Академический Документы
Профессиональный Документы
Культура Документы
1. Introdução
Muitas empresas têm percebido que a computação em nuvem representa uma vantagem
em relação a computação tradicional, principalmente em questões de custos, equipe
técnica qualificada e escalabilidade. Porém, é inegável, que ao mesmo tempo, muitas
delas veem a computação em nuvem como algo ainda desconhecido e temerário. Estas
preocupações se dão pelo fato de as empresas não saberem ao certo quais os cuidados
que se deve ter ao contratar um provedor de cloud computing.
A Symantec (2013) realizou um estudo em 2012 com 3.236 organizações em 29 países,
sendo 102 brasileiras sobre a adoção da nuvem. O estudo revela que mais de 90% das
empresas mundiais e 80% das empresas brasileiras estão discutindo sobre a adoção da
nuvem. As empresas veem na nuvem a possibilidade de redução de custos, maior
escalabilidade e melhor preparo para o enfrentamento de desastres. A Symantec
identificou que as principais preocupações das empresas são referentes a custos e
situação de riscos. Dentre as situações de riscos, o relatório apresenta, conforme
ilustrado na figura 1, as seguintes preocupações:
Implementação da nuvem sem autorização / irregulares
Custo com a duplicidade de dados
Problemas com cópias de segurança (backup) e a recuperação da nuvem
Armazenamento da nuvem ineficiente
Cumprimento e processos de eDiscovery
Administração de certificados SSL, preocupações com conformidade e
descoberta eletrônica
Problemas com dados em trânsito
2. Trabalhos Relacionados
Castro e Souza (2010) destacam que as empresas têm dificuldades em realizar uma
avaliação na hora de contratar um serviço em cloud computing. Os autores apresentam
vários requisitos que devem ser considerados antes de contratar a fim de se evitar riscos
futuros. A reputação, história e sustentabilidade é um item importante, pois visa
identificar, pelo tempo de existência da empresa, se ela tem condições de garantir a
operação dos serviços oferecidos. Contratos de SLAs com regras claras sobre os
serviços oferecidos. Fornecer os locais onde são armazenados os dados fisicamente e
quais as implicações legais em termos de leis e regulamentos. Garantia de bloqueio das
informações a terceiros a fim de garantir o direito à propriedade intelectual e de
segredos comerciais. É garantido que os dados são segregados, é utilizado criptografia
para dados em trânsito. O fornecedor garante que em caso de risco, é possível realizar
uma recuperação total das informações. O provedor oferece algum suporte em caso da
necessidade de se auditar e/ou realizar alguma investigação forense.
Veloso (2013) aborda o estudo realizado pela Cloud Security Alliance1 onde são
apresentadas uma série de recomendações para se realizar uma avaliação sobre os riscos
de segurança em computação na nuvem. O autor apresenta, além das questões já
mencionadas por Castro e Souza (2010), os seguintes quesitos para avaliação:
criptografia para usuários, direito de efetuar testes de segurança dos controles do
provedor, direito de descarte dos dados, direito de exportação dos dados em caso de
encerramento do contrato de prestação de serviços.
A Symantec (2013) afirma que os problemas e riscos podem ser atenuados com
planejamento, implementação e gerenciamento cuidadosos. A empresa sugere a adoção
das seguintes medidas para evitar a incidência dos riscos apresentados na pesquisa.
- Manter o foco das políticas de segurança nas informações e pessoas e não nas
tecnologias ou plataformas
- Instruir, monitorar e aplicar políticas de segurança
- Adotar ferramentas que independem da plataforma
- Eliminar a duplicidade dos dados a fim de reduzir custos de manutenção e
gerenciamento
Os requisitos apresentados pelos autores serviram para compor o checklist de avaliação
de fornecedores em Cloud Computing proposto por este trabalho. A contribuição deste
artigo está em apresentar novos requisitos a serem avaliados.
1
A Cloud Security Alliance (CSA) é uma organização sem fins lucrativos com a missão de promover a
utilização das melhores práticas para a prestação de garantia de segurança dentro de Cloud Computing
serviços prestados pelas empresas de computação em nuvem com os serviços prestados
pelas concessionárias prestadoras de serviços públicos como telefonia, energia elétrica,
abastecimento de água, dentre outros. Neste modelo de negócio, o cliente contrata
determinados serviços e paga pela sua utilização e consumo.
Velte et. al. (2012) definem a computação em nuvem como sendo uma ideia que
permite utilizar vários programas através da internet, independentemente da plataforma
e local onde se esteja executando-os. Neste modelo, o autor afirma haver uma economia
muito grande, pois o cliente não se preocupa com os custos de equipamentos e licenças
de software.
Figura 2 - As três partes que formam a computação em nuvem (Velte et. al., 2012)
Os Clientes são os dispositivos móveis que os usuários utilizam para gerenciar e utilizar
suas informações na nuvem. Os clientes segundo Velte et al. (2012) geralmente são
- Dispositivos móveis: tablet’s, PDA’s e smartphones
- Thin clients: são computadores que não tem discos rígidos internos, porém, permitem
acesso ao servidor para exibir a informação
- Thick clients: acesso a nuvem através de um navegador sendo executado em um
computador normal
Velte et. al. (2012) enfatizam que os serviços em nuvem são oferecidos todos de forma
virtualizada, otimizando o uso dos servidores. As principais características da
virtualização são:
- Compartilhamento de um sistema de computação entre vários usuários;
- Isolamento entre os usuários e entre os programas de controle
- Emulação do hardware em outra máquina
O NIST2 (2014) define a computação em nuvem como sendo um modelo que possibilita
acesso a um conjunto de recursos computacionais configuráveis (redes, servidores,
armazenamento, aplicações e serviços) de modo conveniente e sob demanda. Estes
recursos podem ser adquiridos e disponibilizados com mínimo esforço gerencial ou
interação com o provedor de serviços.
Segundo o NIST (2014), este modelo é composto por cinco características essenciais:
autoserviço sob demanda, amplo acesso à rede, pool de recursos, rápida elasticidade
monitoramento dos serviços. Os serviços na nuvem são divididos em três modelos:
Software como Serviço (SaaS), Plataforma como Serviço (PaaS) e Infraestrutura como
Serviço (IaaS).
2
National Institute of Standards and Technology (Instituto Nacional de Padrões e Tecnologia). NIST é
um dos mais antigos laboratórios de ciências físicas dos Estados Unidos. Foi fundado em 1901 e está
subordinado ao Departamento de Comércio.
Figura 3 Diferenças entre modelos de serviço na nuvem (disponível em
http://blogs.mazikglobal.com/cloud-computing-stack-saas-paas-iaas/#.VF-cCvnF9EM)
Princípios da
Cenário do Risco Questões
Segurança
Invasões por hackers aos Quais são as garantias sobre a
Integridade ambientes da nuvem. Violação preservação da integridade dos
de leis de proteção de dados dados?
Aplicações de diversos usuários Como é realizada a segregação
coabitam nos mesmos sistemas de dados?
Confidencialidade de armazenamento Como é protegida a propriedade
intelectual e segredos
comerciais?
Recuperação de dados Como é garantida a arquitetura
gerenciados por terceiros. de disponibilidade?
Disponibilidade
A recuperação de informações
críticas, está sujeita a atrasos?
Verificação da autenticidade Que recursos são utilizados na
Autenticidade das entidades comunicantes autenticação e controle de
acesso dos usuários?
Auditabilidade das ações Os usuários do modelo são
Não-repúdio executadas por usuários no capazes de negarem suas ações?
sistema.
3
OWASP é uma organização internacional sem fins lucrativos, fundada nos Estados Unidos, que tem por
objetivo pesquisar, analisar e desenvolver soluções voltadas para a segurança da informação.
apresentem seus controles de segurança aos clientes com maior transparência. Os 10
principais riscos de segurança, de acordo com a OWASP (2014) são:
4
Acordo de Nível de Serviço (ANS ou SLA, do inglês Service Level Agreement). É um contrato entre
um fornecedor de serviços de TI e um cliente especificando, em geral em termos mensuráveis, quais
serviços o fornecedor vai prestar.
Privacidade do usuário e Uso secundário de dados (User Privacy & Secondary
Usage of Data)
O provedor deve garantir a privacidade aos usuários. O cliente deve determinar junto ao
provedor da nuvem, quais os dados que podem ou não podem ser usados por eles para
fins secundários. Os principais riscos são:
- Os dados pessoais do utilizador extraído ou usado (vendido) sem o consentimento para
anúncios direcionados a terceiros
- Os dados privativos do usuário são transferidos através das fronteiras jurisdicionais
- Não oferecer recursos para o utilizador apagar os seus dados
- Falta de controle individual sobre a garantia da adequada utilização, compartilhamento
e proteção de sua informação pessoal.
- Retenção da chave privada para órgãos da lei mediante intimação
Os riscos podem ser mitigados da seguinte forma:
- Adotar uma política para garantir a privacidade e utilização aceitável
- Política de Uso Secundário
- Responsabilidade sobre o cumprimento dos serviços de acordo com as legislações
locais
- Adoção de armazenamento criptografado
Benefício Descrição
Tempos menores Quais são as garantias sobre a preservação da integridade dos
de provisionamento dados?
A capacidade de comprar recursos de computação, sejam
aplicações ou infraestrutura em um modelo pague-pelo-uso
Despesas de capital reduz a necessidade de investimento de capital em hardware e
reduzido software. A carga de investimento inicial, a depreciação de
capital, e o risco de investimentos encalhados devido a uma
falha de projeto são reduzidos.
A capacidade de construir, usar e eliminar ambientes de testes,
pagando por eles apenas enquanto realmente em uso, reduz os
Os custos encargos financeiros associados à manutenção desses
associados aos ambientes. Os testes também podem ser mais rigorosos, uma
testes podem ser vez que a organização é capaz de implementar, em curto prazo,
reduzidos ambientes de larga escala para melhores testes de volume e
desempenho, em comparação com a hospedagem de TI
tradicional.
A capacidade de transferir picos de carga para fora do data
Redução da center interno, usando um modelo de implantação de nuvem
capacidade interna híbrido, irá reduzir os custos, já que não há mais a necessidade
de data centers de manter a infraestrutura subutilizada reservada apenas para o
processamento ocasional de picos de carga.
A realização de manutenção de rotina é muitas vezes uma
atividade custosa e demorada para os departamentos de TI
Melhor internos. Com a utilização de serviços de computação em
administração e nuvem, reduz-se o fardo de manutenção e, dependendo do
manutenção design do serviço, deve melhorar sua disponibilidade, uma vez
que a maioria dos serviços de computação em nuvem serão
altamente automatizados e virtualizados.
Capacidade de escalar serviços de TI no mesmo ritmo das
Flexibilidade demandas correspondentes de consumo da organização,
permitindo um alinhamento adequado entre o negócio e a TI.
4.2. Problemas que Cloud Computing não Resolve
A computação em nuvem não é um produto que resolve todos os problemas. Velte et al.
(2012) enumeram algumas situações em que a escolha da opção em nuvem não é a mais
adequada.
A necessidade de controle total da infraestrutura é um impedimento segundo os autores.
Se a empresa tem a necessidade de realizar testes de segurança e necessitar ter acesso
completo de todos os registros de ocorrências, a nuvem pode não ser a melhor escolha,
pois nem sempre o cliente tem acesso total a este tipo de informação.
Outro fator que pode inviabilizar o uso da nuvem ocorre quando uma empresa tem
informações que não podem correr o risco de serem compartilhadas devido a estratégia
das informações para os negócios da empresa.
A integração entre sistemas situados na nuvem com sistemas locais pode ser um
impedimento devido as questões de segurança, rapidez, confidencialidade e
confiabilidade dos dados. Além das questões de segurança, existem os problemas do
canal de comunicação com a nuvem como latência, corrupção e dano dos dados.
Tipo
(M)andatório
Grupo Requisito (D)esejável
Peso Nota
(N)ão se aplica
6. Conclusões
A computação em nuvem é uma tendência com forte crescimento. É inegável que
oferece muitas vantagens, como redução de custos, escalabilidade e suporte técnico
capacitado. Porém, ainda é um ambiente que representa insegurança para muitas
empresas, principalmente por se tratar de um cenário no qual elas não detêm o total
controle. Estas inseguranças ocorrem porque muitas empresas não sabem ao certo o que
deve ser avaliado ao se contratar um fornecedor de cloud computing.
No decorrer deste trabalho, foi possível identificar vários aspectos referentes a
segurança em computação em nuvem, identificando-se os principais problemas que este
modelo de computação resolve, como a escalabilidade de recursos, redução de custos,
melhor administração e manutenção.
Sabe-se, entretanto, que cloud computing não resolve todos os problemas. Citam-se,
como exemplos, o controle total sobre a estrutura computacional, realização de testes de
segurança, acesso total aos logs, informações confidencias hospedadas em países com
leis que permitem acesso aos dados além da dificuldade de integração entre os sistemas
locais com os sistemas hospedados na nuvem.
Ao longo deste trabalho, foi possível identificar vários aspectos que envolvem a
migração para a nuvem que vão desde a análise da infraestrutura a itens como
segurança, questões legais, conformidade, integração, recursos, virtualização e
principalmente, sobre segurança.
Diante do estudo, foi possível perceber que muitas empresas vêem a nuvem como uma
solução a muitos problemas, porém, ao mesmo tempo, muitas tem adiado a migração
para este ambiente por ainda terem muitas dúvidas acerca dos aspectos abordados neste
artigo, especialmente no que diz respeito à segurança e privacidade dos dados. Como
forma de facilitar o entendimento e avaliação, os aspectos considerados foram
classificados em 8 grupos: administração, histórico, questões legais, conformidade,
recursos, integração, segurança e virtualização.
Uma vez tendo classificadas as questões relativas a segurança e privacidade em grupos,
este trabalho apresentou os principais quesitos a serem considerados quando da
avaliação sobre a utilização ou não de cloud computing, facilitando o entendimento
sobre os mesmos. Desta forma, foi possível elaborar um checklist para ser utilizado na
avaliação de fornecedores destes serviços.
O checklist proposto visa auxiliar as empresas sobre as questões que envolvem a
migração e/ou utilização da nuvem. A avaliação a ser realizada com a utilização do
checklist, visa contribuir para que as mesmas tenham uma visão mais clara de quais
itens devem ser avaliados referentes as questões que envolvem disponibilidade,
confidencialidade, segurança e questões legais. Como os requisitos tendem a variar em
cada situação, dependendo do segmento de negócios, do perfil da empresa, do tipo de
serviço em cloud computing, entre outros, no momento de efetuar uma avaliação de
fornecedores os requisitos podem ser classificados como mandatórios, não se aplica ou
desejáveis. Os requisitos mandatórios são devem ser atendidos, a opção não se aplica é
utilizada para excluir da avaliação os itens que não serão verificados. Os itens
desejáveis serão avaliados de acordo com o peso e nota atribuídos. Cada requisito
recebe um grau de importância. Desta forma, é possível atribuir uma nota geral para
comprar os diferentes fornecedores. Isto permite adaptar o checklist a diferentes
situações.
Propõe-se como trabalhos futuros, a utilização e validação do checklist por empresas
que desejam contratar serviços na nuvem. Desta forma, seria possível identificar se o
checklist proposto contribui para auxiliar na avaliação dos fornecedores, evitando a
contratação de serviços em cloud computing que venham apresentar problemas por não
atender aos principais aspectos relacionados no checklist.
Referências Bibliográficas
CASTRO, Rita de C. C. de; SOUSA, Verônica L. Pimentel de. Segurança em Cloud
Computing: Governança e Gerenciamento de Riscos de Segurança. Disponível
em: <http://www.infobrasil.inf.br/userfiles/26-05-S5-1-68740-Seguranca%20em%
20Cloud.pdf>. Acesso em: 27 out. 2014.
CHEE, Braian J. S.; FRANKLIN JR., Curtis. Computação em Nuvem - Cloud
Computing Tecnologias e Estratégias. São Paulo: M. Books do Brasil Editora,
2013. Tradução: Mario Moro
DIOGENES , Yuri; MAUSER Daniel. Certificação Security - da Prática para o
Exame Syo. 2ª ed. Rio de Janeiro: Editora Nova Terra, 2013
IBM (International Business Machine). Ideias de Computação em Nuvem - Experiência
em 110 Projetos de Implementação. Disponível em: https://www.ibm.com/
developerworks/community/blogs/ctaurion/entry/110_implementacoes_reias_cloud_
computig?lang=en. Acesso em 30 nov 2014.
MARCON JR, Arlindo L.; LAUREANO, Marcos Aurélio; SANTIN, Altair;
MAZIERO, Carlos. Aspectos de Segurança e Privacidade em Ambientes de
Computação em Nuvem. In: X SIMPÓSIO BRASILEIRO EM SEGURANÇA DA
INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS, 10, 2010, Fortaleza.
Anais eletrônicos. Fortaleza: Universidade Estadual do Ceará e da Universidade
Federal do Ceará, 2010 Disponível em: <
http://www.redes.unb.br/ceseg/anais/2010/minicursos.html >. Acesso em: 30 out.
2014.
NIST (National Institute of Standards and Technology). The NIST Definition of Cloud
Computing. Disponível em: http://www.nist.gov/itl/cloud. Acesso em 31 out 2014.
OWASP (Open Web Application Security Project). Cloud Top 10 Security Risks.
Disponível em: https://www.owasp.org/index.php/Category:OWASP_Cloud_%E2%
80%90_10_Project. Acesso em 01 nov 2014.
RITTINGHOUSE, John W.; RANSOME, James F. Cloud Computing:
Implementation, Management, and Security. New York: CRC Press, 2010
SYMANTEC. Pesquisa 2013 sobre Custos Ocultos da Nuvem. Disponível em
http://www.symantec.com/pt/br/about/page.jsp?id=state-of-cloud. Acesso em 30 nov
2014.
VELOSO, Marcelo de Alencar. Cloud Computing: Necessidade e Benefícios
Esperados com a Adoção de Uma Política de Regulação e Incentivo ao Seu Uso.
In VI Congresso de Gestão Pública – CONSAD. Brasília, 2013.
VELTE, Anthony T.; VELTE, Toby J.; ELSENPETER, Robert. Cloud Computing:
Computacao em Nuvem: Uma Abordagem Pratica. Rio de Janeiro: Alta books,
2012. Tradução: