Universidade Federal de Santa Catarina – UFSC

Centro Tecnológico - CTC

Departamento de Informática e Estatística - INE

Curso Ciências da Computação – CCO

Disciplina Redes de Computadores I - INE5414

Professor Carlos Becker Westphall

Florianopolis, 04/02/2013

Artigo

Riscos de Segurança em Cloud Computing

Questões de segurança e gestão de riscos

Parte 4

Aluno

Fristtram Helder Fernandes 1

Matricula: 10206699

___________________________________ 1 Graduação em Ciências da Computação –UFSC fristtram@gmail.com ; fristtram@inf.ufsc.br

http://www.inf.ufsc.br/~fristtram/

Abstract

Um dos grandes atrativos da Computação em Nuvem é sem

dúvida a promessa de redução dos custos com TI, além de se delinear

como sendo a oportunidade para que as empresas possam agilizar

processos e aumentar a inovação tecnológica. Pesquisas apontam que o

uso do modelo irá crescer até representar 60% de mercado. O interesse

em aderir a tal modelo também cresce de maneira exponencial, devido à

proposta de integração de serviços e uso racional dos recursos de TI pelas

organizações, o que concretiza o sonho de consumo dos gestores de TI.

No entanto, questões de segurança e gestão de riscos com o uso

disseminado do modelo têm sido abordadas constantemente por

especialistas em segurança da informação. A adesão a tais serviços

obrigará às equipes de segurança de TI das companhias a estabelecer

maiores controles para os serviços baseados na Nuvem. Este artigo

contribui com a definição de requisitos para a gestão de riscos de

segurança da informação na adoção dos serviços da Nuvem.

1. Introdução

A Computação em Nuvem (Cloud Computing) é fruto da evolução e da reunião

dos fundamentos técnicos de áreas como virtualização de servidores, Grid Computing

(Computação em Grade), que também foi desenvolvido um protótipo para avaliar a

proposta de arquitetura usando Grid-M, um middleware da pesquisa do grupo

desenvolvido na Universidade Federal de Santa Catarina. Software orientado a serviços,

gestão de grandes instalações (Data Centers), dentre outras. Trata-se de um modelo

eficiente para utilizar softwares, acessar, armazenar e processar dados por meio de

diferentes dispositivos e tecnologias web.

Na prática, a Computação em Nuvem seria a transformação dos sistemas

computacionais físicos de hoje em uma base virtual. De forma mais ampla, o paradigma

da Computação em Nuvem parte do princípio de que todos os recursos de infraestrutura

de TI (hardware, software e gestão de dados e informação), até então tratada como um

ativo da empresa usuária, passam a ser acessados e administrados por estas através da

internet (Nuvem) com o uso de um simples navegador da rede mundial de

computadores, utilizando-se qualquer tipo de equipamento – celulares inteligentes,

Notebooks, Netbooks, Desktops, iPods, Tablets, etc. Fornecedores de tecnologia passam

a prover a infraestrutura e os serviços capacitados para atender a essa demanda. Nesse

cenário delineia-se uma série de questões que ainda precisam ser respondidas, afim de

que se possibilite a sua plena utilização e adoção sem receios pelas empresas.

Este artigo está organizado da seguinte forma:

1. Introdução - Descreve um pouco sobre a computação em nuvens que é a base deste

artigo.

2. Conceitos Básicos envolvidos - Descreve sobre um breve histórico da Computação

em Nuvem;

a) Software como Serviço que é um modelo onde o software é executado em um

servidor.

b) Infra-estrutura como Serviço é um modelo de serviço que fornecimento de

infraestrutura computacional em ambientes virtualizados.

c) Plataforma como Serviço é um modelo de serviço que caracteriza entrega de uma

plataforma para desenvolvimento.

3. Aspectos Relevantes - Essa parte mostra a importancia desse trabalho, que é

definição do modelo que melhor se adapte às particularidades de cada empresa, depende

do processo de negócios, do tipo de informação e do nível de visão desejado, podem ser

divididos em seguintes partes:

a) Nuvem Privada – ali mostramos a necessidade da implantação de uma nuvem

privada que são empregadas políticas de acesso aos serviços, nível de gerenciamento

de redes, configurações dos provedores de serviços e a utilização de tecnologias de

autenticação;

b) Nuvem Publica – esta parte a implantação da infra-estrutura de nuvens é

disponibilizada para o público em geral;

c) Nuvem Comunitário – aqui a implantação da comunidade, ocorre o

compartilhamento por diversas empresas de uma nuvem e por fim.

d) Nuvem Hibrida – Essa parte caracterizase pela composição de dois ou mais

modelos de implantação de nuvem (comunidade privada ou pública).

4. Conclusão - Neste parte encerramos o artigo com algumas conclusões concernentes

ou interessantes. E por ultimo

5. Referencia Bibliografica – Contem links que usei durante as pesquisas para

materialização deste artigo.

2. Conceitos básicos envolvidos

Ambientes de computação em nuvem podem ser compostos por três diferentes

modelos de serviços que definem um padrão arquitetural para soluções de computação

em nuvem (Armbrust et al. 2009). Riscos e benefícios globais serão diferentemente

tratados, dependendo do modelo de serviço e tipo de implantação que atenderá as

necessidades da empresa contratante. É importante notar que, ao se considerar os

diferentes tipos de serviços e modelos de implantação, as empresas devem considerar os

riscos que os acompanham.

a) Software como Serviço (Software as a Service - SaaS) – Nesse modelo de serviço

o software é executado em um servidor, não sendo necessário instalar o sistema no

computador do cliente, basta acessá-lo por meio da internet. O modelo de serviço

de SaaS ainda tem uma série de desafios a serem vencidos, dentre os quais

podemos destacar os problemas regulatórios, a integração com os recursos internos

da organização, a disponibilidade e mais especificamente a segurança das

informações.

Alguns especialistas afirmam que o mercado ao redor de SaaS envolve cifras em

torno de US$ 5 e até 2011, deverá representar 25% das vendas totais para o

segmento corporativo. O uso bilhões. Ainda, de acordo com o Gartner Group, SaaS

representou cerca de 5% do mercado total de software em 2005 de SaaS para a

automação dos processos de negócio fim-a-fim, como ordens de pagamento para

grandes empresas por exemplo, deve crescer ainda mais nos próximos anos.

Figura 1. Gráfico ilustrativo, software como serviço.2

Com o SaaS, o trabalho de implantar um aplicativo e mantê-lo em

funcionamento, dia após dia - testando e instalando patches, gerenciando

atualizações, monitorando o desempenho, assegurando alta disponibilidade, etc. -

ficarão sob a responsabilidade do provedor. Ao transferir a responsabilidade dessas

atividades de "sobrecarga" a terceiros, o departamento de TI poderá se concentrar

melhor em atividades de valor mais elevado que se alinham e dão suporte às metas

comerciais da empresa. Em lugar de ser principalmente reativo e com enfoque

operacional, o CIO (Chief Information Officer) e a equipe de TI poderão trabalhar

com maior eficiência como estrategistas de tecnologia para o restante da empresa,

trabalhando com unidades do negócio para entender suas necessidades e fazer

recomendações sobre como melhor usar a tecnologia para alcançar seus objetivos.

Longe de entrar em obsolescência pelo SaaS, o departamento de TI terá uma

oportunidade de contribuir para o sucesso da empresa, mais diretamente do que

nunca.

Na forma "pura" do SaaS, o provedor hospeda um aplicativo de modo

centralizado e disponibiliza o acesso a vários clientes, pela Internet, em troca de

uma taxa. Na prática, entretanto, as características marcantes entre um aplicativo

instalado no local do cliente e um aplicativo SaaS não são binárias, mas gradativas

ao longo de três dimensões diferentes: como é licenciado, onde está localizado e

como é gerenciado.

__________________ 2 O gráfico demonstra que, conforme baixamos o custo de adoção, um número maior de clientes pode adotar nossa

solução. E esse número tende ao infinito, uma vez que a curva não toca o eixo "x". Assim, no modelo SaaS de

fornecimento de software, precisamos pensar em soluções e infra-estruturas de baixo custo, com alto aproveitamento

de recursos por um número muito grande de clientes, para atingirmos um público não suportado hoje em dia, devido

os custos proibitivos de entrada.

Cada uma dessas características pode ser visualizada como uma sequência que tem, de

um lado, o software convencional, instalado no local, e, na outra extremidade, o SaaS

puro. Entre essas duas extremidades existem opções adicionais que combinam aspetos

de ambos.

Figura 2. Mostra as três dimensões que formam uma sequência.

b) Infra-estrutura como Serviço (Infrastructure as a Service – IaaS) – Esse modelo

de serviço refere-se ao fornecimento de infraestrutura computacional (geralmente

em ambientes virtualizados) como um serviço. O serviço IaaS possui algumas

características básicas como, fornece uma interface única para administração da

infraestrutura; provisionamento dinâmico de serviços; Alta-disponibilidade; e

Balanceamento de carga de máquinas virtuais, a Infraestrutura como serviço

também é conhecido por um conceito que envolve a liberdade de contratrar a

infraestrutura de hardwares em Cloud Computing e espaço em data center sem a

necessidade da imobilização de recursos, maximizando a rentabilidade do seu

negócio.

Quando pensamos em Infraestrutura como um serviço, o que se deve ter em mente

é esta visão, ou seja, um ambiente completo e gerenciado e cujo acesso não requer a

imobilização tão pouco a absorção do TCO. O IaaS pode ser utilizado para o acesso

a todas as tecnologias que compõem a infraestrutura da empresa. A CIMCORP

disponibiliza todas as sua soluções na modalidade IaaS.

Figura 3. Mostra uma visão de ambiente completo e gerência.

A grande maioria das empresas contam com recursos de TI para suprir a

necessidade de gerenciamento do negócio, para tanto, mantém uma infraestrutura

de processamento, armazenamento, rede, comunicação, aplicações e suporte para

garantir que esta matéria prima básica, a informação, esteja disponível de forma

rápida e segura.

Manter esta estrutura vem se tornando um grande desafio em função da velocidade

com que os componentes de TI ficam obsoletos e as novas demandas da

organização se tornam cada vez mais frequentes.

c) Plataforma como Serviço (Platform as a Service - PaaS) - Esse modelo de serviço

caracteriza-se pela entrega de uma plataforma para desenvolvimento, teste e

disponibilização de aplicativos web com a finalidade de facilitar a implantação de

aplicações sem os custos e complexidade de gerenciamento do hardware. Um fator

inibidor de adoção é que aplicações desenvolvidas em uma PaaS normalmente

ficam presas ao fornecedor. É preciso que futuros clientes estejam atentos a esse

detalhe. E também podemos dizer que é um conceito que oferece um conjunto de

hardwares e softwares em forma de serviço. Facilita a implantação de aplicações

sem o custo e a complexidade de compra e gerenciamento de softwares subjacentes.

PaaS de desenvolvimento é tudo o que o profissional precisa para criar aplicações

com flexibilidade e facilidade, sob demanda. É o que permite a modalidade de

computação em nuvem plataforma como serviço (PaaS).

Uma plataforma como serviço é a soma da infraestrutura como serviço –

infraestrutura elástica, robusta com custo proporcional ai uso e disponível em

poucos minutos – com uma camada de middleware e/ou componentes prontos para

uso construídos em cima dessa infraestrutura.

Em poucas palavras, PaaS permite que o desenvolvimento seja 100% focado no

negócio, pois ela já direciona a arquitetura lógica e administra a arquitetura física

de forma bem transparente. Na prática, temos algo impressionante: é possível

desenvolver uma aplicação que vá demandar uma requisição por minuto (quase

nada) ou 10 mil requisições por segundo (vazão bastante agressiva) da mesma

forma, com o mesmo nível de preocupação do ponto de vista técnico, ou seja,

apenas a codificação.

Outra grande vantagem da plataforma é a produtividade. O simples fato de não

haver necessidade de ficar projetando balanceamento de carga, replicação, cluster,

instalando e configurando middlewares (servidores de aplicação, banco de dados,

etc.) já é um grande ganho. Além disso, os grandes fornecedores estão criando uma

camada de componentes prontos para uso, APIs e aceleradores de desenvolvimento

nessas plataformas, para cada vez mais acelerar o desenvolvimento, como é o caso

do Google App Engine e do Force.com (Salesforce).

Quando falamos de PaaS, o ponto-chave é que existe uma plataforma por trás.

Ou seja, um fornecedor criou algo em cima da infraestrutura justamente para trazer

benefícios e acelerar o desenvolvimento. Existe um grande esforço dos

fornecedores para deixar essa camada o mais padrão possível, mas ainda existe uma

boa parte que é proprietária. Ao adotar uma plataforma como serviço, é natural que

se adote também essa camada proprietária que foi construída e disponibilizada, caso

contrário não faz sentido trabalhar na plataforma, poderia se trabalhar direto na

infraestrutura. É ela que permite dar um salto de produtividade e lidar com

escalabilidade e disponibilidade de forma tão transparente. É uma decisão a ser

tomada: menos custo e mais entregas contra o efeito “lock-in” das aplicações

construídas nessa abordagem.

Pelos conceitos apresentados, as plataformas são muito eficientes para

construção de novas aplicações. A migração de aplicações já existentes para elas é

um processo custoso ou mesmo inviável (dependendo da tecnologia da aplicação

atual e da plataforma almejada). Outro ponto é que essa abordagem possui

restrições a produtos já prontos e que servem como base para desenvolvimento,

como Sharepoint, Drupal, Magento etc. Caso haja necessidade de utilizar esses

produtos, deve-se optar pela Infraestrutura como Serviço (IaaS), que permite maior

flexibilidade e controle.

Em outras palavras, agilidade, inovação e mobilidade deixam de ser diferenciais

para virarem questões de sobrevivência. Apesar das dúvidas e incertezas que

rondam Cloud Computing, é uma realidade à qual as companhias devem se ajustar

se quiserem se manter competitivas e na briga pela sua fatia. Esperamos que em um

futuro próximo tenhamos mais padrões e regras de interoperabilidade para trazer

mais tranquilidade ao mercado.

Figura 2. Mostra como os três modelos estão interligados.

3. Aspectos relevantes A computação em nuvem oferece quatro (4) aspectos relevantes para sua

implantação. A definição do modelo que melhor se adapte às particularidades de cada

empresa, depende do processo de negócios, do tipo de informação e do nível de visão

desejado. Segundo o NIST (National Institute of Standards and Technology) (NIST,

2009), os modelos de implantação de computação em nuvem podem ser divididos em:

privado, público, comunitário e híbrido. As principais características desses modelos

serão listadas a seguir.

a) Nuvem Privada (Private Cloud) – A implantação de uma nuvem privada permite

que esta seja administrada pela própria empresa ou por terceiros. Neste modelo de

implantação são empregadas políticas de acesso aos serviços. As técnicas utilizadas

para prover tais características podem ser em nível de gerenciamento de redes,

configurações dos provedores de serviços e a utilização de tecnologias de

autenticação e autorização (NIST, 2009). Em comparação com outros modelos de

implantação de nuvem, esse modelo é o que prover um menor risco, em detrimento

de sua natureza privada. E, embora traga algumas facilidades por estar no ambiente

da empresa, esse modelo exige gerenciamento interno, o que diminui a economia de

recursos. Além disso, por estar diretamente atrelado aos processos corporativos,

torna-se engessado em termos de automação de tarefas como atualizações. E ainda

Private Cloud é um conceito tecnológico que proporciona a capacidade de criar e

gerenciar uma nuvem privada em um ambiente extremamente seguro, com

liberdade e grandes recursos a sua disposição. No ambiente de Private Cloud da

SAN, nossos clientes podem provisionar recursos tecnológicos de primeira linha

para montar a sua solução dentro de uma "nuvem privada".

Figura 3. Mostra um exemplo de nuvem privada.

Todas as vantagens relacionadas às nuvens privadas com relação a custo e

eficiência já foram bastante discutidas no mercado e, em muitos casos,

comprovadas. Mas o que pode complicar a migração para a nuvem privada não fica

somente nos fundamentos da arquitetura, modelos de serviços, governança e

consumo. Está também em como transformar os profissionais com habilidades

concentradas em infraestruturas tradicionais em profissionais aptos a gerenciar as

nuvens privadas.

A primeira constatação de especialistas é que isso se transformou em

oportunidade para os profissionais de TI. A nuvem privada exige que eles

aprofundem muito suas competências tradicionais para conseguir aplicá-las no

novo conceito. Um exemplo: o administrador de storage precisará mergulhar mais

fundo nos seus conhecimentos dentro dos mundos físico e virtual dos equipamentos

para conseguir fazer provisão de recursos para a nuvem e não somente para uma ou

algumas aplicações.

b) Nuvem Pública (Public Cloud) - Neste modelo de implantação a infra-estrutura de

nuvens é disponibilizada para o público em geral ou para grupos de indústrias

(NIST, 2009), sendo acessado por qualquer usuário que conheça a localização do

serviço. Por isso não podem ser aplicadas restrições de acesso quanto ao

gerenciamento de redes, e menos ainda, aplicar técnicas de autenticação e

autorização. O conceito de nuvens públicas proporciona as organizações mais

economia de escala, uma vez que compartilha os recursos. Por outro lado, possui

limites de customização relacionados justamente à segurança das informações,

SLAs e políticas de acesso, uma vez que os dados podem ser armazenados em

locais desconhecidos e não podem ser facilmente recuperável. E também nuvem

pública provisione recursos ou estenda com segurança sua infraestrutura virtual

interna para a nuvem pública com a VMware e que é os provedores de serviços

com a tecnologia vCloud, que fazem parte do maior ecossistema de parceiros de

computação em nuvem. Aproveite recursos de nuvem híbrida seguros com

confiança e, ao mesmo tempo, forneça escolha e flexibilidade, garantindo

interoperabilidade e portabilidade de cargas de trabalho entre ambientes em nuvem

com uma infraestrutura VMware vCloud baseada em VMware vSphere, VMware

vCenter, VMware vCloud Director e VMware vCloud Networking and Security.

Figura 4. Mostra um exemplo de nuvem publica

c) Nuvem Comunitária (Community Cloud) - No modelo de implantação

comunidade ocorre o compartilhamento por diversas empresas de uma nuvem,

sendo esta suportada por uma comunidade específica que partilha de interesses

semelhantes, tais como a missão, os requisitos de segurança, política e

considerações sobre flexibilidade. Este tipo de modelo de implantação pode existir

localmente ou remotamente e pode ser administrado por alguma empresa da

comunidade ou por terceiros (NIST, 2009), semelhante ao modelo de Nuvem

Privada em relação à definição de políticas de acesso e a utilização de tecnologias

de autenticação e autorização. Outro fator que merece destaque é o fato dos dados

poderem ser armazenados com os dados de outros concorrentes pertencente à

comunidade.

Figura 5. Mostra um exemplo de acesso que pode ser de forma privada, publica,

comunitária ou hibrida.

d) Nuvem Híbrida (Hybrid Cloud) – Este modelo caracterizase pela composição de

dois ou mais modelos de implantação de nuvem (comunidade privada ou pública)

que permanecem como entidades únicas, sendo ligadas por uma tecnologia

padronizada ou proprietária que permite a portabilidade de dados e de aplicações

(por exemplo, nuvem de ruptura para balanceamento de carga entre nuvens)

(ISACA, 2009). A adoção do modelo exige uma minuciosa classificação e

rotulagem dos dados, para garantir que os mesmos estão sendo atribuídos ao tipo de

nuvem correto. Um fator negativo do modelo é o alto risco, uma vez que funde

diferentes formas de implantação. A infraestrutura em nuvem híbrida de alguns

empresa, resultou em economias significativas, uma vez que a empresa não

precisou expandir a área de cobertura de seu data center físico. Como por exemplo

a Consona, uma empresa de software, adotou uma infraestrutura em nuvem híbrida

para otimizar seus três data centers internos no mundo, bem como acomodar o

crescimento explosivo associado à sua área de Pesquisa e Desenvolvimento e ao

suporte pós-venda. Com uma infraestrutura em nuvem híbrida segura, em

conformidade e gerenciada nuvem hibrida.

Figura 6. Mostra um exemplo como funciona nuvem hibrida

4. Conclusões

As questões fundamentais de gestão de riscos de segurança em cloud computing

na adesão dos serviços da nuvem dizem respeito à identificação e implementação de

estruturas organizacionais adequadas, processos e controles para manter a gestão eficaz

da segurança da informação, gestão de riscos, e cumprimento. As organizações devem

garantir a segurança da informação razoável em toda a cadeia de fornecimento da

informação. A Gestão de Riscos dos ativos na Nuvem permite alinhar a exposição ao

risco e a capacidade de gerências a tolerância ao risco do proprietário dos dados. Desta

forma, caracteriza-se como principal meio de decisão e suporte para os recursos de TIC

para proteger a confidencialidade, integridade, e disponibilidade dos ativos de

informação na Nuvem. No entanto, para garantir a eficácia da Gestão de Riscos na

Nuvem é preciso estabelecer requisitos contratuais adequados e adotar tecnologias

capazes de coletar os dados necessários para informar as decisões de informação de

risco (por exemplo, o uso da informação, acesso, controles de segurança, localização,

etc.). Nesse processo os prestadores de serviços de Nuvem devem incluir métricas e

controles para auxiliar os clientes na implementação dos seus requisitos de informação

de Gestão de Risco. Atualmente entidades como o Open Cloud Manifesto, Computing

Use Cases Group e o Cloud Security Alliance trabalham no desenvolvimento de

padrões de segurança para computação em nuvem, levando essas pesquisas para um

grande número de áreas, incluindo auditoria, aplicativos, criptografia, governança,

segurança de rede, gerenciamento de risco, armazenamento e virtualização. Segundo

especialistas o primeiro passo é identificar as diferenças entre a segurança local e a

segurança na nuvem e examinar quais padrões existentes combinam com as operações

em nuvem. No final, eles esperam chegar a padrões que permitam que as empresas

possam integrar, seguramente, serviços de computação em nuvem de diferentes

fornecedores e ter a garantia de que seus dados ficarão seguros na nuvem.

5. Referências bibliográficas

VIEIRA, SCHULTER, WESTPHALL C. B, and C. M. WESTPHALL

Intrusion Detection for Grid and Cloud Computing

Federal University of Santa Catarina, Brazil, July/August 2010

http://www.inf.ufsc.br/~westphal/idscloud.pdf

NEXTGENERATION (Brasil). Intel (Org.). Dialogo TI – Cloud Computing.

http://www.nextgenerationcenter.com/home.aspx

ISACA, Emerging Technology – “Cloud Computing: Business Benefits with Security,

Governance and Assurance Perspectives.” – ISACA, Illions, USA – Oct, 2009.

http://www.isaca.org

WESTPHALL C. B, Grid and Cloud Computing Management and Security,

tutorial presented in NOMS 2010 http://www.inf.ufsc.br/~westphal/Tutorial3-NOMS2010.pdf

KAUFMAN, Lori M. et al. Data Security in the World of Cloud Computing: It all

Depends. Published by the IEEE Computer and Reliability Societies,

Virginia, USA, n. , p.61-64, ago. 2009.

http://www.computer.org/security

MARTY HUMPHREY, MEMBER, IEEE, MARY R. THOMPSON, MEMBER, IEEE,

AND KEITH R. JACKSON

Security for Grids http://www.inf.ufsc.br/~westphal/s4.pdf

http://en.wikipedia.org/wiki/Cloudcomputing

BLOG ARQUITETURA DE SOLUÇÕES

Waldemir Cambiucc http://blogs.msdn.com/b/wcamb/archive/2008/03/09/saas-software-as-a-service-uma-vis-o-sobre-o-software-como-servi-o.aspx

SAN INTERNET http://www.saninternet.com/site/

VM-WARE http://www.vmware.com