Universidade Federal de Santa Catarina UFSC Centro Tecnolgico - CTC Departamento de Informtica e Estatstica - INE Curso Cincias da Computao

o CCO Disciplina Redes de Computadores I - INE5414

Professor Carlos Becker Westphall

Florianopolis, 20/12/2012

Artigo Riscos de Segurana em Cloud Computing

Questes de segurana e gesto de riscos

Parte 3

Aluno Fristtram Helder Fernandes 1 Matricula: 10206699

___________________________________ 1 Graduao em Cincias da Computao UFSC fristtram@gmail.com ; fristtram@inf.ufsc.br http://www.inf.ufsc.br/~fristtram/

Abstract
Um dos grandes atrativos da Computao em Nuvem sem dvida a promessa de reduo dos custos com TI, alm de se delinear como sendo a oportunidade para que as empresas possam agilizar processos e aumentar a inovao tecnolgica. Pesquisas apontam que o uso do modelo ir crescer at representar 60% de mercado. O interesse em aderir a tal modelo tambm cresce de maneira exponencial, devido proposta de integrao de servios e uso racional dos recursos de TI pelas organizaes, o que concretiza o sonho de consumo dos gestores de TI. No entanto, questes de segurana e gesto de riscos com o uso disseminado do modelo tm sido abordadas constantemente por especialistas em segurana da informao. A adeso a tais servios obrigar s equipes de segurana de TI das companhias a estabelecer maiores controles para os servios baseados na Nuvem. Este artigo contribui com a definio de requisitos para a gesto de riscos de segurana da informao na adoo dos servios da Nuvem.

1. Introduo
A Computao em Nuvem (Cloud Computing) fruto da evoluo e da reunio dos fundamentos tcnicos de reas como virtualizao de servidores, Grid Computing (Computao em Grade), que tambm foi desenvolvido um prottipo para avaliar a proposta de arquitectura usando Grid-M, um middleware da pesquisa do grupo desenvolvido na Universidade Federal de Santa Catarina. Software orientado a servios, gesto de grandes instalaes (Data Centers), dentre outras. Trata-se de um modelo eficiente para utilizar softwares, acessar, armazenar e processar dados por meio de diferentes dispositivos e tecnologias web. Na prtica, a Computao em Nuvem seria a transformao dos sistemas computacionais fsicos de hoje em uma base virtual. De forma mais ampla, o paradigma da Computao em Nuvem parte do princpio de que todos os recursos de infraestrutura de TI (hardware, software e gesto de dados e informao), at ento tratada como um ativo da empresa usuria, passam a ser acessados e administrados por estas atravs da internet (Nuvem) com o uso de um simples navegador da rede mundial de computadores, utilizando-se qualquer tipo de equipamento celulares inteligentes, Notebooks, Netbooks, Desktops, iPods, Tablets, etc. Fornecedores de tecnologia passam a prover a infraestrutura e os servios capacitados para atender a essa demanda. Nesse cenrio delineia-se uma srie de questes que ainda precisam ser respondidas, afim de que se possibilite a sua plena utilizao e adoo sem receios pelas empresas. Este artigo est organizado da seguinte forma: 1. Introduo - Descreve um pouco sobre a computao em nuvens que a base deste artigo. 2. Conceitos Bsicos envolvidos - Descreve sobre um breve histrico da Computao

em Nuvem; a) Software como Servio que um modelo onde o software executado em um servidor. b) Infra-estrutura como Servio um modelo de servio que fornecimento de infraestrutura computacional em ambientes virtualizados. c) Plataforma como Servio um modelo de servio que caracteriza entrega de uma plataforma para desenvolvimento. 3. Aspectos Relevantes - Essa parte mostra a importancia desse trabalho, que definio do modelo que melhor se adapte s particularidades de cada empresa, depende do processo de negcios, do tipo de informao e do nvel de viso desejado, podem ser divididos em seguintes partes: a) Nuvem Privada ali mostramos a necessidade da implantao de uma nuvem privada que so empregadas polticas de acesso aos servios, nvel de gerenciamento de redes, configuraes dos provedores de servios e a utilizao de tecnologias de autenticao; b) Nuvem Publica esta parte a implantao da infra-estrutura de nuvens disponibilizada para o pblico em geral; c) Nuvem Comunitrio aqui a implantao da comunidade, ocorre o compartilhamento por diversas empresas de uma nuvem e por fim. d) Nuvem Hibrida Essa parte caracterizase pela composio de dois ou mais modelos de implantao de nuvem (comunidade privada ou pblica). 4. Concluso - Neste parte encerramos o artigo com algumas concluses concernentes ou interessantes. E por ultimo 5. Referencia Bibliografica Contem links que usei durante as pesquisas para materializao deste artigo.

2. Conceitos bsicos envolvidos

Ambientes de computao em nuvem podem ser compostos por trs diferentes modelos de servios que definem um padro arquitetural para solues de computao em nuvem (Armbrust et al. 2009). Riscos e benefcios globais sero diferentemente tratados, dependendo do modelo de servio e tipo de implantao que atender as necessidades da empresa contratante. importante notar que, ao se considerar os diferentes tipos de servios e modelos de implantao, as empresas devem considerar os riscos que os acompanham. a) Software como Servio (Software as a Service - SaaS) Nesse modelo de servio o software executado em um servidor, no sendo necessrio instalar o sistema no computador do cliente, basta acess-lo por meio da internet. O modelo de servio de SaaS ainda tem uma srie de desafios a serem vencidos, dentre os quais podemos destacar os problemas regulatrios, a integrao com os recursos internos da organizao, a disponibilidade e mais especificamente a segurana das informaes. Alguns especialistas afirmam que o mercado ao redor de SaaS envolve cifras em torno de US$ 5 e at 2011, dever representar 25% das vendas totais para o segmento corporativo. O uso bilhes. Ainda, de acordo com o Gartner Group, SaaS representou cerca de 5% do mercado total de software em 2005 de SaaS para a

automao dos processos de negcio fim-a-fim, como ordens de pagamento para grandes empresas por exemplo, deve crescer ainda mais nos prximos anos.

Figura 1. Grfico ilustrativo, software como servio.2 b) Infra-estrutura como Servio (Infrastructure as a Service IaaS) Esse modelo de servio refere-se ao fornecimento de infraestrutura computacional (geralmente em ambientes virtualizados) como um servio. O servio IaaS possui algumas caractersticas bsicas como, fornece uma interface nica para administrao da infraestrutura; provisionamento dinmico de servios; Alta-disponibilidade; e Balanceamento de carga de mquinas virtuais, a Infraestrutura como servio tambm conhecido por um conceito que envolve a liberdade de contratrar a infraestrutura de hardwares em Cloud Computing e espao em data center sem a necessidade da imobilizao de recursos, maximizando a rentabilidade do seu negcio. c) Plataforma como Servio (Platform as a Service - PaaS) - Esse modelo de servio caracteriza-se pela entrega de uma plataforma para desenvolvimento, teste e disponibilizao de aplicativos web com a finalidade de facilitar a implantao de aplicaes sem os custos e complexidade de gerenciamento do hardware. Um fator inibidor de adoo que aplicaes desenvolvidas em uma PaaS normalmente ficam presas ao fornecedor. preciso que futuros clientes estejam atentos a esse detalhe. E tambm podemos dizer que um conceito que oferece um conjunto de hardwares e softwares em forma de servio. Facilita a implantao de aplicaes sem o custo e a complexidade de compra e gerenciamento de softwares subjacentes. __________________
2 O grfico demonstra que, conforme baixamos o custo de adoo, um nmero maior de clientes pode adotar nossa soluo. E esse nmero tende ao infinito, uma vez que a curva no toca o eixo "x". Assim, no modelo SaaS de fornecimento de software, precisamos pensar em solues e infra-estruturas de baixo custo, com alto aproveitamento

de recursos por um nmero muito grande de clientes, para atingirmos um pblico no suportado hoje em dia, devido os custos proibitivos de entrada.

Figura 2. Mostra como os trs modelos esto interligados.

3. Aspectos relevantes
A computao em nuvem oferece quatro (4) aspectos relevantes para sua implantao. A definio do modelo que melhor se adapte s particularidades de cada empresa, depende do processo de negcios, do tipo de informao e do nvel de viso desejado. Segundo o NIST (National Institute of Standards and Technology) (NIST, 2009), os modelos de implantao de computao em nuvem podem ser divididos em: privado, pblico, comunitrio e hbrido. As principais caractersticas desses modelos sero listadas a seguir. a) Nuvem Privada (Private Cloud) A implantao de uma nuvem privada permite que esta seja administrada pela prpria empresa ou por terceiros. Neste modelo de implantao so empregadas polticas de acesso aos servios. As tcnicas utilizadas para prover tais caractersticas podem ser em nvel de gerenciamento de redes, configuraes dos provedores de servios e a utilizao de tecnologias de autenticao e autorizao (NIST, 2009). Em comparao com outros modelos de implantao de nuvem, esse modelo o que prover um menor risco, em detrimento de sua natureza privada. E, embora traga algumas facilidades por estar no ambiente da empresa, esse modelo exige gerenciamento interno, o que diminui a economia de recursos. Alm disso, por estar diretamente atrelado aos processos corporativos, torna-se engessado em termos de automao de tarefas como atualizaes. E ainda Private Cloud um conceito tecnolgico que proporciona a capacidade de criar e gerenciar uma nuvem privada em um ambiente extremamente seguro, com

liberdade e grandes recursos a sua disposio. No ambiente de Private Cloud da SAN, nossos clientes podem provisionar recursos tecnolgicos de primeira linha para montar a sua soluo dentro de uma "nuvem privada".

Figura 3. Mostra um exemplo de nuvem privada.

b) Nuvem Pblica (Public Cloud) - Neste modelo de implantao a infra-estrutura de nuvens disponibilizada para o pblico em geral ou para grupos de indstrias (NIST, 2009), sendo acessado por qualquer usurio que conhea a localizao do servio. Por isso no podem ser aplicadas restries de acesso quanto ao gerenciamento de redes, e menos ainda, aplicar tcnicas de autenticao e autorizao. O conceito de nuvens pblicas proporciona as organizaes mais economia de escala, uma vez que compartilha os recursos. Por outro lado, possui limites de customizao relacionados justamente segurana das informaes, SLAs e polticas de acesso, uma vez que os dados podem ser armazenados em locais desconhecidos e no podem ser facilmente recupervel. E tambm nuvem pblica provisione recursos ou estenda com segurana sua infraestrutura virtual interna para a nuvem pblica com a VMware e que os provedores de servios com a tecnologia vCloud, que fazem parte do maior ecossistema de parceiros de computao em nuvem. Aproveite recursos de nuvem hbrida seguros com confiana e, ao mesmo tempo, fornea escolha e flexibilidade, garantindo interoperabilidade e portabilidade de cargas de trabalho entre ambientes em nuvem com uma infraestrutura VMware vCloud baseada em VMware vSphere, VMware vCenter, VMware vCloud Director e VMware vCloud Networking and Security.

Figura 4. Mostra um exemplo de nuvem publica

c) Nuvem Comunitria (Community Cloud) - No modelo de implantao comunidade ocorre o compartilhamento por diversas empresas de uma nuvem, sendo esta suportada por uma comunidade especfica que partilha de interesses semelhantes, tais como a misso, os requisitos de segurana, poltica e consideraes sobre flexibilidade. Este tipo de modelo de implantao pode existir localmente ou remotamente e pode ser administrado por alguma empresa da comunidade ou por terceiros (NIST, 2009), semelhante ao modelo de Nuvem Privada em relao definio de polticas de acesso e a utilizao de tecnologias de autenticao e autorizao. Outro fator que merece destaque o fato dos dados poderem ser armazenados com os dados de outros concorrentes pertencente comunidade.

Figura 5. Mostra um exemplo de acesso que pode ser de forma privada, publica, comunitria ou hibrida.

d) Nuvem Hbrida (Hybrid Cloud) Este modelo caracterizase pela composio de dois ou mais modelos de implantao de nuvem (comunidade privada ou pblica) que permanecem como entidades nicas, sendo ligadas por uma tecnologia padronizada ou proprietria que permite a portabilidade de dados e de aplicaes (por exemplo, nuvem de ruptura para balanceamento de carga entre nuvens) (ISACA, 2009). A adoo do modelo exige uma minuciosa classificao e rotulagem dos dados, para garantir que os mesmos esto sendo atribudos ao tipo de nuvem correto. Um fator negativo do modelo o alto risco, uma vez que funde diferentes formas de implantao. A infraestrutura em nuvem hbrida de alguns empresa, resultou em economias significativas, uma vez que a empresa no precisou expandir a rea de cobertura de seu data center fsico. Como por exemplo a Consona, uma empresa de software, adotou uma infraestrutura em nuvem hbrida para otimizar seus trs data centers internos no mundo, bem como acomodar o crescimento explosivo associado sua rea de Pesquisa e Desenvolvimento e ao suporte ps-venda. Com uma infraestrutura em nuvem hbrida segura, em conformidade e gerenciada nuvem hibrida.

Figura 6. Mostra um exemplo como funciona nuvem hibrida

4. Concluses
As questes fundamentais de gesto de riscos de segurana em cloud computing na adeso dos servios da nuvem dizem respeito identificao e implementao de estruturas organizacionais adequadas, processos e controles para manter a gesto eficaz da segurana da informao, gesto de riscos, e cumprimento. As organizaes devem garantir a segurana da informao razovel em toda a cadeia de fornecimento da informao. A Gesto de Riscos dos ativos na Nuvem permite alinhar a exposio ao risco e a capacidade de gerncias a tolerncia ao risco do proprietrio dos dados. Desta forma, caracteriza-se como principal meio de deciso e suporte para os recursos de TIC para proteger a confidencialidade, integridade, e disponibilidade dos ativos de informao na Nuvem. No entanto, para garantir a eficcia da Gesto de Riscos na Nuvem preciso estabelecer requisitos contratuais adequados e adotar tecnologias capazes de coletar os dados necessrios para informar as decises de informao de risco (por exemplo, o uso da informao, acesso, controles de segurana, localizao, etc.). Nesse processo os prestadores de servios de Nuvem devem incluir mtricas e controles para auxiliar os clientes na implementao dos seus requisitos de informao de Gesto de Risco. Atualmente entidades como o Open Cloud Manifesto, Computing Use Cases Group e o Cloud Security Alliance trabalham no desenvolvimento de padres de segurana para computao em nuvem, levando essas pesquisas para um grande nmero de reas, incluindo auditoria, aplicativos, criptografia, governana, segurana de rede, gerenciamento de risco, armazenamento e virtualizao. Segundo especialistas o primeiro passo identificar as diferenas entre a segurana local e a segurana na nuvem e examinar quais padres existentes combinam com as operaes em nuvem. No final, eles esperam chegar a padres que permitam que as empresas possam integrar, seguramente, servios de computao em nuvem de diferentes fornecedores e ter a garantia de que seus dados ficaro seguros na nuvem.

5. Referncias bibliogrficas
VIEIRA, SCHULTER, WESTPHALL C. B, and C. M. WESTPHALL Intrusion Detection for Grid and Cloud Computing Federal University of Santa Catarina, Brazil, July/August 2010 http://www.inf.ufsc.br/~westphal/idscloud.pdf NEXTGENERATION (Brasil). Intel (Org.). Dialogo TI Cloud Computing. http://www.nextgenerationcenter.com/home.aspx ISACA, Emerging Technology Cloud Computing: Business Benefits with Security, Governance and Assurance Perspectives. ISACA, Illions, USA Oct, 2009. http://www.isaca.org WESTPHALL C. B, Grid and Cloud Computing Management and Security, tutorial presented in NOMS 2010
http://www.inf.ufsc.br/~westphal/Tutorial3-NOMS2010.pdf

KAUFMAN, Lori M. et al. Data Security in the World of Cloud Computing: It all Depends. Published by the IEEE Computer and Reliability Societies, Virginia, USA, n. , p.61-64, ago. 2009. http://www.computer.org/security MARTY HUMPHREY, MEMBER, IEEE, MARY R. THOMPSON, MEMBER, IEEE, AND KEITH R. JACKSON Security for Grids http://www.inf.ufsc.br/~westphal/s4.pdf http://en.wikipedia.org/wiki/Cloudcomputing BLOG ARQUITETURA DE SOLUES Waldemir Cambiucc
http://blogs.msdn.com/b/wcamb/archive/2008/03/09/saas-software-as-a-service-uma-vis-osobre-o-software-como-servi-o.aspx

SAN INTERNET
http://www.saninternet.com/site/

VM-WARE
http://www.vmware.com