Escolar Documentos
Profissional Documentos
Cultura Documentos
Cloud Security Alliance - Segurança em Nuvem
Cloud Security Alliance - Segurança em Nuvem
para
Preparado por
Introduo
O guia aqui fornecido a segunda verso do documento da Cloud Security Alliance, Guia de Segurana para reas Crticas Focado em Computao em Nuvem (Security Guidance for Critical Areas of Focus in Cloud Computing), o qual foi originalmente lanado em Abril de 2009. Os locais de armazenamento para estes documentos so: http://www.cloudsecurityalliance.org/guidance/csaguide.v2.1.pdf (Verso em ingls deste documento) http://www.cloudsecurityalliance.org/guidance/csaguide.v1.0.pdf (Verso 1) Partindo da primeira verso do nosso guia, foi tomada a deciso de separar o guia bsico dos domnios principais de pesquisa. Cada domnio de pesquisa est sendo lanado em seu prprio white paper. Estes white papers e uas agendasde lanamento esto hospedadas em: http://www.cloudsecurityalliance.org/guidance/domains/ Em outra mudana da nossa primeira verso, o Domnio 3: Legislao e o Domnio 4: Eletronic Discovery foram combinados em um nico. Adicionalmente, o Domnio 6: Gerenciamento do Ciclo de Vida da Informao e o Domnio 14: Armazenamento foram combinados em um nico domnio, renomeado para Gerenciamento do Ciclo de Vida de Dados. Isto causou uma reordenao de domnios (13 na nova verso). 2009 Cloud Security Alliance. Todos os direitos reservados. Voc pode baixar, armazenar, exibir no seu computador, visualizar, imprimir e referenciar ao Guia da Cloud Security Alliance em www.cloudsecurityalliance.org/guidance/csaguide.v2.1.pdf desde que: (a) o guia seja usado exclusivamente para fim pessoal e no comercial; (b) o guia no seja modificado ou alterado de qualquer maneira; (c) o guia no seja redistribudo; e (d) a marca registrada, copyright ou outros avisos no sejam removidos. Voc pode citar partes do guia conforme permitido pela Fair Use provisions of the United States Copyright Act, desde que voc atribua ao Guia da Cloud Security Alliance Verso 2.1 (2009).
Sumrio
Introduo ..................................................................................................................... 3 Prefcio .......................................................................................................................... 5 Carta dos Editores ......................................................................................................... 9 Nota Editorial Sobre Risco: Decidindo O Que, Quando e Como Mover Para a Nuvem .......................................................................................................................... 11 Seo I. Arquitetura da Nuvem .................................................................................. 14 Domnio 1: Framework da Arquitetura de Computao em Nuvem ........................... 15 Seo II. Governana na Nuvem................................................................................. 33 Domnio 2: Governana e Gesto de Risco Corporativo............................................. 34 Domnio 3: Aspectos Legais e Electronic Discovery .................................................. 39 Domnio 4: Conformidade e Auditoria ....................................................................... 41 Domnio 5: Gerenciamento do Ciclo de Vida das Informaes .................................. 44 Domnio 6: Portabilidade e Interoperabilidade ........................................................... 50 Seo III. Operando na Nuvem................................................................................... 53 Domnio 7: Segurana Tradicional, Continuidade de Negcios e Recuperao de Desastres ................................................................................................................... 54 Domnio 8: Operaes e Data center ......................................................................... 56 Domnio 9: Resposta a Incidente, Notificao e Remediao ..................................... 59 Domnio 10: Segurana de Aplicaes ....................................................................... 62 Domnio 11: Criptografia e Gerenciamento de Chaves............................................... 65 Domnio 12: Gerenciamento de Identidade e Acesso. ................................................ 68 Domnio 13 - Virtualizao ....................................................................................... 73 Referencias .................................................................................................................. 75
Prefcio
Bem vindo segunda verso do Guia de Segurana para reas Critcas Focado em Computao em Nuvem da Cloud Security Alliance. Como a marcha da Cloud Security Alliance continua, temos novas oportunidades e novos desafios de segurana. Ns humildemente esperamos fornecer a vocs instrues e inspirao para suportar as necessidades do seu negcio enquanto gerenciam novos riscos. Embora a Cloud Security Alliance seja mais conhecida por este guia, ao longo dos prximos meses voc ver uma ampla variedade de atividades, inclundo captulos internacionais, parcerias, novas pesquisas e atividades orientadas a promover nossa misso. Voc pode acompanhar nossas atividades em www.cloudsecurityalliance.org. O caminho para proteger a Computao em Nuvem de fato longo e exige a participao de um amplo conjunto de interessados e uma base global. Entretanto, devemos orgulhosamente reconhecer o progresso que estamos vendo: novas solues de segurana na nuvem esto aparecendo regularmente, organizaes esto utilizando nosso guia para contratar provedores de servios de nuvem e uma discusso saudvel sobre conformidade e questes de confiana surgiu pelo mundo. A vitria mais importante que conquistamos que profissionais de segurana esto vigorosamente engajados em proteger o futuro, mais do que simplesmente proteger o presente. Por favor, continue engajado neste assunto, trabalhando conosco para completarmos essa importante misso.
Atenciosamente,
Jerry Archer Alan Boehme Dave Cullinane Paul Kurtz Nils Puhlmann Jim Reavis
Agradecimentos
Editores Glenn Brunette Colaboradores Adrian Seccombe Alex Hutton Alexander Meisel Alexander Windel Anish Mohammed Anthony Licciardi Anton Chuvakin Aradhna Chetal Arthur J. Hedge III Beau Monday Beth Cohen Bikram Barman Brian OHiggins Carlo Espiritu Christofer Hoff Colin Watson David Jackson David Lingenfelter David Mortman David Sherry David Tyson Dennis Hurst Don Blumenthal Dov Yoran Erick Dahan Erik Peterson Ernie Hayden Francoise Gilbert Geir Arild Engh-Hellesvik Georg Hess Gerhard Eschelbeck Girish Bhat Glenn Brunette Greg Kane Greg Tipps Hadass Harel James Tiller Jean Pawluk Jeff Reich Jeff Spivey Copyright 2009 Cloud Security Alliance Rich Mogull
Jeffrey Ritter Jens Laundrup Jesus Luna Garcia Jim Arlen Jim Hietala Joe Cupano Joe McDonald Joe Stein Joe Wallace Joel Weise John Arnold Jon Callas Joseph Stein Justin Foster Kathleen Lossau Karen Worstell Lee Newcombe Luis Morales M S Prasad Michael Johnson Michael Reiter Michael Sutton Mike Kavis Nadeem Bukhari Pam Fusco Patrick Sullivan Peter Gregory Peter McLaughlin Philip Cox Ralph Broom Randolph Barr Rich Mogull Richard Austin Richard Zhao Sarabjeet Chugh Scott Giordano Scott Matsumoto Scott Morrison Sean Catlett Sergio Loureiro 6
Shail Khiyara Shawn Chaput Sitaraman Lakshminarayanan Srijith K. Nair Subra Kumaraswamy Tajeshwar Singh Tanya Forsheit
Vern Williams Warren Axelrod Wayne Pauley Werner Streitberger Wing Ko Yvonne Wilson
Leonardo Goldim Lus Felipe Fres Santos Marcelo Carvalho Marcelo Pinheiro Masaishi Yoshikawa Miguel Macedo Milton Ferreira Nelson Novaes Neto Olympio Renn Ribeiro Jr Rafael B. Brinhosa Raphael Sanches Reginaldo Sarraf Ricardo Makino Roney Mdice Ulinton Santos
adicionaram um valor significativo a este trabalho. Este documento no seria o que sem suas contribuies. Como sempre, estamos ansiosos para ouvir seu feedback sobre essa atualizao do guia. Se voc achou este guia til ou gostaria de ver ele melhorado, por favor, considere associar-se a Cloud Security Alliance como um membro ou colaborador.
10
Nota Editorial Sobre Risco: Decidindo O Que, Quando e Como Mover Para a Nuvem
Ao longo deste guia ns fazemos extensas recomendaes na reduo do risco quando voc adota Computao em Nuvem, mas nem todas as recomendaes so necessrias ou realistas para todos os cenrios. Como compilamos informaes de diferentes grupos de trabalhos durante o processo de edio, rapidamente percebemos que simplesmente no havia espao suficiente para fornecer recomendaes completamente diferenciadas em todos os cenrios possveis de risco. Assim como uma aplicao crtica pode ser to importante para migrar para um provedor de nuvem pblica, pode ter pouca ou nenhuma razo para aplicar controles de segurana ao se migrar dados de baixo valor para um armazenamento baseado na nuvem. Com tantas opes diferentes de implantao de nuvem incluindo o modelo de servio SPI (Software as a Service, Platform as a Service ou Infrastructure as a Service, explicados com maiores detalhes no Domnio 1), implantaes pblicas vs privadas, hospedagem interna vs externa e vrias permutaes hbridas nenhuma lista de controles de segurana pode cobrir todas as cirscunstncias. Como em qualquer rea da segurana, organizaes devem adotar uma abordagem baseada em riscos para migrar para nuvem e selecionar as opes de segurana. A seguir est um framework simples para ajudar a avaliar inicialmente os riscos e informar as decises de segurana. Este processo no um framework completo de avaliao de riscos, nem uma metodologia para determinar todos os requisitos de segurana. um mtodo rpido para avaliar sua tolerncia em mover um ativo para vrios modelos de Computao em Nuvem.
Estamos movendo informaes para nuvem ou operaes/processamento (de funes parciais ou at aplicaes completas). Com a Computao em Nuvem nossos dados e aplicaes no precisam estar no mesmo local e podemos at mudar apenas partes de funes para a nuvem. Por exemplo, podemos hospedar nossa aplicao e dados no nosso prprio data center, enquanto ainda terceirizamos uma parte de sua funcionalidade para a nuvem atravs do modelo Platform as a Service. O primeiro passo ao avaliar um risco na nuvem determinar exatamente que dado ou funo est sendo considerado mover para a nuvem. Isto deve incluir potenciais utilizaes do ativo uma vez que este seja migrado para a nuvem para considerar o aumento do escopo. Volumes de dados e de transaes so frequentemente maiores que o esperado.
Avalie o Ativo
O prximo passo determinar qual importncia do dado ou funo para a organizao. Voc no precisa realizar uma avaliao detalhada a menos que sua organizao possua um processo para
11
isso, mas voc precisa de, pelo menos, uma avaliao do quo sensvel o ativo e do quo importante a aplicao/funo/processo . Para cada ativo, faa as perguntas abaixo: 1. Como poderamos ser prejudicados se o ativo se tornou amplamente pblico e distribudo? 2. Como poderamos ser prejudicados se um funcionrio do provedor de servio de nuvem acessou o ativo? 3. Como poderamos ser prejudicados se o processo ou funo foi manipulado por terceiros? 4. Como poderamos ser prejudicados se o processo ou funo falhar ao fornecer os resultados esperados? 5. Como poderamos ser prejudicados se a informao/dado for alterada inesperadamente? 6. Como poderamos ser prejudicados se o ativo estiver indisponvel por um perodo de tempo? Essecialmente estamos analisando os requisitos de confidencialidade, integridade e disponibilidade para o ativo e como estes so afetados se manuseados na nuvem. muito similar a analisar um projeto de terceirizao, exceto que com Computao em Nuvem temos uma gama maior de opes de implantao, inclundo modelos internos.
12
Concluses
Agora voc deve entender a importncia do que voc est considerando mover para a nuvem, sua tolerncia ao risco (pelo menos em alto nvel) e que combinaes de modelos de implantaes e servios so aceitveis. Voc tambm ter uma idia aproximada dos potenciais pontos de exposio das informaes e operaes sensveis. Este conjunto deve dar a voc contexto suficiente para avaliar qualquer outro controle de segurana neste guia. Para ativos menos valiosos voc no precisa ter o mesmo nvel de controles de segurana e pode pular muitas das recomendaes como inspees locais, facilidade de descoberta e esquemas complexos de criptografia. Um ativo valioso e regulamentado implicar em requisitos de auditoria e reteno de dados. Para outros ativos valiosos e no sujeitos a restries de regulamentaes, voc pode focar mais em controles tcnicos de segurana. Devido ao nosso espao limitado, bem como a profundidade a quantidade de material para cobrir, este documento contm listas extensivas de recomendaes de segurana. Nem todas as implantaes de nuvem precisam de todos os controles de risco e segurana possveis. Empregando um pouco de tempo antecipadamente em uma avaliao da sua tolerncia ao risco e potenciais exposies proporcionar o contexto que voc precisa para escolher a melhor opo para sua organizao e implementao. Colaboradores da Verso Brasileira: Alexandre Pupo, Leonardo Goldim
13
14
A seo final deste domnio fornece uma introduo resumida para cada um dos demais domnios do guia. Entender o framework arquitetnico descrito neste domnio um primeiro passo importante na compreenso do restante do guia da Cloud Security Alliance. O framework define muito dos conceitos e termos usados por todos os outros domnios.
15
16
importante reconhecer que os servios em nuvem so geralmente, mas nem sempre, utilizados em conjunto com, e habilitado por tecnologias de virtualizao. No existe requisito, no entanto, que relaciona a abstrao de recursos com as tecnologias de virtualizao e no caso de muitas ofertas, a virtualizao por ambientes de sistemas operacionais ou hypervisors no so utilizadas. Alm do mais, deveria ser notado que a caracterstica de multilocatrio no considerada essencial pelo NIST, mas geralmente discutido como se fosse. Favor se referir seo sobre multilocatrio abaixo, apresentada aps a descrio de implantao do modelo em nuvem, para maiores detalhes.
17
O modelo NIST e este documento no endeream diretamente as definies de modelos de servios emergentes associados com os agentes de servio na nuvem, estes provedores que oferecem intermediao, monitorao, transformao/portabilidade, governana, provisionamento e servios de integrao e negociam o relacionamento entre vrios provedores de nuvem e os consumidores. No curto prazo, como a inovao estimula o desenvolvimento de solues rpidas, consumidores e provedores de servios de nuvem tero a sua disposio vrios mtodos de interao com servios de nuvem na forma de APIs de desenvolvimento e interfaces e ento os agentes de servios de nuvem iro surgir como um importante componente em todo o ecossistema na nuvem. Agentes de servios de nuvem iro abstrair os possveis recursos incompatveis e as interfaces no lugar dos consumidores, para prover intermediao antes do surgimento de normas em comum, abertas e de mtodos padronizados para solucionar o problema a longo prazo atravs de capacidades semnticas que daro fluidez e agilidade ao consumidor, estando este habilitado a obter vantagem do modelo que melhor se adqua s suas necessidades em particular.
18
tambm importante notar o surgimento de muitos esforos centralizados ao redor do desenvolvimento de APIs ao mesmo tempo abertas e proprietrias que busquem permitir recursos como o gerenciamento, segurana e interoperabilidade para a nuvem. Alguns desses esforos incluem o grupo de trabalho Open Cloud Computing Interface Working Group, a API da Amazon EC2, a API vCloud da Vmware, submetida ao DMTF (Distributed Management Task Force), a API Open Cloud da Sun, a API da Rackspace e a API da GoGrid, para citar apenas algumas. APIs abertas e padronizadas vo ter um papel fundamental na portabilidade e interoperabilidade da nuvem, assim como formatos genricos em comum como o Open Virtualization Format (OVF) da DMTF. Enquanto h muitos grupos de trabalho, rascunhos e especificaes publicadas sob considerao neste momento natural que a consolidao ter efeito assim que as foras de mercado, as necessidades dos consumidores e a economia direcionarem o cenrio para um conjunto mais gerencivel e interopervel de fornecedores.
importante observar que existem modelos derivados de implementao de uma nuvem surgindo, devido ao amadurecimento das ofertas de mercado e da demanda dos clientes. Um exemplo tpico so as nuvens virtuais privadas (virtual private clouds) uma maneira de utilizar a infraestrutura de nuvem pblica de forma privada ou semiprivada e interligar estes recursos aos recursos internos do data center do consumidor, feita geralmente atravs de conectividade via redes privadas virtuais (virtual private network ou VPN). As caractersticas da arquitetura utilizada ao desenhar as solues tero implicao clara na futura flexibilidade, segurana e mobilidade da soluo final, assim como da sua capacidade de colaborao. Como regra geral, as solues que estabelecem permetros so menos eficazes do
19
que as solues sem permetros definidos em cada um dos quatro modelos. Tambm deve ser feita uma cuidadosa considerao escolha entre as solues proprietrias ou abertas pelos mesmos motivos.
Multilocatrio
Embora esta no seja uma caracterstica essencial da Computao em Nuvem no modelo do NIST, a CSA identificou a multilocao como um elemento importante da nuvem. A multilocao de servios de nuvem implica na necessidade de forar a aplicao de polticas, segmentao, isolamento, governana, nveis de servio e modelos de cobrana retroativa/faturamento aplicados a diferentes grupos de consumidores. Os consumidores podero utilizar servios oferecidos por fornecedores de servios de nuvem pblica ou na verdade fazerem parte da mesma organizao, como no caso de unidades de negcios diferentes, em vez de diferentes entidades organizacionais, mas ainda assim iriam compartilhar a infraestrutura.
Figura 2 - Multilocatrio
Do ponto de vista de um provedor, a multilocao sugere uma abordagem de design e arquitetura que permita economia de escala, disponibilidade, gesto, segmentao, isolamento e eficincia operacional, aproveitando o compartilhamento da infraestrutura, dos dados, metadados, servios e das aplicaes atravs de muitos consumidores diferentes. A multilocao tambm pode ter definies diferentes, dependendo do modelo de servio de nuvem do provedor, na medida em que pode implicar na viabilidade das capacidades descritas acima nos nveis da infraestrutura, do banco de dados, ou da aplicao. Um exemplo seria a diferena entre a implantao de uma aplicao multilocao em SaaS e IaaS. Modelos de implantao de nuvem tm importncia diferenciada em multilocao. No entanto, mesmo no caso de uma nuvem privada, uma nica organizao pode ter um grande nmero de consultores e contratados terceirizados, bem como um desejo de um elevado grau de separao lgica entre as unidades de negcio. Assim, as preocupaes da multilocao devem ser sempre consideradas.
20
A PaaS trabalha em cima da IaaS e acrescenta uma camada adicional de integrao com frameworks de desenvolvimento de aplicativos, recursos de middleware e funes como banco de dados, mensagens e filas, o que permite aos desenvolvedores criarem aplicativos para a plataforma cujas linguagens de programao e ferramentas so suportadas pela pilha. O SaaS por sua vez, construdo sobre as pilhas IaaS e PaaS logo abaixo, e fornece um ambiente operacional autocontido usado para entregar todos os recursos do usurio, incluindo o contedo, a sua apresentao, a(s) aplicao(es) e as capacidades de gesto. Consequentemente deve ficar claro que existem importantes compensaes de cada modelo em termos das funcionalidades integradas, complexidade versus abertura (extensibilidade), e segurana. As compensaes entre os trs modelos de implantao da nuvem incluem: Geralmente, o SaaS oferece a funcionalidade mais integrada, construda diretamente baseada na oferta, com a menor extensibilidade do consumidor, e um nvel relativamente elevado de segurana integrada (pelo menos o fornecedor assume a responsabilidade pela segurana).
21
A PaaS visa permitir que os desenvolvedores criem seus prprios aplicativos em cima da plataforma. Como resultado, ela tende a ser mais extensvel que o SaaS, s custas de funcionalidades previamente disponibilizadas aos clientes. Esta troca se estende s caractersticas e capacidades de segurana, onde as capacidades embutidas so menos completas, mas h maior flexibilidade para adicionar uma a camada de segurana extra. A IaaS oferece pouca ou nenhuma caracterstica tpica de aplicaes, mas enorme extensibilidade. Isso geralmente significa menos recursos e funcionalidades integradas de segurana alm de proteger a prpria infraestrutura. Este modelo requer que os sistemas operacionais, aplicativos e o contedo possam ser gerenciados e protegidos pelo consumidor da nuvem.
Uma concluso fundamental sobre a arquitetura de segurana que quanto mais baixo na pilha o prestador de servios de nuvem parar, mais recursos de segurana e gesto os consumidores tero a responsabilidade de implementar e gerenciar por si prprios. No caso do SaaS, isso significa que os nveis de servio, segurana, governana, conformidade, e as expectativas de responsabilidade do prestador de servio esto estipuladas, gerenciadas e exigidas contratualmente. No caso de PaaS ou IaaS de responsabilidade dos administradores de sistema do cliente gerenciar eficazmente o mesmo, com alguma compensao esperada pelo fornecedor ao proteger a plataforma e componentes de infraestrutura subjacentes que garantam o bsico em termos de disponibilidade e segurana dos servios. Deve ficar claro em qualquer caso que se pode atribuir / transferir a responsabilidade, mas no necessariamente a responsabilidade final. Estreitando o escopo ou capacidades especficas bem como funcionalidades dentro de cada um dos modelos de ofertas de nuvem, ou empregando o agrupamento funcional dos servios e recursos entre eles, podemos produzir classificaes derivadas. Por exemplo, o armazenamento como um servio (Storage as a Service) uma sub-oferta especfica dentro da famlia do IaaS. Apesar de uma ampla reviso do crescente conjunto de solues de Computao em Nuvem estar fora do escopo deste documento, a taxotomia do OpenCrowd Cloud Solutions na figura abaixo fornece um excelente ponto de partida. A taxonomia OpenCrowd demonstra os crescentes grupos de solues disponveis hoje em cada um dos modelos previamente definidos. Note que o CSA no endossa especificamente nenhuma das solues ou as empresas exibidas abaixo, mas fornece o diagrama para demonstrar a diversidade de ofertas disponveis hoje.
22
Para uma excelente viso geral dos muitos casos de uso da Computao em Nuvem, o Cloud Computing Use Case Group elaborou um trabalho colaborativo para descrever e definir os casos comuns e demonstrar os benefcios da nuvem, com o objetivo de ... reunir consumidores de nuvem e fornecedores de nuvem para definir os casos de uso frequentes para a Computao em Nuvem... e destacar os recursos e as necessidades que precisam ser padronizados em um ambiente de nuvem para garantir a interoperabilidade, facilidade de integrao e portabilidade.
23
segurana deixam de existir em termos de Computao em Nuvem , a ideia de um permetro bem demarcado um conceito anacrnico. 3. A reperimetrizao e a eroso de fronteiras de confiana que j esto acontecendo nas corporaes so amplificadas e aceleradas pela Computao em Nuvem. Conectividade onipresente, a natureza amorfa das trocas de informaes e a ineficcia dos controles estticos de segurana que no conseguem tratar da natureza dinmica dos servios de nuvem, todos requerem novas formas de pensamento quando se considera a Computao em Nuvem. O frum de Jericho produziu uma quantidade considervel de material sobre a reperimetrizao das redes corporativas, incluindo muitos estudos de casos. As modalidades de implantao e consumo de nuvem devem ser pensadas no s no contexto do interno versus externo, como em relao localizao fsica dos ativos, recursos e informaes, mas tambm no contexto de quem so os seus consumidores e de quem o responsvel pela sua governana, segurana e conformidade com polticas e padres. Isto no sugerir que a localizao dentro ou fora da empresa de um ativo, um recurso ou uma informao no afete a condio de segurana e de risco de uma organizao porque elas so afetadas mas para ressaltar que esse risco tambm depende de: Os tipos de ativos, recursos e informaes sendo gerenciados Quem as gerencia e como as gerencia Quais controles esto selecionados e como eles esto integrados Questes de conformidade
Um ambiente LAMP implantado no AWS EC2 da Amazon, por exemplo, seria classificado como uma soluo pblica, fora do ambiente da empresa (off-premise) e IaaS gerenciada por terceiros, mesmo se as instncias, aplicaes e dados contidos dentro dela fossem gerenciados pelo consumidor ou por um terceirizado. Um ambiente de aplicao personalizado servindo mltiplas unidades de negcio, implantado no Eucalyptus sob o controle, o gerenciamento e o domnio da corporao poderia ser descrito como uma soluo SaaS privada, dentro da empresa (on-premise) e autogerenciada. Ambos os exemplos utilizam as capacidades de dimensionamento elstico e de autoatendimento da nuvem.
24
Outra maneira de se visualizar as combinaes dos modelos de servios de Computao em Nuvem, modelos de implantao, de localizao fsica dos recursos e as atribuies de propriedade e gerenciamento, atravs do modelo Cloud Cube Model criado pelo Frum Jericho (www.jerichoforum.org), mostrado na figura abaixo:
25
O Cloud Cube Model mostra as inmeras permutaes possveis nas ofertas de nuvem disponveis atualmente e apresenta quatro critrios/dimenses a fim de separar as formas de nuvem uma das outras e a maneira como so fornecidas, visando entender como a Computao em Nuvem afeta a forma de abordar a questo da segurana. O Cloud Cube Model tambm destaca os desafios em entender e mapear os modelos de nuvem para frameworks e padres de controle como a ISO/IEC 27002, que fornece uma srie de orientaes e princpios gerais para a iniciar, implementar, manter e melhorar o gerenciamento da segurana da informao dentro de uma organizao. A seo 6.2 da ISO/IEC 27002, sobre objetivos de controle para Parceiros Externos, declara: a segurana das informaes e das instalaes de processamento de informaes da organizao no deve ser reduzida em funo da introduo de produtos ou servios de parceiros externos... Da mesma forma, as diferenas nos mtodos e na responsabilidade por proteger os trs modelos de servio de nuvem significam que os clientes dos mesmos so confrontados com um esforo desafiador. A menos que os provedores de nuvem possam divulgar facilmente seus controles de segurana e o alcance da implementao dos mesmos para o cliente, e o cliente saiba quais controles so necessrios para manter a segurana de suas informaes, existe um enorme potencial para decises equivocadas e resultados negativos. Isto crtico. Primeiro classifica-se um servio de nuvem em comparao ao modelo de arquitetura de Computao em Nuvem. A partir disso, torna-se possvel mapear sua arquitetura de segurana, bem como os requisitos de negcios, de regulamentaes e outros requisitos de conformidade, como em um exerccio de anlise de gap (gap-analysis). O resultado determina o estado geral de segurana de um servio e como ele se relaciona com a garantia dos ativos e os requisitos de proteo. A figura abaixo mostra um exemplo de como o mapeamento de servio de Computao em Nuvem pode ser comparado com um catalogo de controles de compensao para determinar quais controles existem e quais no existem como os fornecidos pelo cliente, por um provedor de servios de nuvem, ou um terceiro. Isto pode, por sua vez, ser comparado com um framework de conformidade ou um conjunto de requisitos como o PCI DSS, conforme mostrado nesse exemplo.
26
Figura 6 Mapeando o Modelo de Nuvem para o Modelo de Controles de Segurana & Conformidade
Uma vez que a anlise de gap esteja completa, baseada nos requisitos de qualquer regulamentao ou pela exigncia de conformidade, torna-se muito mais fcil determinar o que precisa ser feito para que ela sirva de base para um framework de avaliao de riscos; isto, por sua vez, ajuda a determinar como os gaps e, em ltima anlise, os riscos devem ser tratados: aceitando-os, transferindo-os ou mitigando-os. importante notar que o uso de Computao em Nuvem como um modelo operacional no prev e nem previne a obteno de conformidade automaticamente. A habilidade para atender qualquer requisito um resultado direto dos modelos de servio e de implantao utilizados e do desenho, da implantao e do gerenciamento dos recursos definidos no escopo. Para uma excelente viso geral dos frameworks de controle que fornecem bons exemplos do framework genrico de controle mencionado acima, veja o conjunto de documentos sobre padres de arquitetura de segurana do Open Security Architecture Group, ou a verso 3 do catlogo de controles de segurana recomendados nmero 800-53 (Recommended Security Controls for Federal Information Systems and Organizations) do NIST, que sempre til e foi atualizado recentemente.
27
servio de nuvem que so empregados, os modelos operacionais e as tecnologias usadas para habilitar tais servios, a Computao em Nuvem pode apresentar riscos diferentes para uma organizao quando comparada com as solues tradicionais de TI. A Computao em Nuvem envolve a lenta perda de controle ao mesmo tempo em que mantemos a responsabilidade, mesmo se a responsabilidade operacional recair sobre um ou mais terceiros. Uma postura de segurana da organizao caracterizada pela maturidade, eficcia e a plenitude dos controles de segurana implementados ajustados aos riscos. Esses controles so aplicados em uma ou mais camadas que vo desde as instalaes (segurana fsica), infraestrutura de rede (segurana da rede), at os sistemas de TI (segurana de sistemas), at a informao e as aplicaes (segurana de aplicaes). Alm disso, os controles so aplicados nos nveis das pessoas e dos processos, tal como a separao de funes e de gesto de mudanas, respectivamente. Conforme descrito anteriormente neste documento, as responsabilidades de segurana do provedor e do consumidor diferem muito entre os modelos de servios de nuvem. A oferta de infraestrutura como servio da Amazon, AWS EC2, por exemplo, inclui a responsabilidade do fornecedor pela segurana at o hypervisor, o que significa que pode incidir apenas sobre os controles de segurana como a segurana fsica, segurana ambiental e segurana da virtualizao. O consumidor, por sua vez, responsvel pelos controles de segurana que se relacionam com o sistema de TI (a instncia), incluindo o sistema operacional, aplicativos e dados. O contrrio verdadeiro para a oferta SaaS de gesto de recursos de clientes (customer resource management, ou CRM) da Salesforce.com. Como toda a pilha fornecida pela Salesforce.com, o provedor no apenas responsvel pelos controles de segurana fsica e ambiental, mas tambm deve abordar os controles de segurana na infraestrutura, nas aplicaes e nos dados. Isso alivia muito da responsabilidade direta do consumidor pela operao. Uma das atraes da Computao em Nuvem a eficincia de custos proporcionada pelas economias de escala, reutilizao e padronizao. Para viabilizar estas eficincias, os provedores de servio de nuvem tm que prestar servios que sejam flexveis o suficiente para atender a maior base de clientes possvel, maximizando o seu mercado-alvo. Infelizmente, integrar segurana nestas solues frequentemente percebido como torn-las mais rgidas. Essa rigidez se manifesta muitas vezes na incapacidade de ganhar a paridade na implantao de controles de segurana em ambientes de nuvem em comparao a TI tradicional. Isso decorre principalmente devido abstrao da infraestrutura e falta de visibilidade e capacidade para integrar muitos controles familiares de segurana, especialmente na camada de rede. A figura abaixo ilustra estas questes: em ambientes SaaS, os controles de segurana e de seus escopos so negociados em contratos de servios: os nveis de servio, privacidade e conformidade so todos assuntos a serem tratados legalmente em contratos. Em uma oferta IaaS, enquanto a responsabilidade de proteger a infraestrutura bsica e camadas de abstrao pertence ao provedor, o restante da pilha de responsabilidade do consumidor. PaaS oferece um equilbrio em algum lugar no meio, onde garantir a prpria plataforma cai sobre o provedor, mas a segurana das aplicaes desenvolvidas para a plataforma e a tarefa de desenvolv-las de forma segura pertencem ambas ao consumidor.
28
Entender o impacto dessas diferenas entre os modelos de servio e como eles so implementados fundamental para a gesto do posicionamento de uma organizao frente ao risco.
O Guia trata de
A capacidade de uma organizao para governar e medir o risco empresarial introduzido pela Computao em Nuvem. tens como a precedncia legal em caso de violao de acordo, a capacidade de organizaes usurias para avaliar adequadamente o risco de um provedor de nuvem, a responsabilidade para proteger dados sensveis quando o usurio e o
29
provedor podem falhar e, como as fronteiras internacionais podem afetar estas questes, so alguns dos itens discutidos. Problemas legais em potencial quando se utiliza Computao em Nuvem. Os assuntos abordados nesta seo incluem os requisitos de proteo da informao e de sistemas informticos, leis de divulgao de violaes de segurana, os requisitos regulatrios, requisitos de privacidade, as leis internacionais, etc. Manuteno e comprovao de conformidade quando se faz uso da Computao em Nuvem. Questes relativas avaliao da forma como a Computao em Nuvem afeta o cumprimento das polticas de segurana interna, bem como diversos requisitos de conformidade (regulatrios, legislativos e outros) so discutidos aqui. Este domnio inclui algumas orientaes de como provar a conformidade durante uma auditoria. Gerenciamento de dados que so colocados na nuvem. tens em torno da identificao e controle de dados na nuvem, bem como controles compensatrios que podem ser usados para lidar com a perda de controle fsico ao mover dados para a nuvem so discutidos aqui. Outros tens, como quem responsvel pela confidencialidade, integridade e disponibilidade dos dados so mencionados. A habilidade de mover dados / servios de um provedor para outro, ou lev-lo totalmente de volta para a empresa. Problemas de interoperabilidade entre os fornecedores tambm so discutidos.
Conformidade e Auditoria
Portabilidade e Interoperabilidade
Domnios Operacionais Como a Computao em Nuvem afeta os processos e procedimentos operacionais atualmente usados para implementar a segurana, continuidade de negcios e recuperao de desastres. O foco discutir e Segurana Tradicional, Continuidade de analisar os possveis riscos da Computao em Negcios e Recuperao de Desastres Nuvem, na esperana de aumentar o dilogo e debate sobre a grande procura de melhores modelos de gesto de riscos corporativos. Alm disso, a seo aborda sobre como ajudar as pessoas a identificar onde a Computao em Nuvem pode ajudar a diminuir certos riscos de
30
segurana, ou implica em aumento dos riscos em outras reas. Como avaliar a arquitetura e a operao de um fornecedor de data center. Este captulo principalmente focado em ajudar os usurios a identificar caractersticas comuns de data centers que podem ser prejudiciais para os servios em andamento, bem como caractersticas que so fundamentais para a estabilidade a longo prazo. A correta e adequada deteco de incidentes, a resposta, notificao e correo. Pretende-se abordar itens que devem estar presentes tanto no nvel dos prestadores e dos usurios para permitir bom tratamento de incidentes e forenses computacional. Este domnio vai ajud-lo a compreender as complexidades que a nuvem traz para seu atual programa de gesto de incidentes. Protegendo o software aplicativo que est sendo executado ou sendo desenvolvido na nuvem. Isto inclui tens tais como, se apropriado migrar ou projetar um aplicativo para ser executado na nuvem, e em caso afirmativo, que tipo de plataforma em nuvem mais adequada (SaaS, PaaS ou IaaS). Algumas questes de segurana especficas relacionadas com a nuvem tambm so discutidas. Identificar o uso de criptografia e gesto de chaves escalvel. Esta seo no prescritiva, mas mais informativa em discutir por que eles so necessrios e identificar as questes que surgem na utilizao, tanto para proteger o acesso aos recursos, bem como para proteger os dados. Gerenciamento de identidades e alavancando os servios de diretrio para fornecer controle de acesso. O foco est em questes encontradas quando se estende a identidade de uma organizao para a nuvem. Esta seo fornece insights para avaliar a prontido da organizao para realizar a gesto da identidade e acesso (Identity and Access Management, ou IAM) baseados na nuvem. O uso da tecnologia de virtualizao em Computao em Nuvem. O domnio aborda tens tais como os riscos associados com
Segurana de Aplicao
Virtualizao
31
multilocao, o isolamento de VMs, a corresidncia de VMs, vulnerabilidades no hypervisor, etc. Este domnio foca nas questes da segurana em torno do sistema / hardware de virtualizao, ao invs de um levantamento mais geral de todas as formas de virtualizao.
Resumo
A chave para compreender como a arquitetura da nuvem impacta na arquitetura de segurana um vocabulrio comum e conciso, acompanhado de uma taxonomia consistente das ofertas atravs dos quais os servios em nuvem e as arquiteturas podem ser desconstrudos, mapeados para um modelo de controles de segurana e operacionais de compensao, frameworks de avaliao de risco e de gesto e, em seguida, para padres de conformidade. Entender como a arquitetura, tecnologia, processo e as necessidades de capital humano alteram ou permanecem os mesmos durante a implantao de servios de Computao em Nuvem fundamental. Sem uma compreenso clara e de alto nvel das implicaes na arquitetura, impossvel abordar racionalmente as questes mais detalhadas. Esta viso geral da arquitetura, juntamente com as doze outras reas de foco crtico, vai proporcionar ao leitor uma base slida para a avaliao, operacionalizao, gerenciamento e governana da segurana em ambientes de Computao em Nuvem. Colaboradores da Verso Original: Glenn Brunette, Phil Cox, Carlo Espiritu, Christofer Hoff, Mike Kavis, Sitaraman Lakshminarayanan, Kathleen Lossau, Erik Peterson, Scott Matsumoto, Adrian Seccombe, Vern Williams, Richard Zhou Colaboradores da Verso Brasileira: Alessandro Trombini, Alexandre Pupo, Anchises Moraes, Denylson Machado, Jaime Orts Y. Lugo, Lus Felipe Fres Santos, Milton Ferreira, Olympio Renn Ribeiro Jr
32
33
Recomendaes de Governana
Uma parte da reduo de custos decorrente da adoo de Computao em Nuvem deve ser direcionada para o aumento dos controles dos recursos de segurana do provedor, aplicao de controles de segurana e avaliaes e auditorias detalhadas, para garantir que as exigncias de proteo de dados esto sendo continuamente verificadas.. Tanto os clientes quanto os fornecedores de servios de Computao em Nuvem devem desenvolver uma governana de segurana da informao robusta, independentemente do servio ou modelo de implantao adotado. A governana de segurana da informao deve ser uma colaborao entre clientes e fornecedores para alcanar os objetivos acordados, que apoiam a misso da empresa e programas de segurana da informao. O modelo de negcio pode ajustar os papis e responsabilidades colaborativamente na governana de segurana da informao e no gerenciamento de riscos (com base no respectivo mbito de controle para o usurio e prestador de servios), enquanto o modelo de implantao pode definir as responsabilidades e expectativas (com base na avaliao de risco). As organizaes clientes devem incluir a reviso de determinados processos e estruturas de governana de segurana da informao, bem como de controles de segurana especficos, como parte de seus cuidados na seleo de provedores de servio de nuvem. Os processos de governana de segurana e as atividades dos fornecedores devem ser avaliados sob sua capacidade de suportar os processos do cliente, bem como sua maturidade e coerncia com os processos de gesto de segurana de informaes. Os controles de segurana dos provedores de nuvem devem ser comprovadamente baseados no risco e claramente suportar estes processos de gesto. A estrutura e processos de governana colaborativa entre clientes e fornecedores devem ser identificadas como necessrias, tanto no mbito da concepo e desenvolvimento de prestao de servios, como avaliao de risco e de servios e protocolos de gesto de risco e, em seguida incorporado nos acordos de servio.
34
Departamentos de segurana devem ser envolvidos durante o estabelecimento de Acordos de Nvel de Servio (SLA) e obrigaes contratuais, para assegurar que os requisitos de segurana so contratualmente aplicveis. Mtricas e padres para medir o desempenho e eficcia do gerenciamento de segurana da informao devem ser estabelecidos previamente mudana para a Nuvem. Ao menos, as organizaes devem entender e documentar suas mtricas atuais e como elas mudam quando operaes so movidas para a Nuvem, onde um provedor pode usar diferentes (e potencialmente incompatveis) mtricas. Sempre que possvel, mtricas e padres de segurana (particularmente aquelas relacionadas a requisitos legais e de conformidade) devem ser includas em qualquer Acordo de Nvel de Servio (SLA) e contratos. Estas mtricas e padres devem ser documentadas e ser demonstrveis (auditveis).
35
usurio e o provedor juntos devem desenvolver cenrios de risco para os servios em nuvem; isto deve ser intrnseco ao projeto do servio prestado ao usurio e para a avaliao do usurio do risco de servios em nuvem. Inventario de ativos deve considerar os servios de suporte de ativos na nuvem e sob controle do provedor. Classificao de ativo e esquemas de avaliao deverem ser coerentes entre usurio e provedor. O servio, e no somente o fornecedor deve ser o alvo de uma avaliao de risco. O uso de servios na nuvem, os servios especificos e modelos de desenvolvimento para serem utilizados devem ser coerentes com os objetivos de gerenciamento de riscos da organizao assim como tambm com os objetivos do negcio. Quando o provedor no se demonstrar compreensivo e efetivo no processo de gerenciamento de riscos em associao com estes servios, clientes devem avaliar com cuidado as habilidades tanto de fornecedores quanto dos prprios usurios no sentido de compensar a brechas potenciais indicadas pelo gerenciamento de riscos. Clientes de servios na nuvem devem questionar se seu sua gesto definiu a nveis de tolerncia a riscos com relao aos servios na nuvem e aceita qualquer risco residual inerente utilizao de servios em nuvem.
Adote um modelo de framework de gerenciamento de riscos para avaliar seu GRI (Gerenciamento de Riscos da Informao) e um modelo de maturidade para avaliar a efetividade do seu modelo de GRI. Estabelea requisitos contratuais apropriados e controles tecnolgicos para coletar dados necessrios para informar as decises sobre os riscos informao (ex. uso da informao, controle de acesso, controles de segurana, localizao, etc.). Adote um processo para determinar a exposio ao risco antes de elencar requisitos para um projeto de Computao em Nuvem. Embora as categorias de informao necessrias para entender a exposio e gesto sejam genricas, as mtricas atuais de coleta de evidncias so especificas para a natureza do modelo SPI (SaaS, PaaS e IaaS) de Computao em Nuvem e que podem ser facilmente coletadas nas especificaes do servio prestado. Quando utilizado SaaS (Software como servio), a maior parte da informao deve ser fornecida pelo provedor do servio. Organizaes devem estruturar processos de coleta de informaes analiticas nas obrigaes contratuais do servio SaaS.
36
Quando utilizando o modelo PaaS (Plataforma como um Servio), defina a coleta de informaes como definido no modelo SaaS acima, mas sempre que for possivel, considere a capacidade de implantar e coletar informaes de controles, bem como a criao de itens contratuais para testar a efetividade destes controles. Quando utilizado um provedor de servios sob o modelo IaaS (Infraestrutura como um servio), defina a transparncia das informaes em nvel contratual para que possam ser tratadas pela anlise de riscos. Os provedores de servio em nuvem devem incluir mtricas e controles para auxiliar os clientes na implementao dos seus requisitos de Gesto de Risco da Informao.
37
avaliao do cumprimento das normas contratuais e leis em jurisdies estrangeiras ou fora do estado. o Determinar se os requisitos contratuais compreendem todos os aspectos materiais das relaes dos provedores de servio de nuvem, tais como a situao financeira, a reputao (por exemplo, verificaes de referncias), controles, pessoal estratgico, planos e testes de recuperao de desastres, seguros, capacidades de comunicaes e uso de terceirizados do provedor.
Colaboradores da Verso Original: Jim Arlen, Don Blumenthal, Nadeem Bukhari, Alex Hutton, Michael Johnson, M S Prasad, Patrick Sullivan Colaboradores da Verso Brasileira: Alessandro Trombini, Filipe Villar, Marcelo Pinheiro, Masaishi Yoshikawa, Nelson Novaes Neto
38
Computao em Nuvem no geral pode se distinguir do outsourcing tradicional de trs formas: o tempo de servio (sob demanda e intermitente), o anonimato da identidade do(s) prestador(es) de servio e o anonimato da localizao do(s) servidor(es) envolvido(s). Considerando-se especificamente IaaS e PaaS, uma grande quantidade de orquestrao, configurao e desenvolvimento de software realizada pelo cliente tal responsabilidade no pode ser transferida para o provedor de servio de nuvem. Conformidade com as recentes exigncias legislativas e administrativas em todo o mundo tem obrigado uma maior colaborao entre advogados e profissionais do setor de tecnologia. Isto especialmente verdadeiro na Computao em Nuvem, devido ao potencial de novas reas de risco legal criado pela natureza distribuda da nuvem se comparado tradicional infraestrutura interna ou terceirizada. Diversas leis e regulamentos de conformidade nos Estados Unidos e da Unio Europia imputam responsabilidade a subcontratados ou exigem que as entidades empresariais sejam contratualmente responsveis por eles. Os tribunais j esto percebendo que os servios de gesto de segurana da informao so fundamentais para a tomada de deciso sobre a aceitao da informao digital como evidncia. Embora se trate de uma questo para infraestrutura tradicional de TI, especialmente relativa na Computao em Nuvem, devido ausncia de fundamentao legal da nuvem.
Recomendaes
Clientes e provedores da nuvem devem estar mutuamente cientes dos respectivos papis e responsabilidades relacionados Eletronic Discovery, incluindo atividades como litgio, investigaes, prover o testemunho de perito, etc.
39
Provedores de nuvem so aconselhados a garantir que seus sistemas de segurana da informao atendam s necessidades do cliente para preservar os dados como autnticos e confiveis, incluindo informaes primrias e secundrias, tais como metadados e arquivos de logs. Dados sob a custdia dos provedores de servios de nuvem devem receber proteo equivalente a que teriam se estivessem nas mos de seu proprietrio original ou custodiante. Elaborao de um plano para o trmino esperado ou inesperado da relao contratual e para um retorno adequado ou descarte seguro dos ativos. Due diligence (auditoria) pr-contratual, negociao dos termos do contrato, monitoramento ps-contrato e resciso contratual e a transio da custdia dos dados so itens de cuidado obrigatrio de um cliente de servios de nuvem. Saber onde o provedor de servios de nuvem ir hospedar os dados um pr-requisito para implementar as medidas necessrias para garantir conformidade com as leis locais que restringem o fluxo de dados alm das fronteiras. Como custodiante dos dados pessoais de seus funcionrios ou clientes, bem como de outros ativos de propriedade intelectual da instituio, uma empresa que utiliza servios de Computao em Nuvem deve assegurar que ele mantm a posse de seus dados em seu formato original e autntico. Diversas questes de segurana, tais como suspeitas de violao de dados, devem ser abordadas atravs de disposies especficas do contrato de prestao de servio, que esclarecem as respectivas obrigaes do provedor de servios de nuvem e do cliente. O provedor de servios de nuvem e o cliente devem adotar um processo unificado para responder s intimaes, citaes e outros requisitos legais. O contrato de servios de nuvem deve permitir que o cliente ou terceiro designado monitore o desempenho do provedor de servios e teste as vulnerabilidades no sistema. As partes em um contrato de servios de nuvem devem assegurar que o acordo preveja a ocorrncia de problemas relativos recuperao dos dados do cliente aps o trmino da relao contratual.
Colaboradores da Verso Original: Tanya Forsheit, Scott Giordano, Francoise Gilbert, David Jackson, Peter McLaughlin, Jean Pawluk, Jeffrey Ritter
40
Recomendaes
Envolva os Departamentos Jurdicos e de Contratos. As clusulas padro de servio do provedor de Computao em Nuvem podem no atender suas necessidades de conformidade e, por isso, vantajoso ter pessoas das reas jurdicas e de contratos envolvidas desde o incio para garantir que o contrato de prestao de servios seja adequado para atender as obrigaes de conformidade e auditoria. Clusula Sobre o Direito de Auditar. Os clientes, frequentemente, tero a necessidade da capacidade de auditar o provedor de servios de Computao em Nuvem, dada a natureza dinmica dos ambientes regulatrio e de Computao em Nuvem. Uma clusula sobre o direito de auditar deve ser obtida sempre que possvel, particularmente quando se usa um provedor para um servio onde o cliente tenha que regulamentar o cumprimento das responsabilidades. Ao longo do tempo, a necessidade deste direito deve ser reduzida e em muitos casos substituda por certificaes do provedor, relacionadas com as nossas recomendaes para o escopo da ISO/IEC 27001 que sero apresentadas posteriormente. Analisar o Escopo de Conformidade. Determinar se os regulamentos de conformidade aos quais a organizao est sujeita sero impactados pelo uso dos servios de Computao em Nuvem para um dado conjunto de aplicaes e dados. Analisar o Impacto dos Regulamentos Sobre a Segurana dos Dados. Potenciais usurios finais dos servios de Computao em Nuvem devem ponderar quais aplicaes e dados esto sendo considerados para serem movidos para servios de Computao em Nuvem e em que medida eles esto sujeitos aos regulamentos de conformidade.
41
Revisar Parceiros e Provedores de Servios Importantes. Esta a recomendao geral para assegurar que relacionamentos com provedores de servios no afetem negativamente a conformidade. Avaliar quais provedores esto processando os dados sujeitos aos regulamentos de conformidade e ento avaliar os controles de segurana oferecidos pelos mesmos fundamental. Muitas normas de conformidade tm linguagens especficas na avaliao e na gesto de riscos de terceiros. Tal como acontece com servios de Tecnologia da Informao e com negcios no ligados Computao em Nuvem, organizaes tm necessidade de entender quais de seus parceiros de negcios esto processando dados relacionados normas de conformidade. Entender as Responsabilidades Contratuais Sobre a Proteo de Dados e os Contratos Relacionados. O modelo de servios de Computao em Nuvem determina, de uma certa forma, se o cliente ou o provedor de servios responsvel pela implantao de controles de segurana. Em um cenrio de implantao de IaaS, o cliente tem um alto grau de controle e uma maior responsabilidade do que em um cenrio de implantao de SaaS. Do ponto de vista do controle de segurana, isto significa que clientes IaaS tero que implantar muitos dos controles para a conformidade regulatrio. Em um cenrio SaaS, o provedor de servios de Computao em Nuvem deve fornecer os controles necessrios. De uma perspectiva contratual importante entender os requisitos especficos e garantir que o contrato de servios, bem como os acordos de nvel de servio, sejam tratados adequadamente. Analisar o Impacto das Regulamentaes na Infraestrutura do Provedor. Na rea de infraestrutura, mover-se para servios de Computao em Nuvem tambm requer uma anlise cuidadosa. Alguns requisitos regulatrios especificam controles que so difceis ou impossveis de se atingir em certos tipos de servios de nuvem. Analisar o Impacto de Regulamentaes em Polticas e Procedimentos. Mover dados e aplicaes para servios de Computao em Nuvem provavelmente causar um impacto em polticas e procedimentos. Os clientes devem avaliar quais polticas e procedimentos relacionados com regulamentaes tero de ser alterados. Exemplos de polticas e procedimentos impactados incluem relatrios de atividades, logs, reteno de dados, resposta a incidentes, controles de testes e polticas de privacidade. Preparar Evidncias de como cada Exigncia Est Sendo Cumprida. Coletar evidncias de conformidade atravs da multiplicidade de regulamentos e de requisitos um desafio. Clientes dos servios de Computao em Nuvem devem desenvolver processos para coletar e armazenar evidncias de conformidade, incluindo logs de auditoria e relatrios de atividades, cpias das configuraes dos sistemas, relatrios de gesto de mudanas e resultados de outros procedimentos de teste. Dependendo do modelo de servio o provedor pode precisar fornecer muitas dessas informaes. Seleo e Qualificao de Auditores. Em muitos casos a organizao no tem nenhuma influncia na seleo de auditores ou avaliadores de segurana. Se uma organizao participa da seleo, altamente recomendvel escolher um auditor que conhea Computao em Nuvem, uma vez que muitos podem no estar familiarizados com os desafios da virtualizao e da Computao em Nuvem.
42
Questionar sua familiaridade com as nomenclaturas IaaS, PaaS e SaaS um bom ponto de partida. Provedores de Computao em Nuvem da Categoria SAS 70 Tipo II. Os provedores devem ter, no mnimo, esta homologao, pois ela proporcionar um ponto de referncia reconhecido para auditores e avaliadores. Uma vez que auditorias SAS 70 Tipo II garantem apenas que os controles esto implementados como foram documentados, igualmente importante entender o escopo da auditoria SAS 70 e se esses controles esto adequados aos seus requisitos. Roteiro de Certificao ISO/IEC 27001/27002 dos Provedores de Computao em Nuvem. Provedores que buscam o fornecimento de servios de misso crtica devem adotar os padres da ISO/IEC 27001 para sistemas de gerenciamento de segurana da informao. Se o provedor no tiver alcanado a certificao ISO/IEC 27001, ele deve demonstrar alinhamento com as prticas da ISO 27002. Escopo da ISO/IEC 27001/27002. A Cloud Security Alliance est emitindo uma chamada na industria para alinhar provedores de Computao em Nuvem com a certificao ISO/IEC 27001, para garantir que o escopo no omita critrios crticos da certificao.
Colaboradores da Verso Original: Nadeem Bukhari, Anton Chuvakin, Peter Gregory, Jim Hietala, Greg Kane, Patrick Sullivan Colaboradores da Verso Brasileira: Alexandre Pupo, Ricardo Makino
43
Os desafios-chave relativos ao ciclo de vida da segurana de dados na nuvem incluem os seguintes: Segurana de dados. Confidencialidade, Integridade, Autorizao, Autenticao e Irretratabilidade (no-repdio). Disponibilidade, Autenticidade,
Localizao dos dados. Deve-se ter certeza que os dados, incluindo todas as suas cpias e backups, estejam armazenados somente em localizaes geogrficas permitidas por contrato, SLA e/ou regulao. Por exemplo, uso de armazenamento tal como exigido pela Unio Europeia para
44
armazenamento eletrnico de registros de sade pode ser um desafio adicional para o proprietrio dos dados e provedores de servio de nuvem. Remanescncia ou persistncia de dados. Dados devem ser efetivamente e completamente removidos para serem considerados destrudos. Portanto, tcnicas para localizar completamente e efetivamente dados que estejam na nuvem, apagar/destruir dados e assegurar que tenham sido completamente removidos ou tornados irrecuperveis devem estar disponveis e ser usadas quando exigido. Mescla de dados com outros clientes da nuvem. Dados especialmente dados classificados /sensveis no devem ser mesclados com dados de outros clientes sem controles de compensao enquanto em uso, armazenados ou em trnsito. A mistura ou mescla de dados ser um desafio quando as preocupaes quanto segurana de dados e geolocalizao aumentam. Esquemas de backup e recuperao de dados para recuperao e restaurao. Os dados devem estar disponveis e esquemas de backup e recuperao para Computao em Nuvem devem estar ativos e efetivos, objetivando prevenir perda de dados, sobrescrita e destruio no intencional de dados. No assuma que dados baseados em Computao em Nuvem estejam a salvo e sejam recuperveis. Descoberta de dados. Como o sistema legal continua focando a descoberta eletrnica de dados, provedores de servio de Computao em Nuvem e proprietrios de dados necessitaro focar em descoberta de dados, assegurando s autoridades legais e regulatrias que todos os dados requisitados tenham sido obtidos. Em um ambiente de Computao em Nuvem esta questo extremamente difcil de ser respondida e exigir controles administrativos, tcnicos e legais quando requerido. Agregao e inferncia de dados. Com dados na nuvem, existem preocupaes adicionais de inferncia e agregao de dados que podero resultar em violao de confidencialidade de informaes sensveis e confidenciais. Portanto, devem ser definidas prticas que garantam ao proprietrio dos dados e s partes interessadas (stakeholders) que os dados ainda estejam protegidos de uma sbita violao quando estiverem sendo mesclados e/ou agregados para suportar outros sistemas que no o seu principal, revelando assim informao protegida (p. ex., dados mdicos contendo nomes e informaes mdicas misturados com dados annimos mas, contendo o mesmo campo de correlao).
Recomendaes
Entenda como a integridade mantida e como o comprometimento da integridade detectado e informado aos clientes. A mesma recomendao aplica-se confidencialidade quando apropriado. O provedor de servio de nuvem dever assegurar ao proprietrio dos dados que eles proveem divulgao de todas as suas informaes (full disclosure) (tambm conhecida como transparncia) relativas s prticas e procedimentos de segurana de acordo com o estabelecido em seus SLAs. Garantir a identificao especfica de todos os controles usados durante o ciclo de vida dos dados. Garanta as especificaes de qual entidade responsvel por cada controle entre o proprietrio dos dados e o provedor de servios de nuvem.
45
Mantenha uma filosofia fundamentada no conhecimento de onde seus dados esto. Assegure sua habilidade de conhecimento sobre a localizao geogrfica de armazenamento. Estipule isto em seus SLAs e contratos. Garanta que controles apropriados relativos s restries de cada pas envolvido no servio estejam definidos e reforados. Entenda as circunstncias pelas quais o armazenamento possa ser apreendido por um terceiro ou entidade governamental. Verifique se seu SLA com o provedor de servio de nuvem inclui processo de notificao prvia ao proprietrio dos dados (se possvel) que as informaes do proprietrio dos dados tenham sido ou sero apreendidas. Em alguns casos, uma intimao ou citao de e-discovery pode ser interposta contra o provedor de servios de Computao em Nuvem. Neste caso, quando o provedor possuir custdia dos dados do cliente, o provedor de servios de Computao em Nuvem dever ser forado a informar ao proprietrio dos dados que o provedor de servios de Computao em Nuvem ser obrigado a divulgar a informao do proprietrio dos dados. O sistema de penalidades de servio dever ser includo no contrato entre o proprietrio dos dados e o provedor de servios de nuvem. Especificamente, dados que seriam objetos de infraes contra disposies legais estaduais e internacionais (por ex., California Senate Bill 1386 ou as novas regras de violao de dados HIPAA) devero ser protegidas pelo provedor de servios de nuvem. Ser do proprietrio dos dados a responsabilidade de determinar quem dever acessar os dados, quais sero seus direitos e privilgios e sob quais condies estes direitos de acesso sero providos. O proprietrio dos dados dever manter uma poltica de Negar Tudo por Padro para ambos os funcionrios do proprietrio dos dados e os do provedor de servios de nuvem. Provedores de servios de Computao em Nuvem devero oferecer linguagem contratual que garanta a negao de acesso aos dados como uma filosofia fundamental (por ex., Negar Tudo por Padro). Isto especificamente aplica-se aos funcionrios de servios de Computao em Nuvem e seus outros clientes, exceto os funcionrios e pessoal autorizado pelo proprietrio dos dados. responsabilidade do proprietrio dos dados definir e identificar a classificao dos dados. responsabilidade do provedor de servios de Computao em Nuvem fazer valer os requisitos de acesso do proprietrio dos dados, baseados na classificao dos dados. Tais responsabilidades devero estar em contrato, reforadas e auditadas para conformidade. Quando um cliente obrigado a divulgar informao, a contaminao de dados no dever ocorrer. No somente o proprietrio dos dados precisar garantir que todos os dados requeridos por mandado de busca e apreenso, intimaes, decises de e-discovery, etc. estejam intactos e sejam divulgados apropriadamente; o proprietrio dos dados dever certificar-se que nenhum outro dado seja afetado. Criptografia de dados no Cripografia de dados armazenados e criptografia de dados em trnsito (Domnio de Referncia 11, Criptografia e Gerenciamento de Chaves.) Identifique limites de confiana atravs da arquitetura de TI e camadas de abstrao. Possibilite aos subsistemas somente transpor os limites de confiana quando necessrio e
46
com apropriadas contramedidas para prevenir divulgao no autorizada, alterao ou destruio de dados. Entenda quais tcnicas de compartimentalizao so aplicadas por um provedor para isolar seus clientes uns dos outros. Um provedor poder utilizar uma variedade de mtodos dependendo dos tipos e quantidade de servios oferecidos. Entenda as capacidades e limitaes de busca de dados do provedor de servio de nuvem quando tentar visualizar dentro da srie de dados para descoberta de dados. Entenda como a criptografia gerenciada em armazenamento de multilocao. Existe uma chave nica para todos os proprietrios de dados, uma chave por proprietrio de dados ou mltiplas chaves por proprietrio de dados? H um sistema para prevenir diferentes proprietrios de dados de possuir as mesmas chaves de criptografia? Os proprietrios de dados devero exigir que os provedores de servio de Computao em Nuvem garantam que seus dados de cpias de segurana no estejam misturados com os dados de outro cliente de servio de nuvem. Entenda o processo de descarte de dados armazenados pelo provedor de servio de nuvem. Destruio de dados extremamente difcil em um ambiente de multilocao e o provedor de servio de nuvem dever estar usando criptografia forte no armazenamento que resulte em dados no legveis quando o armazenamento for reciclado, descartado ou acessado de qualquer maneira fora das aplicaes, processos e entidades autorizadas. Escalonamento de reteno e destruio de dados so responsabilidades do proprietrio dos dados. responsabilidade do provedor de servio de Computao em Nuvem destruir os dados quando solicitado, com especial nfase na destruio de todos os dados em todas as localizaes, incluindo as folgas de armazenamento em estruturas de dados e em mdia. O proprietrio da informao dever reforar e auditar esta prtica se possvel. Entenda a segregao lgica de informao e os controles de proteo implementados. Entenda as restries de privacidade inerentes aos dados confiados a sua companhia; voc poder ter que designar seu provedor de servio de nuvem como um tipo particular de parceiro antes de confiar-lhes esta informao. Entenda as polticas e processos do provedor de servio de nuvem para reteno e destruio de dados e como eles se comparam sua poltica organizacional interna. Esteja ciente que garantir a reteno de dados pode ser mais fcil para o provedor de servio de nuvem demonstrar, enquanto para destruio de dados pode ser muito difcil. Negocie penalidades pagas pelo provedor de servio de nuvem para violao de dados para garantir que isso seja levado a srio. Se vivel, clientes devero buscar ressarcimento de todos os custos por violaes como parte de seus contratos com provedor. Se invivel, clientes devero explorar outros meios de transferncia de risco tais como seguro para recuperao de perdas por violao. Execute testes regulares de backup e recuperao para assegurar que a segregao lgica e os controles so efetivos.
47
Garanta que o pessoal do provedor de servio de nuvem esteja disponvel para prover uma segregao lgica de funes. Entenda como criptografia gerenciada em armazenamento de multilocao. H uma nica chave para todos os clientes, uma chave por cliente, ou mltiplas chaves por cliente?
48
Solues de criptografia, como aplicadas em correios eletrnicos, redes, bancos de dados, arquivos e sistemas de arquivos. Ferramentas de proteo a contedos (como DLP, ou Data Loss Prevention) podem auxiliar identificando e auditando dados que necessitem de controles. Armazenamento Criptografia, como aplicada em fitas de backup e outros sistemas de armazenamento de alta capacidade. Gesto e monitoramento de ativos Descarte Crypto-shredding: Descarte de todos os dados principais relacionados informaes criptografadas Descarte seguro atravs de limpeza de discos e tcnicas relacionadas Destruio fsica, como desmagnetizao de mdias. Tentativa de identificao de contedo para assegurar o processo de descarte. Colaboradores da Verso Original: Richard Austin, Ernie Hayden, Geir Arild EnghHellesvik, Wing Ko, Sergio Loureiro, Jesus Luna Garcia, Rich Mogull, Jeff Reich Colaboradores da Verso Brasileira: Filipe Villar, Gilberto Sudr, Guilherme Bitencourt, Roney Mdice, Ulinton Santos
49
Algumas consideraes arquiteturais simples podem ajudar a minimizar os danos causados quando estes tipos de cenrios ocorrerem. Entretanto, os meios para lidar com essas questes dependem do tipo de servio na nuvem. Com o Software como um Servio (SaaS), o cliente da nuvem, por definio, substitui os novos softwares pelos antigos. Portanto, o foco no est na portabilidade das aplicaes, mas em preservar ou melhorar as funcionalidades de segurana providas pela aplicao legada e conseguir uma migrao dos dados bem sucedida. Com a Plataforma como um Servio (PaaS), a expectativa que algum grau de modificao na aplicao seja necessrio para atingir a portabilidade. O foco minimizar a quantidade de recodificao da aplicao, enquanto os controles de segurana so mantidos ou melhorados, juntamente com uma migrao dos dados bem sucedida. Com a Infraestrutura como um Servio (IaaS), o foco e a expectativa que ambas, aplicaes e dados, sejam capazes de serem migrados e executados em um novo provedor de nuvem. Devido a uma falta de padres de interoperabilidade e falta de presso suficiente do mercado para a criao desses padres, a transio entre provedores de nuvem pode se transformar em um doloroso processo manual. A partir de uma perspectiva de segurana, nossa principal preocupao manter a consistncia dos controles de segurana enquanto mudamos o ambiente.
Recomendaes
Para Todas as Solues de Computao em Nuvem: A substituio do provedor de servios de nuvem , em praticamente todos os casos, uma transao de negcios negativa para pelo menos uma das partes, o que pode causar uma reao inesperada do antigo provedor da nuvem. Isto deve ser planejado no
50
processo de contratao, conforme descrito no Domnio 3, no seu plano de continuidade de negcios, descrito no Domnio 7 e como parte da sua governana global no Domnio 2. Entender o tamanho dos conjuntos de dados hospedados em um provedor de nuvem. O tamanho dos dados pode causar uma interrupo do servio durante a transio, ou um perodo de transio maior do que o previsto. Muitos clientes descobriram que transportar os discos rgidos pode ser mais rpido do que a transmisso eletrnica de grandes massas de dados. Documentar a arquitetura de segurana e a configurao individual de cada componente de controle de segurana, de forma que eles possam ser utilizados para ajudar nas auditorias internas, bem como para facilitar a migrao para novos provedores.
Para Solues em Nuvem IaaS: Entender como imagens de mquinas virtuais podem ser capturadas e portadas para o novo provedor de nuvem que pode utilizar uma tecnologia diferente de virtualizao. Identificar e eliminar (ou pelo menos documentar) todas as extenses especficas do provedor no ambiente de mquina virtual. Entender quais prticas so utilizadas para garantir uma desalocao apropriada das imagens depois que uma aplicao portada de um provedor de nuvem. Compreender as prticas utilizadas para o desmantelamento dos discos e dispositivos de armazenamento. Identificar e entender as dependncias baseadas em Hardware/Plataforma antes de migrar a aplicao/dados. Solicitar acesso a logs do sistema, rastros e registros de acesso e de faturamento do provedor de nuvem antigo. Identificar opes para continuar ou expandir o servio com o provedor de nuvem legado, em parte ou no todo, caso o novo servio demonstre ser inferior. Determinar se existem quaisquer funes de nvel gerencial, interfaces ou APIs utilizadas que so incompatveis ou no implantadas no novo provedor.
Para Solues em Nuvem PaaS: Quando possvel, utilize componentes de uma plataforma com sintaxes padronizadas, APIs abertas e normas abertas. Entender quais ferramentas esto disponveis para a transmisso segura dos dados, para backup e para restaurao.
51
Entender e documentar os componentes da aplicao e mdulos especficos para o provedor de PaaS e desenvolver a arquitetura de uma aplicao com camadas de abstrao para minimizar o acesso direto aos mdulos proprietrios. Compreender como servios bsicos como monitoramento, logs e auditoria podem ser transferidos para o novo provedor. Entender as funes de controle fornecidas pelo provedor de nuvem antigo e como ser feita a transferncia para o novo provedor. Quando migrar para uma nova plataforma, conhea os impactos no desempenho e na disponibilidade da aplicao e como estes impactos so calculados. Entender como testes so completados antes e depois da migrao, para verificar se os servios ou aplicaes esto operando corretamente. Garantir que a responsabilidade de testar, de ambos, provedor e usurio, so bem conhecidas e documentadas.
Para Solues em Nuvem SaaS: Executar extraes de dados e backups regulares para formatos que possam ser utilizados fora do provedor de SaaS. Entender se os metadados podem ser preservados e migrados. Compreender que todas as ferramentas personalizadas tero que ser recodificadas ou, o novo provedor deve fornecer novas ferramentas. Assegurar consistncia eficaz dos controles entre o antigo e o novo provedor. Assegurar a possibilidade de migrao de backups e outras cpias de logs, registros de acesso e qualquer outra informao pertinente que possa ser necessria por razes legais e conformidade. Entender o gerenciamento, o monitoramento e as interfaces de relatrios e suas integraes entre os ambientes. H uma disposio do novo provedor de testar e avaliar a aplicao antes da migrao?
Colaboradores da Verso Original: Warren Axelrod, Aradhna Chetal, Arthur Hedge, Dennis Hurst, Sam Johnston, Scott Morrison, Adam Munter, Michael Sutton, Joe Wallace Colaboradores da Verso Brasileira: Alexandre Pupo, Guilherme Ostrock, Ricardo
Makino
52
53
Recomendaes
Tenha em mente que a centralizao dos dados significa que o risco de fraude interna partindo de dentro do provedor de servios de nuvem uma preocupao significativa. Provedores de servio de nuvem devem considerar adotar como padro de segurana os requisitos mais rigorosos dos clientes. Para que o alcance dessas prticas de segurana no impacte negativamente na experincia do cliente, as prticas de segurana mais rigorosas devem se mostrar economicamente eficazes no longo prazo em termos de reduo do risco, bem como na avaliao das vrias reas de preocupao, baseada nas necessidades dos clientes. Os provedores devem ter uma segregao robusta das responsabilidades das funes, verificar os antecedentes dos funcionrios, exigir / aplicar acordos de no-divulgao de dados para os seus funcionrios e limitar o acesso s informaes dos clientes aos funcionrios na medida do que for absolutamente necessrio para a execuo de suas funes. Os clientes devem efetuar inspees aos locais das instalaes de seu provedor de nuvem sempre que possvel. Os clientes devem inspecionar os planos de recuperao de desastres e de continuidade de negcios de seus provedores de nuvem. Os clientes devem identificar as interdependncias fsicas na infraestrutura do provedor. Garantir que h um detalhamento formal estabelecido no contrato para definir claramente as obrigaes contratuais relacionadas com segurana, recuperao e acesso aos dados. Clientes devem solicitar a documentao dos controles de segurana internos e externos do provedor e a adeso aos padres da indstria.
54
Assegurar que Objetivos de Tempo de Recuperao (Recovery Time Objectives, ou RTO) do cliente so totalmente compreendidos e definidos nas relaes contratuais e baseados no processo de planejamento tecnolgico. Certifique-se que roadmaps, polticas e capacidades operacionais satisfaam estes requisitos. Clientes precisam confirmar que o provedor tem uma poltica de Plano de Continuidade de Negcios aprovada pelo conselho de administrao do provedor. Clientes devem procurar evidncias de apoio efetivo da gesto e reviso peridica do Programa de Continuidade de Negcios para garantir que este esteja ativo. Clientes devem verificar se o Programa de Continuidade de Negcios certificado e / ou mapeado com normas internacionalmente reconhecidas como a BS 25999. Clientes devem verificar se o provedor tem algum recurso on-line dedicado segurana e BCP, onde a viso geral do programa e as fichas tcnicas estejam disponveis para consulta. Certifique-se que os provedores de servio de nuvem sejam controlados atravs do Processo de Segurana de Fornecedores (Vendor Security Process - VSP) para que haja uma clara compreenso de quais dados devem ser compartilhados e quais controles devem ser utilizados. As determinaes do VSP devem alimentar o processo de tomada de deciso e avaliao se o risco aceitvel ou no. A natureza dinmica da Computao em Nuvem e sua relativa juventude justificam ciclos mais frequentes de todas as atividades acima para a descoberta de mudanas no comunicadas aos clientes.
Colaboradores da Verso Original: Randolph Barr, Luis Morales, Jeff Spivey, David Tyson Colaboradores da Verso Brasileira: Anchises Moraes, Rafael B. Brinhosa
55
56
durante as flutuaes normais de negcio. Lembre-se, a teoria de Computao em Nuvem ainda excede, em alguma medida, a prtica: muitos clientes fazem pressuposies incorretas sobre o nvel de automao atualmente disponvel. Na medida em que o recurso provisionado consumido, o provedor responsvel por garantir que recursos adicionais so alocados imperceptivelmente para o cliente.
Recomendaes
imperativo que uma organizao, considerando a compra de servios de nuvem, sejam eles de qualquer tipo, esteja totalmente ciente do tipo exato de servios que sero contratados e do que no est incluso. Abaixo est um sumrio de informaes que precisam ser revisadas como parte do processo de seleo do vendedor e questes adicionais para ajudar a qualificar os provedores e comparar melhor os seus servios com as necessidades da organizao. Quaisquer que sejam as certificaes que os provedores de nuvem mantm, importante obter o compromisso e a permisso de conduzir auditorias feitas pelo cliente ou por terceiros. Os clientes de servios de nuvem devem compreender como os provedores implementam as Cinco Principais Caractersticas da Computao em Nuvem do Domnio 1. Ainda que as arquiteturas tecnolgicas dos provedores de nuvem variem, todos eles devem poder demonstrar diviso compreensiva de sistemas, redes, gerenciamento, proviso e pessoal. Compreenda como a democratizao de recursos ocorre dentro da nuvem de seu provedor para prever melhor a disponibilidade e desempenho do sistema durante suas flutuaes de negcios. Se possvel, descubra os outros clientes do provedor de nuvem para avaliar o impacto que as flutuaes de negcios deles podem ter sobre a sua vivncia como cliente do provedor de nuvem. No entanto, isso no substitui a garantia de que os acordos acerca do nvel de servio estejam claramente definidos, mensurveis, executveis e adequados para a sua necessidade. Os clientes dos servios de nuvem devem entender as polticas e procedimentos de correo do provedor e como eles podem influenciar os seus ambientes. Essa compreenso deve estar refletida no contrato. A contnua melhoria particularmente importante em um ambiente de nuvem, pois qualquer melhoria nas polticas, processos e procedimentos, ou ferramentas para um cliente determinado podem resultar em melhoria do servio para todos os clientes. Procure por provedores de nuvem com processos padro de melhoria contnua. Suporte tcnico ou central de servio so frequentemente uma janela pela qual o cliente pode ver as operaes do provedor. Para obter uma experincia de suporte suave e uniforme para seus usurios finais, essencial assegurar que os processos, procedimentos, ferramentas e horrio de suporte do provedor so compatveis com as suas. Como no Domnio 7, reveja os planos de recuperao de desastres e de continuidade do negcio a partir da perspectiva de TI e perceba como eles se relacionam com pessoas e
57
processos. Uma arquitetura tecnolgica do provedor de nuvem pode usar novos mtodos, porm no testados para tolerncia a falhas, por exemplo. A continuidade do prprio negcio do cliente deve tambm abranger os impactos e limitaes da Computao em Nuvem. Colaboradores da Verso Original: John Arnold, Richard Austin, Ralph Broom, Beth Cohen, Wing Ko, Hadass Harel, David Lingenfelter, Beau Monday, Lee Newcombe, Jeff Reich, Tajeshwar Singh, Alexander Windel, Richard Zhao. Colaboradores da Verso Original: Eder Alvares Pereira de Souza, Olympio Renn Ribeiro Jr, Raphael Sanches
58
59
Recomendaes
Clientes de Computao em Nuvem precisam definir claramente e comunicar aos provedores o que eles consideram incidentes (tais como roubo de dados) versus meros eventos (tais como alertas de suspeita de intruso) antes de implementar o servio. Clientes de Computao em Nuvem podem vir a ter um envolvimento limitado com as atividades de resposta a incidente do provedor. Portanto, crucial para os clientes entender os canais de comunicao predefinidos para contatar a equipe de resposta a incidentes. Clientes de Computao em Nuvem devem investigar quais ferramentas de deteco e analise de incidentes o provedor utiliza para garantir que eles sejam compatveis com seus prprios sistemas. Um formato de log proprietrio ou incomum poderia ser um grande problema em investigaes conjuntas, particularmente aqueles que envolvam questes legais ou interveno governamental. Sistemas e aplicaes desenvolvidas com baixo nvel de segurana podem facilmente sobrecarregar qualquer capacidade de resposta a incidente. A conduo de uma avaliao de riscos adequada nos sistemas e a utilizao da prtica de segurana em camadas so essenciais para reduzir as chances de um incidente de segurana. Centros de Operaes de Segurana (do ingls SOC) normalmente assumem um modelo nico de governana relacionado resposta a incidente, o qual no apropriado para provedores multilocatrios de nuvem. Um processo robusto e bem gerenciado de Gesto de Eventos e Informaes de Segurana - SIEM, que identifica as fontes disponveis de informao (logs de aplicao, logs de firewall, logs de IDS, etc.) e as combina com uma plataforma comum de analise e notificao, pode ajudar consideravelmente o SOC na deteco de incidentes dentro da plataforma de Computao em Nuvem. Para facilitar a analise detalhada de informao off-line, procure por provedores de Computao em Nuvem que tenham a habilidade de fornecer fotografias do ambiente virtual do cliente firewalls, redes (switches), sistemas, aplicaes e dados. Conteno uma corrida entre o controle de danos e coleta de evidncia. Estratgias de conteno que foquem na trade confidencialidade-integridade-disponibilidade podem ser eficazes. Remediao destaca a importncia de poder restaurar um sistema para um estado anterior e at mesmo retornar 6 a 12 meses atrs em uma configurao tida como confivel. Mantendo em mente as possibilidades e requerimentos legais, a remediao pode tambm vir a suportar registros forenses de dados de incidentes. Qualquer dado classificado como privado para efeito regulatrio em relao a roubo de informaes deve ser sempre criptografado para reduzir as consequncias de um incidente de roubo de dado. Clientes devem estipular os requisitos de criptografia contratualmente, conforme Domnio 11.
60
Alguns provedores de Computao em Nuvem podem hospedar um nmero significativo de clientes com aplicaes nicas. Esses provedores de Computao em Nuvem devem considerar estruturas de registros (logging frameworks) de camada de aplicao com o intuito de rastrear incidentes a um cliente em especifico. Esses provedores de Computao em Nuvem devem tambm criar um registro de proprietrios das aplicaes por interface de aplicao (URL, servios de SOA, etc.) Firewalls de aplicao, proxies e outras ferramentas de log so capacidades bsicas atualmente disponveis para suportar a resposta a incidentes em um ambiente multilocatrio.
Colaboradores da Verso Original: John Arnold, Richard Austin, Ralph Broom, Beth Cohen, Wing Ko, Hadass Harel, David Lingenfelter, Beau Monday, Lee Newcombe, Jeff Reich, Tajeshwar Singh, Alexander Windel, Richard Zhao Colaboradores da Verso Brasileira: Filipe Villar, Marcelo Carvalho
61
62
Vulnerabilidades Estas incluem no somente as bem documentadas e continuamente em evoluo vulnerabilidades associadas com aplicaes web, mas tambm vulnerabilidades associadas com aplicaes SOA mquina-a-mquina, que esto sendo implantadas de modo crescente na nuvem.
Recomendaes
A segurana no ciclo de vida de desenvolvimento de software (SDLC) importante e deve abordar em alto nvel estas trs principais reas de diferenciao com desenvolvimento baseado em nuvem: 1) ameaas atualizadas e modelos de confiana, 2) ferramentas de avaliao de aplicaes para ambientes de nuvem e 3) processos de SDLC e checkpoints de qualidade para contabilizar mudanas arquiteturais de segurana para aplicaes. IaaS, PaaS e SaaS criam diferentes limites de confiana para o ciclo de vida de desenvolvimento de software; que devem ser contabilizados durante o desenvolvimento, testes e implantao de aplicaes em produo. Para IaaS, um fator chave de sucesso a presena de imagens de mquinas virtuais confiveis. A melhor alternativa a capacidade de fornecer sua prpria imagem de mquina virtual em conformidade com as polticas internas. As melhores prticas disponveis para fortificar sistemas host dentro de DMZs devem ser aplicadas para mquinas virtuais. Limitar os servios disponveis somente aqueles necessrios para suportar a pilha da aplicao apropriado. Proteger a comunicao inter-host deve ser uma regra; no pode haver nenhuma suposio de um canal seguro entre hosts, quer esteja em um data center comum ou ainda em um mesmo dispositivo de hardware. Gerenciar e proteger credenciais e materiais chave de aplicaes so pontos crticos. Cuidado adicional deve ser realizado no gerenciamento de arquivos usados para os registros (logs) e depurao (debugging) das aplicaes, bem como a localizao destes arquivos podem ser remotos ou desconhecidos e a informao confidencial. Considerao para administrao externa e multilocatrios nos modelos de ameaa da aplicao. Aplicaes suficientemente complexas para influenciar um Enterprise Service Bus (ESB) precisam proteger diretamente o ESB, influenciando um protocolo, como o WS-Security. A capacidade de segmentar ESBs no est disponvel em ambientes PaaS. Mtricas precisam ser aplicadas para avaliar a eficcia de programas de segurana de aplicao. Entre as mtricas diretas especficas de segurana disponveis esto escores de vulnerabilidade e cobertura de correes. Essas mtricas podem indicar a qualidade da codificao de aplicao. Mtricas de manipulao indireta de dados tais como o
63
percentual de dados cifrados, podem indicar que decises responsveis esto sendo tomadas a partir de uma perspectiva de arquitetura da aplicao. Provedores de nuvem devem suportar ferramentas de segurana de anlise dinmica para aplicaes web s aplicaes hospedadas em seus ambientes. Ateno deve ser dada para como os atores maliciosos iro reagir s novas arquiteturas de aplicaes de nuvem, que obscurecem componentes de aplicaes de seus exames minuciosos. Hackers tendem a atacar cdigos visveis, incluindo, mas no limitado ao cdigo que est rodando no contexto do usurio. Eles so suscetveis a atacar infraestruturas e realizar extensos testes em caixa-preta. Clientes devem obter permisso contratual para realizar avaliaes de vulnerabilidades remotas, incluindo a tradicional (rede/host) e avaliaes de vulnerabilidades de aplicaes. Muitos provedores de nuvem restringem avaliaes de vulnerabilidades devido incapacidade do provedor de distinguir tais testes de ataques reais e para evitar potenciais impactos sobre outros clientes.
Colaboradores da Verso Original: John Arnold, Warren Axelrod, Aradhna Chetal, Justin Foster, Arthur J. Hedge III, Georg Hess, Dennis Hurst, Jesus Luna Garcia, Scott Matsumoto, Alexander Meisel, Anish Mohammed, Scott Morrison, Joe Stein, Michael Sutton, James Tiller, Joe Wallace, Colin Watson Colaboradores da Verso Brasileira: Gabriel Negreira Barbosa, Jordan M. Bonagura, Lus Felipe Fres Santos
64
Criptografar dados em trnsito atravs de redes. Existe a extrema necessidade de criptografar credenciais multiuso em trnsito atravs da Internet, tais como nmeros de carto de crdito, senhas e chaves privadas. Embora as redes de provedores de nuvem possam ser mais seguras que a Internet aberta, elas so, pela sua prpria arquitetura, compostas de muitos elementos diferentes e diferentes organizaes compartilham a nuvem. Por isso, importante proteger essas informaes sensveis e regulamentadas em trnsito at mesmo dentro da rede dos provedores de nuvem. Normalmente, isso pode ser implementado com a mesma facilidade em ambientes SaaS, PaaS e IaaS. Criptografar dados em repouso. Criptografar dados em disco ou em um banco de dados de produo ativo possui valor, visto que isto pode proteger contra um provedor de servios de nuvem malicioso ou um colocatrio mal-intencionado, bem como contra alguns tipos de abuso de aplicaes. Para o armazenamento de arquivos a longo prazo, alguns clientes criptografam seus prprios dados e ento os enviam como texto cifrado para um fornecedor de armazenamento de dados em nuvem. O cliente, ento, controla e detm as chaves criptogrficas e, se necessrio, decifra os dados em seu prprio ambiente. Criptografar dados em repouso comum dentro de ambientes IaaS utilizando uma variedade de ferramentas de terceiros e provedores. Criptografar dados em repouso dentro de ambientes PaaS , geralmente, mais complexo, necessitando instrumentao de ofertas do provedor ou customizao especial. Criptografar dados em repouso dentro de ambientes SaaS um recurso que clientes de nuvem no podem implementar diretamente e precisam solicitar a seus provedores.
65
Criptografar dados em mdias de backup. Isto pode proteger contra mau uso de uma mdia perdida ou roubada. Idealmente, o provedor de servio de nuvem implementa tal mecanismo de forma transparente. Entretanto, como cliente e provedor de dados, sua responsabilidade verificar que tal criptografia utilizada. Uma considerao para a infraestrutura de criptografia lidar com a longevidade dos dados. Alm desses usos comuns de criptografia, a possiblidade de ataques exticos contra provedores de nuvem tambm justifica uma maior explorao de meios para criptografar dados dinmicos, incluindo dados residentes em memria. Gerenciamento de Chaves Provedores de servio de nuvem existentes podem prover esquemas bsicos de chaves de criptografia para proteger o desenvolvimento de aplicaes e servios de nuvem, ou podem delegar todas essas medidas de proteo para seus clientes. Enquanto provedores de servio de nuvem esto progredindo para suportar esquemas robustos de gerenciamento de chaves, mais trabalho necessrio para superar barreiras para adoo. Padres emergentes podem solucionar este problema em um futuro prximo, mas o trabalho ainda est em desenvolvimento. Existem muitos problemas e desafios de gerenciamento de chaves dentro da Computao em Nuvem: Repositrios seguros de chaves. Repositrios de chaves devem ser protegidos assim como qualquer outro dado sensvel. Eles devem ser protegidos no armazenamento, no trnsito e nos backups. O armazenamento imprprio de chaves pode levar ao comprometimento de todos os dados cifrados. Acesso aos repositrios de chaves. O acesso a repositrios de chaves deve ser limitado s entidades que necessitem especificamente de chaves individuais. Devem existir ainda polticas que utilizem separao de papeis regendo os repositrios de chaves, para auxiliar o controle de acessos; uma entidade que utiliza uma dada chave no deve ser a mesma entidade que a armazena. Backup e recuperao de chaves. Perda de chaves inevitavelmente significa perda dos dados que as mesmas protegem. Enquanto isso uma forma efetiva para destruir dados, a perda acidental de chaves que protegem dados crticos fundamentais de organizaes seria devastadora para um negcio; ento, solues seguras de backup e recuperao devem ser implementadas. Existem vrios padres e diretrizes aplicveis ao gerenciamento de chaves na nuvem. O Key Management Interoperability Protocol (KMIP), da OASIS, um padro emergente para um gerenciamento de chaves interopervel na nuvem. Os padres IEEE 1619.3 cobrem criptografia de armazenamento e gerenciamento de chaves, especialmente no que diz respeito a armazenamento IaaS.
Segregar o gerenciamento de chaves do provedor de nuvem que hospeda os dados, criando uma cadeia de separao. Isso protege tanto o provedor quanto o cliente
66
de nuvem de conflitos quando houver obrigao de fornecer dados devido a um mandato legal. Quando estipular a criptografia em linguagem de contrato, assegurar que a criptografia adira a padres existentes de indstria e governo, como for aplicvel. Tomar conhecimento de como, as instalaes do provedor de nuvem provm gerenciamento de papis e separao de funes. Nos casos onde o provedor de nuvem deve efetuar o gerenciamento de chaves, se inteirar se o provedor possui processos definidos para um ciclo de vida do gerenciamento de chaves: como as chaves so geradas, utilizadas, armazenadas, submetidas a backup, recuperadas, rotacionadas e apagadas. Alm disso, tomar conhecimento se a mesma chave utilizada para todos os clientes ou se cada cliente tem seu prprio conjunto de chaves. Assegurar que dados regulamentados e/ou sensveis de clientes sejam criptografados quando estiverem em trnsito atravs da rede interna do provedor de nuvem, alm de serem criptografados quando estiverem em repouso. A responsabilidade de implementar tal recomendao do cliente de nuvem em ambientes IaaS, de ambos (provedor e cliente) em ambientes PaaS e do provedor de nuvem em ambientes PaaS. Em ambientes IaaS, se inteirar como informaes sensveis e materiais chave quando no protegidos por criptografia tradicional podem ser expostos durante o uso. Por exemplo, arquivos de swap de mquinas virtuais e outros locais temporrios de armazenamento de dados podem tambm necessitar ser criptografados.
Colaboradores da Verso Original: John Arnold, Girish Bhat, Jon Callas, Sergio Loureiro, Jean Pawluk, Michael Reiter, Joel Weise Colaboradores da Verso Brasileira: Dino Amaral, Eder Alvares Pereira de Souza, Gabriel Negreira Barbosa, Jimmy Cury, Jordan M. Bonagura, Julio Graziano Pontes, Raphael Sanches
67
Conformidade uma considerao chave em todos os pontos. Provisionamento de Identidade: Um dos maiores desafios para a adoo de servios de Computao em Nuvem pelas empresas o gerenciamento seguro e gil da concesso (provisionamento) e revogao (desaprovisionamento) de usurios na nuvem. Alm disso, as organizaes que investem em processos de gerenciamento de usurios dentro da empresa buscaro estender esses processos e prticas aos servios de nuvem. Autenticao: Quando as organizaes comeam a utilizar os servios de nuvem, autenticar usurios de uma forma confivel e gerencivel uma exigncia vital. As organizaes devem resolver os desafios relacionados autenticao, como o gerenciamento de credenciais, autenticao forte (tipicamente definida como autenticao multifator), delegao de autenticao e gerenciamento de confiana para todos os tipos de servios de nuvem. Federao: Em um ambiente de Computao em Nuvem, o Gerenciamento de Identidades Federadas tem um papel fundamental ao permitir que as organizaes autentiquem seus usurios de servios de nuvem usando o provedor de identidade por ela escolhido (PId). Nesse contexto, trocar atributos de identidade entre o provedor de servios (PS) e o PId de uma forma segura tambm uma exigncia importante. As organizaes que consideram o gerenciamento de identidades federadas na nuvem precisam entender os vrios desafios e possveis solues com respeito ao gerenciamento do ciclo de vida da identidade, mtodos de autenticao disponveis para proteger a confidencialidade e a integridade; ao mesmo tempo em que suportam o norepdio. Autorizao & gerenciamento de perfil de usurios: As exigncias para a poltica de controle de acesso e perfis dos usurios variam conforme o usurio est agindo em nome prprio (como um consumidor) ou como um membro de uma organizao (como um funcionrio, universidade, hospital ou outra empresa). As exigncias de controle de acesso em ambientes de SPI incluem estabelecer o perfil de usurio confivel e a informao da poltica, usando-os para controlar o acesso ao servio de nuvem, executando isto de uma forma auditvel.
68
Autenticao Recomendaes Ambos, provedor de servios de nuvem e empresas clientes, devem considerar os desafios associados ao gerenciamento de credenciais e autenticao forte e implementar solues de baixo custo que reduzam apropriadamente o risco. Provedores de SaaS e PaaS fornecem tipicamente duas opes: servios prprios de autenticao para suas aplicaes ou plataformas, ou delegar a autenticao s empresas. Os clientes tm as seguintes opes: Autenticao para empresas. As empresas devem considerar autenticar os usurios atravs de seus Provedores de Identidade (PId) e estabelecer confiana com o fornecedor de SaaS atravs da federao. Autenticao para usurios individuais agindo por conta prpria. As empresas devem considerar usar autenticao centrada em usurio como do Google, Yahoo, OpenID, Live ID, etc., para permitir o uso de um conjunto nico de credenciais vlido para mltiplos sites. Qualquer provedor de SaaS que requeira mtodos proprietrios para delegar a autenticao (ex. manipulao de confiana por meio de um cookie criptografado compartilhado ou outros meios) deve ser cuidadosamente avaliado com uma anlise de segurana adequada, antes de continuar. A preferncia geral deve ser para o uso de padres abertos. Para IaaS, estratgias de autenticao podem usar as capacidades existentes da empresa. Para o pessoal de TI, estabelecer uma VPN dedicada ser uma opo melhor, j que se pode aproveitar sistemas e processos existentes. Algumas possveis solues incluem a criao de um tnel da VPN dedicado para a rede corporativa ou da federao. Um tnel da VPN dedicado funciona melhor quando a aplicao usa
69
os sistemas existentes de gerenciamento de identidade (como uma soluo de autenticao baseada em SSO ou LDAP que fornece uma fonte autorizada de dados de identidade). Em casos onde um tnel VPN dedicado no factvel, as aplicaes devem ser desenhadas para aceitar os pedidos de autenticao em vrios formatos (SAML, Federao-WS, etc), combinadas com criptografia padro de rede como SSL. Esta abordagem permite s organizaes implantar SSO federados no apenas dentro da empresa, mas tambm para aplicaes na nuvem. OpenID outra opo quando a aplicao direcionada para alm dos usurios corporativos. Contudo, pelo fato do controle das credenciais do OpenID estar fora da empresa, os privilgios de acesso fornecido a estes usurios deve ser limitado. Qualquer servio local de autenticao implementado pelo provedor de servios de nuvem deve estar em conformidade com o OATH. Com uma soluo com suporte a OATH, as empresas podem evitar ficar presas a credenciais de autenticao fornecidas por um fabricante. Para permitir a autenticao forte (independente da tecnologia), as aplicaes de nuvem devem suportar a caracterstica de delegar a autenticao para a empresa que est consumindo os servios, como atravs de SAML. Os provedores de nuvem devem considerar o suporte a vrias opes de autenticao forte, tais como senhas de um nico uso (OTP), biometria, certificados digitais e Kerberos. Isto oferecer outra opo s empresas de usar sua infraestrutura existente. Recomendaes de Federao Em um ambiente de Computao em Nuvem, a federao de identidade chave para permitir a empresas aliadas se autenticar, prover Single-Sign-On (SSO)ou Reduced-Sign-On e trocar atributos de identidade entre o provedor de servios (PS) e o provedor de Identidade ( PId). As organizaes, ao considerar o gerenciamento de identidades federadas na nuvem devem entender os vrios desafios e possveis solues relacionadas ao gerenciamento do ciclo de vida da identidade, mtodos de autenticao, formatos de token e no-repdio. As empresas que buscam por um provedor de nuvem devem verificar se o provedor suporta ao menos um dos padres proeminentes (SAML e Federao-WS). SAML est despontando como um padro de federao amplamente suportado e utilizado pelos principais provedores de SaaS e PaaS. Suporte a mltiplos padres permite um alto grau de flexibilidade. Os provedores de nuvem devem ter flexibilidade para aceitar os formatos padr o de federao de diferentes provedores de identidade. Contudo, as maiorias dos provedores de servios de nuvem, na poca deste documento, s suportavam um nico padro, ex. SAML 1.1 ou SAML 2.0. Os provedores de servios de nuvem que desejam suportar mltiplos formatos de token de federao devem considerar a implementao de algum tipo de gateway de federao. As organizaes podem avaliar SSO Pblico Federado versus SSO Privado Federado. SSO Pblico Federado baseado em padres como SAML e Federao-WS com o provedor de servios
70
de nuvem, enquanto Federado Privado utiliza a arquitetura existente sobre VPN. A longo prazo, o SSO Pblico Federado seria o ideal, enttretanto, em empresas com uma arquitetura madura de SSO e com um nmero limitado de implementaes em nuvem, pode-se ganhar benefcios de custo de curto prazo com o SSO Privado Federado. As organizaes podem optar por gateways de federao para externalizar sua implementao, de forma a gerenciar a emisso e verificao de tokens. Usando este mtodo, as organizaes delegam a emisso de vrios tipos de token para o gateway da federao, que ento manipula a traduo de tokens de um formato para outro. Recomendaes de Controle de Acesso Ao selecionar ou revisar a adequao das solues de controle de acesso para servios de nuvem existem muitos aspectos que implicam considerar o seguinte: Revisar a adequao do modelo de controle de acesso para o tipo de servio ou dados. Identificar as fontes autoritativas de poltica e informaes de perfil do usurio. Avaliar o suporte s polticas de privacidade necessrias para os dados. Selecionar um formato no qual especificar a poltica e a informao do usurio. Determinar o mecanismo para transmitir a poltica de um Ponto de Administrao da Poltica (PAP) para um Ponto de Deciso da Poltica (PDP). Determinar o mecanismo para transmitir a informao do usurio de um Ponto de Informao da Poltica (PIP) para um Ponto de Deciso da Poltica (PDP). Solicitar uma deciso de poltica de um Ponto de Deciso de Poltica (PDP). Aplicar a deciso de poltica no Ponto de Cumprimento de Poltica (PCP). Registrar a informao necessria para auditorias. Recomendao de IDaaS Identity as a Service (IDaaS) deve seguir as mesmas boas prticas que uma implementao interna que o IAM utiliza, alm de consideraes adicionais para privacidade, integridade e auditoria. Para os usurios corporativos internos, tutores devem revisar as opes dos provedores de servio de nuvem para oferecer acesso seguro, seja atravs de uma VPN direta ou atravs de um padro da indstria como o SAML e autenticao forte. A reduo de custos advinda do uso da nuvem necessita ser balanceada contra as medidas de mitigao dos riscos para enderear as
71
consideraes de privacidade inerentes ao fato de se ter as informaes dos colaboradores armazenadas externamente. Para os usurios externos como parceiros, os donos da informao necessitam incorporar as interaes com os provedores de IAM dentro de seu SDLC, assim como em suas anlises de ameaas. Segurana da aplicao as interaes entre os vrios componentes e as vulnerabilidades criadas por essa situao (tal como SQL Injection e Cross Site Scripting, dentre muitas outras) devem ser tambm consideradas e protegidas. Os clientes de PaaS devem pesquisar a dimenso em que os fornecedores de IDaaS suportam os padres da indstria para provisionamento, autenticao, comunicao de polticas de controle de acesso e informao de auditoria. Solues proprietrias apresentam um risco significativo para os componentes de um ambiente de IAM na nuvem, por causa da falta de transparncia dos componentes proprietrios. Protocolos de rede proprietrios, algoritmos de encriptao e comunicao de dados so frequentemente menos seguros e menos interoperveis. importante usar normas abertas para os componentes do IAM que voc utilizar externamente. Para os clientes de IaaS, imagens de terceiros usadas para iniciar os servidores virtuais precisam ser analisadas para verificar a autenticidade do usurio e da imagem. Uma reviso do suporte fornecido para o gerenciamento do ciclo de vida da imagem deve verificar os mesmos princpios do software instalado em sua rede interna. Colaboradores da Verso Original: Subra Kumaraswamy, Sitaraman Lakshminarayanan, Michael Reiter, JosephStein e Yvonne Wilson. Colaboradores da Verso Brasileira: Hernan Armbruster, Jordan M. Bonagura, Julio Graziano Pontes, Miguel Macedo
72
Domnio 13 - Virtualizao
A capacidade de prover servios em nuvem multilocao no nvel de infraestrutura, plataforma, ou aplicativo frequentemente sustentada pela habilidade em prover alguma forma de virtualizao para criar escala econmica. Contudo, o uso dessas tecnologias traz preocupaes adicionais relacionadas segurana. Este domnio relaciona-se a essas questes de segurana. Enquanto existem diversas formas de virtualizao, de longe a mais comum est relacionada a sistemas operacionais virtualizados, e este o foco nesta verso do nosso guia. Se a tecnologia de mquina virtual (VM) est sendo usada na infraestrutura de servios de nuvem, ento devemos nos preocupar com a compartimentalizao e elevao do nvel de segurana destes sistemas virtuais. A realidade das prticas atuais relacionadas ao gerenciamento de sistemas operacionais virtuais que muitos dos processos que fornecem segurana por padro esto ausentes e ateno especial deve ser dada para substitu-los. O ncleo da tecnologia de virtualizao por si s introduz novas interfaces de ataque no hypervisor e outros componentes de gerenciamento, mas o mais importante so os vrios impactos que tem a virtualizao na segurana de rede. Mquinas virtuais agora se comunicam sobre um backplane de hardware, ao invs de rede. Como resultado, controles padro de segurana de rede no enxergam esse trfego e no podem realizar monitoramento ou bloqueio em linha. Esses controles precisam de uma nova forma para funcionar dentro do ambiente virtual. O agrupamento de dados em servios centralizados e repositrios outra preocupao. Uma base de dados centralizada e fornecida por um servio de computao de nuvem deve teoricamente melhorar a segurana sobre os dados distribudos sobre um vasto nmero e variedade de clientes finais. Contudo, isto tambm uma centralizao de risco, aumentando as consequncias de uma falha na segurana. Outra preocupao o agrupamento de mquinas virtuais que manipulam informaes de diferentes nveis de sensibilidades e segurana. Em ambientes de Computao em Nuvem, o menor denominador comum de segurana ser compartilhado por todos os clientes/usurios dentro do ambiente virtual a no ser que uma nova arquitetura de segurana possa ser alcanada de modo que no esteja amarrada a qualquer dependncia de rede para proteo.
Recomendaes
Identificar quais tipos de virtualizao seu provedor de nuvem usa, se houver. Sistemas operacionais virtualizados devem ser protegidos por tecnologia de terceiros para fornecer controles de segurana em camadas e reduzir a dependncia unicamente sobre o provedor de plataforma. Compreender quais controles de segurana esto implementados dentro das mquinas virtuais alm do isolamento incorporado do hypervisor tais como deteco de intruses, antivrus, escaneamento de vulnerabilidades, etc. Configurao segura por padro deve ser assegurada por seguir ou exceder os padres definidos pelas melhores prticas da indstria.
73
Compreender quais controles de segurana esto implementados externamente s mquinas virtuais para proteger interfaces administrativas (baseadas na web, APIs, etc.) expostas para os clientes. Validar a procedncia e integridade de qualquer mquina virtual ou modelo originado do provedor de nuvem antes de utiliz-la. Mecanismos de segurana especficos de mquinas virtuais embarcados dentro das APIs do hypervisor devem ser utilizados para prover monitorao granular do trfego atravessando os backplanes das mquinas virtuais, os quais so opacos aos controles tradicionais de segurana de rede. Acesso administrativo e controle de sistemas operacionais virtualizados so cruciais e devem incluir autenticao forte integrada ao gerenciamento de identidade corporativo, bem como mecanismo de registro prova de falsificao e ferramentas de monitoramento de integridade. Considerar a eficcia e viabilidade de segregar mquinas virtuais criando zonas de segurana por tipo de uso (estao x servidor), etapas de produo (desenvolvimento, produo, teste) e sensibilidade dos dados em componentes fsicos de hardware separados como servidores, armazenamento, etc. Ter um mecanismo de relatrios que fornea evidncias de isolao e emita alertas caso ocorra uma violao. Estar ciente em situaes de multilocao envolvendo suas mquinas virtuais onde preocupaes regulatrias podem requerer sua segregao.
Colaboradores da Verso Original: Bikram Barman, Girish Bhat, Sarabjeet Chugh, Philip Cox, Joe Cupano, Srijith K. Nair, Lee Newcombe, Brian OHiggins. Colaboradores da Verso Brasileira: Alessandro Trombini, Jimmy Cury, Jordan M. Bonagura, Julio Graziano Pontes, Lus Felipe Fres Santos
74
Referencias
A guide to security metrics. SANS Institute, June 2006. http://www.sans.org Amazon EC2 API - http://docs.amazonwebservices.com/AWSEC2/2006-10-01/DeveloperGuide/ Amazon Elastic Compute Cloud Developer Guide, http://docs.amazonwebservices.com/AWSEC2/2009-03-01/DeveloperGuide/ Amazon Simple Queue Service Developer Guide, http://docs.amazonwebservices.com/AWSSimpleQueueService/2008-0101/SQSDeveloperGuide/ Amazon Simple Storage Service Developer Guide, http://docs.amazonwebservices.com/AmazonS3/2006-03-01/ Amazon SimpleDB Developer Guide, http://docs.amazonwebservices.com/AmazonSimpleDB/2007-11-07/DeveloperGuide/ Amazon web services blog: Introducing amazon virtual private cloud (vpc), Amazon, August 2009. http://aws.typepad.com/aws/2009/08/introducing-amazon-virtual-private-cloud-vpc.html Amazon Web Services: Overview of Security Processes, September 2008 An Innovative Policy-based Cross Certification methodology for Public Key Infrastructures. Casola V., Mazzeo A., Mazzocca N., Rak M. 2nd EuroPKI Workshop. Springer-Verlag LNCS 35. Editors: D. Chadwick, G. Zhao. 2005. Auditing the Cloud, Grid Gurus, http://gridgurus.typepad.com/grid_gurus/2008/10/auditing-thecl.html, October 20, 2008 Azure Services Platform, http://msdn.microsoft.com/en-us/library/dd163896.aspx Balanced Scorecard for Information Security Introduction, Published: March 06, 2007, http://technet.microsoft.com/en-us/library/bb821240.aspx BITS Kalculator and BITS Financial Services Shared Assessments Program (third party provider assessment methodology) Building Security In Maturity Model, http://www.bsi-mm.com/ Business case for a comprehensive approach to identity and access management, May 2009 https://wiki.caudit.edu.au/confluence/display/CTSCIdMWG/Business+case Business Roundtable, Principles of Corporate Governance, 2005 Business Roundtable, Statement on Corporate Governance, 1997. Business Software Alliance, Information Security Governance: Towards a Framework for Action Centers for Medicare and Medicaid Services Information Security Risk Assessment Methodology
75
Cloud Computing and Compliance: Be Careful Up There, Wood, Lamont, ITWorld, January 30, 2009 Cloud computing definition, by P. Mell and T. Grance, NIST June 2009. http://csrc.nist.gov/groups/SNS/cloud-computing/index.html Cloud Computing is on the Up, but what are the Security Issues?, Mather, Tim, Secure Computing Magazine (UK), March 2, 2009. Cloud Computing Use Case Group Whitepaper -http://www.scribd.com/doc/17929394/CloudComputing-Use-Cases-Whitepaper Cloud computing use cases whitepaper, August 2009. http://www.scribd.com/doc/17929394/Cloud-Computing-Use-Cases-Whitepaper Cloud computing use cases whitepaper, August 2009. http://www.scribd.com/doc/17929394/Cloud-Computing-Use-Cases-Whitepaper Cloud computing vocabulary (cloud computing wiki) http://sites.google.com/site/cloudcomputingwiki/Home/cloud-computing-vocabulary Cloud Computing: Bill of Rights, http://wiki.cloudcomputing.org/wiki/CloudComputing:Bill_of_Rights Cloud Cube Model: Selecting Cloud Formations for Secure Collaboration, Jericho Forum, V 1.0, April 2009 Cloud Security and Privacy An Enterprise perspective on Risks and Compliance from OReilly - http://oreilly.com/catalog/9780596802776/ Cloud Standards Organization - http://cloud-standards.org/ Cloud Storage Strategy, Steve Lesem, July 19, 2009, http://www.cloudstoragestrategy.com/2009/07/cloud-storage-and-the-innovators-dilemma.html Common Configuration Scoring System (CCSS): Metrics for Software Security Configuration Vulnerabilities (DRAFT), 2009. http://csrc.nist.gov/publications/drafts/nistir-7502/DraftNISTIR-7502.pdf Contracting for Certified Information Security: Model Contract Terms and Analysis (published by the Internet Security Alliance and available at www.cqdiscovery.com) Contracting for Information Security: Model Contract Terms (published by the Internet Security Alliance and available at www.cqdiscovery.com) CPMC ClearPoint Metric Catalog, 2009 Online Available: http://www.clearpointmetrics.com/newdev_v3/catalog/MetricApplicationPackage.aspx CVSS A Complete Guide to the Common Vulnerability Scoring System, Version 2.0, 2007 Online Available: http://www.first.org/cvss/cvss-guide.html
76
Data Lifecycle Management Model Shows Risks and Integrated Data Flow, by Ernie Hayden, Information Security Magazine, July 2009 http://searchsecurity.techtarget.com/magazineFeature/0,296894,sid14_gci1321704_mem1,00.htm l Data Privacy Clarification Could Lead to Greater Confidence in Cloud Computing, Raywood, Dan, Secure Computing Magazine (UK), March 9, 2009. Defending Electronic Mail as EvidenceThe Critical E-Discovery Questions, Jeffrey Ritter, (available at www.cqdiscovery.com) Does Every Cloud Have a Silver Compliance Lining?, Tom McHale, July 21, 2009 Online Available: http://blog.ca-grc.com/2009/07/does-every-cloud-have-a-silver-Compliance-lining/ Encryption of Data At-Rest: Step-by-step Checklist, a whitepaper prepared by the Security Technical Working Group of the Storage Network Industry Association (SNIA). ENISA - http://www.enisa.europa.eu/ Fedora Infrastructure Metrics, 2008. http://fedoraproject.org/wiki/Infrastructure/Metrics Few Good Information Security Metrics, By Scott Berinato, July 2005 Online Available: http://www.csoonline.com/article/220462/A_Few_Good_Information_Security_Metrics Force.com Web Services API Developers Guide, http://www.salesforce.com/us/developer/docs/api/index.htm Global Privacy & Security, Francoise Gilbert, (Aspen Publishing 2009). GoGrid API - http://wiki.gogrid.com/wiki/index.php/API GSA to launch online storefront for cloud computing services, August 2009. http://www.nextgov.com/nextgov/ng_20090715_3532.php Guidelines for Media Sanitization, NISTs Special Publication 800-88 Hey, You, Get Off of My Cloud: Exploring Information Leakage in Third-Party Compute Clouds, T. Ristenpart, et al, http://blog.odysen.com/2009/06/security-and-identity-as-service-idaas.html http://blogs.forrester.com/srm/2007/08/two-faces-of-id.html http://blogs.intel.com/research/2008/10/httpseverywhere_encrypting_the.php http://code.google.com/apis/accounts/docs/AuthForWebApps.html http://code.google.com/apis/accounts/docs/OpenID.html http://csrc.nist.gov/groups/SNS/cloud-computing/index.html
77
http://csrc.nist.gov/publications/nistpubs/800-53-Rev2/sp800-53-rev2-final.pdf http://csrc.nist.gov/publications/nistpubs/800-53-Rev3/sp800-53-rev3-final-errata.pdf http://csrc.nist.gov/publications/PubsSPs.html http://en.wikipedia.org/wiki/Statement_on_Auditing_Standards_No._70:_Service_Organizations http://www.aspeninstitute.org/publications/identity-age-cloud-computing-next-generationinternets-impact-business-governance-socia http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=kmip http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml http://www.sas70.com https://siswg.net/index.php?option=com_docman&task=cat_view&gid=21&Itemid=99999999 Information Security Governance: A Call to Action, National Cyber Security Summit Task Force, Corporate Governance Task Force Report, April 2004. Information Security Law: Emerging Standard for Corporate Compliance, Thomas Smedinghoff, (ITGP 2008). ISACA, IT Governance Institute, Control Objectives for Information and related Technology (CobiT), 4.1 ISO/IEC 19011:2002 Guidelines for quality and/or environmental management systems auditing ISO/IEC 20000-1:2005 Information technologyservice managementPart 1: Specification ISO/IEC 20000-1:2005 Information technologyservice managementPart 2: Code of practice ISO/IEC 21827:2008 Information technologySystems Security EngineeringCapability Maturity Model (SSE-CMM) ISO/IEC 27000:2009 Information technologySecurity techniquesInformation security management systemsOverview and vocabulary ISO/IEC 27001:2005 Information technologySecurity techniquesInformation security management systemsRequirements. ISO/IEC 27002:2005 Information technologySecurity techniquesCode of practice for information security management ISO/IEC 27005:2008 Information technologyInformation security techniquesInformation security risk management ISO/IEC 27006:2007 Information technologySecurity techniquesRequirements for bodies providing audit and certification of information security management systems
78
ISO/IEC 28000:2007 Specification for security management systems for the Supply Chain ISO/IEC 38500:2008 Corporate governance of information technology IT Governance Institute, Board Briefing on Governance, 2nd Edition, 2003 IT Governance Institute, Information Security Governance: Guidance for Boards of Directors and Executive Management, 2nd Edition, 2006 ITGI Enterprise Risk: Identify Govern and Manage IT RiskThe Risk IT Framework, Exposure Draft version 0.1 February 2009. Jericho Forum - http://www.opengroup.org/jericho/ and the Jericho Cloud Cube model http://www.opengroup.org/jericho/cloud_cube_model_v1.0.pdf Justify Identity Management Investment with Metrics, by Roberta J. Witty, Kris Brittain and Ant Allan, 23 Feb 2004. Gartner Research ID number TG-22-1617. Managing Assurance, Security and Trust for Services. Online. Available: http://www.masterfp7.eu/ National Association for Information Destruction Inc http://www.naidonline.org/forms/cert/cert_program_us.pdf NIST Guidelines for Media Sanitization (800-88) - http://csrc.nist.gov/publications/nistpubs/80088/NISTSP800-88_rev1.pdf NIST Recommended Security Controls for Federal Information Systems (SP800-53) NIST SP 800-30 Risk Management Guide for Information Technology Systems OATH- http://www.openauthentication.org OCEG, Foundation Guidelines Red Book, v1 10/27/2008 OCTAVE-S Implementation Guide, Christopher Alberts, Audrey Dorofee, James Stevens, Carol Woody, Version 1, 2005 OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security Open Cloud Computing Interface Working Group - http://www.occi-wg.org/doku.php Open Security Architecture Group - http://www.opensecurityarchitecture.org OpenCrowd - http://www.opencrowd.com/views/cloud.php OpenID http://openid.net
79
OpenID attribute exchange http://openid.net/specs/openid-attribute-exchange-1_0.htmlOAuth (created by a small group of individuals) http://OAuth.net/ OpenSocial sharing SOCial networking information http://www.opensocial.org/ ORCM Overcoming Risk And Compliance Myopia, August 2006 Online Available: http://logic.stanford.edu/POEM/externalpapers/grcdoc.pdf OSAG Security Landscape - http://www.opensecurityarchitecture.org/cms/foundations/osalandscape OWASP Top Ten Project, http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project Princeton Startup Lawyer, Company Formation-Fiduciary Duties (the basics), June 17, 2009, http://princetonstartuplawyer.wordpress.com/2009/06/17/company-formation-fiduciary-dutiesthe-basics/ Python Runtime Environment, http://code.google.com/appengine/docs/ Rackspace API - http://www.rackspacecloud.com/cloud_hosting_products/servers/api Sailing in Dangerous Waters: A Directors Guide to Data Governance, E. Michael Power & Roland L. Trope, (American Bar Association, 2005). SAML- http://www.oasis-open.org/specs/index.php#saml Security Guidance for Critical Areas of Focus in Cloud Computing, Version 1, by Cloud Security Alliance, April 2009 Service Level Agreements: Managing Cost and Quality in Service Relationships, Hiles, A. (1993), London:Chapman & Hall SNIA Encryption of Data At Rest: A Step-by-Step Checklist http://www.snia.org/forums/ssif/knowledge_center/white_papers/forums/ssif/knowledge_center/ white_papers/Encryption-Steps-Checklist_v3.060830.pdf SNIA Introduction to Storage Security http://www.snia.org/forums/ssif/knowledge_center/white_papers/Storage-SecurityIntro1.051014.pdf SNIA Storage Security Best Current Practices http://www.snia.org/forums/ssif/forums/ssif/programs/best_practices/ Storage Security Best Current Practices (BCPs) by the Security Technical Working Group of SNIA Sun Project Kenai API - http://kenai.com/projects/suncloudapis The Committee of Sponsoring Organizations of the Treadway Commission (COSO), Enterprise Risk ManagementIntegrated Framework (2004). The Darker Side of Cloud Computing, by Matthew D. Sarrel, PC Mag.com, February 1, 2009
80
The Force.com Workbook, http://wiki.developerforce.com/index.php/Forcedotcomworkbook The Institute of Internal Auditors, Critical Infrastructure Assurance Project, Information Security Governance: What Directors Need to Know, 2001 The International Grid Trust Federation (IGTF). http://www.igtf.net United States General Accounting Office, Information Security Risk Assessment Practices of Leading Organizations, 1999. United States Sentencing Commission, Guidelines Manual vCloud API - http://www.vmware.com/solutions/cloud-computing/vcloud-api.html Where Were Headed: New Developments and Trends in the Law of Information Security, Thomas J. Smedinghoff, Privacy and Data Security Law Journal, January 2007, pps. 103-138 Windows Azure SDK, http://msdn.microsoft.com/en-us/library/dd179367.aspx Windows Cardspace - http://msdn.microsoft.com/en-us/library/aa480189.aspx WS-Federation : http://docs.oasis-open.org/wsfed/federation/v1.2/os/ws-federation-1.2-specos.html
81