Entendendo a computação em nuvem

1.523 visualizações

Publicada em

palestra ministrada no circuito digital OAB-SP

Publicada em: Tecnologia
0 comentários
3 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
1.523
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
71
Comentários
0
Gostaram
3
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Entendendo a computação em nuvem

  1. 1. Entendendo a Computação em Nuvem Leonardo Grandinetti Chaves OAB- SP - Pinheiros Circuito Digital Outubro 2013
  2. 2. Apresentação • Pós-graduado em Gerência da Tecnologia da Informação pela Universidade Fumec. Mestre em Ciência da Computação no convênio Universidade Federal de Viçosa e Universidade Federal de Minas Gerais na área de Bancos de Dados – ênfase em Sistemas de Informação Geográfica. Analista e Gerente de Projetos, auditor e consultor de sistemas de informação, tendo atuado e desenvolvido trabalhos com empresas como BDMG, UNIBH, Scinco Consultoria Empresarial, Universidade FUMEC, Linkcom e Webconsult, Localiza Rent a car, etc. Gerente de Projetos, certificado pelo PMI - Project Management Institute. Voluntário do PMI – MG Chapter. Instrutor de cursos em Gerenciamento de Projetos.: Fumsoft, Unileste-MG, PMIMGChapter. Professor Universitário.
  3. 3. Agenda • • • • • • Evolução/Computação Tradicional Computação em Nuvem Modelos tecnológicos Implicações Questões tributárias e Jurídicas/Discussões Conclusões
  4. 4. Introdução • Cluster: tipo de arquitetura para processamento distribuído e paralelo Centenas de unidades de processamento • Grade: Compartilhamento de recursos de máquinas. Plataformas e arquiteturas, que podem estar geograficamente distribuídas e são integradas através da internet Disponibilizam a infraestrutura e as ferramentas, através da internet.
  5. 5. Nuvem • Definição [NIST - National Institute of Standards and Technology, 2009] • “Computação em nuvem é um modelo que possibilita acesso, de modo conveniente e sob demanda, a um conjunto de recursos computacionais configuráveis que podem ser rapidamente adquiridos e liberados com mínimo esforço gerencial ou interação com o provedor de serviços”
  6. 6. Evolução
  7. 7. Computação tradicional e Nuvem
  8. 8. Nuvem • Coleção de computadores interconectados e virtualizados • Provisionados dinamicamente • Níveis de serviço (SLA – Service Level Agreement – definidos em contrato)
  9. 9. Nuvem Consome Usuário Final Fornece SaaS Fornece Suporta Fornece PaaS Consome Desenvolvedor Provedor Suporta Fornece IaaS Consome
  10. 10. Modelos: Saas, PaaS, IaaS • Software como Serviço (SaaS), Plataforma como Serviço (PaaS) e Infraestrutura como Serviço (IaaS) • Possuem um nível de abstração que formam a arquitetura em camadas da nuvem, onde os serviços da camada superior utilizam os serviços da camada inferior
  11. 11. CARACTERÍSTICAS ESSENCIAIS Autosserviço sob demanda Amplo acesso à rede Elasticidade Rápida Serviços Mensuráveis Pooling de Recursos MODELOS DE SERVIÇOS Infraestrutura como serviço (IaaS) Plataforma como Serviço (PaaS) Software como Serviço (SaaS) MODELOS DE IMPLANTAÇÃO Privada Comunitária Pública Híbrida
  12. 12. Implementação/Nuvens • Publica: • Não há restrição de acesso quanto a gerenciamento de rede, técnicas de autenticação e autorização • Basta que o usuário tenha um computador com acesso à internet e cadastre-se no site do provedor de nuvem. • Privada: • é locada (contrato) ou propriedade de uma organização • Comunitária e Híbrida
  13. 13. Tecnologia - IaaS • Infraestrutura computacional que disponibiliza os recursos e serviços de computação por meio de técnicas de virtualização • Falhas nesta camada podem interferir no funcionamento de toda a nuvem.
  14. 14. Tecnologia - PaaS • Camada intermediária (para desenvolvedores de aplicações) com intuito de disponibilizar ferramentas, serviços e um ambiente de programação e testes
  15. 15. PaaS • • • • • Sistema Operacional Sistema de Gerenciamento de Banco de Dados Ambiente Integrado de Desenvolvimento Linguagens de Programação ... • Funciona de forma escalável e transparente.
  16. 16. PaaS: Windows
  17. 17. SaaS • SaaS ou Software como serviço: permite que o usuário final utilize as aplicações disponibilizadas pelo provedor • Exemplos: Customer Relationship Managemente (CRM) da Salesforce, Google Docs, Microsoft Office 365, Antivírus da McAffe, etc
  18. 18. SaaS • Os riscos relacionados ao modelo de serviço SaaS, estão mais vinculados a questões administrativas/contratuais entre a organização e o provedor de serviços em nuvem
  19. 19. SaaS, Nuvem • • • • • • • Imprevisibilidade Armazenamento escalável Integração dos serviços Disponibilidade do serviço Acesso aos dados Confidencialidade Elasticidade
  20. 20. Implicações Segurança • Sêmola (2003, p.43) define Segurança da Informação “como uma área do conhecimento dedicada à proteção de ativos de informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade”. • “preservação da confidencialidade, integridade e disponibilidade da informação”. (ABNT NBR ISO/IEC 27001:2006).
  21. 21. Vulnerabilidades/OWASP VULNERABILIDADES DETECTADAS NOS AMBIENTES DE NUVEM VULNERABILIDADES DROPBOX DRIVE SKYDRIVE V1 - Injeção SQL N.V N.V N.V V2 - Força Bruta N.V N.V N.V V3 - XSS N.V VU N.V V4 - Configuração Padrão VU N.V VU V5 - Exposição Dados VU N.V VU V6 - Path Transversal VU N.V N.V V7 - Componentes Vulneráveis VU N.V N.V V8 - Redirecionamento de URL N.V VU VU V9 - Portas Abertas N.V N.V N.V V10 - CAPTCHA VU N.V N.V
  22. 22. CSA
  23. 23. Princípios de Segurança • • • • • Integridade Confidencialidade Disponibilidade Autenticidade Não-repúdio • Normas ISO
  24. 24. Computação tradicional X Nuvem Modelo de aquisição (contratos) Hardware, espaço físico, infra estrutura de instalação e funcionamento X Aquisição de serviço
  25. 25. Computação tradicional X Nuvem Modelo de Negócio Custo e depreciação de ativos Overhead administrativo(manutenção) X Pagamento baseado na utilização (contratos)
  26. 26. Computação tradicional X Nuvem Modelo de Acesso Rede interna intranet X Internet (segurança)
  27. 27. Computação tradicional X Nuvem Modelo de Técnico Estático X Escalável, elástico, dinâmico (utilização prevista em contrato)
  28. 28. “Requisitos da Nuvem” • • • • • • • • Segurança Auditoria Cobrança Backup Dados Interfaces Aspectos legais Localização
  29. 29. Cobrança • • • • • Volume de recursos X Valores Armazenamento: 10GB , r$10,00/mês Transferência dos dados: 10GB, r$ 1,00/mês Mensagens Recursos computacionais
  30. 30. Características • • • • Self-service sob demanda Amplo acesso Pooling de recursos Elasticidade
  31. 31. Ambientes e Plataformas
  32. 32. Questões Jurídicas, contratuais e tributárias • • • • Contratos dos fornecedores de soluções Código Civil Marco Civil da Internet Outras questões
  33. 33. Implicações Custo/Contratos • • • • Operacional Desenvolvimento Cliente paga de acordo com o seu consumo Computação sob demanda
  34. 34. Implicações Riscos • O gerenciamento administrativo de risco pode ser descrito como a capacidade da organização de gerenciar e medir o risco introduzido pela adoção do modelo de computação em nuvem
  35. 35. Implicações Riscos • A contração de serviços nos níveis de IaaS e PaaS, são de responsabilidade dos administradores de sistemas da própria organização • As responsabilidades podem ser atribuídas/transferidas em qualquer fase da computação em nuvem (CSA, 2009)
  36. 36. Riscos • Identificação e a avaliação dos ativos • Análise de ameaças e vulnerabilidades e mensuração do impacto potencial nos ativos (risco e cenários de incidente) • Análise das probabilidades de ocorrência de determinados eventos em um cenário de implantação da nuvem
  37. 37. Riscos • Determinação dos níveis de gestão de risco aprovados, seus critérios de aceitação • Desenvolvimento de Planos de Tratamentos de Riscos • Os resultados do plano de tratamento de riscos devem ser parte integrante dos acordos de serviço (SLA)
  38. 38. Riscos e contratos • Análise de impacto e definição de probabilidade. • O cliente e o fornecedor devem desenvolver conjuntamente os cenários de risco na Nuvem • Os serviços, e não apenas o fornecedor, devem ser objeto de avaliação de risco • O uso de serviços em nuvem devem ser coerentes com os objetivos de Gestão de Risco da organização e com os objetivos de negócio.
  39. 39. Marco Civil da internet
  40. 40. Leis • LINDB (Lei de Introdução às Normas do Direito Brasileiro – Lei nº 12.376/2010), ou ainda o Código de Defesa do Consumidor (Lei nº 8.078/90) • Código Civil
  41. 41. Leis • “No Brasil, a Constituição Federal e os demais diplomas legais são genéricos ao tratar de privacidade e intimidade dos dados dos cidadãos e pessoas jurídicas, cabendo ao entendimento doutrinário, jurisprudencial ou alguma lei específica, podemos citar Lei n.º 9.507/97 (Habeas Data), Lei n.º 8.078/91, arts. 43, 44, 72 e 73 (Código de Defesa do Consumidor), Lei 10.406/2002 (Código Civil), Lei 9.296/1996 (Lei de Interceptação), além dos artigos prevendo definição de territorialidade, quebra de sigilo ou violação de segredo (arts 5º, 6º. 7º, 153, 154 do Código Penal). Há ainda o texto do Anteprojeto de Lei de Proteção aos Dados Pessoais que está em discussão e abrange os dados coletados em território nacional ou por empresas reguladas pela legislação brasileira, ou ainda, quando o armazenamento se dê em terras brasilis.” Fonte: http://idgnow.uol.com.br/blog/digitalis -
  42. 42. Leis • “Por fim, fundamental observar os Enunciados 297 e 298, produzidos na III Jornada de Direito Civil, promovida pelo Centro de Estudos Judiciários do Conselho da Justiça Federal, no ano de 2007: • Enunciado 297 – III Jornada de Direito Civil • Art. 212 [do Código Civil]: O documento eletrônico tem valor probante, desde que seja apto a conservar a integridade de seu conteúdo e idôneo a apontar sua autoria, independentemente da tecnologia empregada. • Enunciado 298 – III Jornada de Direito Civil • Arts. 212 e 225 [do Código Civil]: Os arquivos eletrônicos incluem-se no conceito de “reproduções eletrônicas de fatos ou de coisas” do art. 225 do Código Civil, aos quais deve ser aplicado o regime jurídico da prova documental.” Fonte: Lima, Caio César Carvalho. Aspectos legais da Perícia Forense Computacional em um cenário de Cloud Computing
  43. 43. Leis
  44. 44. Leis • Lei Complementar nº 116/2003 (ISS) • Lei Complementar nº 87/96 (ICMS) • "O imposto incide sobre: III - prestações onerosas de serviços de comunicação, por qualquer meio, inclusive a geração, a emissão, a recepção, a transmissão, a retransmissão, a repetição e a ampliação de comunicação de qualquer natureza"
  45. 45. Leis • Lei de Software (Lei nº 9.609/98), de Direitos Autorais (Lei nº 9.610/98), de Propriedade Intelectual (Lei nº 9.279/96), à Consolidação das Leis Trabalhistas (CLT), ao Código Civil, e ao Código de Defesa do Consumidor -- Contratos
  46. 46. Politica de Segurança da informação • ABNT ISO/IEC 27001, ABNT • ISO/IEC 27002, e outras tais como a Basiléia II e a Sarbanes-Oxley
  47. 47. Contratos • • • • SLAs Vigencia contratual Legislação brasileira - Foro estrangeiro União Européia elaborou e aprovou a Diretiva 46:95/CE3
  48. 48. Discussão • “A computação evolui em movimentos pendulares, da mais completa centralização à total descentralização, e fazendo o caminho de volta quando os extremos são alcançados.” TAURION
  49. 49. Dados
  50. 50. Observações finais • Legislação internacional • Códigos • Jurisprudências
  51. 51. Referências • COULOURIS, G.; DOLLIMORE, J.; KINDBERG, T. Sistemas Distribuidos Conceitos e Projeto. São Paulo. Bookman. 2007. • SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Elsevier, 2003. 154p. • FURTH, Borko; ESCALANTE, Armando. Handbook of Cloud Computing. Florida, EUA. Springer. 2010. • Notas de aula. Sistemas Distribuidos. Puc Minas • Gestão de risco. Disponível em: revistavisaojuridica.uol.com.br/advogados-leisjurisprudencia/72/como-proteger-a-nuvem-as-opcoes-ja-existentes-de256030-1.asp • Aspectos tributários e contratuais do cloud computing . Disponível em: convergecom.com.br /tiinside/12/11/2012/aspectos-tributarios-e-contratuaisdo-cloud-computing/ • SBRD, 2010. Simposio Brasileiro de Redes de Computadores. • Rodrigo Costa de Alcântara. Computação em Nuvem: estudo e desenvolvimento.. 2011. Monografia. (Aperfeiçoamento/Especialização em Arquitetura de Sistemas Distribuídos) - Pontifícia Universidade Católica de Minas Gerais. Orientador: Leonardo Grandinetti Chaves.
  52. 52. Referências • TAURION. Blog. Disponível em :www.developers.ibm.com • Apoio marco civil na internet. Disponível em: www.sbc.org.br • Aspectos tributários e contratuais do cloud computing . Disponível em: www.jornalcontabil.com.br/v2/Contabilidade-News/2214.html?print • Cloud desafia o modelo jurídico. Disponível em: pttp://idgnow.uol.com.br/blog/digitalis – • Debatendo a soberania dos dados. Disponível em: https://www.ibm.com/developerworks/community/blogs/ctaurion/entry/debat endo_soberania_de_dados_em_cloud_computing?lang=en • Conheça os riscos legais de cloud computing. Disponível em:http://computerworld.uol.com.br/negocios/2011/11/17/conheca-os-riscoslegais-de-cloud-computing • Computação em nuvem. Questões legais e regulatórias. Disponível em: technet.microsoft.com/pt-br/magazine/hh994647.aspx • Trabalho de conclusão de curso de Graduação Pucminas de Felipe Rangel, 2013. SEGURANÇA DA INFORMAÇÃO NA COMPUTAÇÃO EM NUVEM. Orientador: Leonardo Grandinetti Chaves

×