Tech segurança na nuvem

301 views

Published on

Segurança na Nuvem

  • Be the first to comment

  • Be the first to like this

Tech segurança na nuvem

  1. 1. O termo Nuvem foi importado da imagem utilizadapara representar a InternetComputação na Nuvem significa basicamente queos processos computacionais são realizados naInternetA terminologia de serviços da Nuvem ainda éconfusa e provavelmente as definições mais clarasforam estabelecidas pelo National Institute ofStandards and Technology (NIST) e Cloud SecurityAlliance (CSA)
  2. 2. Software como Serviço (SaaS)O usuário utiliza aplicativos do provedor emuma infraestrutura de nuvem com pouco ounenhum controle sobre a infraestrutura, rede,servidores, sistemas operacionais,armazenamento, etc...
  3. 3. Plataforma como Serviço (PaaS)O usuário implementa aplicativos em ambientede desenvolvimento próprio, exerce totalcontrole sobre suas aplicações e utiliza ainfraestrutura disponibilizada pelo provedor(servidores, sistema operacional e dispositivosde armazenamento)
  4. 4. Infraestrutura como Serviço (IaaS)O cliente obtém APIs (Application ProgrammingInterface), processamento, armazenamento erecursos de computação do provedor. Utiliza seupróprio sistema operacional, suas aplicações eaté alguns componentes de rede
  5. 5. Auto-Serviço: Obter (ou dispensar) recursos quando forconveniente, sem consulta ao provedorAcesso: Utilizar o serviço com qualquer tipo dehardwareCompartilhamento: Vários clientes compartilham umambiente comum para reduzir custosEscalabilidade: Administrar variações de demanda derecursos sem prejudicar a qualidade de serviçoMétricas: Indicadores de uso abrangentes e acessíveis
  6. 6. Redução de Custos: Economias de escala permitemreduzir os custos drasticamente (a maioria dasempresas utiliza menos de 25% da capacidade de seusservidores)Mobilidade: Por definição a Nuvem pode ser acessadade qualquer lugar, permitindo total portabilidade dasinformações
  7. 7. Elasticidade ou Flexibilidade de Ajuste: O cliente utiliza(e paga) recursos e serviços de acordo com a realnecessidadeCustos de Armazenamento: Disponível de acordo com anecessidade, sem bancar espaços não utilizadosExperiência do Provedor: Supondo uma escolhacorreta, a experiência de um fornecedor com focoexclusivo em TI pode ser de grande utilidade para ocliente em questões críticas
  8. 8. A incertezas para migrar para serviços em Nuvem estãocentradas em segurança, desempenho e disponibilidadeDesempenho e disponibilidade são sensíveis porque oambiente do processamento computacional, onde osrecursos podem ser vistos e controlados, muda para algointangívelAs principais questões de segurança estão situadas emfalhas ou fragilidades da própria tecnologia, no acessonão autorizado à informações, criptografia, aplicativos,autenticação de operadores, virtualização, etc...
  9. 9. Segurança física: As instalações e operadores não sãocontrolados pelo usuário. O provedor deve ter políticasde segurança abrangentes e efetivasAcesso a informações privilegiadas: O cliente não temcontrole sobre quem tem acesso às suas informações
  10. 10. Criptografia: Nuvens são ambientes compartilhadoscom outros clientes do provedor, talvez atéconcorrentes do usuário. Violações podem acontecerde um banco de dados para outro. A criptografia é umelemento essencial e muito eficiente, porém cria outroproblema, quem é o responsável pela chavecriptográfica. As modernas técnicas de criptografiaassimétrica (certificação digital) inviabilizam qualqueracesso se a chave for perdida
  11. 11. Relacionamento com terceiros: O axioma básico dasegurança é que ela é tão forte quanto seu elo maisfraco. Em ambientes corporativos, o elo mais fracoquase sempre é a integração com parceiros e, no casoda nuvem, ainda mais importante devido e existênciade vários terceiros em ambientes compartilhadosNetwork Security: Provedores de serviços de Nuvemconcentram múltiplos usuários e alvos em potencialpara hackers. A Nuvem também é suscetível a ataquesde negação de serviço
  12. 12. Virtualização: Os os provedores de nuvem usamtécnicas de virtualização para usufruir de economias deescala e oferecer melhor arquitetura distribuída. Avirtualização tem seu próprio conjunto de problemasde segurançaSegurança de aplicativos: A maioria dos eventos desegurança acontecem através de aplicativos da Web.Na Nuvem o nível de exposição é semelhante ao deuma instalação interna, porém potencializado peloambiente compartilhado, sem que o usuário exerçacontrole sobre ele
  13. 13. Controles de acesso: Algumas das grandesquestões para serviços em nuvem são em torno decontrole de acesso, autenticação, gerenciamento deusuários, configuração etc. É importante saber comque tipo de padrões o provedor de nuvem estáalinhado, como é feito o provisionamento deusuários, quem gerencia o processo deadministração de credenciais, se OpenIDs podemser utilizados para autenticação e se existem VPNsdedicadas
  14. 14. Privilégios de acessoDados confidenciais processados e/ou armazenadosfora do ambiente empresarial têm um nível inerente derisco, porque desconsideram a cultura e as práticas daorganizaçãoInformações privilegiadas restritas à alta direção ou aodepartamento de pesquisas de uma empresa nãopodem ser manipuladas livremente por estagiários defornecedores de serviços ou empresas terceirizadas
  15. 15. Conformidade com regulamentaçõesOs clientes são, em última instância, responsáveis pelaintegridade e segurança dos dados queadministram, mesmo que esta atribuição seja delegadaa um prestador de serviçosFornecedores devem disponibilizar relatóriosperiódicos de auditorias externas e certificações desegurança
  16. 16. Localização dos ServidoresA computação na nuvem desobriga a localização exatados servidores que hospedam os dados que podem,inclusive, estar fora do país. Embora tecnicamente istopossa ser considerado um avanço, existe o problema dejurisdição legal que deve ser endereçado com critérioO ambiente físico de armazenamento tem que tercompatibilidade com os diplomas legais que regem aempresa assegurando (1) o acesso por decisão judiciale (2) a garantia de privacidade de acordo com alegislação do país de origem
  17. 17. Segregação de DadosUma nuvem compartilha as informações de muitosclientes que, na prática, podem ser concorrentes entresi e hospedar suas informações em um mesmoambiente físico. Normalmente os provedores deserviços utilizam esquemas específicos de criptografiapara cada cliente que, no estado da arte da tecnologia,é uma técnica eficaz (os custos para abrir umacriptografia de 1024 bits são absurdos), porémacidentes na administração das chaves podem impediro acesso aos dados ou comprometer suadisponibilidade
  18. 18. RecuperaçãoA localização física exata dos dados pode ser incerta,porém o provedor de serviços é obrigado a garantir asua disponibilidade em casos de desastres oucatástrofesContratos que não explicitam a replicação de dados einfraestrutura não garantem a integridade do acervo deinformações. É importante constar a capacidade derecuperação completa em casos de acidentes e otempo necessário para o restabelecimento dos serviços
  19. 19. Viabilidade no longo prazoEm um ambiente ideal, o fornecedor de serviços denuvem não encerra suas atividades nem é adquiridopor outra empresa, entretanto a dinâmica dosmercados sugere que isto é muito provávelSe um destes eventos ocorrer, a manutenção daportabilidade e disponibilidade são característicasimportantes
  20. 20. Apoio à investigaçãoA investigação de atividades impróprias ou ilegais écomplicada na computação na nuvem. O acúmulo deserviços no provedor pode ocasionar a realocaçãobancos de dados para outras máquinas ou ambientesfísicos. É necessário um compromisso contratual deapoio a formas específicas de investigação, casocontrário qualquer atividade relacionada com esta áreaé improvável, se não impossível (a nuvem não pode serum paraíso para pedófilos ou outros usuáriosinescrupulosos para compartilhar ou ocultar conteúdo)
  21. 21. PadrõesPadrões são restritivos por definição. Várias entidadesquestionam se a computação na nuvem pode obteralgum tipo de benefício com a padronização nesteestágio do desenvolvimento. Existe uma relutâncialatente entre provedores de serviços em seguirrecomendações e adotar padrões antes que o mercadodefina o seu real cenário. Independente destefato, organizações internacionais como ISO/IEC e ITUestão desenvolvendo um conjunto de padrõesespecíficos de segurança para a nuvem
  22. 22. JurisdiçãoPrivacidade protegida por lei em um país pode nãomerecer o mesmo tratamento em outro. Em muitoscasos, como os usuários não sabem onde suasinformações são armazenadas, existem processos paratentar harmonizar leis, porém o consenso está distanteA União Européia e seus estados membros favorecem aproteção rígida da privacidade, enquanto o Patriot Actdos EUA garante às suas agências governamentaispoderes praticamente ilimitados de acesso àsinformações, incluindo às que incluem dados depesquisas desenvolvidas por empresas
  23. 23.  A computação na Nuvem oferece muitos benefícios A segurança é importante, mas está longe de ser é um fator impeditivo, desde que tratado com efetivo cuidado Um provedor de serviços confiável e acordos sobre níveis de serviços (SLAs) claros e compreensíveis são requisitos essenciais A migração para serviços de Nuvem não é apenas uma decisão econômica e deve envolver também os setores de tecnologia e jurídico
  24. 24. Carlos Alberto GoldaniTecnologia da Informaçãogoldani@live.ca

×