A computação na nuvem oferece benefícios como redução de custos e escalabilidade, mas também levanta questões de segurança, privacidade e conformidade. A segurança da informação depende de fatores como criptografia robusta, controle de acesso, localização de dados e capacidade de recuperação. Acordos claros sobre níveis de serviço com provedores confiáveis são essenciais para uma adoção responsável da nuvem.

2. O termo Nuvem foi importado da imagem utilizada
para representar a Internet
Computação na Nuvem significa basicamente que
os processos computacionais são realizados na
Internet
A terminologia de serviços da Nuvem ainda é
confusa e provavelmente as definições mais claras
foram estabelecidas pelo National Institute of
Standards and Technology (NIST) e Cloud Security
Alliance (CSA)

3. Software como Serviço (SaaS)
O usuário utiliza aplicativos do provedor em
uma infraestrutura de nuvem com pouco ou
nenhum controle sobre a infraestrutura, rede,
servidores, sistemas operacionais,
armazenamento, etc...

4. Plataforma como Serviço (PaaS)
O usuário implementa aplicativos em ambiente
de desenvolvimento próprio, exerce total
controle sobre suas aplicações e utiliza a
infraestrutura disponibilizada pelo provedor
(servidores, sistema operacional e dispositivos
de armazenamento)

5. Infraestrutura como Serviço (IaaS)
O cliente obtém APIs (Application Programming
Interface), processamento, armazenamento e
recursos de computação do provedor. Utiliza seu
próprio sistema operacional, suas aplicações e
até alguns componentes de rede

6. Auto-Serviço: Obter (ou dispensar) recursos quando for
conveniente, sem consulta ao provedor
Acesso: Utilizar o serviço com qualquer tipo de
hardware
Compartilhamento: Vários clientes compartilham um
ambiente comum para reduzir custos
Escalabilidade: Administrar variações de demanda de
recursos sem prejudicar a qualidade de serviço
Métricas: Indicadores de uso abrangentes e acessíveis

7. Redução de Custos: Economias de escala permitem
reduzir os custos drasticamente (a maioria das
empresas utiliza menos de 25% da capacidade de seus
servidores)
Mobilidade: Por definição a Nuvem pode ser acessada
de qualquer lugar, permitindo total portabilidade das
informações

8. Elasticidade ou Flexibilidade de Ajuste: O cliente utiliza
(e paga) recursos e serviços de acordo com a real
necessidade
Custos de Armazenamento: Disponível de acordo com a
necessidade, sem bancar espaços não utilizados
Experiência do Provedor: Supondo uma escolha
correta, a experiência de um fornecedor com foco
exclusivo em TI pode ser de grande utilidade para o
cliente em questões críticas

9. A incertezas para migrar para serviços em Nuvem estão
centradas em segurança, desempenho e disponibilidade
Desempenho e disponibilidade são sensíveis porque o
ambiente do processamento computacional, onde os
recursos podem ser vistos e controlados, muda para algo
intangível
As principais questões de segurança estão situadas em
falhas ou fragilidades da própria tecnologia, no acesso
não autorizado à informações, criptografia, aplicativos,
autenticação de operadores, virtualização, etc...

10. Segurança física: As instalações e operadores não são
controlados pelo usuário. O provedor deve ter políticas
de segurança abrangentes e efetivas
Acesso a informações privilegiadas: O cliente não tem
controle sobre quem tem acesso às suas informações

11. Criptografia: Nuvens são ambientes compartilhados
com outros clientes do provedor, talvez até
concorrentes do usuário. Violações podem acontecer
de um banco de dados para outro. A criptografia é um
elemento essencial e muito eficiente, porém cria outro
problema, quem é o responsável pela chave
criptográfica. As modernas técnicas de criptografia
assimétrica (certificação digital) inviabilizam qualquer
acesso se a chave for perdida

12. Relacionamento com terceiros: O axioma básico da
segurança é que ela é tão forte quanto seu elo mais
fraco. Em ambientes corporativos, o elo mais fraco
quase sempre é a integração com parceiros e, no caso
da nuvem, ainda mais importante devido e existência
de vários terceiros em ambientes compartilhados
Network Security: Provedores de serviços de Nuvem
concentram múltiplos usuários e alvos em potencial
para hackers. A Nuvem também é suscetível a ataques
de negação de serviço

13. Virtualização: Os os provedores de nuvem usam
técnicas de virtualização para usufruir de economias de
escala e oferecer melhor arquitetura distribuída. A
virtualização tem seu próprio conjunto de problemas
de segurança
Segurança de aplicativos: A maioria dos eventos de
segurança acontecem através de aplicativos da Web.
Na Nuvem o nível de exposição é semelhante ao de
uma instalação interna, porém potencializado pelo
ambiente compartilhado, sem que o usuário exerça
controle sobre ele

14. Controles de acesso: Algumas das grandes
questões para serviços em nuvem são em torno de
controle de acesso, autenticação, gerenciamento de
usuários, configuração etc. É importante saber com
que tipo de padrões o provedor de nuvem está
alinhado, como é feito o provisionamento de
usuários, quem gerencia o processo de
administração de credenciais, se OpenIDs podem
ser utilizados para autenticação e se existem VPNs
dedicadas

15. Privilégios de acesso
Dados confidenciais processados e/ou armazenados
fora do ambiente empresarial têm um nível inerente de
risco, porque desconsideram a cultura e as práticas da
organização
Informações privilegiadas restritas à alta direção ou ao
departamento de pesquisas de uma empresa não
podem ser manipuladas livremente por estagiários de
fornecedores de serviços ou empresas terceirizadas

16. Conformidade com regulamentações
Os clientes são, em última instância, responsáveis pela
integridade e segurança dos dados que
administram, mesmo que esta atribuição seja delegada
a um prestador de serviços
Fornecedores devem disponibilizar relatórios
periódicos de auditorias externas e certificações de
segurança

17. Localização dos Servidores
A computação na nuvem desobriga a localização exata
dos servidores que hospedam os dados que podem,
inclusive, estar fora do país. Embora tecnicamente isto
possa ser considerado um avanço, existe o problema de
jurisdição legal que deve ser endereçado com critério
O ambiente físico de armazenamento tem que ter
compatibilidade com os diplomas legais que regem a
empresa assegurando (1) o acesso por decisão judicial
e (2) a garantia de privacidade de acordo com a
legislação do país de origem

18. Segregação de Dados
Uma nuvem compartilha as informações de muitos
clientes que, na prática, podem ser concorrentes entre
si e hospedar suas informações em um mesmo
ambiente físico. Normalmente os provedores de
serviços utilizam esquemas específicos de criptografia
para cada cliente que, no estado da arte da tecnologia,
é uma técnica eficaz (os custos para abrir uma
criptografia de 1024 bits são absurdos), porém
acidentes na administração das chaves podem impedir
o acesso aos dados ou comprometer sua
disponibilidade

19. Recuperação
A localização física exata dos dados pode ser incerta,
porém o provedor de serviços é obrigado a garantir a
sua disponibilidade em casos de desastres ou
catástrofes
Contratos que não explicitam a replicação de dados e
infraestrutura não garantem a integridade do acervo de
informações. É importante constar a capacidade de
recuperação completa em casos de acidentes e o
tempo necessário para o restabelecimento dos serviços

20. Viabilidade no longo prazo
Em um ambiente ideal, o fornecedor de serviços de
nuvem não encerra suas atividades nem é adquirido
por outra empresa, entretanto a dinâmica dos
mercados sugere que isto é muito provável
Se um destes eventos ocorrer, a manutenção da
portabilidade e disponibilidade são características
importantes

21. Apoio à investigação
A investigação de atividades impróprias ou ilegais é
complicada na computação na nuvem. O acúmulo de
serviços no provedor pode ocasionar a realocação
bancos de dados para outras máquinas ou ambientes
físicos. É necessário um compromisso contratual de
apoio a formas específicas de investigação, caso
contrário qualquer atividade relacionada com esta área
é improvável, se não impossível (a nuvem não pode ser
um paraíso para pedófilos ou outros usuários
inescrupulosos para compartilhar ou ocultar conteúdo)

22. Padrões
Padrões são restritivos por definição. Várias entidades
questionam se a computação na nuvem pode obter
algum tipo de benefício com a padronização neste
estágio do desenvolvimento. Existe uma relutância
latente entre provedores de serviços em seguir
recomendações e adotar padrões antes que o mercado
defina o seu real cenário. Independente deste
fato, organizações internacionais como ISO/IEC e ITU
estão desenvolvendo um conjunto de padrões
específicos de segurança para a nuvem

23. Jurisdição
Privacidade protegida por lei em um país pode não
merecer o mesmo tratamento em outro. Em muitos
casos, como os usuários não sabem onde suas
informações são armazenadas, existem processos para
tentar harmonizar leis, porém o consenso está distante
A União Européia e seus estados membros favorecem a
proteção rígida da privacidade, enquanto o Patriot Act
dos EUA garante às suas agências governamentais
poderes praticamente ilimitados de acesso às
informações, incluindo às que incluem dados de
pesquisas desenvolvidas por empresas

24.  A computação na Nuvem oferece muitos benefícios
 A segurança é importante, mas está longe de ser é
um fator impeditivo, desde que tratado com efetivo
cuidado
 Um provedor de serviços confiável e acordos sobre
níveis de serviços (SLAs) claros e compreensíveis são
requisitos essenciais
 A migração para serviços de Nuvem não é apenas
uma decisão econômica e deve envolver também os
setores de tecnologia e jurídico

25. Carlos Alberto Goldani
Tecnologia da Informação
goldani@live.ca