Segurança em Cloud Computing

Nesta segunda feira estive em Brasilia apresentando um tutorial sobre Cloud Computing. Como na maioria dos outros eventos sobre este assunto, um dos tópicos que mais chamam atenção é a questão da segurança nas nuvens computacionais. Também já recebi diversos emails questionando aspectos de segurança em nuvem. Portanto, creio que chegou o momento de debater um pouco mais o tema aqui no blog.

 No modelo tradicional, a empresa tem controle sobre todos ou quase todos os fatores que afetam a segurança. Mesmo no outsourcing tradicional, onde voce hospeda seus servidores no data center do provedor, voce sabe exatamente onde seus dados e aplicações estão operando. O modelo de computação em nuvem desconecta os dados e aplicações da infraestrutura e você não tem mais nenhuma visibilidade dos detalhes operacionais. Onde estão rodando seus aplicativos? Além disso, a arquitetura multitenancy (multi-inquilino), típica do SaaS sob cloud  aumenta mais ainda a preocupação dos CIOs e CTOs com adoção de nuvens públicas. Cloud computing, sem dúvida, levanta novos desafios para segurança e risk management, como também abre novas discussões no âmbito legal, discussões que acredito a maioria dos departamentos jurídicos das empresas não estão preparados para debater.

 Fazendo pesquisas informais com o publico das minhas palestras sobre cloud, identifiquei que as maiores dúvidas e receios estão em:

 a)     Segurança e privacidade. Algumas perguntas que coletei são: quão vulnerável estarão meus dados em uma nuvem pública? Existem riscos de privacidade? Como a nuvem de um provedor pode atender empresas concorrentes, que garantias existem que dados de uma empresa não serão vistas pela outra?  Como fazer uma auditoria nos processos do provedor de nuvem?

b)     Compliance. Empresas que precisam satisfazer regulamentos rígidos como os demandados por SOX ou outros, podem ser impactadas quando colocam seus dados em uma nuvem pública?

c)     Aspectos legais e contratuais. Uma questão levantada em uma palestra foi “se eu desfaço o contrato com o provedor da nuvem, que garantias eu tenho que os dados serão realmente apagados e não ficam de posse dele?”. Outro questionamento refere-se ao aspecto legal da jurisprudência de onde o dado está armazenado. Um dado em uma nuvem, contratada no Brasil, pode ser armazenado, a critério exclusivo do provedor, em seu data center na China e portanto sujeito aos aparatos legais deste país. E se os entendimentos jurídicos forem diferentes?

 Muitas destas questões ainda não tem respostas satisfatórias. O fato de não termos visibilidade e controle da infraestrutura que hospeda nossos dados e aplicações aumenta a complexidade das questões de segurança. O provedor da nuvem deve ser rigidamente avaliado quanto a eficácia das suas práticas de segurança e privacidade. Este é um ponto importante. No longo prazo o mercado de nuvens públicas deve se concentrar em uma meia dúzia de provedores de escala global e uma constelação de provedores regionais. Nem todos oferecerão os mesmos recursos de segurança e privacidade. Assim, ao contratar um provedor de nuvem, devemos avaliar detalhadamente as suas práticas e medidas de segurança e privacidade, para não termos surpresas mais adiante.

Na questão de compliance, recomendo avaliar se o provedor tem procedimentos eficazes de “business continuity and disaster recovery” e se registra trilhas de auditorias e logs. Logs e trilhas de auditoria são fundamentais para uma investigação forense e a arquitetura multi-inquilino nem sempre permite geração de logs. Se a sua empresa demandar necessidade de registro de logs e trilhas de auditoria deve negociar esta questão com o provedor. O lembrete para compliance é que a responsailidade pela aderência é da empresa. Serviços de cloud são apenas um meio e portanto cabe únicamente a empresa selecionar um provedor que consiga manter esta aderência.

 Recomendo acessar o paper “Cloud Security Guidance”, em http://www.redbooks.ibm.com/redpapers/pdfs/redp4614.pdf .

 Cloud computing tem imenso potencial e no longo prazo será o paradigma dominante de uso de TI, mas ainda precisa evoluir bastante nas questões de segurança, risco e interoperabilidade. Mas, é questão de tempo e maturidade. Como os vinhos e a Internet, cloud computing vai ficando melhor à medida que for ficando mais maduro…

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s


%d blogueiros gostam disto: