Your SlideShare is downloading. ×
0
Tech   segurança na nuvem
Tech   segurança na nuvem
Tech   segurança na nuvem
Tech   segurança na nuvem
Tech   segurança na nuvem
Tech   segurança na nuvem
Tech   segurança na nuvem
Tech   segurança na nuvem
Tech   segurança na nuvem
Tech   segurança na nuvem
Tech   segurança na nuvem
Tech   segurança na nuvem
Tech   segurança na nuvem
Tech   segurança na nuvem
Tech   segurança na nuvem
Tech   segurança na nuvem
Tech   segurança na nuvem
Tech   segurança na nuvem
Tech   segurança na nuvem
Tech   segurança na nuvem
Tech   segurança na nuvem
Tech   segurança na nuvem
Tech   segurança na nuvem
Tech   segurança na nuvem
Tech   segurança na nuvem
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Tech segurança na nuvem

134

Published on

Segurança na Nuvem

Segurança na Nuvem

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
134
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
9
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. O termo Nuvem foi importado da imagem utilizadapara representar a InternetComputação na Nuvem significa basicamente queos processos computacionais são realizados naInternetA terminologia de serviços da Nuvem ainda éconfusa e provavelmente as definições mais clarasforam estabelecidas pelo National Institute ofStandards and Technology (NIST) e Cloud SecurityAlliance (CSA)
  • 2. Software como Serviço (SaaS)O usuário utiliza aplicativos do provedor emuma infraestrutura de nuvem com pouco ounenhum controle sobre a infraestrutura, rede,servidores, sistemas operacionais,armazenamento, etc...
  • 3. Plataforma como Serviço (PaaS)O usuário implementa aplicativos em ambientede desenvolvimento próprio, exerce totalcontrole sobre suas aplicações e utiliza ainfraestrutura disponibilizada pelo provedor(servidores, sistema operacional e dispositivosde armazenamento)
  • 4. Infraestrutura como Serviço (IaaS)O cliente obtém APIs (Application ProgrammingInterface), processamento, armazenamento erecursos de computação do provedor. Utiliza seupróprio sistema operacional, suas aplicações eaté alguns componentes de rede
  • 5. Auto-Serviço: Obter (ou dispensar) recursos quando forconveniente, sem consulta ao provedorAcesso: Utilizar o serviço com qualquer tipo dehardwareCompartilhamento: Vários clientes compartilham umambiente comum para reduzir custosEscalabilidade: Administrar variações de demanda derecursos sem prejudicar a qualidade de serviçoMétricas: Indicadores de uso abrangentes e acessíveis
  • 6. Redução de Custos: Economias de escala permitemreduzir os custos drasticamente (a maioria dasempresas utiliza menos de 25% da capacidade de seusservidores)Mobilidade: Por definição a Nuvem pode ser acessadade qualquer lugar, permitindo total portabilidade dasinformações
  • 7. Elasticidade ou Flexibilidade de Ajuste: O cliente utiliza(e paga) recursos e serviços de acordo com a realnecessidadeCustos de Armazenamento: Disponível de acordo com anecessidade, sem bancar espaços não utilizadosExperiência do Provedor: Supondo uma escolhacorreta, a experiência de um fornecedor com focoexclusivo em TI pode ser de grande utilidade para ocliente em questões críticas
  • 8. A incertezas para migrar para serviços em Nuvem estãocentradas em segurança, desempenho e disponibilidadeDesempenho e disponibilidade são sensíveis porque oambiente do processamento computacional, onde osrecursos podem ser vistos e controlados, muda para algointangívelAs principais questões de segurança estão situadas emfalhas ou fragilidades da própria tecnologia, no acessonão autorizado à informações, criptografia, aplicativos,autenticação de operadores, virtualização, etc...
  • 9. Segurança física: As instalações e operadores não sãocontrolados pelo usuário. O provedor deve ter políticasde segurança abrangentes e efetivasAcesso a informações privilegiadas: O cliente não temcontrole sobre quem tem acesso às suas informações
  • 10. Criptografia: Nuvens são ambientes compartilhadoscom outros clientes do provedor, talvez atéconcorrentes do usuário. Violações podem acontecerde um banco de dados para outro. A criptografia é umelemento essencial e muito eficiente, porém cria outroproblema, quem é o responsável pela chavecriptográfica. As modernas técnicas de criptografiaassimétrica (certificação digital) inviabilizam qualqueracesso se a chave for perdida
  • 11. Relacionamento com terceiros: O axioma básico dasegurança é que ela é tão forte quanto seu elo maisfraco. Em ambientes corporativos, o elo mais fracoquase sempre é a integração com parceiros e, no casoda nuvem, ainda mais importante devido e existênciade vários terceiros em ambientes compartilhadosNetwork Security: Provedores de serviços de Nuvemconcentram múltiplos usuários e alvos em potencialpara hackers. A Nuvem também é suscetível a ataquesde negação de serviço
  • 12. Virtualização: Os os provedores de nuvem usamtécnicas de virtualização para usufruir de economias deescala e oferecer melhor arquitetura distribuída. Avirtualização tem seu próprio conjunto de problemasde segurançaSegurança de aplicativos: A maioria dos eventos desegurança acontecem através de aplicativos da Web.Na Nuvem o nível de exposição é semelhante ao deuma instalação interna, porém potencializado peloambiente compartilhado, sem que o usuário exerçacontrole sobre ele
  • 13. Controles de acesso: Algumas das grandesquestões para serviços em nuvem são em torno decontrole de acesso, autenticação, gerenciamento deusuários, configuração etc. É importante saber comque tipo de padrões o provedor de nuvem estáalinhado, como é feito o provisionamento deusuários, quem gerencia o processo deadministração de credenciais, se OpenIDs podemser utilizados para autenticação e se existem VPNsdedicadas
  • 14. Privilégios de acessoDados confidenciais processados e/ou armazenadosfora do ambiente empresarial têm um nível inerente derisco, porque desconsideram a cultura e as práticas daorganizaçãoInformações privilegiadas restritas à alta direção ou aodepartamento de pesquisas de uma empresa nãopodem ser manipuladas livremente por estagiários defornecedores de serviços ou empresas terceirizadas
  • 15. Conformidade com regulamentaçõesOs clientes são, em última instância, responsáveis pelaintegridade e segurança dos dados queadministram, mesmo que esta atribuição seja delegadaa um prestador de serviçosFornecedores devem disponibilizar relatóriosperiódicos de auditorias externas e certificações desegurança
  • 16. Localização dos ServidoresA computação na nuvem desobriga a localização exatados servidores que hospedam os dados que podem,inclusive, estar fora do país. Embora tecnicamente istopossa ser considerado um avanço, existe o problema dejurisdição legal que deve ser endereçado com critérioO ambiente físico de armazenamento tem que tercompatibilidade com os diplomas legais que regem aempresa assegurando (1) o acesso por decisão judiciale (2) a garantia de privacidade de acordo com alegislação do país de origem
  • 17. Segregação de DadosUma nuvem compartilha as informações de muitosclientes que, na prática, podem ser concorrentes entresi e hospedar suas informações em um mesmoambiente físico. Normalmente os provedores deserviços utilizam esquemas específicos de criptografiapara cada cliente que, no estado da arte da tecnologia,é uma técnica eficaz (os custos para abrir umacriptografia de 1024 bits são absurdos), porémacidentes na administração das chaves podem impediro acesso aos dados ou comprometer suadisponibilidade
  • 18. RecuperaçãoA localização física exata dos dados pode ser incerta,porém o provedor de serviços é obrigado a garantir asua disponibilidade em casos de desastres oucatástrofesContratos que não explicitam a replicação de dados einfraestrutura não garantem a integridade do acervo deinformações. É importante constar a capacidade derecuperação completa em casos de acidentes e otempo necessário para o restabelecimento dos serviços
  • 19. Viabilidade no longo prazoEm um ambiente ideal, o fornecedor de serviços denuvem não encerra suas atividades nem é adquiridopor outra empresa, entretanto a dinâmica dosmercados sugere que isto é muito provávelSe um destes eventos ocorrer, a manutenção daportabilidade e disponibilidade são característicasimportantes
  • 20. Apoio à investigaçãoA investigação de atividades impróprias ou ilegais écomplicada na computação na nuvem. O acúmulo deserviços no provedor pode ocasionar a realocaçãobancos de dados para outras máquinas ou ambientesfísicos. É necessário um compromisso contratual deapoio a formas específicas de investigação, casocontrário qualquer atividade relacionada com esta áreaé improvável, se não impossível (a nuvem não pode serum paraíso para pedófilos ou outros usuáriosinescrupulosos para compartilhar ou ocultar conteúdo)
  • 21. PadrõesPadrões são restritivos por definição. Várias entidadesquestionam se a computação na nuvem pode obteralgum tipo de benefício com a padronização nesteestágio do desenvolvimento. Existe uma relutâncialatente entre provedores de serviços em seguirrecomendações e adotar padrões antes que o mercadodefina o seu real cenário. Independente destefato, organizações internacionais como ISO/IEC e ITUestão desenvolvendo um conjunto de padrõesespecíficos de segurança para a nuvem
  • 22. JurisdiçãoPrivacidade protegida por lei em um país pode nãomerecer o mesmo tratamento em outro. Em muitoscasos, como os usuários não sabem onde suasinformações são armazenadas, existem processos paratentar harmonizar leis, porém o consenso está distanteA União Européia e seus estados membros favorecem aproteção rígida da privacidade, enquanto o Patriot Actdos EUA garante às suas agências governamentaispoderes praticamente ilimitados de acesso àsinformações, incluindo às que incluem dados depesquisas desenvolvidas por empresas
  • 23.  A computação na Nuvem oferece muitos benefícios A segurança é importante, mas está longe de ser é um fator impeditivo, desde que tratado com efetivo cuidado Um provedor de serviços confiável e acordos sobre níveis de serviços (SLAs) claros e compreensíveis são requisitos essenciais A migração para serviços de Nuvem não é apenas uma decisão econômica e deve envolver também os setores de tecnologia e jurídico
  • 24. Carlos Alberto GoldaniTecnologia da Informaçãogoldani@live.ca

×