UNIVERSIDADE CATLICA DO SALVADOR INSTITUTO DE CINCIAS EXATAS E TECNOLGICAS CURSO DE BACHARELADO EM INFORMTICA

FBIO FERREIRA DE OLIVEIRA GABRIEL VIDAL BUGARIN

AVALIAO DE CONFIABILIDADE E SEGURANA EM CLOUD COMPUTING

SALVADOR 2011

FBIO FERREIRA DE OLIVEIRA GABRIEL VIDAL BUGARIN

AVALIAO DE CONFIABILIDADE E SEGURANA EM CLOUD COMPUTING

Monografia apresentada por Fbio Ferreira de Oliveira e Gabriel Vidal Bugarin como requisito parcial para aprovao na disciplina Projeto Final. Orientador: Prof. Marco Antnio Chaves Cmara

SALVADOR 2011

UNIVERSIDADE CATLICA DO SALVADOR INSTITUTO DE CINCIAS EXATAS E TECNOLGICAS CURSO DE BACHARELADO EM INFORMTICA

AVALIAO DE CONFIABILIDADE E SEGURANA EM CLOUD COMPUTING

BANCA EXAMINADORA

Prof. Marco Antnio Chaves Cmara

Prof. Likiso Hattori

Prof. Hlio Queiroz

CERTIFICADO

Certifico que a presente memria, AVALIAO DE CONFIABILIDADE E SEGURANA EM CLOUD COMPUTING, foi realizada sob minha orientao, constituindo o Projeto Final do Curso do Bacharelado em Informtica da Universidade Catlica do Salvador UCSal.

Salvador, 11 de junho de 2011

Marco Antnio Chaves Cmara Curso de Bacharelado em Informtica Universidade Catlica do Salvador

SALVADOR 2011

Dedicamos esta monografia aos nossos pais e irmos, que sempre desejaram que a gente se formasse e crescesse na vida, tanto profissional quanto pessoal, nos apoiando, incentivando e lutando ao nosso lado todos os dias.

AGRADECIMENTOS

Agradecemos, em primeiro lugar, a Deus por ficar sempre ao nosso lado, em todos os momentos, nos passando fora e energia para conseguirmos caminhar firmes at aqui, porque sem Ele no conseguiramos seguir adiante.

A nossa famlia, por todo carinho, apoio e esforo para nos manter na faculdade, e sempre nos motivando para seguir em frente.

Ao nosso orientador, Prof. Marco Antnio Chaves Cmara, pelo seu esforo para nos ajudar e contribuir com a criao desta monografia.

Tambm agradecemos a UCSAL e a todos os professores por terem nos ajudado, tanto no trabalho, como profissional, quanto na Faculdade, como mestres, tirando nossas dvidas e dando muitas dicas teis. Um especial agradecimento Paola Juarez Universidade Federal do Rio de Janeiro, Instituto de Matemtica, Ncleo de Computao Eletrnica, Programa de Ps-Graduao em Informtica, 2011, pelo carinho e ateno prestados. Sem voc, esta monografia no seria concluda. Muito obrigado!

Por fim, a todos os nossos amigos que caminharam junto com a gente, trocando experincias de vida e compartilhando todos os momentos conosco nessa grande jornada at aqui.

A imaginao mais importante que o conhecimento.

Albert Einstein

RESUMO

Cloud Computing, ou Computao em Nuvem, prope a idia de fornecer servios atravs da internet como: oferta de capacidade computacional, programas, infraestrutura etc. obter servios como hoje se compra energia, ou seja, pagar somente pelo que se usa, sem se preocupar com limites de capacidade, pois a nuvem deve prover o que for necessrio, ou seja, quanto mais voc paga, mais capacidade computacional voc ter a sua disposio. Os seus arquivos ficam armazenados nos servidores do seu fornecedor, que deve garantir que eles fiquem disponveis a todo o momento e em qualquer lugar. A principal preocupao, no entanto, em relao segurana e confiabilidade das nossas informaes que ficaro armazenadas em computadores de terceiros. Esta monografia visa, justamente, avaliar a segurana e a confiabilidade dessa plataforma. Uma ferramenta de avaliao foi construda, baseada num modelo preexistente chamado de Cloud Model, com o objetivo de dar uma maior segurana ao usurio que esteja pensando em aderir plataforma da Computao em Nuvem.

Palavras-Chave: Cloud Computing, Segurana, Confiabilidade, Cloud Model.

ABSTRACT

Cloud Computing proposes the idea of providing services via the internet as offering computing power, software, infrastructure, etc.. You get services such as purchasing power today, or pay only for what you use without worrying about capacity limits, because the cloud must provide what is needed, that is, the more you pay, you will have more computing power at your disposal. Your files are stored on the servers of your provider, you must ensure that they are available at any time and anywhere. The main concern, however, is for the safety and reliability of our information will be stored on computers of others. This monograph is specifically designed to evaluate the safety and reliability of this platform. An assessment tool was built based on a preexisting template called Cloud Model, in order to give greater security to the user who is considering joining the Cloud Computing platform.

Keywords: Cloud Computing, Security, Reliability, Cloud Model.

SUMRIO

1 INTRODUO............................................................................................14
1.1 DELIMITAO DO TEMA............................................................................15 1.2 OBJETIVO GERAL......................................................................................15 1.2.1 Objetivo especfico..................................................................................16 1.3 JUSTIFICATIVA...........................................................................................16 1.4 FORMULAO DO PROBLEMA.................................................................17 1.5 REFERENCIAL TERICO...........................................................................17 1.6 ORGANIZAO DO TRABALHO................................................................18 1.7 METODOLOGIA...........................................................................................19

2 COMPUTAO EM NUVEM..................................................................20
2.1 DEFINIO................................................................................................. ..20 2.1.1 Evoluo da Cloud Computing...............................................................21 2.1.2 Modelo de TI tradicional x Modelo de TI em nuvem.............................22 2.2 CARACTERSTICAS....................................................................................23 2.2.1 Self-Service sob demanda......................................................................24 2.2.2 Amplo acesso a rede...............................................................................24 2.2.3 Pooling de Recursos...............................................................................24 2.2.4 Elasticidade rpida..................................................................................24 2.2.5 Servio medido........................................................................................25 2.3 MODELOS DE SERVIOS..........................................................................25 2.3.1 Software como um servio.....................................................................25 2.3.2 Plataforma como um servio................................................................. .25 2.3.3 Infraestrutura como um servio.............................................................26 2.3.4 Relao entre os modelos de servios................................................. .26 2.4 ARQUITETURA............................................................................................ .27 2.4.1 Redes pblicas........................................................................................ ..27 2.4.2 Redes privadas........................................................................................ .27 2.4.3 Redes hbridas......................................................................................... .27

2.5 EXEMPLOS DE SERVIOS E PRINCIPAIS PROVEDORES NO CLOUD COMPUTING.................................................................................................28

2.5.1 O DaaS.....................................................................................................28 2.5.2 O BaaS.....................................................................................................29 2.5.3 Provedores..............................................................................................30 3 CONFIABILIDADE E SEGURANA EM CLOUD COMPUTING...............................................................................37 3.1 BENEFCIOS x RISCOS...............................................................................38
3.1.1 Benefcios.................................................................................................39 3.1.2 Riscos........................................................................................................41

4 CLOUD MODEL.........................................................................................44
4.1 PROPOSTA DO CLOUD MODEL................................................................44

4.2 DEFINIO DOS ATRIBUTOS DE AVALIAO.......................................45 4.3 DEFINIO DOS CENRIOS DE AVALIAO.........................................48 4.4 DEFINIO DE ATRIBUTOS PARA CENRIOS DE AVALIAO............49 4.5 DEFINIO DOS QUESTIONAMENTOS DOS CENRIOS......................50 4.6 DEFINIO DO GRAU DE IMPORTNCIA DOS ATRIBUTOS.................61 4.7 DEFINIO DOS NDICES DE CONFIABILIDADE DOS TIPOS DE
AVALIAES................................................................................................61

4.8 DEFINIO DE RESPOSTAS E VALORES AO USURIO.......................63 4.9 OBTENO DO GRAU DE CONFIABILIDADE..........................................63 4.10 DEMONSTRAO DE FUNCIONAMENTO.............................................66 5 ESPECIFICAO DA FERRAMENTA DE AVALIAO DO CLOUD MODEL.................................................................................69
5.1 DEFINIO..................................................................................................69 5.2 OBJETIVO....................................................................................................69 5.3 CONSTRUO............................................................................................69 5.4 FUNCIONAMENTO......................................................................................70

6 CONCLUSO.............................................................................................72
6.1 CONTRIBUIES........................................................................................72 6.2 TRABALHOS FUTUROS..............................................................................73

REFERNCIAS..............................................................................................74 ANEXO A.........................................................................................................76 ANEXO B.........................................................................................................82

LISTA DE FIGURAS

Figura 2.0 Modelo simplificado da plataforma Cloud Computing............................21 Figura 2.1 Relao entre os modelos de servios e o consumidor.........................26 Figura 2.2 Relao entre os fornecedores de servios e o ambiente Cloud Computing..................................................................................................................36 Figura 3.0 Resultado da pesquisa do IDC sobre os benefcios do modelo em nuvem.........................................................................................................................39 Figura 3.1 Resultado da pesquisa do IDC sobre os riscos do modelo em nuvem.........................................................................................................................43 Figura 4.0 Modelos de servio................................................................................ .45

LISTA DE TABELAS

Tabela 4.1 Atributos e Descrio da Avaliao Fsica............................................46 Tabela 4.2 Atributos e Descrio da Avaliao Lgica...........................................47 Tabela 4.3 Atributos e Descrio da Avaliao Emocional.....................................47 Tabela 4.4 Definio de atributos para cenrios de avaliao tcnica...................49 Tabela 4.5 Definio de atributos para cenrios de avaliao de segurana........49 Tabela 4.6 Definio de atributos para cenrios de avaliao geral.......................50 Tabela 4.7 Definio de questionamentos para cenrios de avaliao tcnica.....50 Tabela 4.8 Definio de questionamentos para cenrios de avaliao de segurana...................................................................................................................54 Tabela 4.9 Definio de questionamentos para cenrios de avaliao geral.........58 Tabela 4.10 Definio do grau de importncia dos atributos..................................61 Tabela 4.11 Definio do ndice de confiabilidade da avaliao tcnica................61 Tabela 4.12 Definio do ndice de confiabilidade da avaliao de segurana.....62 Tabela 4.13 Definio do ndice de confiabilidade da avaliao geral....................62 Tabela 4.14 Definio das respostas com seus respectivos valores......................63 Tabela 4.15 Intervalos e rtulos correspondentes qualidade dos servios..........66

14

1 INTRODUO

A internet um conjunto de computadores interligados por todo o mundo, permitindo o acesso e troca de todos os tipos de informaes, como: textos, msicas, vdeos, fotos etc.

Ela surgiu em 1969, criada pela ARPA (Advanced Research and Projects Agency - Agncia de Pesquisas em Projetos Avanados) com o objetivo de trocar informaes entre as bases militares e departamentos governamentais americanos, ignorando a limitao da distncia fsica, oferecendo proteo contra perda de dados, caso uma das bases fosse destruda em combate.

Desde ento, a internet vem evoluindo. Novas tcnicas de comunicao foram surgindo e a internet ficou acessvel maioria da populao. Gradualmente o mundo vai se tornando pequeno, as pessoas passam a se comunicar com outras de outros pases, em questo de segundos.

Com o advento da Tecnologia da Informao (T.I.), os softwares esto sendo cada vez mais desenvolvidos para uso via internet, consequentemente, esto sempre disponveis em qualquer lugar, a qualquer hora que o usurio necessite, sem necessidade de instalaes e configuraes, tendo como requisito apenas um navegador de internet (web browser).

A evoluo das tecnologias de internet, associada ao seu crescimento acelerado, impulsionou o crescimento da demanda por grandes centrais de processamento de dados, os datacenters. Os datacenters alojam servidores de grande porte onde ficam armazenadas grandes quantidades de informaes. Os principais provedores de e-mails e os bancos de dados para pesquisas na internet, por exemplo, esto armazenados nesses servidores. Alm disto, o acesso a uma conta bancria, ou a um site de compras na internet, utiliza o poder de processamento deles, o que garante que essas informaes fiquem disponveis para acesso a qualquer hora e de qualquer lugar. Essa arquitetura, composta por

15 servidores espalhados pelo mundo, os quais armazenam nossas informaes, chamada de nuvem. Esta centralizao e consolidao dos recursos computacionais uma tendncia do mercado de tecnologia.

O ambiente de computao, seus servidores e suas manutenes e atualizaes, entre outras questes, que eram tratadas isoladamente, agora esto se tornando um servio contratado, como os de gua e luz. Voc no os produz, apenas paga pelo uso deles s empresas que fornecem esses servios.

Entretanto, utilizar esses servios acrescenta vrios riscos informao, quando os comparamos com os ambientes tradicionais de processamento de dados. O processamento e armazenamento massivo de dados na internet esto sujeitos a falhas de segurana, violaes de privacidade e direitos autorais, perda de informaes e do sigilo dos dados. So preocupaes como estas que esto impedindo a migrao ainda mais rpida para esse ambiente em nuvem.

1.1 Delimitao do tema

Desenvolvimento de um estudo sobre os aspectos de segurana relativos a servios de Cloud Computing, alm do desenvolvimento de um modelo de avaliao que objetiva obter um ndice que representar o grau de confiabilidade da nuvem.

1.2 Objetivo geral

O objetivo geral dessa pesquisa construir uma ferramenta de apoio ao Cloud Model desenvolvido pela Juarez (2011) e avaliar os principais pontos crticos envolvidos no processo de migrao de dados para nuvem.

16 1.2.1 Objetivo especfico

Identificar os principais itens de segurana que devem ser levados em considerao num processo migratrio para o ambiente em nuvem, analisando os riscos e ameaas relevantes nestes ambientes, possibilitando a medio do grau de confiabilidade desses servios atravs da ferramenta de avaliao construda. Essa ferramenta tira do papel o modelo matemtico conhecido com Cloud Model.

O Cloud Model um modelo matemtico de avaliao desenvolvido pela engenheira de sistemas Paola Garca Juarez, que tem como objetivo avaliar o grau de confiabilidade de um ambiente em nuvem levando em considerao trs cenrios distintos.

O primeiro cenrio leva em considerao usurios que j utilizam os servios de Cloud Computing sem pagar nada por isso. O segundo cenrio se baseia nos usurios que pagam para utilizar os servios de Cloud Computing. O terceiro cenrio onde esto os usurios que pretendem contratar este tipo de servio no futuro.

A partir da anlise desses fatores no respectivo cenrio do usurio, gerado um ndice que representa o grau de confiabilidade dentro de uma escala predefinida. Isso permitir que os usurios que utilizam os servios pagos ou gratuitos tenham uma noo de quanto o servio prestado pelo seu provedor confivel e seguro, assim como possibilitar avaliar este tipo de servio antes de contrat-lo.

1.3 Justificativa

A computao em nuvem est, gradativamente, ganhando espao no mercado. A cada dia h mais servios e informaes no ambiente em nuvem.

Porm, ao contratar esse tipo de servio, os clientes devem tomar cuidado com todos os aspectos. A segurana o aspecto mais visado pelas empresas que

17 pensam em migrar seus servios de Tecnologia da Informao (TI) para a nuvem. De acordo com a pesquisa feita pela Unisys em 25 de Junho de 2009 na Webinar, 83% das empresas mencionaram a segurana como ponto

fundamental para a migrao para a nuvem.

Baseado neste cenrio propomos a realizao deste trabalho de pesquisa para demonstrar como as empresas, assim como o usurio comum, podem migrar seus servios de TI para a nuvem, mantendo um nvel de segurana aceitvel, inclusive atravs da utilizao prvia da ferramenta de avaliao para determinar o risco associado ao processo de migrao.

1.4 Formulao do problema

A contratao de um servio em nuvem faz com que surja, por parte do usurio, algum tipo de apreenso a respeito da segurana de seus dados. Em alguns casos, a adoo desse novo modelo at evitada pela incerteza da capacidade que o prestador de servios tem de fornecer a segurana necessria.

Alguns critrios de segurana como: confidencialidade de documentos, planos de recuperao de acidentes, vulnerabilidade a ataques, entre outros, devem ser levados em considerao desde a assinatura do contrato de servio at o momento do encerramento do mesmo.

Ento, de fundamental importncia estabelecer todos os prs e contras da contratao de um servio em nuvem, os direitos e deveres por parte do usurio e do prestador, enfim, todos os pontos devem ser esclarecidos para que a migrao de dados seja a mais confivel possvel.

1.5 Referencial terico

Como referencial terico, a pesquisa foi desenvolvida a partir da proposta do modelo matemtico chamado Cloud Model, criado por Juarez (2011). Segundo a pesquisa, possvel calcular matematicamente o grau de confiabilidade e segurana no ambiente de Computao em Nuvem.

18 Outras fontes de pesquisa tambm contriburam para o nosso trabalho, como Spinola (2009) e Taurion (2009). So autores que apresentam suas opinies sobre a Computao em Nuvem, trazendo novos conceitos, crticas e previses futuras sobre o ambiente.

Alguns artigos, seminrios e trabalhos como Carneiro (2011), Chirigati (2009) e Carreira (2011) contriburam bastante nos temas de segurana e confiabilidade em ambientes de Computao em Nuvem. Eles detalham de maneira clara seus riscos e benefcios, vantagens e desvantagens, alm de apresentarem crticas construtivas sobre o modelo.

E, finalmente, as pesquisas realizadas em textos da internet como Amrhein (2010), Martinez (2010), NIST (2010), Google App Engine (2011), Hautsch (2008), Lopes (2011), e Wood; Tracy (2011) contriburam para formar uma melhor opinio e enriquecer nossos conhecimentos sobre nosso tema.

1.6 Organizao do trabalho

Este projeto de pesquisa foi dividido em seis tpicos, os quais so detalhados a seguir:

Introduo: apresenta o cenrio desta monografia, o objeto de pesquisa, justificativas, referencial terico, objetivos, formulao do problema, metodologia utilizada e a exposio de um cenrio introdutrio sobre o Cloud Computing.

Computao

em

Nuvem:

descreve

os

principais

conceitos

de

Computao em Nuvem, onde so abordados seus modelos, evoluo, arquiteturas, caractersticas, bem como suas principais vantagens e desvantagens. Confiabilidade e Segurana em Cloud Computing: detalha os riscos e benefcios que a Computao em Nuvem nos oferece. Cloud Model: especifica as propostas do Cloud Model, ou Modelo de Nuvem, e, em seguida, analisa este modelo, para que pudssemos desenvolver a ferramenta que reflete a prtica do mesmo. Para isto,

19 definimos atributos, cenrios, questionamentos, e finalmente calculamos o grau de importncia destes cenrios. Especificao da Ferramenta de Avaliao do Cloud Model: apresenta a ferramenta desenvolvida a partir da anlise do Cloud Model, onde especificamos como foi sua construo, objetivo e explicamos seu funcionamento. Concluso: neste tpico expomos as contribuies deste projeto de pesquisa, as dificuldades que passamos para concluir esta monografia, os resultados obtidos, o que sugerimos para futuros trabalhos, e

apresentamos uma breve concluso sobre nossa pesquisa.

1.7 Metodologia

A base de pesquisa utilizada foi bibliogrfica, tendo como fontes principais materiais j existentes como livros, artigos, monografias e documentos eletrnicos.

Foi realizado tambm um estudo dos principais pontos crticos e riscos, referentes segurana da migrao para nuvem. A utilizao autorizada do projeto Cloud Model foi a fonte principal para a construo da ferramenta.

20

2 COMPUTAO EM NUVEM

Segundo Taurion (2009), o termo computao em nuvem surgiu em 2006 em uma palestra de Eric Schmidt, da Google, sobre como sua empresa gerenciava seus datacenters. Hoje a Computao em Nuvem se apresenta como cerne de um movimento de profundas transformaes do mundo da tecnologia.

2.1 Definio

Segundo Morimoto (2009), a palavra nuvem um termo simblico que usado para referenciar a internet como um todo, ou seja, um conjunto de servidores que oferecem diversos servios e esto conectados aos seus clientes atravs da internet. Cloud Computing (ou Computao em Nuvem) o nome dado a uma plataforma computacional que utilizada e compartilhada por todos e acessada atravs da internet, apesar de ainda no existir uma definio concreta sobre o termo.

Para Martinez (2010), esta plataforma permite acesso remoto a programas, arquivos (documentos, msicas, jogos, fotos e vdeos) e servios por meio da internet.

Para Carreira (2010), segundo esse conceito, as pessoas no vo precisar mais se preocupar em comprar computadores caros e robustos para suas casas, bastando apenas um computador simples e uma boa conexo de internet.

A idia da computao em nuvem oferecer o software como um servio, assim como so os servios de gua, luz e energia. Baseado nessa idia, o

21 consumidor pagar somente o que realmente utilizar. A figura 2.0 ilustra um modelo simplificado da plataforma Cloud Computing.

Figura 2.0: Modelo simplificado da plataforma Cloud Computing Fonte: http://www.infoescola.com/informatica/computacao-em-nuvem/

2.1.1 Evoluo da Cloud Computing

Segundo Juarez (2011), alguns conceitos e tecnologias so importantes serem entendidos, pois, juntos, serviram como base para o surgimento e evoluo da Computao em Nuvem. So eles:

Utility Computing um modelo que oferece os componentes de hardware (armazenamento, memria, CPUs etc) como um servio. Com isso o cliente no precisa se preocupar com a infraestrutura de servidores internos e backup, passando essa responsabilidade para os fornecedores deste servio.

Web 2.0 o termo utilizado para referenciar a segunda gerao da World Wide Web. O objetivo estimular a colaborao do usurio com os sites virtuais, bem como oferecer servios on-line, atravs dos prprios sites e aplicativos web. Neste contexto temos a enciclopdia Wikipdia (onde as informaes so disponibilizadas e editadas pelos prprios usurios) e os servios integrados, como o Google Docs da Google e o Windows Live da Microsoft.

22 Software as a Service, ligado ao conceito de Web 2.0, o fornecimento do software como servio disponibilizado pelo provedor de Internet. Virtualizao a tcnica de simular vrios computadores em um nico computador. Sendo assim, ns podemos ter um nico computador com vrios sistemas operacionais e configuraes de hardware diferentes, oferecendo mltiplos ambientes independentes instalados em um nico computador. Grid Computing, ou Computao em Grade, uma tcnica que visa aumentar a capacidade de processamento das informaes,

distribuindo as tarefas entre vrios computadores, com cada um executando uma parte do todo. O objetivo integrar os recursos computacionais, disponibilizados pelos fornecedores, atravs da rede e melhorar o acesso a eles por parte dos usurios. Service Level Agreement, ou Acordo de Nvel de Servio, um contrato realizado entre duas ou mais entidades, que visa medir o nvel do servio que ser contratado com o fornecedor. Entre os servios, podemos citar: desempenho, ocorrncia de erros, disponibilidade, prioridades etc. O no cumprimento correto dessas condies contratuais poder implicar em penalidades para o fornecedor dos servios.

2.1.2 Modelo de TI tradicional x Modelo de TI em nuvem

Em diferentes pocas, o mundo da computao foi marcado por diferentes vertentes. Da dcada de 60 at o incio da dcada de 80, a computao era marcada pela centralizao, onde os mainframes eram o centro do cenrio tecnolgico. Entretanto, a partir de meados da dcada de 80, o cenrio da computao comeou a se modificar, em um movimento constante de descentralizao, impulsionando o surgimento das redes locais suportadas por vrios servidores.

As grandes organizaes investiram na montagem de parques tecnolgicos de grande porte, integrando equipamentos, muitas vezes de tecnologias

23 heterogneas e que por vezes ficavam ociosos, gerando gastos

injustificveis. Por exemplo: um servidor de determinado servio funciona 24hrs por dia, o que em uma semana representa 168hrs. Porm este mesmo servidor apresenta 8hrs de utilizao em 5 dias na semana, de segunda a sexta-feira, o que resulta em 40hrs de utilizao real. Alm da subutilizao do equipamento, temos mais desperdcio de energia, entre outros problemas, que implicam em gastos desnecessrios.

Essas mesmas organizaes tm custos elevados no gerenciamento desses equipamentos, o que representa uma fatia considervel do oramento da empresa. Os desafios dos gestores de TI das organizaes so conciliar o ambiente de TI com o mercado que est em constante variao, reduzir os custos com infraestrutura, alm de construir um ambiente flexvel, permitindo o seu escalonamento nos momentos de maior demanda. Este ltimo desafio advm do fato que alocar novos recursos ou adequar os que j existem no fcil, leva algum tempo at ajustar toda a infraestrutura s mudanas repentinas. Alguns CFOs (Chief Financial Officer) de determinadas empresas, entre elas a Google e Amazon, que j utilizam a computao em nuvem, citam o modelo do pay-as-you-go como um ponto bastante atraente s organizaes, uma vez que possibilita o gasto controlado, ou seja, a organizao que contrata os servios de um provedor paga apenas pelos recursos que consumir. Por exemplo: caso contrate 100hrs, a organizao pode utilizar 40hrs hoje, 60hrs amanh e se necessitar de mais permitido solicitar a quantidade de recurso adicional e pagar s pelo que solicitou, efetuando o pagamento medida que for solicitando e consumindo os recursos. Com isso o controle dos custos melhor e a organizao passa a ter uma capacidade computacional ondemand, evitando a subutilizao de recursos.

2.2 Caractersticas

Segundo o NIST (National Institute of Standards and Technology) (2010), a Computao em Nuvem tem 5 caractersticas essenciais: o Self-Service sob

24 demanda, Amplo acesso rede, Pooling de recursos, Elasticidade rpida e Servio medido.

Os sub-tpicos abaixo, definem essas caractersticas.

2.2.1 Self-Service sob demanda

Os usurios podem modificar suas configuraes no servidor, como aumentar a capacidade de armazenamento na rede, memria, processamento etc, sem a necessidade de contato com o fornecedor do servio.

2.2.2 Amplo acesso rede

Os recursos ficam disponveis atravs da rede (internet) e a todo o momento para ser acessados pelos diversos dispositivos existentes (notebooks, PDAs, smartphones etc).

2.2.3 Pooling de recursos

Os recursos de computao so organizados para atender a mltiplos usurios ao mesmo tempo, atravs de um modelo multi-tenan, com diferentes recursos fsicos e virtuais, que so atribudos de forma dinmica e independente para cada usurio.

O cliente no tem noo exata da localizao dos recursos disponibilizados. So exemplos de recursos: armazenamento, memria, processador etc.

2.2.4 Elasticidade rpida

Os recursos computacionais podem ser adquiridos (aumentados ou melhorados) de forma rpida e elstica, em alguns casos automaticamente, a depender do aumento da demanda, e liberados (diminudos ou piorados) caso haja queda na demanda. O usurio tem a sensao de que os recursos so

25 ilimitados, podendo adquiri-los a qualquer momento e em qualquer quantidade.

2.2.5 Servio medido

Os recursos so controlados e otimizados, baseados na sua correta utilizao para um determinado tipo de servio. O gerenciamento dos recursos garante uma maior visualizao destes para o fornecedor e o usurio que est utilizando o servio.

2.3 Modelos de servios

Segundo Juarez (2011), na Computao em Nuvem existem trs tipos de modelos oferecidos pelos fornecedores aos seus clientes, que definem sua estrutura.

Os sub-tpicos a seguir definem esses modelos:

2.3.1 Software como um Servio (SaaS)

A Computao em Nuvem exige que os softwares sejam projetados de forma especial, onde os mesmos so hospedados como servios em um servidor e so acessados pelos usurios atravs da internet.

2.3.2 Plataforma como um Servio (PaaS)

Ambiente disponibilizado pelo fornecedor para o cliente desenvolver e executar suas aplicaes feitas para a nuvem.

Normalmente, o fornecedor dispe de vrios servidores virtualizados (em rede) para hospedar os softwares desenvolvidos pelo cliente. Logicamente, as ferramentas de desenvolvimento devem ser suportadas pelo fornecedor do servio.

26 O usurio no dispe de uma plataforma prpria para rodar seus softwares, eles os desenvolvem e enviam para a plataforma do seu fornecedor.

2.3.3 Infraestrutura como um Servio (IaaS)

O fornecedor disponibiliza para seus clientes toda a infraestrutura de hardware e software como um servio.

O cliente no administra a estrutura da nuvem, mas tem o controle, limitado, dos seus sistemas operacionais, armazenamento, aplicativos e recursos de rede (firewall, direcionamento de portas etc).

2.3.4 Relao entre os modelos de servios

A figura 2.1 mostra a relao entre os trs modelos definidos anteriormente.

Figura 2.1: Relao entre os modelos de servios e o consumidor Fonte: http://www.es.ufc.br/~flavio/files/Computacao_Nuvem.pdf

Para Sousa (2010), o provedor fornece os diferentes modelos de servio, os modelos interagem entre si, o desenvolvedor consome os servios IaaS e PaaS, produz o software e o fornece como servio, que consumido pelo usurio final.

27 2.4 Arquitetura

Segundo Juarez (2011), a Cloud Computing implantada em trs tipos diferentes de arquiteturas, que permitem s organizaes construir e

desenvolver seus aplicativos de acordo com as suas necessidades. So elas as redes pblicas, privadas e hbridas.

2.4.1 Redes pblicas

Uma rede pblica caracteriza-se quando uma infraestrutura utilizada pelo pblico em geral, e est sempre disponvel para os usurios desenvolverem e publicarem suas aplicaes na nuvem.

Segundo Amrhein (2010), as redes pblicas no so, necessariamente, gratuitas. Porm, as permisses de acessos dos usurios so controladas pelo fornecedor do servio.

2.4.2 Redes privadas

A rede privada a arquitetura ideal para atender s organizaes, podendo ser gerenciada pelo prprio cliente ou fornecedor do servio.

Diferentemente das redes pblicas, aqui a organizao pode determinar os controles de acesso dos usurios, as implementaes de segurana (firewall etc), e tambm no h limites de controle de banda etc, pois o cliente o dono da infraestrutura.

2.4.3 Redes hbridas

Estas so formadas pela combinao entre as redes pblicas e privadas. A idia aqui manter os dados menos relevantes na rede pblica e os mais relevantes na rede privada. O objetivo no sobrecarregar a rede privada,

28 que a rede por onde iro trafegar os principais dados de negcios das organizaes.

2.5 Exemplos de servios oferecidos pelos principais provedores no Cloud Computing

Neste tpico sero abordados alguns tipos de servios que podem ser oferecidos pelo Cloud Computing, assim como alguns provedores de servios presentes no mercado.

Segundo Taurion (2009), alguns modelos de servios so oferecidos de maneira nativa pelo Cloud Computing e cada um localiza-se em determinada camada seja, a IaaS (Infraestrutura como Servio), a PaaS (Plataforma como Servio) e a SaaS (Software como Servio). Relembrando, cada camada responsvel por determinada atividade, por exemplo: a camada IaaS responsvel pelos fatores fsicos, armazenamento de dados, discos, capacidade computacional etc. A camada PaaS a plataforma de desenvolvimento e a camada SaaS onde esto as aplicaes finais oferecidas como servio. interessante observar que uma camada depende da anterior. Por exemplo, um servio no pode ser oferecido se no houver uma plataforma que possibilite seu desenvolvimento, assim como esta no poderia funcionar sem os recursos que lhe do suporte.

Porm no acaba por a, pois h outras modalidades de servios interessantes e que devem ser discutidas como, por exemplo, o DaaS Database-as-a-Service (Servio como Banco de Dados) e o BaaS Backup-as-a-Service (Backup como Servio).

2.5.1 O DaaS

O DaaS, o servio de manuteno e gerenciamento de banco de dados. Os negcios empresariais so alicerados pelos sistemas informatizados e estes se utilizam de grandes bancos de dados que armazenam as informaes.

29 Para Taurion (2009), manter e gerenciar um banco de dados so tarefas custosas para uma empresa, e cada vez que um banco inserido, essas tarefas de gerenciamento aumentam, conseqentemente elevam-se os custos.

O DaaS oferecido pelo Cloud Computing possibilita empresa contratar os servios de banco de dados sob demanda, ou seja, a empresa paga apenas pela quantidade de dados transmitidos e armazenados na nuvem, abstraindo toda a infraestrutura necessria para atividades de gerenciamento e manuteno, possibilitando reduo dos custos e escalonamento sob demanda.

Segundo Taurion (2009), este servio de banco de dados implementado de trs modos distintos: o modelo de container, o modelo de cpia compartilhada e o modelo de cpia exclusiva.

O modelo de Container: Os bancos de dados possuem mltiplas tabelas que podem ser acessadas por uma aplicao. Pensando nessa mecnica, o provedor fornece uma coleo de entidades distintas representadas por um container, onde essas entidades podem ser acessadas pelos programas que delas necessitem.

modelo

de

Cpia

compartilhada:

caracterizado

pelo

compartilhamento de uma cpia do SGBD software gerenciador de banco de dados, e da infraestrutura computacional utilizada na nuvem entre seus clientes. Estes por sua vez vo possuir seus espaos prprios para dados dentro do SGBD. O modelo de Cpia Exclusiva: Diferencia-se do anterior, pois neste modelo cada cliente ir possuir uma cpia exclusiva do SGBD. Porm os compartilhamentos dos recursos computacionais se mantm.

2.5.2 O BaaS

Segundo Taurion (2009), o BaaS o servio oferecido pelo Cloud Computing referente a backup e restaurao de dados. custoso, principalmente para

30 empresas de pequeno e mdio porte, fazer backup devido s tarefas dirias e quantidade de mdias e espao para armazen-las, alm de que algumas dessas empresas no contam com mecanismos eficazes de proteo aos seus dados e de recuperao dos mesmos diante de algum incidente de segurana.

Realizar o servio de backup complexo, e exige software para esta finalidade, alm de equipe para fazer o controle e gerenciamento, e de material fsico. Os provedores oferecem a realizao de backup de maneira otimizada, atravs de backups incrementais, controle de dados duplicados, eliminao de dados redundantes, compresso de dados para transmisso, etc, o que acelera o processo de backup. Segundo Taurion (2009), como os demais servios em nuvem o BaaS payas-you-go, ou seja, o cliente que contrata este servio s pagar pelo que foi utilizado. H duas formas utilizadas pelos provedores para medir o uso do servio e consequentemente seu preo: pela capacidade de produo ou pela capacidade de armazenamento no provedor. Na primeira forma que pela capacidade de produo, o provedor cobrar, mensalmente, pela capacidade de armazenamento de cada mquina, ou seja, se uma empresa possuir dois servidores de arquivos com 500GB cada um, este ser o parmetro para o clculo do preo. Na segunda forma, que pela capacidade armazenada no servidor, considerando que no processo de backup os dados so comprimidos e armazenados, ou seja, se hipoteticamente os 500GB de dados comprimidos representarem 380GB, ento o provedor cobrar pelos 380GB dados armazenados. bom ressaltar que, na primeira forma de cobrana, a empresa pode definir com exatido o quanto vai gastar com o servio, enquanto que na segunda forma, definir o custo com exatido fica complicado, uma vez que o valor da compresso varivel. 2.5.3 Provedores

Algumas empresas de grande porte j ingressaram no Cloud Computing e podem ser consideradas como as principais neste setor. Entre estas esto a Amazon, o Google, a IBM, a Microsoft e a SalesForce.com, cada uma com

31 seus objetivos bem amadurecidos e outras que pouco a pouco vo se lanando nesse novo mercado, como a Oracle, a EMC, a Cisco, a HP, a Dell etc. Enfim, a ateno das mais diversas empresas est voltada para este cenrio, que se mostra promissor a cada dia que se passa com investimentos crescentes nos mais variados tipos de servios oferecidos em nuvem.

Segundo Lopes (2011), a Amazon ingressou nesse mercado ainda em 2006, com o lanamento de dois servios: o S3, servio para armazenamento, e o EC2 (Elastic Computing Cloud), um servio de aluguel de mquinas virtuais. Hoje ela oferece cerca de 24 servios nas mais diversas categorias como: banco de dados, hardware, e-commerce, mensagens, entre outros. O que motivou a Amazon a ingressar neste mercado foi o fato de possuir uma infraestrutura tecnolgica de grande porte, construda a algum tempo com a finalidade de suprir a demanda da prpria empresa em pocas festivas, como Natal, Dias das Mes etc. Fora das pocas festivas essa infraestrutura ficava ociosa. Estima-se que apenas 10% era efetivamente utilizada. Vale a pena comentar melhor estes servios:

Amazon S3: Tambm conhecido como Simple Storage Solution, esse servio basicamente se caracteriza pela oferta de armazenamento de dados nos servidores da Amazon. O usurio que contrata este servio pode enviar seus dados, que sero armazenados nos discos da Amazon, permitindo o acesso de seus servidores aos mesmos, alm de ter sua localizao fsica identificada em suas aplicaes. Mantendo a caracterstica dos servios de Cloud Computing, o usurio apenas paga pelo que utiliza, ou seja, o servio sob demanda.

Amazon EC2: Caracteriza-se pelo aluguel de servidores virtuais (no incio apenas Linux ou OpenSolaris). Pequenas empresas podem comear as suas atividades contratando este tipo de servio. Para isso basta a criao de uma conta na Amazon. Aps a criao da conta o usurio ter a possibilidade de criar uma AMI (Amazon Machine Image) que j vir munida de aplicaes, componentes e bibliotecas para utilizao, evitando assim que a empresa gaste recursos com a aquisio de mquinas, instalao, configurao e manuteno.

32 Tambm um servio sob demanda, podendo aumentar nos perodos em que a demanda da empresa cresa, assim como diminuir quando a empresa no necessitar de muitos recursos. Amazon Fulfillment Web Service: Este servio, FWS, est na categoria de e-commerce e basicamente se constitui da terceirizao da distribuio de produtos. Um vendedor envia seus produtos para a Amazon, que, ao vender a um cliente, fica responsvel por todo o processo de entrega do produto ao comprador. Alm disto, o servio possibilita a integrao do sistema de entrega da Amazon com as aplicaes dos vendedores. Amazon SimpleDB: Anunciado no final de 2007, o SimpleDB ou SDB, oferece servios de DaaS, ou seja, banco de dados como servio. Segundo a Amazon esse servio se caracteriza pela escalabilidade, alta disponibilidade dos dados a partir de um banco de dados no relacional e flexvel. Segue o modelo pay-as-you-go onde o usurio paga apenas pelos dados armazenados. Alm disto, o SDB ainda traz alguns benefcios ao usurio, como indexao de dados automtica, possibilidade do usurio alterar os modelos de dados em tempo real, entre outros. comumente utilizado em aplicaes simples, sem muita complexidade de transaes. Amazon Elastic MapReduce: Este servio oferece ao cliente a possibilidade de processar um volume de dados muito grande na infraestrutura da Amazon, como anlise de logs, data warehousing, projetos cientficos, pesquisas com bio-informtica etc. Utiliza um framework chamado Apache Hadoop. Amazon SQS: Este servio possibilita ao usurio a criao de filas de mensagens no ambiente em nuvem. Pode ser utilizada na criao de fluxos de trabalho, delimitando-o em estgios. Amazon Virtual Private Cloud: Servio que permite a uma empresa integrar sua prpria infraestrutura aos servios em nuvem da Amazon, criando uma nuvem privada sob os recursos da Amazon. O acesso a essa nuvem criada s poder ser feito pela empresa.

33 So diversos os servios de Cloud Computing oferecidos pela Amazon, sem dvidas uma das maiores nesse setor.

O Google foi uma das pioneiras nesse setor, com o seu buscador. Realizar uma pesquisa em segundos como o Google faz s foi possvel atravs da utilizao de cerca de um milho de servidores espalhados mundo afora compondo suas nuvens. Os mecanismos do Google permitem que diferentes queries possam ser processadas em diferentes processadores, sendo que o ndice, que so conjuntos de arquivos divididos por blocos com o mapeamento de urls feitas, particionado, possibilitando assim que uma query utilize de maneira paralela, mltiplos processadores para buscar as informaes requisitadas. O uso do paralelismo propiciou ao Google os resultados de pesquisas em um menor tempo de resposta, apoiados em sua grande malha de servidores espalhados que forma sua nuvem. Com isso a empresa decidiu expandir suas nuvens para alocar servios diversos como GoogleDocs, GMail, GTalk, entre outros agrupados na sute GoogleApps, alm do You Tube e do Google Maps.

A grande ferramenta do Google no Cloud Computing o GoogleAppEngine, servio oferecido pela empresa que possibilita ao usurio desenvolver aplicaes na nuvem sem se preocupar com a infraestrutura, de maneira fcil e escalvel, permitindo o uso de vrias linguagens de programao, porm oferecendo ambiente de execuo para aplicativos em Java baseados na Java Virtual Machine (JVM), ou seja, ou qualquer linguagem que faa utilizao da JVM para o processo de interpretao como JavaScript ou Ruby on Rails alm de oferecer ambiente de execuo em Python, com interpretador e bibliotecas. Segundo o Google App Engine (2011), ele obedece ao esquema pay-as-yougo, ou seja, desenvolvedores que queiram utiliz-lo de incio o fazem de maneira gratuita e depois, se necessrio, iro pagar pelo uso da engine do Google, que ainda oferece espao de 500 MB de armazenamento para as aplicaes, alm de recursos computacionais e largura de banda adequados para garantir funcionamento satisfatrio de aplicaes em nuvem.

34 Segundo Amrhein (2011), a IBM outro gigante neste setor. Um dos produtos da empresa o Blue Cloud, lanado em meados de 2007. O Blue Cloud caracteriza-se por ser uma juno de tecnologias distintas como o Hadoop, um open-source utilizado pelo Google, a plataforma de virtualizao Xen e a plataforma proprietria Tivoli Provisioning Manager. Diferente dos outros anteriores, o Blue Cloud possibilita que a empresa consiga criar sua prpria infraestrutura tanto para uso interno quanto para utilizao externa para clientes. Na poca, a IBM j contava com cerca de 13 datacenters espalhados pelo mundo e j transformava as iniciativas com Cloud Computing em uma unidade de negcio.

Ainda segundo Amrhein (2011), Internamente a IBM tambm tem investido na Cloud Computing. Em 2009 a empresa j tinha como projeto o RCC (Research Compute Cloud). O objetivo era possibilitar a pesquisadores da empresa alocarem mquinas virtuais para suas pesquisas, onde estes podem escolher os recursos da mquina conforme suas necessidades. Alm do RCC, a IBM criou um projeto de nuvem interna chamado Cloud SandBox, permitindo a usurios alocar grupos de mquinas e servidores em geral com a finalidade de utiliz-los em pesquisas, testes e/ou demonstraes de novos produtos.

A IBM tambm investe muito em pesquisas, formando parcerias com universidades e centros de pesquisa. Alguns projetos da IBM com Cloud Computing nasceram dessas parcerias, como o Qatar Cloud Computing Initiative e o Health Alliance, ambos com universidades na frica, alm de parcerias e acordos com o Google junto a Universidades dos Estados Unidos como Stanford, Berkeley, Carnegie, entre outras.

Um pouco depois, mas seguindo o movimento crescente, a Microsoft se lanou no mercado de Cloud Computing no final de 2008 com o Windows Azure e alguns servios do tipo PaaS (Platform as a Service). Alguns definem o Azure como um sistema operacional on-line onde aplicativos podero ser

desenvolvidos atravs da plataforma disponvel pela Microsoft, alm de poder hosped-los nos seus servidores, por isso tambm conhecido por Azure Services Platform. Para Hautsch (2008), a inteno da Microsoft com essa

35 plataforma, no que diz respeito aos desenvolvedores, fornecer um framework interopervel com o ambiente, ao mesmo tempo flexvel, a fim de que o desenvolvedor possa tirar o mximo do potencial da plataforma, fornecendo ferramentas como o SQL Services, Live Services, SharePoint Services, .Net Services e o Visual Studio, entre outros. O Azure entrou em operao no incio de 2010 em 21 pases, e no Brasil, assim como em outros 40 pases, a partir do segundo trimestre.

Outra empresa importante a SalesForce. interessante ressaltar que a empresa nasceu de uma aposta feita pelo seu fundador, que achava que o modelo tradicional de desenvolvimento de software estava ficando defasado. Inicialmente a SalesForce oferecia apenas o aplicativo de CRM como SaaS, porm, com o passar do tempo, novos servios foram acrescidos no portflio da empresa, como o Force.com e o AppExchange. O primeiro basicamente uma plataforma de desenvolvimento, onde est o foco da empresa. Esse servio oferece uma linguagem prpria, conhecida como Apex Code, alm de um ambiente prprio de runtime para execuo. O segundo um mercado on-line onde se encontram aplicaes desenvolvidas para o ambiente SalesForce SALES FORCE (2011).

A SalesForce partiu em busca de parcerias com outras empresas como a Google, que permite a integrao dos usurios salesforce s suas ferramentas como o GoogleApps e GMail. Alm do Google, a Amazon tambm fechou parceria com a SalesForce, integrando aplicativos e dados de suas nuvens S3 e EC2 a usurios SalesForce SALES FORCE (2011).

O modelo do Cloud Computing se mostra prspero, de acordo com Markus (2008), em 2011 a computao em nuvem venha a movimentar cerca de U$$ 95 bilhes de dlares em aplicativos de negcio para empresas e para usurios comuns, mais cerca de U$$ 65 bilhes de dlares em publicidade on-line, totalizando algo em torno de U$$ 160 bilhes de dlares.

36

Figura 2.2 Relao entre os fornecedores de services e o ambiente Cloud Computing Fonte: htttp://markusklems.wordpress.com/2008/07/05/merill-in-the-cloud/

37

3 CONFIABILIDADE E SEGURANA EM CLOUD COMPUTING

Devido metodologia da Computao em Nuvem ser toda baseada em servios de internet, isto gera uma maior vulnerabilidade, devendo o usurio e fornecedor do servio se atentarem para cuidados especiais com a segurana das suas informaes.

A segurana e a confiabilidade so os principais motivos que levam as empresas a no se adaptarem ao modelo. Muitas j so adeptas ao Cloud Computing, porm quando se trata de requerer um nvel mais elevado de segurana elas ficam com receio de aceitar o modelo, e muitas vezes desistem de se adaptar. Segundo Juarez (2011), atualmente a Computao em Nuvem mais utilizada para servios menos crticos, que no exigem muita qualidade de servio. Ainda segundo Juarez (2011), se essas experincias derem certo, ento ser questo de tempo at o modelo se tornar padro para todos.

Segundo Carneiro (2008), em um relatrio do Gartner (aput Brodkin, 2008), so mostrados alguns pontos importantes de uma Cloud Computing:

Acesso privilegiado de usurios. O acesso aos dados via internet gera, consequentemente, maior insegurana, devido falta de limites fsicos e lgicos. Cabe ao fornecedor do servio garantir que cada usurio acessar somente as informaes que tem direito.

Responsabilidade com regulamentao. Apesar dos dados ficarem armazenados no fornecedor do servio, os clientes tambm tm responsabilidade com a segurana dos seus dados. Em caso de falta de integridade ou perda de dados, deve-se avaliar se foi uma falha de segurana do fornecedor ou do cliente.

Localizao dos dados. Quando o cliente adere ao ambiente de Computao em Nuvem, normalmente ele nem sabe onde os seus dados esto armazenados, podendo os mesmos estarem at em outros pases.

38 Isto implica em possveis falhas de segurana devido s legislaes especficas de outros pases. Segregao dos dados. Os dados dos clientes na nuvem ficam armazenados em conjunto. necessrio conhecer as tcnicas utilizadas pelo provedor para garantir os limites de acesso aos dados dos usurios. Recuperao dos dados. necessrio que o fornecedor disponha de um plano de recuperao dos dados dos clientes, em casos de desastres. Apoio investigao. O rastreamento de atividades ilegais

especialmente difcil no ambiente de nuvem, pois, os dados ficam espalhados por diversos servidores que mudam o tempo todo. necessrio firmar um compromisso contratual com o fornecedor que disponibilize formas especficas de investigao baseadas nas suas informaes. Viabilidade em longo prazo. Em caso de falncia ou troca de fornecedor, necessrio ter a garantia que seus dados estaro disponveis e que os formatos desses dados possam ser reconhecidos por outro fornecedor, para serem importados e restaurados.

Nos sub-tpicos seguintes, sero abordados os principais benefcios e riscos da Computao em Nuvem quanto segurana e os desafios referentes s questes da confiabilidade do modelo.

3.1 Benefcios x Riscos

Alguns benefcios so bastante atraentes, principalmente aqueles que influem diretamente no custo e produtividade de uma organizao. Por outro lado alguns riscos podem provocar a desistncia. A falta de conhecimento latente sobre o ambiente em nuvem gera boatos, informaes incorretas e, consequentemente, contribui para o aumento da desconfiana pelas partes interessadas neste tipo de servio.

39 3.1.1 Benefcios

Uma pesquisa realizada pelo IDC - International Data Corporation, onde foram entrevistados 244 executivos de TI/CIOs, classificou, conforme o grau de importncia, os benefcios identificados no cenrio de Cloud Computing.

Figura 3.0 Resultado da pesquisa do IDC sobre os benefcios do modelo em nuvem.

Os resultados demonstram que os benefcios da Cloud Computing esto baseados em trs principais alicerces: agilidade na prestao de servios, reduo dos custos organizacionais e uma reorientao do departamento de TI. Do ponto de vista do usurio comum, a facilidade de acesso a dados desponta como o principal fator de benefcio. Conseguir acessar suas informaes de qualquer lugar, a partir de um celular com browser, em netbooks ou tablets muito interessante. A popularizao da bandalarga outro fator que deve impulsionar cada vez mais esse movimento. Segundo Taurion (2009), Para qu dispor de 120 GB de disco rgido se voc pode, via comunicaes de alta velocidade, ter acesso a terabytes de dados?.

40 Segundo Wood (2011), alm dos diversos benefcios que aparecem na pesquisa, pode-se complementar que o Cloud Computing oferece aos seus usurios vrias vantagens:

Uso de aplicativos diretamente da internet, sem necessidade de t-los instalados no computador local. Consequentemente, no so exigidos hardwares potentes, pois todos os aplicativos so executados via web e o processamento realizado nos servidores do fornecedor.

Os usurios no precisam se preocupar em investir em hardware, pois o prprio fornecedor j oferece um esquema de hardware

completamente integrado, aproveitando o mximo dos seus recursos que utilizado somente quando necessrio pelos usurios. Alta escalabilidade, devido aos recursos serem disponibilizados ondemand, sendo altamente flexveis. Suas configuraes podem ser alteradas, em tempo real, pelos prprios usurios a qualquer momento. Suas aplicaes podem ser acessadas de qualquer lugar e dispositivos, pois seus servios so oferecidos atravs da internet, necessitando apenas de um navegador web. Consequentemente, isto gera uma independncia, tanto de localizao geogrfica, como de dispositivos e sistemas operacionais para a utilizao do ambiente em nuvem. O usurio no precisa se preocupar com backup de seus arquivos, pois tudo ficar armazenado nos servidores do fornecedor. Toda a infraestrutura de rede fica localizada no fornecedor do servio. Com isso, o usurio tem uma melhor viso e controle de sua estrutura em nuvem. O compartilhamento de arquivos e dados fica mais fcil, uma vez que eles ficam disponveis, a qualquer momento e para todos, na nuvem, podendo ser acessados de qualquer lugar com internet. Os dados de uma empresa no devem ficar descentralizados nos computadores de mesa e nos notebooks. Estes ltimos, por sua vez, compem uma situao ainda pior, pois por serem mveis e circularem tambm fora do ambiente empresarial, esto sujeitos a serem perdidos

41 ou furtados, o que pode levar perda de informao ou at mesmo ao vazamento de dados importantes.

3.1.2 Riscos

A Computao em Nuvem tambm traz riscos e desvantagens em contrapartida aos seus benefcios. Invaso e roubo de dados, falta de controle de acesso comprometendo a privacidade, limitao de desempenho, indisponibilidade do servio, entre outros, so pontos a serem estudados detalhadamente no processo de migrao, uma vez que alguns destes fatores de risco ainda no possuem soluo definitiva. De incio so citados alguns pontos que podem revelar caractersticas desvantajosas do modelo, como WOOD (2011): Conectividade, sem ela no possvel trabalhar. A Computao em Nuvem exige, antes de qualquer coisa, uma boa e confivel conexo com a internet. Confiana, a dificuldade do usurio em ter confiana de armazenar seus dados com terceiros. Segurana da informao, as polticas de segurana aplicadas pelos fornecedores, podem influenciar nas que o cliente aplicar nos seus dados e aplicativos. Compartilhamento da infraestrutura com os usurios: isto pode gerar problemas se o fornecedor no garantir a correta independncia dos dados de cada usurio, podendo abrir brechas para acessos indevidos de certos contedos. Problemas legais. Devido aos dados do usurio estarem armazenados em diversos servidores espalhados pelo mundo, valem as leis dos pases onde se encontram estes servidores, portanto necessrio conhecelas. Processo de Backup. Algumas precaues devem ser tomadas pelo cliente, que deve analisar como feito o processo, ou seja, se o provedor oferece um histrico das verses de backup realizadas, se os dados transmitidos so criptografados nas transmisses, o nvel de

42 automao desse backup, a localizao dos servidores onde sero armazenadas as cpias etc.

Tendo como base esse cenrio de riscos e desafios que envolvem a Computao em nuvem, uma pesquisa do Information Systems Audit and Control Association ISACA mostrou que para cerca de 45% dos gerentes de TI, os riscos identificados superam os benefcios ofertados. Esse

levantamento foi realizado ouvindo cerca de 1800 profissionais onde apenas 10% cogitam a utilizao da nuvem. O fator que mais preocupa sem dvida o mecanismo que prover a segurana e sigilo das informaes.

Segundo Spinola (2009), algumas perguntas so freqentes neste tipo de processo de migrao, como: Onde esto os meus dados? Como meus dados entram e saem de forma segura da nuvem? Como que os meus dados so protegidos no trfego? Quem tem acesso aos meus dados? Quem responsvel se algo der errado? Qual o plano de recuperao de desastres, incluindo a resposta para uma pandemia? Como cumprir com as leis de exportao e privacidade? Os meus dados desaparecem quando o meu site de armazenamento online desliga? O que acontece se o meu provedor de nuvem desaparece? Como o ambiente monitorado para os sistemas operacionais / banco de dados / aplicativo e como somos avisados em caso de incidentes? Como os dados so protegidos contra roubo e danos? So

criptografados? Quais os mecanismos utilizados? Como que feita a integrao com o ambiente interno da organizao (In-house)? O sistema tem recursos de personalizao suficientes para atender s minhas necessidades?

43 Quanto custar a mais em demanda? Qual o ponto a considerar quando se pesa In-house vs Cloud Computing? difcil migrar de volta a um sistema de in-house? Ser que mesmo possvel? Existem requisitos regulamentares no meu negcio que podem me impedir de usar a nuvem?

Figura 3.1: Resultado da pesquisa do IDC sobre os riscos do modelo em nuvem.

Outros pontos como: modelo de segurana fornecido pelo prestador de servios em nuvem, proteo contra ataques externos, modelo de criptografia utilizada, disponibilidade de controles que garantam polticas de privacidade etc, tambm so importantes e, portanto, devem ser estabelecidos de maneira transparente e objetiva pelos prestadores de Cloud Computing.

44

4 CLOUD MODEL

A apreenso de boa parte dos gestores de T.I. quanto migrao de seus dados e servios para o ambiente em nuvem, impedem uma expanso com maior velocidade deste modelo. Por mais que os prestadores de servios em nuvem garantam segurana, alm da manuteno e gerenciamento dos dados, todos os fatores crticos devem ser analisados junto ao provedor, no momento de tomar a deciso de migrar para a nuvem. O nvel de confiabilidade tambm pode ser monitorado durante a utilizao dos servios.

Pensando em analisar e avaliar a segurana e a confiabilidade de se manter dados corporativos ou pessoais no ambiente em nuvem, foi desenvolvido um modelo matemtico chamado de Cloud Model, pela engenheira de sistemas Juarez (2011). Ela o disponibilizou para a construo da ferramenta de avaliao, que ser apresentada nesse projeto.

4.1 Proposta do Cloud Model

O Cloud Model prope uma anlise de confiabilidade e segurana no ambiente em nuvem, onde, a partir da identificao das trs camadas bsicas que compem esse modelo, a camada de aplicao, plataforma e infraestrutura ser desenvolvida uma srie de avaliaes que permitem ao usurio medir de maneira consistente o grau de confiabilidade oferecido por um provedor de Cloud Computing. O modelo trata essas camadas como camada emocional, lgica e fsica respectivamente.

45

Figura 4.0 Modelos de servio

Avaliao fsica. Neste modelo aplica-se um conjunto de atributos que permite avaliar a parte relacionada ao servio tcnico prestado por um provedor, levando em considerao caractersticas como infraestrutura, escalonamento de recursos, migrao de dados, etc.

Avaliao lgica. Diferente da avaliao fsica, neste modelo aplica-se um conjunto de atributos referentes aos recursos lgicos e de segurana que so fornecidos por determinado provedor. A gesto de incidentes de segurana, a segurana nos recursos oferecidos e avaliao de vulnerabilidades so alguns exemplos de atributos de segurana.

Avaliao emocional. caracterizada pela aplicao de atributos emocionais utilizados por usurios leigos. Estes desejam utilizar os servios de Cloud Computing de maneira gratuita e precisam escolher um provedor que os oferea essa modalidade. A escolha feita atravs de atributos emocionais.

4.2 Definio dos atributos de avaliao

Os tipos de avaliao fsica e lgica se diferenciam do cenrio emocional por levarem em considerao questes tcnicas e de segurana durante a anlise para contratar os servios ou migrar de provedor, de maneira gratuita ou no. Diferente da avaliao emocional que direcionada a usurios leigos que no pagam pela utilizao de servios em nuvem. Atravs da anlise sobre o tema e informaes coletadas em provedores de Cloud Computing uma srie de

46 atributos foram identificados e divididos pelo tipo de avaliao de acordo com as tabelas abaixo.

A avaliao fsica, lgica e emocional composta por 10 atributos, estes esto listados por tipo de avaliao nas tabelas abaixo:
Tabela 4.1: Atributos e Descrio da Avaliao Fsica

Avaliao Fsica Descrio O provedor deve oferecer recursos compatveis com os do usurio permitindo-o desenvolver suas prprias aplicaes. 2 Desenvolvimento de O provedor deve oferecer flexibilidade ao Solues usurio para desenvolvimento de suas aplicaes. 3 Lock-In/Dependncia de Servios do usurio dependem da Fornecedor infraestrutura especfica do provedor no permitindo portabilidade. 4 Processamento da Referente ao tempo de resposta Informao fornecido pelo provedor. 5 Armazenamento de Dados Oferta de armazenamento de dados para o usurio e mobilidade de acesso. 6 Migrao de Dados Envolve a migrao de dados para a nuvem de um provedor ou a migrao de dados entre nuvens de provedores distintos 7 Logs Operacionais Histrico de registros de atividades realizadas pelos usurios dos servios, que possibilite identificar problemas no caso de incidentes. 8 Terceirizao de Servios Envolvem a parceria entre provedores de acesso e prestadores de servios com os quais so terceirizados tarefas e servios. 9 Escalonamento de Capacidade do provedor de expandir os Recursos recursos de acordo com as necessidades dos usurios. 10 Aplicao de Patches e Tarefa de aplicao de atualizaes e Atualizaes correes realizada pelos provedores. 1 Atributos Recursos Oferecidos

47
Tabela 4.2: Atributos e Descrio da Avaliao Lgica

Avaliao Lgica 1 2 Atributos Segurana dos Recursos Oferecidos Administrao de Acessos Descrio Envolve a garantia de segurana da informao. O provedor deve possuir polticas de segurana e controle dos acessos dos usurios aos dados armazenados. O provedor deve controlar o acesso aos dados de usurios de acordo com as tarefas que sero desenvolvidas. Os recursos compartilhados devem estar sobre controle rgido de acesso feito pelo provedor atravs de polticas de gerenciamento. O provedor deve fornecer mecanismos robustos de criptografia a fim de proteger as informaes dos usurios e evitar vazamento de informaes sigilosas. Envolve a prtica do provedor de estar regularmente verificando brechas de segurana em seus recursos utilizados. Os processos e procedimentos do provedor devem passar periodicamente por auditorias de controle para corrigir e evitar possveis irregularidades. Envolve os processos realizados em caso de incidentes de segurana. Envolve os processos de recuperao realizados pelo provedor para reativar os servios em caso de falhas e incidentes. Envolve o estabelecimento de polticas de preveno de acidentes realizados por equipes especializadas.

Definio de privilgios dos usurios Compartilhamento de Recursos

Criptografia de Dados

Avaliao de Vulnerabilidades Auditoria de Produtos e Servios

8 9

Gesto de Incidentes de Segurana Recuperao de Incidentes

10 Segurana Fsica

Tabela 4.3: Atributos e Descrio da Avaliao Emocional

Avaliao Emocional 1 Atributos Confiabilidade no Provedor Descrio O provedor deve possuir uma boa imagem, boas referncias no mercado alm de garantir segurana e qualidade aos usurios que contratam os seus servios. Garantia do provedor em dar continuidade ao servio em casos de falhas e interrupes.

Continuidade do Servio

48 Avaliao Emocional 3 Atributos Custo dos Servios Descrio O custo dos servios deve ser proporcional s atividades contratadas ao provedor. Envolve os direitos e deveres de ambas as partes (usurio e provedor) de maneira clara e simples. Clareza da informao sobre a localizao onde esto armazenados as informaes e se o provedor garante que os dados esto dentro das leis de outros pases, caso encontrem-se fora do pas. Definio feita em contrato, onde os dados s sero apagados no caso de encerramento do vnculo firmado entre usurio e provedor. Conhecimento de usurios que compartilham uma mesma nuvem. Envolve a capacidade do provedor de prevenir incidentes atravs de processos de gerenciamento. Confiabilidade nas equipes de trabalho do provedor, para garantir um bom gerenciamento, manuteno e segurana das informaes. Definio de regras e responsabilidades dos profissionais responsveis em gerenciar as informaes dos usurios.

Termos de Contrato

Localizao dos Dados Fsicos

Apagamento dos Dados

7 8

Confiabilidade nos outros usurios Preveno de Incidentes de Segurana Perfil do Pessoal do Provedor

10 Definio de Rules e Responsabilidades

4.3 Definio dos cenrios de avaliao

Uma vez definidos os atributos por tipo de avaliao, so definidos trs cenrios de avaliao, so eles:

Cenrio 1. Apresentado por usurios que utilizam os servios em nuvem e pagam pela utilizao a um provedor. Cenrio 2. Apresentado por usurios que no utilizam, no momento, servios em nuvem, porm apresentam certa tendncia em contratar esses servios de um determinado provedor.

Cenrio 3. Apresentado pelos usurios que utilizam de maneira gratuita os servios em nuvem.

49 Os usurios dos cenrios 1 e 2 formam um primeiro grupo que ser avaliado pela avaliao Tcnica e de Segurana. Os usurios do cenrio 3 formam um segundo grupo que ser submetido ao tipo de avaliao Geral.

4.4 Definio de atributos para cenrios de avaliao

As avaliaes tcnica, de segurana e geral so formadas pela juno de alguns atributos dos cenrios de avaliao fsica, lgica e emocional, como pode ser visto na tabela abaixo:
Tabela 4.4: Definio de atributos para cenrios de avaliao tcnica

Avaliao Tcnica Atributo Tipo de Avaliao Recursos oferecidos Fsico Desenvolvimento de solues Fsico Lock-In/Dependncia dos produtos de um determinado fornecedor Fsico Processamento da informao Fsico Armazenamento de dados Fsico Migrao dos dados, processos e/ou servios. Fsico Logs operacionais Fsico Terceirizao de servios Fsico Escalonamento de recursos Fsico Aplicao de patches e atualizao de verses Fsico Custos dos servios Emocional Continuidade dos Servios Emocional
Tabela 4.5: Definio de atributos para cenrios de avaliao de segurana

Avaliao de Segurana Atributo Tipo de Avaliao Administrao dos acessos dos usurios Lgico Compartilhamento de recursos Lgico Criptografia de dados e redes Lgico Avaliao de vulnerabilidades Lgico Auditorias aos servios/produtos/procedimentos Lgico Gesto dos incidentes de segurana Lgico

50 Avaliao de Segurana Atributo Tipo de Avaliao Recuperao de incidentes de segurana Lgico Segurana Fsica Lgico Apagamento de Dados Emocional Definio de roles e responsabilidades Emocional Localizao dos dados fsicos Emocional Perfil do pessoal do provedor Emocional
Tabela 4.6: Definio de atributos para cenrios de avaliao geral

Avaliao Geral Atributo Confiabilidade no Provedor Continuidade dos Servios Termos de Contrato Localizao dos Dados Fsicos Apagamento dos Dados Confiabilidade nos outros usurios Gesto de Incidentes de Segurana Desenvolvimento de Solues Armazenamento de Dados Lock-In/Dependncia de Fornecedor

Tipo de Avaliao Emocional Emocional Emocional Emocional Emocional Emocional Lgico Fsico Fsico Fsico

4.5 Definio dos questionamentos dos cenrios

Cada atributo definido nos cenrios tcnico, de segurana e geral, tambm chamados de fatores de avaliao, composto de questionamentos que devem ser respondidos pelo usurio no momento em que est se fazendo a anlise. Essas sries de questes so dividas por atributos e foram pr-definidas pela autora do modelo Juarez (2011), para compor os questionamentos ao usurio.

51

Tabela 4.7: Definio de questionamentos para cenrios de avaliao tcnica

Avaliao Tcnica Tipo Atributos Questes de Avaliao

O provedor oferece informao detalhada dos softwares, hardwares e sistema operacional usados? O provedor avalia inicialmente a compatibilidade dos recursos oferecidos com os do usurio, para que no existam problemas na migrao?

Fsico

Recursos oferecidos

Fsico

O provedor avalia os possveis riscos antes da instalao? O provedor oferece capacitao tcnica das solues oferecidas ao usurio? O provedor usa o horrio dos servios NTP1 para salvar os logs? O usurio pode customizar o desenvolvimento das solues de acordo com as polticas da sua organizao? O provedor fornece APIs padronizadas para o desenvolvimento das solues do usurio? O provedor avalia as solues desenvolvidas pelo usurio antes de passar a produo, a fim de verificar que elas no gerem riscos Desenvolvimento para os outros usurios? de solues possvel que o usurio avalie as novas verses dos aplicativos oferecidos pelo provedor antes de utilizar elas? O provedor utiliza controles ou padres para proteger a integridade dos dados nos aplicativos/sistema operacional? O provedor oferece solues e/ou tecnologias prprias, compatveis com outras j existentes no mercado? As solues e/ou tecnologias usadas pelo provedor podem ser utilizadas por um provedor alternativo? O provedor oferece portabilidade dos dados e servios desenvolvidos com eles? A soluo do provedor suporta a classificao de dados utilizada pelo usurio? A soluo e/ou tecnologias oferecidas tm alguma restrita? O provedor oferece prioridades para o processamento de alguns requerimentos?

Fsico

LockIn/Dependncia de um determinado fornecedor

Processamento

52 Avaliao Tcnica Tipo Fsico Atributos da informao Questes de Avaliao

Fsico

Fsico

Fsico

No caso de sobrecarga no processamento da informao, o provedor oferece prioridades para o processamento de alguns requerimentos? No caso de falhas no processamento da informao, o provedor oferece prioridades para o processamento de alguns requerimentos? Existe um tempo de espera para o atendimento dos requerimentos? O provedor oferece medidas tcnicas e organizacionais que garantam o correto funcionamento do processo da informao? O provedor oferece uma boa capacidade de armazenamento, em comparao com os outros provedores do mercado? O provedor oferece servio de Backup? O provedor oferece mtodos que garantem a Armazenamento destruio de mdias ou apagamento dos de dados dados, se o usurio precisar? O provedor informa como sero coletados, processados e transferidos os dados dos clientes? O servio de armazenamento de dados tem restries? O provedor oferece APIs para a migrao inicial dos dados do usurio?(para um novo usurio e/ou desde outro provedor Cloud Computing e/ou para outro provedor). Caso no oferea esses APIs, os termos do contrato indicam se o provedor oferece ajuda Migrao dos tecnolgica para a migrao dos dados? dados, processos O provedor tem planos ou procedimentos de migrao estabelecidos? e/ou servios. O usurio pode extrair seus dados para verificar que o formato utilizado pode ser migrado para outros provedores? O provedor possui processos para provar os dados exportados de outros provedores de Cloud Computing? O provedor oferece armazenamento dos logs (operacionais e de segurana) requeridos pelo usurio? O provedor informa o perodo do tempo Logs operacionais durante o qual os logs so armazenados? Voc sabe onde so armazenados fisicamente os logs? O provedor possui mtodos para revisar e proteger a integridade dos logs?

53 Avaliao Tcnica Tipo Atributos Questes de Avaliao

O provedor tem procedimentos efetivos de recuperao de logs? O provedor tem servios administrados por um prestador? O provedor informa ao cliente quais so os servios administrados pelo prestador? O provedor tem definidas as atividades que sero executadas pelos prestadores? O provedor tem definidos os acessos que sero outorgados aos prestadores (fsicos e/lgicos)? O usurio pode auditar as atividades dos prestadores? O escalonamento de recursos imediato? O escalamento de recursos flexvel aos requerimentos dos usurios? O provedor informa ao usurio das restries aplicadas para o escalamento? O provedor possui procedimentos para escalamentos no planejados? O provedor considera as polticas de autorizao e autenticao e durante um pedido de escalamento no planejado?

Fsico

Terceirizao de servios

Escalamento de recursos Fsico

Fsico

Aplicao de correes e atualizao de verses

Emocional

Continuidade do servio

O provedor tem polticas de aplicao de patches/atualizaes de verses ao software e/ou sistema operacional? O provedor aplica patches/atualizaes de verses do software e/ou sistema operacional s quando o grau do risco da vulnerabilidade alto? O provedor informa ao usurio quando vai atualizar verses de software ou do sistema operacional? O provedor informa ao usurio dos riscos da aplicao dos patches/atualizaes de verses? O provedor conta com procedimentos de rollback caso a atualizao patche/atualizao de verses no foram bem aplicadas? O provedor tem planos/procedimentos para repor o servio logo depois de uma interrupo? O provedor informa que o servio vai ter um perodo de inatividade para manuteno?

54 Avaliao Tcnica Tipo Atributos Questes de Avaliao

O provedor oferece solues alternativas para assumir o processamento dos servios caso os servios originais tenham falhas? O provedor aplica nveis de redundncia para reduzir ao mnimo as interrupes dos servios? O contrato estabelece uma indenizao para o cliente caso os servios sejam interrompidos? O contrato estabelece claramente os preos a pagar ao provedor pelos servios/produtos? O contrato estabelece algum pagamento adicional por uma variante dos servios/produtos contratados? O contrato estabelece algum pagamento de licena nos servios/produtos do provedor? O provedor estrutura os custos dos produtos baseado nos tipos de servios oferecidos (i.e. armazenamento - limite de armazenamento)? O provedor oferece proteo dos preos (price protection)?

Emocional

Custos dos servios

Tabela 4.8: Definio de questionamentos para cenrios de avaliao de segurana

Avaliao de Segurana Tipo Atributos de Avaliao Questes de Avaliao

Lgico

Lgico

O provedor informa das polticas de autenticao/autorizao dos usurios na rede? O provedor possui polticas de controle do acesso remoto? Administrao O provedor considera as polticas de dos acessos dos autorizao e autenticao durante um pedido de escalonamento no planejado? usurios O provedor retira os privilgios fornecidos aos prestadores logo da finalizao do trabalho realizado? O provedor revisa freqentemente os acessos fornecidos? Compartilhamento O provedor informa das polticas de autenticao/autorizao dos usurios que de recursos compartilham recursos?

55 Avaliao de Segurana Tipo Atributos de Avaliao Questes de Avaliao

Lgico

Lgico

Lgico

Lgico

O provedor oferece controle das atividades dos outros usurios que compartilham recursos com voc? O provedor delimita os recursos entre usurios? O provedor garante estar protegido ante escaneamentos de portas, vulnerabilidades e recursos compartilhados por parte de usurios que compartilham a nuvem? O provedor garante que os recursos do cliente estaro totalmente isolados? O provedor criptografa os dados e/ou trfego de dados? O provedor possui controles de segurana Criptografia de para criptografar dados/trfego? O provedor possui procedimentos para dados e redes incidentes que comprometam as chaves? A revogao das chaves efetiva simultaneamente em diferentes sites? O provedor informa qual a soluo utilizada para criptografar? O provedor avalia as vulnerabilidades dos recursos oferecidos freqentemente? O provedor verifica que as novas verses das solues oferecidas no so afeitas vulnerabilidades? O provedor permite voc realizar uma Avaliao de avaliao das vulnerabilidades dos vulnerabilidades recursos? O provedor mostra os resultados das avaliaes das vulnerabilidades dos recursos? O provedor realiza as trocas necessrias para eliminar as vulnerabilidades detectadas nas provas? O provedor realiza auditorias freqentemente? O provedor informa os tipos de auditorias que ele realiza para avaliar os recursos? Auditorias aos servios/produtos O provedor mostra os resultados das auditorias dos recursos? /procedimentos O provedor realiza as trocas necessrias para eliminar as vulnerabilidades detectadas nas auditorias? O provedor permite que voc realize auditorias nos recursos? O provedor tem definido procedimentos de Gesto dos comunicao com os usurios caso ocorra incidentes de algum incidente?

56 Avaliao de Segurana Tipo Atributos de Avaliao segurana Questes de Avaliao

O provedor utiliza controles para evitar tcnicas de ataques j conhecidas? O usurio pode reportar diretamente anomalias e/ou incidentes de segurana ao provedor? O provedor possui outros controles para prever ou minimizar o impacto de atividades maliciosas (dentro e fora da empresa)? O provedor permite a participao do prestador de servios na investigao do incidente de segurana?

Lgico

Recuperao de incidentes de segurana (Resilincia)

Lgico

Segurana fsica

Emocional

Apagamento dos dados

O provedor conta com procedimentos de recuperao aps incidentes e/ou desastres? O provedor tem nveis de prioridade para a recuperao de dados/servios? O provedor tem planos de continuidade de negcios? O provedor aplica RTO (Recovery Time Objective) e RPO (Recovery Point Objective) nas estratgias de proteo dos dados? O provedor possui procedimentos de anlise posterior a incidentes de segurana (anlise forense)? O provedor conta com polticas de segurana fsica? Os planos de segurana fsica j foram testados? O provedor aplica aos seus procedimentos padres existentes, por exemplo ISO 27001/2? As avaliaes de riscos incluem ameaas externas (Ex: Prdios prximos etc)? O provedor revisa frequentemente se as equipes esto cumprindo com as regulamentaes legais? O contrato estabelece o apagamento dos dados ou servios do usurio quando terminar o perodo de contrato? O usurio pode solicitar o apagamento dos dados sem ter que esperar o trmino do contrato? O provedor apaga toda a informao dos dispositivos ou computadores quando vo ser migrados de local?

57 Avaliao de Segurana Tipo Atributos de Avaliao Questes de Avaliao

O provedor apaga os dados com prvia autorizao do dono dos dados? O provedor possui processos para destruir dados antigos quando forem requeridos? Os termos do contrato definem claramente os papis e responsabilidades do provedor e do usurio? Os termos do contrato definem a Definio de roles participao dos prestadores de servios? O provedor detalha as obrigaes e acordos e Emocional de confidencialidade dos dados? responsabilidades O contrato estabelece como proprietrio dos dados o usurio? O contrato estabelece penalidades para os participantes, caso no seja cumprida alguma clusula? O provedor informa ao usurio sobre os lugares fsicos onde os dados so armazenados? O provedor informa ao cliente quando muda a localizao fsica dos dados? O provedor informa ao cliente sobre as leis dos lugares fsicos onde os dados so armazenados? A infraestrutura do provedor est localizada em um mesmo pas? O provedor usa a infraestrutura de um prestador de servios que no faz parte da empresa deles? O provedor confere a informao (identidade, referncias, antecedentes policiais etc) do pessoal a contratar? O pessoal do provedor tem conhecimentos mnimos de segurana? O pessoal assina algum acordo de confidencialidade da informao? O provedor revisa frequentemente os acessos e/ou privilgios fornecidos aos usurios e pessoal da empresa? O provedor garante de algum modo que o acesso aos dados e as aplicaes dos usurios so restritos ao pessoal da empresa?

Emocional

Localizao dos dados fsicos

Emocional

Perfil do pessoal do provedor

58

Tabela 4.9: Definio de questionamentos para cenrios de avaliao geral

Avaliao Geral Tipo Atributos de Avaliao Questes de Avaliao

Fsico

Fsico

Emocional

Confiabilidade no provedor O provedor (ou prestador) consulta o usurio

antes de tomar uma deciso muito importante, que pode afetar os servios/produtos do usurio? O provedor (ou prestador) oferece suporte tcnico eficiente?

O usurio pode customizar o desenvolvimento das solues de acordo com as polticas da sua organizao? O provedor fornece APIs padronizadas para o desenvolvimento das solues do usurio? O provedor avalia as solues desenvolvidas Desenvolvimento pelo usurio antes de passar a produo, a fim de verificar que elas no gerem riscos de solues para os outros usurios? possvel que o usurio avalie as novas verses dos aplicativos oferecidos pelo provedor antes de utiliz-las? O provedor utiliza controles ou padres para proteger a integridade dos dados nos aplicativos/sistema operacional? O provedor oferece solues e/ou tecnologias prprias, compatveis com outras j existentes no mercado? As solues e/ou tecnologias usadas pelo LockIn/Dependncia provedor podem ser utilizadas por um provedor alternativo? dos produtos O provedor oferece portabilidade dos dados de um e servios desenvolvidos com eles? determinado A soluo do provedor suporta a fornecedor classificao de dados utilizada pelo usurio? A soluo e/ou tecnologias oferecidas tm alguma restrita? O provedor possui uma boa reputao no mercado? O provedor novo no mercado? O provedor conta com certificaes que garantam a segurana e confiabilidade nos seus servios/produtos?

59 Avaliao Geral Tipo Atributos de Avaliao Questes de Avaliao

O provedor tem planos/procedimentos para ativar o servio logo depois de uma interrupo? O provedor informa quando o servio ter um perodo de inatividade para manuteno? O provedor oferece solues alternativas para assumir o processamento dos servios caso os servios originais tenham falhas? O provedor aplica nveis de redundncia para reduzir ao mnimo as interrupes dos servios? O contrato estabelece uma indenizao para o cliente caso os servios sejam interrompidos? O provedor indica o que vai acontecer com os dados quando terminar o contrato? O provedor informa como as leis dos pases onde so armazenados os dados podem afetar algum processo ou procedimento? O contrato claro nos termos de finalizao (causas, penalizaes, benefcios, etc.)? O contrato estabelece as limitaes do servio? O custo do suporte tcnico est includo no contrato? O contrato estabelece o apagamento dos dados ou servios do usurio quando terminar o perodo de contrato? O usurio pode solicitar o apagamento dos dados sem ter que esperar o trmino do contrato? O provedor apaga toda a informao dos dispositivos ou computadores quando vo ser migrados de local? O provedor apaga os dados com prvia autorizao do dono dos dados? O provedor possui processos para destruir dados antigos quando forem requeridos? O usurio possui uma boa reputao no mercado? O usurio novo no mercado? O usurio consulta o provedor antes de tomar uma deciso muito importante, que pode afetar aos servios/produtos do provedor ou de outros usurios? O usurio j teve problemas com o uso de servios Cloud Computing anteriormente com a empresa ou outras?

Emocional

Continuidade do servio

Emocional

Termos de contrato

Emocional

Apagamento dos dados

Emocional

Confiabilidade nos outros usurios

60 Avaliao Geral Tipo Atributos de Avaliao Questes de Avaliao

O usurio tem conhecimentos das tecnologias Cloud Computing? O provedor informa ao usurio sobre os lugares fsicos onde os dados so armazenados? O provedor informa ao cliente quando muda a localizao fsica dos dados? O provedor informa ao usurio sobre as leis dos lugares fsicos onde os dados so armazenados? A infraestrutura do provedor est localizada em um mesmo pas? O provedor usa a infraestrutura de um prestador de servios que no faz parte da empresa deles? O provedor tem definido procedimentos de comunicao com os usurios caso ocorra algum incidente? O provedor utiliza controles para evitar tcnicas de ataques j conhecidas? O usurio pode reportar diretamente anomalias e/ou incidentes de segurana ao provedor diretamente? O provedor possui outros controles para prever ou minimizar o impacto de atividades maliciosas (dentro e fora da empresa)? O provedor permite a participao do prestador de servios na investigao do incidente de segurana? O provedor oferece uma boa capacidade de armazenamento, em comparao com os outros provedores do mercado? O provedor oferece servio de Backup? O provedor oferece mtodos que garanta a destruio de mdias ou apagamento dos dados, se o usurio precisar? O provedor informa como sero coletados, processados e transferidos os dados dos clientes dos clientes? O servio de armazenamento de dados tem restries?

Emocional

Localizao dos dados fsicos

Lgico

Gesto de incidentes de segurana

Fsico

Armazenamento de dados

61 4.6 Definio do grau de importncia dos atributos

Uma vez determinados os tipos dos atributos, os tipos de avaliaes e os cenrios onde sero aplicados as avaliaes tcnicas, de segurana e geral, o Cloud Model especifica valores de importncia (pesos) para cada atributo de avaliao especificado de acordo com a tabela abaixo:
Tabela 4.10: Definio do grau de importncia dos atributos

Valores de importncia para os atributos (Pesos) Rtulo Valor Especificado Baixo 0,2 Mdio 0,3 Alto 0,5 4.7 Definio dos ndices de confiabilidade dos tipos de avaliaes

Os atributos de cada tipo de avaliao possuem seus valores de importncia especificados para que possam ser posteriormente calculados na frmula do ndice de confiabilidade.
Tabela 4.11: Definio do ndice de confiabilidade da avaliao tcnica

Avaliao Tcnica Atributo Tipo de Avaliao Recursos oferecidos Fsico Desenvolvimento de solues Fsico Lock-In/Dependncia dos produtos de um determinado fornecedor Fsico Processamento da informao Fsico Armazenamento de dados Fsico Migrao dos dados, processos e/ou servios. Fsico Logs operacionais Fsico Terceirizao de servios Fsico Escalamento de recursos Fsico Aplicao de patches e atualizao de verses Fsico Custos dos servios Emocional Continuidade dos Servios Emocional

Pesos/Rtulo 0,5 / Alto 0,5 / Alto 0,5 / Alto

0,3 / Mdio 0,5 / Mdio 0,3 / Mdio 0,2 / Baixo 0,2 / Baixo 0,3 / Mdio 0,3 / Mdio 0,3 / Mdio 0,5 / Alto

62
Tabela 4.12: Definio do ndice de confiabilidade da avaliao de segurana

Avaliao de Segurana Atributo Tipo de Pesos/Rtulo Avaliao Administrao dos acessos dos 0,5 /Alto usurios Lgico Compartilhamento de recursos Lgico 0,3 / Mdio Criptografia de dados e redes Lgico 0,3 / Mdio Avaliao de vulnerabilidades Lgico 0,3 / Mdio Auditorias aos 0,3 / Mdio servios/produtos/procedimentos Lgico Gesto dos incidentes de 0,2 / Baixo segurana Lgico Recuperao de incidentes de 0,2 / Baixo segurana Lgico Segurana Fsica Lgico 0,5 /Alto Apagamento de Dados Emocional 0,3 / Mdio Definio de rules e 0,2 / Baixo responsabilidades Emocional Localizao dos dados fsicos Emocional 0,5 /Alto Perfil do pessoal do provedor Emocional 0,2 / Baixo
Tabela 4.13: Definio do ndice de confiabilidade da avaliao geral

Avaliao Geral Tipo de Avaliao Confiabilidade no Provedor Emocional Continuidade dos Servios Emocional Termos de Contrato Emocional Localizao dos Dados Fsicos Emocional Apagamento dos Dados Emocional Confiabilidade nos outros usurios Emocional Gesto de Incidentes de Segurana Lgico Desenvolvimento de Solues Fsico Armazenamento de Dados Fsico Lock-In/Dependncia de Fornecedor Fsico Atributo

Pesos/Rtulo 0,5 /Alto 0,5 /Alto 0,5 /Alto 0,3 / Mdio 0,3 / Mdio 0,2 / Baixo 0,5 /Alto 0,5 /Alto 0,3 / Mdio 0,5 /Alto

63 4.8 Definio de respostas e valores ao usurio

Definido s importncias designadas para cada fator ou atributo de avaliao, necessrio definir os tipos de respostas possveis ao usurio. Para o Cloud Model foram definidos quatro tipos de respostas possveis, onde cada resposta possui um valor correspondente.
Tabela 4.14: Definio das respostas com seus respectivos valores

Respostas e Valores do Modelo Tipos de Resposta Valores Correspondentes Descrio Sim 100 Provedor cumpre com determinada tarefa. Provavelmente Sim 75 Incerteza, tendendo a resposta positiva. Provavelmente No 50 Incerteza, tendendo a resposta negativa. No 25 Provedor no cumpre com determinada tarefa 4.9 Obteno do grau de confiabilidade

A obteno do grau de confiabilidade ser possvel atravs do clculo composto pelos graus de importncia e pelos valores obtidos das respostas dadas dos usurios. Sero aplicadas um total de cinco perguntas a serem respondidas, por fator de avaliao. Esses valores so computados pela frmula para gerar o resultado final. Para cada cenrio definido existe um tipo de avaliao correspondente, seja ela tcnica, de segurana ou geral, porm para todos os tipos de avaliao a frmula aplicada ser a mesma, representada pelo somatrio das mdias das respostas dadas multiplicados pelos graus de importncia de cada fator de avaliao, como exposto abaixo:

64 Frmula Geral aplicada nos cenrios:

i 0

= {[(mdia(f ator1) * pesofator1) (mdia(fat or2) * pesofator2) + (mdia(fat or3) * pesofator3)

+ + (mdia(fat orN) * pesofatorN)]}

Onde a mdia de cada fator calculada a partir da mdia aritmtica das respostas obtidas:

Mdia(fatorX) = ( ValorResposta1 + ValorResposta2 + ValorResposta3 + ValorResposta4 + ValorResposta5 ) / 5 Frmula Detalhada para o Cenrio 1, tipo de Avaliao Tcnica:

= {[ + + + + + + + + + + + ]}
Frmula Detalhada para o Cenrio 2, tipo de Avaliao de Segurana:

=0

= {[ + + + + + + + + + + + ]}
Frmula Detalhada para o Cenrio 3, tipo de Avaliao Geral:

=0

= {[ + + + + + + + + + ]}

=0

65 Legenda das variveis utilizadas:

RecOf = Recursos Oferecidos DevSol = Desenvolvimento de Solues Lock-In = Lock-In/Dependncia de Fornecedor ContServ = Continuidade dos Servios ProcInfo = Processamento de Informaes Armaz = Armazenamento de Dados Mig = Migrao de Dados e Processos AplPatUpd = Aplicao de Patches e Updates EscalRec = Escalonamento de Recursos Logs = Logs Operacionais Terc = Terceirizao de Recursos CustoServ = Custo dos Servios AdmAc = Administrao dos Acessos aos Usurios Compart = Compartilhamento de Recursos Criptog = Criptografia de Dados e Redes AvVulnerab = Avaliao e Vulnerabilidades Audit = Auditoria de Processos e Servios GestIncSeg = Gesto de Incidentes de Segurana RecIncSeg = Recuperao de Incidentes de Segurana SegFis = Segurana Fsica ApagDados = Apagamento de Dados DefRulResp = Definio de Roles e Responsabilidades LocDadosFis = Localizao de Dados Fsicos PerfPesProv = Perfil do Pessoal do provedor ConfProv = Confiabilidade no provedor Contrato = Termos de Contrato ConfUser = Confiabilidade nos outros usurios

O grau de confiabilidade obtido ter um rtulo correspondente a uma escala prdefinida pelo modelo. Este ser responsvel por rotular a qualidade do servio prestado que poder variar de 0 a 500 e rotulados como Pssimo, Ruim, Razovel, Bom, ou Muito Bom como detalhado na tabela a seguir:

66

Tabela 4.15: Intervalos e rtulos correspondentes qualidade dos servios

Escala de Rtulos Rtulos para o Servio Intervalos Pssimo 0 grau 100 Ruim 101 grau 200 Razovel 201 grau 300 Bom 301 grau 400 Muito Bom 401 grau 500

4.10 Demonstrao de funcionamento

Neste tpico ser demonstrado o funcionamento do Cloud Model. Para fins de testes existiro trs usurios fictcios que sero submetidos avaliao. Cada usurio avaliar um cenrio diferente. Nas tabelas abaixo esto os dados obtidos para cada usurio, ou seja, as perguntas respondidas, as mdias calculadas, os rtulos obtidos e o grau de confiabilidade.

Quadro Resumo de Resultados:

Usurio UserTest01 UserTest02 UserTest03

Tipo de Avaliao Segurana Geral Tcnica

Grau de Confiabilidade 331,5 298 412,5

Rtulo do Servio Bom Razovel Muito Bom

67 Usurio: UserTest01. Quadro de mdias, pesos, ndices parciais e quadro de respostas:

Usurio..: UserTest01 Fatores avaliados

Tipo de Avaliao..: Segurana Mdia das respostas Importncia (Peso) ndice Parcial (mdia x peso)

Administrao de Acessos dos Usurios Compartilhamento de Recursos Criptografia de Dados Avaliao de Vulnerabilidades Auditoria Gesto de Incidentes Recuperao de Incidentes Segurana Fsica Apagamento de Dados Definio de Regras e Responsabilidades Localizao de Dados Fsicos Perfil do Pessoal do Provedor

95 90 85 75 65 100 100 95 100 95 70 90

0,5 0,3 0,3 0,3 0,3 0,2 0,2 0,5 0,3 0,2 0,5 0,2
Grau de Confiabilidade Rtulo do Servio

47,5 27 25,5 22,5 19,5 20 20 47,5 30 19 35 18 331,5 Bom

Questes Q1 Q2 Q3 Q4 Q5
Sim No Sei Provavelmente Sim Sim Sim Sim No Sei Provavelmente Sim No Sei Provavelmente Sim Sim Sim Sim Sim Sim Sim Sim No

Fator de Avaliao
Administrao de Acessos Compartilhamento de Recursos Criptografia de Dados Avaliao de Vulnerabilidades Sim Sim No Sei Provavelmente No No Sim Auditoria Sim No Sei Provavelmente No No Sei Provavelmente No Sim No Gesto de incidentes Sim Sim Sim Sim Sim

Recuperao de Incidentes

Segurana Fsica Sim No Sei Provavelmente Sim Sim Sim Sim

Apagamento dos Dados Sim Sim Sim Sim Sim

Definio de Roles Sim Sim Sim Sim No Sei Provavelmente Sim

Localizao dos Dados Fsicos Perfil do Pessoal do Provedor No Sei Provavelmente Sim No Sei Provavelmente Sim No Sei Provavelmente No No Sei Provavelmente Sim No Sei Provavelmente Sim No Sei Provavelmente Sim Sim No Sei Provavelmente Sim Sim Sim

Q1 Q2 Q3 Q4 Q5

Sim Sim Sim Sim Sim

Usurio: UserTest02. Quadro de mdias, pesos, ndices parciais e quadro de respostas:

Usurio..: UserTest02 Fatores avaliados Confiabilidade no Provedor Continuidade do Servio Termos de Contrato Localizao dos Dados Fsicos Apagamento dos Dados Lock-In/ Dependncia do fornecedor Desenvolvimento de Solues Gesto de Incidentes de Segurana Armazenamento de Dados Confiabilidade nos outros usurios

Tipo de Avaliao..: Geral Mdia das respostas Importncia (Peso) 75 0,5 65 0,5 75 0,5 55 0,3 95 0,3 75 0,5 65 0,5 85 0,5 70 0,3 60 0,2
Grau de Confiabilidade Rtulo do Servio

ndice Parcial (mdia x peso) 37,5 32,5 37,5 16,5 28,5 37,5 32,5 42,5 21 12 298 Razovel

68

Questes
Confiabilidade no Provedor Continuidade do Servio Sim No Sei Provavelmente No No Sei Provavelmente No No Sei Provavelmente No No Sei Provavelmente Sim

Fator de Avaliao
Termos de Contrato No Sei Provavelmente Sim No Sei Provavelmente No No Sei Provavelmente Sim No Sei Provavelmente Sim Sim Localizao dos Dados Fsicos No Sei Provavelmente No No Sei Provavelmente No No Sei Provavelmente No No Sei Provavelmente Sim No Sei Provavelmente No Apagamento de Dados No Sei Provavelmente Sim Sim Sim Sim Sim No Sei Provavelmente Sim No Sei Provavelmente Sim No Sei Provavelmente Sim No Sei Provavelmente Sim No Sei Provavelmente Sim

Q1 Q2 Q3 Q4 Q5

Lock-In

Desenvolvimento de Solues No Sei Provavelmente Sim No Sei Provavelmente Sim No Sei Provavelmente No No Sei Provavelmente No No Sei Provavelmente Sim

Gesto de Incidentes No Sei Provavelmente Sim Sim Sim No Sei Provavelmente Sim No Sei Provavelmente Sim

Armazenamento de Dados Sim Sim No Sei Provavelmente No No Sei Provavelmente No No Sei Provavelmente No

Confiabilidade nos O utros Uusrios No Sei Provavelmente Sim No Sei Provavelmente Sim No Sei Provavelmente No No Sei Provavelmente No No Sei Provavelmente No

Q1 Q2 Q3 Q4 Q5

No Sei Provavelmente Sim No Sei Provavelmente Sim No Sei Provavelmente Sim No Sei Provavelmente Sim No Sei Provavelmente Sim

Usurio: UserTest03. Quadro de mdias, pesos, ndices parciais e quadro de respostas:

Usurio..: UserTest03 Fatores avaliados Recursos Oferecidos Desenvolvimento de Solues Lock-In/Dependncia de Fornecedor Processamento de Informao Armazenamento de Dados Migrao de Dados Aplicao de Patches e Updates Escalonamento de Recursos Terceirizao de Servios Logs Operacionais Continuidade dos Servios Custo dos Servios

Tipo de Avaliao..: Tcnica Mdia das respostas Importncia (Peso) 95 0,5 90 0,5 95 0,5 100 0,3 95 0,5 95 0,3 95 0,3 80 0,3 85 0,2 85 0,2 100 0,5 100 0,3
Grau de Confiabilidade Rtulo do Servio

ndice Parcial (mdia x peso) 47,5 45 47,5 30 47,5 28,5 28,5 24 17 17 50 30 412,5 Muito Bom

Questes
Recursos O ferecidos Desenvolvimento de Solues Sim Sim No Sei Provavelmente Sim Sim No Sei Provavelmente Sim Lock-In Sim Sim Sim Sim

Fator de Avaliao
Processamento da Informao Sim Sim Sim Sim Sim Armazenamento de Dados Sim Sim Sim No Sei Provavelmente Sim Sim Migrao de Dados Sim No Sei Provavelmente Sim Sim Sim Sim Sim Sim Sim Sim No Sei Provavelmente Sim

Q1 Q2 Q3 Q4 Q5

No Sei Provavelmente Sim

Aplicao de Patches e Updates

Escalonamento de Recursos No Sei Provavelmente Sim No Sei Provavelmente Sim Sim No Sei Provavelmente Sim No Sei Provavelmente Sim

Terceirizao e Servios No Sei Provavelmente Sim Sim Sim Sim No Sei Provavelmente No

Logs O peracionais Sim Sim No Sim Sim

Continuidade dos Servios Sim Sim Sim Sim Sim

Custos dos Servios Sim Sim Sim Sim Sim

Q1 Q2 Q3 Q4 Q5

Sim Sim Sim No Sei Provavelmente Sim Sim

69

5 ESPECIFICAO DA FERRAMENTA DE AVALIAO DO CLOUD MODEL

Com base no Cloud Model foi construda uma ferramenta que permitisse automatizar o processo de avaliao dos servios de provedores de Cloud Computing.

5.1 Definio

A ferramenta desenvolvida permite ao usurio fazer a escolha do cenrio ao qual ele est inserido e a partir deste ponto, avaliar os fatores definidos atravs dos questionamentos aplicados a fim de obter um grau de confiabilidade final que possa indicar o quanto os servios em nuvem prestados por determinado provedor seguro e confivel. A ferramenta poder ser usada por usurios que possuam os servios em nuvem contratados a um provedor ou a usurios que queiram levantar mais informaes a respeito da segurana do servio para posteriormente contrat-lo, assim como usurios que no possuam servios em nuvem contratados e os utilizem de maneira gratuita, conforme definido pelo Cloud Model.

5.2 Objetivo

Construir uma ferramenta com o intuito de servir como apoio ao Cloud Model desenvolvido pela engenheira Paola Garca Juarez, em seu mestrado pelo Programa de Ps-Graduao de Informtica PPGI da Universidade Federal do Rio de Janeiro UFRJ.

5.3 Construo

Para desenvolvimento da ferramenta foi utilizada a linguagem JavaSE, com o ambiente de desenvolvimento NetBeans 6.9.1 e o Eclipse Helios. O banco de

70 dados utilizado o PostgreSQL 9. Para a gerao de relatrios foram utilizadas bibliotecas externas como o JasperReports verso 4.0.1, mais a ferramenta para criao de designers de relatrios iReport verso 4.0.1.

5.4 Funcionamento

A ferramenta foi construda de maneira a possibilitar ao usurio avaliar os fatores que sejam necessrios atravs de uma interface intuitiva. Tambm para o apoio ao usurio foram desenvolvidos o manual do usurio e o fluxograma da ferramenta (ver Anexos A e B).

Ao iniciar a ferramenta, o usurio poder escolher o seu cenrio. Os usurios que j pagam pelos servios contratados e os que tendem a contratar devero optar pela simulao do cenrio pago, onde se dividiro entre as avaliaes tcnicas e de segurana conforme definido no Cloud Model. Os usurios que no pagam pelo servio devero usar o cenrio gratuito, realizando a avaliao geral. Uma vez escolhido o cenrio, o usurio dever analisar os fatores de avaliao disponveis, estes distribudos de acordo com os tipos de avaliao estabelecidos pelo modelo. A cada fator escolhido uma srie de cinco questes ser aplicada e o usurio dever respond-las de acordo com o seu julgamento, para que no final seja gerado um ndice parcial composto pela mdia aritmtica das respostas dadas multiplicadas pelo grau de importncia do fator avaliado. Para cada fator escolhido a mecnica ser a mesma, o usurio responder cinco questes aplicadas que iro gerar no final um ndice parcial.

Uma regra adicional exige que o usurio avalie no mnimo seis fatores para gerar o grau de confiabilidade total.

Aps avaliao dentro das regras definidas pelo Cloud Model, o usurio poder ter o grau de confiabilidade total, o que indicar um rtulo com a qualidade avaliada do servio prestado em termos de segurana e confiabilidade. O resultado obtido poder ser armazenado para posterior consulta gerando assim um histrico de registros de simulaes que poder auxiliar ao usurio atravs

71 de realizar comparativos de simulaes de perodos diferentes assim como relatrios.

As questes aplicadas pelo simulador esto pr-armazenadas em um banco de dados, assim como os registros de simulaes realizadas.

72

6 CONCLUSO

O presente trabalho mostra, atravs da ferramenta desenvolvida com base no Cloud Model, junto a anlises de fatores de riscos e benefcios, o quanto importante, e ao mesmo tempo complicado, para o usurio, levantar informaes que lhe ofeream mais confiana e segurana nos servios de Computao em Nuvem prestados pelos provedores.

Esse tema ainda est em fase de amadurecimento, portanto existem poucas metodologias de avaliao de confiabilidade. O Cloud Model utilizado nesse projeto um exemplo desse tipo de metodologia recm criada. O objetivo do modelo proporcionar para o usurio um meio de sanar suas preocupaes ou ameniz-las.

Todos os fatores, sejam de riscos ou benefcios, que puderem ser analisados pelos usurios que queiram aderir computao em nuvem devero ser levados em considerao, pois o usurio deve ter algum nvel de tranqilidade acerca da segurana de seus dados nas mos de empresas prestadoras destes servios.

Com certeza novas metodologias de anlise sero desenvolvidas, no passo em que mais estudos sejam realizados e novas informaes venham surgindo, contribuindo para que os usurios passem a olhar esse mercado de Computao em Nuvem com menos desconfiana.

6.1 Contribuies

As contribuies dessa pesquisa esto diretamente relacionadas aos objetivos expostos no tpico introdutrio.

73 A principal contribuio foi a ferramenta construda, que por representar um modelo de avaliao da Computao em Nuvem, poder servir

futuramente,como base para estudos incrementais nessa rea.

Alm disso, foi realizada uma anlise dos principais riscos referentes Computao em Nuvem, explorando conhecimentos nos setores de segurana e confiabilidade, bem como os cuidados que devem ser tomados no processo de migrao de dados para a nuvem.

6.2 Trabalhos futuros

Alguns pontos da ferramenta construda podem ser melhorados. Em relao interface, fica como proposta uma implementao de menus mais adequados, possibilitando para o usurio fazer a utilizao dela de maneira mais prtica e confortvel visualmente, uma vez que no modelo atual, o usurio responde as perguntas que vo aparecendo como popups o que causa certo desconforto. Em relao dinmica da ferramenta podem-se construir mecanismos que possibilitem a gerao de histrico de resultados obtidos, onde o usurio poderia ter recursos para medir e comparar a diferena entre anlises realizadas de perodos, fatores e provedores distintos, assim como pode ser utilizada futuramente para validao do modelo perante provedores de acesso.

74

REFERNCIAS
Amazon Web Services. Disponvel em: <http://aws.amazon.com>. Acessado em: 03 mai. 2011. AMRHEIN, Dustin; QUINT, Scott. Computao em Nuvem para a Empresa: Parte 1: Capturando a Nuvem. Disponvel em: < http://www.ibm.com/developerworks/br/websphere/techjournal/0904_amrhein/>. Acessado em: 07 mar. 2011. CARNEIRO, Ricardo. Segurana na Preservao e uso da Informaes na Computao em Nuvens. 2008. Disponvel em: <http://www.4learn.pro.br/guarino/sd/08-Cloud%20Computing.pdf>. Acessado em: 07 mar. 2011. CHIRIGATI, Fernando. Computao em Nuvem. 2009. Disponvel <http://www.gta.ufrj.br/ensino/eel879/trabalhos_vf_2009_2/seabra/index.html>. Acessado em: 03 mai. 2011. em:

CARREIRA, Guia. Tendncias da Cincia da Computao: Cloud Computing. 2011. Disponvel em: <http://www.guiadacarreira.com.br/artigos/carreira/cienciacomputacao-cloud-computing/>. Acessado em: 03 mai. 2011. Google App Engine. Disponvem em: <http://code.google.com/intl/ptBR/appengine/docs/whatisgoogleappengine.html>. Acessado em: 18 abr. 2011. HAUTSCH, Oliver. Windows Azure: Seu computador vai s nuvens. 2008. Disponvel em: <http://www.tecmundo.com.br/943-windows-azure-seu-computadorvai-as-nuvens.htm>. Acessado em: 03 abr. 2011. IDC Analisy Future. Disponvel em: < http://www.idc.com>. Acessado em: 20 mai. 2011. ISACA. Trust in, and value from, information system. Disponvel em: < https://www.isaca.org/Pages/default.aspx>. Acessado em: 20 mai. 2011. JUAREZ, Paola. Cloud Model: Modelo Matemtico de avaliao da confiabilidade tcnica, segurana e emocional de um provedor Cloud Computing. Dissertao (Mestrado) Universidade Federal do Rio de Janeiro, Instituto de Matemtica, Ncleo de Computao Eletrnica, Programa de PsGraduao em Informtica, 2011. JUAREZ, Paola. Cloud Computing Brazil 2010 - Seminrio: Avaliao de Confiabilidade e Segurana nas Nuvens. Rio de Janeiro: Universidade Federal do Rio de Janeiro, abr. 2010. LOPES, Rafael. Conhea os services em nuvem oferecidos pela Amazon Web Services. Disponvel em: <http://www.bitabit.eng.br/2011/02/15/conheca-os-

75 servicos-em-nuvem-oferecidos-pela-amazon-web-services/>. Acessado em: 03 mai. 2011. MARKUS, Klems. Merrill in the Cloud. 2008. Disponvel em: < http://markusklems.wordpress.com/2008/07/05/merill-in-the-cloud/>. Acessado em: 07 mar. 2011. MARTINEZ, Marina. Computao em Nuvem. 2010. Disponvel em: <http://www.infoescola.com/informatica/computacao-em-nuvem/>. Acessado em: 21 mai. 2011. MORIMOTO, Carlos. Nas nuvens: entendendo o Cloud Computing. 2009. Disponvel em: < http://www.hardware.com.br/dicas/entendendo-cloudcomputing.html>. Acessado em: 13 abr. 2011. NIST, A National Institute of Standards and Technology - Computer Security Division (2010). Cloud Computing Definition v15. Disponvel em http://csrc.nist.gov/groups/SNS/cloud-computing/ . Acessado em 07 mar. 2011. SALES FORCE. Disponvel em < http://www.salesforce.com/ >. Acessado em: 01 mai. 2011. SOUSA, Flvio; MOREIRA, Leonardo; MACHADO, Javam. Computao em Nuvem: Conceitos, Tecnologias, Aplicaes e Desafios. Universidade Federal do Cear (Setembro de 2010). Disponvel em: < http://www.es.ufc.br/~flavio/files/Computacao_Nuvem.pdf>. Acessado em: 15 abr. 2011. SPINOLA, Maria. An essential guide to possibilities and risks of Cloud Computing, 2009. TAURION,Cezar. Cloud Computing: Computao em Nuvem. 1 Edio. Ed. Brasport, 2009. WOOD, Jonh; TRACY, Rick. Security Advantages of Cloud Computing. 2011. Disponvel em: <http://www.moderndcbusiness.com/security-advantages-of-cloudcomputing.html>. Acessado em: 10 mar. 2011.

76

ANEXO A Manual de apoio a ferramenta desenvolvida

Este manual composto de 7 itens com detalhamento das funes existentes no programa proposto.

Item 1 - Ao iniciar o programa uma caixa dever aparecer informando ao usurio as regras para utilizao do simulador.

Item 2 - Ao iniciar a ferramenta um menu com duas opes aparecer. Na primeira opo o usurio ir iniciar o processo de simulao, sendo redirecionado a um segundo menu referente modalidade dos servios, se pagos ou no. Na segunda opo o usurio poder consultar resultados obtidos em simulaes anteriores informando o nome utilizado no registro, conforme ilustrado nas figuras abaixo:

77

Item 3 - Na tela Menu Cenrio de Avaliao, o usurio dever optar pelo cenrio ao qual se encaixa,ou seja, como definido pelo modelo, usurios que pagam,ou que tendem a pagar por servios em nuvem, se direcionam categoria de servios pagos; e usurios que no pagam se direcionam categoria de servios gratuitos. Aqueles que optarem pela primeira opo Gratuito, sero direcionados tela para simulao dos atributos da avaliao geral. Porm aqueles que optarem pela segunda opo Pago, sero direcionados para outro menu, onde estaro disponveis duas opes de tipo de avaliao Avaliao Tcnica e Avaliao de Segurana. Cada opo levar o usurio tela de simulao dos atributos especificados para cada cenrio, conforme ilustram as imagens abaixo.

78

79

Item 4 - Nas janelas de avaliao mostradas acima para as avaliaes tcnica, de segurana e geral o usurio dever selecionar os atributos que deseja avaliar, tendo como base a regra inserida de no mnimo seis para gerar um resultado final. Um aviso sobre esta regra ser emitido sempre ao iniciar um tipo de avaliao e outro quando um usurio tentar gerar um ndice final sem ter simulado no mnimo os seis atributos necessrios. Sempre que um atributo for selecionado aparecero, em sequncia, caixas de dilogo e ao final uma tela de informao com a mdia calculada, o grau de importncia e o ndice parcial correspondente a mdia multiplicado pelo grau de importncia, como ilustrados nas figuras abaixo:

Exemplos de caixas de dilogo com as respostas possveis utilizadas pelo simulador.

Tela de informao que aparecer sempre ao final da simulao de um atributo.

80

Aviso sobre a regra de quantidade de atributos.

Item 5 Ao final da simulao, uma tela de resultados ser mostrada. Nela o usurio poder conferir o grau de confiabilidade obtido, o rtulo de qualidade dos servios referente a segurana e uma listagem das perguntas aplicadas e as respostas dadas, assim como ser possvel gerar um relatrio das mesmas.

Item 6 Nas figuras acima esto representados as telas de resultados, porm importante ressaltar que os usurios que simulam no cenrio tcnico podem simular tambm no cenrio de segurana, uma vez que estes usurios esto no cenrio 1, ou seja, so usurios que j possuem o servio contratado e pagam por eles. Os demais apenas simulam nos seus respectivos cenrios. A partir do resultado final gerado, o grau de confiabilidade, o usurio pode gravar o registro do seu resultado final caso necessite fazer algum tipo de comparao no futuro. Para gravar um registro, uma tela aparecer assim que o usurio continuar aps a tela de resultados, conforme a figura abaixo.

81

Item 7 - Uma vez gravado o seu registro da simulao realizada, o usurio poder consultar no menu inicial como j mostrado no item 2 deste manual, basta digitar o seu nome para busca, caso haja registros gravados, estes sero listados na caixa de resultados, alm de possibilitar ao usurio gerar um relatrio completo com todos os seus registros.

82 ANEXO B Fluxograma da ferramenta

nicio

Selecionar uma ao inicial.

Iniciar ?

Sim

Selecionar o tipo de cenrio de acordo com o usurio.

No

Usurio consulta resultados anteriores

Sim

Consultar Resultados?

Os servios utilizados so pagos? No

Sim

Selecionar o tipo de Avaliao no cenrio pago.

No

Selecionada Avaliao Tcnica?

Sim

Usurio responde Avaliao Tcnica.

No Usurio responde Avaliao Geral

Usurio responde Avaliao de Segurana.

Sim

Usurio deseja analisar os fatores de segurana?

No

Gravar registro da Simulao? No

Sim

Grava os resultados obtidos

FIM