tech segurança na nuvem
DESCRIPTION
Segurança na NuvemTRANSCRIPT
![Page 1: Tech segurança na nuvem](https://reader034.vdocuments.pub/reader034/viewer/2022042607/559e7f761a28ab431f8b4694/html5/thumbnails/1.jpg)
![Page 2: Tech segurança na nuvem](https://reader034.vdocuments.pub/reader034/viewer/2022042607/559e7f761a28ab431f8b4694/html5/thumbnails/2.jpg)
O termo Nuvem foi importado da imagem utilizada para representar a Internet
Computação na Nuvem significa basicamente que os processos computacionais são realizados na Internet
A terminologia de serviços da Nuvem ainda é confusa e provavelmente as definições mais claras foram estabelecidas pelo National Institute of Standards and Technology (NIST) e Cloud Security Alliance (CSA)
![Page 3: Tech segurança na nuvem](https://reader034.vdocuments.pub/reader034/viewer/2022042607/559e7f761a28ab431f8b4694/html5/thumbnails/3.jpg)
Software como Serviço (SaaS)
O usuário utiliza aplicativos do provedor em uma infraestrutura de nuvem com pouco ou nenhum controle sobre a infraestrutura, rede, servidores, sistemas operacionais, armazenamento, etc...
![Page 4: Tech segurança na nuvem](https://reader034.vdocuments.pub/reader034/viewer/2022042607/559e7f761a28ab431f8b4694/html5/thumbnails/4.jpg)
Plataforma como Serviço (PaaS)
O usuário implementa aplicativos em ambiente de desenvolvimento próprio, exerce total controle sobre suas aplicações e utiliza a infraestrutura disponibilizada pelo provedor (servidores, sistema operacional e dispositivos de armazenamento)
![Page 5: Tech segurança na nuvem](https://reader034.vdocuments.pub/reader034/viewer/2022042607/559e7f761a28ab431f8b4694/html5/thumbnails/5.jpg)
Infraestrutura como Serviço (IaaS)
O cliente obtém APIs (Application ProgrammingInterface), processamento, armazenamento e recursos de computação do provedor. Utiliza seu próprio sistema operacional, suas aplicações e até alguns componentes de rede
![Page 6: Tech segurança na nuvem](https://reader034.vdocuments.pub/reader034/viewer/2022042607/559e7f761a28ab431f8b4694/html5/thumbnails/6.jpg)
Auto-Serviço: Obter (ou dispensar) recursos quando for conveniente, sem consulta ao provedor
Acesso: Utilizar o serviço com qualquer tipo de hardware
Compartilhamento: Vários clientes compartilham um ambiente comum para reduzir custos
Escalabilidade: Administrar variações de demanda de recursos sem prejudicar a qualidade de serviço
Métricas: Indicadores de uso abrangentes e acessíveis
![Page 7: Tech segurança na nuvem](https://reader034.vdocuments.pub/reader034/viewer/2022042607/559e7f761a28ab431f8b4694/html5/thumbnails/7.jpg)
Redução de Custos: Economias de escala permitem reduzir os custos drasticamente (a maioria das empresas utiliza menos de 25% da capacidade de seus servidores)
Mobilidade: Por definição a Nuvem pode ser acessada de qualquer lugar, permitindo total portabilidade das informações
![Page 8: Tech segurança na nuvem](https://reader034.vdocuments.pub/reader034/viewer/2022042607/559e7f761a28ab431f8b4694/html5/thumbnails/8.jpg)
Elasticidade ou Flexibilidade de Ajuste: O cliente utiliza (e paga) recursos e serviços de acordo com a real necessidade
Custos de Armazenamento: Disponível de acordo com a necessidade, sem bancar espaços não utilizados
Experiência do Provedor: Supondo uma escolha correta, a experiência de um fornecedor com foco exclusivo em TI pode ser de grande utilidade para o cliente em questões críticas
![Page 9: Tech segurança na nuvem](https://reader034.vdocuments.pub/reader034/viewer/2022042607/559e7f761a28ab431f8b4694/html5/thumbnails/9.jpg)
A incertezas para migrar para serviços em Nuvem estão centradas em segurança, desempenho e disponibilidade
Desempenho e disponibilidade são sensíveis porque o ambiente do processamento computacional, onde os recursos podem ser vistos e controlados, muda para algo intangível
As principais questões de segurança estão situadas em falhas ou fragilidades da própria tecnologia, no acesso não autorizado à informações, criptografia, aplicativos, autenticação de operadores, virtualização, etc...
![Page 10: Tech segurança na nuvem](https://reader034.vdocuments.pub/reader034/viewer/2022042607/559e7f761a28ab431f8b4694/html5/thumbnails/10.jpg)
Segurança física: As instalações e operadores não são controlados pelo usuário. O provedor deve ter políticas de segurança abrangentes e efetivas
Acesso a informações privilegiadas: O cliente não tem controle sobre quem tem acesso às suas informações
![Page 11: Tech segurança na nuvem](https://reader034.vdocuments.pub/reader034/viewer/2022042607/559e7f761a28ab431f8b4694/html5/thumbnails/11.jpg)
Criptografia: Nuvens são ambientes compartilhados com outros clientes do provedor, talvez até concorrentes do usuário. Violações podem acontecer de um banco de dados para outro. A criptografia é um elemento essencial e muito eficiente, porém cria outro problema, quem é o responsável pela chave criptográfica. As modernas técnicas de criptografia assimétrica (certificação digital) inviabilizam qualquer acesso se a chave for perdida
![Page 12: Tech segurança na nuvem](https://reader034.vdocuments.pub/reader034/viewer/2022042607/559e7f761a28ab431f8b4694/html5/thumbnails/12.jpg)
Relacionamento com terceiros: O axioma básico da segurança é que ela é tão forte quanto seu elo mais fraco. Em ambientes corporativos, o elo mais fraco quase sempre é a integração com parceiros e, no caso da nuvem, ainda mais importante devido e existência de vários terceiros em ambientes compartilhados
Network Security: Provedores de serviços de Nuvem concentram múltiplos usuários e alvos em potencial para hackers. A Nuvem também é suscetível a ataques de negação de serviço
![Page 13: Tech segurança na nuvem](https://reader034.vdocuments.pub/reader034/viewer/2022042607/559e7f761a28ab431f8b4694/html5/thumbnails/13.jpg)
Virtualização: Os os provedores de nuvem usam técnicas de virtualização para usufruir de economias de escala e oferecer melhor arquitetura distribuída. A virtualização tem seu próprio conjunto de problemas de segurança
Segurança de aplicativos: A maioria dos eventos de segurança acontecem através de aplicativos da Web. Na Nuvem o nível de exposição é semelhante ao de uma instalação interna, porém potencializado pelo ambiente compartilhado, sem que o usuário exerça controle sobre ele
![Page 14: Tech segurança na nuvem](https://reader034.vdocuments.pub/reader034/viewer/2022042607/559e7f761a28ab431f8b4694/html5/thumbnails/14.jpg)
Controles de acesso: Algumas das grandes questões para serviços em nuvem são em torno de controle de acesso, autenticação, gerenciamento de usuários, configuração etc. É importante saber com que tipo de padrões o provedor de nuvem está alinhado, como é feito o provisionamento de usuários, quem gerencia o processo de administração de credenciais, se OpenIDs podem ser utilizados para autenticação e se existem VPNsdedicadas
![Page 15: Tech segurança na nuvem](https://reader034.vdocuments.pub/reader034/viewer/2022042607/559e7f761a28ab431f8b4694/html5/thumbnails/15.jpg)
Privilégios de acesso
Dados confidenciais processados e/ou armazenados fora do ambiente empresarial têm um nível inerente de risco, porque desconsideram a cultura e as práticas da organização
Informações privilegiadas restritas à alta direção ou ao departamento de pesquisas de uma empresa não podem ser manipuladas livremente por estagiários de fornecedores de serviços ou empresas terceirizadas
![Page 16: Tech segurança na nuvem](https://reader034.vdocuments.pub/reader034/viewer/2022042607/559e7f761a28ab431f8b4694/html5/thumbnails/16.jpg)
Conformidade com regulamentações
Os clientes são, em última instância, responsáveis pela integridade e segurança dos dados que administram, mesmo que esta atribuição seja delegada a um prestador de serviços
Fornecedores devem disponibilizar relatórios periódicos de auditorias externas e certificações de segurança
![Page 17: Tech segurança na nuvem](https://reader034.vdocuments.pub/reader034/viewer/2022042607/559e7f761a28ab431f8b4694/html5/thumbnails/17.jpg)
Localização dos Servidores
A computação na nuvem desobriga a localização exata dos servidores que hospedam os dados que podem, inclusive, estar fora do país. Embora tecnicamente isto possa ser considerado um avanço, existe o problema de jurisdição legal que deve ser endereçado com critério
O ambiente físico de armazenamento tem que ter compatibilidade com os diplomas legais que regem a empresa assegurando (1) o acesso por decisão judicial e (2) a garantia de privacidade de acordo com a legislação do país de origem
![Page 18: Tech segurança na nuvem](https://reader034.vdocuments.pub/reader034/viewer/2022042607/559e7f761a28ab431f8b4694/html5/thumbnails/18.jpg)
Segregação de Dados
Uma nuvem compartilha as informações de muitos clientes que, na prática, podem ser concorrentes entre si e hospedar suas informações em um mesmo ambiente físico. Normalmente os provedores de serviços utilizam esquemas específicos de criptografia para cada cliente que, no estado da arte da tecnologia, é uma técnica eficaz (os custos para abrir uma criptografia de 1024 bits são absurdos), porém acidentes na administração das chaves podem impedir o acesso aos dados ou comprometer sua disponibilidade
![Page 19: Tech segurança na nuvem](https://reader034.vdocuments.pub/reader034/viewer/2022042607/559e7f761a28ab431f8b4694/html5/thumbnails/19.jpg)
Recuperação
A localização física exata dos dados pode ser incerta, porém o provedor de serviços é obrigado a garantir a sua disponibilidade em casos de desastres ou catástrofes
Contratos que não explicitam a replicação de dados e infraestrutura não garantem a integridade do acervo de informações. É importante constar a capacidade de recuperação completa em casos de acidentes e o tempo necessário para o restabelecimento dos serviços
![Page 20: Tech segurança na nuvem](https://reader034.vdocuments.pub/reader034/viewer/2022042607/559e7f761a28ab431f8b4694/html5/thumbnails/20.jpg)
Viabilidade no longo prazo
Em um ambiente ideal, o fornecedor de serviços de nuvem não encerra suas atividades nem é adquirido por outra empresa, entretanto a dinâmica dos mercados sugere que isto é muito provável
Se um destes eventos ocorrer, a manutenção da portabilidade e disponibilidade são características importantes
![Page 21: Tech segurança na nuvem](https://reader034.vdocuments.pub/reader034/viewer/2022042607/559e7f761a28ab431f8b4694/html5/thumbnails/21.jpg)
Apoio à investigação
A investigação de atividades impróprias ou ilegais é complicada na computação na nuvem. O acúmulo de serviços no provedor pode ocasionar a realocação bancos de dados para outras máquinas ou ambientes físicos. É necessário um compromisso contratual de apoio a formas específicas de investigação, caso contrário qualquer atividade relacionada com esta área é improvável, se não impossível (a nuvem não pode ser um paraíso para pedófilos ou outros usuários inescrupulosos para compartilhar ou ocultar conteúdo)
![Page 22: Tech segurança na nuvem](https://reader034.vdocuments.pub/reader034/viewer/2022042607/559e7f761a28ab431f8b4694/html5/thumbnails/22.jpg)
Padrões
Padrões são restritivos por definição. Várias entidades questionam se a computação na nuvem pode obter algum tipo de benefício com a padronização neste estágio do desenvolvimento. Existe uma relutância latente entre provedores de serviços em seguir recomendações e adotar padrões antes que o mercado defina o seu real cenário. Independente deste fato, organizações internacionais como ISO/IEC e ITU estão desenvolvendo um conjunto de padrões específicos de segurança para a nuvem
![Page 23: Tech segurança na nuvem](https://reader034.vdocuments.pub/reader034/viewer/2022042607/559e7f761a28ab431f8b4694/html5/thumbnails/23.jpg)
Jurisdição
Privacidade protegida por lei em um país pode não merecer o mesmo tratamento em outro. Em muitos casos, como os usuários não sabem onde suas informações são armazenadas, existem processos para tentar harmonizar leis, porém o consenso está distante
A União Européia e seus estados membros favorecem a proteção rígida da privacidade, enquanto o Patriot Actdos EUA garante às suas agências governamentais poderes praticamente ilimitados de acesso às informações, incluindo às que incluem dados de pesquisas desenvolvidas por empresas
![Page 24: Tech segurança na nuvem](https://reader034.vdocuments.pub/reader034/viewer/2022042607/559e7f761a28ab431f8b4694/html5/thumbnails/24.jpg)
A computação na Nuvem oferece muitos benefícios
A segurança é importante, mas está longe de ser é um fator impeditivo, desde que tratado com efetivo cuidado
Um provedor de serviços confiável e acordos sobre níveis de serviços (SLAs) claros e compreensíveis são requisitos essenciais
A migração para serviços de Nuvem não é apenas uma decisão econômica e deve envolver também os setores de tecnologia e jurídico