O termo Nuvem foi importado da imagem utilizada para representar a Internet

Computação na Nuvem significa basicamente que os processos computacionais são realizados na Internet

A terminologia de serviços da Nuvem ainda é confusa e provavelmente as definições mais claras foram estabelecidas pelo National Institute of Standards and Technology (NIST) e Cloud Security Alliance (CSA)

Software como Serviço (SaaS)

O usuário utiliza aplicativos do provedor em uma infraestrutura de nuvem com pouco ou nenhum controle sobre a infraestrutura, rede, servidores, sistemas operacionais, armazenamento, etc...

Plataforma como Serviço (PaaS)

O usuário implementa aplicativos em ambiente de desenvolvimento próprio, exerce total controle sobre suas aplicações e utiliza a infraestrutura disponibilizada pelo provedor (servidores, sistema operacional e dispositivos de armazenamento)

Infraestrutura como Serviço (IaaS)

O cliente obtém APIs (Application ProgrammingInterface), processamento, armazenamento e recursos de computação do provedor. Utiliza seu próprio sistema operacional, suas aplicações e até alguns componentes de rede

Auto-Serviço: Obter (ou dispensar) recursos quando for conveniente, sem consulta ao provedor

Acesso: Utilizar o serviço com qualquer tipo de hardware

Compartilhamento: Vários clientes compartilham um ambiente comum para reduzir custos

Escalabilidade: Administrar variações de demanda de recursos sem prejudicar a qualidade de serviço

Métricas: Indicadores de uso abrangentes e acessíveis

Redução de Custos: Economias de escala permitem reduzir os custos drasticamente (a maioria das empresas utiliza menos de 25% da capacidade de seus servidores)

Mobilidade: Por definição a Nuvem pode ser acessada de qualquer lugar, permitindo total portabilidade das informações

Elasticidade ou Flexibilidade de Ajuste: O cliente utiliza (e paga) recursos e serviços de acordo com a real necessidade

Custos de Armazenamento: Disponível de acordo com a necessidade, sem bancar espaços não utilizados

Experiência do Provedor: Supondo uma escolha correta, a experiência de um fornecedor com foco exclusivo em TI pode ser de grande utilidade para o cliente em questões críticas

A incertezas para migrar para serviços em Nuvem estão centradas em segurança, desempenho e disponibilidade

Desempenho e disponibilidade são sensíveis porque o ambiente do processamento computacional, onde os recursos podem ser vistos e controlados, muda para algo intangível

As principais questões de segurança estão situadas em falhas ou fragilidades da própria tecnologia, no acesso não autorizado à informações, criptografia, aplicativos, autenticação de operadores, virtualização, etc...

Segurança física: As instalações e operadores não são controlados pelo usuário. O provedor deve ter políticas de segurança abrangentes e efetivas

Acesso a informações privilegiadas: O cliente não tem controle sobre quem tem acesso às suas informações

Criptografia: Nuvens são ambientes compartilhados com outros clientes do provedor, talvez até concorrentes do usuário. Violações podem acontecer de um banco de dados para outro. A criptografia é um elemento essencial e muito eficiente, porém cria outro problema, quem é o responsável pela chave criptográfica. As modernas técnicas de criptografia assimétrica (certificação digital) inviabilizam qualquer acesso se a chave for perdida

Relacionamento com terceiros: O axioma básico da segurança é que ela é tão forte quanto seu elo mais fraco. Em ambientes corporativos, o elo mais fraco quase sempre é a integração com parceiros e, no caso da nuvem, ainda mais importante devido e existência de vários terceiros em ambientes compartilhados

Network Security: Provedores de serviços de Nuvem concentram múltiplos usuários e alvos em potencial para hackers. A Nuvem também é suscetível a ataques de negação de serviço

Virtualização: Os os provedores de nuvem usam técnicas de virtualização para usufruir de economias de escala e oferecer melhor arquitetura distribuída. A virtualização tem seu próprio conjunto de problemas de segurança

Segurança de aplicativos: A maioria dos eventos de segurança acontecem através de aplicativos da Web. Na Nuvem o nível de exposição é semelhante ao de uma instalação interna, porém potencializado pelo ambiente compartilhado, sem que o usuário exerça controle sobre ele

Controles de acesso: Algumas das grandes questões para serviços em nuvem são em torno de controle de acesso, autenticação, gerenciamento de usuários, configuração etc. É importante saber com que tipo de padrões o provedor de nuvem está alinhado, como é feito o provisionamento de usuários, quem gerencia o processo de administração de credenciais, se OpenIDs podem ser utilizados para autenticação e se existem VPNsdedicadas

Privilégios de acesso

Dados confidenciais processados e/ou armazenados fora do ambiente empresarial têm um nível inerente de risco, porque desconsideram a cultura e as práticas da organização

Informações privilegiadas restritas à alta direção ou ao departamento de pesquisas de uma empresa não podem ser manipuladas livremente por estagiários de fornecedores de serviços ou empresas terceirizadas

Conformidade com regulamentações

Os clientes são, em última instância, responsáveis pela integridade e segurança dos dados que administram, mesmo que esta atribuição seja delegada a um prestador de serviços

Fornecedores devem disponibilizar relatórios periódicos de auditorias externas e certificações de segurança

Localização dos Servidores

A computação na nuvem desobriga a localização exata dos servidores que hospedam os dados que podem, inclusive, estar fora do país. Embora tecnicamente isto possa ser considerado um avanço, existe o problema de jurisdição legal que deve ser endereçado com critério

O ambiente físico de armazenamento tem que ter compatibilidade com os diplomas legais que regem a empresa assegurando (1) o acesso por decisão judicial e (2) a garantia de privacidade de acordo com a legislação do país de origem

Segregação de Dados

Uma nuvem compartilha as informações de muitos clientes que, na prática, podem ser concorrentes entre si e hospedar suas informações em um mesmo ambiente físico. Normalmente os provedores de serviços utilizam esquemas específicos de criptografia para cada cliente que, no estado da arte da tecnologia, é uma técnica eficaz (os custos para abrir uma criptografia de 1024 bits são absurdos), porém acidentes na administração das chaves podem impedir o acesso aos dados ou comprometer sua disponibilidade

Recuperação

A localização física exata dos dados pode ser incerta, porém o provedor de serviços é obrigado a garantir a sua disponibilidade em casos de desastres ou catástrofes

Contratos que não explicitam a replicação de dados e infraestrutura não garantem a integridade do acervo de informações. É importante constar a capacidade de recuperação completa em casos de acidentes e o tempo necessário para o restabelecimento dos serviços

Viabilidade no longo prazo

Em um ambiente ideal, o fornecedor de serviços de nuvem não encerra suas atividades nem é adquirido por outra empresa, entretanto a dinâmica dos mercados sugere que isto é muito provável

Se um destes eventos ocorrer, a manutenção da portabilidade e disponibilidade são características importantes

Apoio à investigação

A investigação de atividades impróprias ou ilegais é complicada na computação na nuvem. O acúmulo de serviços no provedor pode ocasionar a realocação bancos de dados para outras máquinas ou ambientes físicos. É necessário um compromisso contratual de apoio a formas específicas de investigação, caso contrário qualquer atividade relacionada com esta área é improvável, se não impossível (a nuvem não pode ser um paraíso para pedófilos ou outros usuários inescrupulosos para compartilhar ou ocultar conteúdo)

Padrões

Padrões são restritivos por definição. Várias entidades questionam se a computação na nuvem pode obter algum tipo de benefício com a padronização neste estágio do desenvolvimento. Existe uma relutância latente entre provedores de serviços em seguir recomendações e adotar padrões antes que o mercado defina o seu real cenário. Independente deste fato, organizações internacionais como ISO/IEC e ITU estão desenvolvendo um conjunto de padrões específicos de segurança para a nuvem

Jurisdição

Privacidade protegida por lei em um país pode não merecer o mesmo tratamento em outro. Em muitos casos, como os usuários não sabem onde suas informações são armazenadas, existem processos para tentar harmonizar leis, porém o consenso está distante

A União Européia e seus estados membros favorecem a proteção rígida da privacidade, enquanto o Patriot Actdos EUA garante às suas agências governamentais poderes praticamente ilimitados de acesso às informações, incluindo às que incluem dados de pesquisas desenvolvidas por empresas

A computação na Nuvem oferece muitos benefícios

A segurança é importante, mas está longe de ser é um fator impeditivo, desde que tratado com efetivo cuidado

Um provedor de serviços confiável e acordos sobre níveis de serviços (SLAs) claros e compreensíveis são requisitos essenciais

A migração para serviços de Nuvem não é apenas uma decisão econômica e deve envolver também os setores de tecnologia e jurídico

Carlos Alberto GoldaniTecnologia da Informação

goldani@live.ca