há uma tendência mundial para este modelo, não necessitando de máquinas velozes com um grande potencial de hardware e sim de um simples computador conectado à Internet para rodar todos os aplicativos. A ideia de Computação nas Nuvens certamente não é uma novidade, mas a forma de implementá-la é um tanto inovadora. Grandes empresas estão investindo nessa nova tecnologia, onde atualmente destacam-se: Google, IBM, Amazon, Dell, HP e Microsoft. 4.1. – Características Alecrim (2008) destaca as principais características da Computação nas Nuvens: • Acesso à aplicações independente de sistema operacional ou hardware; • O usuário não precisará se preocupar com a estrutura para execução da aplicação: hardware, backup, controle de segurança, manutenção, entre outros, ficam a cargo do fornecedor de serviço; • Compartilhamento de dados e trabalho colaborativo se tornam mais fáceis, uma vez que todos os usuários acessam as aplicações e os dados do mesmo lugar; • Dependendo do fornecedor, o usuário pode contar com alta disponibilidade, já que, se por exemplo, um servidor parar de funcionar, os demais que fazem parte da estrutura continuam a oferecer o serviço. Já Souza et al. (2009) identifica outras características relevantes, como: • Self-service sob demanda. Onde o usuário pode adquirir unilateralmente recurso computacional, como tempo de processamento no servidor ou armazenamento na rede na medida em que necessite e sem precisar de interação humana com os provedores de cada serviço. • Amplo acesso. Os recursos são disponibilizados por meio da rede e acessados através de mecanismos padronizados que possibilitam o uso por plataformas thin ou thin client, tais como celulares, laptops e PDAs; • Serviço medido. Sistemas em nuvem automaticamente controlam e otimizam o uso de recursos por meio de uma capacidade de medição. A automação é realizada em algum nível de abstração apropriado para o tipo de serviço, tais como armazenamento, processamento, largura de banda e contas de usuário ativas. 4.2. – Modelos de Serviços Em ambientes de Computação nas Nuvens, conforme Souza et al. (2009) afirma, podem-se ter três modelos de serviços. Estes modelos são muito importantes, pois definem um padrão arquitetural para as soluções de Computação nas Nuvens. 4.2.1 – Software como Serviço (SaaS) O SaaS, pode ser definido, de acordo com a MSDN (Microsoft Developer Network), como um software implantado como serviço hospedado, acessado através da Internet. Um mesmo software pode ser utilizado por múltiplos usuários, sejam pessoas ou empresas. Esse tipo de serviço é executado e disponibilizado por servidores em Servidores de responsabilidade de uma empresa desenvolvedora, ou seja, o software é desenvolvido por uma empresa que ao invés de vendê-lo ou usá-lo para beneficio exclusivo, disponibiliza-o a um custo baixo a uma grande quantidade de usuários. (AULBACH, 2009 aput Nogueira, 2009) 4.2.2 – Plataforma como Serviço (PaaS) Esse tipo de serviço disponibiliza servidores virtualizados nos quais os utilizadores podem executar aplicações existentes ou desenvolver novas aplicações, sem ter que se preocupar com a manutenção dos sistemas operativos, servidores, balanceamento de cargas ou capacidade de computação. Chirigati (2009) afirma que objetivo do PaaS é facilitar o desenvolvimento de aplicações destinadas aos usuários de uma nuvem, criando uma plataforma que agiliza esse processo. 4.2.3 – Infra-estrutura como Serviço (IaaS) Disponibiliza grids ou ‘clusters’ ou servidores virtualizados, redes, armazenamento e software de sistemas desenhados para aumentar ou substituir as funções de um centro de dados. Para Amrhein e Quint (2009) os serviços de infraestrutura abordam o problema de equipar de forma apropriada os datacenters, assegurando o poder de computação quando necessário. Além disso, devido ao fato das técnicas de virtualização serem comumente empregados nesse camada, economias de custos decorrentes da utilização mais eficiente de recursos podem ser percebidas. 4.3. – Desafios A Computação nas Nuvens oferece inúmeras vantagens, mas também possui uma série de desafios a serem superados na utilização desse tipo de tecnologia. Dentre eles, podemos citar: 4.3.1 - Segurança O maior desafio a ser enfrentado pela Computação nas Nuvens é a segurança. Para entender os potenciais riscos de segurança, as empresas devem fazer uma avaliação completa de um serviço de nuvem começando com a rede, checando as operações do fornecedor e desenvolvendo o aplicativo em nuvem. Em um relatório do Gartner (2008, aput Brodkin, 2008), há um alerta para sete principais riscos de segurança na utilização de Computação nas Nuvens: 1. Acesso privilegiado de usuários. Dados sensíveis sendo processados fora da empresa trazem, obrigatoriamente, um nível inerente de risco. Os serviços terceirizados fogem de controles “físicos, lógicos e de pessoal” que as áreas de TI criam em casa. 2. Compliance com regulamentação. As empresas são as responsáveis pela segurança e integridade de seus próprios dados, mesmo quando essas informações são gerenciadas por um provedor de serviços. 3. Localização dos dados. Quando uma empresa está usando o cloud, ela provavelmente não sabe exatamente onde os dados estão armazenados. Na verdade, a empresa pode nem saber qual é o país em que as informações estão guardadas. 4. Segregação dos dados. Dados de uma empresa na nuvem dividem tipicamente um ambiente com dados de outros clientes. A criptografia é efetiva, mas não é a cura para tudo. “Descubra o que é feito para separar os dados,” aconselha o Gartner. 5. Recuperação dos dados. Mesmo se a empresa não sabe onde os dados estão, um fornecedor em cloud devem saber o que acontece com essas informações em caso de desastre. 6. Apoio à investigação. A investigação de atividades ilegais pode se tornar impossível em cloud computing, alerta o Gartner. “Serviços em cloud são especialmente difíceis de investigar, por que o acesso e os dados dos vários usuários podem estar localizado em vários lugares, espalhados em uma série de servidores que mudam o tempo todo. Se não for possível conseguir um compromisso contratual para dar apoio a formas específicas de investigação, junto com a evidência de que esse fornecedor já tenha feito isso com sucesso no passado.”, alerta. 7. Viabilidade em longo prazo. No mundo ideal, o seu fornecedor de cloud computing jamais vai falir ou ser adquirido por uma empresa maior. Mas a empresa precisa garantir que os seus dados estarão disponíveis caso isso aconteça. “Pergunte como você vai conseguir seus dados de volta e se eles vão estar em um formato que você pode importá-lo em uma aplicação substituta,” completa o Gartner. A preocupação nesse aspecto fez com que a entidade Cloud Security Alliance (CSA) lançasse a segunda versão de um documento com orientações para segurança nas nuvens (www.cloudsecurityalliance.org) 4.3.2 – Disponibilidade dos Serviços O que acontecerá quando a conexão estiver lenta ou simplesmente cair? É aí que vem a tempestade. Para Almeida (2009), com tudo rodando na Internet, teremos grandes problemas, pelo menos aqui no Brasil com questões como a conexão e com a estabilidade da Internet. 4.3.3 – Centralização dos Dados A Internet foi desenvolvida com a finalidade de se dar o fim na centralização dos dados. Em plena guerra, o bombardeio às centrais de servidores poderiam deixar os Estados Unidos sem comunicação. “O problema é a centralização mesmo. No caso de um ataque de hackers (ou terrorista de carne e osso) às centrais de servidores do Google, os 146 milhões de usuários do Gmail teriam uma grande dor de cabeça. Moral da história: a computação em nuvem é muito melhor e mais confortável que a de antes. Mas também é menos segura” (REVISTA SUPER INTERESSANTE, edição 273, 2009) E o que vemos no desenvolvimento da Computação nas Nuvens? O retorno na centralização dos dados! Com isso, fica tentadora ataques direcionais a tais datacenters, pois haverá uma enorme quantidade de informações. Devido a isso, serão visadas por pessoas mal intencionadas utilizando-se, ou não, de pestes virtuais, comprometendo assim, a qualidade da “nuvem”. 5. CONSIDERAÇÕES FINAIS Há uma ampla discussão na comunidade científica em torno deste assunto. Profissionais de TI se dividem ao afirmarem que a Computação nas Nuvens será o paradigma do futuro, mas a preocupação de todos é universal: segurança. As empresas envolvidas na oferta da Computação nas Nuvens têm alguns desafios, como segurança e confiabilidade. Para que o usuário realmente “entregue” seus sistemas e arquivos para a "nuvem", as empresas precisam garantir que o usuário terá tais sistemas e arquivos devidamente protegidos e disponíveis para acesso imediato. Muitas vezes, empresas espalham seus servidores em diversos locais, longe do conhecimento do próprio usuário ou cliente, o que traz um problema pequeno para o usuário comum, mas uma preocupação necessária para médias e grandes empresas. Dados armazenados em outro país estão sujeitos a outra legislação, o que acarreta em mudanças jurídicas e até mesmo na possibilidade da quebra do sigilo dos dados armazenados. O backup, por exemplo, passará a ser realizado pelas empresas prestadoras do serviço, o que exige cautela e a certeza de que além de ser feito, a política de backup do prestador inclua a cópia dos dados em mais de um local. Com tudo isso, entendemos que apesar de ser vantajoso fazer parte desta tecnologia, ainda parece seguro manter aplicativos no disco rígido do computador ou no centro de tecnologia da própria empresa, afinal, quem garante que não ocorrerá uma tempestade nas nuvens? 5. REFERÊNCIAS ABNT, NBR ISO/IEC 17799. Tecnologia da Informação: código de prática para a gestão da segurança da informação. ABNT, 2005. ALECRIM, Emerson. O que é Cloud Computing (Computação nas Nuvens)?. Disponível em: <http://www.infowester.com/cloudcomputing.php>. Acessado em: 21 dez 2009. ALMEIDA, Juliana. Todos sob as nuvens: uma nova visão sobre a informática. Disponível em: <http://comunicacao2.0.vixtime.com.br/?tag=computacao-nas-nuvens>. Acessado em: 03 jan 2010. AMRHEIN, Dustin; QUINT, Scott. Computação em Nuvem para a Empresa: Parte 1: Capturando a Nuvem. Disponível em: <http://www.ibm.com/developerworks/br/websphere/techjournal/0904_amrhein/ 0904_amrhein.html>. Acessado em: 15 jan 2010. BRODKIN, Jon. Conheça sete dos riscos de segurança em Cloud Computing. Disponível em: <http://cio.uol.com.br/gestao/2008/07/11/conheca-sete-dos-riscos-de-seguranca-em-cloud-computing>. Acessado em: 13 jan 2010. CUNHA, Meire Jane Marcelo (2005). Proposta de documentação para subsidiar as atividades de implantação da Segurança da Informação. Disponível em: <http://www.acso.uneb.br/marcosimoes/ TrabalhosOrientados/CUNHA2005.pdf>. Acessado em: 07 jul 2009. CHIRIGATI, Fernando Seabra. Computação em Nuvem. Disponível em: <http://www.gta.ufrj.br/ensino/eel879/trabalhos_vf_2009_2/seabra/index.html>. Acessado em 29 dez 2009. FERREIRA, Fernando Nicolau Freitas. Segurança da informação. 2003 – Rio de Janeiro – Editora Ciência Moderna. NOGUEIRA, Matheus Cadori; PEZZI, Daniel da Cunha. A computação agora é nas nuvens. Disponível em: <http://under-linux.org/blogs/mcadori/attachments/64d1257953490-artigo-sobre-cloud-computingcloud-computing.pdf>. Acessado em: 20 dez 2009. SANTOS, Bruno Carvalho dos; MENESES, Francisco Gerson Amorim de. Cloud Computing: conceitos, oportunidades e desafios da nova computação. Disponível em: <http://www.cefetparnaiba.edu.br/index.php?option=com_docman&task=doc_download&gid=277&Itemid =79>. Acessado em: 02 dez 2009. SOUZA, Flávio R. C.; MOREIRA, Leandro O.; MACHADO, Javam C. Computação em Nuvem: Conceitos, Tecnologias, Aplicações e Desafios. Disponível em: <www.ufpi.br/ercemapi/arquivos/file/minicurso/mc7.pdf>. Acessado em: 25 dez 2009. TAURION, Cezar. Cloud Computing: Computação em Nuvem: Transformando o Mundo da Tecnologia da Informação. 2009 – Rio de Janeiro – Editora Brasport. TEIXEIRA, Gilberto. As ambiguidades do conceito de Informação. Disponível em: <http://www.serprofessoruniversitario.pro.br/ler.php?modulo=22&texto=1385>. Acessado em: 04 dez 2009.