Capítulo 17 Considerações quanto à Segurança na Computação na Nuvem 1 C A P Í T U L O 1 7 Considerações quanto à Segurança na Computação na Nuvem
2 Certificação Security+ Da Prática Para o Exame SY0-301 Introdução Muito se fala sobre computação na nuvem e o quão isso vai mudar o mercado. Ao passo que concordo com o fato de que a computação na nuvem abre uma série de oportunidades para as empresas expandirem seus negócios e reduzirem custos, é importante também ficar atento ao fator segurança da informação. A migração para nuvem não pode ser encarada como uma transferência de responsabilidade para o provedor de serviço da nuvem (Cloud Provider). O dado continua sendo da empresa e esta empresa continua tendo que proteger os dados que estão em um determinado momento na estação de um usuário ou até mesmo em trânsito (saindo da rede corporativa para ir para o provedor da nuvem). Este capítulo tem como intuito introduzir alguns conceitos básicos de computação na nuvem e também orientar quanto aos cuidados sobre a segurança da informação neste novo paradigma da computação. O que é Computação na Nuvem? O Instituto Nacional de Padrões e Tecnologias dos Estados Unidos (NIST), através da publicação 800-145, definiu a computação na nuvem como sendo um modelo de computacão que oferece cinco características essenciais, sendo elas: Self-service sobre demanda: esta característica está ligada à capacidade de provisionamento de recursos de forma automatizada. Um exemplo disso seria a adição de mais servidores em um grupo existente de servidores para um determinado serviço. Acesso amplo à rede: esta característica está relacionada à capacidade de acesso, por parte de diversos dispositivos, a recursos da rede computacional. Um exemplo disso seria o acesso a um recurso da rede através da manutenção da mesma experiência através de dispositivos distintos (um smartphone e o navegador de um computador pessoal). Agrupamento de recursos: está relacionado à capacidade do provedor da nuvem de agrupar e mover recursos (físicos ou virtuais) para acomodar as necessidades de expansão e demanda do cliente. Podemos citar como exemplos de recursos os componentes básicos computacionais como memória, dispositivos de armazenamento, processador e rede. 1 Documento completo pode ser baixado através do link http://csrc.nist.gov/publications/nistpubs/800-145/ SP800-145.pdf
Capítulo 17 Considerações quanto à Segurança na Computação na Nuvem 3 Elasticidade Rápida: refere-se à capacidade de rápido provisionamento de recursos de acordo com a demanda. Um exemplo disso seria um cliente que todo final de mês precisa de mais poder computacional que no restante do mês, e o provedor precisa dinamicamente alocar recursos para atender tal demanda do cliente. Serviço Mensurado: refere-se à capacidade de medir a utilização de recursos de acordo com o serviço oferecido. Está é uma forma não só de monitorar, mas também de reportar os recursos em uso de uma forma transparente para o contratante do serviço. Self-service sobre demanda Acesso amplo à rede Agrupamento de Recursos Elasticidade Rápida Serviço Mensurado Figura 17.1 Elementos Essenciais da Computação na Nuvem de acordo com o NIST. Tendo em mente que todo provedor de computação na nuvem deverá oferecer tais características fica mais fácil padronizar o tipo de serviço e o que esperar de tal provedor. Porém, tais definições não cobrem o aspecto de segurança da informação, e algumas das preocupações necessárias durante a migração para núvem serão abordadas ainda neste capítulo. Agora que sabemos o que um provedor de serviço de nuvem precisa ter para que seu serviço seja qualificado como computação na nuvem, temos também que ter conhecimento dos modelos de serviços ofertados por tais provedores. Os modelos de serviços padrões de mercado são:
4 Certificação Security+ Da Prática Para o Exame SY0-301 Software como um Serviço (SaaS Software as a Service). Plataforma como um Serviço (PaaS Platform as a Service). Infraestrutura como um Serviço (IaaS Infrastructure as a Service). Nas seções seguintes veremos com mais detalhes cada um destes modelos. Software como um Serviço Este talvez seja o modelo mais fácil de entender do ponto de vista de quem está adquirindo o serviço e provavelmente é o modelo que vai trazer um impacto maior na redução de custos. O modelo de Software como um Serviço baseia-se na ideia de fornecer ao consumidor um determinado serviço que está sendo operado e mantido na nuvem com execução no dispositivo do usuário. Dispositivo este que pode ser um computador pessoal, um telefone inteligente (smartphone), um tablet, entre outros. Este também é o modelo mais simples de entender, pois durante muitos e muitos anos já vem sendo usado. Você pode estar se perguntando: Como assim, Yuri? achei que este negócio de computação na nuvem era novo! Na realidade o software como um serviço na prática já vem sendo usado há muitos anos com o advento do serviço de correio eletrônico por parte de provedores, como são o Hotmail, GMail e outros. Estes serviços estão na nuvem, sempre estiveram. O usuário final está consumindo o software fornecido por este serviço, que por sua vez é um serviço dedicado de correio eletrônico. O uso de software como serviço para outras aplicações traz uma nova realidade para as empresas. Até o momento as empresas precisam adquirir o software, sua devida licença, para implementação de tal software, treinar seus usuários, planejar atualizações que porventura venham a existir (implantação de novas versões do aplicativo), manutenção etc. O ciclo de vida do software licenciado, se comparado ao software como serviço, é bem distinto. Seguem abaixo algumas vantagens do uso de software como serviço: Redução de custo de licenciamento Abstração e redução do custo de manutenção do software
Capítulo 17 Considerações quanto à Segurança na Computação na Nuvem 5 Figura 17.2 Correio eletrônico oferecido por um provedor de serviços é um modelo antigo. Redução do custo de atualização do software Adoção mais acelerada de novas tecnologias Estes fatores fazem com que o modelo SaaS seja extremamente atrativo para pequenas e médias empresas. Por que? Simples, tais empresas não têm orçamento para: Acompanhar o crescimento tecnológico do mercado (existem várias empresas que ainda usam Microsoft Windows XP, Microsoft Exchange 2003 e não têm ideia de quando vão poder fazer atualização). Contratar e treinar pessoal de tecnologia da informação para implementar e manter todas as aplicações que eles precisam para operar com sucesso. Atualizar a plataforma de hardware com a mesma velocidade que o negócio da empresa precisa. Apesar de o atrativo do uso de software como um serviço para pequenas e médias empresas ser expressivo, as grandes empresas também tendem a aderir para este modelo em alguns segmentos do negócio. Existem vantagens para todos os tamanhos de corporações.
6 Certificação Security+ Da Prática Para o Exame SY0-301 Plataforma Como um Serviço Este modelo é mais flexível do ponto de vista de padronizações necessárias para a empresa. Se a empresa precisa, além do software como um serviço, de uma plataforma de desenvolvimento para as aplicações customizadas que ele pretender ter, este é o modelo ideal. Neste modelo a empresa estará utilizando o conjunto de elementos oferecidos pelo provedor de soluções para desenvolvimento de software e padronizações dos serviços. Provedor de Serviços na Nuvem Plataforma de desenvolvimento e fornecimento de serviços do cliente Interface de acesso aos serviços ` ` Clientes do serviço da nuvem Premissas do cliente Desenvolvedores das aplicações na nuvem Figura 17.3 Plataforma como serviço. Apesar de este modelo ser mais flexível, o nível de abstração da manutenção dos serviços também continua transparente. Com isso mesmo o desenvolvedor não precisará se
Capítulo 17 Considerações quanto à Segurança na Computação na Nuvem 7 preocupar com a manutenção da plataforma operacional, ou seja, não é ele que vai se preocupar em atualizar a versão X para a versão Z. O contratante do serviço também não tem acesso aos componentes da infraestrutura de rede, ou seja, ele não terá controle sobre os switches, os dispositivos de armazenamento e sistemas operacionais em uso. O nível de abstração da plataforma da nuvem continua existindo. Entre as vantagens deste modelo podemos citar: O mesmo conjunto de vantagens do software como serviço. Aumento no nível de customização da plataforma para adequar-se ao modelo do negócio. Flexibilidade para desenvolvimento de software dentro de uma plataforma única, com linguagem de programação que tira proveito da infraestrutura de computação na nuvem. Infraestrutura Como um Serviço Neste modelo o provedor de soluções para computação na nuvem vai disponibilizar para o contratante a infraestrutura computacional necessária para que ele coloque seu negócio em produção. A infraestrutura em questão inclui a disponibilização de rede, dispositivo de armazenamento e, diferentemente dos outros modelos, neste o contratante tem acesso ao sistema operacional do ponto de vista de instalação, configuração e manutenção. É importante salientar que neste modelo praticamente toda a tarefa de manutenção da aplicação até o sistema operacional fica a cargo do contratante. Mas Yuri, então qual a vantagem? A vantagem é não ter que manter o datacenter propriamente dito. O contratante não precisa se preocupar com atualização de hardware, infraestrutura de rede física, cabeamento e segurança física do datacenter. Como Chegar Até a Nuvem? Após entender os tipos de serviços e escolher qual o tipo se encaixa mais com a necessidade da empresa à qual você pretende implementar este modelo, chegou a hora de decidir qual será o tipo de adoção que será implantada. Existem três formas básicas de se adotar computação na nuvem:
8 Certificação Security+ Da Prática Para o Exame SY0-301 Nuvem Privada: neste formato a infraestrutura da nuvem é oferecida para o cliente de uma forma privada, ou seja, a nuvem é acessada apenas por aquele cliente. A infraestrutura da nuvem poderá estar na própria premissa do cliente ou no provedor. Nuvem Pública: neste formato a infraestrutura da nuvem é localizada nas premissas do provedor da nuvem e acessada por múltiplos clientes. Nuvem Híbrida: neste formato há uma combinação de infraestrutura de nuvem distinta (privada e pública), onde os clientes podem tirar proveito da padronização usada pelo provedor de nuvem para fins de tolerância contra falha e alta disponibilidade. Um exemplo disso seria o cliente ter parte dos recursos em uma nuvem privada nas premissas da empresa e fazer tolerância contra falha para a infraestrutura de nuvem pública do provedor caso seja necessário. 1 a 1 com o Autor (Yuri Diógenes) Elasticidade e Dinamismo na Nuvem Enquanto estava escrevendo este capítulo, escrevi um artigo 2 no meu blog pessoal sobre o datacenter dos anos 90/2000 e as dificuldades de expansão. Com a computação na nuvem o termo elasticidade passa a ser usado com muito mais frequência e propriedade. O provisionamento de recursos acontece de forma muito mais dinâmica e previsível. Com isso, se o cliente sabe que em determinado momento do mês ele vai ter um aumento de tráfego devido a uma demanda do negócio, ele poderá negociar com o provedor mais recursos computacionais só para aquele período. O provedor da nuvem, por sua vez, terá capacidade de software com uso da virtualização para fazer esta expansão sem ter que fazer mudanças drásticas na plataforma. Recomendo que você assista ao vídeo que disponibilizei neste artigo que escrevi. Se você é da área de redes vai ficar impressionado com o dinamismo das VLANs em um ambiente de nuvem. 2 Para ler este artigo acesse http://blogs.technet.com/b/yuridiogenes/archive/2011/12/09/secure-scalableand-multi-tenant-cloud-no-i-m-not-dreaming.aspx
Capítulo 17 Considerações quanto à Segurança na Computação na Nuvem 9 Fatores de Segurança na Migração Para Nuvem A principal referência de segurança na computação da nuvem também vem do Instituto Nacional de Padrões e Tecnologias dos Estados Unidos (NIST) através da publicação 800-144 chamada de Diretrizes de Segurança e Privacidade em uma Nuvem Pública 3. Desta forma, no que tange a padrões de mercado, recomenda-se o uso deste documento como referência. A segurança na computação da nuvem traz uma série de desafios em diversas áreas, mas muitos destes desafios podem ao menos ser identificados quando você tem um bom planejamento de migração para nuvem. É necessário saber quais os serviços que podem tirar proveito da migração para nuvem e quais as implicações do ponto de vista de segurança, privacidade e regulamentação que pode ocorrer quando tal serviço for migrado. Muitas vezes se chega à decisão de não migrar alguns serviços por motivos de regulamentação, porque os dados precisam no mínimo ficar localizado em um datacenter que esteja no país de origem do negócio. Dependendo do que país você se encontra as normas podem ser diferentes, por este motivo a migração para nuvem jamais deverá ser realizada sem antes ter sido feito todo este levantamento interno. A maioria dos casos de fracasso na migração para nuvem acontece por falta de um planejamento inicial, falta de entendimento real das implicações de tal migração. Dependendo do modelo de serviço de nuvem que se escolhe, uma total readaptação precisa ser feita. Imagine por exemplo uma migração para nuvem que inclua o desenvolvimento de novas aplicações já na nuvem. Neste modelo não só os serviços para o usuário final serão afetados, mas também a plataforma de desenvolvimento. E, quando se está desenvolvendo para nuvem, qual o modelo de segurança que está sendo usado? Todas as áreas que ofereçam vetores de exploração precisam ser levadas em consideração durante a migração. 3 Este documento pode ser acessado por completo em http://csrc.nist.gov/publications/nistpubs/800-144/ SP800-144.pdf
10 Certificação Security+ Da Prática Para o Exame SY0-301 1 a 1 com o Autor (Yuri Diógenes) Migração para Nuvem e Segurança de Perímetro Um dos grandes erros que podem ocorrer durante a migração para nuvem é a falsa impressão de que a partir do momento em que você migra é possível relaxar a segurança de perímetro e até mesmo a segurança dos recursos que estão nas premissas da empresa. Durante minha palestra do TechED Brasil 2011 falei sobre este tema e mostrei os fatores de risco caso tal relaxamento na segurança exista. Os slides desta palestra estão disponíveis em http://yuridiogenes.wordpress.com/2011/10/04/teched-2011-segurana-de-permetro-durante-migraopara-nuvem-sia302/. Leia o Contrato e Conheça Mais Sobre seu Provedor Apesar de básica esta recomendação é primordial: leia tudo sobre o provedor de serviços da nuvem. Qual a certificação que tal provedor tem nos seus serviços de cloud? O datacenter foi auditado com padrões SAS 70 Tipo 2 4? O datacenter é certificado ISO 27001 5? Os serviços da nuvem estão seguindo o padrão FISMA 6? A investigação acerca do provedor tem que ser feita de uma forma bem detalhada, até mesmo porque muitas vezes o provedor é certificado FISMA somente para algumas aplicações na nuvem, mas não para outras. Outro ponto importante do ponto de vista de entendimento do contrato é a leitura dos termos de nível de serviço a ser provido, o SLA (Service Level Agreement). Como o provedor de serviço da nuvem vai reagir em caso de falha? Quanto tempo vai levar para o serviço ser reestabelecido em caso de parada? Qual o plano de backup em caso de falha? Qual o tempo máximo aceitável para o seu negócio e como o provedor vai 4 Maiores informações em: http://www.sas70exam.com/services/type-ii-sas-70-audit/ 5 Maiores informações em: http://en.wikipedia.org/wiki/iso/iec_27001 6 Maiores informações em: http://csrc.nist.gov/groups/sma/fisma/index.html
Capítulo 17 Considerações quanto à Segurança na Computação na Nuvem 11 honrar este tempo? A partir do momento em que você começa a migrar aplicações críticas para o seu negócio para a nuvem é de suma importância ter um entendimento e um comprometimento das SLAs usadas para cada tipo de incidente. Nem sempre a SLA oferecida pelo provedor vai atender suas necessidades, principalmente no caso de catástrofe no acesso a aplicações de missão crítica. Durante este processo de conhecer mais sobre seu provedor é vital entender como é feita a liberação de logs para fins de investigação. Caso você precise fazer algum tipo de investigação nos seus dados passados, qual a política do provedor para liberar tais dados? É preciso ordem judicial? Por quanto tempo tais logs ficam armazenados? Em um ambiente onde existem vários clientes que compartilham os mesmos recursos como fica o isolamento de logs e como é garantido que os logs da minha empresa não serão mesclados com os de outros clientes? No caso de correio eletrônico, quais as regras de liberação de dados? Segue algum tipo de padrão? (por exemplo, o FOIA 7 nos Estados Unidos) É importante também lembrar que não basta ter certificações para serviços SLA dentro dos padrões esperados se o pessoal interno que gerencia o datacenter não tem treinamento adequado e não há um padrão de segurança para acesso aos dados dos clientes. Quem tem acesso aos dados? Qual a política de controle a estes dados? Como é feito o isolamento dos dados? A transparência da política de segurança usada pelo provedor de soluções é algo vital de ser conhecido. Por fim é fundamental saber do provedor de serviços da nuvem onde ficam armazenados os dados do ponto de vista físico 8. Você não precisa saber o endereço do datacenter, mas precisa saber a localização geográfica do mesmo. Em caso de falha, meus dados são transferidos para fora do meu país de origem? Caso positivo, que país é esse? Por quanto tempo o dado fica localizado nesta localidade? Este ponto é importante, pois você (contratante) poderá sofrer restrições quanto ao dado sair do país de origem e com isso a decisão de adotar tal provedor já é descartada. 7 Para maiores informações sobore o Freedom of Information (FOIA) ler http://www.state.gov/m/a/ips 8 Para ver um vídeo sobre como funciona o Datacenter da Microsoft para serviços da nuvem veja http:// blogs.technet.com/b/yuridiogenes/archive/2011/07/26/where-is-my-data.aspx
12 Certificação Security+ Da Prática Para o Exame SY0-301 Datacenter do Provedor de Serviços da Nuvem Datacenter do Provedor de Serviços da Nuvem Figura 17.4 Ter conhecimento da localização geográfica dos dados é algo importante. Uma Questão de Confiança O fato é que, mesmo que toda esta revisão contratual seja realizada com sucesso e passe por todo crivo da empresa contratante, no final ainda existe uma palavra que descreve bem o sentimento: confiança. O contratante tem que confiar que todas as cláusulas serão respeitadas, afinal, a partir daquele momento, o principal bem da empresa (os dados) será manuseado por uma equipe da qual você não tem nem ideia de quem seja. Essa talvez seja a maior quebra de paradigma para os protecionistas da
Capítulo 17 Considerações quanto à Segurança na Computação na Nuvem 13 área de tecnologia da informação que procuram buscar razões para não migrar para nuvem. Ao passo que é uma preocupação válida, este motivo por si só não é sustentável do ponto de vista de negócio para barrar a adoção da computação na nuvem. Dentro das preocupações do ponto de vista do manuseio dos dados podemos citar: Acesso Interno: em um artigo publicado na infoworld.com 9 em maio de 2010, o subtítulo diz: "empregados velhacos e usuários sem noção podem causar mais danos que sujeitos maliciosos vindos de Fora". Esta é uma verdade consumada e existente na grande maioria das empresas. Como fica isso então na migração para nuvem? O fato é que o risco aumenta e este é mais um motivo para que o contratante saiba exatamente qual o tipo de treinamento que os funcionários recebem e qual o tipo de punição dada para infrações no possível vazamento de dados. Propriedade do Dado: o dado é do cliente e isso tem que ficar claro. O manuseio será realizado pelo provedor de serviços da nuvem, mas o dado sempre será do cliente. Para evitar qualquer tipo de dúvida quanto a isso é preciso que exista uma documentação contratual quanto à propriedade final dos dados. Arquitetura do Cliente e do Provedor Partindo do pressuposto de que temos aqui um caminho para nuvem de dentro (premissas da empresa) para fora (provedor de serviços da nuvem) a pergunta é: qual seu caminho para nuvem? Você só tem um provedor de acesso à Internet? Caso este provedor fique fora, como vai acessar as aplicações na nuvem? Só neste conjunto de três perguntas já foi possível desenhar um cenário de catástrofe, pois sem acesso à Internet todo o dinheiro investido na migração para nuvem vai para o espaço. Por isso planejar a arquitetura de rede e perímetro interna é de suma importância. Muita das falhas de planejamento acontecem devido ao excesso de preocupação com o provedor de serviços e o esquecimento de que para chegar lá e manter-se conectado é preciso ter uma infraestrutura interna com redundância contra falhas. Trata-se do velho pilar de disponibilidade (Availability). 9 Ler o artigo completo em http://www.infoworld.com/d/security-central/the-true-extent-insider-securitythreats-281
14 Certificação Security+ Da Prática Para o Exame SY0-301 Datacenter Número 2 do Provedor de Serviços da Nuvem (Secundário) - Replicação - Mecanismo de falha automática de recursos entre localidades Datacenter Número 1 do Provedor de Serviços da Nuvem (Primário) Figura 17.5 Fornecer uma infraestrutura de redundância contra falhas é essencial. Além disso, também é importante endereçar os seguintes aspectos: Superfícies de Ataque: quais são os pontos de ataques que são introduzidos em uma infraestrutura de nuvem (seja ela pública ou privada) em uma dimensão maior que em outros datacenters? Acertou se disse hypervisor. Apesar de muitos tentarem definir nuvem como virtualização (que é algo errado), a nuvem usa de forma extensa recursos de virtualização, porém note que nuvem não é virtualização (repita isso umas 10 vezes para ter certeza de que nunca vai confundir isso). Porém com o
Capítulo 17 Considerações quanto à Segurança na Computação na Nuvem 15 uso excessivo de virtualização é correto dizer que possíveis ataques ao hypervisor podem ter um efeito mais devastador. Equipamentos de Redes (Físicos e Virtuais): muitas implementações de switch já são feitas diretamente na plataforma de virtualização. Qual tipo de switch é utilizado e como ela protege e isola a comunicação entre os clientes? Proteção do Cliente: no final é o cliente que vai ter acesso aos dados, ou seja, se a estação a qual ele está acessando está comprometida, os riscos de vazamento de informação e propagação de algum tipo de malware crescem substancialmente. Com isso a política de proteção do dispositivo final continua sendo algo importante a ser endereçado. Lembrando que o ecossistema cresceu, agora não é apenas acesso através de um PC, mas sim de tablets, telefones e outros dispositivos que tenham acesso ao serviço da nuvem. Proteção dos Servidores: existem dois aspectos principais nesta questão: o primeiro está relacionado à proteção dos servidores que ficam localizados nas dependências do provedor dos serviços de nuvem. O que eles usam para proteção contra malware? Qual o tipo de proteção contra vazamento de informações? Eles usam criptografia no disco? Os servidores são preparados através de alguma imagem? Se sim, o que esta imagem traz como padrão? Algum tipo de reforço de segurança (hardening) é feito? O outro aspecto está relacionado aos servidores que ficam nas premissas do cliente. Muitas vezes a migração para nuvem ocorre de forma pautada, com isso alguns servidores de legado vão continuar nas premissas do cliente. É importante fazer o levantamento destes servidores, verificar se eles precisam ter acesso aos recursos da nuvem e como a proteção deles deve ser realizada. É importante também mencionar que em um modelo IaaS os servidores da nuvem podem ficar nas premissas do cliente. Com isso a responsabilidade de proteção de tais servidores fica a cargo do cliente. Para concluir o raciocínio do ponto de vista de arquitetura e principalmente reforçando o fator proteção do cliente, lembre-se que o treinamento básico de segurança é fundamental e precisa ser realizado para toda a empresa. Quando uma empresa migra seus recursos para nuvem o tempo que o funcionário vai estar conectado aumenta e com isso a exposição para recursos da Internet aumentam mais ainda. No passado existiam aquelas políticas de que só algumas pessoas poderiam acessar a Internet; isso mudou e agora todos da empresa
16 Certificação Security+ Da Prática Para o Exame SY0-301 precisam acessar. O controle de conteúdo a partir do perímetro torna-se cada vez mais importante, por isso não é real afirmar que a computação da nuvem significa o fim do perímetro. Na realidade as premissas de segurança do perímetro apenas sofrem alterações, mas sua aposentadoria está longe de acontecer. Com o advento das redes sociais é importante que o treinamento de segurança básico para funcionários eduque ao uso correto destas redes 10 principalmente quando aliado a serviços de localização, e eduque também quanto às políticas da empresa para revelar informações em público através das redes sociais. Autenticação Um dos aspectos que demandam bastante atenção quanto à migração para nuvem é o fator de apenas autorizar usuários autenticados no uso dos serviços disponibilizados para os clientes. Parte da isolação de recursos também é feita através da implementação correta de políticas de autenticação e autorização. Com isso é correto afirmar que identidade e gerenciamento de acesso são fundamentais no modelo de computação na nuvem. Muitas vezes o modelo adotado requer uso de identidade que está localizada nas premissas da empresa, ou seja, o cliente quer tirar proveito do serviço de diretório que tem todos os seus usuários para autenticar no acesso a recursos que estão na nuvem. Este tipo de formato de autenticação pode ser implementado com uso de federação. O modelo funciona similar ao mostrado na Figura 17.6. Muitos provedores de serviços de nuvem fazem uso de padrões abertos para gerenciamento de acesso a recursos da nuvem, como por exemplo: SAML (Security Assertion Markup Language) 11 e XACML (extensible Access Control Markup Language) 12. Por este motivo é importante coletar informações com seu provedor para identificar qual o padrão usado por ele e como isso poderá se enquadrar nos requisitos de segurança da sua empresa. 10 Leia o artigo que escrevi acerca dos perigos da integração das redes sociais com serviços de localização aqui http://yuridiogenes.wordpress.com/2011/12/07/perigos-dos-servios-de-localizao-geogrfica-integradoscom-as-redes-sociais/ 11 Maiores informações sobre este padrão em http://en.wikipedia.org/wiki/security_assertion_markup_ Language 12 Maiores informações sbore este padrão em http://en.wikipedia.org/wiki/xacml
Capítulo 17 Considerações quanto à Segurança na Computação na Nuvem 17 Servidor de Recursos na Nuvem Servidor de Diretório Federação entre organizações Autenticação usando o serviço de diretório da empresa Acesso ao recurso Usuário Remoto Figura 17.6 Uso de federação para acessar recursos da nuvem com usuários localizados nas premissas do cliente. Considerações Finais Conforme visto durante todo este capítulo os aspectos que tangem à segurança na nuvem são vários. Este tema foi incluído na certificação Security+ pois o fato é que vários profissionais de segurança nos dias de hoje precisam ter esta fundamentação acerca da computação na nuvem e os aspectos de segurança que estão envolvidos neste modelo. Porém o tema é muito extenso e pensando nisso a CompTIA lançou uma nova certificação chamada de Cloud Essentials Professional (CEP). Esta nova certificação é 100% focada em computação na nuvem e é extremamente importante para todos os profissionais de TI que pretendem entrar neste mercado de computação na nuvem. Para maiores informações sobre esta certificação acesse http://certification. comptia.org/getcertified/certifications/cloud.aspx.
18 Certificação Security+ Da Prática Para o Exame SY0-301 Na sua lista de considerações quanto à segurança na nuvem também adicione: Proteção dos Dados: como o provedor de acesso à nuvem está protegendo seus dados (logicamente e fisicamente). Isolamento dos dados: como garantir que seus dados não serão mesclados com os de outras empresas que fazem parte do mesmo pool de recursos do provedor. Disponibilidade: qual o plano de contingência do provedor e como é feita a garantia de acesso aos recursos da nuvem mesmo em caso de falha. Resposta Contra Incidente: se o provedor de serviços da nuvem for invadido como ele trata tal incidente? Qual a política utilizada para identificação, contenção e resolução do problema. Sumário Neste capítulo você aprendeu mais sobre os conceitos básicos de computação na nuvem, os tipos de nuvem disponíveis e as formas de adoção de cada modelo. Após entender os conceitos de SaaS, PaaS e IaaS você também aprendeu mais sobre as considerações gerais de segurança relacionado com a adoção da computação na nuvem. Revisão Utilize o mapa de memória da Figura 17.7 para revisar os principais pontos deste capítulo. Este mapa lhe ajudará a focar nos temas que foram abordados até o momento. Use o mapeamento de memória da seguinte forma: 1. Revise o tema principal e sua ramificação. 2. Procure estudar com um rascunho ao lado do livro para escrever as definições de cada tema. Por exemplo: Quais as principais considerações de segurança durante a migração para nuvem? 3. A partir do momento em que você começar a definir as terminologias por você mesmo, terá segurança no tema, por isso a importância de começar a praticar escrevendo tal definição com suas palavras.
Capítulo 17 Considerações quanto à Segurança na Computação na Nuvem 19 Figura 17.7 Mapa de memória. 4. Ao terminar de fazer esta revisão, inicie as questões de revisão. As respostas estão presentes no Apêndice 1. Questões de Revisão do Capítulo 17 1) E-Mail é classificado como que tipo de tecnologia baseada em cloud computing?
20 Certificação Security+ Da Prática Para o Exame SY0-301 a. Computação por demanda b. Infraestrutura como serviço (Iaas) c. Software como Serviço (SaaS) d. Plataforma como Serviço (Paas) R. C 2) Em qual modelo o cliente tem acesso a criar as VMs e também responsabilidade de manter os servidores criados? R.: B a. Computação por demanda b. Infraestrutura como serviço (Iaas) c. Software como Serviço (SaaS) d. Plataforma como Serviço (Paas) 3) Qual das características abaixo não é uma das características de uma nuvem por definição do NIST? R.: D a. Self-service sobre demanda b. Agrupamento de Recursos c. Elasticidade Rápida d. Virtualização 4) Qual das opções abaixo não é uma vantagem de adoção de SaaS? a. Redução do quadro de pessoal de TI b. Redução de custo de licenciamento c. Abstração e redução do custo de manutenção do software d. Redução do custo de atualização do software