Cloud Security Alliance

Guia de Segurana
para
reas Crticas Focado

em
Computao em Nuvem V2.1
Preparado por
Cloud Security Alliance

Dezembro 2009
Traduzido por
Cloud Security Alliance Brazilian Chapter

Junho 2010
Guia de Segurana para reas Crticas Focado em Computao em Nuvem V2.1
Introduo
O guia aqui fornecido a segunda verso do documento da Cloud Security Alliance, Guia de Segurana para reas Crticas Focado em Computao em Nuvem (Security Guidance for Critical Areas of Focus in Cloud Computing), o qual foi originalmente lanado em Abril de 2009. Os locais de armazenamento para estes documentos so: http://www.cloudsecurityalliance.org/guidance/csaguide.v2.1.pdf (Verso em ingls deste documento) http://www.cloudsecurityalliance.org/guidance/csaguide.v1.0.pdf (Verso 1) Partindo da primeira verso do nosso guia, foi tomada a deciso de separar o guia bsico dos domnios principais de pesquisa. Cada domnio de pesquisa est sendo lanado em seu prprio white paper. Estes white papers e uas agendasde lanamento esto hospedadas em: http://www.cloudsecurityalliance.org/guidance/domains/ Em outra mudana da nossa primeira verso, o Domnio 3: Legislao e o Domnio 4: Eletronic Discovery foram combinados em um nico. Adicionalmente, o Domnio 6: Gerenciamento do Ciclo de Vida da Informao e o Domnio 14: Armazenamento foram combinados em um nico domnio, renomeado para Gerenciamento do Ciclo de Vida de Dados. Isto causou uma reordenao de domnios (13 na nova verso). 2009 Cloud Security Alliance. Todos os direitos reservados. Voc pode baixar, armazenar, exibir no seu computador, visualizar, imprimir e referenciar ao Guia da Cloud Security Alliance em www.cloudsecurityalliance.org/guidance/csaguide.v2.1.pdf desde que: (a) o guia seja usado exclusivamente para fim pessoal e no comercial; (b) o guia no seja modificado ou alterado de qualquer maneira; (c) o guia no seja redistribudo; e (d) a marca registrada, copyright ou outros avisos no sejam removidos. Voc pode citar partes do guia conforme permitido pela Fair Use provisions of the United States Copyright Act, desde que voc atribua ao Guia da Cloud Security Alliance Verso 2.1 (2009).
Copyright 2009 Cloud Security Alliance
Guia de Segurana para reas Crticas Focado em Computao em Nuvem V2.1
Sumrio
Introduo ..................................................................................................................... 3 Prefcio .......................................................................................................................... 5 Carta dos Editores ......................................................................................................... 9 Nota Editorial Sobre Risco: Decidindo O Que, Quando e Como Mover Para a Nuvem .......................................................................................................................... 11 Seo I. Arquitetura da Nuvem .................................................................................. 14 Domnio 1: Framework da Arquitetura de Computao em Nuvem ........................... 15 Seo II. Governana na Nuvem................................................................................. 33 Domnio 2: Governana e Gesto de Risco Corporativo............................................. 34 Domnio 3: Aspectos Legais e Electronic Discovery .................................................. 39 Domnio 4: Conformidade e Auditoria ....................................................................... 41 Domnio 5: Gerenciamento do Ciclo de Vida das Informaes .................................. 44 Domnio 6: Portabilidade e Interoperabilidade ........................................................... 50 Seo III. Operando na Nuvem................................................................................... 53 Domnio 7: Segurana Tradicional, Continuidade de Negcios e Recuperao de Desastres ................................................................................................................... 54 Domnio 8: Operaes e Data center ......................................................................... 56 Domnio 9: Resposta a Incidente, Notificao e Remediao ..................................... 59 Domnio 10: Segurana de Aplicaes ....................................................................... 62 Domnio 11: Criptografia e Gerenciamento de Chaves............................................... 65 Domnio 12: Gerenciamento de Identidade e Acesso. ................................................ 68 Domnio 13 - Virtualizao ....................................................................................... 73 Referencias .................................................................................................................. 75
Prefcio
Bem vindo segunda verso do Guia de Segurana para reas Critcas Focado em Computao em Nuvem da Cloud Security Alliance. Como a marcha da Cloud Security Alliance continua, temos novas oportunidades e novos desafios de segurana. Ns humildemente esperamos fornecer a vocs instrues e inspirao para suportar as necessidades do seu negcio enquanto gerenciam novos riscos. Embora a Cloud Security Alliance seja mais conhecida por este guia, ao longo dos prximos meses voc ver uma ampla variedade de atividades, inclundo captulos internacionais, parcerias, novas pesquisas e atividades orientadas a promover nossa misso. Voc pode acompanhar nossas atividades em www.cloudsecurityalliance.org. O caminho para proteger a Computao em Nuvem de fato longo e exige a participao de um amplo conjunto de interessados e uma base global. Entretanto, devemos orgulhosamente reconhecer o progresso que estamos vendo: novas solues de segurana na nuvem esto aparecendo regularmente, organizaes esto utilizando nosso guia para contratar provedores de servios de nuvem e uma discusso saudvel sobre conformidade e questes de confiana surgiu pelo mundo. A vitria mais importante que conquistamos que profissionais de segurana esto vigorosamente engajados em proteger o futuro, mais do que simplesmente proteger o presente. Por favor, continue engajado neste assunto, trabalhando conosco para completarmos essa importante misso.
Atenciosamente,
Jerry Archer Alan Boehme Dave Cullinane Paul Kurtz Nils Puhlmann Jim Reavis
Diretoria Cloud Security Alliance
Agradecimentos
Editores Glenn Brunette Colaboradores Adrian Seccombe Alex Hutton Alexander Meisel Alexander Windel Anish Mohammed Anthony Licciardi Anton Chuvakin Aradhna Chetal Arthur J. Hedge III Beau Monday Beth Cohen Bikram Barman Brian OHiggins Carlo Espiritu Christofer Hoff Colin Watson David Jackson David Lingenfelter David Mortman David Sherry David Tyson Dennis Hurst Don Blumenthal Dov Yoran Erick Dahan Erik Peterson Ernie Hayden Francoise Gilbert Geir Arild Engh-Hellesvik Georg Hess Gerhard Eschelbeck Girish Bhat Glenn Brunette Greg Kane Greg Tipps Hadass Harel James Tiller Jean Pawluk Jeff Reich Jeff Spivey Copyright 2009 Cloud Security Alliance Rich Mogull
Jeffrey Ritter Jens Laundrup Jesus Luna Garcia Jim Arlen Jim Hietala Joe Cupano Joe McDonald Joe Stein Joe Wallace Joel Weise John Arnold Jon Callas Joseph Stein Justin Foster Kathleen Lossau Karen Worstell Lee Newcombe Luis Morales M S Prasad Michael Johnson Michael Reiter Michael Sutton Mike Kavis Nadeem Bukhari Pam Fusco Patrick Sullivan Peter Gregory Peter McLaughlin Philip Cox Ralph Broom Randolph Barr Rich Mogull Richard Austin Richard Zhao Sarabjeet Chugh Scott Giordano Scott Matsumoto Scott Morrison Sean Catlett Sergio Loureiro 6
Shail Khiyara Shawn Chaput Sitaraman Lakshminarayanan Srijith K. Nair Subra Kumaraswamy Tajeshwar Singh Tanya Forsheit
Vern Williams Warren Axelrod Wayne Pauley Werner Streitberger Wing Ko Yvonne Wilson
Agradecimentos da verso Brasileira

Diretoria Cloud Security Alliance Brazilian Chapter Leonardo Goldim Jordan M. Bonagura Anchises Moraes Olympio Renn Ribeiro Jr Jaime Orts Y Lugo Editores Hernan Armbruster Thiago Bordini Colaboradores Alessandro Trombini Alexandre Pupo Anchises Moraes Denyson Machado Dino Amaral Eder Alvares Pereira de Souza Filipe Villar Gabriel Negreira Barbosa Gilberto Sudr Guilherme Bitencourt Guilherme Ostrock Hernan Armbruster Jaime Orts Y Lugo Jimmy Cury Jordan M. Bonagura Julio Graziano Pontes
Leonardo Goldim Lus Felipe Fres Santos Marcelo Carvalho Marcelo Pinheiro Masaishi Yoshikawa Miguel Macedo Milton Ferreira Nelson Novaes Neto Olympio Renn Ribeiro Jr Rafael B. Brinhosa Raphael Sanches Reginaldo Sarraf Ricardo Makino Roney Mdice Ulinton Santos
Carta dos Editores

difcil de acreditar que h curtos sete meses, ns juntamos um grupo diversificado de profissionais de todos os cantos do setor de tecnologia para publicar o primeiro Guia de Segurana para reas Crticas em Computao em Nuvem. Desde seu lanamento, essa publicao tem excedido nossas expectativas continuamente ao ajudar organizaes ao redor do mundo na tomada de deciso quanto a se, quando e como elas devem adotar os servios e a tecnologia de Computao em Nuvem. Mas ao longo destes sete meses nosso conhecimento e a tecnologia de Computao em Nuvem tm evoludo em um grau surpreendente. Essa segunda verso tem o objetivo de fornecer novos conhecimentos e uma maior profundidade para apoiar essas decises desafiadoras. Adotar Computao em Nuvem uma deciso complexa envolvendo inmeros fatores. Nossa expectativa que o guia contido neste trabalho ajude voc a entender melhor quais perguntas fazer, as melhores prticas recomendadas e as armadilhas a serem evitadas. Atravs do nosso foco nas questes centrais da segurana em Computao em Nuvem, ns tentamos trazer uma maior transparncia para um panorama complicado, que frequentemente preenchido com informaes incompletas. Nosso foco nos 15 domnios originais (agora consolidados em 13) serve para especificar e contextualizar a discusso sobre segurana em Computao em Nuvem: habilitandonos a ir alm das generalizaes brutas e entregar recomendaes mais objetivas e perspicazes. Em nossa jornada, temos sido procurados por uma crescente lista de organizaes do setor, corporaes e profissionais que acreditam na nossa misso de desenvolver e promover as melhores prticas para garantir a segurana na Computao em Nuvem. Suas perspectivas e conhecimentos tem sido essenciais na criao de um trabalho sensato e imparcial que continua servindo como uma excelente base sobre a qual podemos continuar trabalhando. Computao em Nuvem ainda um panorama em rpida evoluo, que nos obriga a permanecer atualizados ou ficamos para trs. Nesta publicao da segunda verso do nosso guia, ns partimos da experincia e especializao coletiva da nossa grande e diversificada comunidade de voluntrios para criar um trabalho mais completo com maiores detalhes e preciso. Ainda assim, ns no devemos estar satisfeitos. Como profissionais de segurana tem feito por anos, ns devemos continuar a evoluir nossos processos, mtodos e tcnicas luz das oportunidades que a Computao em Nuvem trs para nosso setor. Essa evoluo essencial para nosso sucesso a longo prazo conforme encontramos novos modos para aperfeioar a eficcia e eficincia da nossa capacidade de execuo de monitoramento de segurana. Computao em nuvem no necessariamente mais ou menos segura que o seu ambiente atual. Assim como qualquer nova tecnologia, ela cria novos riscos e novas oportunidades. Em alguns casos, migrar para nuvem prev uma oportunidade de reestruturas aplicaes antigas e infraestrutura para adequar ou exceder requisitos modernos de segurana. s vezes o risco de mover dados confidenciais e aplicaes para uma infraestrutura emergente pode estar alm da sua tolerncia. Nosso objetivo neste guia no dizer exatamente o que, onde ou como voc deve migrar para nuvem, mas fornecer a voc recomendaes prticas e questes bsicas para fazer uma migrao mais segura possvel, em seus termos. Finalmente, em nome da Cloud Security Alliance e do Editorial Working Group, ns gostaramos de agradecer a cada voluntrio por todo seu tempo e esforo que foi colocado no desenvolvimento deste novo documento. Estvamos sempre insipirados pela dedicao das equipes em ampliar e aperfeioar suas respectivas reas e acreditamos que seus esforos
adicionaram um valor significativo a este trabalho. Este documento no seria o que sem suas contribuies. Como sempre, estamos ansiosos para ouvir seu feedback sobre essa atualizao do guia. Se voc achou este guia til ou gostaria de ver ele melhorado, por favor, considere associar-se a Cloud Security Alliance como um membro ou colaborador.
Glenn Brunette Rich Mogull Editores
10
Nota Editorial Sobre Risco: Decidindo O Que, Quando e Como Mover Para a Nuvem
Ao longo deste guia ns fazemos extensas recomendaes na reduo do risco quando voc adota Computao em Nuvem, mas nem todas as recomendaes so necessrias ou realistas para todos os cenrios. Como compilamos informaes de diferentes grupos de trabalhos durante o processo de edio, rapidamente percebemos que simplesmente no havia espao suficiente para fornecer recomendaes completamente diferenciadas em todos os cenrios possveis de risco. Assim como uma aplicao crtica pode ser to importante para migrar para um provedor de nuvem pblica, pode ter pouca ou nenhuma razo para aplicar controles de segurana ao se migrar dados de baixo valor para um armazenamento baseado na nuvem. Com tantas opes diferentes de implantao de nuvem incluindo o modelo de servio SPI (Software as a Service, Platform as a Service ou Infrastructure as a Service, explicados com maiores detalhes no Domnio 1), implantaes pblicas vs privadas, hospedagem interna vs externa e vrias permutaes hbridas nenhuma lista de controles de segurana pode cobrir todas as cirscunstncias. Como em qualquer rea da segurana, organizaes devem adotar uma abordagem baseada em riscos para migrar para nuvem e selecionar as opes de segurana. A seguir est um framework simples para ajudar a avaliar inicialmente os riscos e informar as decises de segurana. Este processo no um framework completo de avaliao de riscos, nem uma metodologia para determinar todos os requisitos de segurana. um mtodo rpido para avaliar sua tolerncia em mover um ativo para vrios modelos de Computao em Nuvem.
Identificar o Ativo Para Implantao na Nuvem

Simplesmente, os ativos suportados pela nuvem se dividem em duas categorias: 1. 2. Dados Aplicaes/Funes/Processamento
Estamos movendo informaes para nuvem ou operaes/processamento (de funes parciais ou at aplicaes completas). Com a Computao em Nuvem nossos dados e aplicaes no precisam estar no mesmo local e podemos at mudar apenas partes de funes para a nuvem. Por exemplo, podemos hospedar nossa aplicao e dados no nosso prprio data center, enquanto ainda terceirizamos uma parte de sua funcionalidade para a nuvem atravs do modelo Platform as a Service. O primeiro passo ao avaliar um risco na nuvem determinar exatamente que dado ou funo est sendo considerado mover para a nuvem. Isto deve incluir potenciais utilizaes do ativo uma vez que este seja migrado para a nuvem para considerar o aumento do escopo. Volumes de dados e de transaes so frequentemente maiores que o esperado.
Avalie o Ativo
O prximo passo determinar qual importncia do dado ou funo para a organizao. Voc no precisa realizar uma avaliao detalhada a menos que sua organizao possua um processo para
11
isso, mas voc precisa de, pelo menos, uma avaliao do quo sensvel o ativo e do quo importante a aplicao/funo/processo . Para cada ativo, faa as perguntas abaixo: 1. Como poderamos ser prejudicados se o ativo se tornou amplamente pblico e distribudo? 2. Como poderamos ser prejudicados se um funcionrio do provedor de servio de nuvem acessou o ativo? 3. Como poderamos ser prejudicados se o processo ou funo foi manipulado por terceiros? 4. Como poderamos ser prejudicados se o processo ou funo falhar ao fornecer os resultados esperados? 5. Como poderamos ser prejudicados se a informao/dado for alterada inesperadamente? 6. Como poderamos ser prejudicados se o ativo estiver indisponvel por um perodo de tempo? Essecialmente estamos analisando os requisitos de confidencialidade, integridade e disponibilidade para o ativo e como estes so afetados se manuseados na nuvem. muito similar a analisar um projeto de terceirizao, exceto que com Computao em Nuvem temos uma gama maior de opes de implantao, inclundo modelos internos.
Mapear o Ativo ao Modelo de Implantao em Potencial

Agora ns devemos entender a importncia do ativo. Nosso prximo passo determinar qual modelo de implantao ser mais confortvel adotar. Antes de comearmos a buscar por potenciais provedores, ns devemos saber se ns podemos aceitar os riscos implcitos aos vrios modelos (privado, pblico, comunitrio ou hibrido) e aos modos de hospedagem (interno, externo ou combinado). Para cada ativo, determine se voc est disposto a aceitar as seguintes opes: 1. Pblico. 2. Privado, interno/dentro da organizao. 3. Privado, externo (incluindo infraestrutura dedicada ou compartilhada). 4. Comunitrio, levando em conta o local da hospedagem, provedor de servio em potencial e identificar outros membros da comunidade. 5. Hibrido. Para avaliar efetivamente o potencial de implantao hibrida, voc deve ter em mente pelo menos uma estrutura aproximada de onde os componentes, funes e dados sero hospedados. Neste estgio voc deve ter uma boa idia do seu nvel de conforto na transio para a nuvem e qual modelo e local de implantao adequados para seus requisitos de segurana e riscos.
Avalie Potenciais Modelos de Servios na Nuvem e Provedores

Neste passo o foco no grau de controle que voc ter em cada camada de SPI para implementar qualquer gerenciamento de riscos necessrio. Se voc estiver avaliando uma oferta especfica, neste ponto voc pode mudar para uma avaliao de riscos completa. Seu foco ser no nvel de controle que voc tem que implementar para mitigar os riscos nas diferentes camadas de SPI. Se voc j possui requisitos especificos (ex.: para manipulao de dados regulamentados) voc pode incluir nesta avaliao.
12
Esboar o Potencial Fluxo de Dados

Se voc est analisando uma opo especfica de implementao, mapeie o fluxo de dados entre sua organizao, o servio de nuvem e qualquer cliente/outros pontos de acesso. Enquanto a maioria destes passos for de alto nvel, antes de tomar a deciso final absolutamente necessrio entender se e como os dados podem se mover para dentro e fora da nuvem. Se voc ainda tem que decidir em uma oferta em especial, voc vai querer esboar um rascunho do fluxo de dados para qualquer opo da sua lista de aceitao. Isto para garantir que quando voc tomar sua deciso final, voc ser capaz de identificar pontos de exposio aos riscos.
Concluses
Agora voc deve entender a importncia do que voc est considerando mover para a nuvem, sua tolerncia ao risco (pelo menos em alto nvel) e que combinaes de modelos de implantaes e servios so aceitveis. Voc tambm ter uma idia aproximada dos potenciais pontos de exposio das informaes e operaes sensveis. Este conjunto deve dar a voc contexto suficiente para avaliar qualquer outro controle de segurana neste guia. Para ativos menos valiosos voc no precisa ter o mesmo nvel de controles de segurana e pode pular muitas das recomendaes como inspees locais, facilidade de descoberta e esquemas complexos de criptografia. Um ativo valioso e regulamentado implicar em requisitos de auditoria e reteno de dados. Para outros ativos valiosos e no sujeitos a restries de regulamentaes, voc pode focar mais em controles tcnicos de segurana. Devido ao nosso espao limitado, bem como a profundidade a quantidade de material para cobrir, este documento contm listas extensivas de recomendaes de segurana. Nem todas as implantaes de nuvem precisam de todos os controles de risco e segurana possveis. Empregando um pouco de tempo antecipadamente em uma avaliao da sua tolerncia ao risco e potenciais exposies proporcionar o contexto que voc precisa para escolher a melhor opo para sua organizao e implementao. Colaboradores da Verso Brasileira: Alexandre Pupo, Leonardo Goldim
13
Seo I. Arquitetura da Nuvem
14
Domnio 1: Framework da Arquitetura de Computao em Nuvem

Este domnio, o Framework da Arquitetura de Computao em Nuvem, descreve um framework conceitual para o resto do guia da Cloud Security Alliance. O contedo deste domnio foca na descrio de Computao em Nuvem, que especificamente adaptada para a perspectiva nica dos profissionais de segurana e de redes. As prximas trs sees definem esta perspectiva em termos de: A terminologia usada por todo o guia, para fornecer um vocabulrio consistente. Os requisitos de arquitetura e desafios para proteger as aplicaes e servios em nuvem. Um modelo referencial que descreve a taxonomia dos servios e arquiteturas em nuvem.
A seo final deste domnio fornece uma introduo resumida para cada um dos demais domnios do guia. Entender o framework arquitetnico descrito neste domnio um primeiro passo importante na compreenso do restante do guia da Cloud Security Alliance. O framework define muito dos conceitos e termos usados por todos os outros domnios.
O que Computao em Nuvem?

Computao em nuvem (Nuvem) um termo em evoluo que descreve o desenvolvimento de muitas das tecnologias e abordagens existentes em computao para algo distinto. A nuvem separa as aplicaes e os recursos de informao de sua infraestrutura bsica, e os mecanismos utilizados para entreg-los. A nuvem reala a colaborao, agilidade, escalabilidade e disponibilidade, e oferece o potencial para reduo de custos atravs de computao eficiente e otimizada. Mais especificamente, a nuvem descreve o uso de uma coleo de servios, aplicaes, informao e infraestrutura composta por pools de recursos computacionais, de rede, de informao e de armazenamento. Estes componentes podem ser rapidamente organizados, provisionados, implementados, desativados, e escalados para cima ou para baixo, provendo um modelo de alocao e consumo baseado na demanda de recursos. Sob a perspectiva da arquitetura, h muita confuso em torno de como a nuvem tanto similar e diferente dos modelos computacionais existentes, e como estas similaridades e diferenas impactam nas abordagens organizacionais, operacionais, e tecnolgicas para as prticas de segurana da informao e de redes. Existem muitas definies atualmente que tentam enderear a nuvem da perspectiva de acadmicos, arquitetos, engenheiros, desenvolvedores, gerentes e consumidores. Este documento foca na definio que especificamente desenhada para a perspectiva nica dos profissionais de segurana de TI (Tecnologia da Infomao) e redes. As chaves para entender como a arquitetura da nuvem impacta a arquitetura de segurana so baseados em uma nomenclatura comum e concisa, associada com uma taxonomia consistente de ofertas de como os servios e arquiteturas de servios na nuvem podem ser interpretadas, mapeadas para um modelo de controles compensatrios de segurana e operacionais, frameworks de anlise e gerenciamento de risco, e de acordo com padres de conformidade.
15
O que compreende a Computao em Nuvem?

A verso anterior do guia da Cloud Security Alliance utilizava definies que foram escritas antes da publicao de trabalho dos cientistas do U.S. National Institute of Standards and Technology (NIST) e seus esforos em definir Computao em Nuvem. A publicao do NIST geralmente bem aceita, e ns a escolhemos para estarmos alinhados com a definio de trabalho do NIST para Computao em Nuvem (verso 15 no momento em que este texto foi criado) trazendo assim coerncia e consenso no uso de uma linguagem comum, de forma que podemos focar em casos de uso e no em aspectos semnticos. importante notar que este guia tem a inteno de ser usado amplamente e aplicvel para organizaes globalmente. Enquanto o NIST uma entidade governamental americana, a seleo deste modelo de referncia no deveria ser interpretada de forma a sugerir a excluso de outros pontos de vista ou de outras regies geogrficas. O NIST define Computao em Nuvem descrevendo cinco caractersticas essenciais, trs modelos de servio e quatro modelos de implementao. Eles esto sumarizados visualmente na figura 1 e explicados em detalhes a seguir.
Figura 1 Modelo Visual de Definio de Computao em Nuvem do NIST
16
Caractersticas Essenciais de Computao em Nuvem

Os servios na nuvem apresentam cinco caractersticas essenciais que demonstram suas relaes e diferenas das abordagens tradicionais de computao: Auto-atendimento sob demanda. Um consumidor pode unilateralmente provisionar capacidades computacionais como tempo de servidor e armazenamento de rede automaticamente conforme necessrio, sem requerer interao humana com o provedor de servios. Amplo acesso a rede. Capacidades esto disponveis na rede e acessadas atravs de mecanismos padres que promovem o uso por plataformas heterogneas de clientes leves (thin clients) ou no (por exemplo, telefones celulares, laptops, e PDAs) assim como outros servios de software tradicionais ou baseados em nuvem. Pool de Recursos. Os recursos de computao do provedor esto reunidos para servir a mltiplos consumidores usando um modelo multilocao, com diferenas fsicas e recursos virtuais dinamicamente atribudos e retribudos de acordo com a demanda do consumidor. Existe um grau de independncia de localizao nisto que o consumidor geralmente no tem controle ou conhecimento sobre a localizao exata dos recursos providos, mas pode ser capaz de especificar a localizao em um nvel mais alto de abstrao (por exemplo, pas, estado ou Data Center). Exemplos de recursos incluem armazenamento, processamento, memria, largura de banda, e mquinas virtuais. At nuvens privadas tendem a reunir recursos entre diferentes partes da mesma organizao. Elasticidade Rpida. Capacidades podem ser rapidamente e elasticamente provisionadas em alguns casos automaticamente para rapidamente escalar, disponibilizar e escalar de volta. Para o consumidor, as capacidades disponveis para o provisionamento geralmente parecem ser ilimitadas e podem ser contratadas em qualquer quantidade e a qualquer hora. Servios mensurveis. Sistemas em Nuvem automaticamente controlam e otimizam o uso de recursos alavancando a capacidade de mensurar em algum nvel de abstrao apropriado para o tipo de servio (por exemplo. armazenamento, processamento, largura de banda ou contas de usurio ativas). O uso de recursos pode ser monitorado, controlado e relatado provendo transparncia para ambos o provedor e o consumidor do servio.
importante reconhecer que os servios em nuvem so geralmente, mas nem sempre, utilizados em conjunto com, e habilitado por tecnologias de virtualizao. No existe requisito, no entanto, que relaciona a abstrao de recursos com as tecnologias de virtualizao e no caso de muitas ofertas, a virtualizao por ambientes de sistemas operacionais ou hypervisors no so utilizadas. Alm do mais, deveria ser notado que a caracterstica de multilocatrio no considerada essencial pelo NIST, mas geralmente discutido como se fosse. Favor se referir seo sobre multilocatrio abaixo, apresentada aps a descrio de implantao do modelo em nuvem, para maiores detalhes.
17
Modelos de Servios de Nuvem

A entrega de servios de nuvem dividida entre trs modelos de arquitetura e vrias combinaes derivadas. As trs classificaes fundamentais so geralmente referidas como Modelo SPI, onde SPI significa Software, Plataforma e Infraestrutura (como um Servio), respectivamente definidos, portanto como: Software em Nuvem como um Servio (SaaS). A capacidade oferecida ao consumidor consiste em utilizar as aplicaes do provedor rodando em uma infraestrutura em nuvem. As aplicaes so acessveis por vrios dispositivos atravs de uma interface simples de cliente como um browser web (exemplo: webmail). O consumidor no gerencia ou controla a infraestrutura adjacente na nuvem, incluindo rede, servidores, sistemas operacionais, armazenamento, ou nem mesmo as capacidades individuais da aplicao, com a possvel exceo de parmetros limitados de configurao da aplicao especficos para os usurios. Plataforma em Nuvem como um Servio (PaaS). A capacidade oferecida ao consumidor para implementar na infraestrutura em nuvem criada para o usurio ou em aplicaes adquiridas usando linguagens de programao e ferramentas suportadas pelo provedor. O consumidor no gerencia ou controla a infraestrutura adjacente na nuvem, incluindo rede, servidores, sistemas operacionais, ou armazenamento, mas tem controle sobre as aplicaes implementadas e possivelmente configuraes da aplicao referentes ao ambiente do servidor. Infraestrutura em Nuvem como um Servio (IaaS). A capacidade oferecida ao consumidor de provisionar processamento, armazenamento, redes e outros recursos computacionais fundamentais onde o consumidor est apto a implementar e rodar os softwares que desejar, o que pode incluir sistemas operacionais e aplicaes. O consumidor no gerencia ou controla as camadas adjacentes da infraestrutura na nuvem, mas tem controle sobre o sistema operacional, armazenamento, aplicaes implementadas e possivelmente controle limitado de componentes especficos de rede (exemplo: firewalls no servidor).
O modelo NIST e este documento no endeream diretamente as definies de modelos de servios emergentes associados com os agentes de servio na nuvem, estes provedores que oferecem intermediao, monitorao, transformao/portabilidade, governana, provisionamento e servios de integrao e negociam o relacionamento entre vrios provedores de nuvem e os consumidores. No curto prazo, como a inovao estimula o desenvolvimento de solues rpidas, consumidores e provedores de servios de nuvem tero a sua disposio vrios mtodos de interao com servios de nuvem na forma de APIs de desenvolvimento e interfaces e ento os agentes de servios de nuvem iro surgir como um importante componente em todo o ecossistema na nuvem. Agentes de servios de nuvem iro abstrair os possveis recursos incompatveis e as interfaces no lugar dos consumidores, para prover intermediao antes do surgimento de normas em comum, abertas e de mtodos padronizados para solucionar o problema a longo prazo atravs de capacidades semnticas que daro fluidez e agilidade ao consumidor, estando este habilitado a obter vantagem do modelo que melhor se adqua s suas necessidades em particular.
18
tambm importante notar o surgimento de muitos esforos centralizados ao redor do desenvolvimento de APIs ao mesmo tempo abertas e proprietrias que busquem permitir recursos como o gerenciamento, segurana e interoperabilidade para a nuvem. Alguns desses esforos incluem o grupo de trabalho Open Cloud Computing Interface Working Group, a API da Amazon EC2, a API vCloud da Vmware, submetida ao DMTF (Distributed Management Task Force), a API Open Cloud da Sun, a API da Rackspace e a API da GoGrid, para citar apenas algumas. APIs abertas e padronizadas vo ter um papel fundamental na portabilidade e interoperabilidade da nuvem, assim como formatos genricos em comum como o Open Virtualization Format (OVF) da DMTF. Enquanto h muitos grupos de trabalho, rascunhos e especificaes publicadas sob considerao neste momento natural que a consolidao ter efeito assim que as foras de mercado, as necessidades dos consumidores e a economia direcionarem o cenrio para um conjunto mais gerencivel e interopervel de fornecedores.
Modelos de Implantao de Nuvem

Independente do modelo de servio utilizado (SaaS, PaaS ou IaaS) existem quatro modelos de implantao de servios de nuvem, com variaes para atender a requisitos especficos: Nuvem Pblica. A infraestrutura de nuvem disponibilizada ao pblico em geral ou a um grande grupo industrial e controlada por uma organizao que vende os servios de nuvem. Nuvem Privada. A infraestrutura da nuvem operada exclusivamente por uma nica organizao. Ela pode ser gerida pela organizao ou por terceiros, e pode existir no local ou fora do ambiente da empresa. Nuvem Comunitria. A infraestrutura da nuvem compartilhada por diversas organizaes e suporta uma determinada comunidade que partilha interesses (por exemplo, a misso, os requisitos de segurana, poltica ou consideraes de conformidade). Ela pode ser administrada pelas organizaes ou por um terceiro e pode existir no local ou fora do ambiente da empresa. Nuvem Hbrida. A infraestrutura da nuvem uma composio de duas ou mais nuvens (privada, comunitria ou pblica) que permanecem como entidades nicas, mas esto unidas pela tecnologia padronizada ou proprietria que permite a portabilidade de dados e aplicativos (por exemplo, cloud bursting para balanceamento de carga entre as nuvens).
importante observar que existem modelos derivados de implementao de uma nuvem surgindo, devido ao amadurecimento das ofertas de mercado e da demanda dos clientes. Um exemplo tpico so as nuvens virtuais privadas (virtual private clouds) uma maneira de utilizar a infraestrutura de nuvem pblica de forma privada ou semiprivada e interligar estes recursos aos recursos internos do data center do consumidor, feita geralmente atravs de conectividade via redes privadas virtuais (virtual private network ou VPN). As caractersticas da arquitetura utilizada ao desenhar as solues tero implicao clara na futura flexibilidade, segurana e mobilidade da soluo final, assim como da sua capacidade de colaborao. Como regra geral, as solues que estabelecem permetros so menos eficazes do
19
que as solues sem permetros definidos em cada um dos quatro modelos. Tambm deve ser feita uma cuidadosa considerao escolha entre as solues proprietrias ou abertas pelos mesmos motivos.
Multilocatrio
Embora esta no seja uma caracterstica essencial da Computao em Nuvem no modelo do NIST, a CSA identificou a multilocao como um elemento importante da nuvem. A multilocao de servios de nuvem implica na necessidade de forar a aplicao de polticas, segmentao, isolamento, governana, nveis de servio e modelos de cobrana retroativa/faturamento aplicados a diferentes grupos de consumidores. Os consumidores podero utilizar servios oferecidos por fornecedores de servios de nuvem pblica ou na verdade fazerem parte da mesma organizao, como no caso de unidades de negcios diferentes, em vez de diferentes entidades organizacionais, mas ainda assim iriam compartilhar a infraestrutura.
Figura 2 - Multilocatrio
Do ponto de vista de um provedor, a multilocao sugere uma abordagem de design e arquitetura que permita economia de escala, disponibilidade, gesto, segmentao, isolamento e eficincia operacional, aproveitando o compartilhamento da infraestrutura, dos dados, metadados, servios e das aplicaes atravs de muitos consumidores diferentes. A multilocao tambm pode ter definies diferentes, dependendo do modelo de servio de nuvem do provedor, na medida em que pode implicar na viabilidade das capacidades descritas acima nos nveis da infraestrutura, do banco de dados, ou da aplicao. Um exemplo seria a diferena entre a implantao de uma aplicao multilocao em SaaS e IaaS. Modelos de implantao de nuvem tm importncia diferenciada em multilocao. No entanto, mesmo no caso de uma nuvem privada, uma nica organizao pode ter um grande nmero de consultores e contratados terceirizados, bem como um desejo de um elevado grau de separao lgica entre as unidades de negcio. Assim, as preocupaes da multilocao devem ser sempre consideradas.
20
Modelos de Referncia de Nuvem

Entender as relaes e dependncias entre os modelos de Computao em Nuvem fundamental para compreender os riscos de segurana. IaaS o fundamento de todos os servios de nuvem, com o PaaS sendo construdo com base na IaaS, e SaaS por sua vez, sendo construdo baseado no PaaS, como descrito no diagrama do Modelo de Referncia de Nuvem. Desta forma, assim como as capacidades so herdadas, tambm so herdadas as questes de segurana da informao e o risco. importante notar que provedores comerciais de nuvem podem no se encaixar perfeitamente nos modelos de servios em camadas. No entanto, o modelo de referncia importante para estabelecer uma relao entre os servios do mundo real e o framework arquitetnico, bem como a compreenso dos recursos e servios que exigem anlise de segurana. A IaaS inclui todos os recursos da pilha de infraestrutura desde as instalaes at as plataformas de hardware que nela residem. Ela incorpora a capacidade de abstrair os recursos (ou no), bem como oferecer conectividade fsica e lgica a esses recursos. Finalmente, a IaaS fornece um conjunto de APIs que permitem a gesto e outras formas de interao com a infraestrutura por parte dos consumidores.
Figura 3 Modelo de Referncia de Nuvem
A PaaS trabalha em cima da IaaS e acrescenta uma camada adicional de integrao com frameworks de desenvolvimento de aplicativos, recursos de middleware e funes como banco de dados, mensagens e filas, o que permite aos desenvolvedores criarem aplicativos para a plataforma cujas linguagens de programao e ferramentas so suportadas pela pilha. O SaaS por sua vez, construdo sobre as pilhas IaaS e PaaS logo abaixo, e fornece um ambiente operacional autocontido usado para entregar todos os recursos do usurio, incluindo o contedo, a sua apresentao, a(s) aplicao(es) e as capacidades de gesto. Consequentemente deve ficar claro que existem importantes compensaes de cada modelo em termos das funcionalidades integradas, complexidade versus abertura (extensibilidade), e segurana. As compensaes entre os trs modelos de implantao da nuvem incluem: Geralmente, o SaaS oferece a funcionalidade mais integrada, construda diretamente baseada na oferta, com a menor extensibilidade do consumidor, e um nvel relativamente elevado de segurana integrada (pelo menos o fornecedor assume a responsabilidade pela segurana).
21
A PaaS visa permitir que os desenvolvedores criem seus prprios aplicativos em cima da plataforma. Como resultado, ela tende a ser mais extensvel que o SaaS, s custas de funcionalidades previamente disponibilizadas aos clientes. Esta troca se estende s caractersticas e capacidades de segurana, onde as capacidades embutidas so menos completas, mas h maior flexibilidade para adicionar uma a camada de segurana extra. A IaaS oferece pouca ou nenhuma caracterstica tpica de aplicaes, mas enorme extensibilidade. Isso geralmente significa menos recursos e funcionalidades integradas de segurana alm de proteger a prpria infraestrutura. Este modelo requer que os sistemas operacionais, aplicativos e o contedo possam ser gerenciados e protegidos pelo consumidor da nuvem.
Uma concluso fundamental sobre a arquitetura de segurana que quanto mais baixo na pilha o prestador de servios de nuvem parar, mais recursos de segurana e gesto os consumidores tero a responsabilidade de implementar e gerenciar por si prprios. No caso do SaaS, isso significa que os nveis de servio, segurana, governana, conformidade, e as expectativas de responsabilidade do prestador de servio esto estipuladas, gerenciadas e exigidas contratualmente. No caso de PaaS ou IaaS de responsabilidade dos administradores de sistema do cliente gerenciar eficazmente o mesmo, com alguma compensao esperada pelo fornecedor ao proteger a plataforma e componentes de infraestrutura subjacentes que garantam o bsico em termos de disponibilidade e segurana dos servios. Deve ficar claro em qualquer caso que se pode atribuir / transferir a responsabilidade, mas no necessariamente a responsabilidade final. Estreitando o escopo ou capacidades especficas bem como funcionalidades dentro de cada um dos modelos de ofertas de nuvem, ou empregando o agrupamento funcional dos servios e recursos entre eles, podemos produzir classificaes derivadas. Por exemplo, o armazenamento como um servio (Storage as a Service) uma sub-oferta especfica dentro da famlia do IaaS. Apesar de uma ampla reviso do crescente conjunto de solues de Computao em Nuvem estar fora do escopo deste documento, a taxotomia do OpenCrowd Cloud Solutions na figura abaixo fornece um excelente ponto de partida. A taxonomia OpenCrowd demonstra os crescentes grupos de solues disponveis hoje em cada um dos modelos previamente definidos. Note que o CSA no endossa especificamente nenhuma das solues ou as empresas exibidas abaixo, mas fornece o diagrama para demonstrar a diversidade de ofertas disponveis hoje.
22
Figura 4 - Taxonomia OpenCrowd
Para uma excelente viso geral dos muitos casos de uso da Computao em Nuvem, o Cloud Computing Use Case Group elaborou um trabalho colaborativo para descrever e definir os casos comuns e demonstrar os benefcios da nuvem, com o objetivo de ... reunir consumidores de nuvem e fornecedores de nuvem para definir os casos de uso frequentes para a Computao em Nuvem... e destacar os recursos e as necessidades que precisam ser padronizados em um ambiente de nuvem para garantir a interoperabilidade, facilidade de integrao e portabilidade.
Modelo de Referncia de Segurana em Nuvem

O modelo de referncia de segurana em nuvem aborda as relaes entre essas classes e as coloca no contexto das preocupaes e controles de segurana relevantes. Para organizaes e indivduos que tero contato com a Computao em Nuvem pela primeira vez, importante observar os pontos abaixo para evitar potenciais armadilhas e confuses: 1. A forma como os servios de nuvem so implantados frequentemente usada de maneira alternada com a idia de onde eles so fornecidos e isso pode levar a confuses. Ambientes pblicos ou privados de Computao em Nuvem, por exemplo, podem ser descritos como nuvens externas ou internas e isso pode no ser correto em todos os casos. 2. A maneira como os servios de nuvem so consumidos frequentemente descrita em relao ao permetro de gesto ou de segurana de uma organizao (geralmente definido pela presena de um firewall). Embora seja importante entender onde as fronteiras de
23
segurana deixam de existir em termos de Computao em Nuvem , a ideia de um permetro bem demarcado um conceito anacrnico. 3. A reperimetrizao e a eroso de fronteiras de confiana que j esto acontecendo nas corporaes so amplificadas e aceleradas pela Computao em Nuvem. Conectividade onipresente, a natureza amorfa das trocas de informaes e a ineficcia dos controles estticos de segurana que no conseguem tratar da natureza dinmica dos servios de nuvem, todos requerem novas formas de pensamento quando se considera a Computao em Nuvem. O frum de Jericho produziu uma quantidade considervel de material sobre a reperimetrizao das redes corporativas, incluindo muitos estudos de casos. As modalidades de implantao e consumo de nuvem devem ser pensadas no s no contexto do interno versus externo, como em relao localizao fsica dos ativos, recursos e informaes, mas tambm no contexto de quem so os seus consumidores e de quem o responsvel pela sua governana, segurana e conformidade com polticas e padres. Isto no sugerir que a localizao dentro ou fora da empresa de um ativo, um recurso ou uma informao no afete a condio de segurana e de risco de uma organizao porque elas so afetadas mas para ressaltar que esse risco tambm depende de: Os tipos de ativos, recursos e informaes sendo gerenciados Quem as gerencia e como as gerencia Quais controles esto selecionados e como eles esto integrados Questes de conformidade
Um ambiente LAMP implantado no AWS EC2 da Amazon, por exemplo, seria classificado como uma soluo pblica, fora do ambiente da empresa (off-premise) e IaaS gerenciada por terceiros, mesmo se as instncias, aplicaes e dados contidos dentro dela fossem gerenciados pelo consumidor ou por um terceirizado. Um ambiente de aplicao personalizado servindo mltiplas unidades de negcio, implantado no Eucalyptus sob o controle, o gerenciamento e o domnio da corporao poderia ser descrito como uma soluo SaaS privada, dentro da empresa (on-premise) e autogerenciada. Ambos os exemplos utilizam as capacidades de dimensionamento elstico e de autoatendimento da nuvem.
24
A tabela a seguir sumariza esses pontos:
Tabela Modelos de Implantao da Nuvem
Outra maneira de se visualizar as combinaes dos modelos de servios de Computao em Nuvem, modelos de implantao, de localizao fsica dos recursos e as atribuies de propriedade e gerenciamento, atravs do modelo Cloud Cube Model criado pelo Frum Jericho (www.jerichoforum.org), mostrado na figura abaixo:
Figura 5 Modelo Cloud Cube do Jericho
25
O Cloud Cube Model mostra as inmeras permutaes possveis nas ofertas de nuvem disponveis atualmente e apresenta quatro critrios/dimenses a fim de separar as formas de nuvem uma das outras e a maneira como so fornecidas, visando entender como a Computao em Nuvem afeta a forma de abordar a questo da segurana. O Cloud Cube Model tambm destaca os desafios em entender e mapear os modelos de nuvem para frameworks e padres de controle como a ISO/IEC 27002, que fornece uma srie de orientaes e princpios gerais para a iniciar, implementar, manter e melhorar o gerenciamento da segurana da informao dentro de uma organizao. A seo 6.2 da ISO/IEC 27002, sobre objetivos de controle para Parceiros Externos, declara: a segurana das informaes e das instalaes de processamento de informaes da organizao no deve ser reduzida em funo da introduo de produtos ou servios de parceiros externos... Da mesma forma, as diferenas nos mtodos e na responsabilidade por proteger os trs modelos de servio de nuvem significam que os clientes dos mesmos so confrontados com um esforo desafiador. A menos que os provedores de nuvem possam divulgar facilmente seus controles de segurana e o alcance da implementao dos mesmos para o cliente, e o cliente saiba quais controles so necessrios para manter a segurana de suas informaes, existe um enorme potencial para decises equivocadas e resultados negativos. Isto crtico. Primeiro classifica-se um servio de nuvem em comparao ao modelo de arquitetura de Computao em Nuvem. A partir disso, torna-se possvel mapear sua arquitetura de segurana, bem como os requisitos de negcios, de regulamentaes e outros requisitos de conformidade, como em um exerccio de anlise de gap (gap-analysis). O resultado determina o estado geral de segurana de um servio e como ele se relaciona com a garantia dos ativos e os requisitos de proteo. A figura abaixo mostra um exemplo de como o mapeamento de servio de Computao em Nuvem pode ser comparado com um catalogo de controles de compensao para determinar quais controles existem e quais no existem como os fornecidos pelo cliente, por um provedor de servios de nuvem, ou um terceiro. Isto pode, por sua vez, ser comparado com um framework de conformidade ou um conjunto de requisitos como o PCI DSS, conforme mostrado nesse exemplo.
26
Figura 6 Mapeando o Modelo de Nuvem para o Modelo de Controles de Segurana & Conformidade
Uma vez que a anlise de gap esteja completa, baseada nos requisitos de qualquer regulamentao ou pela exigncia de conformidade, torna-se muito mais fcil determinar o que precisa ser feito para que ela sirva de base para um framework de avaliao de riscos; isto, por sua vez, ajuda a determinar como os gaps e, em ltima anlise, os riscos devem ser tratados: aceitando-os, transferindo-os ou mitigando-os. importante notar que o uso de Computao em Nuvem como um modelo operacional no prev e nem previne a obteno de conformidade automaticamente. A habilidade para atender qualquer requisito um resultado direto dos modelos de servio e de implantao utilizados e do desenho, da implantao e do gerenciamento dos recursos definidos no escopo. Para uma excelente viso geral dos frameworks de controle que fornecem bons exemplos do framework genrico de controle mencionado acima, veja o conjunto de documentos sobre padres de arquitetura de segurana do Open Security Architecture Group, ou a verso 3 do catlogo de controles de segurana recomendados nmero 800-53 (Recommended Security Controls for Federal Information Systems and Organizations) do NIST, que sempre til e foi atualizado recentemente.
O que Segurana para Computao em Nuvem?

Para a maioria, controles de segurana de Computao em Nuvem no so diferentes dos controles de segurana para qualquer ambiente de TI. No entanto, em funo dos modelos de
27
servio de nuvem que so empregados, os modelos operacionais e as tecnologias usadas para habilitar tais servios, a Computao em Nuvem pode apresentar riscos diferentes para uma organizao quando comparada com as solues tradicionais de TI. A Computao em Nuvem envolve a lenta perda de controle ao mesmo tempo em que mantemos a responsabilidade, mesmo se a responsabilidade operacional recair sobre um ou mais terceiros. Uma postura de segurana da organizao caracterizada pela maturidade, eficcia e a plenitude dos controles de segurana implementados ajustados aos riscos. Esses controles so aplicados em uma ou mais camadas que vo desde as instalaes (segurana fsica), infraestrutura de rede (segurana da rede), at os sistemas de TI (segurana de sistemas), at a informao e as aplicaes (segurana de aplicaes). Alm disso, os controles so aplicados nos nveis das pessoas e dos processos, tal como a separao de funes e de gesto de mudanas, respectivamente. Conforme descrito anteriormente neste documento, as responsabilidades de segurana do provedor e do consumidor diferem muito entre os modelos de servios de nuvem. A oferta de infraestrutura como servio da Amazon, AWS EC2, por exemplo, inclui a responsabilidade do fornecedor pela segurana at o hypervisor, o que significa que pode incidir apenas sobre os controles de segurana como a segurana fsica, segurana ambiental e segurana da virtualizao. O consumidor, por sua vez, responsvel pelos controles de segurana que se relacionam com o sistema de TI (a instncia), incluindo o sistema operacional, aplicativos e dados. O contrrio verdadeiro para a oferta SaaS de gesto de recursos de clientes (customer resource management, ou CRM) da Salesforce.com. Como toda a pilha fornecida pela Salesforce.com, o provedor no apenas responsvel pelos controles de segurana fsica e ambiental, mas tambm deve abordar os controles de segurana na infraestrutura, nas aplicaes e nos dados. Isso alivia muito da responsabilidade direta do consumidor pela operao. Uma das atraes da Computao em Nuvem a eficincia de custos proporcionada pelas economias de escala, reutilizao e padronizao. Para viabilizar estas eficincias, os provedores de servio de nuvem tm que prestar servios que sejam flexveis o suficiente para atender a maior base de clientes possvel, maximizando o seu mercado-alvo. Infelizmente, integrar segurana nestas solues frequentemente percebido como torn-las mais rgidas. Essa rigidez se manifesta muitas vezes na incapacidade de ganhar a paridade na implantao de controles de segurana em ambientes de nuvem em comparao a TI tradicional. Isso decorre principalmente devido abstrao da infraestrutura e falta de visibilidade e capacidade para integrar muitos controles familiares de segurana, especialmente na camada de rede. A figura abaixo ilustra estas questes: em ambientes SaaS, os controles de segurana e de seus escopos so negociados em contratos de servios: os nveis de servio, privacidade e conformidade so todos assuntos a serem tratados legalmente em contratos. Em uma oferta IaaS, enquanto a responsabilidade de proteger a infraestrutura bsica e camadas de abstrao pertence ao provedor, o restante da pilha de responsabilidade do consumidor. PaaS oferece um equilbrio em algum lugar no meio, onde garantir a prpria plataforma cai sobre o provedor, mas a segurana das aplicaes desenvolvidas para a plataforma e a tarefa de desenvolv-las de forma segura pertencem ambas ao consumidor.
28
Figura 7 Como a Segurana Integrada
Entender o impacto dessas diferenas entre os modelos de servio e como eles so implementados fundamental para a gesto do posicionamento de uma organizao frente ao risco.
Alm da Arquitetura: As reas de Ateno Crtica

Os outros doze domnios, que incluem as demais reas de preocupao para a Computao em Nuvem destacadas pelo guia da CSA so ajustados para abordar tanto os pontos estratgicos e tticos crticos de segurana dentro de um ambiente em nuvem e, podem ser aplicados a qualquer combinao de servios e de modelos de implantao da nuvem. Os domnios so divididos em duas grandes categorias: governana e operaes. Os domnios da governana so amplos e endeream questes estratgicas e de poltica dentro de um ambiente de Computao em Nuvem, enquanto os domnios operacionais focam mais nas preocupaes tticas de segurana e sua implementao dentro da arquitetura. Domnios de Governana Domnio
O Guia trata de
A capacidade de uma organizao para governar e medir o risco empresarial introduzido pela Computao em Nuvem. tens como a precedncia legal em caso de violao de acordo, a capacidade de organizaes usurias para avaliar adequadamente o risco de um provedor de nuvem, a responsabilidade para proteger dados sensveis quando o usurio e o
Governana e Gesto de Riscos Corporativos
29
provedor podem falhar e, como as fronteiras internacionais podem afetar estas questes, so alguns dos itens discutidos. Problemas legais em potencial quando se utiliza Computao em Nuvem. Os assuntos abordados nesta seo incluem os requisitos de proteo da informao e de sistemas informticos, leis de divulgao de violaes de segurana, os requisitos regulatrios, requisitos de privacidade, as leis internacionais, etc. Manuteno e comprovao de conformidade quando se faz uso da Computao em Nuvem. Questes relativas avaliao da forma como a Computao em Nuvem afeta o cumprimento das polticas de segurana interna, bem como diversos requisitos de conformidade (regulatrios, legislativos e outros) so discutidos aqui. Este domnio inclui algumas orientaes de como provar a conformidade durante uma auditoria. Gerenciamento de dados que so colocados na nuvem. tens em torno da identificao e controle de dados na nuvem, bem como controles compensatrios que podem ser usados para lidar com a perda de controle fsico ao mover dados para a nuvem so discutidos aqui. Outros tens, como quem responsvel pela confidencialidade, integridade e disponibilidade dos dados so mencionados. A habilidade de mover dados / servios de um provedor para outro, ou lev-lo totalmente de volta para a empresa. Problemas de interoperabilidade entre os fornecedores tambm so discutidos.
Aspectos Legais e Electronic Discovery
Conformidade e Auditoria
Gesto do Ciclo de Vida da Informao
Portabilidade e Interoperabilidade
Domnios Operacionais Como a Computao em Nuvem afeta os processos e procedimentos operacionais atualmente usados para implementar a segurana, continuidade de negcios e recuperao de desastres. O foco discutir e Segurana Tradicional, Continuidade de analisar os possveis riscos da Computao em Negcios e Recuperao de Desastres Nuvem, na esperana de aumentar o dilogo e debate sobre a grande procura de melhores modelos de gesto de riscos corporativos. Alm disso, a seo aborda sobre como ajudar as pessoas a identificar onde a Computao em Nuvem pode ajudar a diminuir certos riscos de
30
segurana, ou implica em aumento dos riscos em outras reas. Como avaliar a arquitetura e a operao de um fornecedor de data center. Este captulo principalmente focado em ajudar os usurios a identificar caractersticas comuns de data centers que podem ser prejudiciais para os servios em andamento, bem como caractersticas que so fundamentais para a estabilidade a longo prazo. A correta e adequada deteco de incidentes, a resposta, notificao e correo. Pretende-se abordar itens que devem estar presentes tanto no nvel dos prestadores e dos usurios para permitir bom tratamento de incidentes e forenses computacional. Este domnio vai ajud-lo a compreender as complexidades que a nuvem traz para seu atual programa de gesto de incidentes. Protegendo o software aplicativo que est sendo executado ou sendo desenvolvido na nuvem. Isto inclui tens tais como, se apropriado migrar ou projetar um aplicativo para ser executado na nuvem, e em caso afirmativo, que tipo de plataforma em nuvem mais adequada (SaaS, PaaS ou IaaS). Algumas questes de segurana especficas relacionadas com a nuvem tambm so discutidas. Identificar o uso de criptografia e gesto de chaves escalvel. Esta seo no prescritiva, mas mais informativa em discutir por que eles so necessrios e identificar as questes que surgem na utilizao, tanto para proteger o acesso aos recursos, bem como para proteger os dados. Gerenciamento de identidades e alavancando os servios de diretrio para fornecer controle de acesso. O foco est em questes encontradas quando se estende a identidade de uma organizao para a nuvem. Esta seo fornece insights para avaliar a prontido da organizao para realizar a gesto da identidade e acesso (Identity and Access Management, ou IAM) baseados na nuvem. O uso da tecnologia de virtualizao em Computao em Nuvem. O domnio aborda tens tais como os riscos associados com
Operao do Data Center
Resposta a Incidentes, Notificao e Correo
Segurana de Aplicao
Gesto de Criptografia e de Chaves
Gesto da Identidade e do Acesso
Virtualizao
31
multilocao, o isolamento de VMs, a corresidncia de VMs, vulnerabilidades no hypervisor, etc. Este domnio foca nas questes da segurana em torno do sistema / hardware de virtualizao, ao invs de um levantamento mais geral de todas as formas de virtualizao.
Resumo
A chave para compreender como a arquitetura da nuvem impacta na arquitetura de segurana um vocabulrio comum e conciso, acompanhado de uma taxonomia consistente das ofertas atravs dos quais os servios em nuvem e as arquiteturas podem ser desconstrudos, mapeados para um modelo de controles de segurana e operacionais de compensao, frameworks de avaliao de risco e de gesto e, em seguida, para padres de conformidade. Entender como a arquitetura, tecnologia, processo e as necessidades de capital humano alteram ou permanecem os mesmos durante a implantao de servios de Computao em Nuvem fundamental. Sem uma compreenso clara e de alto nvel das implicaes na arquitetura, impossvel abordar racionalmente as questes mais detalhadas. Esta viso geral da arquitetura, juntamente com as doze outras reas de foco crtico, vai proporcionar ao leitor uma base slida para a avaliao, operacionalizao, gerenciamento e governana da segurana em ambientes de Computao em Nuvem. Colaboradores da Verso Original: Glenn Brunette, Phil Cox, Carlo Espiritu, Christofer Hoff, Mike Kavis, Sitaraman Lakshminarayanan, Kathleen Lossau, Erik Peterson, Scott Matsumoto, Adrian Seccombe, Vern Williams, Richard Zhou Colaboradores da Verso Brasileira: Alessandro Trombini, Alexandre Pupo, Anchises Moraes, Denylson Machado, Jaime Orts Y. Lugo, Lus Felipe Fres Santos, Milton Ferreira, Olympio Renn Ribeiro Jr
32
Seo II. Governana na Nuvem
33
Domnio 2: Governana e Gesto de Risco Corporativo

A governana e o gerenciamento de risco corporativo eficazes em ambientes de Computao em Nuvem vm dos processos de governana de segurana da informao bem definidos, como parte das determinaes gerais de governana corporativa da organizaosobre os cuidados especficos necessrios com os ativos. . Os processos de governana bem definidos devem resultar em programas de gerenciamento de segurana da informao que sejam escalonvies com o negcio, aplicveis em toda a organizao, mensurveis, sustentveis, defensveis, continuamente melhorados e com oramentos justificveis. As questes fundamentais da governana e da gesto de riscos corporativo em Computao em Nuvem referem-se identificao e implementao das estruturas organizacionais adequadas, processos e controles para manter a efetiva governana da segurana da informao, gesto de riscos e conformidade. As organizaes tambm devem garantir a um nvel razovel de segurana das informaes em toda a cadeia de fornecimento da informao, envolvendo fornecedores e clientes de servios de Computao em Nuvem e seus prestadores de servio, em qualquer modelo de implantao de nuvem.
Recomendaes de Governana
Uma parte da reduo de custos decorrente da adoo de Computao em Nuvem deve ser direcionada para o aumento dos controles dos recursos de segurana do provedor, aplicao de controles de segurana e avaliaes e auditorias detalhadas, para garantir que as exigncias de proteo de dados esto sendo continuamente verificadas.. Tanto os clientes quanto os fornecedores de servios de Computao em Nuvem devem desenvolver uma governana de segurana da informao robusta, independentemente do servio ou modelo de implantao adotado. A governana de segurana da informao deve ser uma colaborao entre clientes e fornecedores para alcanar os objetivos acordados, que apoiam a misso da empresa e programas de segurana da informao. O modelo de negcio pode ajustar os papis e responsabilidades colaborativamente na governana de segurana da informao e no gerenciamento de riscos (com base no respectivo mbito de controle para o usurio e prestador de servios), enquanto o modelo de implantao pode definir as responsabilidades e expectativas (com base na avaliao de risco). As organizaes clientes devem incluir a reviso de determinados processos e estruturas de governana de segurana da informao, bem como de controles de segurana especficos, como parte de seus cuidados na seleo de provedores de servio de nuvem. Os processos de governana de segurana e as atividades dos fornecedores devem ser avaliados sob sua capacidade de suportar os processos do cliente, bem como sua maturidade e coerncia com os processos de gesto de segurana de informaes. Os controles de segurana dos provedores de nuvem devem ser comprovadamente baseados no risco e claramente suportar estes processos de gesto. A estrutura e processos de governana colaborativa entre clientes e fornecedores devem ser identificadas como necessrias, tanto no mbito da concepo e desenvolvimento de prestao de servios, como avaliao de risco e de servios e protocolos de gesto de risco e, em seguida incorporado nos acordos de servio.
34
Departamentos de segurana devem ser envolvidos durante o estabelecimento de Acordos de Nvel de Servio (SLA) e obrigaes contratuais, para assegurar que os requisitos de segurana so contratualmente aplicveis. Mtricas e padres para medir o desempenho e eficcia do gerenciamento de segurana da informao devem ser estabelecidos previamente mudana para a Nuvem. Ao menos, as organizaes devem entender e documentar suas mtricas atuais e como elas mudam quando operaes so movidas para a Nuvem, onde um provedor pode usar diferentes (e potencialmente incompatveis) mtricas. Sempre que possvel, mtricas e padres de segurana (particularmente aquelas relacionadas a requisitos legais e de conformidade) devem ser includas em qualquer Acordo de Nvel de Servio (SLA) e contratos. Estas mtricas e padres devem ser documentadas e ser demonstrveis (auditveis).
Recomendaes para gerenciamento de riscos corporativos

Assim como em qualquer novo processo de negcios, importante seguir as melhores prticas de gerenciamento de riscos. As prticas devem ser proporcionais s especificaes dos servios em nuvem, que podem variar de processamento incuo de dados e trfego de rede at processos de negcios de misso crtica lidando com informao altamente sensvel. Uma discusso completa do gerenciamento de riscos corporativos e gerenciamento de risco da informao est alm do escopo deste guia, mas aqui h algumas recomendaes especficas da Nuvem que voc pode incorporar em seus processos de gerenciamento de riscos existentes. Devido falta de controle fsico sobre a infraestrutura em muitas implantaes de Computao em Nuvem; SLAs, requisitos de contratos e documentao dos provedores tm um papel em gerenciamento de riscos maior do que quando lidamos com a tradicional infraestrturua prpria das empresas.. Devido ao provisionamento sob demanda e aos aspectos multilocatrio de Computao em Nuvem, formas tradicionais de auditoria e avaliao podem no estar disponveis ou podem ser modificadas. Por exemplo, alguns provedores restringem avaliaes de vulnerabilidades ou testes de invaso, enquanto outros limitam disponibilidade de logs de auditoria e monitoramento de atividades. Se estes forem exigidos por suas polticas internas, voc pode precisar procurar opes alternativas de avaliao, excees contratuais especficas ou um provedor alternativo melhor alinhado com seus requisitos de gerenciamento de riscos. Com relao ao uso de servios de Nuvem para funes crticas da organizao, a abordagem de gerenciamento de riscos deve incluir a identificao e avaliao de ativos, identificao e anlise de ameaas e vulnerabilidades e seu potencial impacto nos ativos (cenrios de riscos e incidentes), anlise de probabilidade de eventos/cenrios, nveis e critrios de aceitao de gerenciamento de riscos aprovado e o desenvolvimento de planos de tratamento de riscos com mltiplas opes (controle, preveno, transferncia, aceitao). Os resultados dos planos de tratamento de riscos devem ser incorporados aos acordos de servio. Abordagens de avaliao de riscos entre provedores e usurios devem ser consistentes, com consistncia em critrios de anlises de impacto e definio de probabilidades. O
35
usurio e o provedor juntos devem desenvolver cenrios de risco para os servios em nuvem; isto deve ser intrnseco ao projeto do servio prestado ao usurio e para a avaliao do usurio do risco de servios em nuvem. Inventario de ativos deve considerar os servios de suporte de ativos na nuvem e sob controle do provedor. Classificao de ativo e esquemas de avaliao deverem ser coerentes entre usurio e provedor. O servio, e no somente o fornecedor deve ser o alvo de uma avaliao de risco. O uso de servios na nuvem, os servios especificos e modelos de desenvolvimento para serem utilizados devem ser coerentes com os objetivos de gerenciamento de riscos da organizao assim como tambm com os objetivos do negcio. Quando o provedor no se demonstrar compreensivo e efetivo no processo de gerenciamento de riscos em associao com estes servios, clientes devem avaliar com cuidado as habilidades tanto de fornecedores quanto dos prprios usurios no sentido de compensar a brechas potenciais indicadas pelo gerenciamento de riscos. Clientes de servios na nuvem devem questionar se seu sua gesto definiu a nveis de tolerncia a riscos com relao aos servios na nuvem e aceita qualquer risco residual inerente utilizao de servios em nuvem.
Recomendao de Gerenciamento de Riscos da Informao

Gerenciamento de Riscos da Informao o ato de alinhar a exposio ao risco e a capacidade de gerenci-lo, com a tolerancia ao risco do proprietrio das informaes. Desta forma, o gerenciamento de risco o principal meio de apoio s decises para desenvolver ferramentas de tecnologia da informao para proteger a confidencialidade, integridade e disponibilidade dos ativos da informao.
Adote um modelo de framework de gerenciamento de riscos para avaliar seu GRI (Gerenciamento de Riscos da Informao) e um modelo de maturidade para avaliar a efetividade do seu modelo de GRI. Estabelea requisitos contratuais apropriados e controles tecnolgicos para coletar dados necessrios para informar as decises sobre os riscos informao (ex. uso da informao, controle de acesso, controles de segurana, localizao, etc.). Adote um processo para determinar a exposio ao risco antes de elencar requisitos para um projeto de Computao em Nuvem. Embora as categorias de informao necessrias para entender a exposio e gesto sejam genricas, as mtricas atuais de coleta de evidncias so especificas para a natureza do modelo SPI (SaaS, PaaS e IaaS) de Computao em Nuvem e que podem ser facilmente coletadas nas especificaes do servio prestado. Quando utilizado SaaS (Software como servio), a maior parte da informao deve ser fornecida pelo provedor do servio. Organizaes devem estruturar processos de coleta de informaes analiticas nas obrigaes contratuais do servio SaaS.
36
Quando utilizando o modelo PaaS (Plataforma como um Servio), defina a coleta de informaes como definido no modelo SaaS acima, mas sempre que for possivel, considere a capacidade de implantar e coletar informaes de controles, bem como a criao de itens contratuais para testar a efetividade destes controles. Quando utilizado um provedor de servios sob o modelo IaaS (Infraestrutura como um servio), defina a transparncia das informaes em nvel contratual para que possam ser tratadas pela anlise de riscos. Os provedores de servio em nuvem devem incluir mtricas e controles para auxiliar os clientes na implementao dos seus requisitos de Gesto de Risco da Informao.
Recomendaes para o Gerenciamento de Servios Terceirizados

Os clientes devem considerar os servios e a segurana em nuvem como questes de segurana da cadeia de suprimento (Supply Chain). Isso significa examinar e avaliar, na medida do possvel, a cadeia de suprimentos do fornecedor (relacionamentos dos prestadores de servio e seus terceirizados). Isso tambm significa examinar o gerenciamento de servios terceirizados pelo prprio fornecedor. A avaliao dos fornecedores de servios terceirizados deve concentrar-se especificamente no gerenciamento do fornecedor, nas polticas de recuperao de desastres e continuidade de negcio, e em processos e procedimentos; deve, igualmente, incluir o exame das instalaes de back-up e co-location de suas instalaes fsicas. Deve incluir tambm a reviso das avaliaes internas do fornecedor destinadas a cumprir as exigncias de polticas e procedimentos prprios, e a avaliao das mtricas usadas pelo fornecedor para fornecer informaes razoveis sobre o desempenho e a efetividade dos seus controles nessas reas. O plano de recuperao de desastres e continuidade de negcios do usurio deve incluir cenrios de perda dos servios prestados pelo fornecedor e de perda pelo fornecedor de servios terceirizados e de capacidades dependentes de terceiros. A realizao dos testes dessa parte do plano deve ser coordenada com o provedor de servios de nuvem. A regulamentao da governana de segurana de informaes, a gesto de riscos e as estruturas e os processos do fornecedor devem ser amplamente avaliados: o Solicite uma documentao clara sobre como as instalaes e os servios do fornecedor so avaliados quanto aos riscos e auditados sob controles de vulnerabilidades, a frequncia de tais avaliaes, e como as deficincias de controles so devidamente mitigadas. o Solicite uma definio do que o fornecedor considera fatores de sucesso de segurana da informao e servios crticos, indicadores chave de desempenho, e como tais aspectos so mensurados relativamente Gesto de Segurana de Informaes e Servios de TI. o Examine a abrangncia dos processos de comunicao, avaliao e domnio dos requisitos legais, regulatrios, industriais e contratuais do fornecedor. o Implemente detalhados contratos para determinar papis, funes e responsabilidades. Assegure que ser feito uma validao legal, incluindo uma
37
avaliao do cumprimento das normas contratuais e leis em jurisdies estrangeiras ou fora do estado. o Determinar se os requisitos contratuais compreendem todos os aspectos materiais das relaes dos provedores de servio de nuvem, tais como a situao financeira, a reputao (por exemplo, verificaes de referncias), controles, pessoal estratgico, planos e testes de recuperao de desastres, seguros, capacidades de comunicaes e uso de terceirizados do provedor.
Colaboradores da Verso Original: Jim Arlen, Don Blumenthal, Nadeem Bukhari, Alex Hutton, Michael Johnson, M S Prasad, Patrick Sullivan Colaboradores da Verso Brasileira: Alessandro Trombini, Filipe Villar, Marcelo Pinheiro, Masaishi Yoshikawa, Nelson Novaes Neto
38
Domnio 3: Aspectos Legais e Electronic Discovery

Computao em Nuvem cria uma nova dinmica no relacionamento entre a organizao e suas informaes, envolvendo a presena de um terceiro: o provedor de nuvem. Isto cria novos desafios relacionados ao entendimento de como as leis se aplicam para uma ampla variedade de cenrios de gerenciamento da informao. preciso considerar as dimenses funcional, jurisdicional e contratual para realizar uma completa anlise das questes legais relacionadas Computao em Nuvem. A dimenso funcional compreende a determinao de quais funes e servios de Computao em Nuvem tm implicaes legais para os participantes e stakeholders. A dimenso jurisdicional compreende a maneira pelo qual os governos administram leis e regulamentos que afetam os servios de Computao em Nuvem, os stakeholders e os ativos de dados envolvidos. A dimenso contratual compreende as estruturas, os termos e as condies de contrato, e os mecanismos de cumprimento atravs dos quais as partes interessadas em ambientes de Computao em Nuvem podem tratar e gerenciar as questes legais e de segurana.
Computao em Nuvem no geral pode se distinguir do outsourcing tradicional de trs formas: o tempo de servio (sob demanda e intermitente), o anonimato da identidade do(s) prestador(es) de servio e o anonimato da localizao do(s) servidor(es) envolvido(s). Considerando-se especificamente IaaS e PaaS, uma grande quantidade de orquestrao, configurao e desenvolvimento de software realizada pelo cliente tal responsabilidade no pode ser transferida para o provedor de servio de nuvem. Conformidade com as recentes exigncias legislativas e administrativas em todo o mundo tem obrigado uma maior colaborao entre advogados e profissionais do setor de tecnologia. Isto especialmente verdadeiro na Computao em Nuvem, devido ao potencial de novas reas de risco legal criado pela natureza distribuda da nuvem se comparado tradicional infraestrutura interna ou terceirizada. Diversas leis e regulamentos de conformidade nos Estados Unidos e da Unio Europia imputam responsabilidade a subcontratados ou exigem que as entidades empresariais sejam contratualmente responsveis por eles. Os tribunais j esto percebendo que os servios de gesto de segurana da informao so fundamentais para a tomada de deciso sobre a aceitao da informao digital como evidncia. Embora se trate de uma questo para infraestrutura tradicional de TI, especialmente relativa na Computao em Nuvem, devido ausncia de fundamentao legal da nuvem.
Recomendaes
Clientes e provedores da nuvem devem estar mutuamente cientes dos respectivos papis e responsabilidades relacionados Eletronic Discovery, incluindo atividades como litgio, investigaes, prover o testemunho de perito, etc.
39
Provedores de nuvem so aconselhados a garantir que seus sistemas de segurana da informao atendam s necessidades do cliente para preservar os dados como autnticos e confiveis, incluindo informaes primrias e secundrias, tais como metadados e arquivos de logs. Dados sob a custdia dos provedores de servios de nuvem devem receber proteo equivalente a que teriam se estivessem nas mos de seu proprietrio original ou custodiante. Elaborao de um plano para o trmino esperado ou inesperado da relao contratual e para um retorno adequado ou descarte seguro dos ativos. Due diligence (auditoria) pr-contratual, negociao dos termos do contrato, monitoramento ps-contrato e resciso contratual e a transio da custdia dos dados so itens de cuidado obrigatrio de um cliente de servios de nuvem. Saber onde o provedor de servios de nuvem ir hospedar os dados um pr-requisito para implementar as medidas necessrias para garantir conformidade com as leis locais que restringem o fluxo de dados alm das fronteiras. Como custodiante dos dados pessoais de seus funcionrios ou clientes, bem como de outros ativos de propriedade intelectual da instituio, uma empresa que utiliza servios de Computao em Nuvem deve assegurar que ele mantm a posse de seus dados em seu formato original e autntico. Diversas questes de segurana, tais como suspeitas de violao de dados, devem ser abordadas atravs de disposies especficas do contrato de prestao de servio, que esclarecem as respectivas obrigaes do provedor de servios de nuvem e do cliente. O provedor de servios de nuvem e o cliente devem adotar um processo unificado para responder s intimaes, citaes e outros requisitos legais. O contrato de servios de nuvem deve permitir que o cliente ou terceiro designado monitore o desempenho do provedor de servios e teste as vulnerabilidades no sistema. As partes em um contrato de servios de nuvem devem assegurar que o acordo preveja a ocorrncia de problemas relativos recuperao dos dados do cliente aps o trmino da relao contratual.
Colaboradores da Verso Original: Tanya Forsheit, Scott Giordano, Francoise Gilbert, David Jackson, Peter McLaughlin, Jean Pawluk, Jeffrey Ritter
Colaboradores da Verso Brasileira: Nelson Novaes Neto, Reginaldo Sarraf P. Rodrigues
40
Domnio 4: Conformidade e Auditoria

Com o desenvolvimento da Computao em Nuvem como um meio vivel e rentvel para a terceirizao de sistemas, ou mesmo de processos de negcio inteiros, torna-se difcil alcanar e at mais difcil demonstrar para auditores e avaliadores a aderncia a conformidades, com a poltica de segurana e com os vrios regulamentos e requisitos legislatrios aos quais sua organizao est sujeita. Dos diversos regulamentos que tangem tecnologia da informao e que as organizaes devem cumprir, poucos foram escritos levando a Computao em Nuvem em considerao. Auditores e avaliadores podem no estar familiarizados com a mesma ou com um determinado servio de nuvem em particular. Sendo esse o caso, cabe ao cliente de Computao em Nuvem entender: A aplicabilidade regulatria para o uso do servio de nuvem em questo; A diviso das responsabilidades pela conformidade entre o provedor do servio e o cliente de nuvem; A capacidade do provedor de servio de nuvem em produzir as evidncias necessrias para a conformidade Papel do cliente em fazer a ponte entre o provedor do servio de nuvem e o auditor/avaliador
Recomendaes
Envolva os Departamentos Jurdicos e de Contratos. As clusulas padro de servio do provedor de Computao em Nuvem podem no atender suas necessidades de conformidade e, por isso, vantajoso ter pessoas das reas jurdicas e de contratos envolvidas desde o incio para garantir que o contrato de prestao de servios seja adequado para atender as obrigaes de conformidade e auditoria. Clusula Sobre o Direito de Auditar. Os clientes, frequentemente, tero a necessidade da capacidade de auditar o provedor de servios de Computao em Nuvem, dada a natureza dinmica dos ambientes regulatrio e de Computao em Nuvem. Uma clusula sobre o direito de auditar deve ser obtida sempre que possvel, particularmente quando se usa um provedor para um servio onde o cliente tenha que regulamentar o cumprimento das responsabilidades. Ao longo do tempo, a necessidade deste direito deve ser reduzida e em muitos casos substituda por certificaes do provedor, relacionadas com as nossas recomendaes para o escopo da ISO/IEC 27001 que sero apresentadas posteriormente. Analisar o Escopo de Conformidade. Determinar se os regulamentos de conformidade aos quais a organizao est sujeita sero impactados pelo uso dos servios de Computao em Nuvem para um dado conjunto de aplicaes e dados. Analisar o Impacto dos Regulamentos Sobre a Segurana dos Dados. Potenciais usurios finais dos servios de Computao em Nuvem devem ponderar quais aplicaes e dados esto sendo considerados para serem movidos para servios de Computao em Nuvem e em que medida eles esto sujeitos aos regulamentos de conformidade.
41
Revisar Parceiros e Provedores de Servios Importantes. Esta a recomendao geral para assegurar que relacionamentos com provedores de servios no afetem negativamente a conformidade. Avaliar quais provedores esto processando os dados sujeitos aos regulamentos de conformidade e ento avaliar os controles de segurana oferecidos pelos mesmos fundamental. Muitas normas de conformidade tm linguagens especficas na avaliao e na gesto de riscos de terceiros. Tal como acontece com servios de Tecnologia da Informao e com negcios no ligados Computao em Nuvem, organizaes tm necessidade de entender quais de seus parceiros de negcios esto processando dados relacionados normas de conformidade. Entender as Responsabilidades Contratuais Sobre a Proteo de Dados e os Contratos Relacionados. O modelo de servios de Computao em Nuvem determina, de uma certa forma, se o cliente ou o provedor de servios responsvel pela implantao de controles de segurana. Em um cenrio de implantao de IaaS, o cliente tem um alto grau de controle e uma maior responsabilidade do que em um cenrio de implantao de SaaS. Do ponto de vista do controle de segurana, isto significa que clientes IaaS tero que implantar muitos dos controles para a conformidade regulatrio. Em um cenrio SaaS, o provedor de servios de Computao em Nuvem deve fornecer os controles necessrios. De uma perspectiva contratual importante entender os requisitos especficos e garantir que o contrato de servios, bem como os acordos de nvel de servio, sejam tratados adequadamente. Analisar o Impacto das Regulamentaes na Infraestrutura do Provedor. Na rea de infraestrutura, mover-se para servios de Computao em Nuvem tambm requer uma anlise cuidadosa. Alguns requisitos regulatrios especificam controles que so difceis ou impossveis de se atingir em certos tipos de servios de nuvem. Analisar o Impacto de Regulamentaes em Polticas e Procedimentos. Mover dados e aplicaes para servios de Computao em Nuvem provavelmente causar um impacto em polticas e procedimentos. Os clientes devem avaliar quais polticas e procedimentos relacionados com regulamentaes tero de ser alterados. Exemplos de polticas e procedimentos impactados incluem relatrios de atividades, logs, reteno de dados, resposta a incidentes, controles de testes e polticas de privacidade. Preparar Evidncias de como cada Exigncia Est Sendo Cumprida. Coletar evidncias de conformidade atravs da multiplicidade de regulamentos e de requisitos um desafio. Clientes dos servios de Computao em Nuvem devem desenvolver processos para coletar e armazenar evidncias de conformidade, incluindo logs de auditoria e relatrios de atividades, cpias das configuraes dos sistemas, relatrios de gesto de mudanas e resultados de outros procedimentos de teste. Dependendo do modelo de servio o provedor pode precisar fornecer muitas dessas informaes. Seleo e Qualificao de Auditores. Em muitos casos a organizao no tem nenhuma influncia na seleo de auditores ou avaliadores de segurana. Se uma organizao participa da seleo, altamente recomendvel escolher um auditor que conhea Computao em Nuvem, uma vez que muitos podem no estar familiarizados com os desafios da virtualizao e da Computao em Nuvem.
42
Questionar sua familiaridade com as nomenclaturas IaaS, PaaS e SaaS um bom ponto de partida. Provedores de Computao em Nuvem da Categoria SAS 70 Tipo II. Os provedores devem ter, no mnimo, esta homologao, pois ela proporcionar um ponto de referncia reconhecido para auditores e avaliadores. Uma vez que auditorias SAS 70 Tipo II garantem apenas que os controles esto implementados como foram documentados, igualmente importante entender o escopo da auditoria SAS 70 e se esses controles esto adequados aos seus requisitos. Roteiro de Certificao ISO/IEC 27001/27002 dos Provedores de Computao em Nuvem. Provedores que buscam o fornecimento de servios de misso crtica devem adotar os padres da ISO/IEC 27001 para sistemas de gerenciamento de segurana da informao. Se o provedor no tiver alcanado a certificao ISO/IEC 27001, ele deve demonstrar alinhamento com as prticas da ISO 27002. Escopo da ISO/IEC 27001/27002. A Cloud Security Alliance est emitindo uma chamada na industria para alinhar provedores de Computao em Nuvem com a certificao ISO/IEC 27001, para garantir que o escopo no omita critrios crticos da certificao.
Colaboradores da Verso Original: Nadeem Bukhari, Anton Chuvakin, Peter Gregory, Jim Hietala, Greg Kane, Patrick Sullivan Colaboradores da Verso Brasileira: Alexandre Pupo, Ricardo Makino
43
Domnio 5: Gerenciamento do Ciclo de Vida das Informaes

Um dos principais objetivos da segurana da informao proteger os dados fundamentais que suportam nossos sistemas e aplicaes. Durante a transio para Computao em Nuvem, nossos mtodos tradicionais de proteo informao so desafiados por arquiteturas baseadas na nuvem. Elasticidade, multilocao, novas arquiteturas fsicas e lgicas e controles abstratos exigem novas estratgias de segurana de dados. Com muitas implementaes de Computao em Nuvem, ns estamos transferindo dados para ambientes externos ou mesmo pblicos - o que seria impensado h poucos anos atrs.
Gerenciamento do Ciclo de Vida das Informaes

O Ciclo de Vida da Segurana de Dados diferente do Gerenciamento do Ciclo de Vida das Informaes, refletindo as diferentes necessidades do pblico de segurana. O Ciclo de Vida da Segurana de Dados consiste de seis fases:
Figura 8 Ciclo de vida da segurana de dados
Os desafios-chave relativos ao ciclo de vida da segurana de dados na nuvem incluem os seguintes: Segurana de dados. Confidencialidade, Integridade, Autorizao, Autenticao e Irretratabilidade (no-repdio). Disponibilidade, Autenticidade,
Localizao dos dados. Deve-se ter certeza que os dados, incluindo todas as suas cpias e backups, estejam armazenados somente em localizaes geogrficas permitidas por contrato, SLA e/ou regulao. Por exemplo, uso de armazenamento tal como exigido pela Unio Europeia para
44
armazenamento eletrnico de registros de sade pode ser um desafio adicional para o proprietrio dos dados e provedores de servio de nuvem. Remanescncia ou persistncia de dados. Dados devem ser efetivamente e completamente removidos para serem considerados destrudos. Portanto, tcnicas para localizar completamente e efetivamente dados que estejam na nuvem, apagar/destruir dados e assegurar que tenham sido completamente removidos ou tornados irrecuperveis devem estar disponveis e ser usadas quando exigido. Mescla de dados com outros clientes da nuvem. Dados especialmente dados classificados /sensveis no devem ser mesclados com dados de outros clientes sem controles de compensao enquanto em uso, armazenados ou em trnsito. A mistura ou mescla de dados ser um desafio quando as preocupaes quanto segurana de dados e geolocalizao aumentam. Esquemas de backup e recuperao de dados para recuperao e restaurao. Os dados devem estar disponveis e esquemas de backup e recuperao para Computao em Nuvem devem estar ativos e efetivos, objetivando prevenir perda de dados, sobrescrita e destruio no intencional de dados. No assuma que dados baseados em Computao em Nuvem estejam a salvo e sejam recuperveis. Descoberta de dados. Como o sistema legal continua focando a descoberta eletrnica de dados, provedores de servio de Computao em Nuvem e proprietrios de dados necessitaro focar em descoberta de dados, assegurando s autoridades legais e regulatrias que todos os dados requisitados tenham sido obtidos. Em um ambiente de Computao em Nuvem esta questo extremamente difcil de ser respondida e exigir controles administrativos, tcnicos e legais quando requerido. Agregao e inferncia de dados. Com dados na nuvem, existem preocupaes adicionais de inferncia e agregao de dados que podero resultar em violao de confidencialidade de informaes sensveis e confidenciais. Portanto, devem ser definidas prticas que garantam ao proprietrio dos dados e s partes interessadas (stakeholders) que os dados ainda estejam protegidos de uma sbita violao quando estiverem sendo mesclados e/ou agregados para suportar outros sistemas que no o seu principal, revelando assim informao protegida (p. ex., dados mdicos contendo nomes e informaes mdicas misturados com dados annimos mas, contendo o mesmo campo de correlao).
Recomendaes
Entenda como a integridade mantida e como o comprometimento da integridade detectado e informado aos clientes. A mesma recomendao aplica-se confidencialidade quando apropriado. O provedor de servio de nuvem dever assegurar ao proprietrio dos dados que eles proveem divulgao de todas as suas informaes (full disclosure) (tambm conhecida como transparncia) relativas s prticas e procedimentos de segurana de acordo com o estabelecido em seus SLAs. Garantir a identificao especfica de todos os controles usados durante o ciclo de vida dos dados. Garanta as especificaes de qual entidade responsvel por cada controle entre o proprietrio dos dados e o provedor de servios de nuvem.
45
Mantenha uma filosofia fundamentada no conhecimento de onde seus dados esto. Assegure sua habilidade de conhecimento sobre a localizao geogrfica de armazenamento. Estipule isto em seus SLAs e contratos. Garanta que controles apropriados relativos s restries de cada pas envolvido no servio estejam definidos e reforados. Entenda as circunstncias pelas quais o armazenamento possa ser apreendido por um terceiro ou entidade governamental. Verifique se seu SLA com o provedor de servio de nuvem inclui processo de notificao prvia ao proprietrio dos dados (se possvel) que as informaes do proprietrio dos dados tenham sido ou sero apreendidas. Em alguns casos, uma intimao ou citao de e-discovery pode ser interposta contra o provedor de servios de Computao em Nuvem. Neste caso, quando o provedor possuir custdia dos dados do cliente, o provedor de servios de Computao em Nuvem dever ser forado a informar ao proprietrio dos dados que o provedor de servios de Computao em Nuvem ser obrigado a divulgar a informao do proprietrio dos dados. O sistema de penalidades de servio dever ser includo no contrato entre o proprietrio dos dados e o provedor de servios de nuvem. Especificamente, dados que seriam objetos de infraes contra disposies legais estaduais e internacionais (por ex., California Senate Bill 1386 ou as novas regras de violao de dados HIPAA) devero ser protegidas pelo provedor de servios de nuvem. Ser do proprietrio dos dados a responsabilidade de determinar quem dever acessar os dados, quais sero seus direitos e privilgios e sob quais condies estes direitos de acesso sero providos. O proprietrio dos dados dever manter uma poltica de Negar Tudo por Padro para ambos os funcionrios do proprietrio dos dados e os do provedor de servios de nuvem. Provedores de servios de Computao em Nuvem devero oferecer linguagem contratual que garanta a negao de acesso aos dados como uma filosofia fundamental (por ex., Negar Tudo por Padro). Isto especificamente aplica-se aos funcionrios de servios de Computao em Nuvem e seus outros clientes, exceto os funcionrios e pessoal autorizado pelo proprietrio dos dados. responsabilidade do proprietrio dos dados definir e identificar a classificao dos dados. responsabilidade do provedor de servios de Computao em Nuvem fazer valer os requisitos de acesso do proprietrio dos dados, baseados na classificao dos dados. Tais responsabilidades devero estar em contrato, reforadas e auditadas para conformidade. Quando um cliente obrigado a divulgar informao, a contaminao de dados no dever ocorrer. No somente o proprietrio dos dados precisar garantir que todos os dados requeridos por mandado de busca e apreenso, intimaes, decises de e-discovery, etc. estejam intactos e sejam divulgados apropriadamente; o proprietrio dos dados dever certificar-se que nenhum outro dado seja afetado. Criptografia de dados no Cripografia de dados armazenados e criptografia de dados em trnsito (Domnio de Referncia 11, Criptografia e Gerenciamento de Chaves.) Identifique limites de confiana atravs da arquitetura de TI e camadas de abstrao. Possibilite aos subsistemas somente transpor os limites de confiana quando necessrio e
46
com apropriadas contramedidas para prevenir divulgao no autorizada, alterao ou destruio de dados. Entenda quais tcnicas de compartimentalizao so aplicadas por um provedor para isolar seus clientes uns dos outros. Um provedor poder utilizar uma variedade de mtodos dependendo dos tipos e quantidade de servios oferecidos. Entenda as capacidades e limitaes de busca de dados do provedor de servio de nuvem quando tentar visualizar dentro da srie de dados para descoberta de dados. Entenda como a criptografia gerenciada em armazenamento de multilocao. Existe uma chave nica para todos os proprietrios de dados, uma chave por proprietrio de dados ou mltiplas chaves por proprietrio de dados? H um sistema para prevenir diferentes proprietrios de dados de possuir as mesmas chaves de criptografia? Os proprietrios de dados devero exigir que os provedores de servio de Computao em Nuvem garantam que seus dados de cpias de segurana no estejam misturados com os dados de outro cliente de servio de nuvem. Entenda o processo de descarte de dados armazenados pelo provedor de servio de nuvem. Destruio de dados extremamente difcil em um ambiente de multilocao e o provedor de servio de nuvem dever estar usando criptografia forte no armazenamento que resulte em dados no legveis quando o armazenamento for reciclado, descartado ou acessado de qualquer maneira fora das aplicaes, processos e entidades autorizadas. Escalonamento de reteno e destruio de dados so responsabilidades do proprietrio dos dados. responsabilidade do provedor de servio de Computao em Nuvem destruir os dados quando solicitado, com especial nfase na destruio de todos os dados em todas as localizaes, incluindo as folgas de armazenamento em estruturas de dados e em mdia. O proprietrio da informao dever reforar e auditar esta prtica se possvel. Entenda a segregao lgica de informao e os controles de proteo implementados. Entenda as restries de privacidade inerentes aos dados confiados a sua companhia; voc poder ter que designar seu provedor de servio de nuvem como um tipo particular de parceiro antes de confiar-lhes esta informao. Entenda as polticas e processos do provedor de servio de nuvem para reteno e destruio de dados e como eles se comparam sua poltica organizacional interna. Esteja ciente que garantir a reteno de dados pode ser mais fcil para o provedor de servio de nuvem demonstrar, enquanto para destruio de dados pode ser muito difcil. Negocie penalidades pagas pelo provedor de servio de nuvem para violao de dados para garantir que isso seja levado a srio. Se vivel, clientes devero buscar ressarcimento de todos os custos por violaes como parte de seus contratos com provedor. Se invivel, clientes devero explorar outros meios de transferncia de risco tais como seguro para recuperao de perdas por violao. Execute testes regulares de backup e recuperao para assegurar que a segregao lgica e os controles so efetivos.
47
Garanta que o pessoal do provedor de servio de nuvem esteja disponvel para prover uma segregao lgica de funes. Entenda como criptografia gerenciada em armazenamento de multilocao. H uma nica chave para todos os clientes, uma chave por cliente, ou mltiplas chaves por cliente?
Recomendaes de Segurana de Dados por fase de GCVI

Algumas de nossas recomendaes gerais, assim como outros controles especficos, so listadas dentro do contexto de cada fase do ciclo de vida. Por favor, tenha em mente que dependendo do modelo de servio de Computao em Nuvem (SaaS, PaaS ou IaaS), algumas recomendaes necessitaro ser implementadas pelo cliente e outras devero ser implementadas pelo provedor de servio de nuvem. Crie Identifique capacidades disponveis de identificao e classificao de dados. Solues de gesto de permisses empresariais pode ser uma soluo. O uso de rtulos (tagging) de dados est se tornando comum em ambientes Web 2.0 e pode ser usado como modelo para ajudar a classificao da informao Armazene Identifique controles de acesso disponveis nos ambientes de sistemas de arquivos, DBMS, sistemas de gesto de documentos, etc. Solues de criptografia, como aplicadas em correios eletrnicos, redes, bancos de dados, arquivos e sistemas de arquivos. Ferramentas de proteo a contedos (como DLP, ou Data Loss Prevention) podem auxiliar identificando e auditando dados que necessitem de controles. Uso Monitoramento de sistemas e aplicaes via correlao de logs e/ou ferramentas baseadas em agentes Lgica de aplicaes Controles em nveis de objetos em solues baseadas em DBMS Compartilhamento Monitoramento de sistemas e aplicaes via correlao de logs e/ou ferramentas baseadas em agentes Lgica de aplicaes Controles em nveis de objetos em solues baseadas em DBMS Identifique controles de acesso disponveis nos ambientes de sistemas de arquivos, DBMS, sistemas de gesto de documentos, etc.
48
Solues de criptografia, como aplicadas em correios eletrnicos, redes, bancos de dados, arquivos e sistemas de arquivos. Ferramentas de proteo a contedos (como DLP, ou Data Loss Prevention) podem auxiliar identificando e auditando dados que necessitem de controles. Armazenamento Criptografia, como aplicada em fitas de backup e outros sistemas de armazenamento de alta capacidade. Gesto e monitoramento de ativos Descarte Crypto-shredding: Descarte de todos os dados principais relacionados informaes criptografadas Descarte seguro atravs de limpeza de discos e tcnicas relacionadas Destruio fsica, como desmagnetizao de mdias. Tentativa de identificao de contedo para assegurar o processo de descarte. Colaboradores da Verso Original: Richard Austin, Ernie Hayden, Geir Arild EnghHellesvik, Wing Ko, Sergio Loureiro, Jesus Luna Garcia, Rich Mogull, Jeff Reich Colaboradores da Verso Brasileira: Filipe Villar, Gilberto Sudr, Guilherme Bitencourt, Roney Mdice, Ulinton Santos
49
Domnio 6: Portabilidade e Interoperabilidade

As organizaes devem considerar a adoo de uma nuvem compreendendo que talvez elas tenham que mudar seus provedores futuramente. Portabilidade e interoperabilidade devem ser consideradas desde o incio como parte do gerenciamento de risco e da garantia da segurana de quaisquer programas de adoo de uma nuvem. Grandes provedores de Computao em Nuvem podem oferecer redundncia geogrfica na nuvem, na esperana de garantir alta disponibilidade com um nico provedor. No entanto, aconselhvel que um plano bsico de continuidade seja feito, para ajudar a minimizar os impactos em um cenrio de desastre. Diversas empresas, no futuro, inesperadamente iro se deparar com a necessidade de trocar de provedor por vrias razes, incluindo: Um aumento inaceitvel nos custos de renovao de contrato. Um provedor encerra suas operaes de negcio. Um provedor cancela repentinamente um ou mais servios que esto sendo utilizados, sem um plano de migrao aceitvel. Uma queda inaceitvel na qualidade do servio, como uma falha no cumprimento dos requisitos de desempenho ou para alcanar os acordos de nveis de servio (SLAs). Uma disputa comercial entre o cliente e o provedor da nuvem.
Algumas consideraes arquiteturais simples podem ajudar a minimizar os danos causados quando estes tipos de cenrios ocorrerem. Entretanto, os meios para lidar com essas questes dependem do tipo de servio na nuvem. Com o Software como um Servio (SaaS), o cliente da nuvem, por definio, substitui os novos softwares pelos antigos. Portanto, o foco no est na portabilidade das aplicaes, mas em preservar ou melhorar as funcionalidades de segurana providas pela aplicao legada e conseguir uma migrao dos dados bem sucedida. Com a Plataforma como um Servio (PaaS), a expectativa que algum grau de modificao na aplicao seja necessrio para atingir a portabilidade. O foco minimizar a quantidade de recodificao da aplicao, enquanto os controles de segurana so mantidos ou melhorados, juntamente com uma migrao dos dados bem sucedida. Com a Infraestrutura como um Servio (IaaS), o foco e a expectativa que ambas, aplicaes e dados, sejam capazes de serem migrados e executados em um novo provedor de nuvem. Devido a uma falta de padres de interoperabilidade e falta de presso suficiente do mercado para a criao desses padres, a transio entre provedores de nuvem pode se transformar em um doloroso processo manual. A partir de uma perspectiva de segurana, nossa principal preocupao manter a consistncia dos controles de segurana enquanto mudamos o ambiente.
Recomendaes
Para Todas as Solues de Computao em Nuvem: A substituio do provedor de servios de nuvem , em praticamente todos os casos, uma transao de negcios negativa para pelo menos uma das partes, o que pode causar uma reao inesperada do antigo provedor da nuvem. Isto deve ser planejado no
50
processo de contratao, conforme descrito no Domnio 3, no seu plano de continuidade de negcios, descrito no Domnio 7 e como parte da sua governana global no Domnio 2. Entender o tamanho dos conjuntos de dados hospedados em um provedor de nuvem. O tamanho dos dados pode causar uma interrupo do servio durante a transio, ou um perodo de transio maior do que o previsto. Muitos clientes descobriram que transportar os discos rgidos pode ser mais rpido do que a transmisso eletrnica de grandes massas de dados. Documentar a arquitetura de segurana e a configurao individual de cada componente de controle de segurana, de forma que eles possam ser utilizados para ajudar nas auditorias internas, bem como para facilitar a migrao para novos provedores.
Para Solues em Nuvem IaaS: Entender como imagens de mquinas virtuais podem ser capturadas e portadas para o novo provedor de nuvem que pode utilizar uma tecnologia diferente de virtualizao. Identificar e eliminar (ou pelo menos documentar) todas as extenses especficas do provedor no ambiente de mquina virtual. Entender quais prticas so utilizadas para garantir uma desalocao apropriada das imagens depois que uma aplicao portada de um provedor de nuvem. Compreender as prticas utilizadas para o desmantelamento dos discos e dispositivos de armazenamento. Identificar e entender as dependncias baseadas em Hardware/Plataforma antes de migrar a aplicao/dados. Solicitar acesso a logs do sistema, rastros e registros de acesso e de faturamento do provedor de nuvem antigo. Identificar opes para continuar ou expandir o servio com o provedor de nuvem legado, em parte ou no todo, caso o novo servio demonstre ser inferior. Determinar se existem quaisquer funes de nvel gerencial, interfaces ou APIs utilizadas que so incompatveis ou no implantadas no novo provedor.
Para Solues em Nuvem PaaS: Quando possvel, utilize componentes de uma plataforma com sintaxes padronizadas, APIs abertas e normas abertas. Entender quais ferramentas esto disponveis para a transmisso segura dos dados, para backup e para restaurao.
51
Entender e documentar os componentes da aplicao e mdulos especficos para o provedor de PaaS e desenvolver a arquitetura de uma aplicao com camadas de abstrao para minimizar o acesso direto aos mdulos proprietrios. Compreender como servios bsicos como monitoramento, logs e auditoria podem ser transferidos para o novo provedor. Entender as funes de controle fornecidas pelo provedor de nuvem antigo e como ser feita a transferncia para o novo provedor. Quando migrar para uma nova plataforma, conhea os impactos no desempenho e na disponibilidade da aplicao e como estes impactos so calculados. Entender como testes so completados antes e depois da migrao, para verificar se os servios ou aplicaes esto operando corretamente. Garantir que a responsabilidade de testar, de ambos, provedor e usurio, so bem conhecidas e documentadas.
Para Solues em Nuvem SaaS: Executar extraes de dados e backups regulares para formatos que possam ser utilizados fora do provedor de SaaS. Entender se os metadados podem ser preservados e migrados. Compreender que todas as ferramentas personalizadas tero que ser recodificadas ou, o novo provedor deve fornecer novas ferramentas. Assegurar consistncia eficaz dos controles entre o antigo e o novo provedor. Assegurar a possibilidade de migrao de backups e outras cpias de logs, registros de acesso e qualquer outra informao pertinente que possa ser necessria por razes legais e conformidade. Entender o gerenciamento, o monitoramento e as interfaces de relatrios e suas integraes entre os ambientes. H uma disposio do novo provedor de testar e avaliar a aplicao antes da migrao?
Colaboradores da Verso Original: Warren Axelrod, Aradhna Chetal, Arthur Hedge, Dennis Hurst, Sam Johnston, Scott Morrison, Adam Munter, Michael Sutton, Joe Wallace Colaboradores da Verso Brasileira: Alexandre Pupo, Guilherme Ostrock, Ricardo
Makino
52
Seo III. Operando na Nuvem
53
Domnio 7: Segurana Tradicional, Continuidade de Negcios e Recuperao de Desastres

O conjunto de conhecimentos acumulados no mbito da segurana fsica tradicional, do planejamento de continuidade de negcios e da recuperao de desastres ainda bastante relevante para a Computao em Nuvem. O ritmo acelerado das mudanas e a falta de transparncia inerentes da Computao em Nuvem exigem que profissionais tradicionais de Segurana, Planejamento de Continuidade de Negcios e de Recuperao de Desastres estejam continuamente envolvidos no controle e monitorao dos seus provedores de nuvem escolhidos. Nosso desafio colaborar na identificao de risco, reconhecer interdependncias, integrar e alavancar os recursos de forma dinmica e poderosa. A Computao em Nuvem e a infraestrutura que a acompanha ajudam a diminuir determinados problemas de segurana, mas podem aumentar outros e podem nunca eliminar a necessidade de segurana. Enquanto continuam a existir grandes mudanas nos negcios e na tecnologia, os princpios tradicionais de segurana permanecem os mesmos.
Recomendaes
Tenha em mente que a centralizao dos dados significa que o risco de fraude interna partindo de dentro do provedor de servios de nuvem uma preocupao significativa. Provedores de servio de nuvem devem considerar adotar como padro de segurana os requisitos mais rigorosos dos clientes. Para que o alcance dessas prticas de segurana no impacte negativamente na experincia do cliente, as prticas de segurana mais rigorosas devem se mostrar economicamente eficazes no longo prazo em termos de reduo do risco, bem como na avaliao das vrias reas de preocupao, baseada nas necessidades dos clientes. Os provedores devem ter uma segregao robusta das responsabilidades das funes, verificar os antecedentes dos funcionrios, exigir / aplicar acordos de no-divulgao de dados para os seus funcionrios e limitar o acesso s informaes dos clientes aos funcionrios na medida do que for absolutamente necessrio para a execuo de suas funes. Os clientes devem efetuar inspees aos locais das instalaes de seu provedor de nuvem sempre que possvel. Os clientes devem inspecionar os planos de recuperao de desastres e de continuidade de negcios de seus provedores de nuvem. Os clientes devem identificar as interdependncias fsicas na infraestrutura do provedor. Garantir que h um detalhamento formal estabelecido no contrato para definir claramente as obrigaes contratuais relacionadas com segurana, recuperao e acesso aos dados. Clientes devem solicitar a documentao dos controles de segurana internos e externos do provedor e a adeso aos padres da indstria.
54
Assegurar que Objetivos de Tempo de Recuperao (Recovery Time Objectives, ou RTO) do cliente so totalmente compreendidos e definidos nas relaes contratuais e baseados no processo de planejamento tecnolgico. Certifique-se que roadmaps, polticas e capacidades operacionais satisfaam estes requisitos. Clientes precisam confirmar que o provedor tem uma poltica de Plano de Continuidade de Negcios aprovada pelo conselho de administrao do provedor. Clientes devem procurar evidncias de apoio efetivo da gesto e reviso peridica do Programa de Continuidade de Negcios para garantir que este esteja ativo. Clientes devem verificar se o Programa de Continuidade de Negcios certificado e / ou mapeado com normas internacionalmente reconhecidas como a BS 25999. Clientes devem verificar se o provedor tem algum recurso on-line dedicado segurana e BCP, onde a viso geral do programa e as fichas tcnicas estejam disponveis para consulta. Certifique-se que os provedores de servio de nuvem sejam controlados atravs do Processo de Segurana de Fornecedores (Vendor Security Process - VSP) para que haja uma clara compreenso de quais dados devem ser compartilhados e quais controles devem ser utilizados. As determinaes do VSP devem alimentar o processo de tomada de deciso e avaliao se o risco aceitvel ou no. A natureza dinmica da Computao em Nuvem e sua relativa juventude justificam ciclos mais frequentes de todas as atividades acima para a descoberta de mudanas no comunicadas aos clientes.
Colaboradores da Verso Original: Randolph Barr, Luis Morales, Jeff Spivey, David Tyson Colaboradores da Verso Brasileira: Anchises Moraes, Rafael B. Brinhosa
55
Domnio 8: Operaes e Data center

O nmero de provedores de Computao em Nuvem continua a aumentar medida que empresas e consumidores de servios de TI se movem para a nuvem. Houve um crescimento similar em data centers para atender prestao de servios de Computao em Nuvem. Provedores de nuvem de todos os tipos e tamanhos, inclusive lderes de tecnologia e milhares de iniciantes e empresas emergentes esto fazendo grandes investimentos nesta nova abordagem promissora para a prestao de servios de TI. O compartilhamento de recursos de TI para criar eficincias e economias de escala no um conceito novo. No entanto, o modelo de negcio na nuvem funciona melhor se os grandes investimentos, tradicionalmente, em operaes de data centers so distribudos a um nmero maior de consumidores. Historicamente, arquiteturas de data center foram deliberadamente superdimensionadas para superar picos de carga peridicos, o que significa que os recursos do Data center devem estar frequentemente sem utilizao ou subutilizados, por longas extenses de tempo, durante os perodos de demanda baixa ou normal. Provedores de servio de nuvem, por outro lado, procuram otimizar o uso de recursos, tanto humanos quanto tecnolgicos, a fim de ganhar vantagem competitiva e maximizar as margens de lucro na operao. O desafio para consumidores de servios de nuvem descobrir o modo de avaliao das capacidades do provedor para executar servios apropriados e de baixo custo, no deixando de proteger os prprios dados e interesses do cliente. No presuma que o provedor tenha os melhores interesses de seus clientes como sua prioridade mxima. Com o modelo comum de operadora (carrier) para entrega de servios, do qual a Computao em Nuvem uma forma, o provedor de servio normalmente tem pouco ou nenhum acesso aos dados e sistemas que se situam alm do nvel contratado de gerenciamento, tampouco tem controle sobre eles. Certamente essa a abordagem correta a se ter, mas algumas arquiteturas em nuvem tomam liberdades com a integridade e a segurana dos dados dos clientes que os deixariam desconfortveis se delas eles estivessem cientes. Os consumidores devem educar-se acerca dos servios sobre os quais esto pensando em contratar para fazerem perguntas apropriadas e, se familiarizarem com as arquiteturas bsicas e as reas com potenciais de vulnerabilidade de segurana. Ao tomar a deciso de mover toda ou parte das operaes de TI para a nuvem, til primeiramente entender como um provedor de nuvem implementou as Cinco Principais Caractersticas da Computao em Nuvem do Domnio 1 e como essa arquitetura e infraestrutura tecnolgica afeta a sua habilidade de satisfazer os acordos de nvel de servio e de enderear preocupaes com a segurana. A tecnologia especfica da arquitetura tecnolgica do provedor pode ser uma combinao de produtos de TI e outros servios de nuvem como, por exemplo, se aproveitar vantajosamente do servio de armazenamento IaaS de outro provedor. A arquitetura e a infraestrutura tecnolgica dos provedores de servio de nuvem podem variar, mas para satisfazer requisitos de segurana, todos eles devem poder demonstrar compartimentalizao abrangente dos sistemas, dados, redes, gerenciamento, fornecimento e pessoal. Os controles separando cada camada da infraestrutura devem ser propriamente integrados para que elas no interfiram umas com as outras. Por exemplo, investigue se a compartimentagem do armazenamento pode ser facilmente ignorada por ferramentas de gesto ou mau gerenciamento de chaves. Por ltimo, compreenda como o provedor de nuvem lida com a democratizao e dinamismo dos recursos para melhor prever os nveis apropriados de disponibilidade do sistema e de desempenho
56
durante as flutuaes normais de negcio. Lembre-se, a teoria de Computao em Nuvem ainda excede, em alguma medida, a prtica: muitos clientes fazem pressuposies incorretas sobre o nvel de automao atualmente disponvel. Na medida em que o recurso provisionado consumido, o provedor responsvel por garantir que recursos adicionais so alocados imperceptivelmente para o cliente.
Recomendaes
imperativo que uma organizao, considerando a compra de servios de nuvem, sejam eles de qualquer tipo, esteja totalmente ciente do tipo exato de servios que sero contratados e do que no est incluso. Abaixo est um sumrio de informaes que precisam ser revisadas como parte do processo de seleo do vendedor e questes adicionais para ajudar a qualificar os provedores e comparar melhor os seus servios com as necessidades da organizao. Quaisquer que sejam as certificaes que os provedores de nuvem mantm, importante obter o compromisso e a permisso de conduzir auditorias feitas pelo cliente ou por terceiros. Os clientes de servios de nuvem devem compreender como os provedores implementam as Cinco Principais Caractersticas da Computao em Nuvem do Domnio 1. Ainda que as arquiteturas tecnolgicas dos provedores de nuvem variem, todos eles devem poder demonstrar diviso compreensiva de sistemas, redes, gerenciamento, proviso e pessoal. Compreenda como a democratizao de recursos ocorre dentro da nuvem de seu provedor para prever melhor a disponibilidade e desempenho do sistema durante suas flutuaes de negcios. Se possvel, descubra os outros clientes do provedor de nuvem para avaliar o impacto que as flutuaes de negcios deles podem ter sobre a sua vivncia como cliente do provedor de nuvem. No entanto, isso no substitui a garantia de que os acordos acerca do nvel de servio estejam claramente definidos, mensurveis, executveis e adequados para a sua necessidade. Os clientes dos servios de nuvem devem entender as polticas e procedimentos de correo do provedor e como eles podem influenciar os seus ambientes. Essa compreenso deve estar refletida no contrato. A contnua melhoria particularmente importante em um ambiente de nuvem, pois qualquer melhoria nas polticas, processos e procedimentos, ou ferramentas para um cliente determinado podem resultar em melhoria do servio para todos os clientes. Procure por provedores de nuvem com processos padro de melhoria contnua. Suporte tcnico ou central de servio so frequentemente uma janela pela qual o cliente pode ver as operaes do provedor. Para obter uma experincia de suporte suave e uniforme para seus usurios finais, essencial assegurar que os processos, procedimentos, ferramentas e horrio de suporte do provedor so compatveis com as suas. Como no Domnio 7, reveja os planos de recuperao de desastres e de continuidade do negcio a partir da perspectiva de TI e perceba como eles se relacionam com pessoas e
57
processos. Uma arquitetura tecnolgica do provedor de nuvem pode usar novos mtodos, porm no testados para tolerncia a falhas, por exemplo. A continuidade do prprio negcio do cliente deve tambm abranger os impactos e limitaes da Computao em Nuvem. Colaboradores da Verso Original: John Arnold, Richard Austin, Ralph Broom, Beth Cohen, Wing Ko, Hadass Harel, David Lingenfelter, Beau Monday, Lee Newcombe, Jeff Reich, Tajeshwar Singh, Alexander Windel, Richard Zhao. Colaboradores da Verso Original: Eder Alvares Pereira de Souza, Olympio Renn Ribeiro Jr, Raphael Sanches
58
Domnio 9: Resposta a Incidente, Notificao e Remediao

O principio de Computao em Nuvem torna difcil determinar quem contatar em caso de incidente de segurana, vazamento de informao ou qualquer outro evento que necessite de investigao e resposta. Mecanismos padro de resposta a incidentes de segurana podem ser adaptados para acomodar as mudanas requeridas pelas responsabilidades compartilhadas de notificao. Este domnio prov um guia de como tratar desses incidentes. O problema para o cliente de Computao em Nuvem que aplicaes disponveis em provedores de Computao em Nuvem nem sempre so desenhadas com os princpios de segurana e integridade de dados em mente. Isso pode resultar em aplicaes vulnerveis sendo implementadas em ambientes de nuvem, desencadeando incidentes de segurana. Adicionalmente, falhas na arquitetura de infraestrutura, erros cometidos durante procedimentos de hardening e simples descuidos representam riscos significativos para operaes em nuvem. Obviamente, vulnerabilidades semelhantes tambm pem sob risco operaes tradicionais de data center. Experincia tcnica obviamente necessria na resposta a incidentes, porm, privacidade e questes legais tm muito a contribuir para segurana em nuvem. Ela tambm tem um papel importante na resposta a incidente referente notificao, remediao e possvel subsequente ao legal. Uma organizao que cogita usar os servios de Computao em Nuvem precisa revisar quais mecanismos foram implementados em relao ao acesso a dados de empregados que no so regidos por contratos de usurio e polticas de privacidade. Dados de aplicao que no so gerenciados por uma aplicao do prprio provedor de nuvem, tais como IaaS e arquiteturas PaaS, geralmente tm controles diferentes daqueles gerenciados pela aplicao de um provedor de SaaS. As complexidades de grandes provedores de Computao em Nuvem oferecendo SaaS, PaaS e IaaS criam problemas significativos de resposta a incidente, os quais devem ser analisados por potenciais clientes para um nvel aceitvel de servio. Ao avaliar provedores de nuvem, importante ter conscincia de que o provedor pode estar hospedando centenas de milhares de instancias de aplicaes. Do ponto de vista de monitorao de resposta a incidente, quaisquer aplicaes externas aumentam a responsabilidade do centro de operaes de segurana (do ingls SOC). Normalmente um SOC monitora os alertas e outros indicadores de incidente, tais como aqueles produzidos por sistemas de deteco de intruso e firewalls. Porm, o nmero de fontes de informao a serem monitoradas e o volume de notificaes pode crescer exponencialmente num ambiente de open cloud, pois o SOC teria que monitorar a atividade entre clientes, assim como incidentes externos. Uma organizao precisar entender a estratgia de resposta a incidente do provedor escolhido. Esta estratgia deve enderear identificao e notificao, assim como oferecer opes para remedio de acesso no autorizado a dados de aplicao. Para tornar ainda mais complexa, a gesto de dados de aplicaes e acessos tm significados e requisitos regulatrios diferentes conforme a localizao fsica dos dados. Por exemplo, um incidente pode ocorrer envolvendo dados armazenados na Alemanha. Se os mesmos dados estivessem sendo armazenados nos Estados Unidos, esse mesmo evento poderia no ser considerado um incidente. Essa complicao torna a identificao de incidentes particularmente desafiadora.
59
Recomendaes
Clientes de Computao em Nuvem precisam definir claramente e comunicar aos provedores o que eles consideram incidentes (tais como roubo de dados) versus meros eventos (tais como alertas de suspeita de intruso) antes de implementar o servio. Clientes de Computao em Nuvem podem vir a ter um envolvimento limitado com as atividades de resposta a incidente do provedor. Portanto, crucial para os clientes entender os canais de comunicao predefinidos para contatar a equipe de resposta a incidentes. Clientes de Computao em Nuvem devem investigar quais ferramentas de deteco e analise de incidentes o provedor utiliza para garantir que eles sejam compatveis com seus prprios sistemas. Um formato de log proprietrio ou incomum poderia ser um grande problema em investigaes conjuntas, particularmente aqueles que envolvam questes legais ou interveno governamental. Sistemas e aplicaes desenvolvidas com baixo nvel de segurana podem facilmente sobrecarregar qualquer capacidade de resposta a incidente. A conduo de uma avaliao de riscos adequada nos sistemas e a utilizao da prtica de segurana em camadas so essenciais para reduzir as chances de um incidente de segurana. Centros de Operaes de Segurana (do ingls SOC) normalmente assumem um modelo nico de governana relacionado resposta a incidente, o qual no apropriado para provedores multilocatrios de nuvem. Um processo robusto e bem gerenciado de Gesto de Eventos e Informaes de Segurana - SIEM, que identifica as fontes disponveis de informao (logs de aplicao, logs de firewall, logs de IDS, etc.) e as combina com uma plataforma comum de analise e notificao, pode ajudar consideravelmente o SOC na deteco de incidentes dentro da plataforma de Computao em Nuvem. Para facilitar a analise detalhada de informao off-line, procure por provedores de Computao em Nuvem que tenham a habilidade de fornecer fotografias do ambiente virtual do cliente firewalls, redes (switches), sistemas, aplicaes e dados. Conteno uma corrida entre o controle de danos e coleta de evidncia. Estratgias de conteno que foquem na trade confidencialidade-integridade-disponibilidade podem ser eficazes. Remediao destaca a importncia de poder restaurar um sistema para um estado anterior e at mesmo retornar 6 a 12 meses atrs em uma configurao tida como confivel. Mantendo em mente as possibilidades e requerimentos legais, a remediao pode tambm vir a suportar registros forenses de dados de incidentes. Qualquer dado classificado como privado para efeito regulatrio em relao a roubo de informaes deve ser sempre criptografado para reduzir as consequncias de um incidente de roubo de dado. Clientes devem estipular os requisitos de criptografia contratualmente, conforme Domnio 11.
60
Alguns provedores de Computao em Nuvem podem hospedar um nmero significativo de clientes com aplicaes nicas. Esses provedores de Computao em Nuvem devem considerar estruturas de registros (logging frameworks) de camada de aplicao com o intuito de rastrear incidentes a um cliente em especifico. Esses provedores de Computao em Nuvem devem tambm criar um registro de proprietrios das aplicaes por interface de aplicao (URL, servios de SOA, etc.) Firewalls de aplicao, proxies e outras ferramentas de log so capacidades bsicas atualmente disponveis para suportar a resposta a incidentes em um ambiente multilocatrio.
Colaboradores da Verso Original: John Arnold, Richard Austin, Ralph Broom, Beth Cohen, Wing Ko, Hadass Harel, David Lingenfelter, Beau Monday, Lee Newcombe, Jeff Reich, Tajeshwar Singh, Alexander Windel, Richard Zhao Colaboradores da Verso Brasileira: Filipe Villar, Marcelo Carvalho
61
Domnio 10: Segurana de Aplicaes

Ambientes de nuvem em virtude de sua flexibilidade, receptividade e frequente disponibilidade pblica - desafiam muitas suposies fundamentais sobre segurana de aplicaes. Algumas destas suposies j so bem compreendidas; no entanto, muitas ainda no so. Esta seo visa documentar como a Computao em Nuvem influencia a segurana atravs do tempo de vida de uma aplicao desde o design at as operaes de desativao. Este guia para todos os stakeholders incluindo desenvolvedores de aplicaes, profissionais de segurana, pessoal de operao e gerenciamento tcnico tratando sobre a melhor forma de mitigar os riscos e gerenciar garantias em aplicaes de Computao em Nuvem. Computao em Nuvem um desafio particular para aplicaes atravs das camadas de Software como um Servio (SaaS), Platforma como um Servio (PaaS) e Infraestrutura como um Servio(IaaS). Aplicaes de software baseadas em nuvem requerem um rigor de design semelhante a aplicaes que residem em uma DMZ clssica. Isto inclui uma profunda anlise inicial cobrindo todos os tradicionais aspectos de confidencialidade, integridade e disponibilidade do gerenciamento da informao. Aplicaes em ambientes de nuvem iro tanto impactar como serem impactadas pelos seguintes aspectos principais: Arquitetura de Segurana da Aplicao Consideraes devem ser dadas realidade de que a maioria das aplicaes possui dependncias em diversos outros sistemas. Com Computao em Nuvem, as dependncias de aplicaes podem ser altamente dinmicas, at mesmo ao ponto onde cada dependncia represente uma discreta parte de um provedor de servio. As caractersticas de nuvem fazem o gerenciamento de configurao e o provisionamento contnuo significativamente mais complexos do que no desenvolvimento de aplicaes tradicionais. O ambiente leva s necessidades de modificaes arquiteturais para garantir segurana de aplicao. Ciclo de Vida de Desenvolvimento de Software (SDLC) A Computao em Nuvem afeta todos os aspectos do SDLC, abrangendo arquiteturas de aplicativos, projeto, desenvolvimento, garantia de qualidade, documentao, implantao, gerenciamento, manuteno e desativao. Conformidade Conformidade claramente afeta os dados, mas tambm influencia aplicaes (por exemplo, regulando como um programa implementa uma funo criptogrfica em particular), plataformas (talvez pela prescrio dos controles e configuraes de sistema operacional) e processos (tais como reportar requisitos para incidentes de segurana). Ferramentas e Servios A Computao em Nuvem introduz uma srie de novos desafios ao redor das ferramentas e servios requeridos para construir e manter as aplicaes em execuo. Estes desafios incluem ferramentas de desenvolvimento e teste, utilitrios de gerenciamento de aplicaes, o acoplamento com servios externos e dependncias nas bibliotecas e servios do sistema operacional, que podem ser originados de provedores de nuvem. Compreender as ramificaes de que prov, detm, opera e assume a responsabilidade por cada um destes itens fundamental.
62
Vulnerabilidades Estas incluem no somente as bem documentadas e continuamente em evoluo vulnerabilidades associadas com aplicaes web, mas tambm vulnerabilidades associadas com aplicaes SOA mquina-a-mquina, que esto sendo implantadas de modo crescente na nuvem.
Recomendaes
A segurana no ciclo de vida de desenvolvimento de software (SDLC) importante e deve abordar em alto nvel estas trs principais reas de diferenciao com desenvolvimento baseado em nuvem: 1) ameaas atualizadas e modelos de confiana, 2) ferramentas de avaliao de aplicaes para ambientes de nuvem e 3) processos de SDLC e checkpoints de qualidade para contabilizar mudanas arquiteturais de segurana para aplicaes. IaaS, PaaS e SaaS criam diferentes limites de confiana para o ciclo de vida de desenvolvimento de software; que devem ser contabilizados durante o desenvolvimento, testes e implantao de aplicaes em produo. Para IaaS, um fator chave de sucesso a presena de imagens de mquinas virtuais confiveis. A melhor alternativa a capacidade de fornecer sua prpria imagem de mquina virtual em conformidade com as polticas internas. As melhores prticas disponveis para fortificar sistemas host dentro de DMZs devem ser aplicadas para mquinas virtuais. Limitar os servios disponveis somente aqueles necessrios para suportar a pilha da aplicao apropriado. Proteger a comunicao inter-host deve ser uma regra; no pode haver nenhuma suposio de um canal seguro entre hosts, quer esteja em um data center comum ou ainda em um mesmo dispositivo de hardware. Gerenciar e proteger credenciais e materiais chave de aplicaes so pontos crticos. Cuidado adicional deve ser realizado no gerenciamento de arquivos usados para os registros (logs) e depurao (debugging) das aplicaes, bem como a localizao destes arquivos podem ser remotos ou desconhecidos e a informao confidencial. Considerao para administrao externa e multilocatrios nos modelos de ameaa da aplicao. Aplicaes suficientemente complexas para influenciar um Enterprise Service Bus (ESB) precisam proteger diretamente o ESB, influenciando um protocolo, como o WS-Security. A capacidade de segmentar ESBs no est disponvel em ambientes PaaS. Mtricas precisam ser aplicadas para avaliar a eficcia de programas de segurana de aplicao. Entre as mtricas diretas especficas de segurana disponveis esto escores de vulnerabilidade e cobertura de correes. Essas mtricas podem indicar a qualidade da codificao de aplicao. Mtricas de manipulao indireta de dados tais como o
63
percentual de dados cifrados, podem indicar que decises responsveis esto sendo tomadas a partir de uma perspectiva de arquitetura da aplicao. Provedores de nuvem devem suportar ferramentas de segurana de anlise dinmica para aplicaes web s aplicaes hospedadas em seus ambientes. Ateno deve ser dada para como os atores maliciosos iro reagir s novas arquiteturas de aplicaes de nuvem, que obscurecem componentes de aplicaes de seus exames minuciosos. Hackers tendem a atacar cdigos visveis, incluindo, mas no limitado ao cdigo que est rodando no contexto do usurio. Eles so suscetveis a atacar infraestruturas e realizar extensos testes em caixa-preta. Clientes devem obter permisso contratual para realizar avaliaes de vulnerabilidades remotas, incluindo a tradicional (rede/host) e avaliaes de vulnerabilidades de aplicaes. Muitos provedores de nuvem restringem avaliaes de vulnerabilidades devido incapacidade do provedor de distinguir tais testes de ataques reais e para evitar potenciais impactos sobre outros clientes.
Colaboradores da Verso Original: John Arnold, Warren Axelrod, Aradhna Chetal, Justin Foster, Arthur J. Hedge III, Georg Hess, Dennis Hurst, Jesus Luna Garcia, Scott Matsumoto, Alexander Meisel, Anish Mohammed, Scott Morrison, Joe Stein, Michael Sutton, James Tiller, Joe Wallace, Colin Watson Colaboradores da Verso Brasileira: Gabriel Negreira Barbosa, Jordan M. Bonagura, Lus Felipe Fres Santos
64
Domnio 11: Criptografia e Gerenciamento de Chaves

Clientes e provedores de nuvem precisam precaver-se contra perda e roubo de dados. Hoje em dia, a criptografia de dados pessoais e empresariais altamente recomendada e, em alguns casos, exigida por leis e regulamentaes ao redor do mundo. Os clientes de nuvem querem que seus provedores cifrem seus dados para assegurar que os mesmos estejam protegidos no importando onde estejam localizados fisicamente. Da mesma forma, o provedor de nuvem precisa proteger os dados sensveis de seus clientes. Criptografia forte com gerenciamento de chaves um dos mecanismos fundamentais que os sistemas de Computao em Nuvem devem utilizar para proteger dados. Embora a cifragem, por si s, no necessariamente impea a perda de dados, as disposies legais e regulamentaes tratam dados cifrados perdidos como se os mesmos no tivessem sido perdidos. A cifragem fornece proteo de recursos enquanto o gerenciamento de chaves permite o acesso a recursos protegidos. Criptografia para Confidencialidade e Integridade Ambientes de nuvem so compartilhados com muitos locatrios e provedores de servios tm acesso privilegiado aos dados que esto nesses ambientes. Portanto, os dados confidenciais hospedados em uma nuvem devem ser protegidos atravs de uma combinao de controles de acesso (ver Domnio 12), responsabilidade contratual (ver Domnios 2, 3 e 4) e criptografia, que descrevemos nesta seo. Destes trs pontos, a criptografia oferece os benefcios da mnima confiana no provedor de servios de nuvem e da independncia em casos de deteco de falhas operacionais.
Criptografar dados em trnsito atravs de redes. Existe a extrema necessidade de criptografar credenciais multiuso em trnsito atravs da Internet, tais como nmeros de carto de crdito, senhas e chaves privadas. Embora as redes de provedores de nuvem possam ser mais seguras que a Internet aberta, elas so, pela sua prpria arquitetura, compostas de muitos elementos diferentes e diferentes organizaes compartilham a nuvem. Por isso, importante proteger essas informaes sensveis e regulamentadas em trnsito at mesmo dentro da rede dos provedores de nuvem. Normalmente, isso pode ser implementado com a mesma facilidade em ambientes SaaS, PaaS e IaaS. Criptografar dados em repouso. Criptografar dados em disco ou em um banco de dados de produo ativo possui valor, visto que isto pode proteger contra um provedor de servios de nuvem malicioso ou um colocatrio mal-intencionado, bem como contra alguns tipos de abuso de aplicaes. Para o armazenamento de arquivos a longo prazo, alguns clientes criptografam seus prprios dados e ento os enviam como texto cifrado para um fornecedor de armazenamento de dados em nuvem. O cliente, ento, controla e detm as chaves criptogrficas e, se necessrio, decifra os dados em seu prprio ambiente. Criptografar dados em repouso comum dentro de ambientes IaaS utilizando uma variedade de ferramentas de terceiros e provedores. Criptografar dados em repouso dentro de ambientes PaaS , geralmente, mais complexo, necessitando instrumentao de ofertas do provedor ou customizao especial. Criptografar dados em repouso dentro de ambientes SaaS um recurso que clientes de nuvem no podem implementar diretamente e precisam solicitar a seus provedores.
65
Criptografar dados em mdias de backup. Isto pode proteger contra mau uso de uma mdia perdida ou roubada. Idealmente, o provedor de servio de nuvem implementa tal mecanismo de forma transparente. Entretanto, como cliente e provedor de dados, sua responsabilidade verificar que tal criptografia utilizada. Uma considerao para a infraestrutura de criptografia lidar com a longevidade dos dados. Alm desses usos comuns de criptografia, a possiblidade de ataques exticos contra provedores de nuvem tambm justifica uma maior explorao de meios para criptografar dados dinmicos, incluindo dados residentes em memria. Gerenciamento de Chaves Provedores de servio de nuvem existentes podem prover esquemas bsicos de chaves de criptografia para proteger o desenvolvimento de aplicaes e servios de nuvem, ou podem delegar todas essas medidas de proteo para seus clientes. Enquanto provedores de servio de nuvem esto progredindo para suportar esquemas robustos de gerenciamento de chaves, mais trabalho necessrio para superar barreiras para adoo. Padres emergentes podem solucionar este problema em um futuro prximo, mas o trabalho ainda est em desenvolvimento. Existem muitos problemas e desafios de gerenciamento de chaves dentro da Computao em Nuvem: Repositrios seguros de chaves. Repositrios de chaves devem ser protegidos assim como qualquer outro dado sensvel. Eles devem ser protegidos no armazenamento, no trnsito e nos backups. O armazenamento imprprio de chaves pode levar ao comprometimento de todos os dados cifrados. Acesso aos repositrios de chaves. O acesso a repositrios de chaves deve ser limitado s entidades que necessitem especificamente de chaves individuais. Devem existir ainda polticas que utilizem separao de papeis regendo os repositrios de chaves, para auxiliar o controle de acessos; uma entidade que utiliza uma dada chave no deve ser a mesma entidade que a armazena. Backup e recuperao de chaves. Perda de chaves inevitavelmente significa perda dos dados que as mesmas protegem. Enquanto isso uma forma efetiva para destruir dados, a perda acidental de chaves que protegem dados crticos fundamentais de organizaes seria devastadora para um negcio; ento, solues seguras de backup e recuperao devem ser implementadas. Existem vrios padres e diretrizes aplicveis ao gerenciamento de chaves na nuvem. O Key Management Interoperability Protocol (KMIP), da OASIS, um padro emergente para um gerenciamento de chaves interopervel na nuvem. Os padres IEEE 1619.3 cobrem criptografia de armazenamento e gerenciamento de chaves, especialmente no que diz respeito a armazenamento IaaS.
Recomendaes Utilizar criptografia para separar posse de dados de uso de dados.
Segregar o gerenciamento de chaves do provedor de nuvem que hospeda os dados, criando uma cadeia de separao. Isso protege tanto o provedor quanto o cliente
66
de nuvem de conflitos quando houver obrigao de fornecer dados devido a um mandato legal. Quando estipular a criptografia em linguagem de contrato, assegurar que a criptografia adira a padres existentes de indstria e governo, como for aplicvel. Tomar conhecimento de como, as instalaes do provedor de nuvem provm gerenciamento de papis e separao de funes. Nos casos onde o provedor de nuvem deve efetuar o gerenciamento de chaves, se inteirar se o provedor possui processos definidos para um ciclo de vida do gerenciamento de chaves: como as chaves so geradas, utilizadas, armazenadas, submetidas a backup, recuperadas, rotacionadas e apagadas. Alm disso, tomar conhecimento se a mesma chave utilizada para todos os clientes ou se cada cliente tem seu prprio conjunto de chaves. Assegurar que dados regulamentados e/ou sensveis de clientes sejam criptografados quando estiverem em trnsito atravs da rede interna do provedor de nuvem, alm de serem criptografados quando estiverem em repouso. A responsabilidade de implementar tal recomendao do cliente de nuvem em ambientes IaaS, de ambos (provedor e cliente) em ambientes PaaS e do provedor de nuvem em ambientes PaaS. Em ambientes IaaS, se inteirar como informaes sensveis e materiais chave quando no protegidos por criptografia tradicional podem ser expostos durante o uso. Por exemplo, arquivos de swap de mquinas virtuais e outros locais temporrios de armazenamento de dados podem tambm necessitar ser criptografados.
Colaboradores da Verso Original: John Arnold, Girish Bhat, Jon Callas, Sergio Loureiro, Jean Pawluk, Michael Reiter, Joel Weise Colaboradores da Verso Brasileira: Dino Amaral, Eder Alvares Pereira de Souza, Gabriel Negreira Barbosa, Jimmy Cury, Jordan M. Bonagura, Julio Graziano Pontes, Raphael Sanches
67
Domnio 12: Gerenciamento de Identidade e Acesso.

O gerenciamento de identidades e controle de acesso para aplicaes corporativas permanece um dos maiores desafios enfrentados atualmente por TI. Mesmo que uma empresa possa viabilizar vrios servios de Computao em Nuvem sem uma boa estratgia de gerenciamento de identidade e acesso, em longo prazo, estender os servios de identidade da empresa nuvem ser um requisito necessrio para o uso de servios de computao sob demanda. Suportar a atual adoo agressiva de um ecossistema reconhecidamente imaturo de nuvem requer uma sincera avaliao de quo preparada est a empresa para conduzir o Gerenciamento de Identidade e Acesso GIA (Identity and Access Management - IAM) baseado na nuvem, assim como entender as capacidades de seus provedores de servio de nuvem. Discutiremos as principais funes do IAM essenciais para o gerenciamento efetivo e bem sucedido de identidades na nuvem: Provisionamento / desaprovisionamento de identidade Autenticao Federao Autorizao & gerenciamento de perfil de usurios
Conformidade uma considerao chave em todos os pontos. Provisionamento de Identidade: Um dos maiores desafios para a adoo de servios de Computao em Nuvem pelas empresas o gerenciamento seguro e gil da concesso (provisionamento) e revogao (desaprovisionamento) de usurios na nuvem. Alm disso, as organizaes que investem em processos de gerenciamento de usurios dentro da empresa buscaro estender esses processos e prticas aos servios de nuvem. Autenticao: Quando as organizaes comeam a utilizar os servios de nuvem, autenticar usurios de uma forma confivel e gerencivel uma exigncia vital. As organizaes devem resolver os desafios relacionados autenticao, como o gerenciamento de credenciais, autenticao forte (tipicamente definida como autenticao multifator), delegao de autenticao e gerenciamento de confiana para todos os tipos de servios de nuvem. Federao: Em um ambiente de Computao em Nuvem, o Gerenciamento de Identidades Federadas tem um papel fundamental ao permitir que as organizaes autentiquem seus usurios de servios de nuvem usando o provedor de identidade por ela escolhido (PId). Nesse contexto, trocar atributos de identidade entre o provedor de servios (PS) e o PId de uma forma segura tambm uma exigncia importante. As organizaes que consideram o gerenciamento de identidades federadas na nuvem precisam entender os vrios desafios e possveis solues com respeito ao gerenciamento do ciclo de vida da identidade, mtodos de autenticao disponveis para proteger a confidencialidade e a integridade; ao mesmo tempo em que suportam o norepdio. Autorizao & gerenciamento de perfil de usurios: As exigncias para a poltica de controle de acesso e perfis dos usurios variam conforme o usurio est agindo em nome prprio (como um consumidor) ou como um membro de uma organizao (como um funcionrio, universidade, hospital ou outra empresa). As exigncias de controle de acesso em ambientes de SPI incluem estabelecer o perfil de usurio confivel e a informao da poltica, usando-os para controlar o acesso ao servio de nuvem, executando isto de uma forma auditvel.
68
Provisionamento de Identidade Recomendaes

As capacidades oferecidas pelos provedores de nuvem atualmente no so adequadas s exigncias das empresas. Os clientes devem evitar solues proprietrias assim como criar conectores personalizados unicamente para os provedores de nuvem, j que isto aumenta a complexidade do gerenciamento. Os clientes devem usar conectores padro fornecidos pelos provedores de nuvem como uma medida prtica, preferencialmente construdos no esquema SPML. Se seu provedor de nuvem no oferece SPML, voc dever solicit-lo. Os clientes de nuvem devem modificar ou estender seus repositrios autoritativos de identidade de tal forma que englobem as aplicaes e processos na nuvem.
Autenticao Recomendaes Ambos, provedor de servios de nuvem e empresas clientes, devem considerar os desafios associados ao gerenciamento de credenciais e autenticao forte e implementar solues de baixo custo que reduzam apropriadamente o risco. Provedores de SaaS e PaaS fornecem tipicamente duas opes: servios prprios de autenticao para suas aplicaes ou plataformas, ou delegar a autenticao s empresas. Os clientes tm as seguintes opes: Autenticao para empresas. As empresas devem considerar autenticar os usurios atravs de seus Provedores de Identidade (PId) e estabelecer confiana com o fornecedor de SaaS atravs da federao. Autenticao para usurios individuais agindo por conta prpria. As empresas devem considerar usar autenticao centrada em usurio como do Google, Yahoo, OpenID, Live ID, etc., para permitir o uso de um conjunto nico de credenciais vlido para mltiplos sites. Qualquer provedor de SaaS que requeira mtodos proprietrios para delegar a autenticao (ex. manipulao de confiana por meio de um cookie criptografado compartilhado ou outros meios) deve ser cuidadosamente avaliado com uma anlise de segurana adequada, antes de continuar. A preferncia geral deve ser para o uso de padres abertos. Para IaaS, estratgias de autenticao podem usar as capacidades existentes da empresa. Para o pessoal de TI, estabelecer uma VPN dedicada ser uma opo melhor, j que se pode aproveitar sistemas e processos existentes. Algumas possveis solues incluem a criao de um tnel da VPN dedicado para a rede corporativa ou da federao. Um tnel da VPN dedicado funciona melhor quando a aplicao usa
69
os sistemas existentes de gerenciamento de identidade (como uma soluo de autenticao baseada em SSO ou LDAP que fornece uma fonte autorizada de dados de identidade). Em casos onde um tnel VPN dedicado no factvel, as aplicaes devem ser desenhadas para aceitar os pedidos de autenticao em vrios formatos (SAML, Federao-WS, etc), combinadas com criptografia padro de rede como SSL. Esta abordagem permite s organizaes implantar SSO federados no apenas dentro da empresa, mas tambm para aplicaes na nuvem. OpenID outra opo quando a aplicao direcionada para alm dos usurios corporativos. Contudo, pelo fato do controle das credenciais do OpenID estar fora da empresa, os privilgios de acesso fornecido a estes usurios deve ser limitado. Qualquer servio local de autenticao implementado pelo provedor de servios de nuvem deve estar em conformidade com o OATH. Com uma soluo com suporte a OATH, as empresas podem evitar ficar presas a credenciais de autenticao fornecidas por um fabricante. Para permitir a autenticao forte (independente da tecnologia), as aplicaes de nuvem devem suportar a caracterstica de delegar a autenticao para a empresa que est consumindo os servios, como atravs de SAML. Os provedores de nuvem devem considerar o suporte a vrias opes de autenticao forte, tais como senhas de um nico uso (OTP), biometria, certificados digitais e Kerberos. Isto oferecer outra opo s empresas de usar sua infraestrutura existente. Recomendaes de Federao Em um ambiente de Computao em Nuvem, a federao de identidade chave para permitir a empresas aliadas se autenticar, prover Single-Sign-On (SSO)ou Reduced-Sign-On e trocar atributos de identidade entre o provedor de servios (PS) e o provedor de Identidade ( PId). As organizaes, ao considerar o gerenciamento de identidades federadas na nuvem devem entender os vrios desafios e possveis solues relacionadas ao gerenciamento do ciclo de vida da identidade, mtodos de autenticao, formatos de token e no-repdio. As empresas que buscam por um provedor de nuvem devem verificar se o provedor suporta ao menos um dos padres proeminentes (SAML e Federao-WS). SAML est despontando como um padro de federao amplamente suportado e utilizado pelos principais provedores de SaaS e PaaS. Suporte a mltiplos padres permite um alto grau de flexibilidade. Os provedores de nuvem devem ter flexibilidade para aceitar os formatos padr o de federao de diferentes provedores de identidade. Contudo, as maiorias dos provedores de servios de nuvem, na poca deste documento, s suportavam um nico padro, ex. SAML 1.1 ou SAML 2.0. Os provedores de servios de nuvem que desejam suportar mltiplos formatos de token de federao devem considerar a implementao de algum tipo de gateway de federao. As organizaes podem avaliar SSO Pblico Federado versus SSO Privado Federado. SSO Pblico Federado baseado em padres como SAML e Federao-WS com o provedor de servios
70
de nuvem, enquanto Federado Privado utiliza a arquitetura existente sobre VPN. A longo prazo, o SSO Pblico Federado seria o ideal, enttretanto, em empresas com uma arquitetura madura de SSO e com um nmero limitado de implementaes em nuvem, pode-se ganhar benefcios de custo de curto prazo com o SSO Privado Federado. As organizaes podem optar por gateways de federao para externalizar sua implementao, de forma a gerenciar a emisso e verificao de tokens. Usando este mtodo, as organizaes delegam a emisso de vrios tipos de token para o gateway da federao, que ento manipula a traduo de tokens de um formato para outro. Recomendaes de Controle de Acesso Ao selecionar ou revisar a adequao das solues de controle de acesso para servios de nuvem existem muitos aspectos que implicam considerar o seguinte: Revisar a adequao do modelo de controle de acesso para o tipo de servio ou dados. Identificar as fontes autoritativas de poltica e informaes de perfil do usurio. Avaliar o suporte s polticas de privacidade necessrias para os dados. Selecionar um formato no qual especificar a poltica e a informao do usurio. Determinar o mecanismo para transmitir a poltica de um Ponto de Administrao da Poltica (PAP) para um Ponto de Deciso da Poltica (PDP). Determinar o mecanismo para transmitir a informao do usurio de um Ponto de Informao da Poltica (PIP) para um Ponto de Deciso da Poltica (PDP). Solicitar uma deciso de poltica de um Ponto de Deciso de Poltica (PDP). Aplicar a deciso de poltica no Ponto de Cumprimento de Poltica (PCP). Registrar a informao necessria para auditorias. Recomendao de IDaaS Identity as a Service (IDaaS) deve seguir as mesmas boas prticas que uma implementao interna que o IAM utiliza, alm de consideraes adicionais para privacidade, integridade e auditoria. Para os usurios corporativos internos, tutores devem revisar as opes dos provedores de servio de nuvem para oferecer acesso seguro, seja atravs de uma VPN direta ou atravs de um padro da indstria como o SAML e autenticao forte. A reduo de custos advinda do uso da nuvem necessita ser balanceada contra as medidas de mitigao dos riscos para enderear as
71
consideraes de privacidade inerentes ao fato de se ter as informaes dos colaboradores armazenadas externamente. Para os usurios externos como parceiros, os donos da informao necessitam incorporar as interaes com os provedores de IAM dentro de seu SDLC, assim como em suas anlises de ameaas. Segurana da aplicao as interaes entre os vrios componentes e as vulnerabilidades criadas por essa situao (tal como SQL Injection e Cross Site Scripting, dentre muitas outras) devem ser tambm consideradas e protegidas. Os clientes de PaaS devem pesquisar a dimenso em que os fornecedores de IDaaS suportam os padres da indstria para provisionamento, autenticao, comunicao de polticas de controle de acesso e informao de auditoria. Solues proprietrias apresentam um risco significativo para os componentes de um ambiente de IAM na nuvem, por causa da falta de transparncia dos componentes proprietrios. Protocolos de rede proprietrios, algoritmos de encriptao e comunicao de dados so frequentemente menos seguros e menos interoperveis. importante usar normas abertas para os componentes do IAM que voc utilizar externamente. Para os clientes de IaaS, imagens de terceiros usadas para iniciar os servidores virtuais precisam ser analisadas para verificar a autenticidade do usurio e da imagem. Uma reviso do suporte fornecido para o gerenciamento do ciclo de vida da imagem deve verificar os mesmos princpios do software instalado em sua rede interna. Colaboradores da Verso Original: Subra Kumaraswamy, Sitaraman Lakshminarayanan, Michael Reiter, JosephStein e Yvonne Wilson. Colaboradores da Verso Brasileira: Hernan Armbruster, Jordan M. Bonagura, Julio Graziano Pontes, Miguel Macedo
72
Domnio 13 - Virtualizao
A capacidade de prover servios em nuvem multilocao no nvel de infraestrutura, plataforma, ou aplicativo frequentemente sustentada pela habilidade em prover alguma forma de virtualizao para criar escala econmica. Contudo, o uso dessas tecnologias traz preocupaes adicionais relacionadas segurana. Este domnio relaciona-se a essas questes de segurana. Enquanto existem diversas formas de virtualizao, de longe a mais comum est relacionada a sistemas operacionais virtualizados, e este o foco nesta verso do nosso guia. Se a tecnologia de mquina virtual (VM) est sendo usada na infraestrutura de servios de nuvem, ento devemos nos preocupar com a compartimentalizao e elevao do nvel de segurana destes sistemas virtuais. A realidade das prticas atuais relacionadas ao gerenciamento de sistemas operacionais virtuais que muitos dos processos que fornecem segurana por padro esto ausentes e ateno especial deve ser dada para substitu-los. O ncleo da tecnologia de virtualizao por si s introduz novas interfaces de ataque no hypervisor e outros componentes de gerenciamento, mas o mais importante so os vrios impactos que tem a virtualizao na segurana de rede. Mquinas virtuais agora se comunicam sobre um backplane de hardware, ao invs de rede. Como resultado, controles padro de segurana de rede no enxergam esse trfego e no podem realizar monitoramento ou bloqueio em linha. Esses controles precisam de uma nova forma para funcionar dentro do ambiente virtual. O agrupamento de dados em servios centralizados e repositrios outra preocupao. Uma base de dados centralizada e fornecida por um servio de computao de nuvem deve teoricamente melhorar a segurana sobre os dados distribudos sobre um vasto nmero e variedade de clientes finais. Contudo, isto tambm uma centralizao de risco, aumentando as consequncias de uma falha na segurana. Outra preocupao o agrupamento de mquinas virtuais que manipulam informaes de diferentes nveis de sensibilidades e segurana. Em ambientes de Computao em Nuvem, o menor denominador comum de segurana ser compartilhado por todos os clientes/usurios dentro do ambiente virtual a no ser que uma nova arquitetura de segurana possa ser alcanada de modo que no esteja amarrada a qualquer dependncia de rede para proteo.
Recomendaes
Identificar quais tipos de virtualizao seu provedor de nuvem usa, se houver. Sistemas operacionais virtualizados devem ser protegidos por tecnologia de terceiros para fornecer controles de segurana em camadas e reduzir a dependncia unicamente sobre o provedor de plataforma. Compreender quais controles de segurana esto implementados dentro das mquinas virtuais alm do isolamento incorporado do hypervisor tais como deteco de intruses, antivrus, escaneamento de vulnerabilidades, etc. Configurao segura por padro deve ser assegurada por seguir ou exceder os padres definidos pelas melhores prticas da indstria.
73
Compreender quais controles de segurana esto implementados externamente s mquinas virtuais para proteger interfaces administrativas (baseadas na web, APIs, etc.) expostas para os clientes. Validar a procedncia e integridade de qualquer mquina virtual ou modelo originado do provedor de nuvem antes de utiliz-la. Mecanismos de segurana especficos de mquinas virtuais embarcados dentro das APIs do hypervisor devem ser utilizados para prover monitorao granular do trfego atravessando os backplanes das mquinas virtuais, os quais so opacos aos controles tradicionais de segurana de rede. Acesso administrativo e controle de sistemas operacionais virtualizados so cruciais e devem incluir autenticao forte integrada ao gerenciamento de identidade corporativo, bem como mecanismo de registro prova de falsificao e ferramentas de monitoramento de integridade. Considerar a eficcia e viabilidade de segregar mquinas virtuais criando zonas de segurana por tipo de uso (estao x servidor), etapas de produo (desenvolvimento, produo, teste) e sensibilidade dos dados em componentes fsicos de hardware separados como servidores, armazenamento, etc. Ter um mecanismo de relatrios que fornea evidncias de isolao e emita alertas caso ocorra uma violao. Estar ciente em situaes de multilocao envolvendo suas mquinas virtuais onde preocupaes regulatrias podem requerer sua segregao.
Colaboradores da Verso Original: Bikram Barman, Girish Bhat, Sarabjeet Chugh, Philip Cox, Joe Cupano, Srijith K. Nair, Lee Newcombe, Brian OHiggins. Colaboradores da Verso Brasileira: Alessandro Trombini, Jimmy Cury, Jordan M. Bonagura, Julio Graziano Pontes, Lus Felipe Fres Santos
74
Referencias
A guide to security metrics. SANS Institute, June 2006. http://www.sans.org Amazon EC2 API - http://docs.amazonwebservices.com/AWSEC2/2006-10-01/DeveloperGuide/ Amazon Elastic Compute Cloud Developer Guide, http://docs.amazonwebservices.com/AWSEC2/2009-03-01/DeveloperGuide/ Amazon Simple Queue Service Developer Guide, http://docs.amazonwebservices.com/AWSSimpleQueueService/2008-0101/SQSDeveloperGuide/ Amazon Simple Storage Service Developer Guide, http://docs.amazonwebservices.com/AmazonS3/2006-03-01/ Amazon SimpleDB Developer Guide, http://docs.amazonwebservices.com/AmazonSimpleDB/2007-11-07/DeveloperGuide/ Amazon web services blog: Introducing amazon virtual private cloud (vpc), Amazon, August 2009. http://aws.typepad.com/aws/2009/08/introducing-amazon-virtual-private-cloud-vpc.html Amazon Web Services: Overview of Security Processes, September 2008 An Innovative Policy-based Cross Certification methodology for Public Key Infrastructures. Casola V., Mazzeo A., Mazzocca N., Rak M. 2nd EuroPKI Workshop. Springer-Verlag LNCS 35. Editors: D. Chadwick, G. Zhao. 2005. Auditing the Cloud, Grid Gurus, http://gridgurus.typepad.com/grid_gurus/2008/10/auditing-thecl.html, October 20, 2008 Azure Services Platform, http://msdn.microsoft.com/en-us/library/dd163896.aspx Balanced Scorecard for Information Security Introduction, Published: March 06, 2007, http://technet.microsoft.com/en-us/library/bb821240.aspx BITS Kalculator and BITS Financial Services Shared Assessments Program (third party provider assessment methodology) Building Security In Maturity Model, http://www.bsi-mm.com/ Business case for a comprehensive approach to identity and access management, May 2009 https://wiki.caudit.edu.au/confluence/display/CTSCIdMWG/Business+case Business Roundtable, Principles of Corporate Governance, 2005 Business Roundtable, Statement on Corporate Governance, 1997. Business Software Alliance, Information Security Governance: Towards a Framework for Action Centers for Medicare and Medicaid Services Information Security Risk Assessment Methodology
75
Cloud Computing and Compliance: Be Careful Up There, Wood, Lamont, ITWorld, January 30, 2009 Cloud computing definition, by P. Mell and T. Grance, NIST June 2009. http://csrc.nist.gov/groups/SNS/cloud-computing/index.html Cloud Computing is on the Up, but what are the Security Issues?, Mather, Tim, Secure Computing Magazine (UK), March 2, 2009. Cloud Computing Use Case Group Whitepaper -http://www.scribd.com/doc/17929394/CloudComputing-Use-Cases-Whitepaper Cloud computing use cases whitepaper, August 2009. http://www.scribd.com/doc/17929394/Cloud-Computing-Use-Cases-Whitepaper Cloud computing use cases whitepaper, August 2009. http://www.scribd.com/doc/17929394/Cloud-Computing-Use-Cases-Whitepaper Cloud computing vocabulary (cloud computing wiki) http://sites.google.com/site/cloudcomputingwiki/Home/cloud-computing-vocabulary Cloud Computing: Bill of Rights, http://wiki.cloudcomputing.org/wiki/CloudComputing:Bill_of_Rights Cloud Cube Model: Selecting Cloud Formations for Secure Collaboration, Jericho Forum, V 1.0, April 2009 Cloud Security and Privacy An Enterprise perspective on Risks and Compliance from OReilly - http://oreilly.com/catalog/9780596802776/ Cloud Standards Organization - http://cloud-standards.org/ Cloud Storage Strategy, Steve Lesem, July 19, 2009, http://www.cloudstoragestrategy.com/2009/07/cloud-storage-and-the-innovators-dilemma.html Common Configuration Scoring System (CCSS): Metrics for Software Security Configuration Vulnerabilities (DRAFT), 2009. http://csrc.nist.gov/publications/drafts/nistir-7502/DraftNISTIR-7502.pdf Contracting for Certified Information Security: Model Contract Terms and Analysis (published by the Internet Security Alliance and available at www.cqdiscovery.com) Contracting for Information Security: Model Contract Terms (published by the Internet Security Alliance and available at www.cqdiscovery.com) CPMC ClearPoint Metric Catalog, 2009 Online Available: http://www.clearpointmetrics.com/newdev_v3/catalog/MetricApplicationPackage.aspx CVSS A Complete Guide to the Common Vulnerability Scoring System, Version 2.0, 2007 Online Available: http://www.first.org/cvss/cvss-guide.html
76
Data Lifecycle Management Model Shows Risks and Integrated Data Flow, by Ernie Hayden, Information Security Magazine, July 2009 http://searchsecurity.techtarget.com/magazineFeature/0,296894,sid14_gci1321704_mem1,00.htm l Data Privacy Clarification Could Lead to Greater Confidence in Cloud Computing, Raywood, Dan, Secure Computing Magazine (UK), March 9, 2009. Defending Electronic Mail as EvidenceThe Critical E-Discovery Questions, Jeffrey Ritter, (available at www.cqdiscovery.com) Does Every Cloud Have a Silver Compliance Lining?, Tom McHale, July 21, 2009 Online Available: http://blog.ca-grc.com/2009/07/does-every-cloud-have-a-silver-Compliance-lining/ Encryption of Data At-Rest: Step-by-step Checklist, a whitepaper prepared by the Security Technical Working Group of the Storage Network Industry Association (SNIA). ENISA - http://www.enisa.europa.eu/ Fedora Infrastructure Metrics, 2008. http://fedoraproject.org/wiki/Infrastructure/Metrics Few Good Information Security Metrics, By Scott Berinato, July 2005 Online Available: http://www.csoonline.com/article/220462/A_Few_Good_Information_Security_Metrics Force.com Web Services API Developers Guide, http://www.salesforce.com/us/developer/docs/api/index.htm Global Privacy & Security, Francoise Gilbert, (Aspen Publishing 2009). GoGrid API - http://wiki.gogrid.com/wiki/index.php/API GSA to launch online storefront for cloud computing services, August 2009. http://www.nextgov.com/nextgov/ng_20090715_3532.php Guidelines for Media Sanitization, NISTs Special Publication 800-88 Hey, You, Get Off of My Cloud: Exploring Information Leakage in Third-Party Compute Clouds, T. Ristenpart, et al, http://blog.odysen.com/2009/06/security-and-identity-as-service-idaas.html http://blogs.forrester.com/srm/2007/08/two-faces-of-id.html http://blogs.intel.com/research/2008/10/httpseverywhere_encrypting_the.php http://code.google.com/apis/accounts/docs/AuthForWebApps.html http://code.google.com/apis/accounts/docs/OpenID.html http://csrc.nist.gov/groups/SNS/cloud-computing/index.html
77
http://csrc.nist.gov/publications/nistpubs/800-53-Rev2/sp800-53-rev2-final.pdf http://csrc.nist.gov/publications/nistpubs/800-53-Rev3/sp800-53-rev3-final-errata.pdf http://csrc.nist.gov/publications/PubsSPs.html http://en.wikipedia.org/wiki/Statement_on_Auditing_Standards_No._70:_Service_Organizations http://www.aspeninstitute.org/publications/identity-age-cloud-computing-next-generationinternets-impact-business-governance-socia http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=kmip http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml http://www.sas70.com https://siswg.net/index.php?option=com_docman&task=cat_view&gid=21&Itemid=99999999 Information Security Governance: A Call to Action, National Cyber Security Summit Task Force, Corporate Governance Task Force Report, April 2004. Information Security Law: Emerging Standard for Corporate Compliance, Thomas Smedinghoff, (ITGP 2008). ISACA, IT Governance Institute, Control Objectives for Information and related Technology (CobiT), 4.1 ISO/IEC 19011:2002 Guidelines for quality and/or environmental management systems auditing ISO/IEC 20000-1:2005 Information technologyservice managementPart 1: Specification ISO/IEC 20000-1:2005 Information technologyservice managementPart 2: Code of practice ISO/IEC 21827:2008 Information technologySystems Security EngineeringCapability Maturity Model (SSE-CMM) ISO/IEC 27000:2009 Information technologySecurity techniquesInformation security management systemsOverview and vocabulary ISO/IEC 27001:2005 Information technologySecurity techniquesInformation security management systemsRequirements. ISO/IEC 27002:2005 Information technologySecurity techniquesCode of practice for information security management ISO/IEC 27005:2008 Information technologyInformation security techniquesInformation security risk management ISO/IEC 27006:2007 Information technologySecurity techniquesRequirements for bodies providing audit and certification of information security management systems
78
ISO/IEC 28000:2007 Specification for security management systems for the Supply Chain ISO/IEC 38500:2008 Corporate governance of information technology IT Governance Institute, Board Briefing on Governance, 2nd Edition, 2003 IT Governance Institute, Information Security Governance: Guidance for Boards of Directors and Executive Management, 2nd Edition, 2006 ITGI Enterprise Risk: Identify Govern and Manage IT RiskThe Risk IT Framework, Exposure Draft version 0.1 February 2009. Jericho Forum - http://www.opengroup.org/jericho/ and the Jericho Cloud Cube model http://www.opengroup.org/jericho/cloud_cube_model_v1.0.pdf Justify Identity Management Investment with Metrics, by Roberta J. Witty, Kris Brittain and Ant Allan, 23 Feb 2004. Gartner Research ID number TG-22-1617. Managing Assurance, Security and Trust for Services. Online. Available: http://www.masterfp7.eu/ National Association for Information Destruction Inc http://www.naidonline.org/forms/cert/cert_program_us.pdf NIST Guidelines for Media Sanitization (800-88) - http://csrc.nist.gov/publications/nistpubs/80088/NISTSP800-88_rev1.pdf NIST Recommended Security Controls for Federal Information Systems (SP800-53) NIST SP 800-30 Risk Management Guide for Information Technology Systems OATH- http://www.openauthentication.org OCEG, Foundation Guidelines Red Book, v1 10/27/2008 OCTAVE-S Implementation Guide, Christopher Alberts, Audrey Dorofee, James Stevens, Carol Woody, Version 1, 2005 OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security Open Cloud Computing Interface Working Group - http://www.occi-wg.org/doku.php Open Security Architecture Group - http://www.opensecurityarchitecture.org OpenCrowd - http://www.opencrowd.com/views/cloud.php OpenID http://openid.net
79
OpenID attribute exchange http://openid.net/specs/openid-attribute-exchange-1_0.htmlOAuth (created by a small group of individuals) http://OAuth.net/ OpenSocial sharing SOCial networking information http://www.opensocial.org/ ORCM Overcoming Risk And Compliance Myopia, August 2006 Online Available: http://logic.stanford.edu/POEM/externalpapers/grcdoc.pdf OSAG Security Landscape - http://www.opensecurityarchitecture.org/cms/foundations/osalandscape OWASP Top Ten Project, http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project Princeton Startup Lawyer, Company Formation-Fiduciary Duties (the basics), June 17, 2009, http://princetonstartuplawyer.wordpress.com/2009/06/17/company-formation-fiduciary-dutiesthe-basics/ Python Runtime Environment, http://code.google.com/appengine/docs/ Rackspace API - http://www.rackspacecloud.com/cloud_hosting_products/servers/api Sailing in Dangerous Waters: A Directors Guide to Data Governance, E. Michael Power & Roland L. Trope, (American Bar Association, 2005). SAML- http://www.oasis-open.org/specs/index.php#saml Security Guidance for Critical Areas of Focus in Cloud Computing, Version 1, by Cloud Security Alliance, April 2009 Service Level Agreements: Managing Cost and Quality in Service Relationships, Hiles, A. (1993), London:Chapman & Hall SNIA Encryption of Data At Rest: A Step-by-Step Checklist http://www.snia.org/forums/ssif/knowledge_center/white_papers/forums/ssif/knowledge_center/ white_papers/Encryption-Steps-Checklist_v3.060830.pdf SNIA Introduction to Storage Security http://www.snia.org/forums/ssif/knowledge_center/white_papers/Storage-SecurityIntro1.051014.pdf SNIA Storage Security Best Current Practices http://www.snia.org/forums/ssif/forums/ssif/programs/best_practices/ Storage Security Best Current Practices (BCPs) by the Security Technical Working Group of SNIA Sun Project Kenai API - http://kenai.com/projects/suncloudapis The Committee of Sponsoring Organizations of the Treadway Commission (COSO), Enterprise Risk ManagementIntegrated Framework (2004). The Darker Side of Cloud Computing, by Matthew D. Sarrel, PC Mag.com, February 1, 2009
80
The Force.com Workbook, http://wiki.developerforce.com/index.php/Forcedotcomworkbook The Institute of Internal Auditors, Critical Infrastructure Assurance Project, Information Security Governance: What Directors Need to Know, 2001 The International Grid Trust Federation (IGTF). http://www.igtf.net United States General Accounting Office, Information Security Risk Assessment Practices of Leading Organizations, 1999. United States Sentencing Commission, Guidelines Manual vCloud API - http://www.vmware.com/solutions/cloud-computing/vcloud-api.html Where Were Headed: New Developments and Trends in the Law of Information Security, Thomas J. Smedinghoff, Privacy and Data Security Law Journal, January 2007, pps. 103-138 Windows Azure SDK, http://msdn.microsoft.com/en-us/library/dd179367.aspx Windows Cardspace - http://msdn.microsoft.com/en-us/library/aa480189.aspx WS-Federation : http://docs.oasis-open.org/wsfed/federation/v1.2/os/ws-federation-1.2-specos.html
81

Cloud Security Alliance - Segurança em Nuvem

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Cloud Security Alliance - Segurança em Nuvem

Enviado por

Direitos autorais:

Formatos disponíveis

Guia de Segurana

reas Crticas Focado

Computao em Nuvem V2.1

Cloud Security Alliance Brazilian Chapter

Guia de Segurana para reas Crticas Focado em Computao em Nuvem V2.1

Copyright 2009 Cloud Security Alliance

Guia de Segurana para reas Crticas Focado em Computao em Nuvem V2.1

Copyright 2009 Cloud Security Alliance

Diretoria Cloud Security Alliance

Copyright 2009 Cloud Security Alliance

Agradecimentos da verso Brasileira

Carta dos Editores

Copyright 2009 Cloud Security Alliance

Glenn Brunette Rich Mogull Editores

Copyright 2009 Cloud Security Alliance

Identificar o Ativo Para Implantao na Nuvem

Copyright 2009 Cloud Security Alliance

Mapear o Ativo ao Modelo de Implantao em Potencial

Avalie Potenciais Modelos de Servios na Nuvem e Provedores

Copyright 2009 Cloud Security Alliance

Esboar o Potencial Fluxo de Dados

Copyright 2009 Cloud Security Alliance

Seo I. Arquitetura da Nuvem

Copyright 2009 Cloud Security Alliance

Domnio 1: Framework da Arquitetura de Computao em Nuvem

O que Computao em Nuvem?

Copyright 2009 Cloud Security Alliance

O que compreende a Computao em Nuvem?

Figura 1 Modelo Visual de Definio de Computao em Nuvem do NIST

Copyright 2009 Cloud Security Alliance

Caractersticas Essenciais de Computao em Nuvem

Copyright 2009 Cloud Security Alliance

Modelos de Servios de Nuvem

Copyright 2009 Cloud Security Alliance

Modelos de Implantao de Nuvem

Copyright 2009 Cloud Security Alliance

Copyright 2009 Cloud Security Alliance

Modelos de Referncia de Nuvem

Figura 3 Modelo de Referncia de Nuvem

Copyright 2009 Cloud Security Alliance

Copyright 2009 Cloud Security Alliance

Figura 4 - Taxonomia OpenCrowd

Modelo de Referncia de Segurana em Nuvem

Copyright 2009 Cloud Security Alliance

Copyright 2009 Cloud Security Alliance

A tabela a seguir sumariza esses pontos:

Tabela Modelos de Implantao da Nuvem

Figura 5 Modelo Cloud Cube do Jericho

Copyright 2009 Cloud Security Alliance

Copyright 2009 Cloud Security Alliance

O que Segurana para Computao em Nuvem?

Copyright 2009 Cloud Security Alliance

Copyright 2009 Cloud Security Alliance

Figura 7 Como a Segurana Integrada

Alm da Arquitetura: As reas de Ateno Crtica

Governana e Gesto de Riscos Corporativos

Copyright 2009 Cloud Security Alliance

Aspectos Legais e Electronic Discovery

Gesto do Ciclo de Vida da Informao

Copyright 2009 Cloud Security Alliance

Operao do Data Center

Resposta a Incidentes, Notificao e Correo