White paper

O papel da segurana na computao em nuvem confivel

Quais so as implicaes da segurana da computao em nuvem?

O entusiasmo pela computao em nuvem est to relacionado economia quanto tecnologia. O crescimento do nmero de aplicativos e do volume de dados que precisam ser gerenciados fez com que os data centers passassem a ser um item importante nos gastos corporativos, sem uma soluo em vista. A computao em nuvem pblica parece ser um meio de controlar esses custos. O conceito de computao em nuvem simples: voc substitui ativos caros de TI que precisam ser gerenciados internamente por funcionalidades e servios de TI do tipo "pague conforme crescer" a preos de mercado. Esses servios so desenvolvidos com novas tecnologias, como virtualizao e arquiteturas orientadas a servios,

e usam a Internet para reduzir o custo de recursos de hardware e software de TI usados para computao, rede e armazenamento. Ao mesmo tempo, as empresas esto usando os mesmos conceitos e as mesmas tecnologias para desenvolver nuvens privadas com o objetivo de aproveitar servios de TI centralizados e em forma de bens de consumo que atendam a suas necessidades de segurana. Atualmente, as implantaes de nuvens pblicas e privadas precisam incorporar um conjunto apropriado de princpios importantes de segurana e, assim, assegurar aos usurios e aos clientes um ambiente confivel de computao em nuvem.

Contedo
I. II. III. Viso geral Computao em nuvem pblica: capacidade de expanso e multilocao Os desafios da nuvem: a segurana a grande dvida Relaes dinmicas Padres Portabilidade entre nuvens pblicas Confidencialidade e privacidade Controles de acesso viveis Conformidade Nveis de servio de segurana IV. Princpios para proteger a nuvem: identidades, informaes e infraestruturas seguras Segurana de identidades Segurana das informaes Segurana da infraestrutura V. Concluso pgina 1 pgina 2 pgina 3 pgina 3 pgina 3 pgina 4 pgina 4 pgina 4 pgina 4 pgina 5

pgina 5 pgina 5 pgina 6 pgina 7 pgina 8

I.

Viso geral

Nesta etapa inicial do desenvolvimento de nuvens pblicas, as ofertas so uma mistura de aplicativos de consumo comercial e aplicativos corporativos importantes que gerenciam dados relativamente no confidenciais, como e-mails, servios de mensagens instantneas e espaos compartilhados baseados na Web, com aplicativos que gerenciam dados mais confidenciais, como o Salesforce.com e o Mozy da EMC. Mas para que a computao em nuvem possa atender s necessidades corporativas de confidencialidade dos dados de clientes e de conformidade com diretivas legais, ser necessrio oferecer nveis elevados de segurana para dar suporte a aplicativos corporativos mais confidenciais. A computao em nuvem pblica tambm adiciona novos investidores equao de segurana prestadores de servios terceirizados, fornecedores de infraestrutura e contratados e diminui o controle que a TI exerce sobre essas trs reas.

A computao em nuvem pblica adiciona novos investidores equao da segurana e diminui o controle da TI.
Para que a computao em nuvem possa ser uma alternativa bem-sucedida ao data center corporativo, os departamentos de TI precisaro relacionar-se com provedores de nuvens que permitam que eles confiem nos servios em nuvem e verifiquem eventos na nuvem. A computao em nuvem precisar dar suporte eficiente a um alto nvel de segurana, similar aos atuais modelos centrados em controle, e ser implementada de modo que permita que as empresas tenham confiana para estender partes de seus prprios data centers a uma nuvem pblica.

Expandindo o universo digital

Ecossistema de segurana digital

Crescimento das informaes

Desafios da TI

Data centers

Responsabilidade da segurana

Dados

Nuvens privadas

Indivduos

Segurana da nuvem

Empresas

Mudanas de paradigma
Nuvens pblicas

Cadeia de fornecimento confivel

TI corporativa

Funcionrios

Fornecedores

Provedores de servios

Clientes

White paper da RSA

Recursos essenciais da nuvem

Capacidade de expanso

Nveis de segurana
Menor

Maior
Selecionado

IaaS (Infrastructure-as-a-Service, infraestrutura como servio). Recursos que so geralmente fornecidos localmente, por um computador desktop ou um data center, so oferecidos como recursos remotos para que um Multilocao cliente possa definir e gerenciar tarefas de computao ou de armazenamento. Entre os exemplos esto os servios de armazenamento com base em polticas Atmos, da EMC, e o Elastic Compute Cloud ("EC2"), da Amazon, para servios de computao. Mas para que a computao em nuvem possa cumprir sua promessa, ela precisa de aprimoramentos adicionais, principalmente na rea de segurana. At o momento, a maioria dos aplicativos orientados a nuvem pblica era aplicativos centrados no consumidor integrados a armazenamentos de dados e a processamentos de transaes em forma de bens de consumo. Neste estgio inicial, os aplicativos e os dados que so processados em nuvens so predominantemente no confidenciais, e os servios em nuvem oferecem segurana mnima ou somente disponvel no mercado. As prprias ofertas de nuvem so ilhas de computao particulares, com poucos padres e apenas possibilidades limitadas de interoperabilidade. As tendncias de crescimento das informaes s tornaro o problema mais urgente para as empresas. No estudo da IDC, "The Expanding Digital Universe" (O universo digital em expanso), o "crescimento explosivo do volume de informaes confidenciais que est sendo criado examinado; a velocidade na qual os dados so criados e armazenados ser seis vezes maior at 2010". O estudo observa que embora os indivduos venham a criar a maioria das informaes digitais, as empresas sero responsveis pela segurana, a privacidade, a confiabilidade e a compatibilidade de pelo menos 85% do universo digital em rpida expanso. Est claro que a computao em nuvem pblica precisa tornar-se mais segura para que possa ser mais aceita pelas empresas. Com essa progresso, a confiana e a verificao voltaro a ser viabilizadores importantes da segurana. As empresas precisaro assegurar a confidencialidade, a integridade e a disponibilidade dos dados no momento em que eles forem transmitidos, armazenados ou processados por terceiros na cadeia de servios em nuvem.

SAAS

Servios flexveis

PAAS IAAS

II. Computao em nuvem pblica: Capacidade de expanso e multilocao

A computao em nuvem pblica descreve uma arquitetura de computao que estende a abordagem orientada a servios (exemplificada em conceitos como "utility computing", "arquiteturas orientadas a servios" e "software como servio") para um modelo de mercado. Os provedores oferecem servios que "so executados na nuvem", pois podem ser acessados usando o protocolo Internet e independem da localizao, o que significa que os usurios no precisam saber onde existem recursos de TI subjacentes. Os servios de nuvem tm duas marcas: eles so dimensionveis (os recursos exigidos de armazenamento e poder computacional podem ser aumentados ou diminudos com base nas necessidades dos clientes) e tm diversos hspedes (fornecem hospedagem de servios simultnea e segura para vrios clientes que usam os mesmos recursos de infraestrutura de nuvem). Atualmente, a computao em nuvem abrange trs tipos de servios: SaaS (Software-as-a-Service, software como servio). Um aplicativo hospedado como um servio fornecido aos clientes. Entre alguns exemplos esto o aplicativo de CRM baseado na Web da Salesforce.com e o Gmail e o Google Docs do Google. PaaS (Platform-as-a-Service, plataforma como servio). A combinao de servios de software e infraestrutura com ferramentas de desenvolvimento de aplicativos para que aplicativos e servios da Web possam ser integrados e hospedados. Entre os exemplos esto o Google AppEngine e o AppExchange da Salesforce.com.

White paper da RSA

Antes que as empresas possam fazer um uso mais inovador das nuvens, necessrio aprimorar as tecnologias de segurana, os padres e a interoperabilidade.

investidores da nuvem (usurios, corporaes, redes, provedores de servios etc.) precisam ser cuidadosamente consideradas medida que a computao em nuvem pblica evolui para gerenciar dados corporativos confidenciais. Os data centers convencionais baseiam a segurana em estruturas reforadas que protegem os dados em infraestruturas fsicas, de hardware e de software seguras: sua segurana baseia-se principalmente no controle do acesso de usurios e mantenedores dos dados e da infraestrutura. Na computao em nuvem, ainda existe um data center, em algum lugar, mas quem o controla? A computao em nuvem dilui muitos dos tradicionais limites corporativos de segurana e substitui cadeias de custdia temporrias dos dados com importantes implicaes para a segurana e confiana em dados e aplicativos confidencias corporativos. O compartilhamento do controle gera vrias questes de responsabilidade. Como voc saber quais funcionrios do provedor da nuvem tiveram acesso a quais informaes e aplicativos? Esse acesso precisa ser individualizado para que apenas algumas pessoas selecionadas e controlveis tenham amplo acesso. Padres Antes que dados confidenciais e regulamentados sejam migrados para a nuvem pblica, necessrio tratar de questes relativas aos padres de segurana e compatibilidade que abrangem autenticao slida, autorizao delegada, gerenciamento de chaves para dados criptografados, protees contra a perda de dados e emisso de relatrios normativos. Como esses requisitos sero atendidos em infraestruturas individuais de nuvem e em vrias nuvens escolhidas pelo consumidor como prticas recomendadas? Os atuais provedores de servios de nuvem podem tornar-se os verdadeiros modelos a partir dos quais a segurana e a federao dos controles de autorizao podero ser criadas. As respostas tambm podem vir do trabalho que est sendo realizado por vrias agncias para responder a questes como, quais padres existentes podem ser aplicados computao em nuvem, quais so as lacunas existentes e que novos padres precisam ser desenvolvidos.

III. Os desafios da nuvem: a segurana a grande dvida

O aproveitamento dos benefcios da computao em nuvem significa grandes mudanas para as organizaes de TI corporativas. A maior dessas mudanas ser a reduo do controle, apesar de as organizaes precisarem ser mais responsveis pela confidencialidade e pela conformidade das prticas de computao na empresa. Isso faz com que a segurana seja uma das questes mais importantes para os departamentos de TI que consideram servios em nuvem e provedores. Relaes dinmicas Uma questo importante da computao em nuvem que aspectos da segurana da infraestrutura tradicional vo alm do controle de uma organizao e migram para dentro da nuvem. Isso causar mudanas fundamentais no nmero de investidores em segurana e em suas respectivas funes medida que as empresas passarem o controle da infraestrutura e dos processos de segurana para prestadores de servios terceirizados. As relaes de confiana entre os vrios

Desafios de segurana da nuvem

SLAs de segurana da nuvem

Desempenho

Gerenciamento de riscos

Projeto, implementao

Controle

White paper da RSA

Portabilidade entre nuvens pblicas Embora a computao em nuvem transmita uma promessa de arquitetura aberta e integrao facilitada, as primeiras ofertas de nuvem tendiam a criar "silos" de segurana os usurios precisavam ter uma conta na Amazon para usar o servio EC2 da Amazon e uma conta no Google para acessar os aplicativos AppEngine. As empresas precisaro de portabilidade de identidades e informaes entre vrias nuvens para poder misturar e combinar seus servios em um ambiente aberto e baseado em padres que possibilite a interoperabilidade. A portabilidade se tornar uma questo importante medida que servios mais complexos forem fornecidos por vrias infraestruturas de nuvem. Por exemplo, imagine que voc deseja alugar uma quantidade excessiva de capacidade de CPU da Amazon por alguns dias para analisar a fundo os dados de seus clientes, usando uma ferramenta analtica personalizada, mas os dados residem na Salesforce.com. As nuvens precisaro se comunicar com segurana. Confidencialidade e privacidade As unidades de negcios j esto encarregando os departamentos de TI de proteger seus dados nas nuvens privada e pblica, com a expectativa de que informaes confidenciais deixaro de ser confidenciais ou sero implementadas com autorizao de acesso verificvel para proteger a privacidade e a confidencialidade. Historicamente, as organizaes de TI no desenvolvem a capacidade de identificar e classificar eficientemente os usurios e os dados confidenciais. Sem essa capacidade, elas enfrentaro obstculos para estender as funcionalidades de segurana para ambientes em nuvem. Como seu provedor de nuvem garantir a confidencialidade e a privacidade? Recentemente, uma operadora de telefonia celular passou por um constrangimento quando seus funcionrios viram os registros de ligaes feitas por Barack Obama. Como esses incidentes sero evitados? Como voc se proteger contra ameaas internas, como um funcionrio do provedor da nuvem furtar informaes corporativas confidenciais? Os provedores de nuvens preciso considerar essa responsabilidade fundamental.

Controles de acesso viveis Os requisitos de controle das informaes precisaro ser equilibrados com o desejo do usurio de ter um controle de acesso eficiente, mas robusto. Os usurios e as empresas tero a expectativa de transparncia e a convenincia no acesso. Em vrias nuvens, como as que oferecem servios populares para o pblico em geral, uma abordagem com base em token pode no ser tolerada pelos usurios. Outro grande ponto problemtico a falta de autorizao delegada. Embora alguns servios de nuvem forneam a autenticao slida delegada (por exemplo, a Salesforce.com), que permite controle de acesso com base na identidade do usurio, poucos (ou nenhum) oferecem autorizao delegada para possibilitar o controle de acesso baseado no contedo das informaes. Esse recurso passou a ser cada vez mais importante devido ao advento da Web 2.0, na qual direitos individualizados para o gerenciamento e o controle de autorizaes sero essenciais. Conformidade Muitas unidades de negcios esto adotando os servios em nuvem atradas pela economia, ignorando os departamentos de TI para hospedar aplicativos e dados diretamente na nuvem. Isso cria vrios problemas para as organizaes de TI com controle interno e externo reduzido. As atividades das unidades de negcios multiplicam os desafios de conformidade do departamento de TI mesmo enquanto os departamentos jurdicos e de conformidade esperam que os departamentos de TI sejam capazes de relatar e demonstrar controle sobre informaes confidenciais. Alm disso, cada cliente corporativo precisa avaliar cuidadosamente a conformidade com a SAS-70 de um provedor de nuvem para saber se a certificao atende poltica de conformidade estabelecida por sua empresa.

White paper da RSA

A emisso de relatrios ser um requisito fundamental para qualquer ambiente de nuvem no qual existam PII (Personally Identifiable Information, informaes de identificao pessoal) e outros dados confidenciais ou regulamentados. Quem ser responsvel por assegurar a conformidade, voc ou seu provedor de nuvem? Voc ter acesso ao registro de dados a partir do ambiente de nuvem, no qual as informaes de sua empresa residem, para que possa correlacion-las a eventos em outros sistemas? E se algum roubar dados de seu sistema baseado em nuvem na tentativa de acessar sistemas no data center gerenciado internamente em sua empresa? Como esses eventos so correlacionados? Quem ser responsabilizado se houver uma violao de PII? Voc saber a localizao fsica das informaes? Essas questes tm o potencial de criar um problema de conformidade com regulamentaes internacionais. Nveis de servio de segurana Como todos os tipos de dados passaro para as nuvens, de dados de alto valor at grandes volumes de dados e dados no confidenciais, haver uma necessidade cada vez maior de nveis de segurana de servio variveis que correspondam confidencialidade de diferentes tipos de dados. O desafio real ser associar os nveis de segurana s informaes ou aos processos de negcios para que eles possam ser transferidos para a nuvem com o menor custo possvel, mas com o mais alto nvel de segurana necessrio.

Elementos principais para proteger a nuvem

Segurana da nuvem

Identidades

Infraestrutura

informaes

IV. Princpios para proteger a nuvem: identidades, informaes e infraestrutura seguras

A computao em nuvem pblica exige um modelo de segurana que reconcilie a capacidade de expanso e a multilocao com a necessidade de confiana. medida que as empresas migram seus ambientes de computao para a nuvem, com identidades, informaes e infraestrutura, elas precisam abrir mo de algum nvel de controle. Para fazer isso, elas precisam ser capazes de confiar nos sistemas e nos provedores de nuvem e verificar os processos e os eventos na nuvem. Entre os componentes bsicos importantes das relaes de confiana e verificao esto o controle de acesso, a segurana dos dados, a conformidade e o gerenciamento de eventos todos os elementos da segurana que so bem compreendidos atualmente pelos departamentos de TI, implementados com produtos e tecnologias existentes e com possibilidade de extenso para a nuvem. Segurana de identidades O gerenciamento completo de identidades, os servios de autenticao de terceiros e a identidade federada se tornaro elementos fundamentais para a segurana da nuvem. A segurana da identidade preserva a integridade e a confidencialidade dos dados e dos aplicativos enquanto deixa o acesso prontamente disponvel para os usurios apropriados. O suporte a esses recursos de gerenciamento de identidade para usurios e componentes da infraestrutura ser um dos principais requisitos da computao em nuvem e a identidade precisar ser gerenciada de maneira que gere confiana. Ele exigir:

Sero necessrios nveis variveis de servio de segurana para corresponder confidencialidade dos diferentes tipos de dados.

White paper da RSA

 Autenticao slida: a computao em nuvem deve ir alm da fraca autenticao com nome de usurio e senha se quiser oferecer suporte a empresas. Isso significa adotar tcnicas e tecnologias que j so padro na TI corporativa, como autenticao slida (autenticao de vrios fatores com tecnologia de senha nica), federao dentro de empresas e, entre elas, a autenticao com base em risco que mede o histrico de comportamento, o contexto atual e outros fatores para avaliar o nvel de risco de uma solicitao de usurio. A classificao por nveis adicional da autenticao ser essencial para atender aos SLAs de segurana, e a utilizao de um modelo de autenticao com base em risco, amplamente transparente para os usurios, reduzir a necessidade de uma federao mais ampla dos controles de acesso. Autorizao mais granular: a autorizao pode ser especificada dentro de uma empresa ou at de uma nuvem privada, mas para manipular dados confidenciais e requisitos de conformidade, as nuvens pblicas precisaro de recursos granulares de autorizao (como controles com base em funes e IRM) que possam ser persistentes na infraestrutura da nuvem e ao longo de todo o ciclo de vida dos dados.

Dados confidenciais na nuvem precisaro de segurana granular, mantida de modo consistente durante todo o ciclo de vida dos dados.
Segurana das informaes No data center tradicional, os controles sobre o acesso fsico, o acesso a hardware e software e os controles de identidade se combinam para proteger os dados. Na nuvem, a barreira protetora que protege a infraestrutura diluda. Para compensar, a segurana passar a ser centrada nas informaes. Os dados precisam de segurana prpria que os acompanhe e os proteja. Isso exigir: Isolamento de dados: em situaes de multilocao, os dados precisam ser mantidos em segurana para que fiquem protegidos quando vrios clientes usarem recursos compartilhados. A virtualizao, a criptografia e o controle de acesso sero robustos para permitir nveis variveis de separao entre corporaes, comunidades de interesse e usurios. Em um futuro prximo, talvez o isolamento de dados seja mais importante e executvel para a IAAS, do que para a PAAS e o SAAS. Segurana de dados mais granular: medida que aumenta a confidencialidade das informaes, a granularidade da aplicao da classificao de dados precisa aumentar. Nos atuais ambientes de data center, a granularidade do controle de acesso com base em funes no nvel dos grupos de usurios ou das unidades de negcios aceitvel na maioria dos casos porque as informaes continuam sendo controladas pela empresa. Para as informaes na nuvem, os dados confidenciais exigiro segurana no nvel do arquivo, do campo ou at do bloco para atender s demandas de garantia e conformidade. Segurana consistente dos dados: haver uma necessidade bvia de proteo de contedo com base em polticas para atender s necessidades da empresa e s determinaes das polticas normativas. Para algumas categorias de dados, a segurana centrada nas informaes precisar da criptografia em trnsito e em repouso, alm do gerenciamento em toda a nuvem e ao longo de todo o ciclo de vida dos dados.

White paper da RSA

 Classificao eficiente de dados: a computao em nuvem impe uma troca de recursos entre alto desempenho e os requisitos de segurana, cada vez mais robustos. A classificao de dados uma ferramenta essencial para equilibrar essa equao. As empresas precisaro saber quais dados so importantes e onde eles esto localizados como pr-requisitos para tomar decises sobre o custo/benefcio do desempenho, alm de garantir o foco nas reas mais essenciais dos procedimentos de preveno contra a perda de dados. Information Rights Management: o IRM (Information Rights Management, gerenciamento dos direitos s informaes) , muitas vezes, tratado como um componente de identidade, um meio de configurar controles gerais que definem que usurios tm acesso a quais dados. Mas uma maior segurana granular centrada nos dados exige que as polticas e os mecanismos de controle no armazenamento e o uso das informaes sejam diretamente associados s informaes. Controle e conformidade: um requisito importante do controle e da conformidade das informaes corporativas a criao de informaes de gerenciamento e validao monitorando e fazendo a auditoria do estado de segurana das informaes com recursos de registro. Nesse caso, isso no importante apenas para o acesso a documentos e para recusas de dados, mas para garantir que os sistemas de TI estejam configurados para atender s especificaes de segurana e no tenham sido alterados. A expanso de polticas de reteno para a conformidade da poltica de dados tambm ser um recurso essencial da nuvem. Em suma, as infraestruturas da computao em nuvem devem ser capazes de verificar se os dados esto sendo gerenciados de acordo com as regulamentaes locais e internacionais aplicveis (como PCI e HIPAA), com controles apropriados, coleta de registros e emisso de relatrios. Dados confidenciais na nuvem precisaro de segurana granular, mantida de modo consistente durante todo o ciclo de vida dos dados.

A infraestrutura de base de uma nuvem deve ser inerentemente segura, independentemente de a nuvem ser privada ou pblica ou de o servio ser SAAS, PAAS ou IAAS.
Segurana da infraestrutura A infraestrutura de base de uma nuvem deve ser inerentemente segura, independentemente de a nuvem ser privada ou pblica ou de o servio ser SAAS, PAAS ou IAAS. Isso exigir: Segurana inerente no nvel do componente: a nuvem precisa ser projetada para ser segura, montada com componentes inerentemente seguros, implementada e provisionada de maneira segura com interfaces slidas para outros componentes e, finalmente, sustentada de modo seguro, com processos de avaliao de vulnerabilidades e gerenciamento de alteraes que produzem informaes de gerenciamento e garantias de nvel de servio que geram confiana. Para esses componentes implementados com flexibilidade, a definio de impresso digital de dispositivos para garantir a configurao e o estado seguros tambm ser um elemento importante de segurana, assim como para os dados e as identidades. Segurana de interface mais granular: os pontos do sistema nos quais ocorrem transferncias do usurio para a rede, do servidor para o aplicativo exigem polticas e controles de segurana granulares que garantam a consistncia e a responsabilidade. Nesse caso, o sistema completo precisa ser exclusivo, um padro verdadeiro ou uma federao de fornecedores que oferecem polticas de segurana implementadas consistentemente. Gerenciamento do ciclo de vida de recursos: a economia da computao em nuvem baseada em multilocao e em compartilhamento de recursos. medida que as necessidades e os requisitos de um cliente mudam, um provedor de servios precisa fornecer ou desativar esses recursos largura de banda, servidores, armazenamento e segurana adequadamente. Esse processo de ciclo de vida deve ser gerenciado para fins de responsabilidade, de modo a gerar confiana.

White paper da RSA

V. Concluso
A computao em nuvem promete mudar a economia do data center, mas antes que dados confidenciais e regulamentados sejam migrados para a nuvem pblica, necessrio tratar de questes relativas aos padres de segurana e compatibilidade que abrangem autenticao slida, autorizao delegada, gerenciamento de chaves para dados criptografados, protees contra a perda de dados e emisso de relatrios normativos. Esses so os elementos de um modelo seguro de identidade, informaes e infraestrutura e podem ser aplicados a nuvens privadas e pblicas e a servios de IAAS, PAAS e SAAS. Para desenvolver nuvens pblicas e privadas, as empresas e os provedores de servios precisaro usar essas linhas diretriz para adotar e estender seletivamente ferramentas de segurana e proteger produtos para montar e oferecer computao e servios em nuvem completos e confiveis. Felizmente, muitas dessas solues de segurana esto amplamente disponveis atualmente e esto sendo aprimoradas para viabilizar funcionalidades cada vez mais integradas da nuvem.

Funcionrios

TI corporativa

Fornecedores

Provedores de servios

Clientes

Identidades

Infraestrutura

informaes

IAAS

PAAS

SAAS

Desenvolvendo uma nuvem confivel

White paper da RSA

EMC, RSA e computao em nuvem segura

Segurana de identidades, informaes e infraestruturas
Para gerenciar identidades na nuvem, a RSA usa seus recursos de autenticao slida, autenticao de vrios fatores, senhas nicas, gerenciamento de identidades federadas e solues de autenticao baseadas em risco, como o Authentication Manager, o Federated Identity Manager, o Access Manager e a Adaptive Authentication. O sistema Transaction Monitoring da RSA vai alm, garantindo a identidade dos usurios que fazem log-in e autenticando as transaes que eles executam para reforar a segurana on-line, reduzir fraudes e os riscos de ameaas avanadas, apoiando-se principalmente no servio RSA eFraudNetwork uma rede on-line e colaborativa de instituies contra fraudes, dedicada ao compartilhamento e disseminao de informaes sobre atividades fraudulentas. Para gerenciar a autorizao com reconhecimento de contexto com direitos especficos e administrao de autorizao com base no gerenciamento inteligente e centralizado de polticas, o RSA Entitlements Policy Manager protege recursos mesmo fora dos aplicativos da Web. Para a segurana das informaes na nuvem, o EMC Information Rights Manager oferece autorizao com reconhecimento de contedo para documentos enquanto o RSA Data Loss Prevention Suite oferece solues de deteco, classificao e preveno contra a perda de dados com reconhecimento de contedo. Juntos, esses produtos oferecem s nuvens privadas e pblicas a capacidade de implementar polticas de segurana consistentes com reconhecimento de contedo para a governana, o controle e a conformidade dos dados. Alm disso, o RSA Key Manager ativa recursos de criptografia na nuvem para a proteo e o controle de dados. Por fim, para a segurana da infraestrutura, o amplo portflio de produtos da EMC oferece no apenas uma base segura para a virtualizao, a separao de dados e a proteo de dados e os recursos de disponibilidade, mas os produtos da EMC tambm so desenvolvidos, implementados e aceitos de maneira segura para dar ainda mais garantias de segurana para as infraestruturas de nuvem. Os produtos de gerenciamento de recursos de infraestrutura da EMC, combinados com o produto de gerenciamento e anlise de registros RSA enVision, permitem o gerenciamento e o controle eficientes dos componentes da infraestrutura com verificao de integridade, gerenciamento de configuraes, gerenciamento de eventos e funcionalidades de controle todos importantes para otimizar as operaes em nuvem e atender aos requisitos de conformidade. A EMC e a RSA esto trabalhando cada vez mais para desenvolver solues para a segurana da nuvem que esto sendo projetadas de acordo com uma perspectiva de SOA (Service Oriented Architecture, arquitetura orientada a servios) segura para dar suporte aos nveis de segurana flexveis exigidos pelos novos modelos de nuvem.

Proteo de SaaS, PaaS, IaaS

A EMC e a RSA tambm oferecem produtos e servios para o mercado da computao em nuvem. A seguir, alguns exemplos: O modelo SaaS (Security-as-a-Service, segurana como servio) da RSA para federar os controles de segurana em ambientes SaaS e PaaS com controle de acesso e servios de autenticao disponveis desde 2002; O RSA Key Manager pode assumir o gerenciamento de controles de segurana de dados (chaves de criptografia) de administradores SaaS/PaaS e manter o controle com os proprietrios dos dados ou com as empresas-clientes; O Atmos da EMC um provedor de segurana como servio para o modelo IaaS com polticas relativas ao desempenho e segurana da distribuio do armazenamento de informaes.

White paper da RSA

Autor, colaboradores Satchit Dokras, Bret Hartman, Tim Mathers, Brian Fitzgerald, Sam Curry, Magnus Nystrom, Eric Baize, Nirav Mehta Sobre a RSA A RSA, diviso de segurana da EMC, especializada em segurana centrada nas informaes, permitindo a proteo ao longo de todo o ciclo de vida. A RSA permite que os clientes protejam, a custos reduzidos, suas informaes essenciais e identidades on-line, onde quer que se encontrem e em qualquer situao, alm de gerenciar informaes e eventos de segurana, reduzindo a carga representada pela conformidade. A RSA oferece solues lderes do setor quanto segurana de identidade e controle de acesso, gerenciamento de chaves e criptografia, gerenciamento de informaes de segurana e conformidade e proteo contra fraude. Essas solues levam confiana s identidades de milhes de usurios, s transaes executadas por eles e aos dados gerados. Para obter mais informaes, visite brazil.rsa.com e www.EMC2.com.br.

RSA, enVision, eFraudNetwork e RSA Security so marcas registradas ou marcas comerciais da RSA Security Inc. nos Estados Unidos e/ou em outros pases. EMC, Mozy e Atmos so marcas registradas ou marcas comerciais da EMC Corporation. Todos os outros produtos e servios mencionados so marcas comerciais de seus respectivos proprietrios. 2009 RSA Security Inc. Todos os direitos reservados.

CLOUD WP 0209

10

White paper da RSA