Relatório da indústria Protegendo a nuvem para entidades governamentais

Transcrição

1 Janeiro de 2013 Relatório da indústria Protegendo a nuvem para entidades governamentais Um resumo dos problemas de segurança na nuvem enfrentados pelas organizações governamentais e as tecnologias da Intel para oferecer segurança para a nuvem do governo. Por que ler este documento? Este relatório é uma síntese dos benefícios e dos desafios à segurança das infraestruturas baseadas na nuvem para agências e organizações governamentais, com uma introdução às tecnologias da Intel voltadas a fortalecer a nuvem destas instituições. Este relatório: Analisa como o modelo de computação na nuvem pode reduzir os custos operativos das agências governamentais e melhorar a prestação de serviços aos cidadãos e outros eleitores. Examina problemas reais de segurança, regulação e satisfação que diminuíram o ritmo em que o governo faz implementações na nuvem. Descreve como a criptografia de dados pode ajudar a proteger dados pessoais confidenciais quando entram e saem da nuvem. Explica como a autenticação baseada no hardware pode validar a identidade e o acesso à nuvem de entidades governamentais para ajudar a garantir que só usuários autorizados tenham acesso. Examina como os gateways de serviço oferecem pontos de aplicação API no perímetro da rede para reduzir o risco de ataques cometidos dentro dos conteúdos contra organizações governamentais. Analisa como as plataformas virtualizadas podem ser mais seguras com uma base de hardware confiável que ajude a garantir a integridade do sistema e a fincar as bases para oferecer computação confiável em ambientes dinâmicos.

2 Janeiro de 2013 Relatório da indústria Protegendo a nuvem para entidades governamentais Um resumo dos problemas de segurança na nuvem enfrentados pelas organizações governamentais e as tecnologias da Intel para oferecer segurança para a nuvem do governo. Nigel Ballard, Diretor de Marketing Federal, Intel Américas Kevin Fiftal, Diretor Civil Federal, Intel Américas

3 Conteúdo 3 Protegendo a nuvem para entidades governamentais 3 Benefícios da computação em nuvem para o governo 4 Melhor prestação de serviços governamentais 5 Preocupações a respeito da segurança da computação em nuvem e se cumpre as normas governamentais. 6 Os ambientes em nuvem apresentam uma série de desafios à segurança 8 Proteger a nuvem governamental com foco integral na segurança 11 Conclusão

4 Protegendo a nuvem para entidades governamentais A computação em nuvem apresenta um modelo novo para melhorar a prestação de serviços governamentais e aumentar a agilidade comercial das agências, permitindo que elas operem com uma maior eficiência e rentabilidade. Em fevereiro de 2011, o Governo dos Estados Unidos publicou a Estratégia Federal de Computação em Nuvem 1, que é descrita como uma profunda mudança econômica e técnica com um grande potencial para reduzir os custos dos sistemas governamentais da Tecnologia da Informação (TI) ao mesmo tempo em que melhora a capacidade da TI e estimula a inovação em soluções de TI. Entretanto o governo opera em um âmbito regulado onde a computação em nuvem tem preocupações reais sobre a privacidade, a segurança, o acesso e o cumprimento das normas vigentes. As agências governamentais precisam de uma plataforma integral que possa potencializar a geração de serviços e iniciativas do setor público e, ao mesmo tempo, oferecer segurança e satisfação, como também proteção de dados e infraestrutura para cumprir com as normas regulatórias. Este documento descreve os benefícios que os ambientes de computação em nuvem podem oferecer às entidades governamentais e analisa as considerações de segurança e satisfação que devem contemplar as infraestruturas de TI do governo. Analisa como a segurança na nuvem é fortalecida com as tecnologias da Intel que facilitam a segurança dos dados, a autenticação de identidades e solicitações de acesso às organizações governamentais e aumentam a confiança e a satisfação em todo o âmbito da nuvem. Benefícios da computação em nuvem para o governo Os governos estão atravessando uma enorme mudança e reformas. As agências e organizações são pressionadas para oferecerem melhores serviços enquanto reduzem os custos. Como o novo mantra é fazer mais com menos, as instituições governamentais têm que encontrar formas mais eficientes e efetivas para tratar as necessidades dos cidadãos. A computação em nuvem pode ajudar a resolver alguns destes desafios. A eficiência e a economia de custos possibilitados pela computação em nuvem ajudam diretamente a reduzir os gastos dos operativos das instituições governamentais. O total de potenciais economias graças à modernização de infraestruturas de computação antigas no governo é surpreendente. O Departamento de Defesa dos Estados Unidos estima que só com a consolidação do centro de dados dentro da sua agência economize cerca de US$ 680 milhões em US$ 58 milhões seriam provenientes apenas da economia em eletricidade (a partir de uma melhor administração da energia disponível nos computadores atuais). 2 A agilidade oferecida pelos recursos flexíveis e por demanda baseados na nuvem também pode ajudar a se ter uma nova geração de serviços e iniciativas que possibilitem às agências a responderem mais rápido e de forma criativa às necessidades do público que atendem. 3

5 Melhor prestação de serviços governamentais Os recursos de computação flexíveis e altamente escaláveis previstos pelo contexto da computação em nuvem permitem uma implementação mais rápida e simples do governo eletrônico e iniciativas de autogestão cidadã para melhorar o fluxo da informação. As soluções baseadas na nuvem estão disponíveis para expandir os serviços e o acesso aos dados com mais segurança a: Outras agências e departamentos. Governos estatais e locais. Organizações externas onde o governo tem o papel de supervisão, incluindo atenção médica e finanças. O público em geral. As infraestruturas na nuvem também podem oferecer às agências governamentais uma gestão melhorada da informação, com armazenamento centralizado de dados e redes de alta velocidade; permitindo uma maior produtividade, um melhor suporte aos serviços do governo e uma melhora no compartilhamento e colaboração de dados. Uma infraestrutura de computação escalável, eficiente e ágil. Os benefícios de TI básicos da computação em nuvem (mais disponibilidade, mais eficiência, autogestão por demanda e agilidade da TI) oferecem inúmeras vantagens às agências governamentais. As infraestruturas mais disponíveis na nuvem são escaláveis segundo a necessidade e oferecem o poder da computação para qualquer tipo de carga de trabalho. Os serviços são prestados com acesso seguro da rede de banda larga a dispositivos autenticados ou através de portais de autogestão. Além disso, a redundância e a recuperação de desastres são partes dos ambientes de nuvem, fornecendo garantia de recuperação de falhas para informação sensível. As infraestruturas baseadas na nuvem também são mais eficientes que os centros de dados tradicionais e cortam custos através da consolidação de servidores, redução da administração da TI, desempenho melhorado da rede e maior economia de energia. A agilidade das infraestruturas na nuvem é demonstrada pela capacidade de prestar serviços em questão de horas, diferentemente de prazos de entrega que levam dias e semanas como as operações dos centros de dados tradicionais. Esta agilidade é particularmente importante para as organizações governamentais que costumam enfrentar âmbitos de reformas em tempos de incertezas econômicas, permitindo-lhes atender a necessidade de evoluir rapidamente tanto nos processos de negócio quanto no projeto do fluxo de trabalho sem incorrer em gastos significativos de capital e infraestrutura. 4

6 Preocupações a respeito da segurança da computação em nuvem e se cumpre as normas governamentais Enquanto a computação na nuvem promete benefícios importantes para a infraestrutura de TI, preocupações válidas quanto a segurança e o cumprimento das normas desaceleram a implementação da nuvem em muitas agências governamentais, particularmente aquelas que lidam com dados classificados e protegidos. As infraestruturas na nuvem para agências governamentais devem cumprir com as normas e pautas regulatórias, incluindo: Estratégia Nacional para Identidades Confiáveis no Ciberespaço (NSTIC, sigla em inglês) que define um ambiente online onde as pessoas, organizações, serviços e dispositivos podem confiar entre si porque as fontes que fazem a autorização estabelecem e autenticam suas identidades digitais. Diretiva Presidencial de Segurança Interna 12 para Padrões de Identidade Comuns para Funcionários Federais e Empreiteiras (HSPD 12) é um padrão obrigatório de formas seguras e confiáveis de identificação emitidas pelo governo federal para seus funcionários e empreiteiras a fim de melhorar a segurança, reduzir a fraude de identidade e proteger a privacidade pessoal. O Padrão Federal de Processamento de Informação (FIPS, em inglês) 201, intitulado Verificação de Identidade Pessoal (PIV, em inglês) de funcionários e empreiteiros, foi desenvolvido para cumprir com os requerimentos da HSPD 12. Programa Federal de Administração de Risco e Autorização (FedRAMP, sigla em inglês) é um administrador de risco para todo o governo focado na padronização de autorizações e em serviços de monitoramento contínuo da segurança para os sistemas de computação na nuvem destinados ao uso de várias agências governamentais. Administração Federal de Credenciais de Identidade e Acesso (ICAM federal, sigla em inglês) é uma iniciativa federal para unificar as identidades digitais, as credenciais de autenticação e o controle de acesso em um só foco de administração integral. Possibilitar a confiança e a interoperabilidade Tipos de credenciais Interno para a comunidade federal (IEE) - Dentro das agências - Entre agências Credenciais PIV Pessoa, não pessoas 4 níveis de proteção da identidade (não confiável a plenamente confiável) Com outros governos (G2G) Com organizações externas (G2B) Com o povo norteamericano (G2B) - Estado - Local - Tribal - Sócios aliados - Indústria - Instituições financeiras - Provedores de atenção médica - Contribuintes - Bolsistas - Beneficiários médicos / de Medicaid Piv Credenciais interoperáveis Soluções abertas: -OpenID -icard -SAML -WSFed -Etc. Acesso lógico, acesso físico O ICAM federal fornece uma arquitetura integral para oferecer confiança e interoperabilidade nas transações digitais dentro do governo federal dos Estados Unidos e seus constituintes, incluindo tipos de credenciais requeridas para acesso. 5

7 O Instituto Nacional de Padrões e Tecnologia (NIST, por sua sigla em inglês) trabalha juntamente com a indústria para desenvolver e aplicar tecnologias, medidas e padrões. O NIST do Departamento de Comércio dos Estados Unidos publicou um rascunho de um plano de rota para impulsionar a adoção da computação em nuvem por parte das agências federais, oferecer suporte ao setor privado, melhorar a informação disponível para os tomadores de decisões e facilitar o desenvolvimento contínuo do modelo de computação na nuvem. Como parte da estratégia federal de computação em nuvem, atribuiu-se ao NIST um papel central na definição e promoção de padrões, e para a colaboração com os CIOs das agências governamentais dos Estados Unidos, especialistas do setor privado e organismos internacionais a fim de identificar e chegar a um consenso sobre a tecnologia e as prioridades de padronização. 3 Este rascunho foi projetado para respaldar a adoção segura e efetiva do modelo de computação em nuvem por parte de agências federais com o objetivo de reduzir custos e melhorar os serviços. Define os requerimentos de alta prioridade para padrões, pautas oficiais e desenvolvimentos tecnológicos que devem ser cumpridos para que as agências acelerem a migração dos sistemas de TI existentes para o modelo de computação em nuvem. O consultor sênior de computação em nuvem Dawn Leaf Dawn Leaf comenta: Uma contribuição chave do esforço do plano de rota é o enfoque nas conversações para alcançar um entendimento claro entre o governo e o setor privado, sobretudo nos passos técnicos específicos (padrões, pautas e soluções tecnológicas) necessários para mover a TI federal do seu atual estado de nuvem precoce para uma adoção completa da nuvem, tal como é concebido na Estratégia Federal de Computação em Nuvem dos Estados Unidos. Os ambientes em nuvem apresentam uma série de desafios à segurança Administração de identidade e acesso. É possível que os marcos existentes de identificação e autenticação da organização não sejam estendidos à nuvem, e se forem baseados em combinações únicas de usuário/senha para aplicativos individuais podem representar um link débil na cadeia de segurança. Na nuvem, a administração da identidade é fundamental para manter a segurança, a visibilidade e o controle centralizado de identidades e acessos por parte da TI. Proteção de dados. Os dados armazenados na nuvem geralmente residem em um ambiente com vários inquilinos, compartilhando um espaço do servidor virtualizado com dados de outros clientes do provedor da nuvem. As organizações governamentais que sobem dados importantes e regulamentados à nuvem devem se certificar de que esses dados estejam controlados e seguros. Um dos riscos inerentes ao ambiente com vários inquilinos e dos recursos de computação compartilhados em infraestruturas de nuvem é a potencial falha dos mecanismos de isolamento que servem para separar a memória, o armazenamento e o roteamento entre os inquilinos. Cumprir com as normas e bases federais. As leis, normas e regulamentações federais requerem um entrelaçamento complexo de mandatos de segurança e privacidade, fazendo desse cumprimento um assunto potencialmente crítico para a computação em nuvem. Para poder cumprir com as estritas leis de privacidade de dados, as infraestruturas da nuvem deveriam ser auditáveis em características como a encriptação, controles de segurança e geolocalização. Confiança. Nas infraestruturas da nuvem, as organizações governamentais renunciam ao controle direto de muitos aspectos da segurança, depositando uma enorme carga de confiança no provedor da nuvem. Assim, o papel do provedor é crítico na resposta ante incidentes, incluindo análises de ataques, contenção, conservação de dados, resolução e continuidade do serviço. Para as organizações governamentais altamente regulamentadas é pré-requisito implementar ferramentas de administração de dados que deem visibilidade em toda a nuvem para garantir o cumprimento das políticas acordadas. 6

8 Os profissionais de TI do governo revelam habilidades que aumentariam a confiança na nuvem privada* Criar fronteiras de dados para restringir fisicamente as cargas de trabalho 76% Garantir que a infraestrutura da nuvem esteja livre de malware 65% Garantir que os pacotes da rede não estejam comprometidos Desenvolver formas de medir os níveis de confiança das máquinas virtuais 47% 47% *Análise ampliada de dados de What s Holding Back the Cloud? pesquisa da Intel sobre o aumento de confiança dos profissionais de TI na segurança da nuvem. Arquitetura segura. Para os delinquentes cibernéticos, as infraestruturas da nuvem virtualizada oferecem um campo potencial de ataque maior, inclusive, que os centros de dados tradicionais. Os ataques violentos que usam malware e rootkits podem infectar os componentes do sistema na nuvem, tais como hipervisores, BIOS e sistemas operativos, e se propagar em todo o ambiente. Proteger uma nuvem governamental de um malware requer uma administração de identidades e APIs no edge para garantir que só os usuários autorizados possam ter acesso, além do estabelecimento de bases confiáveis para assegurar a integridade do sistema. Acesso móvil. O uso de dispositivos móveis para estender os serviços governamentais oferece benefícios claros para o pessoal e público igualmente. Entretanto, aceder a dados confidenciais em dispositivos móveis não seguros tem o risco de roubo ou perda de dados e o consequente incumprimento da regulação. O aumento de trabalhadores móveis e dispositivos móveis no governo está impulsionando a necessidade de contar com soluções de administração de dispositivos e ambientes de API regulados que ofereçam uma transmissão segura de dados e soluções em todas as redes banda larga, protegendo os dispositivos contra violações de dados e acessos não autorizados. O NIST publicou um rascunho de pautas que lista as tecnologias de segurança base que os dispositivos móveis devem ter para proteger a informação. Nas empresas e no governo cada vez mais são usados smartphones, tablets e outros dispositivos móveis pessoais ou dados pela organização. A meta do NIST ao publicar essas novas pautas é acelerar os esforços da indústria para implementar estas tecnologias para dispositivos móveis mais cyber-seguros. As pautas sobre segurança baseadas no hardware de dispositivos móveis definem os componentes fundamentais de segurança e as capacidades necessárias para habilitar um uso mais seguro dos produtos. 7

9 Proteger a nuvem governamental com foco integral na segurança As tecnologias atuais podem reduzir muitos dos riscos de segurança previamente associados com ambientes na nuvem. As tecnologias de segurança com hardware otimizado pela Intel oferecem capacidades resistentes a falsificações para proteger melhor as identidades, os dados e a infraestrutura da nuvem. As soluções que usam estas capacidades podem fortalecer a proteção de identidades, incentivar a encriptação generalizada para proteger melhor os dados, medir a integridade da plataforma e fazer com que as políticas de segurança sejam respeitadas para cumprir os requerimentos. Proteger dados em movimento e em repouso. Proteger os dados confidenciais e regulamentados é uma responsabilidade fundamental do governo e a melhor forma para proteger os dados, seja quando estão em repouso ou quando são subidos e baixados na nuvem, é a encriptação que torna os dados inutilizáveis se forem comprometidos. Também exige conexões seguras de comunicação que bloqueiam o acesso ao navegador e fazem a encriptação do conteúdo quando este é transferido pela rede ou na nuvem. A encriptação de dados baseada no Advanced Encryption Standard (AES) depende dos algoritmos de computação intensiva que podem ter um impacto no desempenho da rede, particularmente quando é usada de forma generalizada para proteger volumes massivos de informação que é subida e baixada na nuvem. As soluções tradicionais de encriptação podem criar bloqueios nos logaritmos computacionais devido à sobrecarga de desempenho, nesse caso não seria o ideal para proteger o tráfico de dados na nuvem. A Intel tem trabalhado para diminuir estas faltas de desempenho. A Advanced Encryption Standard New Instructions de Intel (Intel AES-NI), integrada nos processadores Intel Xeon, processadores Intel Core vpro e nos processadores Intel Core selecionados 4, melhoram o rendimento ao acelerar a execução dos algoritmos de encriptação em até 10 vezes 5-6. A Intel AES-NI oferece proteção de dados mais rápida e acessível fazendo com que a encriptação generalizada seja um padrão nas redes da nuvem onde antes não era possível. Os protocolos de segurança do navegador Transport Layer Security (TLS) e Secure Sockets Layer (SSL) são usados para garantir comunicações seguras sobre redes, inclusive a Internet, e são utilizados amplamente para a navegação web segura (HTTPS), , mensagem instantânea e VoIP. Estes protocolos são críticos para a computação segura na nuvem e evitam que algum conteúdo não detectado manipule ou espie o conteúdo quando este for transferido. Entretanto, os protocolos tradicionais SSL e TLS incluem duas fases com computação intensiva: início de sessão e transferência de dados massivos. A Intel fez duas contribuições ao protocolo de fonte aberta amplamente usado OpenSSL* que melhora em muito o desempenho durante estas fases. Uma é a função da livraria que acelera o login e a segunda permite a execução simultânea de encriptação e autenticação de dados massivos. Qualquer software que tenha incorporado o OpenSSL pode aproveitar automaticamente destas melhorias da Intel. Ao acelerar a encriptação de dados, garantir o login e a transferência massiva de dados, as organizações governamentais podem aproveitar melhor os recursos da rede e implementar a proteção generalizada desde e para a nuvem sem comprometer o desempenho computacional. 8

10 Acesso mais seguro à nuvem. Para tornar realidade às vantagens da computação em nuvem, e ao mesmo tempo respeitar os estritos requerimentos de segurança de dados e cumprimento regulatório é preciso fortalecer a plataforma subjacente incluindo hardware, software e metodologias de processos. Tornar seguras tanto as plataformas dos servidores quanto a dos clientes, proteger as infraestruturas da nuvem e administrar as identidades e pontos de controle de acesso no edge garante que só os usuários autorizados possam ingressar à nuvem. Como os ataques de malware vão além do software e apontam à plataforma, as organizações enfrentam novos riscos desde rootkits e outros ataques a um baixo nível que podem infectar os componentes do sistema, tais como hipervisores e BIOS, e se disseminar rapidamente por todo o ambiente da nuvem. Proteger a identidade. A proteção de uma plataforma na nuvem começa com a administração dos acessos. A Identity Protection Technology de Intel (Intel IPT), que se encontra nos processadores Intel Core vpro, cria uma autenticação baseada em hardware e resistente a falsificações, provendo às organizações governamentais uma forma simples para validar que somente funcionários legítimos ou usuários autorizados estejam se conectando desde um dispositivo confiável. A Intel IPT oferece a geração de tokens integrada no hardware, eliminando a necessidade (e o custo) de um token físico separado. Também verifica transações e protege contra malwares. 7 Estabelecer a segurança para as APIS na fronteira. As interfaces de Programação de Aplicações (APIs, em inglês) são fundamentais para expor os aplicativos da nuvem a terceiros e a serviços móveis. Reduzir o risco de ataques dentro do conteúdo nos aplicativos acedidos na nuvem e proteger as infraestruturas do sistema no edge requer uma gestão de API controlada e compatível, particularmente na camada do gateway onde é realizada a aplicação de políticas de segurança e a organização e integração de serviços na nuvem. O Intel Expressway Service Gateway (Intel ESG) 8 é um software que oferece pontos de reforço no edge para autenticar as solicitações da API com os sistemas existentes de administração de identidades e acessos existentes na organização. Os gateways de serviço oferecem uma forma centralizada para que os equipamentos de TI e de desenvolvedores colaborem na política de segurança na nuvem e sua aplicação, e oferecem segurança baseada em padrões para controles consistentes na API em toda a organização. Garantir que a infraestrutura na nuvem seja mais segura e auditável. A computação em nuvem, com seus recursos dinâmicos e dependência da virtualização, estende o perímetro da organização do governo além do centro de dados tradicional e com a adição de hipervisores e ambientes com vários inquilinos, cria um campo de ataque maior para o malware e outros ataques. As ameaças contra esse alvo maior incluem não só ataques de malware no aplicativo, mas também ataques contra componentes em um nível mais baixo na própria plataforma. Além disso, a menor visibilidade nas infraestruturas da nuvem também dificulta a verificação dos aplicativos e dos dados, se estes são seguros e se cumprem com as leis e regulamentações. A Intel Trusted Execution Technology (Intel TXT), que está presente nos processadores Intel Xeon, pode ajudar as organizações governamentais a reduzir os riscos à segurança e as complicações de cumprimento das regulações derivadas de plataformas de computação virtualizadas. 9 A Intel TXT estabelece uma plataforma mais segura sobre a base de um hardware confiável no chipset e CPU. Esta base confiável ajuda a garantir a integridade do sistema provendo uma base sólida onde se pode desenvolver plataformas virtuais mais seguras e grupos de computação confiáveis, reduzindo significativamente os riscos de segurança derivados de usar uma infraestrutura na nuvem virtualizada ao limitar as cargas de trabalho importantes aos grupos de computação confiáveis. A Intel TXT mede os componentes da plataforma, tais como BIOS e hipervisor em seu estado bem conhecido. Estas medidas de confiança são armazenadas no hardware e são comparadas com as medidas do início realizadas durante as sequências de início posteriores. Se as medidas não correspondem, a Intel TXT pode bloquear o início da plataforma, diminuindo os ataques na inicialização. 9

11 A Intel TXT habilita as seguintes características: Lançamento verificado. Usando uma base de hardware confiável e medidas criptográficas, a Intel TXT possibilita um ambiente seguro para iniciar máquinas virtuais (VMs), também interage com as ferramentas de governança, riscos e cumprimento de normas para informar sobre o estado de início verificado das VMs, a fim de melhorar os detalhes e visibilidade da infraestrutura subjacente. Migração ao vivo baseada em políticas. Para cargas de trabalho importantes, as organizações podem aplicar políticas tais como: as VMs só devem ser migradas entre os hosts que tenham superado com êxito um início verificado. Execução protegida. Para a informação altamente importante ou protegida, a Intel TXT permite que os aplicativos sejam executados em ambientes isolados em recursos dedicados e administrados pela plataforma subjacente. Entrada protegida. Através do uso de chaves criptográficas, a Intel TXT protege as comunicações entre os dispositivos de entrada (como mouse e teclado) e os ambientes de execução para cuidar que os dados não sejam observados nem comprometidos por processos de softwares não autorizados. Como a Intel TXT protege um ambiente de servidores virtuais 1 Provisionamento: bons valores conhecidos para o BIOS e Hipervisor providos pela TPM Proteção de dados. O risco de eliminação dos dados de forma não segura ou incompleta aumenta o risco de segurança da migração de dados a partir de máquinas virtuais e na reutilização do hardware na nuvem. A Intel TXT anula a memória durante o fechamento do ambiente para diminuir a espionagem das memórias ou ataque de reinicialização. Cumprimento auditável. Para as organizações governamentais, respeitar os padrões e o cumprimento das normas requer muito tempo, esforço e orçamento. As regulamentações estão sempre exigindo reforços de segurança e podem criar requerimentos de auditoria, com a necessidade de compreender, documentar e informar o que está acontecendo no ambiente da nuvem para verificar que sejam estabelecidas, monitoradas e certificadas as políticas de segurança. Cada vez mais a Intel TXT é utilizada por soluções de software que administram o controle, o risco e o cumprimento das infraestruturas virtualizadas baseando-se em diferentes requerimentos de marcos de segurança. O grupo de computação confiável forma as bases para criar confiança em todos os ambientes dinâmicos. Quando políticas similares são agrupadas, os grupos de computação confiáveis de servidores virtualizados podem ser validados por entidades externas com base em assinaturas conhecidas e confiáveis. A Intel TXT pode estabelecer e verificar a observância dos padrões de proteção e controle de dados, habilitando a criação de relatórios baseados no hardware confiável da plataforma, tanto local quanto remotamente, melhorando assim a capacidade de auditar o ambiente da nuvem. 2 Ao iniciar, início medido do BIOS, correspondência de resultados? 3 Se não tem correspondência, a ação da política é aplicada, indica estado não confiável Se há correspondência, a ação da política é aplicada, indica estado confiável 4 Correspondência de início medido do Hipervisor? 5 Se não tem correspondência, a ação da política é aplicada, indica estado não confiável Se há correspondência, a ação da política é aplicada, indica estado confiável 10

12 Conclusão As tecnologias da Intel ajudam as organizações governamentais a obter os benefícios da computação em nuvem desenvolvendo uma base integral para um ambiente virtual mais seguro. A Intel fornece as ferramentas para ajudar a administrar os desafios de segurança mais importantes para a nuvem governamental (proteção de dados e infraestrutura e cumprimento das normas) com tecnologias que promovem uma encriptação de dados generalizada, oferecem transferência de dados mais segura e incorporam uma maior segurança aos esforços de cumprimento. O conjunto integral de tecnologias e soluções de segurança da Intel cobrem modelos de implementação na nuvem de ponta a ponta, mas estes só são uma parte dos esforços da Intel para assegurar a nuvem. A Intel está trabalhando para desenvolver melhores práticas, padrões, projetos, considerações de implementação e modelos de governança para acelerar a adoção da nuvem por parte das entidades do governo. O Intel Cloud Builders fornece arquiteturas de referência de segurança comprovadas junto com sócios da Intel para facilitar a implementação. O programa Intel Cloud Finder pode identificar os provedores de serviços na nuvem que cumprem com os requerimentos específicos. A Intel também está participando, com sócios e aliançaschave da indústria do mundo todo, para acelerar as normas de segurança na nuvem e as soluções interoperáveis, ao trabalhar com organizações da indústria como: Open Data Center Alliance (OCDA) Cloud Security Alliance (CSA) Trusted Computing Group (TCG) Na medida em que as organizações governamentais procuram integrar seus dados e estruturas de negócios na nuvem com maior segurança, a Intel continua impulsionando tecnologias de segurança através do hardware melhorado e soluções de software que incrementam a proteção de identidades, dados e infraestrutura na nuvem. Estas inovações vão aumentar ainda mais a confiança na nuvem do governo graças a metodologias cada vez mais sólidas para administrar, monitorar e reforçar as políticas de segurança e permitir uma auditoria automatizada dos ambientes na nuvem para cumprir os requerimentos. Para mais informação sobre segurança na nuvem, visite intel.com/cloudsecurity. Para mais informação no seu idioma, visite DialogoTI.intel.com. 1 Federal Cloud Computing Strategy 2 InformationWeek Government: Cloud in Action 3 U.S. Government Cloud Computing Technology Roadmaps, Versão 1.0 (Publicação Especial da NIST ) 4 As novas instruções AES-NI Intel requerem um sistema de computador com processador habilitado para AES-NI e um software não Intel para executar as instruções na sequência correta. O AES-NI está disponível nos processadores Intel Xeon, Intel Core i5-600 Desktop Processor Series, Intel Core i7-600 Mobile Processor Series e Intel Core i5-500 Mobile Processor Series. Consulte a disponibilidade com o revendedor ou fabricante do seu sistema. Para mais informações, acesse: architecture-and-technology/ advanced-encryption-standard--aes-/data-protection-aes-generaltechnology.html. 5 Fonte: as provas com Oracle Database Enterprise Edition com Transparent Data Encryption (TDE) AES-256 mostram uma velocidade 10 vezes superior ao insertar 1 milhão de filas 30 vezes em uma tabela vazia no processador Intel Xeon X5680 (3.33 GHz, 36 MB RAM) usando rotinas do Intel IPP em comparação com o processador Intel Xeon X5560 (2.93 GHz, 36 MB RAM) sem Intel IPP. 6 O software e as cargas de trabalho utilizados em testes de desempenho podem ter sido otimizados somente para desempenho em microprocessadores da Intel. Os testes de desempenho, como SYSmark* e MobileMark*, são medidos com a utilização de sistemas de computação, componentes, software, operações e funções específicos. Qualquer alteração nesses fatores pode fazer com que os resultados variem. Você deve consultar outras informações e testes de desempenho para ajudá-lo a avaliar suas compras, incluindo o desempenho do produto quando combinado com outros produtos. 7 Nenhum sistema pode garantir segurança absoluta em todas as condições. Requer um sistema habilitado para a Tecnologia de Proteção da Identidade Intel, incluindo um chipset habilitado para processador Intel Core de 2ª geração ou superior, firmware, software e site participante. Consulte o fabricante do seu PC. A Intel não se responsabiliza por dados perdidos e/ou roubados nem por nenhum outro prejuízo decorrente. Para mais informações, visite o site: technology-general.html. 8 Requer um servidor Intel Xeon Multi-Core com 4GB RAM (16GB Recomendado); recomendado para uso em Red Hat* AS4/A5 (32 ou 64-bit), SUSE Linux Enterprise* 10 (32 ou 64-bit), Oracle* Enterprise Linux, Solaris* 10, Microsoft* Windows 2003 Server (32 ou 64-bit), VMWare* ESX, Windows* 2008 R2 9 Nenhum sistema pode garantir segurança absoluta em todas as condições. A Tecnologia Intel Trusted Execution (Intel TXT) requer um computador habilitado para a Tecnologia Intel Virtualization, um processador habilitado para a Intel TXT, chipset, BIOS, Authenticated Code Modules (Módulos de Código Autenticados) e um ambiente MLE (Ambiente Lançado Medido) compatível com a Intel TXT. A Intel TXT também requer um sistema com uma TPM v1.s. Para mais informações, visite: 11

13 Compartilhe com seus colegas Este artigo é apenas para fins informativos. ESTE DOCUMENTO É FORNECIDO NO ESTADO EM QUE SE ENCONTRA SEM QUAISQUER GARANTIAS, INCLUINDO QUALQUER GARANTIA DE COMERCIABILIDADE, NÃO VIOLAÇÃO, ADEQUAÇÃO A QUALQUER FIM ESPECÍFICO, OU QUALQUER GARANTIA PROVENIENTE DE QUALQUER PROPOSTA, ESPECIFICAÇÃO OU AMOSTRA. A Intel se isenta de toda e qualquer responsabilidade, incluindo a responsabilidade por violação de quaisquer direitos de propriedade, relacionados ao uso desta informação. Nenhuma licença, explícita ou implícita, por embargo ou outra forma, a quaisquer direitos de propriedade intelectual é concedida por meio deste instrumento Intel Corporation. Todos os direitos reservados. Intel e o logo Intel são marcas comerciais da Intel Corporation nos Estados Unidos e/ou em outros países. *Outros nomes e marcas podem ser propriedade de outras empresas.