Seção: Tutoriais Infraestrutura

 
Cloud Computing: Segurança

 

Cloud Computing Security é o termo usado para o conjunto de procedimentos, processos e padrões projetados para fornecer a garantia de segurança da informação em um ambiente de computação em nuvem. Portanto, é o conjunto que trata de problemas de segurança física e lógica em todos os diferentes modelos de serviços e de como esses serviços são entregues através dos diferentes modelos de implantação em nuvem [1].

 

Existem duas perspectivas que a segurança na nuvem deve levar em consideração: a do cliente/usuário final e outra, do provedor da nuvem.

 

Na perspectiva do usuário final, este exigirá uma política de segurança do provedor, indicando como e onde seus dados estarão armazenados e quem tem acesso a esses dados. Já na perspectiva do fornecedor de nuvem, este deverá garantir a segurança física da infraestrutura e o mecanismo de controle de acesso dos recursos da nuvem, bem como a execução e manutenção das diferentes políticas de segurança [1].

 

Gerenciamento de segurança em computação em nuvem

 

Ao analisar o cenário atual para o gerenciamento de segurança da informação em ambientes de computação em nuvem, muitas literaturas apontam a necessidade e a importância de se adotar um modelo de Governança da Segurança da Informação com a finalidade de mitigar os riscos inerentes dos modelos de prestação de serviços na nuvem.

 

A percepção de que a nuvem é um aglomerado de informações pode caracterizá-la como sendo um alvo propício a ataques por potenciais invasores, ameaças estas que podem afetar diretamente os pilares básicos da segurança da informação: disponibilidade, confidencialidade e integridade, e consequentemente comprometer toda a nuvem.

 

A garantia do cumprimento desses princípios relaciona-se diretamente com o modelo de implantação contratado pela empresa, por exemplo, o modelo de nuvem privada, que permite a restrição de acessos uma vez que se encontra atrás do firewall da empresa, mantendo, dessa forma, controle do nível de serviço e aderência às regras de segurança da empresa [16][17].

 

 Na Tabela 1, resume-se uma análise do modelo de implantação de nuvem pública, de acordo com os princípios de segurança da informação, considerando questões que devem ser abordadas antes da adoção do modelo [16].

 

Tabela 1: Princípios da Segurança da Informação em um Modelo de Nuvem Pública

PRINCÍPIOS DA SEGURANÇA

PROBLEMAS

POTENCIAIS

QUESTÕES A SEREM ABORDADAS

Integridade

Invasões por hackers aos ambientes da nuvem. Violação de leis de proteção de dados.

Quais são as garantias sobre a preservação da integridade dos dados?

Confidencialidade

Aplicações de diversos usuários coabitam nos mesmos sistemas de armazenamento.

Como é realizada a segregação de dados?

Como é protegida a propriedade intelectual e segredos comerciais? 

Disponibilidade

Recuperação de dados gerenciados por terceiros.

Como é garantida a arquitetura de disponibilidade?

A recuperação de informações críticas, está sujeita a atrasos?

Autenticidade

Verificação da autenticidade das entidades comunicantes.

Que recursos são utilizados na autenticação e controle de acesso dos usuários?

Não-repúdio

Auditabilidade das ações executadas por usuários no sistema.

Os usuários do modelo são capazes de negarem suas ações?

 

Gestão de risco

 

Cada modelo de serviço em nuvem pode ser avaliado como um serviço de ativos da informação, com classificação de risco único e seleção de controles resultante da mitigação de risco (termos de contrato, conteúdo do Acordo de Níveis de Serviço - ANS, compliance e ferramentas de monitoramento).

 

A avaliação do risco relativo aumenta de acordo com a movimentação da nuvem. Se há uma movimentação de consumidores de IaaS para PaaS e, finalmente, para SaaS, os modelos de serviço de construção de um sobre o outro, resulta em risco cumulativo, como o provedor da nuvem assume o controle mais direto, há, portanto, maior risco de segurança para o consumidor da nuvem.

 

A tabela 2 apresenta o modelo de risco de acordo com o modelo de implementação da nuvem [16].

 

Tabela 2: Riscos Inerentes aos Modelos de Serviços na Nuvem

MODELO DE SERVIÇO

RISCOS POTENCIAIS

GRADUAÇÃO

IaaS

O consumidor não administra ou controla a infraestrutura da nuvem subjacente, mas tem controle sobre os sistemas operacionais, armazenamento de aplicativos implantados, e os componentes de rede selecionados.

Médio

PaaS

O consumidor não administra ou controla os recursos de infraestrutura da nuvem subjacente, tais como componente de rede, servidores, sistemas operacionais, ou armazenamento. Porém o consumidor tem controle sobre os aplicativos utilizados na hospedagem de aplicativos e nas configurações de ambientes.

Alto

SaaS

O consumidor não administra ou controla a infraestrutura subjacente da nuvem. O que inclui componentes de rede, servidores, sistemas operacionais, armazenamento ou capacidade de aplicação individual. A possível exceção relaciona-se a algumas configurações específicas do usuário e de algumas configuração de aplicativos.

Muito Alto