Selecionando um provedor de Cloud

Após o evento SicGov2009 recebi diversos emails, sendo que um dos quais, me questionando como selecionar um provedor de cloud, gerou um texto que será interessante compartilhar aqui.

Selecionar um provedor de serviços computacionais externos como uma nuvem passa por alguns itens já conhecidos como a competência e reputação do provedor, acrescido de outros específicos como:

 a)     Custos de troca do provedor. Sim, as nuvens públicas ainda são proprietárias e nem sempre será fácil migrar de uma nuvem para outra, embora os custos possam variar de acordo com o tipo de serviço contratado no modelo de cloud. Por exemplo, trocar um serviço de SaaS é muito mais complicado que trocar de fornecedor de storage-as-a-service.

b)     Politica de preços. Uma das vantagens do modelo de cloud é pagar apenas pelos recursos utilizados. Assim é importante validar o nivel de transparência da politica de preços do provedor e sua aderência a este modelo.

c)     Desempenho e disponibilidade da nuvem. Usar serviços computacionais em nuvem fazem com que o seu desempenho seja resultante de diversos fatores, alguns deles externos ao provedor. Um bom contrato de SLA, com penalidades para situações de não cumprimento das cláusulas contratuais é sempre bem vindo!

d)     Transparência da cadeia de valor da nuvem. Um provedor de SaaS pode estar usando ele mesmo uma nuvem de terceiro para sua  infraestrutura como base computacional para sua oferta. Saber disso e ter uma avaliação da qualidade deste subcontratante é importante para validar o seu provedor do SaaS.

 Um item que mereceu atenção especial foi a questão da segurança. Como avalair segurança do provedor de nuvem? Bem, existem diversos itens que devem ser analisados. Vamos por exemplo considerar uma nuvem no qual usaremos serviços de infraestrutura (como as ofertadas pela Amazon). O que devemos analisar antes de fechar contrato?

 a)     O provedor tem certificações externas de segurança e governança?

b)     Quais os recursos e procedimentos de segurança física? Lembre-se que um provedor de cloud concentra muitas empresas clientes e portanto é um alvo e tanto para hackers.

c)     Segurança dos servidores virtuais. Neste caso avalie a segurança do sistema host bem como dos sistemas operacionais guest. Na Amazon, os sistemas guests são controlados pelos clientes e portanto devem implementar eles mesmos os procedimentos de segurança. Este modelo tenderá a ser usado por muitos provedores de nuvens de IaaS (infrastructure-as-a-Service) públicas.

d)     Segurança da rede e dos firewalls. Por exemplo, o provedor está protegido por mecanismos de mitigação de ataques DoS (Denial of service) ou impedimento de IP spoofing?

e)     Backups. Quem é responsável por eles? Na Amazon o cliente é que é responsável pelos backups de seus servidores virtuais.

 Estamos dando os primeiros passos na direção ao mundo da computação em nuvem, com seus grandes benefícios, mas também muitos desafios. Como os provedores de nuvens não são iguais e que seu nivel de maturidade é bem diferenciado, devemos definir critérios bem detalhados de avaliação. E ir em frente!

Anúncios

Uma resposta to “Selecionando um provedor de Cloud”

  1. Marcelo Pereira Moreira de Carvalho Says:

    No XVIII CNASI eu fiz uma apresentacao entitulada “O que todo CISO deveria saber sobre Cloud computing” que cobriu esse topico de selecao de provedor do ponto de vista de Seguranca de Informacao. Acredito que um pre-requisito para aderir ao CC com “seguranca” seria ter uma politica de Classificacao de Dados definida e principalmente implementada, pois senao, como a empresa saberia qual a criticidade dos dados que seriam colocados nas nuvens.

    Pontos especificos que deveriam ser levador em consideracao do ponto de vista de seguranca incluem:
    – Defina o tipo de servico (IaaS, PaaS, SaaS)
    – Defina o modelo de Cloud que deseja utiliza (Public, Private, Hybrid, Community)
    – Analise como o provedor opera em termos de portabilidade (se vc precisar retirar sua aplicacao, arquivos, etc do provedor). Quais os custos envolvidos, eh algo facil? exige muito retrabalho?
    – Gestao de vulnerabiliades no ambiente – Muitos provedores de servico nao permitem que se rode softwares scanner de vulnerabiliades, porem alguns ja estao falando em implementar API’s que poderiam ser utilizadas para scannear seu ambiente.
    – Politica de retencao de logs, de resposta a incidentes e computacao forense. Dependendo do ramo de atividade da sua empresa isso pode ser um requisito regulatorio, portanto entender quao pronto estah o provedor pode facilitar ou prejudicar muito a sua vida…

    Espero ter ajudado,

    Abracos a voce Cezar

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s


%d blogueiros gostam disto: