Computação em Nuvem: Segurança e migração para o terceiro setor

Giovani Ferreira Melo, Gabriel Borges Ferreira, Paulo Henrique Félix de Melo, Ikaro
Kennedy, William Barreto
Faculdade Projeção
Escola de Tecnologia

Resumo Abstract

Este artigo aborda aspectos de This article discusses aspects of

mudanças no ramo da tecnologia de changes in the field of information
informação, onde a computação em technology, where cloud computing is
nuvem é o próximo estágio de uma the next stage of an indispensable trend
tendência indispensável para muitas for many people and companies, both in
pessoas e empresas, tanto no quesito the technical, organizational and
técnico, organizacional e lucrativo. Este profitable aspect. This new paradigm
novo paradigma apresenta uma série presents a number of security
de desafios de segurança que ainda challenges that still need to be resolved,
precisam ser resolvidos, mas as but the changes to this new stage in the
mudanças para esse novo estágio no IT environment are already happening,
ambiente de TI já estão acontecendo, so that most organizations are adapting
de modo que a maioria das this wave of transition, where now the
organizações estão se adaptando problems security are happening
nessa onda de transição, onde agora across the enterprise border. In this
os problemas de segurança estão situation, the range and need to migrate
acontecendo do outro lado da fronteira to cloud services can result in cultural
da empresa. Nesta situação, a gama e security changes.
necessidade pela migração para
serviços em nuvem podem resultar em Keywords: Computer Cloud Services,
mudanças culturais de segurança. Migration, Security

Palavras Chave: Computação,

Nuvem, Serviços, Migração, Segurança
1. Introdução avanços na tecnologia surgirem, pode-
se assumir um novo aumento na
Nos últimos anos, várias
adoção de Cloud Computing entre
abordagens e soluções em relação a
Computação em Nuvem ou Cloud muitas indústrias e aplicações.

Computing têm sido sugeridas e Este artigo tende a abordar

aspectos atraentes dentro da
discutidas. Entre as abordagens
computação em nuvem que estão
surgiram várias citações em questões
impulsionando a adoção de benefícios
de infraestrutura, configuração,
tais como redução de custos, que a
desafios, bem como problemas de
respeito disso, tem aumentado a
desempenho, juntamente com cenários
tendência para o serviço orientado a
de aplicação e considerações de
terceirização que reconhece a
negócios. Além disso, recentemente,
importância de serviços dentro de
houve um movimento exponencial de
complexos de negócios e ambientes de
muitos fornecedores para soluções em
TI, melhorando o fornecimento e
nuvem, gerando negócios que podem
acesso a recursos além do que
ser observados como investimento
normalmente seria possível em um
lucrativo no momento [6]. No geral, o
termo Cloud Computing tornou-se o ambiente privado [5].
O artigo é estruturado da
resumo para descrever um novo
seguinte maneira: o capítulo 2
paradigma na computação, com muitos
apresenta conceitos fundamentais
desafios e oportunidades. De acordo
sobre os aspectos de computação em
com Foster [3], este paradigma tem um
nuvens no modo geral; o capítulo 3
grande impacto, eis de que se tornou
discute os fundamentos tecnológicos
popular devido à diminuição dos custos
relacionados ao conceito da
empresariais.
computação em nuvem, mostrando
Os avanços tecnológicos fizeram
principalmente os diferentes tipos de
com que o crescimento das
serviços presente; o capítulo 4
informações e o aumento dos dados
apresenta fundamentos de segurança
nos últimos anos crescessem
específicos ao conceito da computação
drasticamente, porém a manutenção e
em nuvem. Finalmente, o capítulo 5
os serviços para manter esses dados
também cresceram. A medida que tece as considerações finais.

estas tendências continuar e novos

2
 arquivos, serviços, aplicações
disponíveis virtualmente através da
2. Computação em Nuvem
web, com diversos usuários acessando
De acordo com Alecrim [2],
simultaneamente de vários tipos de
Computação em Nuvem se refere
dispositivos que tenham acesso à
essencialmente à ideia de utilização,
internet, desde que tenham serviços de
independentemente da plataforma ou
aplicações compatíveis [4].
lugar, de variadas aplicações por meio
da internet com a mesma facilidade de
tê-las instaladas em nossos próprios
computadores.
O termo Cloud Computing ou
Computação em nuvem, pode ser
definido como um conjunto de recursos
como capacidade de processamento,
armazenamento, conectividade,
plataformas, aplicações e serviços
disponibilizados na Internet” [13].
Na prática a Computação em
Nuvem se define como a mudança dos
sistemas físicos para sistemas virtuais.
Para o processamento desses
sistemas devem ter uma infraestrutura
Figura 1. Cloud Computing
trabalhada para isso, desde o
Fonte: (Marina Martinez, 2012)
processamento e armazenamento até
aplicações e serviços, ainda podem ser 3. Migração para Cloud Computing

de responsabilidade de empresas Como relata Korzienowski [8], o

terceirizadas, tornando uma contenção
de gastos quanto ao amparo técnico e
equipamentos tecnológicos [4].
A Computação em Nuvem
proporciona funcionalidades
diferenciadas, no que tange sistemas
virtuais, pois ela permite o acesso de
baixo custo é o maior atrativo para
escolha. A computação em nuvem
muda o modelo de gasto de capital-
investimento em hardware, gastos em
equipamentos de rede e licenças de
software, por gasto em operação com
base em taxas mensais. Esta facilidade
3
instiga e aumenta a procura pela
adesão à computação em nuvem em
um ambiente empresarial e, desta
forma, conforme afirma Alves [1], o
serviço começa a se propagar no
espaço corporativo, especialmente nas
áreas de desenvolvimento, aplicativos
menos críticos e serviços.
A primeira iniciativa para uma
empresa tomar em relação a escolher
pela computação em nuvem
determinar se, de fato, terá algum
benefício exponencial. Há
motivos para as organizações
escolherem pela nuvem, em relevância
o fato de poder aprimorar
operações. Em nível de comparação,
podemos dizer que este
iniciativa ao que leva uma empresa a
optar em escolher pela
Outsource, assim, a empresa procura
uma fonte de gestão de infraestrutura
do outro lado da fronteira, e passa dar
foco na área de negócios de sua
empresa de forma mais
obtendo, desta forma, mais tempo para
se concentrar nos aspectos primordiais
da gestão empresarial.
Entretanto, este processo há
várias vantagens, mas também pode
atrair alguns riscos, por exemplo,
algumas das vezes os custos da
migração para o terceiro setor podem
ser maiores do que os orçados. Outra
desvantagem plausível no ramo da
terceirização, é firmar um certo nível de
dependência da empresa que não
conhecem como funciona negócio e por
esse motivo podem não acarretar em
um compromisso de desmotivação. Por
esse motivo, muitas vezes a empresa
que recorre ao serviço terceirizado vê o
seu negócio prejudicado. Além disso, a
é computação em nuvem pode resultar
em corrupção, e pode ser usado como
vários uma forma de desviar dados sigilosos
da organização.
suas 3.1 Riscos da terceirização
O emprego da computação em
é uma
nuvem proporcionará uma série de
vantagens, principalmente para o setor
adesão
corporativo, que poderá destinar o
dinheiro que inevitavelmente teria que
desembolsar para a manutenção de
sua infraestrutura tecnológica para
outras finalidades, além de não precisar
eficaz,
de se preocupar com atualizações,
suporte técnico ou licenças [2].
Porém, como sugere o nome de
"nuvem" para o conceito de grande,
virtual e de sistemas distribuídos é
enganosa. Ela cria um novo conceito
moderno, e esconde os possíveis
problemas e os risco que as
organizações possa a vim ter. Alguns
4
dos provedores de nuvem têm ignorado provedora. Isso torna um possível
muitos dos riscos de idade e são respaldo judicial futuro, caso as partes
evidentemente em grande parte alheio descumpra com o acordo, isso se
a riscos mais recentes também. porque não temos uma legislação
Claramente, a computação em nuvem especifica para tratar desse assunto em
é simplesmente computação remota nosso pais.
[13].
De certa forma, a organização 3.2 Tipos de serviços terceirizados
que está aderindo a terceirização deve
A Computação em Nuvem tem
analisar cuidadosamente avaliando
uma ideia compondo modelo de
aspectos de segurança e geográficos,
serviços diferenciados, esses modelos
para garantir e prever um crescimento
são adquiridos de acordo com a
futuro do negócio, permitindo o
necessidade e como vão ser utilizados
monitoramento dos recursos de forma
(pay-per-use), fornecendo ao cliente a
autônoma, e com monitoramento de
oportunidade de usufruir mais ou
tráfego, evitando os constrangimentos
menos dos recursos de acordo com seu
de negação de serviço. É primordial
uso. Segue alguns modelos de serviços
observar também se os acordos de
geralmente utilizados:
nível de serviços (SLAs) estão dentro
dos conformes, e se os requisitos são
suportados pelo provedor e se tem
capacidade financeira para, caso em
uma eventualidade, aplicar futuras
multas contratuais.
Ressalto que para ter uma
melhor confiança com o terceiro setor,
é fazendo com que toda a infraestrutura Figura 2. Camadas de Serviços
necessária para o processamento, Fonte: (Vaquero, 2009)
conectividade e armazenamento,
aplicações e serviços desses sistemas,  Plataforma: Fornece
devem ser amarrados no contrato, de plataformas de desenvolvimento
forma que essas responsabilidades que auxiliam no
sejam atribuídas para empresa desenvolvimento de aplicações

5
 bem como a gestão de hardware armazenamento e possíveis
e das camadas de software. O manutenções será de
cliente é desprovido do controle responsabilidade do provedor
sobre a rede, sistemas que está disponibilizando os
operacionais e armazenamento, serviços [14].
porém, poderá controlar
aplicações executadas na
nuvem com a linguagem de
programação e a plataforma de
desenvolvimento fornecida pelo
provedor [10].

Figura 4. Representação de um
serviço SaaS
Fonte: (Velte, 2010)

 Infraestrutura: É de suma
importância especificar os
requisitos de arquitetura como

Figura 3. Plataforma como Serviço backup, roteamento de rede,

Fonte: (Eliti Soluções, 2016) armazenamento, virtualização e

hardware de forma dedicada,
para se ter certeza que o
 Aplicações: Uma aplicação
ambiente onde as aplicações
pode ser empregada por vários
serão destinadas esteja de
usuários simultaneamente. Essa
acordo com os requisitos, onde
funcionalidade é disponibilizada
serão especificadas a
por provedores e virtualizada
quantidade de informação e
para os usuários acessarem
processamento que será
através de um intermediador
disponibilizada na nuvem. Em
como o navegador. Todo o
controle e gerenciamento da outras palavras, a infraestrutura
consiste na disponibilização de
rede, sistemas operacionais,

6
 armazenamento, sem a necessidade de estar disponível
processamento, virtualização, em seu dispositivo, isso permite através
entre outros. Este modelo, assim de uma alta disponibilidade de dados
como os demais serviços, tem na nuvem, os dados serão acessados
seus aspectos, neste caso a apenas com o uso da internet, e isso
infraestrutura virtualizada para implica fortemente o uso de
diversos usuários virtualização. Embora a virtualização e
simultaneamente. Isso se torna os desafios inerentes de segurança que
possível através do processo de ela traz, certamente não são novos,
virtualização, no qual o usuário como é suscetível de ser utilizado por
terá controle sobre máquinas provedores de computação em nuvem
virtuais, armazenamento, para atingir grande escala de
aplicativos instalados e ambientes de TI. Além disso, como a
possivelmente um controle tecnologia de virtualização continua a
limitado sobre os recursos de evoluir e ganhar popularidade, novas
redes [14]. vulnerabilidades continuam a ser
descobertas [12].
Apesar de todas estas
generosidades, servidores virtuais
estão sujeitos aos mesmos ataques
que atingem os servidores físicos.
Usuários da nuvem em perspectiva
devem avaliar esses riscos antes de
tomar suas decisões sobre como usar
nuvens. A questão principal é que a
expectativa de confiabilidade pode ser
irrealista. A confidencialidade, a
Figura 5. Infraestrutura
integridade do sistema, a integridade
Fonte: (Dreamstime, 2016)
dos dados, confiabilidade, robustez,
resiliência pode ser questionável. A
4. Segurança Cloud Computing
proteção contra a vigilância e negações
De certa forma o Cloud de serviço são essenciais, assim como
Computing é um avanço tecnológico no acesso perpétuo e compatibilidade de
sentido de acessar suas aplicações
7
longo prazo de dados armazenados. com uma vulnerabilidade desta
Como pontua Javier [7], a integridade, natureza, os danos seriam
responsabilidade e confiabilidade de imensuráveis, eis de que no mesmo
terceiros potencialmente não confiáveis âmbito envolve os nomes das
e festas enésimas ainda organizações.
desconhecidos, também devem ser Para contornar essa situação de
considerados. Estas partes podem ter vulnerabilidade de acesso e gestão que
modelos de negócios que são estão ligados ao ambiente virtual, pode
radicalmente incompatíveis com as ser ofertada uma nuvem privada virtual
necessidades do usuário. individual. Porém, o uso de um sistema
Os estragos para uma empresa de gestão separada para cada cliente
que fornecem esse tipo de tecnologias em cada modelo de serviço
poderiam ter significativamente provavelmente não é realista
maiores impactos no âmbito de cloud simplesmente por causa do custo [10].
computing do que dentro do ambiente Outra maneira de contornar esse
corporativo de uma organização, tipo de situação é reforçar os requisitos
especialmente se não for tratada de segurança no ato da contratação de
rapidamente [12]. Caso em questão: infraestrutura e software. Os requisitos
imagine que muitos clientes estão a ser de segurança devem estar bem
geridos por um único hypervisor dentro analisados e descritos com relação à
de um provedor de nuvem. A utilização firewalls, detecção de
vulnerabilidade mencionada acima intrusos, gerenciamento de identidade,
pode permitir que um cliente possa prevenção a perda de dados,
acessar as instâncias virtuais de criptografia, buscas por
aplicativos de outros clientes se não vulnerabilidade, entre outros,
forem tomadas medidas precatórias. garantindo assim a segurança
Considere o impacto se um banco de necessária para as informações
transações financeiras, informações relevantes e sigilosas da empresa [9].
sensíveis do governo federal ou 5. Conclusões
informação de defesa nacional
Baseado nos estudos
acontece de ser geridos neste tipo de
realizados, é fácil perceber que a
ambiente, bem como o provedor de
segurança dos dados de uma
nuvem não saiba lidar imediatamente
organização é algo imprescindível,
8
independentemente do tamanho da Referências Bibliográficas
empresa. A imagem e as informações
podem valer muito mais do que o [1] ALVES, Robson. Computação em
capital financeiro dentro da Nuvem: 2010. Disponível em:

organização, na maioria dos casos, <http://www.mundodoshackers.com.br/co

mputao-em-nuvem-2010>. Acesso em: 27
pode até levar a falência em caso
maio de 2016.
desfavorável.
Na computação em nuvens, a
[2] ALECRIM, Emerson. O que é
possibilidade de perda de informações
Tecnologia da Informação (TI)?. Info
de uma organização é vasta, levando Wester. 2008.
em consideração que os dados virtuais
não estarão exatamente com a [3] FOSTER, Zhao Yong, I. Raicu, S. Lu.
organização e sim em posse das Cloud Computing and Grid Computing 360-
provedoras do serviço. Portanto, deve- Degree Compared, 2008, p. 1–2.
se verificar os requisitos relevantes
bem antes de aderir a uma empresa [4] GREENE, Tim. Oito passos para
escolher um fornecedor de cloud
para prestar esse tipo de serviço.
computing. COMPUTERWORLD, 2010.
Sobretudo, é nítido que os dados de
propriedade exclusiva da empresa
[5] GROSSMAN, R. L. The case for cloud
também não asseguram que estará
computing. IT Profissional. 2009, p. 23-27.
resguardado quanto ao sigilo e a perda
de informações. [6] JAMES, Anne, Jen-Yao Chung,
Contudo, no momento de optar Business and industry specific cloud:
pela migração para uma nuvem, deve- Challenges
se fazer uma análise de custo-benefício and opportunities, Future Gener. Comput.
e realizar um escopo preliminar em prol 2015, p. 39–45.

da mudança, tanto no aspecto

[7] JAVIER, Conejero. Analysing hadoop
financeiro, quanto nos aspectos de
power consumption and impact on
integridade, confiabilidade,
application QoS, Future Gener. Comput.
confidencialidade e, sobretudo,
EUA: 2016, p. 213–233.
disponibilidade dos dados oferecidos
pela provedora dos serviços de [8] KORZENIOWSKI, Paul. Baixo custo é o
computação em nuvem. maior atrativo para a adoção da

9
computação em nuvem. ITWeb. EUA:
2009.
[9] MELL, Peter; GRANCE, Tim. The NIST
Definition of Cloud Computing. 2009.
[10] NADIA Ranaldo, Eugenio Zimeo,
Capacity-driven utility model for service
level
agreement negotiation of cloud services,
Future Gener. Comput. 2016, p. 186–199.
[11] NOEL Carroll, Markus Helfert, Service
capabilities within open innovation:
Revisiting the applicability of capability
maturity models, J. Enterprise Inform. Vol.
II, 2015, p. 275–303.
[12] ORAZIO Tomarchio, Giuseppe Di
Modica, Matchmaking semantic security
policies in heterogeneous clouds, Future
Gener. Comput. 2016, p. 176–185.
[13] TAURION Cezar. Cloud Computing:
computação em nuvem: transformando o
mundo da tecnologia da informação”,
Editora Brasport: Rio de Janeiro, Brasil,
2009.
[14] VERAS, Manoel. Cloud Computing:
Nova Arquitetura da TI. Editora Brasport:
Rio de Janeiro, Brasil, 2009.
10