Segundo Castro e Sousa (2010) a segurança em Cloud Computing leva questões relacionadas à privacidade e segurança das informações que residem nas nuvens. Os autores afirmam que apesar de inúmeras preocupações com o assunto, o debate sobre os riscos na nuvem muitas vezes ignora a importância de criar planos de contingência e Acordo de Níveis de Serviço (ANS) (em inglês SLA – Service Level Agreement), voltados a garantir confiabilidade e a certeza de que os negócios não sofrerão grandes baques no caso de um incidente.
Conforme os mesmos autores, os riscos referentes à segurança e privacidade das informações na Nuvem bem como a portabilidade dos dados delineia-se como sendo de alta criticidade. Além disso, quando as informações críticas das empresas estão nas mãos de outras pessoas também pode refletir em menos garantia do cumprimento das leis.
Na computação tradicional os usuários têm total controle sobre seus dados, processos e seu computador (Kandukuri et. al., 2009 apud CASTRO; SOUZA, 2010). Em contrapartida, na Computação em Nuvem todos os serviços e manutenção dos dados são fornecidos por um provedor de nuvem. Neste contexto o cliente (usuário) desconhece quais processos estão em execução ou onde os dados estão armazenados, essa abstração de atividades se deve justamente ao dinamismo inerente da nuvem. Sendo assim o cliente não tem controle sobre todas as movimentações de seus dados na nuvem. (CASTRO; SOUZA, 2010).
Segundo Castro e Souza (2010) o serviço de Computação em Nuvem, por ser novo no mercado, torna-se difícil criar padrões a partir de experiências adquiridas com a computação tradicional. Neste sentido, é necessário buscar cada vez mais adoção das melhores práticas em segurança, para que as organizações possam desfrutar dos benefícios da Computação em Nuvem.Neste sentido, Castro e Souza (2010) levantam o seguinte questionamento: “Então como exigir garantias de que as informações residentes na nuvem estão realmente seguras?”.
De acordo com Marcon Junior et al (2010) os serviços fornecidos pela nuvem computacional podem ser disponibilizados em qualquer local físico de abrangência da mesma, ou utilizando componentes de infraestrutura compatíveis com o ambiente do consumidor. Os autores afirmam que a gerência de um grande número de serviços (SaaS, PaaS, IaaS) e recursos físicos pode gerar um volume considerável de dados a ser administrada de maneira centralizada, pois será necessário coletar, armazenar, analisar e processar estes dados. Assim, a administração centralizada pode ser considerada impraticável, e portanto faz-se necessário instanciar serviços de gerenciamento distribuídos e fracamente acoplados (com baixa dependência funcional).
Desta forma, para os autores, é necessário a implantação de um modelo de gerenciamento seguro e confiável. A implantação de mecanismos de autenticação robustos e esquemas de delegação de direitos funcionando de maneira confiável são fundamentais para o correto gerenciamento de identidades e para a prestação de serviços em nuvens computacionais.
Marcon Junior et al (2010) citam um modelo denominado CloudDataSec, a fim de prover a segurança em CloudComputing. Este modelo, conforme os autores, é composto das seguintes camadas:
Análise de risco: estabelece e gerencia as avaliações de riscos sobre a terceirização de serviços na nuvem, auxiliando na identificação das informações e serviços que devem permanecer dentro dos limites da organização consumidora.
Orientações de segurança: descreve as políticas e restrições legais relativas à privacidade aplicáveis ao ambiente de computação em nuvem.
Monitoração de qualidade de serviço (QoS): um acordo de nível de serviço (Service Level Agreement – SLA) entre clientes e fornecedores especifica os níveis de exigência de segurança e privacidade, além de garantir a segurança jurídica dos contratos sobre os serviços.
Criptografia dos dados e registros (logs): a criptografia visa proteger a confidencialidade e integridade das informações, enquanto os registros fornecem um histórico completo das atividades do usuário.
Comunicação criptografada: nesta camada são utilizados os protocolos padronizados como SSH, IPSec e suas implementações.
Para os autores, a aplicação do modelo CloudDataSec garante a aderência à e a proteção das informações contra alguns ataques, como man-in-the-middle (ataque do intermediário). Este modelo sugere três níveis de garantia de segurança, sumarizados na tabela 1. Marcon et al (2010) afirmam que após uma análise de riscos, os seguintes níveis de segurança são identificados:
Segundo Castro e Sousa (2010) no cenário corporativo é comum observar que as questões de segurança da informação não são tratadas em um nível de gestão da organização, tendo como conseqüência a falta de recursos para minimizar os riscos existentes ao nível exigido pela estratégia organizacional e definido pela análise de risco.
Desta forma, conforme afirmam os autores, o processo de Gestão de Risco na nuvem exigirá modificações significativas na forma como hoje as organizações trabalham para mitigar os riscos, principalmente os relacionados à segurança da informação. Segundo Miller, et al (2009 apud CASTRO;SOUSA, 2010, p.4), os principais objetivos do processo de Gestão de Risco na nuvem, incluem:
O planejamento para proteção da informação baseados em ativos e em Planos de Mitigação de Riscos;
Reforçar a capacidade da organização para selecionar e aplicar a proteção baseada no risco específico e nas ameaças que afetam um determinado ativo;
Assegurar que uma metodologia de gestão de risco de segurança da informação está sendo utilizada em toda organização.
Castro e Sousa (2010) alertam que a adoção de um modelo de serviço de nuvem mal dimensionado pode representar sérias ameaças de segurança da informação para as empresas. Principalmente para aquelas que buscam economizar em licenciamento de software e serviços de infra-estrutura. Desta forma, um modelo de Gestão de Risco bem delineado se torna crucial para garantir que a informação está ao mesmo tempo disponível, protegida e segura.
Os autores citam alguns exemplos de riscos de computação em nuvem para a empresa que precisam ser gerenciados:
A escolha de um provedor de nuvem caracteriza-se como sendo um ponto extremamente crítico no processo de adoção do modelo. As empresas precisam concentrar uma atenção especial nesse ponto. Quesitos como reputação, a história e a sustentabilidade são fatores que devem ser levados em consideração. A sustentabilidade é de especial importância para garantir que os serviços estarão disponíveis e os dados poderão ser rastreados.
O fornecedor de nuvem muitas vezes assume a responsabilidade pela manipulação da informação, aspecto que deve ser tratado como crítico para o negócio. Qualquer dificuldade ou falha para se cumprir os SLAs acordados impactará não somente na confidencialidade, mas também na disponibilidade, afetando severamente as operações do negócio.
A natureza dinâmica da computação em nuvem pode resultar em confusão a respeito de onde a informação realmente reside. Para negócios onde a recuperação da informação é crítica, isso poderá gerar atrasos.
O acesso de terceiros às informações sensíveis cria um risco de comprometimento das informações confidenciais. Na nuvem, isto pode representar uma ameaça significativa para a proteção da propriedade intelectual e de segredos comerciais.
Os aspectos legais relacionados à localização física dos Data Centers, quando esses estão localizados em países com um sistema legal instável, poderá levar à violação de leis de proteção de dados, afetando diretamente à empresa. Dessa forma a conformidade com os regulamentos e leis em diferentes regiões geográficas podem ser um desafio para segurança dos dados das empresas. Atualmente há pouco precedente em matéria de responsabilidade jurídica na nuvem.
Devido à natureza dinâmica da nuvem, a informação não pode ser imediatamente localizada no caso de um desastre. Planos de Continuidade de Negócio e Recuperação de Desastres devem ser bem documentados e testados.
Além do risco de ocorrer uma interrupção na continuidade dos negócios, outro fator que deve ser considerado são as invasões por hackers aos ambientes da nuvem, denominado por especialistas de Cyber-Cloud. Diferentemente dos hackers comuns esses se apresentam como empresas sofisticadas e bem estabelecidas. Por trás de uma lógica empresarial bem definida, esconde-se uma organização criminosa, que investe alto em pesquisas com a finalidade de ganhar dinheiro.
Segregação de Dados. Segundo o Gartner Group (2009), é preciso descobrir como se dá a segregação dos dados pelo provedor e principalmente se este utiliza criptografia para os dados em trânsito e/ou armazenados. O fornecedor de nuvem precisa também fornecer evidências de que os esquemas de criptografia utilizados foram projetados e testados por especialistas experientes.
Recuperação. Mesmo que o cliente não saiba onde os dados estão, e o que vai acontecer com seus dados e serviços em caso de catástrofe, o fornecedor de nuvem deve saber. Portanto é importante questionar o provedor de nuvem se o mesmo tem a capacidade de fazer uma restauração completa e quanto tempo vai demorar.
Apoio à investigação. Auditar atividades inadequadas ou ilegais pode ser impossível em Computação em Nuvem. A dificuldade é devida as constantes mutações dos conjuntos de hosts e centros de dados. Se não for possível conseguir um compromisso contratual de apoio a formas específicas de investigação, os pedidos de investigação e descoberta serão impossíveis de se realizar.
Castro e Sousa (2010) afirmam que atualmente entidades como o Open Cloud Manifesto, Computing Use Cases Group e o Cloud Security Alliance trabalham no desenvolvimento de padrões de segurança para computação em nuvem, levando essas pesquisas para um grande número de áreas, incluindo auditoria, aplicativos, criptografia, governança, segurança de rede, gerenciamento de risco, armazenamento e virtualização.
http://www.de-seguranca.com.br/a-seguranca-em-computacao-nas-nuvens/
--Texto enviado por Leonardo Carvalho
Algumas questões técnicas e gerenciais relacionadas à segurança no armazenamento na nuvem foram abordadas nesse artigo. Todavia, gostaria de acrescentar um risco relacionado a aspectos legais e administrativos, como por exemplo, a garantia no caso de falência ou venda da empresa provedora desse serviço. Assim como em qualquer outra empresa, o fornecedor de Cloud Computing também está sujeito a esses acontecimentos. Isso porque os servidores mantêm todos os seus dados -, o que se faz necessário à existência da garantia de que as informações serão disponibilizadas ao contratante.
ResponderExcluirEm um texto encontrei a seguinte citação :
ResponderExcluir" [...] mais da metade das empresas encaram a perda de dados e os riscos à privacidade como os desafios mais significativos na realização de negócios, e 50% preocupam-se com o risco de roubo de propriedade intelectual."
A partir desse fato, sabemos que ,apesar de segura, não podemos dizer que a nuvem será um ambiente completamente confiável em algum momento da história da computação. Da mesma forma que pessoas eficientes implementam bons sistemas, outros os detroem. E enquanto houver gente mal intencionada ninguém está verdadeiramete seguro. Contudo, melhor com a computação do que sem ela! :D
A Cloud pode ser vista como insegura, pois seus dados estão sendo confiados em uma empresa externa, e são gerenciados pela mesma, onde também podem ser violados por pessoas com más intenções, ou ter problemas com a manutenção do servidor irregular, perdendo os dados, e o contratante tem que confiar muito na empresa que contrata. Mas com o tempo surgem melhorias, como sistemas de proteção à ataques externos, e um sistema onde seus dados não ficam em um só servidor, e caso tenha algum problema físico, à uma cópia disponível. Isso não melhora 100%, mas já serve como suporte.
ResponderExcluirMuitos empresários têm receio de utilizarem essa nova ferramenta devido as grandes dúvidas, principalmente sobre a segurança dos seus dados. Qual ou quais seriam as estratégias para atrair estes empresários? Ou não seria necessário, deixando o "tempo dar a resposta"?
ResponderExcluir