Aspectos de Segurança da Cloud Computing
(1) - Jonathan Fantini – advogado -
O conceito de “Cloud Computing” ou “Computação em Nuvens” é a
virtualização de produtos e serviços de TI, ou seja, é uma maneira de
armazenar todas as informações em servidores virtuais denominados de
“nuvem”, em princípio, não necessitando de máquinas velozes com grande
configuração de hardware e sim, de micros com configuração básica
conectado à internet para rodar todos os aplicativos.
A “Cloud Computing” não é necessariamente mais ou menos segura do que o
ambiente local com servidores próprios, mas como acontece com qualquer
nova tecnologia, cria novos riscos e também novas oportunidades, entretanto,
esta tecnologia vai modificar a estrutura de segurança das redes, que não
mais poderá ser gerenciada de maneira tradicional.
Outro fator de risco é a possibilidade de uma grande pane devido a vários
fatores, alguns deles são: o grande volume de tráfego e requisições
simultaneas, inviabilizando o acesso.
Estima-se que 2% a 3% de todo o tráfego da Internet, hoje, pode ser
considerado “lixo”, além de que é notório que os ataques em massa cada vez
mais consomem banda. Em 2005, por exemplo, o “Code Red”, uma praga que
infectou vários PCs, consumiu 25 GB de banda.
Em 2009 outra praga consumiu 48 GB e circula uma informação entre os órgão
de segurança internacionais que, o objetivo dos hackers é um ataque que
consuma bastante banda paralisando a navegação nas redes corporativas e
Internet.
O Brasil é o terceiro colocado na emissão de bootnets e spams no ranking
mundial sendo um país utilizado pelos hackers internacionais, mas também é
gerador de ataques e fraudes principalmente ligadas aos cartões de crédito.
Outros fatores são aplicativos imaturos, sem consistência e com falhas de
segurança e não adequados ao modelo.
De acordo com o Gartner (2) a Cloud Computing tem atributos únicos que
demandam análise de risco em áreas como integridade de dados,
recuperação e privacidade, e avaliação de segurança.
O Gartner também alerta em relatório os sete problemas de segurança para os
quais devemos atentar:
1. Acesso privilegiado de usuários. Dados sigilosos e estratégicos sendo
processados fora da empresa trazem, obrigatoriamente, um nível inerente de
risco. Os serviços terceirizados fogem de controles “físicos, lógicos e de pessoal”
que as áreas de TI criam internamente.
A empresa deve ter o máximo de informação sobre quem vai gerenciar seus
dados e os fornecedores devem prover informações específicas sobre quem
terá privilégio de administrador no acesso aos dados para, daí, controlar esses
acessos,” defende Gartner.
2. Compliance com regulamentação. As empresas são as responsáveis pela
segurança e integridade de seus próprios dados, mesmo quando essas
informações são gerenciadas por um provedor de serviços.
Provedores de serviços tradicionais estão sujeitos a auditores externos e a
certificações de segurança. Já os fornecedores de “cloud computing” que se
recusem a suportar a esse tipo de escrutínio estão “sinalizando aos clientes que
o único uso para cloud é para questões triviais,” defende o Gartner.
3. Localização dos dados. Quando uma empresa está usando o “cloud”, ela
provavelmente não sabe exatamente onde os dados estão armazenados. Na
verdade, a empresa pode nem saber qual é o país em que as informações
estão guardadas.
Pergunte aos fornecedores se eles estão dispostos a se comprometer a
armazenar e a processar dados em jurisdições específicas. E, mais, se eles vão
assumir esse compromisso em contrato de obedecer aos requerimentos de
privacidade que o país de origem da empresa pede.
Jon Brodkin - Network World, EUA
4. Segregação dos dados. Dados de uma empresa na nuvem dividem
tipicamente um ambiente com dados de outros clientes. A criptografia é
efetiva, mas não é a cura para tudo. “Descubra o que é feito para separar os
dados,” aconselha o Gartner.
O fornecedor de “cloud” pode fornecer a prova que a criptografia foi criada e
desenhada por especialistas com experiência. “Acidentes com criptografia
pode fazer o dado inutilizável e mesmo a criptografia normal pode
comprometer a disponibilidade,” defende o Gartner.
5. Recuperação dos dados. Mesmo se a empresa não sabe onde os dados
estão, um fornecedor em “cloud” deve saber o que acontece com essas
informações em caso de desastre.
“Qualquer oferta que não replica os dados e a infra-estrutura de aplicações
em diversas localidades está vulnerável a falha completa,” diz o Gartner.
Pergunte ao seu fornecedor se ele tem a “a habilidade de fazer uma
restauração completa e quanto tempo vai demorar.”
6. Apoio à investigação. A investigação de atividades ilegais pode se tornar
impossível em “cloud computing”, alerta o Gartner. “Serviços em “cloud” são
especialmente difíceis de investigar, por que o acesso e os dados dos vários
usuários podem estar localizados em vários lugares, espalhados em uma série
de servidores que mudam o tempo todo.
Porém, se não for possível conseguir um compromisso contratual para dar
apoio a formas específicas de investigação, pelo menos deve se exigido a
“evidência de que esse fornecedor já tenha feito isso com sucesso no
passado.”, alerta.
7. Viabilidade em longo prazo. No mundo ideal, o seu fornecedor de “cloud
computing” jamais vai falir ou ser adquirido por uma empresa maior. Mas a
empresa precisa garantir que os seus dados estarão disponíveis caso isso
aconteça. “Pergunte como você vai conseguir seus dados de volta e se eles
vão estar em um formato que você pode importá-lo em uma aplicação
substituta,” completa o Gartner.
Também a “Cloud Security Alliance” (CSA), organização sem fins lucrativos,
entidade com sede nos Estados Unidos e focada em determinar padrões para
segurança para o modelo de “cloud compting”, publicou a segunda edição
de suas orientações sobre o tema.
O texto descreve a arquitetura de framework e traz uma série de
recomendações sobre como proteger os ambientes em nuvens. A primeira
edição do documento foi publicada em abril de 2009.
O manual busca, também, fornecer definições mais claras a respeito de “cloud
computing”.
De acordo com a CSA, os ambientes em nuvem possibilitam consumo sob
demanda e em modelo de auto-serviço; permitem acesso amplo via redes de
comunicação; são desenhados a partir de um conjunto de recursos
compartilhados de computação; podem ser escalados rapidamente para
mais ou para menos, dependendo da demanda; e envolvem algum tipo de
métrica para registrar o volume de uso.
De acordo com a ONG, apesar das vantagens, o padrão apresenta desafios
de segurança e para torná-lo viável é preciso integrar as ferramentas de
proteção dos ambientes de modo a não permitir que fiquem inflexíveis e então
deixem de ser interessantes aos usuários.
O documento levanta questões de segurança em nuvens sob 13 diferentes
pontos de vista, que vão desde questões de governança, como conformidade
e auditoria, a preocupações operacionais, como recuperação de desastres,
segurança de aplicação e gerenciamento de identidade.
O documento completo está disponível para download no site
www.cloudsecurityalliance.org.
Referências
Gartner: www.gartner.com
Jon Brodkin - Network World, EUA’
Cloud Security Alliance - www.cloudsecurityalliance.org.
CIO - http://cio.uol.com.br
Computerword- http://computerworld.uol.com.br/
Inforword - http://www.infoworld.com/d/security-central/gartner-seven-cloudcomputing-
security-risks-853
http://cloudsecurity.org/
(1) Jonathan Fantini, advogado especializado em Direito Digital, Graduado
Direito Empresa (PUC/MG), Pós-Graduado Direito Empresa (PUC/MG),
Especialização
Direito Digital (SENAC/SP), Mestrando Gestão Estratégica (MPL/Lagoa Santa).
(2) Gartner Group
Origem: Wikipédia, a enciclopédia livre.
Gartner Group é uma empresa de consultoria fundada em 1979 por Gideon Gartner.
A Gartner desenvolve tecnologias relacionadas a introspecção necessária para seus
clientes tomarem suas decisões todos os dias. A Gartner trabalha com mais de 10.000
(dez mil) empresas, incluindo CIOs e outros executivos da área de TI, nas corporações
e órgãos do governo. A companhia consiste em Pesquisa, Execução de
Programas, Consultoria e Eventos. Fundada em 1979, por Gideon Gartner, a empresa
mantém sua sede em Stamford, Connecticut, Estados Unidos, e tem mais de 3.700
(três mil e setecentos) associados, incluindo analistas, pesquisadores e consultores em
mais de 75(setenta e cinco) países pelo mundo
