Segurana e Privacidade em Cloud Computing Pblica

por Mike Danseglio - 8 de fevereiro de 2012 Verso para impresso

Viso global
H muita confuso sobre a segurana do uso de computao em nuvem pblica. Eu ouo perguntas sobre segurana de dados em segurana repouso, em trnsito, e como um segredo prestador dever manter os dados armazenados quando eu falar em uma conferncia ou uma aula. O governo dos EUA tambm ouve estas questes, tanto de dentro e fora do governo. O Instituto Nacional de Padres e Tecnologia (NIST), parte do Departamento de Comrcio dos EUA, geralmente responsvel pela emisso de orientao de segurana e ajudou a criar e publicar orientaes sobre o endurecimento do sistema operacional e de processamento de dados seguro. NIST responde a muitas das perguntas de nuvens pblicas de segurana com publicao especial 800-144, orientaes sobre segurana e privacidade na computao em nuvem pblica . Publicado em dezembro de 2011, este relatrio pgina 80 abrangente em ambas as orientaes que definem a computao em nuvem e fornecer para us-lo de uma forma segura e privada. 80 pginas um pouco de uma leitura longa. O que voc precisa saber sobre SP 800-144 melhor pensar em cinco reas de interesse geral. Eu resumir essas reas como polticas e prticas, tecnologias de segurana fracos, tecnologias disponibilidade fracos, as expectativas de segurana diferentes, e meu favorito pessoal, a atenuao de especializao. Estes temas sero cada ser o foco de artigos futuros, mas um resumo inicial mostra que as preocupaes do NIST so. Ao ler estes, voc pode notar que NIST quebrou as preocupaes para baixo em meus trs categorias favoritas de tpicos de segurana: pessoas, processos e tecnologia. Isso intencional, como voc pode usar as mesmas categorias para praticamente qualquer anlise de segurana ou de contramedidas plano.

Polticas e Prticas
Como qualquer profissional de TI que passou por uma auditoria pode dizer, documentao de processos e aderncia so muitas vezes o ponto fraco de TI. A maioria das organizaes de TI so pelo menos moderadamente fraca nesta rea. Provedores de cloud computing pblicos so, em sua essncia, as organizaes de TI que devem documentar e conformidade com as polticas e prticas.Quando essas polticas no conseguem atender ou exceder as suas actuais polticas de TI, eles se tornam o ponto fraco em sua infraestrutura de segurana. Como exemplo, o grupo de TI, provavelmente, tem uma poltica que os administradores usar uma credencial de login de administrador no-quando a verificao de e-mail e navegar na web. (Nota: Se voc no tem essa poltica, pare de ler e cri-lo) Se o provedor

de nuvem pblica no tem essa poltica, ou tem, mas no se conforma com isso, o provedor est lanando uma fraqueza a ser explorada seus ativos.

Fracos tecnologias de segurana

O uso de controles tcnicos de segurana insuficientes (NIST usa as garantias de longo prazo) por provedores de cloud pblica outra preocupao. Isto inclui tecnologias de segurana em todos os aspectos da computao em nuvem, incluindo redes, armazenamento de dados e processamento de dados. Algoritmos de criptografia pobres usadas para proteger o acesso VPN e as chaves de baixa resistncia de criptografia usado para proteger as comunicaes SSL so bons exemplos - ambas as tecnologias oferecem grande segurana quando devidamente aplicada, mas so muito fceis de implementar de forma inadequada. Porque a maioria dos prestadores de servios pblicos de nuvem no so a segurana centrados em empresas, a probabilidade de isso acontecer alta o suficiente para justificar a preocupao.

Fracos Technologies disponibilidade

Um ataque que bloqueia o acesso a dados e servios podem ser devastadores. Prestadores de servios pblicos de nuvem so geralmente de boa qualidade sobre os servios essenciais, tais como disponibilidade de backups regulares e drive arrays redundantes. Mas muitos no conseguem evitar tempo de inatividade inesperado devido a ataques de negao de servio ou desastres naturais.

Diferentes Expectativas de Segurana

Muitos provedores de cloud pblica afirmar que seus servios so seguros. Eles afirmam seus centros de dados reunir vrios padres de segurana fsica, que seus sistemas operacionais e servios so regularmente actualizados, etc Esses so grandes coisas, mas apenas se cumprirem os requisitos mnimos de segurana. Por exemplo, o grupo pode aplicar patches de segurana crticos dentro de 48 horas, mas o provedor de nuvem pblica restringe todos os patches para a janela de manuteno mensal.

Atenuao de Especializao
Pode parecer bvio que a sua equipe de TI j no precisa ter experincia em servios e tecnologias que so terceirizados para a nuvem prestadores de servios. Isso resulta em um custo pessoal enorme economia para a organizao. Ele tambm resulta em um menos qualificados equipe de TI.Menos habilidades necessrias para o emprego e menos treinamento significa que voc deve confiar mais na experincia do prestador de servios em nuvem. E, com poucas excees, o fornecedor no obrigado a manter as competncias. Assim, eles podem tambm reduzir especialista pessoal de nvel ao longo do tempo. Esta "corrida para o fundo", eventualmente, resulta na incapacidade de compreender e aplicar novas tecnologias de segurana, para responder a ameaas de dia zero e outras vulnerabilidades.

Concluso
Nem todas essas so preocupaes para cada implementao de cloud computing, e alguns se sobrepem, dependendo do servio e tecnologia. Mas voc deve ficar ciente de

que essas reas de interesse existem e so comuns entre as organizaes, e sempre que considerar cada examinando um provedor de servio pblico nuvem. Para ver as completas 80 pginas Diretrizes sobre Segurana e Privacidade em Cloud Computing