Trabalho apresentado na disciplina de Segurança da Informação no curso de Tecnologia em Análise e Desenvolvimento de Sistemas do Instituto Federal de São Paulo.
2. Tópicos
Computação em Nuvem... O que é?
Definição segundo o NIST
Introdução à Segurança em Computação em Nuvem
Desafios
Dois Exemplos de Problemas
Devo ou não ir para a NUVEM?!
Conformidades
Modelo para Gestão de Risco
Riscos Inerentes dos Modelos de Serviços
Conclusão
4. Definição segundo o NIST
(National Institute of Standards and Technology)
Computação em nuvem é um modelo para habilitar o
acesso por rede ubíquo, conveniente e sob demanda a um
conjunto compartilhado de recursos de computação (como
redes, servidores, armazenamento, aplicações e serviços)
que possam ser rapidamente provisionados e liberados com o
mínimo de esforço de gerenciamento ou interação com o
provedor de serviços.
5. ... 23,1% das empresas brasileiras estão
implantando ou já implantaram
soluções na NUVEM
6. E por que migrar para a NUVEM?
Como fica a SEGURANÇA?
7. Para se chegar à resposta, devemos pensar no
que efetivamente muda ao mover o e-mail
corporativo ou o ERP que operam localmente e
colocá-los em uma empresa especializada em
computação em nuvem.
As mudanças são muitas e positivas. Uma
empresa competente tem condições de oferecer
vantagens e funcionalidades que seriam inviáveis
financeiramente a uma empresa cujo foco não é
infraestrutura e serviços de TI. Os custos com
investimento, manutenção em infraestrutura e uma
equipe especializada são altos.
8. Introdução à Segurança em Computação
em Nuvem
A decisão da migração dos dados de uma empresa para a nuvem é o
momento crucial para o administrador. A segurança de suas informações, com
a qualidade que estas estarão sendo armazenadas.
Em uma pesquisa realizada pelo IDC (International Data Corporation)
com 244 executivos de TI, procurou-se investigar qual o aspecto mais
preocupante quando do uso de serviços de computação em nuvens. Os
resultados mostraram que 74,5% das pessoas entrevistadas preocupam-se com
a SEGURANÇA!
9.
10. Desafios
O modelo de Computação em Nuvem traz uma série
de desafios de segurança que devem ser analisados por todos
os envolvidos. A falta de entendimento e atenção às
questões de segurança pode trazer reflexos negativos para
as empresas.
11. Dois Exemplos de Problemas na NUVEM
AWS (Amazon Web Services): Em Abril de 2011, a falha do serviço
afetou a grande maioria dos sites que utilizavam da sua infraestrutura,
localizada na costa leste dos Estados Unidos. Entre os afetados estão
sites famosos: QUORA, REDDIT, FOURSQUARE e EVERYBLOCK.
EVERNOTE: Em Fevereiro de 2013, um problema de segurança
associado à computação em nuvem foi o vazamento das senhas. O
impacto foi percebido pelos 50 milhões de usuários registrados no
serviço, que tiveram que trocar sua senha.
12. Devo ou não ir para a NUVEM?!
Tais problemas apresentados, porém, não
são provas de que o modelo de computação em
nuvem seja inerentemente inseguro. As ameaças
de segurança são inerentes a ambientes online,
independentemente da adoção ou não do
modelo de computação em nuvem.
13. Conformidades
Os requisitos de conformidade com diferentes níveis de serviço,
disponibilidade, transparência e auditoria. Esta categoria subdivide-se
em:
Nível de Serviço ou Service Level Agreements (SLA): estabelece
políticas relacionadas a requisitos de disponibilidade de serviço e dos
dados, procedimentos de segurança a serem adotados e possíveis
relações com requisitos legais;
Disponibilidade: interrupções no fornecimento do serviço não são
exclusivas de serviços da nuvem, porém a dependência entre serviços
torna esse problema ainda mais grave;
14. Conformidades
Auditoria: as análises de segurança e disponibilidade de serviço são
baseadas em políticas de auditoria preestabelecidas. Métodos
transparentes e eficazes são necessários para avaliar as condições de
serviço, e normalmente são requisitos contratuais básicos;
Conformidade de serviço: trata de problemas relacionados às
obrigações contratuais estabelecidas para um serviço e seus usuários.
15. Gestão de Risco na Nuvem
Um modelo de gestão de riscos para utilização de serviços da
Nuvem para funções críticas do negócio deve incluir:
Identificação e a avaliação dos ativos;
Análise de ameaças e vulnerabilidades e mensuração do impacto
potencial nos ativos (risco e cenários de incidente);
Análise das probabilidades de ocorrência de determinados eventos em
um cenário de implantação da nuvem;
Determinação dos níveis de gestão de risco aprovados, seus critérios
de aceitação;
Desenvolvimento de Planos de Tratamentos de Riscos, com múltiplas
opções (controle, evitar, transferir, aceitar). Os resultados do plano de
tratamento de riscos devem ser parte integrante dos acordos de
serviço (SLA).
16. Riscos Inerentes dos Modelos de Serviços na
Nuvem
MODELO DE
SERVIÇO
Infrastructure as a
Service (IaaS)
Platform as a Service
(PaaS)
Software as a Service
(SaaS)
CARACTERISTICA
DE RISCO
Neste modelo de serviço o
consumidor não administra
ou controla a infraestrutura
da nuvem subjacente, mas
tem controle sobre os
sistemas operacionais,
armazenamento
de aplicativos implantados,
e os componentes de rede
selecionados.
Neste modelo de serviço o
consumidor não administra
ou controla os recursos de
infraestrutura da nuvem
subjacente, tais como
componente de rede,
servidores, sistemas
operacionais, ou
armazenamento. Porém o
consumidor tem controle
sobre os aplicativos
utilizados na hospedagem de
aplicativos e nas
configurações de
ambientes.
Neste modelo de serviço o
consumidor não administra ou
controla a infraestrutura
subjacente da nuvem. O que
inclui componentes de rede,
servidores, sistemas
operacionais, armazenamento ou
capacidade de aplicação
individual. A possível
exceção relaciona-se a algumas
configurações específicas do
usuário e de algumas
configuração de
aplicativos.
RISCO Médio Alto Muito Alto
17. Conclusão
Atualmente entidades como o Open Cloud Manifesto,
Computing Use Cases Group e o Cloud Security Alliance trabalham no
desenvolvimento de padrões de segurança para computação em nuvem,
levando essas pesquisas para um grande número de áreas, incluindo
auditoria, aplicativos, criptografia, governança, segurança de rede,
gerenciamento de risco, armazenamento e virtualização.
Segundo especialistas o primeiro passo é identificar as diferenças
entre a segurança local e a segurança na nuvem e examinar quais
padrões existentes combinam com as operações em nuvem. No final, eles
esperam chegar a padrões que permitam que as empresas possam
integrar, seguramente, serviços de computação em nuvem de diferentes
fornecedores e ter a garantia de que seus dados ficarão seguros na
nuvem.