considerações quanto à segurança na computação na nuvem

C a p í t u l o 1 7 – C o n s i d e r a ç õ e s q u a n t o à S e g u r a n ç a n a C o m p u t a ç ã o n a N u v e m 1

w w w . e d i t o r a n o v a t e r r a . c o m . b r

C A P Í T U L O 1 7

C o n s i d e r a ç õ e s q u a n t o à S e g u r a n ç a n a C o m p u t a ç ã o n a N u v e m

C e r t i f i c a ç ã o S e c u r i t y + — D a P r á t i c a P a r a o E x a m e S Y 0 - 3 0 12


IntroduçãoMuito se fala sobre computação na nuvem e o quão isso vai mudar o mercado. Ao pas-so que concordo com o fato de que a computação na nuvem abre uma série de oportu-nidades para as empresas expandirem seus negócios e reduzirem custos, é importante também ficar atento ao fator segurança da informação. A migração para nuvem não pode ser encarada como uma transferência de responsabilidade para o provedor de serviço da nuvem (Cloud Provider). O dado continua sendo da empresa e esta empre-sa continua tendo que proteger os dados que estão em um determinado momento na estação de um usuário ou até mesmo em trânsito (saindo da rede corporativa para ir para o provedor da nuvem). Este capítulo tem como intuito introduzir alguns concei-tos básicos de computação na nuvem e também orientar quanto aos cuidados sobre a segurança da informação neste novo paradigma da computação.

O que é Computação na Nuvem?O Instituto Nacional de Padrões e Tecnologias dos Estados Unidos (NIST), através da publicação 800-145, definiu a computação na nuvem como sendo um modelo de computacão que oferece cinco características essenciais, sendo elas:

Self-service sobre demanda: � esta característica está ligada à capacidade de provi-sionamento de recursos de forma automatizada. Um exemplo disso seria a adição de mais servidores em um grupo existente de servidores para um determinado serviço.

Acesso amplo à rede: � esta característica está relacionada à capacidade de acesso, por parte de diversos dispositivos, a recursos da rede computacional. Um exemplo disso se-ria o acesso a um recurso da rede através da manutenção da mesma experiência através de dispositivos distintos (um smartphone e o navegador de um computador pessoal).

Agrupamento de recursos: � está relacionado à capacidade do provedor da nuvem de agru-par e mover recursos (físicos ou virtuais) para acomodar as necessidades de expansão e demanda do cliente. Podemos citar como exemplos de recursos os componentes básicos computacionais como memória, dispositivos de armazenamento, processador e rede.

1Documento completo pode ser baixado através do link http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf



Elasticidade Rápida: � refere-se à capacidade de rápido provisionamento de recursos de acordo com a demanda. Um exemplo disso seria um cliente que todo final de mês precisa de mais poder computacional que no restante do mês, e o provedor precisa dinamicamente alocar recursos para atender tal demanda do cliente.

Serviço Mensurado: � refere-se à capacidade de medir a utilização de recursos de acor-do com o serviço oferecido. Está é uma forma não só de monitorar, mas também de re-portar os recursos em uso de uma forma transparente para o contratante do serviço.

Figura 17.1 – Elementos Essenciais da Computação na Nuvem de acordo com o NIST.

Tendo em mente que todo provedor de computação na nuvem deverá oferecer tais características fica mais fácil padronizar o tipo de serviço e o que esperar de tal pro-vedor. Porém, tais definições não cobrem o aspecto de segurança da informação, e al-gumas das preocupações necessárias durante a migração para núvem serão abordadas ainda neste capítulo.

Agora que sabemos o que um provedor de serviço de nuvem precisa ter para que seu serviço seja qualificado como computação na nuvem, temos também que ter conheci-mento dos modelos de serviços ofertados por tais provedores. Os modelos de serviços padrões de mercado são:

Self-service sobre demanda

Acesso amplo à rede

Agrupamento de Recursos

Elasticidade Rápida

Serviço Mensurado



Software como um Serviço (SaaS – Software as a Service). �

Plataforma como um Serviço (PaaS – Platform as a Service). �

Infraestrutura como um Serviço (IaaS – Infrastructure as a Service). �

Nas seções seguintes veremos com mais detalhes cada um destes modelos.

Software como um Serviço

Este talvez seja o modelo mais fácil de entender do ponto de vista de quem está adqui-rindo o serviço e provavelmente é o modelo que vai trazer um impacto maior na redu-ção de custos. O modelo de Software como um Serviço baseia-se na ideia de fornecer ao consumidor um determinado serviço que está sendo operado e mantido na nuvem com execução no dispositivo do usuário. Dispositivo este que pode ser um computa-dor pessoal, um telefone inteligente (smartphone), um tablet, entre outros.

Este também é o modelo mais simples de entender, pois durante muitos e muitos anos já vem sendo usado. Você pode estar se perguntando: Como assim, Yuri? achei que este negócio de computação na nuvem era novo! Na realidade o software como um serviço na prática já vem sendo usado há muitos anos com o advento do serviço de correio eletrônico por parte de provedores, como são o Hotmail, GMail e outros. Estes serviços estão na nuvem, sempre estiveram. O usuário final está consumindo o software fornecido por este serviço, que por sua vez é um serviço dedicado de correio eletrônico.

O uso de software como serviço para outras aplicações traz uma nova realidade para as empresas. Até o momento as empresas precisam adquirir o software, sua devida licença, para implementação de tal software, treinar seus usuários, planejar atualiza-ções que porventura venham a existir (implantação de novas versões do aplicativo), manutenção etc. O ciclo de vida do software licenciado, se comparado ao software como serviço, é bem distinto. Seguem abaixo algumas vantagens do uso de software como serviço:

Redução de custo de licenciamento �

Abstração e redução do custo de manutenção do software �



Figura 17.2 – Correio eletrônico oferecido por um provedor de serviços é um modelo antigo.

Redução do custo de atualização do software �

Adoção mais acelerada de novas tecnologias �

Estes fatores fazem com que o modelo SaaS seja extremamente atrativo para pequenas e médias empresas. Por que? Simples, tais empresas não têm orçamento para:

Acompanhar o crescimento tecnológico do mercado (existem várias empresas que �

ainda usam Microsoft Windows XP, Microsoft Exchange 2003 e não têm ideia de quando vão poder fazer atualização).

Contratar e treinar pessoal de tecnologia da informação para implementar e manter �

todas as aplicações que eles precisam para operar com sucesso.

Atualizar a plataforma de hardware com a mesma velocidade que o negócio da �

empresa precisa.

Apesar de o atrativo do uso de software como um serviço para pequenas e médias empresas ser expressivo, as grandes empresas também tendem a aderir para este modelo em alguns segmentos do negócio. Existem vantagens para todos os tamanhos de corporações.



Plataforma Como um Serviço

Este modelo é mais flexível do ponto de vista de padronizações necessárias para a empresa. Se a empresa precisa, além do software como um serviço, de uma plataforma de desenvol-vimento para as aplicações customizadas que ele pretender ter, este é o modelo ideal. Neste modelo a empresa estará utilizando o conjunto de elementos oferecidos pelo provedor de soluções para desenvolvimento de software e padronizações dos serviços.

Figura 17.3 – Plataforma como serviço.

Apesar de este modelo ser mais flexível, o nível de abstração da manutenção dos servi-ços também continua transparente. Com isso mesmo o desenvolvedor não precisará se

Plataforma de desenvolvimento e fornecimento de serviços do cliente

Clientes do serviço da nuvem

` `

Interface de acesso aos serviços

Desenvolvedores das aplicações na nuvem

Premissas do cliente

Provedor de Serviços na Nuvem



preocupar com a manutenção da plataforma operacional, ou seja, não é ele que vai se preocupar em atualizar a versão X para a versão Z. O contratante do serviço também não tem acesso aos componentes da infraestrutura de rede, ou seja, ele não terá con-trole sobre os switches, os dispositivos de armazenamento e sistemas operacionais em uso. O nível de abstração da plataforma da nuvem continua existindo.

Entre as vantagens deste modelo podemos citar:

O mesmo conjunto de vantagens do software como serviço. �

Aumento no nível de customização da plataforma para adequar-se ao modelo do �

negócio.

Flexibilidade para desenvolvimento de software dentro de uma plataforma única, �

com linguagem de programação que tira proveito da infraestrutura de computação na nuvem.

Infraestrutura Como um Serviço

Neste modelo o provedor de soluções para computação na nuvem vai disponibilizar para o contratante a infraestrutura computacional necessária para que ele coloque seu negócio em produção. A infraestrutura em questão inclui a disponibilização de rede, dispositivo de armazenamento e, diferentemente dos outros modelos, neste o contratante tem acesso ao sistema operacional do ponto de vista de instalação, configuração e manutenção.

É importante salientar que neste modelo praticamente toda a tarefa de manutenção da aplicação até o sistema operacional fica a cargo do contratante. Mas Yuri, então qual a vantagem? A vantagem é não ter que manter o “datacenter” propriamente dito. O contratante não precisa se preocupar com atualização de hardware, infraestrutura de rede física, cabeamento e segurança física do datacenter.

Como Chegar Até a Nuvem?Após entender os tipos de serviços e escolher qual o tipo se encaixa mais com a neces-sidade da empresa à qual você pretende implementar este modelo, chegou a hora de decidir qual será o tipo de adoção que será implantada. Existem três formas básicas de se adotar computação na nuvem:



Nuvem Privada: � neste formato a infraestrutura da nuvem é oferecida para o cliente de uma forma privada, ou seja, a nuvem é acessada apenas por aquele cliente. A infra-estrutura da nuvem poderá estar na própria premissa do cliente ou no provedor.

Nuvem Pública: � neste formato a infraestrutura da nuvem é localizada nas premis-sas do provedor da nuvem e acessada por múltiplos clientes.

Nuvem Híbrida: � neste formato há uma combinação de infraestrutura de nuvem distinta (privada e pública), onde os clientes podem tirar proveito da padronização usada pelo provedor de nuvem para fins de tolerância contra falha e alta disponibi-lidade. Um exemplo disso seria o cliente ter parte dos recursos em uma nuvem pri-vada nas premissas da empresa e fazer tolerância contra falha para a infraestrutura de nuvem pública do provedor caso seja necessário.

1 a 1 com o Autor (Yuri Diógenes) – Elasticidade e Dinamismo na Nuvem

Enquanto estava escrevendo este capítulo, escrevi um artigo2 no meu blog pes-soal sobre o datacenter dos anos 90/2000 e as dificuldades de expansão. Com a computação na nuvem o termo “elasticidade” passa a ser usado com mui-to mais frequência e propriedade. O provisionamento de recursos acontece de forma muito mais dinâmica e previsível. Com isso, se o cliente sabe que em determinado momento do mês ele vai ter um aumento de tráfego devido a uma demanda do negócio, ele poderá negociar com o provedor mais recursos com-putacionais só para aquele período. O provedor da nuvem, por sua vez, terá capacidade de software com uso da virtualização para fazer esta expansão sem ter que fazer mudanças drásticas na plataforma. Recomendo que você assista ao vídeo que disponibilizei neste artigo que escrevi. Se você é da área de redes vai ficar impressionado com o dinamismo das VLANs em um ambiente de nuvem.

2 Para ler este artigo acesse http://blogs.technet.com/b/yuridiogenes/archive/2011/12/09/secure-scalable-and-multi-tenant-cloud-no-i-m-not-dreaming.aspx



Fatores de Segurança na Migração Para NuvemA principal referência de segurança na computação da nuvem também vem do Ins-tituto Nacional de Padrões e Tecnologias dos Estados Unidos (NIST) através da pu-blicação 800-144 chamada de Diretrizes de Segurança e Privacidade em uma Nuvem Pública3. Desta forma, no que tange a padrões de mercado, recomenda-se o uso deste documento como referência.

A segurança na computação da nuvem traz uma série de desafios em diversas áreas, mas muitos destes desafios podem ao menos ser identificados quando você tem um bom planejamento de migração para nuvem. É necessário saber quais os serviços que podem tirar proveito da migração para nuvem e quais as implicações do ponto de vista de segurança, privacidade e regulamentação que pode ocorrer quando tal serviço for migrado. Muitas vezes se chega à decisão de não migrar alguns serviços por motivos de regulamentação, porque os dados precisam no mínimo ficar loca-lizado em um datacenter que esteja no país de origem do negócio. Dependendo do que país você se encontra as normas podem ser diferentes, por este motivo a migração para nuvem jamais deverá ser realizada sem antes ter sido feito todo este levantamento interno.

A maioria dos casos de fracasso na migração para nuvem acontece por falta de um plane-jamento inicial, falta de entendimento real das implicações de tal migração. Dependendo do modelo de serviço de nuvem que se escolhe, uma total readaptação precisa ser feita. Imagine por exemplo uma migração para nuvem que inclua o desenvolvimento de novas aplicações já na nuvem. Neste modelo não só os serviços para o usuário final serão afeta-dos, mas também a plataforma de desenvolvimento. E, quando se está desenvolvendo para nuvem, qual o modelo de segurança que está sendo usado? Todas as áreas que ofereçam vetores de exploração precisam ser levadas em consideração durante a migração.

3 Este documento pode ser acessado por completo em http://csrc.nist.gov/publications/nistpubs/800-144/SP800-144.pdf



1 a 1 com o Autor (Yuri Diógenes) – Migração para Nuvem e Segurança de Perímetro

Um dos grandes erros que podem ocorrer durante a migração para nuvem é a falsa impressão de que a partir do momento em que você migra é possível rela-xar a segurança de perímetro e até mesmo a segurança dos recursos que estão nas premissas da empresa. Durante minha palestra do TechED Brasil 2011 falei sobre este tema e mostrei os fatores de risco caso tal relaxamento na segurança exista. Os slides desta palestra estão disponíveis em http://yuridiogenes.wor-dpress.com/2011/10/04/teched-2011-segurana-de-permetro-durante-migrao-para-nuvem-sia302/.

Leia o Contrato e Conheça Mais Sobre seu Provedor

Apesar de básica esta recomendação é primordial: leia tudo sobre o provedor de ser-viços da nuvem. Qual a certificação que tal provedor tem nos seus serviços de cloud? O datacenter foi auditado com padrões SAS 70 Tipo 24? O datacenter é certificado ISO 270015? Os serviços da nuvem estão seguindo o padrão FISMA6? A investigação acerca do provedor tem que ser feita de uma forma bem detalhada, até mesmo porque muitas vezes o provedor é certificado FISMA somente para algumas aplicações na nuvem, mas não para outras.

Outro ponto importante do ponto de vista de entendimento do contrato é a leitura dos termos de nível de serviço a ser provido, o SLA (Service Level Agreement). Como o provedor de serviço da nuvem vai reagir em caso de falha? Quanto tempo vai levar para o serviço ser reestabelecido em caso de parada? Qual o plano de backup em caso de falha? Qual o tempo máximo aceitável para o seu negócio e como o provedor vai

4 Maiores informações em: http://www.sas70exam.com/services/type-ii-sas-70-audit/ 5 Maiores informações em: http://en.wikipedia.org/wiki/ISO/IEC_27001 6 Maiores informações em: http://csrc.nist.gov/groups/SMA/fisma/index.html



honrar este tempo? A partir do momento em que você começa a migrar aplicações críticas para o seu negócio para a nuvem é de suma importância ter um entendimento e um comprometimento das SLAs usadas para cada tipo de incidente. Nem sempre a SLA oferecida pelo provedor vai atender suas necessidades, principalmente no caso de catástrofe no acesso a aplicações de missão crítica.

Durante este processo de conhecer mais sobre seu provedor é vital entender como é feita a liberação de logs para fins de investigação. Caso você precise fazer algum tipo de investigação nos seus dados passados, qual a política do provedor para liberar tais dados? É preciso ordem judicial? Por quanto tempo tais logs ficam armazenados? Em um ambiente onde existem vários clientes que compartilham os mesmos recursos como fica o isolamento de logs e como é garantido que os logs da minha empresa não serão mesclados com os de outros clientes? No caso de correio eletrônico, quais as regras de liberação de dados? Segue algum tipo de padrão? (por exemplo, o FOIA7 nos Estados Unidos)

É importante também lembrar que não basta ter certificações para serviços SLA dentro dos padrões esperados se o pessoal interno que gerencia o datacenter não tem treina-mento adequado e não há um padrão de segurança para acesso aos dados dos clientes. Quem tem acesso aos dados? Qual a política de controle a estes dados? Como é feito o isolamento dos dados? A transparência da política de segurança usada pelo provedor de soluções é algo vital de ser conhecido.

Por fim é fundamental saber do provedor de serviços da nuvem onde ficam armazena-dos os dados do ponto de vista físico8. Você não precisa saber o endereço do datacen-ter, mas precisa saber a localização geográfica do mesmo. Em caso de falha, meus da-dos são transferidos para fora do meu país de origem? Caso positivo, que país é esse? Por quanto tempo o dado fica localizado nesta localidade? Este ponto é importante, pois você (contratante) poderá sofrer restrições quanto ao dado sair do país de origem e com isso a decisão de adotar tal provedor já é descartada.

7 Para maiores informações sobore o Freedom of Information (FOIA) ler http://www.state.gov/m/a/ips 8 Para ver um vídeo sobre como funciona o Datacenter da Microsoft para serviços da nuvem veja http://blogs.technet.com/b/yuridiogenes/archive/2011/07/26/where-is-my-data.aspx



Figura 17.4 – Ter conhecimento da localização geográfica dos dados é algo importante.

Uma Questão de Confiança

O fato é que, mesmo que toda esta revisão contratual seja realizada com sucesso e passe por todo crivo da empresa contratante, no final ainda existe uma palavra que descreve bem o sentimento: confiança. O contratante tem que confiar que todas as cláusulas serão respeitadas, afinal, a partir daquele momento, o principal bem da empresa (os dados) será manuseado por uma equipe da qual você não tem nem ideia de quem seja. Essa talvez seja a maior quebra de paradigma para os protecionistas da

Datacenter do Provedor de Serviços da Nuvem

Datacenter do Provedor de Serviços da Nuvem



área de tecnologia da informação que procuram buscar razões para não migrar para nuvem. Ao passo que é uma preocupação válida, este motivo por si só não é sustentá-vel do ponto de vista de negócio para barrar a adoção da computação na nuvem.

Dentro das preocupações do ponto de vista do manuseio dos dados podemos citar:

Acesso Interno: � em um artigo publicado na infoworld.com9 em maio de 2010, o sub-título diz: "empregados velhacos e usuários sem noção podem causar mais danos que sujeitos maliciosos vindos de Fora". Esta é uma verdade consumada e existente na grande maioria das empresas. Como fica isso então na migração para nuvem? O fato é que o risco aumenta e este é mais um motivo para que o contratante saiba exatamente qual o tipo de treinamento que os funcionários recebem e qual o tipo de punição dada para infrações no possível vazamento de dados.

Propriedade do Dado: � o dado é do cliente e isso tem que ficar claro. O manuseio será realizado pelo provedor de serviços da nuvem, mas o dado sempre será do cliente. Para evitar qualquer tipo de dúvida quanto a isso é preciso que exista uma documentação contratual quanto à propriedade final dos dados.

Arquitetura do Cliente e do Provedor

Partindo do pressuposto de que temos aqui um caminho para nuvem de dentro (premissas da empresa) para fora (provedor de serviços da nuvem) a pergunta é: qual seu caminho para nuvem? Você só tem um provedor de acesso à Internet? Caso este provedor fique fora, como vai acessar as aplicações na nuvem? Só neste conjunto de três perguntas já foi possí-vel desenhar um cenário de catástrofe, pois sem acesso à Internet todo o dinheiro investido na migração para nuvem vai para o espaço. Por isso planejar a arquitetura de rede e períme-tro interna é de suma importância. Muita das falhas de planejamento acontecem devido ao excesso de preocupação com o provedor de serviços e o esquecimento de que para chegar lá e manter-se conectado é preciso ter uma infraestrutura interna com redundância contra falhas. Trata-se do velho pilar de disponibilidade (Availability).

9 Ler o artigo completo em http://www.infoworld.com/d/security-central/the-true-extent-insider-security-threats-281



Figura 17.5 – Fornecer uma infraestrutura de redundância contra falhas é essencial.

Além disso, também é importante endereçar os seguintes aspectos:

Superfícies de Ataque: � quais são os pontos de ataques que são introduzidos em uma infraestrutura de nuvem (seja ela pública ou privada) em uma dimensão maior que em outros datacenters? Acertou se disse hypervisor. Apesar de muitos tentarem definir nuvem como virtualização (que é algo errado), a nuvem usa de forma ex-tensa recursos de virtualização, porém note que nuvem não é virtualização (repita isso umas 10 vezes para ter certeza de que nunca vai confundir isso). Porém com o

Datacenter Número 1 do Provedor de Serviços da Nuvem (Primário)

Datacenter Número 2 do Provedor de Serviços da Nuvem (Secundário)

- Replicação- Mecanismo de falha automática de recursos entre localidades



uso excessivo de virtualização é correto dizer que possíveis ataques ao hypervisor podem ter um efeito mais devastador.

Equipamentos de Redes (Físicos e Virtuais): � muitas implementações de switch já são feitas diretamente na plataforma de virtualização. Qual tipo de switch é utiliza-do e como ela protege e isola a comunicação entre os clientes?

Proteção do Cliente: � no final é o cliente que vai ter acesso aos dados, ou seja, se a estação a qual ele está acessando está comprometida, os riscos de vazamento de in-formação e propagação de algum tipo de malware crescem substancialmente. Com isso a política de proteção do dispositivo final continua sendo algo importante a ser endereçado. Lembrando que o ecossistema cresceu, agora não é apenas acesso através de um PC, mas sim de tablets, telefones e outros dispositivos que tenham acesso ao serviço da nuvem.

Proteção dos Servidores: � existem dois aspectos principais nesta questão: o primeiro está relacionado à proteção dos servidores que ficam localizados nas dependências do provedor dos serviços de nuvem. O que eles usam para proteção contra malware? Qual o tipo de proteção contra vazamento de informações? Eles usam criptografia no disco? Os servidores são preparados através de alguma imagem? Se sim, o que esta imagem traz como padrão? Algum tipo de reforço de segurança (hardening) é feito? O outro aspecto está relacionado aos servidores que ficam nas premissas do cliente. Muitas vezes a migração para nuvem ocorre de forma pautada, com isso alguns servi-dores de legado vão continuar nas premissas do cliente. É importante fazer o levanta-mento destes servidores, verificar se eles precisam ter acesso aos recursos da nuvem e como a proteção deles deve ser realizada. É importante também mencionar que em um modelo IaaS os servidores da nuvem podem ficar nas premissas do cliente. Com isso a responsabilidade de proteção de tais servidores fica a cargo do cliente.

Para concluir o raciocínio do ponto de vista de arquitetura e principalmente reforçando o fator “proteção do cliente”, lembre-se que o treinamento básico de segurança é fundamen-tal e precisa ser realizado para toda a empresa. Quando uma empresa migra seus recursos para nuvem o tempo que o funcionário vai estar conectado aumenta e com isso a exposição para recursos da Internet aumentam mais ainda. No passado existiam aquelas políticas de que só algumas pessoas poderiam acessar a Internet; isso mudou e agora todos da empresa



precisam acessar. O controle de conteúdo a partir do perímetro torna-se cada vez mais importante, por isso não é real afirmar que a computação da nuvem significa o fim do perí-metro. Na realidade as premissas de segurança do perímetro apenas sofrem alterações, mas sua aposentadoria está longe de acontecer. Com o advento das redes sociais é importante que o treinamento de segurança básico para funcionários eduque ao uso correto destas re-des10 principalmente quando aliado a serviços de localização, e eduque também quanto às políticas da empresa para revelar informações em público através das redes sociais.

Autenticação

Um dos aspectos que demandam bastante atenção quanto à migração para nuvem é o fator de apenas autorizar usuários autenticados no uso dos serviços disponibilizados para os clientes. Parte da isolação de recursos também é feita através da implementação correta de políticas de autenticação e autorização. Com isso é correto afirmar que identidade e geren-ciamento de acesso são fundamentais no modelo de computação na nuvem.

Muitas vezes o modelo adotado requer uso de identidade que está localizada nas pre-missas da empresa, ou seja, o cliente quer tirar proveito do serviço de diretório que tem todos os seus usuários para autenticar no acesso a recursos que estão na nuvem. Este tipo de formato de autenticação pode ser implementado com uso de federação. O modelo funciona similar ao mostrado na Figura 17.6.

Muitos provedores de serviços de nuvem fazem uso de padrões abertos para gerenciamen-to de acesso a recursos da nuvem, como por exemplo: SAML (Security Assertion Markup Language)11 e XACML (eXtensible Access Control Markup Language)12. Por este motivo é importante coletar informações com seu provedor para identificar qual o padrão usado por ele e como isso poderá se enquadrar nos requisitos de segurança da sua empresa.

10Leia o artigo que escrevi acerca dos perigos da integração das redes sociais com serviços de localização aqui http://yuridiogenes.wordpress.com/2011/12/07/perigos-dos-servios-de-localizao-geogrfica-integrados-com-as-redes-sociais/ 11Maiores informações sobre este padrão em http://en.wikipedia.org/wiki/Security_Assertion_Markup_ Language 12Maiores informações sbore este padrão em http://en.wikipedia.org/wiki/XACML



Figura 17.6 – Uso de federação para acessar recursos da nuvem com usuários localizados nas premissas do cliente.

Considerações Finais Conforme visto durante todo este capítulo os aspectos que tangem à segurança na nuvem são vários. Este tema foi incluído na certificação Security+ pois o fato é que vários profissionais de segurança nos dias de hoje precisam ter esta fundamentação acerca da computação na nuvem e os aspectos de segurança que estão envolvidos neste modelo. Porém o tema é muito extenso e pensando nisso a CompTIA lançou uma nova certificação chamada de Cloud Essentials Professional (CEP). Esta nova certificação é 100% focada em computação na nuvem e é extremamente importante para todos os profissionais de TI que pretendem entrar neste mercado de computação na nuvem. Para maiores informações sobre esta certificação acesse http://certification.comptia.org/getCertified/certifications/cloud.aspx.

Servidor de Diretório

Servidor de Recursos na Nuvem

Federação entre organizações

Acesso ao recursoAutenticação usando o serviço de diretório da empresa

Usuário Remoto



Na sua lista de considerações quanto à segurança na nuvem também adicione:

Proteção dos Dados: � como o provedor de acesso à nuvem está protegendo seus da-dos (logicamente e fisicamente).

Isolamento dos dados: � como garantir que seus dados não serão mesclados com os de outras empresas que fazem parte do mesmo “pool” de recursos do provedor.

Disponibilidade: � qual o plano de contingência do provedor e como é feita a garan-tia de acesso aos recursos da nuvem mesmo em caso de falha.

Resposta Contra Incidente: � se o provedor de serviços da nuvem for invadido como ele trata tal incidente? Qual a política utilizada para identificação, contenção e re-solução do problema.

SumárioNeste capítulo você aprendeu mais sobre os conceitos básicos de computação na nu-vem, os tipos de nuvem disponíveis e as formas de adoção de cada modelo. Após entender os conceitos de SaaS, PaaS e IaaS você também aprendeu mais sobre as con-siderações gerais de segurança relacionado com a adoção da computação na nuvem.

RevisãoUtilize o mapa de memória da Figura 17.7 para revisar os principais pontos deste capí-tulo. Este mapa lhe ajudará a focar nos temas que foram abordados até o momento.

Use o mapeamento de memória da seguinte forma:

1. Revise o tema principal e sua ramificação.

2. Procure estudar com um rascunho ao lado do livro para escrever as definições de cada tema. Por exemplo: Quais as principais considerações de segurança durante a migração para nuvem?

3. A partir do momento em que você começar a definir as terminologias por você mesmo, terá segurança no tema, por isso a importância de começar a praticar escrevendo tal definição com suas palavras.



Figura 17.7 – Mapa de memória.

4. Ao terminar de fazer esta revisão, inicie as questões de revisão. As respostas estão presentes no Apêndice 1.

Questões de Revisão do Capítulo 171) E-Mail é classificado como que tipo de tecnologia baseada em cloud computing?



a. Computação por demanda

b. Infraestrutura como serviço (Iaas)

c. Software como Serviço (SaaS)

d. Plataforma como Serviço (Paas)

R. C

2) Em qual modelo o cliente tem acesso a criar as VMs e também responsabilidade de manter os servidores criados?

a. Computação por demanda

b. Infraestrutura como serviço (Iaas)

c. Software como Serviço (SaaS)

d. Plataforma como Serviço (Paas)

R.: B

3) Qual das características abaixo não é uma das características de uma nuvem por definição do NIST?

a. Self-service sobre demanda

b. Agrupamento de Recursos

c. Elasticidade Rápida

d. Virtualização

R.: D

4) Qual das opções abaixo não é uma vantagem de adoção de SaaS?

a. Redução do quadro de pessoal de TI

b. Redução de custo de licenciamento

c. Abstração e redução do custo de manutenção do software

d. Redução do custo de atualização do software



R.: A

5) Qual dos modelos abaixo aumenta o nível de customização da plataforma para adequar-se ao modelo do negócio?

a. IaaS.

b. SaaS.

c. PaaS

d. Todos

R.: C

6) Qual o formato de nuvem que é oferecida para o cliente de uma forma privada, ou seja, a nuvem é acessada apenas por aquele cliente? Neste modelo a infraestrutura da nuvem poderá estar na própria premissa do cliente ou no provedor.

a. Nuvem Híbrida

b. Nuvem Privada

c. Nuvem Pública

d. Este modelo não existe

R.: B

7) Do ponto de vista de segurança no manuseio dos dados, qual dos aspectos abaixo lida com o risco de vazamento de dados por conta de intrusão no provedor da nuvem?

a. Acesso Interno

b. Propriedade do Dado

c. Ambos

d. Nenhuma das opções

R.: A



8) Qual das opções abaixo melhor define a razão do cliente em saber a localização geográfica de onde seus dados estão localizados?

a. Devido a leis dentro da linha de negócio em que o cliente atua que requer que os dados fiquem dentro do país.

b. Devido a leis do continente que requer que os dados do negócio fiquem dentro do continente.

c. Devido a políticas de segurança da empresa que requerem que os dados fiquem no mesmo país de origem da empresa.

d. Todas as respostas estão corretas.

R.: D

9) Qual dos cuidados abaixo lida com o requerimento que seus dados não serão mesclados com outras empresas que fazem parte do mesmo “pool” de recursos do provedor?

a. Proteção dos Dados

b. Isolamento dos Dados

c. Disponibilidade

d. Resposta contra Incidente

R.: B

10) Qual recurso de autenticação pode ser usado para permitir ao cliente usar a infraestrutura de diretório da empresa dele para autenticar em um recurso na nuvem?

a. Federação

b. Autenticação

c. Relação de Confiança

d. Nenhuma das opções acima

R.: A

considerações quanto à segurança na computação na nuvem

Documents