Segurança em Nuvem

Segurança é um dos assuntos mais importantes quando falamos em redes de computadores, pois não queremos pôr em risco nossos dados por intrusos que podem roubar ou danificar informações de trabalho. A informação é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a organização e consequentemente necessita ser adequadamente protegida, a segurança da informação tende a minimizar danos e protege todas as informações de vários tipos de ameaças assim garantindo a sequência do trabalho, segurança da Informação profissionalmente colocada em prática é um diferencial competitivo na organização assim dando retorno dos investimentos e aumentando oportunidades de negócios.

Figura 11: Segurança da Informação

Fonte: Moreira et al. (2011)

Segundo Soares (1995, p.448):

A segurança está relacionada à necessidade de proteção contra o acesso ou manipulação, intencional ou não, de informações confidenciais por elementos não autorizados, e a utilização não autorizada do computador ou de seu dispositivo periféricos. A necessidade de proteção deve ser definida em termos das possíveis ameaças e riscos dos dispositivos de uma organização, formalizados nos termos de uma política de segurança.

A segurança visa aumentar a produtividade dos usuários dentro de uma organização, tendo mais controle sobre os recursos financeiros e de informática.

Segundo Moreira et al. (2011, p.3):

Sem dúvida nenhuma, segurança das informações é hoje fator de desenvolvimento e competitividade para as corporações modernas. Algumas empresas despertam para esta realidade e partem em busca de soluções para se livrarem da disponibilidade de serem vítimas de vandalismos cibernéticos ou até mesmo de fraudes oriundas de funcionários.

Todo projeto de informação procura abranger pelo menos os processos mais críticos.

O resultado esperado de um trabalho como este é que no mínimo todos os investimentos efetuados davam conduzir para:

  • Redução da probabilidade de ocorrência de incidentes de segurança;
  • Redução dos danos/perdas causadas por incidentes de seguranças;
  • Recuperação de dados em caso de desastre/incidente.

O objetivo da segurança, no que tange à informação, é a busca da confiabilidade disponibilidade, e integridade da própria informação (MOREIRA et al. 2011).

Com a complexidade atual dos sistemas de informação e a conectividade à outras redes, incluindo a Internet, os ataques se tornaram mais efetivos e abalam aspectos que sustentam a credibilidade das organizações. Com a dependência do negócio aos sistemas de informação e o surgimento de novas tecnologias e formas de trabalho, como o comércio eletrônico, as redes virtuais privadas e os funcionários móveis, as empresas começaram a despertar para a necessidade de segurança, uma vez que se tornaram vulneráveis a um número maior de ameaças (MOREIRA et al. 2011).

As redes de computadores, e consequentemente a Internet mudaram as formas como se usam sistemas de informação. As possibilidades e oportunidades de utilização são muito mais amplas que em sistemas fechados, assim como os riscos à privacidade e integridade da informação. Portanto, é muito importante que mecanismos de segurança de sistemas de informação sejam projetados de maneira a prevenir acessos não autorizados aos recursos e dados destes sistemas (LAUREANO, 2004, p.23).

Segurança da informação possui 3 pilares fundamentais que regem suas regras e que são conhecidos como a Tríade da Segurança da Informação como indicado na figura 01 Confidencialidade, Integridade e Disponibilidade.

Figura 12: Segurança da Informação: Tríade CIA

Segurança da Informação Tríade CIA

Fonte: Laureano (2004)

Segundo Kurtz (2002, p.20), “confiabilidade é o princípio que garante o acesso à informação somente por pessoas autorizadas. Este conceito está diretamente ligada à necessidade de compartilhamento de informações”.

A confidencialidade dos dados significa que estes estão disponíveis apenas para as partes apropriadas, que podem ser partes que requerem acesso a dados ou partes que são confiáveis, dados confidenciais não são divulgados a pessoas que não necessitam ou que não deveriam ter acesso a eles. Podemos dizer que a falta de confiabilidade está presente em ações de Crackers, que exploram vulnerabilidades de sistemas e conseguem acesso a informações na qual deveriam ser restritas. Ou ainda em sistemas de distribuição de informação mal configurados no qual promove privacidade, boa parte dos ataques ocorre por conta de informações vazadas pelos próprios funcionários, seja de forma consciente ou inocente, muitas vezes abrem brechas de segurança que expõem informações armazenadas em suas maquinas (LAUREANO, 2004).

Segundo Kurtz (2002, p.24), “a disponibilidade das informações é o princípio que assegura que a informação estará disponível no momento em que se necessitar, ou seja, a informação deverá estar disponível quando sua utilização for necessária”.

A falta de disponibilidade pode ser encontrada em sistemas bancários, governamentais, redes de telefone, entre outros. Pois em horários de picos recebem grande número de acessos e acabam passando por lentidões e muitas vezes os sistemas ficam fora do ar. A disponibilidade dos dados e da informação significa que esta está disponível quando for necessária (LAUREANO, 2004).

Para que um sistema demonstre disponibilidade, deve dispor de um sistema computacional, de controles de segurança e canais de comunicação de bom funcionamento como na figura 2. A maioria dos sistemas disponíveis é acessível em todos os momentos e tem garantias contra falhas de energia, desastres naturais, falhas de hardware e atualizações de sistemas (KURTZ, 2002).

Figura 13: Disponibilidade de Rede

Disponibilidade de rede

Fonte: Laureano (2004)

Integridade visa assegurar que um documento não teve seu conteúdo alterado, destruído ou corrompido. É a certeza de que os dados não serão modificados por pessoas não autorizadas. Existem basicamente dois pontos durante o processo de transmissão no qual a integridade pode ser comprometida: durante o carregamento de dados e/ou durante o armazenamento ou coleta do banco de dados. Para isso, o sistema é capaz de detectar alterações não autorizadas no conteúdo. O objetivo é que o destinatário verifique que os dados não foram modificados indevidamente (MITNICK E KEVIN, 2006).

Integridade – propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e destruição) (MITNICK E KEVIN, 2006).

Visto uma vez que, a computação nas nuvens é a tecnologia emergente que visa automatizar e agilizar os processos na questão de armazenamento e compartilhamento de dados, a atenção em fatores como segurança e confiabilidade das informações utilizadas deve ser dobrada.

Se, por um contexto, a computação em nuvem já é possuinte dentro de seu modelo diversos recursos de segurança, e isto tem interpretação como um benefício, também pode existir diversas características do modelo que poderão ter interpretação como problemas. Neste contexto, é fundamental que os usuários e provedores de serviços de computação em nuvem possua consciência de suas responsabilidades.

As responsabilidades pela segurança dos serviços com execução em nuvem computacional alteram segundo o tipo de serviço e recursos ofertados. Entretanto, todavia existem responsabilidades por parte do usuário como do provedor, e assim, nenhuma das partes é desprovida de responsabilidade no contexto de segurança. De fato, o que tem ocorrência em cada modelo de serviço é uma delimitação destas responsabilidades. A Figura 12 faz ilustração de uma visão genérica da delimitação de controle dos recursos computacionais relacionados ao usuário e provedor baseado na notação comum de modelos de serviço do National Institute os Standards and Technology – Nist: IaaS, PaaS e SaaS.

Figura 14: Delimitação usual do controle dos recursos por modelo de serviço

Fonte: Gilbertson (2011)

A Figura 14 permite fazer a identificação que, mesmo nos serviços tipo SaaS ainda existe responsabilidade compartilhada perante usuário e provedor. Além do mais, tem evidência a parcela considerável dos recursos que é de responsabilidade do provedor do serviço de nuvem em todos os modelos de serviço. Assim, é possível fazer afirmação que, quem (usuário ou provedor) é possuinte de algum controle (total ou compartilhado) perante um elemento da nuvem, e possui também responsabilidade perante a segurança deste elemento. Um exemplo disto é o serviço de disco virtual do Dropbox (tipo SaaS), onde a grande parte dos recursos tem controle pelo provedor e há um processo de definir senhas não triviais, não impedimento o usuário de fazer a divulgação de sua senha de forma indevida e comprometer seu serviço. Entretanto, a Figura 14 também acaba possibilitando identificar inicialmente as origens de diversos problemas de segurança baseado em responsabilidades do usuário e do provedor, bem como nos recursos com controle pelo mesmo usuário/provedor. As nuvens computacionais poderão ter disponibilização utilizando distintos modelos de implantação, sendo que, a forma como os recursos possuem acesso é fundamentalmente similar.

A Figura 15 faz apresentação de uma visão, perante a ótica da organização lógica da infraestrutura as redes computacionais, do acesso aos seus recursos com fornecimento por uma nuvem computacional do tipo privado.

Figura 15: Visão de acesso aos recursos da nuvem por parte de usuário e provedor

Fonte: Gilbertson (2011)

A Figura 15 permite fazer a identificação que, o acesso do lado do usuário aos serviços do provedor de nuvem precisa ultrapassar o perímetro de segurança do provedor, que é comum bem controlado e provido de recursos de segurança. Também pode-se perceber que, dentro do provedor de nuvem, existem diversas interações que possuem ocorrência no intuito de gerir a própria nuvem e fornecer os serviços com solicitação pelos usuários. Neste contexto, os mecanismos e controles de segurança geralmente não possuem acessibilidade por parte do usuário. Esse fato acaba levando o usuário do serviço de nuvem a ter confiança que, a segurança tem tratamento de forma satisfatória dentro dela.

Os contextos demonstrados nas Figuras 14 e 15 acabam permitindo a identificar, de maneira geral, as responsabilidades pelos recursos, e por consequência, pela sua confiança. Outro aspecto a ter consideração perante as nuvens computacionais é sua composição com base em conjuntura de serviços que já existem, trazendo consigo questões de segurança advindas de seu caráter individual e outras advindas da associação destes recursos. Neste contexto, tem relevância fazer a identificação e classificação das principais questões de segurança de maneira que possa possuir uma percepção das questões de segurança com envolvência na computação em nuvem.

Sobre @MaurivanSB

Todos os dias você deveria fazer algo que te de muito medo ... Isso lembra que você ainda vive ...
Galeria | Esse post foi publicado em Cloud, Tecnologia e marcado . Guardar link permanente.