cloud, internet, network

Segurança na nuvem

Uma das grandes frentes de segurança da informação que temos visto junto ao mercado brasileiro e mundial é a computação na nuvem “Cloud Computing” e acompanhado a esta novidade do mercado tecnológico, surgem as questões ligadas a segurança na nuvem, seja relacionado a pessoas, quanto a processos e a tecnologia em si.

Muitos de vocês ainda podem ter questões e dúvidas referente a este ponto de vista de segurança de computação em nuvem. Com suas qualidades relacionadas, “cloud computing” apresenta um grande potencial para as empresas, no que tange a melhoraria de sua postura geral de segurança da informação e há muitos motivos para isso.

Uma computação na nuvem oferece vantagens específicas de segurança por algumas razões, porém não há como obter estes benefícios sem investimento, e não a um modelo adequado para todas as empresas. Seja qual for o modelo de serviço ou de implementação escolhido, você acabará transferindo algum nível de controle para a empresa que passará a prover o serviço de computação na nuvem.

Virtualização X Cloud Computing

Avaliando os pontos de segurança que envolvem computação em nuvem, devemos também considerar as questões de segurança sobre virtualização e sua relação na computação na nuvem. Desta forma, é necessário entender como a virtualização é implementada dentro de uma infraestrutura em nuvem.

Para entendermos de forma simples, uma máquina virtual (VM) é basicamente um Sistema Operacional padrão definido em uma imagem de sistema totalmente configurado e operacionalmente pronto.

Existem implementações de virtualização diferentes e estas variam, mas em geralmente, os tipos mais conhecidos são os chamados de “nativo” à virtualização, outros são os chamados de virtualização hospedada e um terceiro modo é o Sistema Operacional implementada a virtualização, este último é implementado dentro do próprio SO, exemplos deste incluem recipientes do Solaris, Free BSD, servidor Linux.

Há questões interessantes sobre a segurança envolvendo o uso da virtualização, mesmo antes de considerar usá-lo para a computação na nuvem. Primeiramente, a cada nova máquina virtual, você está adicionando um novo Sistema Operacional. Isso por si só envolve um risco de segurança adicional. Cada sistema operacional deve ser adequadamente mantido e monitorado conforme o uso pretendido.

Segundo, um típica detecção de intrusos na rede pode não funcionar muito bem com servidores virtuais localizadas no mesmo host. Desta forma, será necessário usar técnicas avançadas de segurança para a monitorar o tráfego entre estas máquinas virtuais. Quando os dados e aplicativos são movidos entre vários servidores físicos para balanceamento de carga ou failover, alguns sistemas de monitoramento de rede não conseguem avaliar a finalidade dessas operações.

Em último lugar, utilizar a virtualização exige gerenciar diferentes abordagens para muitas funções, incluindo gerenciamento de configuração, o posicionamento das máquinas virtuais e o gerenciamento de capacidade. Desta maneira, os problemas de alocação de recursos podem rapidamente se tornar problemas de desempenho.

Após este entendimento entre Computação na nuvem e virtualização, vamos voltar ao nosso tema inicial sobre segurança na nuvem.

Existe vários outros pontos que devemos considerar quando se trata de segurança para o ambiente de computação na nuvem. Não necessariamente existe uma ordem ou um grau de importância nos pontos que veremos a seguir:

  • Perda de controle físico: Este parece ser o primeiro sentimento que alguns usuários percebem ao migrar seus dados e aplicativos para um ambiente virtual, a informação que antes estava “perto” de seu domínio e agora está “fora”, perdendo desta forma o controle físico sobre eles, isso dá origem a algumas preocupações:

– Controle de dados: existem várias formas dos dados serem encaminhados aos servidores virtuais, desta forma os provedores precisam criar formas de garantir a integridade dos dados que estão sendo armazenados, embora as expectativas de níveis de controles se mostrem razoáveis dentro dos modelos apresentados no mercado.

– Privacidade de dados: com o advento das nuvens públicas ou das comunidades, os dados não poderiam permanecer no mesmo ambiente sistêmico.

– Novos riscos e vulnerabilidades: Novas classes de vulnerabilidades e de riscos podem surgir no ambiente de Cloud Computing, devendo os administradores dos sistemas criarem métodos de proteção em camadas.

– Legal e conformidade normativa: Não podemos esquecer de levantar e garantir os aspectos legais quanto a manipulação das informações. Desta forma, o provedor que armazenará os dados deverá abordar e atender a demanda dos órgãos reguladores nacionais e internacionais, caso se façam necessários. Muitas das vezes, obter certificações que atendam a esta demanda pode se tornar um desafio a parte, seja por questões técnicas quanto burocráticas.

  • Disponibilidade de rede: Garantir que as informações estarão disponíveis sempre que necessário, verificando no novo ambiente virtual que haja conectividade de rede e largura de banda para atenderem às suas necessidades mínimas, caso contrário, as consequências podem ser comparadas a um ataque de negação de serviço.
  • Viabilidade do provedor de nuvem: Esta modalidade de computação na nuvem é uma tecnologia nova no mercado mundial, por este motivo, cabe ao provedor do serviço comprovar e garantir sua viabilidade e comprometimento junto ao serviço prestado.
  • Incidentes de segurança: Outro ponto bastante preocupante para ambos os lados da computação na nuvem é o fato de que incidentes de segurança podem e irão ocorrer no decorrer do tempo em que a informação estiver na nuvem. Portanto cabe a cada um, tanto o proveniente da informação, quanto o provedor do serviço devem definir muito bem o tipo e nível suporte do provedor para responder a questões como auditoria, por exemplo. Além disso, um provedor pode não oferecer suporte suficiente para os usuários para resolver temas de investigações aos incidentes ocorridos. Uma forma interessante de se precaver é discutir previamente como o provedor gerencia o correlacionamento de eventos de segurança e de informações em seu ambiente tecnológico.
  • Transparência: por fim, quando um provedor de serviços de computação na nuvem não apresenta de forma clara os detalhes de sua política interna ou de tecnologia, cabe aos usuários exigir declarações de segurança deste provedor. Os usuários ainda podem exigir transparência por parte dos provedores como o modo como eles gerenciam a segurança do ambiente da nuvem, sua privacidade e incidentes de segurança.

Embora o modelo de computação na nuvem seja bastante apropriado para informações não confidenciais ou sensíveis ao negócios das corporações, é fato que a não preocupação com a transferência de dados para a nuvem em provedores que não garantam os pontos de segurança que abordamos acima (não se restringindo a apenas estes), caracteriza-se riscos inaceitáveis e vão contra as boas práticas de segurança da informação.

Como minhas recomendações finais, siga uma avaliação de risco razoável ao escolher um modelo de implantação de nuvem. Você também deve garantir que existam controles de segurança apropriadas no ambiente. Liste suas preocupações de segurança para que você possa debater, validá-los e eliminá-los com controles compensatórios.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima
Open chat
Precisa de Ajuda?