See discussions, stats, and author profiles for this publication at: https://www.researchgate.

net/publication/261878968

Riscos de seguranças em Cloud Computing

Article · February 2013

CITATIONS READS

0 2,198

1 author:

Fristtram Fernandes
Federal University of Santa Catarina
1 PUBLICATION 0 CITATIONS

SEE PROFILE

All content following this page was uploaded by Fristtram Fernandes on 27 April 2014.

The user has requested enhancement of the downloaded file.

 Universidade Federal de Santa Catarina – UFSC
Centro Tecnológico - CTC
Departamento de Informática e Estatística - INE
Curso Ciências da Computação – CCO
Disciplina Redes de Computadores I - INE5414
Professor Carlos Becker Westphall

Florianopolis, 04/02/2013

Artigo

Riscos de Segurança em Cloud Computing

Questões de segurança e gestão de riscos
Parte 4

Aluno
Fristtram Helder Fernandes 1
Matricula: 10206699

___________________________________
1
Graduação em Ciências da Computação –UFSC fristtram@gmail.com ; fristtram@inf.ufsc.br
http://www.inf.ufsc.br/~fristtram/
 Abstract

Um dos grandes atrativos da Computação em Nuvem é sem

dúvida a promessa de redução dos custos com TI, além de se delinear
como sendo a oportunidade para que as empresas possam agilizar
processos e aumentar a inovação tecnológica. Pesquisas apontam que o
uso do modelo irá crescer até representar 60% de mercado. O interesse
em aderir a tal modelo também cresce de maneira exponencial, devido à
proposta de integração de serviços e uso racional dos recursos de TI pelas
organizações, o que concretiza o sonho de consumo dos gestores de TI.
No entanto, questões de segurança e gestão de riscos com o uso
disseminado do modelo têm sido abordadas constantemente por
especialistas em segurança da informação. A adesão a tais serviços
obrigará às equipes de segurança de TI das companhias a estabelecer
maiores controles para os serviços baseados na Nuvem. Este artigo
contribui com a definição de requisitos para a gestão de riscos de
segurança da informação na adoção dos serviços da Nuvem.

1. Introdução
A Computação em Nuvem (Cloud Computing) é fruto da evolução e da reunião
dos fundamentos técnicos de áreas como virtualização de servidores, Grid Computing
(Computação em Grade), que também foi desenvolvido um protótipo para avaliar a
proposta de arquitetura usando Grid-M, um middleware da pesquisa do grupo
desenvolvido na Universidade Federal de Santa Catarina. Software orientado a serviços,
gestão de grandes instalações (Data Centers), dentre outras. Trata-se de um modelo
eficiente para utilizar softwares, acessar, armazenar e processar dados por meio de
diferentes dispositivos e tecnologias web.
Na prática, a Computação em Nuvem seria a transformação dos sistemas
computacionais físicos de hoje em uma base virtual. De forma mais ampla, o paradigma
da Computação em Nuvem parte do princípio de que todos os recursos de infraestrutura
de TI (hardware, software e gestão de dados e informação), até então tratada como um
ativo da empresa usuária, passam a ser acessados e administrados por estas através da
internet (Nuvem) com o uso de um simples navegador da rede mundial de
computadores, utilizando-se qualquer tipo de equipamento – celulares inteligentes,
Notebooks, Netbooks, Desktops, iPods, Tablets, etc. Fornecedores de tecnologia passam
a prover a infraestrutura e os serviços capacitados para atender a essa demanda. Nesse
cenário delineia-se uma série de questões que ainda precisam ser respondidas, afim de
que se possibilite a sua plena utilização e adoção sem receios pelas empresas.
Este artigo está organizado da seguinte forma:
1. Introdução - Descreve um pouco sobre a computação em nuvens que é a base deste
artigo.
2. Conceitos Básicos envolvidos - Descreve sobre um breve histórico da Computação
em Nuvem;
a) Software como Serviço que é um modelo onde o software é executado em um
servidor.
b) Infra-estrutura como Serviço é um modelo de serviço que fornecimento de
infraestrutura computacional em ambientes virtualizados.
c) Plataforma como Serviço é um modelo de serviço que caracteriza entrega de uma
plataforma para desenvolvimento.
3. Aspectos Relevantes - Essa parte mostra a importancia desse trabalho, que é
definição do modelo que melhor se adapte às particularidades de cada empresa, depende
do processo de negócios, do tipo de informação e do nível de visão desejado, podem ser
divididos em seguintes partes:
a) Nuvem Privada – ali mostramos a necessidade da implantação de uma nuvem
privada que são empregadas políticas de acesso aos serviços, nível de gerenciamento
de redes, configurações dos provedores de serviços e a utilização de tecnologias de
autenticação;
b) Nuvem Publica – esta parte a implantação da infra-estrutura de nuvens é
disponibilizada para o público em geral;
c) Nuvem Comunitário – aqui a implantação da comunidade, ocorre o
compartilhamento por diversas empresas de uma nuvem e por fim.
d) Nuvem Hibrida – Essa parte caracterizase pela composição de dois ou mais
modelos de implantação de nuvem (comunidade privada ou pública).
4. Conclusão - Neste parte encerramos o artigo com algumas conclusões concernentes
ou interessantes. E por ultimo
5. Referencia Bibliografica – Contem links que usei durante as pesquisas para
materialização deste artigo.

2. Conceitos básicos envolvidos

Ambientes de computação em nuvem podem ser compostos por três diferentes

modelos de serviços que definem um padrão arquitetural para soluções de computação
em nuvem (Armbrust et al. 2009). Riscos e benefícios globais serão diferentemente
tratados, dependendo do modelo de serviço e tipo de implantação que atenderá as
necessidades da empresa contratante. É importante notar que, ao se considerar os
diferentes tipos de serviços e modelos de implantação, as empresas devem considerar os
riscos que os acompanham.

a) Software como Serviço (Software as a Service - SaaS) – Nesse modelo de serviço

o software é executado em um servidor, não sendo necessário instalar o sistema no
computador do cliente, basta acessá-lo por meio da internet. O modelo de serviço
de SaaS ainda tem uma série de desafios a serem vencidos, dentre os quais
podemos destacar os problemas regulatórios, a integração com os recursos internos
da organização, a disponibilidade e mais especificamente a segurança das
informações.
Alguns especialistas afirmam que o mercado ao redor de SaaS envolve cifras em
torno de US$ 5 e até 2011, deverá representar 25% das vendas totais para o
segmento corporativo. O uso bilhões. Ainda, de acordo com o Gartner Group, SaaS
representou cerca de 5% do mercado total de software em 2005 de SaaS para a
 automação dos processos de negócio fim-a-fim, como ordens de pagamento para
grandes empresas por exemplo, deve crescer ainda mais nos próximos anos.

Figura 1. Gráfico ilustrativo, software como serviço.2

Com o SaaS, o trabalho de implantar um aplicativo e mantê-lo em

funcionamento, dia após dia - testando e instalando patches, gerenciando
atualizações, monitorando o desempenho, assegurando alta disponibilidade, etc. -
ficarão sob a responsabilidade do provedor. Ao transferir a responsabilidade dessas
atividades de "sobrecarga" a terceiros, o departamento de TI poderá se concentrar
melhor em atividades de valor mais elevado que se alinham e dão suporte às metas
comerciais da empresa. Em lugar de ser principalmente reativo e com enfoque
operacional, o CIO (Chief Information Officer) e a equipe de TI poderão trabalhar
com maior eficiência como estrategistas de tecnologia para o restante da empresa,
trabalhando com unidades do negócio para entender suas necessidades e fazer
recomendações sobre como melhor usar a tecnologia para alcançar seus objetivos.
Longe de entrar em obsolescência pelo SaaS, o departamento de TI terá uma
oportunidade de contribuir para o sucesso da empresa, mais diretamente do que
nunca.
Na forma "pura" do SaaS, o provedor hospeda um aplicativo de modo
centralizado e disponibiliza o acesso a vários clientes, pela Internet, em troca de
uma taxa. Na prática, entretanto, as características marcantes entre um aplicativo
instalado no local do cliente e um aplicativo SaaS não são binárias, mas gradativas
ao longo de três dimensões diferentes: como é licenciado, onde está localizado e
como é gerenciado.
__________________
2 O gráfico demonstra que, conforme baixamos o custo de adoção, um número maior de clientes pode adotar nossa
solução. E esse número tende ao infinito, uma vez que a curva não toca o eixo "x". Assim, no modelo SaaS de
fornecimento de software, precisamos pensar em soluções e infra-estruturas de baixo custo, com alto aproveitamento
de recursos por um número muito grande de clientes, para atingirmos um público não suportado hoje em dia, devido
os custos proibitivos de entrada.
Cada uma dessas características pode ser visualizada como uma sequência que tem, de
um lado, o software convencional, instalado no local, e, na outra extremidade, o SaaS
puro. Entre essas duas extremidades existem opções adicionais que combinam aspetos
de ambos.

Figura 2. Mostra as três dimensões que formam uma sequência.

b) Infra-estrutura como Serviço (Infrastructure as a Service – IaaS) – Esse modelo

de serviço refere-se ao fornecimento de infraestrutura computacional (geralmente
em ambientes virtualizados) como um serviço. O serviço IaaS possui algumas
características básicas como, fornece uma interface única para administração da
infraestrutura; provisionamento dinâmico de serviços; Alta-disponibilidade; e
Balanceamento de carga de máquinas virtuais, a Infraestrutura como serviço
também é conhecido por um conceito que envolve a liberdade de contratrar a
infraestrutura de hardwares em Cloud Computing e espaço em data center sem a
necessidade da imobilização de recursos, maximizando a rentabilidade do seu
negócio.
Quando pensamos em Infraestrutura como um serviço, o que se deve ter em mente
é esta visão, ou seja, um ambiente completo e gerenciado e cujo acesso não requer a
imobilização tão pouco a absorção do TCO. O IaaS pode ser utilizado para o acesso
a todas as tecnologias que compõem a infraestrutura da empresa. A CIMCORP
disponibiliza todas as sua soluções na modalidade IaaS.

Figura 3. Mostra uma visão de ambiente completo e gerência.

 A grande maioria das empresas contam com recursos de TI para suprir a
necessidade de gerenciamento do negócio, para tanto, mantém uma infraestrutura
de processamento, armazenamento, rede, comunicação, aplicações e suporte para
garantir que esta matéria prima básica, a informação, esteja disponível de forma
rápida e segura.
Manter esta estrutura vem se tornando um grande desafio em função da velocidade
com que os componentes de TI ficam obsoletos e as novas demandas da
organização se tornam cada vez mais frequentes.

c) Plataforma como Serviço (Platform as a Service - PaaS) - Esse modelo de serviço

caracteriza-se pela entrega de uma plataforma para desenvolvimento, teste e
disponibilização de aplicativos web com a finalidade de facilitar a implantação de
aplicações sem os custos e complexidade de gerenciamento do hardware. Um fator
inibidor de adoção é que aplicações desenvolvidas em uma PaaS normalmente
ficam presas ao fornecedor. É preciso que futuros clientes estejam atentos a esse
detalhe. E também podemos dizer que é um conceito que oferece um conjunto de
hardwares e softwares em forma de serviço. Facilita a implantação de aplicações
sem o custo e a complexidade de compra e gerenciamento de softwares subjacentes.
PaaS de desenvolvimento é tudo o que o profissional precisa para criar aplicações
com flexibilidade e facilidade, sob demanda. É o que permite a modalidade de
computação em nuvem plataforma como serviço (PaaS).
Uma plataforma como serviço é a soma da infraestrutura como serviço –
infraestrutura elástica, robusta com custo proporcional ai uso e disponível em
poucos minutos – com uma camada de middleware e/ou componentes prontos para
uso construídos em cima dessa infraestrutura.
Em poucas palavras, PaaS permite que o desenvolvimento seja 100% focado no
negócio, pois ela já direciona a arquitetura lógica e administra a arquitetura física
de forma bem transparente. Na prática, temos algo impressionante: é possível
desenvolver uma aplicação que vá demandar uma requisição por minuto (quase
nada) ou 10 mil requisições por segundo (vazão bastante agressiva) da mesma
forma, com o mesmo nível de preocupação do ponto de vista técnico, ou seja,
apenas a codificação.
Outra grande vantagem da plataforma é a produtividade. O simples fato de não
haver necessidade de ficar projetando balanceamento de carga, replicação, cluster,
instalando e configurando middlewares (servidores de aplicação, banco de dados,
etc.) já é um grande ganho. Além disso, os grandes fornecedores estão criando uma
camada de componentes prontos para uso, APIs e aceleradores de desenvolvimento
nessas plataformas, para cada vez mais acelerar o desenvolvimento, como é o caso
do Google App Engine e do Force.com (Salesforce).
Quando falamos de PaaS, o ponto-chave é que existe uma plataforma por trás.
Ou seja, um fornecedor criou algo em cima da infraestrutura justamente para trazer
benefícios e acelerar o desenvolvimento. Existe um grande esforço dos
fornecedores para deixar essa camada o mais padrão possível, mas ainda existe uma
boa parte que é proprietária. Ao adotar uma plataforma como serviço, é natural que
se adote também essa camada proprietária que foi construída e disponibilizada, caso
contrário não faz sentido trabalhar na plataforma, poderia se trabalhar direto na
infraestrutura. É ela que permite dar um salto de produtividade e lidar com
escalabilidade e disponibilidade de forma tão transparente. É uma decisão a ser
tomada: menos custo e mais entregas contra o efeito “lock-in” das aplicações
construídas nessa abordagem.
Pelos conceitos apresentados, as plataformas são muito eficientes para
construção de novas aplicações. A migração de aplicações já existentes para elas é
um processo custoso ou mesmo inviável (dependendo da tecnologia da aplicação
atual e da plataforma almejada). Outro ponto é que essa abordagem possui
restrições a produtos já prontos e que servem como base para desenvolvimento,
como Sharepoint, Drupal, Magento etc. Caso haja necessidade de utilizar esses
produtos, deve-se optar pela Infraestrutura como Serviço (IaaS), que permite maior
flexibilidade e controle.
Em outras palavras, agilidade, inovação e mobilidade deixam de ser diferenciais
para virarem questões de sobrevivência. Apesar das dúvidas e incertezas que
rondam Cloud Computing, é uma realidade à qual as companhias devem se ajustar
se quiserem se manter competitivas e na briga pela sua fatia. Esperamos que em um
futuro próximo tenhamos mais padrões e regras de interoperabilidade para trazer
mais tranquilidade ao mercado.

Figura 2. Mostra como os três modelos estão interligados.

 3. Aspectos relevantes

A computação em nuvem oferece quatro (4) aspectos relevantes para sua

implantação. A definição do modelo que melhor se adapte às particularidades de cada
empresa, depende do processo de negócios, do tipo de informação e do nível de visão
desejado. Segundo o NIST (National Institute of Standards and Technology) (NIST,
2009), os modelos de implantação de computação em nuvem podem ser divididos em:
privado, público, comunitário e híbrido. As principais características desses modelos
serão listadas a seguir.

a) Nuvem Privada (Private Cloud) – A implantação de uma nuvem privada permite

que esta seja administrada pela própria empresa ou por terceiros. Neste modelo de
implantação são empregadas políticas de acesso aos serviços. As técnicas utilizadas
para prover tais características podem ser em nível de gerenciamento de redes,
configurações dos provedores de serviços e a utilização de tecnologias de
autenticação e autorização (NIST, 2009). Em comparação com outros modelos de
implantação de nuvem, esse modelo é o que prover um menor risco, em detrimento
de sua natureza privada. E, embora traga algumas facilidades por estar no ambiente
da empresa, esse modelo exige gerenciamento interno, o que diminui a economia de
recursos. Além disso, por estar diretamente atrelado aos processos corporativos,
torna-se engessado em termos de automação de tarefas como atualizações. E ainda
Private Cloud é um conceito tecnológico que proporciona a capacidade de criar e
gerenciar uma nuvem privada em um ambiente extremamente seguro, com
liberdade e grandes recursos a sua disposição. No ambiente de Private Cloud da
SAN, nossos clientes podem provisionar recursos tecnológicos de primeira linha
para montar a sua solução dentro de uma "nuvem privada".

Figura 3. Mostra um exemplo de nuvem privada.

 Todas as vantagens relacionadas às nuvens privadas com relação a custo e
eficiência já foram bastante discutidas no mercado e, em muitos casos,
comprovadas. Mas o que pode complicar a migração para a nuvem privada não fica
somente nos fundamentos da arquitetura, modelos de serviços, governança e
consumo. Está também em como transformar os profissionais com habilidades
concentradas em infraestruturas tradicionais em profissionais aptos a gerenciar as
nuvens privadas.
A primeira constatação de especialistas é que isso se transformou em
oportunidade para os profissionais de TI. A nuvem privada exige que eles
aprofundem muito suas competências tradicionais para conseguir aplicá-las no
novo conceito. Um exemplo: o administrador de storage precisará mergulhar mais
fundo nos seus conhecimentos dentro dos mundos físico e virtual dos equipamentos
para conseguir fazer provisão de recursos para a nuvem e não somente para uma ou
algumas aplicações.

b) Nuvem Pública (Public Cloud) - Neste modelo de implantação a infra-estrutura de

nuvens é disponibilizada para o público em geral ou para grupos de indústrias
(NIST, 2009), sendo acessado por qualquer usuário que conheça a localização do
serviço. Por isso não podem ser aplicadas restrições de acesso quanto ao
gerenciamento de redes, e menos ainda, aplicar técnicas de autenticação e
autorização. O conceito de nuvens públicas proporciona as organizações mais
economia de escala, uma vez que compartilha os recursos. Por outro lado, possui
limites de customização relacionados justamente à segurança das informações,
SLAs e políticas de acesso, uma vez que os dados podem ser armazenados em
locais desconhecidos e não podem ser facilmente recuperável. E também nuvem
pública provisione recursos ou estenda com segurança sua infraestrutura virtual
interna para a nuvem pública com a VMware e que é os provedores de serviços
com a tecnologia vCloud, que fazem parte do maior ecossistema de parceiros de
computação em nuvem. Aproveite recursos de nuvem híbrida seguros com
confiança e, ao mesmo tempo, forneça escolha e flexibilidade, garantindo
interoperabilidade e portabilidade de cargas de trabalho entre ambientes em nuvem
com uma infraestrutura VMware vCloud baseada em VMware vSphere, VMware
vCenter, VMware vCloud Director e VMware vCloud Networking and Security.
Figura 4. Mostra um exemplo de nuvem publica

c) Nuvem Comunitária (Community Cloud) - No modelo de implantação

comunidade ocorre o compartilhamento por diversas empresas de uma nuvem,
sendo esta suportada por uma comunidade específica que partilha de interesses
semelhantes, tais como a missão, os requisitos de segurança, política e
considerações sobre flexibilidade. Este tipo de modelo de implantação pode existir
localmente ou remotamente e pode ser administrado por alguma empresa da
comunidade ou por terceiros (NIST, 2009), semelhante ao modelo de Nuvem
Privada em relação à definição de políticas de acesso e a utilização de tecnologias
de autenticação e autorização. Outro fator que merece destaque é o fato dos dados
poderem ser armazenados com os dados de outros concorrentes pertencente à
comunidade.

Figura 5. Mostra um exemplo de acesso que pode ser de forma privada, publica,
comunitária ou hibrida.
d) Nuvem Híbrida (Hybrid Cloud) – Este modelo caracterizase pela composição de
dois ou mais modelos de implantação de nuvem (comunidade privada ou pública)
que permanecem como entidades únicas, sendo ligadas por uma tecnologia
padronizada ou proprietária que permite a portabilidade de dados e de aplicações
(por exemplo, nuvem de ruptura para balanceamento de carga entre nuvens)
(ISACA, 2009). A adoção do modelo exige uma minuciosa classificação e
rotulagem dos dados, para garantir que os mesmos estão sendo atribuídos ao tipo de
nuvem correto. Um fator negativo do modelo é o alto risco, uma vez que funde
diferentes formas de implantação. A infraestrutura em nuvem híbrida de alguns
empresa, resultou em economias significativas, uma vez que a empresa não
precisou expandir a área de cobertura de seu data center físico. Como por exemplo
a Consona, uma empresa de software, adotou uma infraestrutura em nuvem híbrida
para otimizar seus três data centers internos no mundo, bem como acomodar o
crescimento explosivo associado à sua área de Pesquisa e Desenvolvimento e ao
suporte pós-venda. Com uma infraestrutura em nuvem híbrida segura, em
conformidade e gerenciada nuvem hibrida.

Figura 6. Mostra um exemplo como funciona nuvem hibrida

 4. Conclusões
As questões fundamentais de gestão de riscos de segurança em cloud computing
na adesão dos serviços da nuvem dizem respeito à identificação e implementação de
estruturas organizacionais adequadas, processos e controles para manter a gestão eficaz
da segurança da informação, gestão de riscos, e cumprimento. As organizações devem
garantir a segurança da informação razoável em toda a cadeia de fornecimento da
informação. A Gestão de Riscos dos ativos na Nuvem permite alinhar a exposição ao
risco e a capacidade de gerências a tolerância ao risco do proprietário dos dados. Desta
forma, caracteriza-se como principal meio de decisão e suporte para os recursos de TIC
para proteger a confidencialidade, integridade, e disponibilidade dos ativos de
informação na Nuvem. No entanto, para garantir a eficácia da Gestão de Riscos na
Nuvem é preciso estabelecer requisitos contratuais adequados e adotar tecnologias
capazes de coletar os dados necessários para informar as decisões de informação de
risco (por exemplo, o uso da informação, acesso, controles de segurança, localização,
etc.). Nesse processo os prestadores de serviços de Nuvem devem incluir métricas e
controles para auxiliar os clientes na implementação dos seus requisitos de informação
de Gestão de Risco. Atualmente entidades como o Open Cloud Manifesto, Computing
Use Cases Group e o Cloud Security Alliance trabalham no desenvolvimento de
padrões de segurança para computação em nuvem, levando essas pesquisas para um
grande número de áreas, incluindo auditoria, aplicativos, criptografia, governança,
segurança de rede, gerenciamento de risco, armazenamento e virtualização. Segundo
especialistas o primeiro passo é identificar as diferenças entre a segurança local e a
segurança na nuvem e examinar quais padrões existentes combinam com as operações
em nuvem. No final, eles esperam chegar a padrões que permitam que as empresas
possam integrar, seguramente, serviços de computação em nuvem de diferentes
fornecedores e ter a garantia de que seus dados ficarão seguros na nuvem.

5. Referências bibliográficas

VIEIRA, SCHULTER, WESTPHALL C. B, and C. M. WESTPHALL

Intrusion Detection for Grid and Cloud Computing
Federal University of Santa Catarina, Brazil, July/August 2010
http://www.inf.ufsc.br/~westphal/idscloud.pdf

NEXTGENERATION (Brasil). Intel (Org.). Dialogo TI – Cloud Computing.

http://www.nextgenerationcenter.com/home.aspx

ISACA, Emerging Technology – “Cloud Computing: Business Benefits with Security,

Governance and Assurance Perspectives.” – ISACA, Illions, USA – Oct, 2009.
http://www.isaca.org

WESTPHALL C. B, Grid and Cloud Computing Management and Security,

tutorial presented in NOMS 2010
http://www.inf.ufsc.br/~westphal/Tutorial3-NOMS2010.pdf
 KAUFMAN, Lori M. et al. Data Security in the World of Cloud Computing: It all
Depends. Published by the IEEE Computer and Reliability Societies,
Virginia, USA, n. , p.61-64, ago. 2009.
http://www.computer.org/security

MARTY HUMPHREY, MEMBER, IEEE, MARY R. THOMPSON, MEMBER, IEEE,

AND KEITH R. JACKSON
Security for Grids
http://www.inf.ufsc.br/~westphal/s4.pdf

http://en.wikipedia.org/wiki/Cloudcomputing

BLOG ARQUITETURA DE SOLUÇÕES

Waldemir Cambiucc
http://blogs.msdn.com/b/wcamb/archive/2008/03/09/saas-software-as-a-service-uma-vis-o-
sobre-o-software-como-servi-o.aspx

SAN INTERNET
http://www.saninternet.com/site/

VM-WARE
http://www.vmware.com

View publication stats