O documento discute os conceitos e implicações da computação em nuvem, resumindo: (1) a definição de computação em nuvem segundo o NIST; (2) os principais modelos de serviço (IaaS, PaaS, SaaS); (3) os riscos envolvidos, como segurança e questões jurídicas e tributárias que devem ser tratados em contratos.
1. Entendendo a Computação em
Nuvem
Leonardo Grandinetti Chaves
OAB- SP - Pinheiros
Circuito Digital
Outubro 2013
2. Apresentação
• Pós-graduado em Gerência da Tecnologia da Informação pela
Universidade Fumec. Mestre em Ciência da Computação no
convênio Universidade Federal de Viçosa e Universidade
Federal de Minas Gerais na área de Bancos de Dados – ênfase
em Sistemas de Informação Geográfica. Analista e Gerente de
Projetos, auditor e consultor de sistemas de informação, tendo
atuado e desenvolvido trabalhos com empresas como BDMG,
UNIBH, Scinco Consultoria Empresarial, Universidade FUMEC,
Linkcom e Webconsult, Localiza Rent a car, etc. Gerente de
Projetos, certificado pelo PMI - Project Management Institute.
Voluntário do PMI – MG Chapter. Instrutor de cursos em
Gerenciamento de Projetos.: Fumsoft, Unileste-MG, PMIMGChapter. Professor Universitário.
4. Introdução
• Cluster: tipo de arquitetura para processamento
distribuído e paralelo
Centenas de unidades de processamento
• Grade: Compartilhamento de recursos de máquinas.
Plataformas e arquiteturas, que podem estar
geograficamente distribuídas e são integradas através
da internet
Disponibilizam a infraestrutura e as ferramentas,
através da internet.
5. Nuvem
• Definição [NIST - National Institute of Standards and
Technology, 2009]
• “Computação em nuvem é um modelo que
possibilita acesso, de modo conveniente e sob
demanda, a um conjunto de recursos computacionais
configuráveis que podem ser rapidamente adquiridos
e liberados com mínimo esforço gerencial ou
interação com o provedor de serviços”
8. Nuvem
• Coleção de computadores interconectados e
virtualizados
• Provisionados dinamicamente
• Níveis de serviço (SLA – Service Level Agreement –
definidos em contrato)
11. Modelos: Saas, PaaS, IaaS
• Software como Serviço (SaaS), Plataforma como
Serviço (PaaS) e Infraestrutura como Serviço (IaaS)
• Possuem um nível de abstração que formam a
arquitetura em camadas da nuvem, onde os serviços
da camada superior utilizam os serviços da camada
inferior
12. CARACTERÍSTICAS ESSENCIAIS
Autosserviço
sob demanda
Amplo acesso
à rede
Elasticidade
Rápida
Serviços
Mensuráveis
Pooling de Recursos
MODELOS DE SERVIÇOS
Infraestrutura como serviço (IaaS)
Plataforma como Serviço (PaaS)
Software como Serviço (SaaS)
MODELOS DE IMPLANTAÇÃO
Privada
Comunitária
Pública
Híbrida
13. Implementação/Nuvens
• Publica:
• Não há restrição de acesso quanto a gerenciamento de
rede, técnicas de autenticação e autorização
• Basta que o usuário tenha um computador com acesso à
internet e cadastre-se no site do provedor de nuvem.
• Privada:
• é locada (contrato) ou propriedade de uma organização
• Comunitária e Híbrida
14. Tecnologia - IaaS
• Infraestrutura computacional que disponibiliza os
recursos e serviços de computação por meio de
técnicas de virtualização
• Falhas nesta camada podem interferir no
funcionamento de toda a nuvem.
15.
16. Tecnologia - PaaS
• Camada intermediária (para desenvolvedores
de aplicações) com intuito de disponibilizar
ferramentas, serviços e um ambiente de
programação e testes
17. PaaS
•
•
•
•
•
Sistema Operacional
Sistema de Gerenciamento de Banco de Dados
Ambiente Integrado de Desenvolvimento
Linguagens de Programação
...
• Funciona de forma escalável e transparente.
19. SaaS
• SaaS ou Software como serviço: permite que o
usuário final utilize as aplicações disponibilizadas
pelo provedor
• Exemplos: Customer Relationship Managemente
(CRM) da Salesforce, Google Docs, Microsoft Office
365, Antivírus da McAffe, etc
20. SaaS
• Os riscos relacionados ao modelo de serviço SaaS,
estão mais vinculados a questões
administrativas/contratuais entre a organização e o
provedor de serviços em nuvem
25. Implicações
Segurança
• Sêmola (2003, p.43) define Segurança da Informação
“como uma área do conhecimento dedicada à
proteção de ativos de informação contra acessos não
autorizados, alterações indevidas ou sua
indisponibilidade”.
• “preservação da confidencialidade, integridade e
disponibilidade da informação”. (ABNT NBR ISO/IEC
27001:2006).
26.
27.
28. Vulnerabilidades/OWASP
VULNERABILIDADES DETECTADAS NOS AMBIENTES DE NUVEM
VULNERABILIDADES
DROPBOX
DRIVE
SKYDRIVE
V1 - Injeção SQL
N.V
N.V
N.V
V2 - Força Bruta
N.V
N.V
N.V
V3 - XSS
N.V
VU
N.V
V4 - Configuração Padrão
VU
N.V
VU
V5 - Exposição Dados
VU
N.V
VU
V6 - Path Transversal
VU
N.V
N.V
V7 - Componentes Vulneráveis
VU
N.V
N.V
V8 - Redirecionamento de URL
N.V
VU
VU
V9 - Portas Abertas
N.V
N.V
N.V
V10 - CAPTCHA
VU
N.V
N.V
31. Computação tradicional X Nuvem
Modelo de aquisição (contratos)
Hardware, espaço físico, infra estrutura de instalação e
funcionamento
X
Aquisição de serviço
32. Computação tradicional X Nuvem
Modelo de Negócio
Custo e depreciação de ativos
Overhead administrativo(manutenção)
X
Pagamento baseado na utilização (contratos)
45. Implicações
Riscos
• O gerenciamento administrativo de risco pode ser
descrito como a capacidade da organização de
gerenciar e medir o risco introduzido pela adoção do
modelo de computação em nuvem
46. Implicações
Riscos
• A contração de serviços nos níveis de IaaS e PaaS, são
de responsabilidade dos administradores de sistemas
da própria organização
• As responsabilidades podem ser
atribuídas/transferidas em qualquer fase da
computação em nuvem (CSA, 2009)
47. Riscos
• Identificação e a avaliação dos ativos
• Análise de ameaças e vulnerabilidades e mensuração
do impacto potencial nos ativos (risco e cenários de
incidente)
• Análise das probabilidades de ocorrência de
determinados eventos em um cenário de
implantação da nuvem
48. Riscos
• Determinação dos níveis de gestão de risco
aprovados, seus critérios de aceitação
• Desenvolvimento de Planos de Tratamentos de
Riscos
• Os resultados do plano de tratamento de riscos
devem ser parte integrante dos acordos de serviço
(SLA)
49. Riscos e contratos
• Análise de impacto e definição de probabilidade.
• O cliente e o fornecedor devem desenvolver
conjuntamente os cenários de risco na Nuvem
• Os serviços, e não apenas o fornecedor, devem ser
objeto de avaliação de risco
• O uso de serviços em nuvem devem ser coerentes
com os objetivos de Gestão de Risco da organização
e com os objetivos de negócio.
54. Leis
• LINDB (Lei de Introdução às Normas do Direito
Brasileiro – Lei nº 12.376/2010), ou ainda o Código
de Defesa do Consumidor (Lei nº 8.078/90)
• Código Civil
55. Leis
• “No Brasil, a Constituição Federal e os demais diplomas legais
são genéricos ao tratar de privacidade e intimidade dos dados
dos cidadãos e pessoas jurídicas, cabendo ao entendimento
doutrinário, jurisprudencial ou alguma lei específica, podemos
citar Lei n.º 9.507/97 (Habeas Data), Lei n.º 8.078/91, arts. 43,
44, 72 e 73 (Código de Defesa do Consumidor), Lei 10.406/2002
(Código Civil), Lei 9.296/1996 (Lei de Interceptação), além dos
artigos prevendo definição de territorialidade, quebra de sigilo
ou violação de segredo (arts 5º, 6º. 7º, 153, 154 do Código
Penal). Há ainda o texto do Anteprojeto de Lei de Proteção aos
Dados Pessoais que está em discussão e abrange os dados
coletados em território nacional ou por empresas reguladas
pela legislação brasileira, ou ainda, quando o armazenamento
se dê em terras brasilis.” Fonte:
http://idgnow.uol.com.br/blog/digitalis -
56. Leis
• “Por fim, fundamental observar os Enunciados 297 e 298, produzidos
na III Jornada de Direito Civil, promovida pelo Centro de Estudos
Judiciários do Conselho da Justiça Federal, no ano de 2007:
• Enunciado 297 – III Jornada de Direito Civil
• Art. 212 [do Código Civil]: O documento eletrônico tem valor
probante, desde que seja apto a conservar a integridade de seu
conteúdo e idôneo a apontar sua autoria, independentemente da
tecnologia empregada.
• Enunciado 298 – III Jornada de Direito Civil
• Arts. 212 e 225 [do Código Civil]: Os arquivos eletrônicos incluem-se
no conceito de “reproduções eletrônicas de fatos ou de coisas” do
art. 225 do Código Civil, aos quais deve ser aplicado o regime jurídico
da prova documental.” Fonte: Lima, Caio César Carvalho. Aspectos legais da
Perícia Forense Computacional em um cenário de Cloud Computing
58. Leis
• Lei Complementar nº 116/2003 (ISS)
• Lei Complementar nº 87/96 (ICMS)
• "O imposto incide sobre: III - prestações onerosas de
serviços de comunicação, por qualquer meio,
inclusive a geração, a emissão, a recepção, a
transmissão, a retransmissão, a repetição e a
ampliação de comunicação de qualquer natureza"
59.
60. Leis
• Lei de Software (Lei nº 9.609/98), de Direitos
Autorais (Lei nº 9.610/98), de Propriedade
Intelectual (Lei nº 9.279/96), à Consolidação das Leis
Trabalhistas (CLT), ao Código Civil, e ao Código de
Defesa do Consumidor -- Contratos
61. Politica de Segurança da
informação
• ABNT ISO/IEC 27001, ABNT
• ISO/IEC 27002, e outras tais como a Basiléia II
e a Sarbanes-Oxley
64. Discussão
• “A computação evolui em movimentos
pendulares, da mais completa centralização à
total descentralização, e fazendo o caminho
de volta quando os extremos são alcançados.”
TAURION
68. Referências
• COULOURIS, G.; DOLLIMORE, J.; KINDBERG, T. Sistemas Distribuidos Conceitos e Projeto. São Paulo. Bookman. 2007.
• SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva.
Rio de Janeiro: Elsevier, 2003. 154p.
• FURTH, Borko; ESCALANTE, Armando. Handbook of Cloud Computing. Florida,
EUA. Springer. 2010.
• Notas de aula. Sistemas Distribuidos. Puc Minas
• Gestão de risco. Disponível em: revistavisaojuridica.uol.com.br/advogados-leisjurisprudencia/72/como-proteger-a-nuvem-as-opcoes-ja-existentes-de256030-1.asp
• Aspectos tributários e contratuais do cloud computing . Disponível em:
convergecom.com.br /tiinside/12/11/2012/aspectos-tributarios-e-contratuaisdo-cloud-computing/
• SBRD, 2010. Simposio Brasileiro de Redes de Computadores.
• Rodrigo Costa de Alcântara. Computação em Nuvem: estudo e
desenvolvimento.. 2011. Monografia. (Aperfeiçoamento/Especialização em
Arquitetura de Sistemas Distribuídos) - Pontifícia Universidade Católica de
Minas Gerais. Orientador: Leonardo Grandinetti Chaves.
69. Referências
• TAURION. Blog. Disponível em :www.developers.ibm.com
• Apoio marco civil na internet. Disponível em: www.sbc.org.br
• Aspectos tributários e contratuais do cloud computing . Disponível em:
www.jornalcontabil.com.br/v2/Contabilidade-News/2214.html?print
• Cloud desafia o modelo jurídico. Disponível em:
pttp://idgnow.uol.com.br/blog/digitalis –
• Debatendo a soberania dos dados. Disponível em:
https://www.ibm.com/developerworks/community/blogs/ctaurion/entry/debat
endo_soberania_de_dados_em_cloud_computing?lang=en
• Conheça os riscos legais de cloud computing. Disponível
em:http://computerworld.uol.com.br/negocios/2011/11/17/conheca-os-riscoslegais-de-cloud-computing
• Computação em nuvem. Questões legais e regulatórias. Disponível em:
technet.microsoft.com/pt-br/magazine/hh994647.aspx
• Trabalho de conclusão de curso de Graduação Pucminas de Felipe Rangel, 2013.
SEGURANÇA DA INFORMAÇÃO NA COMPUTAÇÃO EM NUVEM. Orientador:
Leonardo Grandinetti Chaves