Segurança em Cloud Computing: Proposta de Checklist

para a Tomada de Decisão

Marcos Enrique Schmidt e Guillermo Nudelman Hess

Instituto de Ciências Exatas e Tecnológicas – Universidade FEEVALE

ERS-239, 2755 – 93352-000 – Novo Hamburgo – RS – Brasil
marcos@marcosenrique.br, hess@feevale.br
Abstract. The use of cloud computing has grown significantly in the last few
years. However, for many companies still presents a number of doubts
regarding to its adoption. The companies have had difficulties in identifying
which aspects must be considered when hiring a supplier of cloud computing.
This work presents a bibliographic study, bringing together in a single
document, the main issues on safety, legislation, resources, virtualization and
integrity.
Resumo. O uso de cloud computing tem crescido muito nos últimos anos.
Porém, para muitas empresas ainda apresenta uma série de dúvidas quanto à
sua adoção. As empresas têm dificuldades em identificar quais aspectos
devem ser considerados ao se contratar um fornecedor de cloud computing.
Este trabalho apresenta um estudo bibliográfico, reunindo em um único
documento, as principais questões sobre segurança, legislação, recursos,
virtualização e integridade.

1. Introdução
Muitas empresas têm percebido que a computação em nuvem representa uma vantagem
em relação a computação tradicional, principalmente em questões de custos, equipe
técnica qualificada e escalabilidade. Porém, é inegável, que ao mesmo tempo, muitas
delas veem a computação em nuvem como algo ainda desconhecido e temerário. Estas
preocupações se dão pelo fato de as empresas não saberem ao certo quais os cuidados
que se deve ter ao contratar um provedor de cloud computing.
A Symantec (2013) realizou um estudo em 2012 com 3.236 organizações em 29 países,
sendo 102 brasileiras sobre a adoção da nuvem. O estudo revela que mais de 90% das
empresas mundiais e 80% das empresas brasileiras estão discutindo sobre a adoção da
nuvem. As empresas veem na nuvem a possibilidade de redução de custos, maior
escalabilidade e melhor preparo para o enfrentamento de desastres. A Symantec
identificou que as principais preocupações das empresas são referentes a custos e
situação de riscos. Dentre as situações de riscos, o relatório apresenta, conforme
ilustrado na figura 1, as seguintes preocupações:
 Implementação da nuvem sem autorização / irregulares
 Custo com a duplicidade de dados
 Problemas com cópias de segurança (backup) e a recuperação da nuvem
 Armazenamento da nuvem ineficiente
 Cumprimento e processos de eDiscovery
  Administração de certificados SSL, preocupações com conformidade e
descoberta eletrônica
 Problemas com dados em trânsito

Figura 1 - Resulta pesquisa sobre a adoção da nuvem (Symantec, 2013)

A fim de auxiliar as empresas na avaliação de fornecedores de cloud computing, foi

efetuado um estudo sobre as principais questões que envolvem o fornecimento de
serviços na nuvem. O estudo apresenta um resumo dos trabalhos realizados por Buyya
et. al (2013), Carvalho (2013), Castro e Souza (2010), Chee E Franklin Jr. (2013),
Hugos e Hulitzky (2011), Marcon Jr et al. (2010), NIST (2012), Veloso(2013), OWASP
(2014).
A partir da pesquisa bibliográfica realizada, foi possível elaborar um checklist, reunindo
as principais questões que envolvem a prestação de serviços na nuvem. Os itens
elencados no checklist apresentam os cuidados contratuais, as questões envolvendo a
segurança, itens tecnológicos, questões legais, administração, hospedagem dos dados,
integração, disponibilidade dos serviços, virtualização e conformidade.
Este artigo apresenta um levantamento sobre os trabalhos relacionados ao tema
segurança em cloud computing. Num segundo momento, são apresentados os conceitos
sobre o assunto. Na sessão seguinte, são abordados os aspectos sobre segurança, os
problemas que cloud computing resolve e os que não resolve além dos problemas
específicos da computação em nuvem. Na sessão seguinte, é apresentado o checklist
para avaliação dos fornecedores de cloud computing. Por fim, é realizada a conclusão e
apresentada as sugestões para a realização de trabalhos futuros

2. Trabalhos Relacionados
Castro e Souza (2010) destacam que as empresas têm dificuldades em realizar uma
avaliação na hora de contratar um serviço em cloud computing. Os autores apresentam
vários requisitos que devem ser considerados antes de contratar a fim de se evitar riscos
futuros. A reputação, história e sustentabilidade é um item importante, pois visa
identificar, pelo tempo de existência da empresa, se ela tem condições de garantir a
operação dos serviços oferecidos. Contratos de SLAs com regras claras sobre os
serviços oferecidos. Fornecer os locais onde são armazenados os dados fisicamente e
quais as implicações legais em termos de leis e regulamentos. Garantia de bloqueio das
informações a terceiros a fim de garantir o direito à propriedade intelectual e de
segredos comerciais. É garantido que os dados são segregados, é utilizado criptografia
para dados em trânsito. O fornecedor garante que em caso de risco, é possível realizar
uma recuperação total das informações. O provedor oferece algum suporte em caso da
necessidade de se auditar e/ou realizar alguma investigação forense.
Veloso (2013) aborda o estudo realizado pela Cloud Security Alliance1 onde são
apresentadas uma série de recomendações para se realizar uma avaliação sobre os riscos
de segurança em computação na nuvem. O autor apresenta, além das questões já
mencionadas por Castro e Souza (2010), os seguintes quesitos para avaliação:
criptografia para usuários, direito de efetuar testes de segurança dos controles do
provedor, direito de descarte dos dados, direito de exportação dos dados em caso de
encerramento do contrato de prestação de serviços.
A Symantec (2013) afirma que os problemas e riscos podem ser atenuados com
planejamento, implementação e gerenciamento cuidadosos. A empresa sugere a adoção
das seguintes medidas para evitar a incidência dos riscos apresentados na pesquisa.
- Manter o foco das políticas de segurança nas informações e pessoas e não nas
tecnologias ou plataformas
- Instruir, monitorar e aplicar políticas de segurança
- Adotar ferramentas que independem da plataforma
- Eliminar a duplicidade dos dados a fim de reduzir custos de manutenção e
gerenciamento
Os requisitos apresentados pelos autores serviram para compor o checklist de avaliação
de fornecedores em Cloud Computing proposto por este trabalho. A contribuição deste
artigo está em apresentar novos requisitos a serem avaliados.

3. Conceito de Cloud Computing

A computação em nuvem não pode ser confundida com a computação em grid.
Conforme Chee e Franklin Jr (2013), a computação em grid visa utilizar vários
computadores com o propósito de resolver um determinado problema. Velte et. al.
(2012) apresentam como exemplo de computação em grid, o projeto SETI onde várias
pessoas permitem a utilização de parte do processamento de seus computadores para
identificar sinais de inteligência em programas de rádio previamente gravados. Desta
forma, é possível processar uma grande quantidade de informação, pois são vários
computadores efetuando a tarefa gerenciados por uma estrutura central.
A computação em nuvem, de acordo com Rittinghouse e Ransome (2010), se apresenta
como um novo conceito em computação, uma nova forma de utilizar os recursos
computacionais. A principal diferença em relação a computação tradicional, ocorre pelo
fato da computação em nuvem ser oferecida como serviço. Os autores comparam os

1
A Cloud Security Alliance (CSA) é uma organização sem fins lucrativos com a missão de promover a
utilização das melhores práticas para a prestação de garantia de segurança dentro de Cloud Computing
serviços prestados pelas empresas de computação em nuvem com os serviços prestados
pelas concessionárias prestadoras de serviços públicos como telefonia, energia elétrica,
abastecimento de água, dentre outros. Neste modelo de negócio, o cliente contrata
determinados serviços e paga pela sua utilização e consumo.
Velte et. al. (2012) definem a computação em nuvem como sendo uma ideia que
permite utilizar vários programas através da internet, independentemente da plataforma
e local onde se esteja executando-os. Neste modelo, o autor afirma haver uma economia
muito grande, pois o cliente não se preocupa com os custos de equipamentos e licenças
de software.

A computação em nuvem é composta de vários elementos. Velte et. al (2012) definem

que os principais elementos da nuvem são: clientes, data centers e servidores
distribuídos. A imagem da figura 1 ilustra os principais elementos.

Figura 2 - As três partes que formam a computação em nuvem (Velte et. al., 2012)

Os Clientes são os dispositivos móveis que os usuários utilizam para gerenciar e utilizar
suas informações na nuvem. Os clientes segundo Velte et al. (2012) geralmente são
- Dispositivos móveis: tablet’s, PDA’s e smartphones
- Thin clients: são computadores que não tem discos rígidos internos, porém, permitem
acesso ao servidor para exibir a informação
- Thick clients: acesso a nuvem através de um navegador sendo executado em um
computador normal
Velte et. al. (2012) enfatizam que os serviços em nuvem são oferecidos todos de forma
virtualizada, otimizando o uso dos servidores. As principais características da
virtualização são:
- Compartilhamento de um sistema de computação entre vários usuários;
- Isolamento entre os usuários e entre os programas de controle
- Emulação do hardware em outra máquina
O NIST2 (2014) define a computação em nuvem como sendo um modelo que possibilita
acesso a um conjunto de recursos computacionais configuráveis (redes, servidores,
armazenamento, aplicações e serviços) de modo conveniente e sob demanda. Estes
recursos podem ser adquiridos e disponibilizados com mínimo esforço gerencial ou
interação com o provedor de serviços.
Segundo o NIST (2014), este modelo é composto por cinco características essenciais:
autoserviço sob demanda, amplo acesso à rede, pool de recursos, rápida elasticidade
monitoramento dos serviços. Os serviços na nuvem são divididos em três modelos:
Software como Serviço (SaaS), Plataforma como Serviço (PaaS) e Infraestrutura como
Serviço (IaaS).

Software como Serviço (SaaS - Software as a Service).

Neste modelo de serviço, são oferecidos aplicativos, softwares, para serem utilizados
em uma infraestrutura em nuvem. O acesso a estes aplicativos pode ser realizado de
vários dispositivos (computador, telefones, tablets, entre outros) através de um
navegador ou de um programa. Nesta modalidade de serviço, o cliente não se preocupa
em gerenciar e/ou controlar a estrutura subjacente (rede, servidores, equipamentos,
sistemas operacionais e segurança), seu foco está apenas no gerenciamento dos
aplicativos que irá utilizar.

Plataforma como Serviço (PaaS - Platform as a Service).

A plataforma como serviço consiste em oferecer um ambiente onde o cliente pode
instalar aplicativos, criar seus próprios aplicativos, instalar ferramentas de terceiros,
desde que compatíveis com a plataforma oferecida. O cliente tem controle sobre os
aplicativos implantados e, possivelmente, definições de configuração para o ambiente
de hospedagem de aplicativos. O cliente não tem acesso à configuração da estrutura
subjacente (rede, servidores, equipamentos e sistemas operacionais).

Infraestrutura como Serviço (IaaS - Infrastructure as a Service)

O cliente tem a sua disposição toda a infraestrutura utilizando e gerenciando o
processamento, o armazenamento, as redes e outros recursos computacionais
fundamentais. É possível implantar e executar software arbitrário, que pode incluir
sistema operacional e aplicações. O cliente tem controle sobre sistemas operacionais,
armazenamento e aplicativos implementados; e controle, possivelmente limitado de
componentes de rede selecionados (por exemplo, firewalls do host).

2
National Institute of Standards and Technology (Instituto Nacional de Padrões e Tecnologia). NIST é
um dos mais antigos laboratórios de ciências físicas dos Estados Unidos. Foi fundado em 1901 e está
subordinado ao Departamento de Comércio.
 Figura 3 Diferenças entre modelos de serviço na nuvem (disponível em
http://blogs.mazikglobal.com/cloud-computing-stack-saas-paas-iaas/#.VF-cCvnF9EM)

A implantação da nuvem pode ser realizada utilizando um dos quatro modelos de

implantação. Nuvem Privada, Nuvem Pública, Nuvem Comunitária e Nuvem Híbrida. A
escolha do modelo de implantação depende das características do modelo de negócios
de cada empresa, onde são levados em consideração os custos, a segurança, a
manutenção dentre outros fatores. (NIST, 2014)

Nuvem Privada (private cloud)

A infraestrutura de nuvem é provisionada para uso exclusivo por uma única organização
compreendendo vários consumidores (por exemplo, unidades de negócio). Pode ser de
propriedade, gerenciados e operado pela organização, um terceiro, ou alguma
combinação deles, e podem existir ou não no local.

Nuvem Pública (public cloud)

A infraestrutura de nuvem é provisionada para uso aberto ao público em geral. Pode ser
gerenciada e operada por uma empresa, acadêmico ou organização governamental, ou
alguma combinação delas. Ela existe nas instalações do provedor de nuvem. As nuvens
públicas possuem limites de configuração e customização, principalmente quanto a
questão de segurança. A vantagem na adoção deste modelo reside na economia
proporcionada pelo compartilhamento de recursos.

Nuvem Comunitária(community cloud)

A infraestrutura de nuvem é disponibilizada para uso exclusivo por um grupo ou uma
comunidade. São compartilhados os requisitos de segurança, políticas de gerenciamento
e considerações sobre a flexibilidade. Neste modelo, o gerenciamento pode ser realizado
por algum membro da comunidade e/ou por empresa terceirizada. Um fator importante
a se destacar é o fato dos dados do cliente serem armazenados com os dados de outros
concorrentes.

Nuvem Híbrida (hybrid cloud)

A infraestrutura de nuvem híbrida é uma composição de duas ou mais nuvem distintas
(privada, comunitária ou pública) que permanecem entidades únicas, mas são
vinculados juntos por tecnologia padronizada ou proprietária que permite a
portabilidade de dados e aplicações (por exemplo, nuvem estourando para
balanceamento de carga entre nuvens). Um fator importante na implantação de uma
nuvem híbrida, é o alto risco por utilizar nuvens com implantações diferentes.

Figura 4 - Modelo Visual da Definição de Computação em Nuvem do NIST (Veloso, 2013)

4. Segurança em Cloud Computing

A segurança de sistemas de informação, para Chee e Franklin Jr. (2013), é focada em
proteger os ativos e os dados. A proteção dos ativos consiste em proteger o hardware, o
software e toda a infraestrutura da rede. Já a proteção dos dados consiste em proteger a
informação. De acordo com os autores, por muito tempo se dava prioridade a proteção
dos ativos ao invés da informação. Esta mudança de paradigma, fez com as empresas
passassem a tratar a segurança da informação como sendo estratégica.
A segurança em Cloud Computing para Chee e Franklin Jr. (2013) não se restringe a
configuração de firewalls, programas antí-spam e antivírus. É necessário estar atento às
regulações do governo, desenvolver planos de ação e realizar auditorias a fim de
garantir a segurança e integridade dos dados na nuvem. De acordo com os autores,
questões como escolha do provedor e os tipos de serviço oferecidos pelo mesmo, estão
diretamente ligados a segurança.
A segurança em Cloud Computing de acordo com Castro e Souza (2014), apresenta um
novo paradigma para as empresas, pois a forma de mitigar os riscos relacionados à
segurança da informação, ocorrem num cenário onde elas não detêm o controle total do
ambiente de TI. Outro item a ser considerado é a falta de normatização quanto a
segurança em nuvem, o que gera dúvidas nos clientes quando aos processos, ao
armazenamento de dados e o atendimento a legislação local. Os autores afirmam que a
segurança em nuvem deve garantir a integridade, a confidencialidade, a
disponibilidade, a autenticidade e o não-repúdio. Os autores apresentam a tabela com os
princípios de segurança e as questões a serem observadas.

Tabela 1 - Princípios da segurança em Cloud Computing Castro e Souza(2014)

Princípios da
Cenário do Risco Questões
Segurança
Invasões por hackers aos Quais são as garantias sobre a
Integridade ambientes da nuvem. Violação preservação da integridade dos
de leis de proteção de dados dados?
Aplicações de diversos usuários Como é realizada a segregação
coabitam nos mesmos sistemas de dados?
Confidencialidade de armazenamento Como é protegida a propriedade
intelectual e segredos
comerciais?
Recuperação de dados Como é garantida a arquitetura
gerenciados por terceiros. de disponibilidade?
Disponibilidade
A recuperação de informações
críticas, está sujeita a atrasos?
Verificação da autenticidade Que recursos são utilizados na
Autenticidade das entidades comunicantes autenticação e controle de
acesso dos usuários?
Auditabilidade das ações Os usuários do modelo são
Não-repúdio executadas por usuários no capazes de negarem suas ações?
sistema.

A OWASP3 (2014) criou um grupo de estudos para abordar os maiores riscos de

segurança em Cloud Computing, com foco voltado para nuvem pública ou híbrida. O
objetivo principal, é manter uma lista com os 10 maiores riscos de segurança
enfrentados na nuvem. A lista é mantida pela comunidade de especialistas em segurança
e incidentes de segurança em nuvem e por fornecedores de SaaS. O principal objetivo
da lista é ser um material de apoio às empresas que utilizam a nuvem, para que tenham
condições de verificar se os fornecedores adotam políticas de segurança a fim de evitar
os riscos. Do ponto de vista dos fornecedores, a OWASP (2014) espera que estes

3
OWASP é uma organização internacional sem fins lucrativos, fundada nos Estados Unidos, que tem por
objetivo pesquisar, analisar e desenvolver soluções voltadas para a segurança da informação.
apresentem seus controles de segurança aos clientes com maior transparência. Os 10
principais riscos de segurança, de acordo com a OWASP (2014) são:

Responsabilidade e Propriedade de dados (Accountability and Data Ownership)

O controle dos dados é de responsabilidade do fornecedor de Cloud Computing,
gerando um risco de segurança crítica. Ao contratar um serviço, a empresa deve
assegurar quais são as garantias de recuperação em caso de desastres e quais são as
políticas e práticas para a realização de cópias de segurança (backups). Deve-se
assegurar sobre a garantia de recuperação de dados. A figura 4 demonstra qual o nível
de responsabilidade do provedor de Cloud e do cliente. No modelo de prestação de
serviços SaaS, podem ocorrer poucas exceções ao cliente.

Figura 5 - Responsabilidade sobre os dados. Fonte: OWASP (2014)

A OWASP (2014) apresenta os seguintes questionamentos que os clientes devem fazer

sobre o provedor de serviços:
- Como o provedor protege os dados contra riscos de segurança?
- O provedor informa onde os dados são armazenados?
- Os dados são criptografados?
- O provedor destrói totalmente os dados quando são excluídos pelo cliente?
- É garantido o isolamento lógico dos dados entre os vários consumidores?
- O Provedor utiliza várias chaves de criptografia?

Federação para Controle de Identidade do Usuário (User Identity Federation)

O provedor de serviços deve possibilitar que o gerenciamento dos usuários seja efetuado
utilizando uma identificação única entre os diversos provedores associados. Os
principais riscos de segurança são:
- Gerenciamento das identidades em vários provedores
- Menos controle sobre ciclo de vida do usuário (offboarding)
- Experiência do usuário

Conformidade com os Regulamentações (Regulatory Compliance)

Os clientes são, em última instância responsáveis pela segurança e conformidade com as
leis regulamentares de seus próprios aplicativos hospedados na nuvem. Os
administradores de dados e proprietários de aplicativos devem planejar auditorias para
assegurar um controle adequado dos aplicativos e infraestrutura que está hospedado em
um provedor de nuvem. O cliente deve verificar se o provedor atende a legislação local,
quando o mesmo tiver sua sede em outro país. Os principais problemas são:
- Proteção e sigilo aos dados. O dado que é seguro em um país pode não ser em outro
- Falta de transparência nas implementações subjacentes torna difícil para os
proprietários de dados demonstrarem conformidade com a legislação
- A falta de normas e requisitos para regulamentação mundial em cumprimento a
legislação sobre governança de dados
Estratégias para mitigação:
- Aplicar estrutura de gerenciamento de risco caso a caso
- Definir os requisitos de proteção de dados e SLAs4
- Provedor atende as normas da legislação

Continuidade e resiliência de negócios (Business Continuity & Resiliency)

Continuidade de Negócios é de responsabilidade do provedor de nuvem. O serviço de
continuidade deve ser garantido de forma contratual. Os principais riscos são:
- Falta de know-how e as capacidades necessárias para garantir a continuidade e
resiliência
- Provedor de nuvem pode ser adquirida por concorrente do consumidor
- Perdas monetárias devido a uma queda de energia
Os riscos podem ser evitados com a adoção das seguintes ações:
- Incluir no Contrato cláusula que define o tempo de recuperação e pena pecuniária para
o tempo de inatividade
- Ter acesso ao Programa de Continuidade de Negócios do provedor de nuvem,
verificando se o mesmo é certificado por algum órgão regulador, como o BS 25999

4
Acordo de Nível de Serviço (ANS ou SLA, do inglês Service Level Agreement). É um contrato entre
um fornecedor de serviços de TI e um cliente especificando, em geral em termos mensuráveis, quais
serviços o fornecedor vai prestar.
Privacidade do usuário e Uso secundário de dados (User Privacy & Secondary
Usage of Data)
O provedor deve garantir a privacidade aos usuários. O cliente deve determinar junto ao
provedor da nuvem, quais os dados que podem ou não podem ser usados por eles para
fins secundários. Os principais riscos são:
- Os dados pessoais do utilizador extraído ou usado (vendido) sem o consentimento para
anúncios direcionados a terceiros
- Os dados privativos do usuário são transferidos através das fronteiras jurisdicionais
- Não oferecer recursos para o utilizador apagar os seus dados
- Falta de controle individual sobre a garantia da adequada utilização, compartilhamento
e proteção de sua informação pessoal.
- Retenção da chave privada para órgãos da lei mediante intimação
Os riscos podem ser mitigados da seguinte forma:
- Adotar uma política para garantir a privacidade e utilização aceitável
- Política de Uso Secundário
- Responsabilidade sobre o cumprimento dos serviços de acordo com as legislações
locais
- Adoção de armazenamento criptografado

Serviço e Integração de Dados (Service & Data Integration)

As organizações devem ter a certeza de que seus dados estejam devidamente protegidos,
uma vez que são transferidos entre o usuário final e do centro de dados em nuvem.
Dados sem garantia é susceptível de interceptação e comprometer durante a
transmissão. Os principais riscos são:
- Falha na transmissão com perda de dados durante a transmissão
- Interceptação e acesso aos dados durante a transmissão
- Falta de segurança no armazenamento
- Os dados são transmitidos sem utilizar criptografia e/ou criptografia fraca
Os riscos podem ser evitados adotando as seguintes medidas:
- Criptografar os dados utilizando chaves e protocolos de segurança
- Adotar políticas de segurança durante a transmissão dos dados
- Gerenciar a transmissão a fim de garantir a integridade dos dados

Multi Inquilinato e Segurança Física (Multi Tenancy and Physical Security)

Multi-tenancy em nuvem significa a partilha de recursos e serviços entre os vários
clientes (CPU, rede, armazenamento / bancos de dados, pilha de aplicativos). Ele
aumenta a dependência de segregação lógica e outros controles para garantir que um
inquilino deliberada ou inadvertidamente não possa interferir com a segurança
(confidencialidade, integridade, disponibilidade) dos outros inquilinos. Os riscos são:
- Separações lógicas inadequadas
- Misturar dados dos inquilinos
- Inquilinos maliciosos ou ignorantes
- Ponto de falhas em serviços compartilhados
- Alteração de controles e configurações de forma descoordenada
As formas de prevenir os riscos são:
- Criptografia de Dados por gerenciamento de chaves inquilino
- Gerenciamento de mudanças controlado e coordenado
- Acesso administrativo transparente e aditável
- Fornecimento de balanços regulares
- Adoção de nuvem privada virtual (Virtual Private Cloud - VPC)

Análise de Incidência e Apoio Forense (Incidence Analysis & Forensic Support)

Em caso de um incidente de segurança, aplicativos e serviços hospedados em um
provedor de nuvem são difíceis de investigar como o log pode ser distribuído em vários
hosts e centros de dados que podem ser localizados em diversos países e, portanto,
regidos por leis diferentes. Além disso, junto com os arquivos de log, os dados
pertencentes a vários clientes podem ser co-localizados nos mesmos dispositivos de
hardware e de armazenamento e, portanto, uma preocupação com a lei que imponha a
agências de recuperação judicial. Os riscos da incidência são:
- Detecção de malware
- Acesso aos logs
- Legislação forense
A mitigação deve levar em consideração os seguintes itens:
- Acesso as imagens das VMs para análise forense
- Log completo das operações realizadas
- Armazenar log sem comprometer o desempenho

Segurança da Infra-estrutura (Infrastructure Security)

Toda infra-estrutura deve ser configurada de forma segura, ser baseada nas boas práticas
da indústria. Aplicações, sistemas e redes devem ser arquitetadas e configuradas com
zonas de hierarquização e de segurança, e o acesso deve ser configurado para permitir
apenas protocolos de rede e aplicativos necessários. O acesso administrativo deve ser
concedido com base na necessidade de saber com base em funções. Avaliações de risco
regulares deve ser feito, de preferência por uma entidade independente. A política de
segurança deve estar implementada para aplicação de patches / atualizações de
segurança, e pode com base em avaliações de risco, determinar a adoção de novas
questões de segurança. Os riscos são:
- Acesso a portas não utilizadas e que se encontram ativas
- Utilização de senhas padrão
- Utilização de configurações padrão
Os riscos podem ser minimizados com a adoção das seguintes medidas:
- Segregação de funções e papéis com base perfis administrativos
- Arquitetura em camadas com controles de segurança apropriados entre eles
- Regras de proteção para redes, sistema operacional e aplicativos
Embora os detalhes dos itens acima devem ser considerados como informações
altamente confidenciais, é razoável esperar que o cliente quer ver pelo menos os
detalhes de alto nível. O provedor deve estar disposto a fornecer este.

Exposição do Ambiente de Não Produção (Non Production Environment Exposure)

As empresas que desenvolvem aplicativos de software internamente utilizam um
conjunto de ambientes alternativos (não produção) para o projeto, desenvolvimento e
atividades de teste. Os riscos são:
- Utilização de credenciais de autenticação genéricos
- Falhas de segurança
- Alto risco de um usuário não autorizado obter acesso ao ambiente de não produção
- Dados copiados para não-produção a partir de seu equivalente de produção
Os riscos podem ser minimizados com a adoção das seguintes ações:
- Uso de múltiplas camadas de autenticação
- Não usar os dados do ambiente de produção no ambiente de não produção
- Não utilizar a nuvem para o desenvolvimento de aplicativos altamente sensíveis a
nuvem

4.1. Problemas que Cloud Computing Resolve

Velte et al (2012) apresentam como grande vantagem em segurança, a utilização dos
aplicativos na nuvem (SaaS). Esta modalidade propicia uma enorme economia além de
facilitar o suporte técnico, uma vez que os aplicativos não precisam ser instalados nas
máquinas dos usuários. As configurações são efetuadas via um navegador (browser),
tornando muito rápida a opção de disponibilizar e/ou bloquear a execução de
determinado aplicativo.
Os autores afirmam que a nuvem representa uma segurança maior que a tradicional,
principalmente em caso da ocorrência de riscos. Isto se deve ao fato de as grandes
fornecedoras de cloud computing terem os dados dos clientes distribuídos em mais de
um ponto além de disporem de equipes técnicas capacitadas para atuarem nestas
situações.
Veloso (2013) enfatiza que a computação em nuvem como serviço apresenta inúmeros
benefícios para seus utilizadores. O autor aborda que em muitos casos as empresas
perdem tempo com aquisições que nem sempre atendem as necessidades. Na
computação em nuvem, tem-se a opção de contratar, e, a qualquer momento cancelar,
ou seja, a opção de utilização e pagamento sob demanda é o maior benefício. O autor
apresenta um resumo dos benefícios na tabela 2.

Tabela 2 - Benefícios da Computação em Nuvem (VELOSO, 2013)

Benefício Descrição
Tempos menores Quais são as garantias sobre a preservação da integridade dos
de provisionamento dados?
A capacidade de comprar recursos de computação, sejam
aplicações ou infraestrutura em um modelo pague-pelo-uso
Despesas de capital reduz a necessidade de investimento de capital em hardware e
reduzido software. A carga de investimento inicial, a depreciação de
capital, e o risco de investimentos encalhados devido a uma
falha de projeto são reduzidos.
A capacidade de construir, usar e eliminar ambientes de testes,
pagando por eles apenas enquanto realmente em uso, reduz os
Os custos encargos financeiros associados à manutenção desses
associados aos ambientes. Os testes também podem ser mais rigorosos, uma
testes podem ser vez que a organização é capaz de implementar, em curto prazo,
reduzidos ambientes de larga escala para melhores testes de volume e
desempenho, em comparação com a hospedagem de TI
tradicional.
A capacidade de transferir picos de carga para fora do data
Redução da center interno, usando um modelo de implantação de nuvem
capacidade interna híbrido, irá reduzir os custos, já que não há mais a necessidade
de data centers de manter a infraestrutura subutilizada reservada apenas para o
processamento ocasional de picos de carga.
A realização de manutenção de rotina é muitas vezes uma
atividade custosa e demorada para os departamentos de TI
Melhor internos. Com a utilização de serviços de computação em
administração e nuvem, reduz-se o fardo de manutenção e, dependendo do
manutenção design do serviço, deve melhorar sua disponibilidade, uma vez
que a maioria dos serviços de computação em nuvem serão
altamente automatizados e virtualizados.
Capacidade de escalar serviços de TI no mesmo ritmo das
Flexibilidade demandas correspondentes de consumo da organização,
permitindo um alinhamento adequado entre o negócio e a TI.
4.2. Problemas que Cloud Computing não Resolve
A computação em nuvem não é um produto que resolve todos os problemas. Velte et al.
(2012) enumeram algumas situações em que a escolha da opção em nuvem não é a mais
adequada.
A necessidade de controle total da infraestrutura é um impedimento segundo os autores.
Se a empresa tem a necessidade de realizar testes de segurança e necessitar ter acesso
completo de todos os registros de ocorrências, a nuvem pode não ser a melhor escolha,
pois nem sempre o cliente tem acesso total a este tipo de informação.
Outro fator que pode inviabilizar o uso da nuvem ocorre quando uma empresa tem
informações que não podem correr o risco de serem compartilhadas devido a estratégia
das informações para os negócios da empresa.
A integração entre sistemas situados na nuvem com sistemas locais pode ser um
impedimento devido as questões de segurança, rapidez, confidencialidade e
confiabilidade dos dados. Além das questões de segurança, existem os problemas do
canal de comunicação com a nuvem como latência, corrupção e dano dos dados.

4.3. Problemas Específicos de Cloud Computing

Veloso (2013) considera que um dos problemas específicos de cloud computing é a falta
de padronização e a imaturidade nas ferramentas de gestão para os serviços. Outro
problema é a falta de definições claras sobre o que é e o que não é computação em
nuvem. Esta falta de clareza cria confusão no mercado, onde muitos produtos
anunciados com sendo computação em nuvem, na verdade não são. O autor enfatiza que
a falta de experiência em gestão da nuvem leva as empresas contratar provedores de
cloud sem fazerem uma análise detalhada de como funcionam os serviços, como são as
políticas de cópia de segurança dentre outros fatores.
O autor coloca como um grande problema o fato dos clientes não terem acesso, em
muitos casos, sobre onde seus dados estão hospedados, como são definidas as políticas
de segurança. Caso seja necessário cancelar o serviço, como são oferecidos os dados do
cliente, quais os custos que serão cobrados.

5. O checklist de avaliação de provedores

As empresas têm dificuldades em efetuar uma avaliação sobre os fornecedores de cloud
computing. Esta dificuldade ocorre em virtude de não terem domínio sobre este
ambiente e em consequência, não disporem de conhecimentos ou mecanismos para
efetuarem a avaliação. Este trabalho propõe um checklist de avaliação, levando em
consideração diversos aspectos sobre a prestação de serviços em cloud computing,
legislação e contratos. A elaboração deste, tem por objetivo oferecer em um único
documento as principais questões que devem ser consideradas ao se avaliar um
provedor de cloud computing.
Este trabalho é o resultado de pesquisa bibliográfica realizada a fim de reunir em um
único documento os principais quesitos para análise. Os autores que serviram de base
para este estudo foram: Buyya et. al (2013), Carvalho (2013), Castro e Souza (2010),
Chee E Franklin Jr. (2013), Hugos e Hulitzky (2011), Marcon Jr et al. (2010), NIST
(2012), Veloso(2013), OWASP (2014) e Symantec (2013).
Os requisitos foram divididos em 8 grupos (administração, conformidade, histórico,
integração, questões legais, recursos, segurança e virtualização) para facilitar a
avaliação de diferentes serviços em cloud computing. A coluna “Tipo” é utilizada para o
avaliador determinar como se dará a avaliação do requisito, podendo ser ele mandatório,
desejável ou não se aplica. Os requisitos de tipo mandatório são eliminatórios, ou seja,
caso o provedor não suporte o requisito, será desconsiderado da avaliação e os demais
requisitos nem precisam ser avaliados. Os requisitos de tipo desejável são
classificatórios, ou seja, possuem 2 colunas adicionais, “Peso” e “Nota”, que são
utilizadas para determinar a relevância do quesito na avaliação. Assim, os itens de
menor relevância têm peso menor. A nota é importante para poder fazer a comparação e
avaliação entre os provedores de cloud computing.
A definição do tipo do requisito, bem como do seu peso e de sua nota, será determinada
pelo avaliador de acordo com suas necessidades e serviços a serem utilizados na nuvem.
Desta forma, o checklist pode ser aplicado em diferentes tipos de avaliação.

Tipo
(M)andatório
Grupo Requisito (D)esejável
Peso Nota
(N)ão se aplica

Administração Oferece interfaces de acesso p\ gerenciamento por

WEB

Histórico O provedor pertence a um grande grupo

econômico

Histórico A empresa tem sólida reputação no mercado

Histórico O provedor existe há mais de 5 anos

Questões Legais Dados manipulados pela empresa podem ser

armazenados em outros países?

Questões Legais O provedor informa em que locais os dados são

armazenados?

Questões Legais Os dados podem ser recolhidos pelos órgãos legais

para análise forense?

Questões Legais Garantia da separação das informações entre os

usuários que compartilham dos recursos da nuvem
(multi-tenancy)

Questões Legais O provedor apresenta alguma garantia de

continuidade do negócio a longo prazo e/ou em
caso de venda em cláusula contratual
Integração Oferece direito de exportação dos dados em caso
de cancelamento do contrato de prestação dos
serviços

Integração Oferece APIs para possibilitar a integração de

sistemas via código

Conformidade Contrato oferece cláusulas sobre os serviços

oferecidos (Service Level Agreements - SLA)

Conformidade O SLA oferecido é adequado para as necessidades

do contratante

Conformidade O provedor explicita em seu contrato de quem é a

propriedade intelectual dos dados

Conformidade O provedor tem capacidade técnica para cumprir

com todas as cláusulas do SLA

Conformidade São oferecidos métodos transparentes e eficazes

para a realização de auditorias

Recursos Capacidade de escalabilidade dos serviços e

recursos

Recursos O provedor oferece recursos para medição e

monitoramento dos serviços

Recursos Permite o acesso de diferentes dispositivos

(computadores, tablets, smartphones)

Recursos Tempo de uptime (capacidade de ficar ativo sem

interrupção dos serviços)

Recursos Tempo de downtime (tempo necessário para voltar

em caso de interrupção dos serviços)

Recursos Provedor oferece datacenters distantes

geograficamente com replicação dos dados

Segurança Permite a criação de diferentes papéis e permissões

em nível de usuário

Segurança Há um plano de prevenção contra riscos e

desastres. Este atende as necessidades do
contratante.

Segurança Oferece o emprego de criptografia a fim de

garantir a proteção de dados sigilosos

Segurança Oferece criptografia para acesso dos usuários

Segurança Gerencia de identidades digitais dos usuários

(dados pessoais, cartão de crédito, informações
financeiras)
Segurança Garante a auditoria das ações realizadas pelos
usuários no sistema (não-repúdio)

Segurança SLA de garantia da integridade dos dados

Segurança SLA da garantia total de privacidade dos dados

Segurança Oferece segurança para dados em transito com o

emprego de criptografia

Segurança Garante o efetivo descarte e remoção dos dados

Segurança O provedor garante a segregação dos dados

Segurança Garantia do uso de protocolos para autenticação

em ambiente multi-tenancy

Segurança Proteção contra ataques externos / internos

Segurança Proteção contra ataques DoS

Segurança Filtragem e de endereços e configuração de portas

Segurança Fornece logs para análise

Segurança O provedor oferece suporte a realização de testes

de segurança

Virtualização Garante o completo isolamento entre as máquinas

virtuais

Virtualização Garante a integridade e a confiabilidade dos dados

contra vazamentos através da exploração de
vulnerabilidades

Virtualização O provedor tem controle sobre as identificações

das máquinas virtuais

Virtualização Proteção contra ataques entre as máquinas virtuais

(cross-VM attacks)

6. Conclusões
A computação em nuvem é uma tendência com forte crescimento. É inegável que
oferece muitas vantagens, como redução de custos, escalabilidade e suporte técnico
capacitado. Porém, ainda é um ambiente que representa insegurança para muitas
empresas, principalmente por se tratar de um cenário no qual elas não detêm o total
controle. Estas inseguranças ocorrem porque muitas empresas não sabem ao certo o que
deve ser avaliado ao se contratar um fornecedor de cloud computing.
No decorrer deste trabalho, foi possível identificar vários aspectos referentes a
segurança em computação em nuvem, identificando-se os principais problemas que este
modelo de computação resolve, como a escalabilidade de recursos, redução de custos,
melhor administração e manutenção.
Sabe-se, entretanto, que cloud computing não resolve todos os problemas. Citam-se,
como exemplos, o controle total sobre a estrutura computacional, realização de testes de
segurança, acesso total aos logs, informações confidencias hospedadas em países com
leis que permitem acesso aos dados além da dificuldade de integração entre os sistemas
locais com os sistemas hospedados na nuvem.
Ao longo deste trabalho, foi possível identificar vários aspectos que envolvem a
migração para a nuvem que vão desde a análise da infraestrutura a itens como
segurança, questões legais, conformidade, integração, recursos, virtualização e
principalmente, sobre segurança.
Diante do estudo, foi possível perceber que muitas empresas vêem a nuvem como uma
solução a muitos problemas, porém, ao mesmo tempo, muitas tem adiado a migração
para este ambiente por ainda terem muitas dúvidas acerca dos aspectos abordados neste
artigo, especialmente no que diz respeito à segurança e privacidade dos dados. Como
forma de facilitar o entendimento e avaliação, os aspectos considerados foram
classificados em 8 grupos: administração, histórico, questões legais, conformidade,
recursos, integração, segurança e virtualização.
Uma vez tendo classificadas as questões relativas a segurança e privacidade em grupos,
este trabalho apresentou os principais quesitos a serem considerados quando da
avaliação sobre a utilização ou não de cloud computing, facilitando o entendimento
sobre os mesmos. Desta forma, foi possível elaborar um checklist para ser utilizado na
avaliação de fornecedores destes serviços.
O checklist proposto visa auxiliar as empresas sobre as questões que envolvem a
migração e/ou utilização da nuvem. A avaliação a ser realizada com a utilização do
checklist, visa contribuir para que as mesmas tenham uma visão mais clara de quais
itens devem ser avaliados referentes as questões que envolvem disponibilidade,
confidencialidade, segurança e questões legais. Como os requisitos tendem a variar em
cada situação, dependendo do segmento de negócios, do perfil da empresa, do tipo de
serviço em cloud computing, entre outros, no momento de efetuar uma avaliação de
fornecedores os requisitos podem ser classificados como mandatórios, não se aplica ou
desejáveis. Os requisitos mandatórios são devem ser atendidos, a opção não se aplica é
utilizada para excluir da avaliação os itens que não serão verificados. Os itens
desejáveis serão avaliados de acordo com o peso e nota atribuídos. Cada requisito
recebe um grau de importância. Desta forma, é possível atribuir uma nota geral para
comprar os diferentes fornecedores. Isto permite adaptar o checklist a diferentes
situações.
Propõe-se como trabalhos futuros, a utilização e validação do checklist por empresas
que desejam contratar serviços na nuvem. Desta forma, seria possível identificar se o
checklist proposto contribui para auxiliar na avaliação dos fornecedores, evitando a
contratação de serviços em cloud computing que venham apresentar problemas por não
atender aos principais aspectos relacionados no checklist.
Referências Bibliográficas
CASTRO, Rita de C. C. de; SOUSA, Verônica L. Pimentel de. Segurança em Cloud
Computing: Governança e Gerenciamento de Riscos de Segurança. Disponível
em: <http://www.infobrasil.inf.br/userfiles/26-05-S5-1-68740-Seguranca%20em%
20Cloud.pdf>. Acesso em: 27 out. 2014.
CHEE, Braian J. S.; FRANKLIN JR., Curtis. Computação em Nuvem - Cloud
Computing Tecnologias e Estratégias. São Paulo: M. Books do Brasil Editora,
2013. Tradução: Mario Moro
DIOGENES , Yuri; MAUSER Daniel. Certificação Security - da Prática para o
Exame Syo. 2ª ed. Rio de Janeiro: Editora Nova Terra, 2013
IBM (International Business Machine). Ideias de Computação em Nuvem - Experiência
em 110 Projetos de Implementação. Disponível em: https://www.ibm.com/
developerworks/community/blogs/ctaurion/entry/110_implementacoes_reias_cloud_
computig?lang=en. Acesso em 30 nov 2014.
MARCON JR, Arlindo L.; LAUREANO, Marcos Aurélio; SANTIN, Altair;
MAZIERO, Carlos. Aspectos de Segurança e Privacidade em Ambientes de
Computação em Nuvem. In: X SIMPÓSIO BRASILEIRO EM SEGURANÇA DA
INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS, 10, 2010, Fortaleza.
Anais eletrônicos. Fortaleza: Universidade Estadual do Ceará e da Universidade
Federal do Ceará, 2010 Disponível em: <
http://www.redes.unb.br/ceseg/anais/2010/minicursos.html >. Acesso em: 30 out.
2014.
NIST (National Institute of Standards and Technology). The NIST Definition of Cloud
Computing. Disponível em: http://www.nist.gov/itl/cloud. Acesso em 31 out 2014.
OWASP (Open Web Application Security Project). Cloud Top 10 Security Risks.
Disponível em: https://www.owasp.org/index.php/Category:OWASP_Cloud_%E2%
80%90_10_Project. Acesso em 01 nov 2014.
RITTINGHOUSE, John W.; RANSOME, James F. Cloud Computing:
Implementation, Management, and Security. New York: CRC Press, 2010
SYMANTEC. Pesquisa 2013 sobre Custos Ocultos da Nuvem. Disponível em
http://www.symantec.com/pt/br/about/page.jsp?id=state-of-cloud. Acesso em 30 nov
2014.
VELOSO, Marcelo de Alencar. Cloud Computing: Necessidade e Benefícios
Esperados com a Adoção de Uma Política de Regulação e Incentivo ao Seu Uso.
In VI Congresso de Gestão Pública – CONSAD. Brasília, 2013.
VELTE, Anthony T.; VELTE, Toby J.; ELSENPETER, Robert. Cloud Computing:
Computacao em Nuvem: Uma Abordagem Pratica. Rio de Janeiro: Alta books,
2012. Tradução: