Tcc Thais Concluido.docx
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Tcc Thais Concluido.docx as PDF for free.
More details
- Words: 5,095
- Pages: 26
FACULDADE ANHANGUERA
THAIS RIBEIRO RODRIGUES PINHEIRO
SEGURANÇA EM SISTEMA DA INFORMAÇÃO CLOUD COMPUTING – O PAPEL DA SEGURANÇA NA COMPUTAÇÃO EM NUVEM
DESENVOLVIMENTO DE UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO EM NORMA ABNT ISO/IEC 27002
SOROCABA 2019
THAIS RIBEIRO RODRIGUES PINHEIRO
SEGURANÇA EM SISTEMA DE INFORMAÇÃO CLOUD COMPUTING – O papel da segurança na computação em nuvem
Projeto apresentado ao Curso de Engenharia da Computação da Instituição Anhanguera Sorocaba. Orientador: BRUNO ROBERTO
SOROCABA 2019
3
SUMÁRIO 1 INTRODUÇÃO ......................................................................................................... 4 1.1 O PROBLEMA ....................................................................................................... 5 2 OBJETIVOS ............................................................................................................. 5 2.1 OBJETIVO ESPECIFICO ......................................................................................6 3 JUSTIFICATIVA ....................................................................................................... 6 4 FUNDAMENTAÇÃO TEÓRICA ................................................................................ 8 5 METODOLOGIA ..................................................................................................... 23 6 CRONOGRAMA DE DESENVOLVIMENTO .......................................................... 24 REFERÊNCIAS ......................................................................................................... 25
4
1 INTRODUÇÃO Muitas empresas de hoje no mundo da tecnologia têm como prioridade os seguintes aspectos: segurança, produtividade, lucratividade e baixo custo. Para alcançar essas metas, precisa-se de alguns elementos de infraestrutura essenciais como: servidor, hardware de armazenamento, software de negócios e de gerência de rede, financeiro entre outros. Por traz de todos esses fatores temos um grande vilão na tecnologia que é o
custo. Sabemos que esses equipamentos e softwares não são baratos. Além disso, eles não podem ficar armazenados de qualquer forma, temos que disponibilizar um espaço físico alocando-o em um local restrito, refrigerado, seguro, e com um ambiente organizado para facilitar upgrades e futuras manutenções. É preciso levar em consideração a mão de obra dos técnicos para instalar, configura e executar essa tecnologia toda, que por sua vez não é serviço fácil e nem barato. Então o que fazer? Qual a solução? é seguro? Tudo tem um custo e na tecnologia mais ainda. São tantas perguntas mais temos uma resposta: computação em nuvem! A tecnologia consiste à utilização da memória e a capacidade de armazenamento de computadores e servidores compartilhados e interligados por meio da internet. Assim, tudo o que você armazenou na nuvem como: vídeos, relatórios e documentos sigilosos pode ser acessado em qualquer lugar do mundo, em qualquer computador, tablet, celular, Iphone e etc., sem a necessidade de instalar softwares ou outros componentes. Basta logar-se e pronto. O computador torna-se uma plataforma de acesso às aplicações, que estariam em uma grande nuvem – a Internet. Segundo o site olhar digital 75% das grandes empresas no Brasil já usam cloud computing, aponta estudo. Nos últimos dois anos, houve um crescimento no número de empresas de grande porte no Brasil que aderiram ao modelo de cloud computing (computação em nuvem). Pelo menos, essa é a constatação de uma recente pesquisa realizada pela Kelton Research, a pedido da Avanade, prestadora de serviços de tecnologia criada em parceria pela Accenture e Microsoft.
5
De contrapartida a computação em nuvem centraliza suas aplicações e armazena dados. No que se diz respeito à segurança privacidade, há uma grande preocupação e muitos questionamentos e a vulnerabilidade e um deles. Isso torna- se a sua implementação hoje duvidosa, pois antes os usuários e empresas guardavam seus dados no mesmo.
Assim a privacidade é comprometida (cliente conecta-se de qualquer local e acessa aplicações). Quem aderir a estes serviços tendem a analisar uma forma de proteção adequada, autenticação e autorização por níveis de permissões (acessa somente o que lhe é permitido) são duas boas opções.
Assim vemos que a computação em nuvem e uma tecnologia que vem crescendo muito nos dias de hoje, onde procura-se aliar custo ao benefício, fazendo com que muitas empresas então migrem para essa tecnologia.
1.1 O PROBLEMA Computação em nuvem é seguro realmente?
2 OBJETIVO GERAL Realizar uma abordagem sobre computação em nuvem especificando a área de segurança, visando também seus problemas e vantagens.
Commented [T1]: O Problema de Pesquisa deve ser elaborado em forma de pergunta. A pergunta deve ser clara, precisa, objetiva e específica com a qual se defronta e que se pretende resolver por intermédio da pesquisa. Essa pergunta é o que você quer responder com o trabalho, e a resposta deve ser dada na conclusão no TCC 2/2. O problema deve ser passível de solução. Pense que se o problema é a questão a investigar, o objetivo é o resultado a alcançar. O objetivo geral, se alcançado, dá resposta ao problema que você definiu. Importante: Seu problema e objetivos devem estar relacionados com o tema, mas não devem ser idênticos. O problema é o questionamento que você irá procurar responder com o desenvolvimento do seu trabalho, e os objetivos demonstram como irá responder esta questão. Problemas como “Como desenvolver ou como otimizar remetem indubitavelmente a um estudo de caso e por isso não devem ser utilizados. Commented [T2]: Remova a caixa alta
6
2.1 OBJETIVO ESPECIFICO
Apresentar os tipos de modelos de serviço;
Abordar a questão da segurança, o que se tem atualmente referente a
Realizar uma avaliação sobre a sua eficácia.
ela;
3 JUSTIFICATIVA
Na atualidade em que vivemos a tecnologia de cloud computer vem crescendo a cada dia, muitas empresas já utilizam desta tecnologia para otimizar seus serviços e diminuir mão de obra entre outras funções. Com frequência a mídia vem nos bombardeando com informações e estudos sobre cloud, só que na maioria das vezes esses estudos priorizam grandes empresas ou utilização em grande escala. Tendo em vista a importância da computação em nuvem, esse trabalho tem por função apresentar a tecnologia de cloud computer da forma mais simples e clara para os usuários comuns que utilizam da computação em nuvem, porém não possuem um conhecimento mais afundo deste assunto. Como funciona a computação em nuvem, quais os serviços prestados, quais são as maiorias empresas do ramo, são perguntas simples de se responder por pessoas que trabalham na área da tecnologia, mas que para muitas pessoas são perguntas sem nenhuma resposta clara. Responder todas essas perguntas será o grande objetivo desse trabalho, e que futuramente posam utilizar deste artigo como base para estudos na área de computação em nuvem.
Commented [T3]: Página: 6 Os objetivos específicos são um “passo a passo” de como foi feito o seu TCC, ou seja, você irá desmembrar o objetivo geral, mostrando como alcançou através de sua pesquisa. Para realizar os seus objetivos específicos, primeiro, explique os conceitos básicos do seu objetivo geral, depois, parta para os resultados da pesquisa. Faça no mínimo 3 e no máximo 5 objetivos específicos. Exemplo: Objetivo geral: Identificar questões de Segurança da Informação para empresas que terceirizam serviços de Cloud Computing Objetivos específicos: Conceituar Cloud Computing Demonstrar as vantagens e desvantagens no uso de Cloud Computing para empresas Identificar protocolos de segurança da informação para Cloud Computing, para garantir a segurança das informações que são armazenadas por terceiros. O conteúdo do seu TCC 2/2, dependerá diretamente dos seus objetivos específicos, porque cada capítulo do seu trabalho, deverá corresponder ao desenvolvimento de cada objetivo específico. Ex: O capítulo 1 deve estar relacionado com o primeiro objetivo, o capítulo 2 relacionado com o segundo objetivo e o capítulo 3 com o terceiro objetivo. Commented [T4]: Justificativa é o seu porquê: Por que você escolheu o tema? Por que ele é importante? Por que ele merece ser investigado? Por que escrever sobre esse assunto? A Justificativa é a sua chance de provar ao seu orientador e a qualquer um que leia o seu Projeto, que o seu assunto é relevante e merece ser pesquisado, analisado e discutido. Obviamente, essa relevância do tema deve estar relacionada ao seu curso e área de conhecimento. Apresente de 2 a 3 parágrafos abordando a importância do tema e a relevância da pesquisa conforme exemplos abaixo: Primeiro parágrafo: Apresente seu tema e aponte: Qual a importância do tema? Segundo parágrafo: Neste momento seu foco será apontar a relevância da sua pesquisa e não mais do tema. Porque seu trabalho é relevante? ... Commented [T5]: A formatação do seu trabalho, a qual deve ser fonte Arial 12, recuo da Primeira Linha em 1,25. Justificar (Ctrl+J). Espaçamento de Linha e Parágrafo (Espaçamento Entrelinhas) em 1,5. Commented [T6]: nosso modelo de trabalho é a revisão de literatura, portanto, não pode ser um artigo cientifico. Commented [T7]: ?
7
8
4 FUNDAMENTAÇÃO TEÓRICA Atualmente a computação em nuvem vem se desenvolvendo de modo bastante rápido. Devido seu baixo custo, vem atraindo vários usuários empresariais, e com isso aumentando as dúvidas sobre essa mais nova proposta de armazenamento. No entanto, não se afirma que essa tecnologia é totalmente segura. Esse estudo vem com intuito de mostra os pontos negativos e positivos da computação em nuvem. Um ponto mais relevante dessa nova tecnologia é a questão da segurança que será aprofundada no decorrer do trabalho. O fato que a computação em nuvem pode ser acessada de qualquer lugar do mundo basta fornecer login e senha que o usuário terá todo o acesso a documentos e arquivos privados.
Pensando em questões como essa, essa pesquisa realiza uma avaliação detalhada sobre segurança na tecnologia para sabermos ao certo se realmente é segura de modo a garantir que as pessoas as quais vierem a usufruir dela tenham uma primeira opinião desse tema.
1.5 ORGANIZAÇÃO DO TRABALHO Primeiramente, será abordado um referencial teórico que apresentará os principais detalhes relacionados à tecnologia. No capítulo seguinte, será feita uma abordagem explorando os pontos positivos e negativos da segurança da tecnologia e por fim uma conclusão sobre a eficiência da segurança, se vale mesmo a pena mesmo empresas entregarem suas informações nas mãos de provedores de serviço em nuvem.
2 NAS NUVENS.
Em meios as grandes evoluções tecnológicas na área de Redes de Computadores, a computação em nuvem vem cada vez mais se desenvolvendo e ganhando ainda mais popularidade em meio às empresas e aos usuários, e conforme a computação em nuvem ganha o reconhecimento de e assim vão nascendo bastante duvidas, e devido ser uma tecnologia de ainda pouco conhecimento da grande maioria
9
das pessoas, as dúvidas são frequentes tais como; O que é computação em nuvem? De onde surgiu e como é feita?
2.1 O QUE É COMPUTAÇÃO EM NUVEM? A Computação em nuvem é uma tecnologia que despõe ao seu usuário uma proposta essencialmente em fazer armazenamentos e acessos aos aplicativos e softwares de modo simples e de fácil manuseio através da nuvem (Internet), que é baseada em servidores físicos ou virtuais, tornando possível o acesso da tecnologia em qualquer lugar do mundo e de independente plataforma, disponibilizando também através do mesmo a possibilidade de serviços como manutenção, atualização, backup, escalonamento e outros.
Figura 1 – Estrutura da nuvem.
No entanto o usuário terá a possibilidade de acessar e executar diversas tarefas através da internet, não precisando instalar todos os seus aplicativos ou softwares no seu computador devido à disponibilidade online de vários serviços, já que os mesmos não estão em uma máquina especifica e sim em uma rede. No entanto, no momento em que o servidor executa um programa ou acessa uma informação, a máquina
10
necessita apenas do monitor, sistema operacional e dos hardwares para que aconteça a interação entre o usuário e a nuvem fazendo com que a partir da conexão com a nuvem seja possível a utilização de todas as ferramentas armazenadas e arquivar tudo o que for necessário para um futuro acesso.
O termo e a imagem "Nuvem" foram utilizados para representar uma rede, de algum tipo de composição sendo utilizada sem necessariamente precisar detalhar as características das redes para representar a rede da internet, ou também não precisa ser conhecida no momento.
Segundo TAURION (2009) [3], A Computação em nuvem é, portanto, uma maneira bastante eficiente de maximizar e flexibilizar os recursos computacionais. Além disso, uma nuvem computacional é um ambiente redundante e resiliente por natureza. Resiliente pode ser definido como a capacidade de um sistema de informação continuar a funcionar corretamente, apesar do mau funcionamento de um ou mais dos seus componentes. 2.2 ONDE SURGIU ESSA TECNOLOGIA?
O termo computação em nuvem surgiu em umas das palestras de Eric Schimdt, da Google, no ano de 2006, e surgiu com o objetivo de oferecer benefícios tais esses como serviços de fácil acesso e baixo custo e também para garantir algumas das suas características como escalabilidade e disponibilidade. Sendo incluso também em seus objetivos oferecer três benefícios: redução do custo da estrutura, devido a sua versatilidade e porque não é necessária a compra de componentes para fazer a composição da estrutura necessária para suprir as indigências das empresas ou dos usuários, outro benefício é a versatilidade que a tecnologia dispõe no momento de instalação e troca de aplicativos referentes aos computadores fazendo com que assim o serviço possa atender as necessidades de empresas e usuários em recursos de hardware e quanto a software, e o terceiro benefício é equipar uma abstração e a facilidade de acesso aos usuários do serviço fazendo com que os mesmos não
11
necessitam ter o conhecimento da localização física e das entregas dos resultados do serviço.
2.3 ONDE É APLICADA A computação em nuvem está sendo aplicada em empresas de pequenas e de grande porte por sua facilidade em manutenção e instalação. Existem milhares de aplicações que utilizam as ideias de Cloud Computing para seu funcionamento. Segundo Marco A. B. A. Garcia (2007) [4] no seu artigo relacionou algumas aplicações podem ser executadas nas nuvens. Abaixo estão listadas as mais conhecidas e utilizadas pela rede.
Amazon: a Amazon [5] é um dos maiores serviços de e commerce do mundo. Para suportar o volume de vendas no período do Natal, a empresa montou uma superestrutura de processamento e armazenamento de dados, que acabava ficando na maior parte do ano ociosa. Daí surgiu à ideia de “alugar” esses recursos e surgiram os serviços como o Simple Storage Solution (S3), para armazenamento de dados, e o Elastic Compute Cloud (EC2), um serviço que permite aos usuários alugar computadores virtuais para executar suas aplicações, atualmente oferece uma plataforma de nuvem confiável, escalável e de custo baixo que assim aumenta a potência de centenas de milhares de empresas localizadas em 190 países ao redor do mundo;
Datasul By You: a brasileira Datasul (agora integrada à TOTVS), dispõe de um conjunto de soluções ERP (Enterprise resource planning) chamado By You que utiliza conceitos de Cloud Computing e SaaS.
Aprex: também é brasileiro, e oferece um conjunto de ferramentas para uso profissional, como calendário, gerenciador de contatos, lista de tarefas, disco virtual, blog, serviço de e-mail marketing, apresentações, entre outros. Tudo é
12
feito pela Web e, no caso de empresas, é possível até mesmo inserir o logotipo e alterar o padrão de cores das páginas.
2.4 COMO ESTÁ EM NIVEL DE BRASIL E MUNDO. No Brasil e no mundo de certa forma, as empresas tem razão em ter certo receio quanto a ter o seu data center na grande nuvem sendo cuidado por uma empresa desconhecida, mas é de se pensar que desta forma os custos para manter um sistema operacional e o valor pagos com licenças irão se tornar menores, devido a empresa pagar pelo que realmente usar. Portanto isso não é um motivo para reprovar esta tecnologia, o recomendável é que as empresas que interessar em aderir a computação em nuvens deve-se começar migrando aos poucos suas aplicações para a nuvem, sempre mantendo um espelhamento destas aplicações em seu data center, de forma que se acontecer alguma tempestade na nuvem, e esta parar de fornecer os serviços, existe a possibilidade de a máquina espelho continuar fornecendo os serviços sem prejudicar o funcionamento da empresa. Como sabemos, todas aplicações estão sujeita a falhas e o Brasil ainda não dispõe de uma internet de alta velocidade, portanto antes de efetuar um contrato com uma empresa para colocar seus dados na nuvem é importante verificar bem o contrato, saber qual a taxa de transmissão da rede, fazer um estudo e verificar se a rede não estará sujeita a um congestionamento no tráfego de dados, conhecer bem a empresa e analisar se realmente é viável estar migrando seu sistema para um ambiente virtual. Com tudo, sabendo que falhas são possíveis assim como qualquer outro recurso computacional existente, é necessário que antes de qualquer decisão o usuário, busque um maior conhecimento sobre a Computação em Nuvens, observando fatores básicos que as empresas do meio oferecem como, por exemplo, segurança, confiabilidade e acessibilidade. Porem mesmo ciente destas condições pertinentes ao acesso e armazenamento dos dados e aplicativos sejam satisfatórias e que iram suprir suas necessidades, é preciso que o usuário/cliente conheça sua infraestrutura de internet em particular, pois este ainda é o principal canal de comunicação da Cloud Computing, além de se colocar a par da real infraestrutura
13
de internet que é oferecida no território nacional, que atualmente tem muito a que se melhorar, fazendo que o processo de implementação dessa tecnologia seja gradual.
3 CARACTERÍSTICAS ESSENCIAIS O NIST (National Institute of Standards and Technology) Instituto Nacional de Padrões e Tecnologias definiu a computação em nuvem como sendo um modelo que oferece cinco características essenciais, abaixo:
Self-Service sobre demanda: é a capacidade de posicionamento de recursos de forma automatizada.
Acesso amplo à rede: é a capacidade de acesso por vários dispositivos, a recursos da rede computacional.
Agrupamento de recursos: é a capacidade do provedor da nuvem mover recursos físicos ou virtuais, para atender a demanda do cliente e a necessidade de uma possível expansão.
Elasticidade rápida: é a capacidade de o provedor suprir rapidamente a necessidade de recursos do cliente de acordo com a demanda.
Serviço Mensurado: é a capacidade de medir e monitorar a utilização dos recursos de acordo com o serviço oferecido.
Sabendo que todo provedor necessita de tais definições para que seja possível padronizar o tipo de serviço, e o que o cliente vai esperar do provedor. Contudo, tais características não condizem nada sobre a segurança da informação, que é uma das preocupações necessárias durante a migração do cliente pra nuvem. 4
MODELOS DE SERVIÇOS
Agora ficou bem claro o que um provedor em nuvem precisa ter para que seu serviço seja qualificado, mas não basta conhecer somente as características, temos
14
também que conhecer os modelos de serviços ofertados por tais provedores. Os modelos de serviços são:
Software como um serviço (SaaS – Software as a Service).
Plataforma como um serviço (PaaS – Platform as a Service).
Infraestrutura como um serviço (IaaS – Infrastructure as a Service). Nos tópicos a seguir veremos com mais detalhes cada um desses modelos.
FIGURA 2 – Modelos de serviços.
4.1 SOFTWARE COMO UM SERVIÇO (SaaS)
15
Um aplicativo é hospedado como um serviço fornecido aos clientes, para que possam ser executados pelos clientes de seus diversos dispositivos. É um dos modelos que vai trazer um grande impacto na redução de custos, este modelo já vem sendo usado há bastante tempo, e já caiu no entendimento do cliente, apesar de muitos pensarem que computação em nuvem é uma tecnologia nova, o software como um serviço na prática já vem sendo utilizado há muitos anos, um exemplo é o correio eletrônico por parte dos provedores, como o Gmail, Hotmail, Yahoo e entre outros. Na verdade a nuvem sempre esteve presente. O usuário está consumindo um software oferecido por este serviço, serviço este que é dedicado ao correio eletrônico.
Figura 3 – Correio eletrônico.
O uso do SaaS traz uma nova realidade para as empresas em geral, atualmente elas precisam adquirir o software e a licença, para a sua implementação no ambiente, os usuários devem ser devidamente treinados, implantação de novas versões futuras, caso tenha disponibilidade e manutenção. A durabilidade do software licenciado, se comparado ao software como um serviço é diferente. Abaixo estão algumas vantagens do software como um serviço:
Custo de licenciamento baixo;
Abstração e redução do custo de manutenção;
Custo de atualização baixo
16
Adoção mais acelerada de novas tecnologias.
4.2 PLATAFORMA COMO UM SERVIÇO (PaaS).
Se tratando de padronização esse modelo é o mais flexível se voltado para o âmbito empresarial, pois o PaaS é uma mescla de combinação de serviços de software e infraestrutura com ferramentas que desenvolvem aplicativos, para que junto com os serviços da Web possam ser integrados e hospedados. Este é o modelo ideal pra quem precisa além do software como um serviço, mas também de uma plataforma de desenvolvimento de aplicações customizadas que o cliente precisará ter. Neste modelo a empresa estará utilizando um conjunto de elementos oferecidos pelo provedor para que possa funcionar como uma espécie de suporte para desenvolvimento e manutenção de aplicações. Desta forma o desenvolvedor não precisará se preocupar com a manutenção da plataforma operacional, ele não precisará se importar em atualizar a versão. O cliente não tem acesso aos componentes físicos da infraestrutura da rede, como switches, roteadores, sistemas operacionais em uso, e dispositivos de armazenamento. Entre os benefícios do PaaS, podemos citar:
As mesmas vantagens do SaaS.
A customização da plataforma de acordo com a necessidade do cliente.
Flexibilidade, fácil desenvolvimento do software dentro de uma plataforma única.
4.3 INFRAESTRUTURA COMO UM SERVIÇO (IaaS)
São recursos fornecidos localmente, o provedor de soluções fornece totalmente os recursos necessários para que o cliente para que ele coloque seu negócio em prática. O provedor inclui disponibilização de rede, dispositivos de armazenamento, e
17
uma mudança significativa em relação aos outros modelos, o contratante tem acesso ao sistema operacional, tais como instalação, manutenção e configuração. É importante frisar que a questão da manutenção da aplicação até o sistema operacional fica a critério do contratante. Mas o lado bom do IaaS é que se tratando de atualização de hardware, infraestrutura de rede física, cabeamento e segurança física do hardware fica a cargo do provedor de serviços.
Figura 4- Modelos de nuvem.
5 MODELOS DE IMPLEMENTAÇÃO Dependendo da necessidade da empresa, ou do tipo de serviço a ser utilizado pelo cliente, existem modelos básicos para se adotar a computação em nuvem, estão divididos em: Nuvens Privadas, Nuvens Públicas, Nuvens Comunidade, e Nuvens Híbridas.
5.1 NUVENS PRIVADAS:
É disponibilizada à empresa, ou ao cliente de forma que seu serviço e sua infraestrutura estejam em uma rede privada, na qual, somente usuários autorizados terão acesso aos dados contidos nesta nuvem. Este modelo de nuvem requer que a
18
empresa seja responsável pela instalação e manutenção do software e infraestrutura da nuvem.
Diferentemente de um data center privado virtual, a infraestrutura utili4zada pertence ao usuário, e, portanto, ele possui total controle sobre como as aplicações são implementadas na nuvem. Uma nuvem privada é, em geral, construída sobre um data center privado. [1] Trazendo de certa forma, uma maior comodidade, uma melhor qualidade de serviço, e segurança.
5.2 NUVENS PÚBLICAS: Estes tipos de nuvens são mais comuns, vários usuários terão acesso aos recursos oferecidos pela internet. Oferece o melhor nível de eficiência de recursos compartilhados, porém, são mais vulneráveis do que as nuvens privadas em relação à segurança. A infraestrutura da nuvem pública é disponibilizada ao público em geral. A sua manutenção, gerenciamento e instalação são por conta do provedor da nuvem. Sendo cobrados dos clientes apenas os recursos que forem usar. Para este modelo de implantação as restrições de acessos não podem ser aplicadas, quanto ao gerenciamento de redes, a aplicação de técnicas de autenticação e autorização também não será possível. Na nuvem pública, a infraestrutura é disponibilizada para o público em geral, sendo acessado por qualquer usuário que conheça a localização do serviço. [8]
5.3 NUVENS COMUNIDADE:
Esta nuvem é administrada por diversas empresas de uma nuvem, sendo suportada por uma comunidade específica que tem por preocupação, a missão, os requisitos de segurança, flexibilidade e política. Pode ser local ou remota, e ser administrada por empresas ou por terceiros.
19
5.4 NUVENS HÍBRIDAS: Neste formato há uma combinação de infraestrutura de nuvem distinta (privada e pública), onde os clientes podem tirar proveito da padronização usada pelo provedor de nuvem para fins de tolerância contra falha e alta disponibilidade. [6] Nas nuvens híbridas, temos uma composição de duas ou mais nuvens, das quais pode ser privada, comunidade ou pública, que continuaram sendo entidades únicas e ligadas por uma mesma tecnologia que segue um padrão para que permita a portabilidade dos dados e aplicações. [8] Por ela ser uma implementação relativamente nova, algumas desvantagens desta nuvem é dificuldade de se criar, administrar, necessidade de manter várias plataformas de segurança e garantir que os aspectos do negócio da empresa possam se comunicar uns com os outros. Uma das vantagens é de poder interagir com o os clientes utilizando a nuvem pública, porém, com os dados assegurados dentro de uma nuvem privada.
6 O DESAFIO DA NUVEM: SEGURANÇA
A computação em nuvem traz consigo vários benefícios que quando aproveitados significam grandes mudanças para as organizações de TI corporativas. O maior benefício será a redução do controle, apesar de as organizações precisarem ser mais responsáveis pela confidencialidade e pela conformidade das práticas de computação na empresa. Essa falta de responsabilidade faz com que a segurança seja um dos desafios mais importantes para os departamentos de TI que consideram serviços em nuvem e provedores.
6.1 RELAÇÕES DINÂMICAS
20
Um fator imprescindível da computação em nuvem é que os aspectos de segurança da infraestrutura vão além do controle e passam para dentro da nuvem em si. Assim, provocando mudanças no número de investidores em segurança e em suas respectivas funções à medida que empresas prestadoras de serviços terceirizados assumirem o controle da infraestrutura e dos processos de segurança da nuvem. As relações de confiança entre os vários investidores da nuvem precisam ser consideradas à medida que a computação em nuvem evolui para possibilitar a gerencia dos dados corporativos confidenciais. Os data centers são o espelho da segurança, pois apresentam suas estruturas reforçadas trazendo segurança, para assim, protegerem os dados em meio as suas infraestruturas físicas, de hardware e de software seguras: O controle do acesso ao usuário é a principal base da sua segurança. A computação em nuvem tem sua imagem ligada aos datas centers, mas é a pessoa que controla essa tecnologia bastante complexa? A computação em nuvem divide muitos dos tradicionais limites corporativos de segurança que acabam fazendo com que haja a substituição das cadeias de custódia temporárias dos dados com importantes para a segurança e confiança dos dados e aplicativos corporativos confidenciais. O compartilhamento do controle gera responsabilidades, uma delas é a questão que o acesso precisa ser individualizado para que somente pessoas selecionadas e controláveis tenham pleno acesso, e essa individualização também contribui para que haja um controle dos usuários, para que seja possível identificar quais funcionários do provedor da nuvem tiveram acesso e as quais informações e aplicativos.
6.2 PADRÕES
Antes que as informações confidenciais passem para nuvem pública, é preciso falar sobre os padrões de segurança e compatibilidade que abrangem a autenticação sólida, autorização delegada, gerenciamento de chaves para
21
desencriptografar dados, proteções contra perda de dados e emissão de relatórios normativos. Como esses requisitos serão atendidos pelos provedores nas suas infraestruturas individuais de nuvem e nas várias nuvens escolhidas pelo consumidor? Os provedores de serviço que estão atualmente atendendo os clientes poderão se tornar os verdadeiros modelos, se criada à federação dos controles de autorização e segurança.
FIGURA 4 – Desafios de segurança da nuvem.
6.3 PORTABILIDADE ENTRE NUVENS PÚBLICAS
A portabilidade entre as nuvens é de grande importância e necessidade para facilitar o acesso e combinar os serviços através de um ambiente acessível que dê a possibilidade de uma comunicação mais transparente entre as nuvens. Essa comunicação é de extrema importância na medida em que os serviços fornecidos por um maior número de nuvens forem mais complexos.
22
6.4 CONFIDENCIALIDADE E PRIVACIDADE As empresas que utilizam as nuvens para armazenamento, exigem do seu departamento de TI a proteção de seus dados nas nuvens privadas e públicas, para que as informações confidenciais não sejam violadas ou publicadas exigindo também o maior conhecimento dos usuários e dos seus próprios dados confidenciais.
6.5 NÍVEIS DE SERVIÇO DE SEGURANÇA Devido ao grande volume no trafego de dados confidenciais e não confidenciais haverá necessidade maior no nível da segurança na nuvem, serviços esses que correspondam a segurança nos dados confidenciais ou em qualquer outro tipo de dados. A maior dificuldade será a associação dos diversos tipos de segurança às informações pra que haja transferência para a nuvem com menor custo e com o maior nível de segurança.
FIGURA 6 – Elementos de segurança.
23
5 METODOLOGIA
O trabalho implica numa metodologia qualitativa de caráter bibliográfico, que consiste na utilização de referências teóricas já publicadas para análise e discussão da tecnologia. Para esse estudo foram usados como base monografias, livros, artigos e sites que possuem como objetivos investigar a computação nas nuvens e suas principais plataformas. Por fim foram efetuadas as conclusões e as recomendações aplicadas ao tema do trabalho.
24
6 CRONOGRAMA DE DESENVOLVIMENTO
Quadro 1 – Cronograma de execução das atividades do Projeto e do Trabalho de Conclusão de Curso. ATIVIDADES Escolha do tema. Definição do problema de pesquisa Definição dos objetivos, justificativa. Definição da metodologia. Pesquisa bibliográfica e elaboração da fundamentação teórica. Entrega da primeira versão do projeto. Entrega da versão final do projeto. Revisão das referências para elaboração do TCC. Elaboração do Capítulo 1. Revisão e reestruturação do Capítulo 1 e elaboração do Capítulo 2. Revisão e reestruturação dos Capítulos 1 e 2. Elaboração do Capítulo 3. Elaboração das considerações finais. Revisão da Introdução. Reestruturação e revisão de todo o texto. Verificação das referências utilizadas. Elaboração de todos os elementos pré e póstextuais.
2019 JAN
FEV
MAR
ABR
X
X
X
X
X
X
X
X
2019 MAI
X
X
X
X
JUN
JUL
AGO
SET
OUT
NOV
DEZ
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X X
X
Entrega da monografia.
X
X
X
X
X
X
Defesa da monografia.
X
X
X
X
X
X
25
REFERÊNCIAS
[1] TAURION, Cezar. Cloud Computing: Computação em Nuvem: Transformando o mundo da tecnologia da informação. Rio de Janeiro: Brasport, 2009.
[2] http://olhardigital.uol.com.br/negocios/digital_news/noticias/75_das_grandes_empres as_no_brasil_ja_usam_cloud_computing_aponta_estudo
[3] VELTE, Anthony T; VELTE, Toby J; ELSENPETER, Robert. Computação em nuvem: Uma Abordagem Prática. Rio de Janeiro: Alta Books, 2012.
[4] GARCIA, Marco A. B. A. Cloud Computing: Definições, Funcionamento e Aplicações da Computação em Nuvem. UNESP, São José do Rio Preto. Disponível em:. Acessado em 25 abr. 2013.
[5] Amazon (2013). Amazon Web Services. http://aws.amazon.com/. [Acessado em abril-2013].
[6] DIOGENES, Yuri; MAUSER, Daniel. Certificação Security+ Da pratica para o exame SY0-301 2ªEdição.
26
[7]RSA, White Paper. O papel da segurança na computação em nuvem confiável. Disponível em:
[8] RUSHEL, H., ZANOTTO, M. S., DA MOTA, W. C. - Computação em Nuvem. Curitiba, 2010.
THAIS RIBEIRO RODRIGUES PINHEIRO
SEGURANÇA EM SISTEMA DA INFORMAÇÃO CLOUD COMPUTING – O PAPEL DA SEGURANÇA NA COMPUTAÇÃO EM NUVEM
DESENVOLVIMENTO DE UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO EM NORMA ABNT ISO/IEC 27002
SOROCABA 2019
THAIS RIBEIRO RODRIGUES PINHEIRO
SEGURANÇA EM SISTEMA DE INFORMAÇÃO CLOUD COMPUTING – O papel da segurança na computação em nuvem
Projeto apresentado ao Curso de Engenharia da Computação da Instituição Anhanguera Sorocaba. Orientador: BRUNO ROBERTO
SOROCABA 2019
3
SUMÁRIO 1 INTRODUÇÃO ......................................................................................................... 4 1.1 O PROBLEMA ....................................................................................................... 5 2 OBJETIVOS ............................................................................................................. 5 2.1 OBJETIVO ESPECIFICO ......................................................................................6 3 JUSTIFICATIVA ....................................................................................................... 6 4 FUNDAMENTAÇÃO TEÓRICA ................................................................................ 8 5 METODOLOGIA ..................................................................................................... 23 6 CRONOGRAMA DE DESENVOLVIMENTO .......................................................... 24 REFERÊNCIAS ......................................................................................................... 25
4
1 INTRODUÇÃO Muitas empresas de hoje no mundo da tecnologia têm como prioridade os seguintes aspectos: segurança, produtividade, lucratividade e baixo custo. Para alcançar essas metas, precisa-se de alguns elementos de infraestrutura essenciais como: servidor, hardware de armazenamento, software de negócios e de gerência de rede, financeiro entre outros. Por traz de todos esses fatores temos um grande vilão na tecnologia que é o
custo. Sabemos que esses equipamentos e softwares não são baratos. Além disso, eles não podem ficar armazenados de qualquer forma, temos que disponibilizar um espaço físico alocando-o em um local restrito, refrigerado, seguro, e com um ambiente organizado para facilitar upgrades e futuras manutenções. É preciso levar em consideração a mão de obra dos técnicos para instalar, configura e executar essa tecnologia toda, que por sua vez não é serviço fácil e nem barato. Então o que fazer? Qual a solução? é seguro? Tudo tem um custo e na tecnologia mais ainda. São tantas perguntas mais temos uma resposta: computação em nuvem! A tecnologia consiste à utilização da memória e a capacidade de armazenamento de computadores e servidores compartilhados e interligados por meio da internet. Assim, tudo o que você armazenou na nuvem como: vídeos, relatórios e documentos sigilosos pode ser acessado em qualquer lugar do mundo, em qualquer computador, tablet, celular, Iphone e etc., sem a necessidade de instalar softwares ou outros componentes. Basta logar-se e pronto. O computador torna-se uma plataforma de acesso às aplicações, que estariam em uma grande nuvem – a Internet. Segundo o site olhar digital 75% das grandes empresas no Brasil já usam cloud computing, aponta estudo. Nos últimos dois anos, houve um crescimento no número de empresas de grande porte no Brasil que aderiram ao modelo de cloud computing (computação em nuvem). Pelo menos, essa é a constatação de uma recente pesquisa realizada pela Kelton Research, a pedido da Avanade, prestadora de serviços de tecnologia criada em parceria pela Accenture e Microsoft.
5
De contrapartida a computação em nuvem centraliza suas aplicações e armazena dados. No que se diz respeito à segurança privacidade, há uma grande preocupação e muitos questionamentos e a vulnerabilidade e um deles. Isso torna- se a sua implementação hoje duvidosa, pois antes os usuários e empresas guardavam seus dados no mesmo.
Assim a privacidade é comprometida (cliente conecta-se de qualquer local e acessa aplicações). Quem aderir a estes serviços tendem a analisar uma forma de proteção adequada, autenticação e autorização por níveis de permissões (acessa somente o que lhe é permitido) são duas boas opções.
Assim vemos que a computação em nuvem e uma tecnologia que vem crescendo muito nos dias de hoje, onde procura-se aliar custo ao benefício, fazendo com que muitas empresas então migrem para essa tecnologia.
1.1 O PROBLEMA Computação em nuvem é seguro realmente?
2 OBJETIVO GERAL Realizar uma abordagem sobre computação em nuvem especificando a área de segurança, visando também seus problemas e vantagens.
Commented [T1]: O Problema de Pesquisa deve ser elaborado em forma de pergunta. A pergunta deve ser clara, precisa, objetiva e específica com a qual se defronta e que se pretende resolver por intermédio da pesquisa. Essa pergunta é o que você quer responder com o trabalho, e a resposta deve ser dada na conclusão no TCC 2/2. O problema deve ser passível de solução. Pense que se o problema é a questão a investigar, o objetivo é o resultado a alcançar. O objetivo geral, se alcançado, dá resposta ao problema que você definiu. Importante: Seu problema e objetivos devem estar relacionados com o tema, mas não devem ser idênticos. O problema é o questionamento que você irá procurar responder com o desenvolvimento do seu trabalho, e os objetivos demonstram como irá responder esta questão. Problemas como “Como desenvolver ou como otimizar remetem indubitavelmente a um estudo de caso e por isso não devem ser utilizados. Commented [T2]: Remova a caixa alta
6
2.1 OBJETIVO ESPECIFICO
Apresentar os tipos de modelos de serviço;
Abordar a questão da segurança, o que se tem atualmente referente a
Realizar uma avaliação sobre a sua eficácia.
ela;
3 JUSTIFICATIVA
Na atualidade em que vivemos a tecnologia de cloud computer vem crescendo a cada dia, muitas empresas já utilizam desta tecnologia para otimizar seus serviços e diminuir mão de obra entre outras funções. Com frequência a mídia vem nos bombardeando com informações e estudos sobre cloud, só que na maioria das vezes esses estudos priorizam grandes empresas ou utilização em grande escala. Tendo em vista a importância da computação em nuvem, esse trabalho tem por função apresentar a tecnologia de cloud computer da forma mais simples e clara para os usuários comuns que utilizam da computação em nuvem, porém não possuem um conhecimento mais afundo deste assunto. Como funciona a computação em nuvem, quais os serviços prestados, quais são as maiorias empresas do ramo, são perguntas simples de se responder por pessoas que trabalham na área da tecnologia, mas que para muitas pessoas são perguntas sem nenhuma resposta clara. Responder todas essas perguntas será o grande objetivo desse trabalho, e que futuramente posam utilizar deste artigo como base para estudos na área de computação em nuvem.
Commented [T3]: Página: 6 Os objetivos específicos são um “passo a passo” de como foi feito o seu TCC, ou seja, você irá desmembrar o objetivo geral, mostrando como alcançou através de sua pesquisa. Para realizar os seus objetivos específicos, primeiro, explique os conceitos básicos do seu objetivo geral, depois, parta para os resultados da pesquisa. Faça no mínimo 3 e no máximo 5 objetivos específicos. Exemplo: Objetivo geral: Identificar questões de Segurança da Informação para empresas que terceirizam serviços de Cloud Computing Objetivos específicos: Conceituar Cloud Computing Demonstrar as vantagens e desvantagens no uso de Cloud Computing para empresas Identificar protocolos de segurança da informação para Cloud Computing, para garantir a segurança das informações que são armazenadas por terceiros. O conteúdo do seu TCC 2/2, dependerá diretamente dos seus objetivos específicos, porque cada capítulo do seu trabalho, deverá corresponder ao desenvolvimento de cada objetivo específico. Ex: O capítulo 1 deve estar relacionado com o primeiro objetivo, o capítulo 2 relacionado com o segundo objetivo e o capítulo 3 com o terceiro objetivo. Commented [T4]: Justificativa é o seu porquê: Por que você escolheu o tema? Por que ele é importante? Por que ele merece ser investigado? Por que escrever sobre esse assunto? A Justificativa é a sua chance de provar ao seu orientador e a qualquer um que leia o seu Projeto, que o seu assunto é relevante e merece ser pesquisado, analisado e discutido. Obviamente, essa relevância do tema deve estar relacionada ao seu curso e área de conhecimento. Apresente de 2 a 3 parágrafos abordando a importância do tema e a relevância da pesquisa conforme exemplos abaixo: Primeiro parágrafo: Apresente seu tema e aponte: Qual a importância do tema? Segundo parágrafo: Neste momento seu foco será apontar a relevância da sua pesquisa e não mais do tema. Porque seu trabalho é relevante? ... Commented [T5]: A formatação do seu trabalho, a qual deve ser fonte Arial 12, recuo da Primeira Linha em 1,25. Justificar (Ctrl+J). Espaçamento de Linha e Parágrafo (Espaçamento Entrelinhas) em 1,5. Commented [T6]: nosso modelo de trabalho é a revisão de literatura, portanto, não pode ser um artigo cientifico. Commented [T7]: ?
7
8
4 FUNDAMENTAÇÃO TEÓRICA Atualmente a computação em nuvem vem se desenvolvendo de modo bastante rápido. Devido seu baixo custo, vem atraindo vários usuários empresariais, e com isso aumentando as dúvidas sobre essa mais nova proposta de armazenamento. No entanto, não se afirma que essa tecnologia é totalmente segura. Esse estudo vem com intuito de mostra os pontos negativos e positivos da computação em nuvem. Um ponto mais relevante dessa nova tecnologia é a questão da segurança que será aprofundada no decorrer do trabalho. O fato que a computação em nuvem pode ser acessada de qualquer lugar do mundo basta fornecer login e senha que o usuário terá todo o acesso a documentos e arquivos privados.
Pensando em questões como essa, essa pesquisa realiza uma avaliação detalhada sobre segurança na tecnologia para sabermos ao certo se realmente é segura de modo a garantir que as pessoas as quais vierem a usufruir dela tenham uma primeira opinião desse tema.
1.5 ORGANIZAÇÃO DO TRABALHO Primeiramente, será abordado um referencial teórico que apresentará os principais detalhes relacionados à tecnologia. No capítulo seguinte, será feita uma abordagem explorando os pontos positivos e negativos da segurança da tecnologia e por fim uma conclusão sobre a eficiência da segurança, se vale mesmo a pena mesmo empresas entregarem suas informações nas mãos de provedores de serviço em nuvem.
2 NAS NUVENS.
Em meios as grandes evoluções tecnológicas na área de Redes de Computadores, a computação em nuvem vem cada vez mais se desenvolvendo e ganhando ainda mais popularidade em meio às empresas e aos usuários, e conforme a computação em nuvem ganha o reconhecimento de e assim vão nascendo bastante duvidas, e devido ser uma tecnologia de ainda pouco conhecimento da grande maioria
9
das pessoas, as dúvidas são frequentes tais como; O que é computação em nuvem? De onde surgiu e como é feita?
2.1 O QUE É COMPUTAÇÃO EM NUVEM? A Computação em nuvem é uma tecnologia que despõe ao seu usuário uma proposta essencialmente em fazer armazenamentos e acessos aos aplicativos e softwares de modo simples e de fácil manuseio através da nuvem (Internet), que é baseada em servidores físicos ou virtuais, tornando possível o acesso da tecnologia em qualquer lugar do mundo e de independente plataforma, disponibilizando também através do mesmo a possibilidade de serviços como manutenção, atualização, backup, escalonamento e outros.
Figura 1 – Estrutura da nuvem.
No entanto o usuário terá a possibilidade de acessar e executar diversas tarefas através da internet, não precisando instalar todos os seus aplicativos ou softwares no seu computador devido à disponibilidade online de vários serviços, já que os mesmos não estão em uma máquina especifica e sim em uma rede. No entanto, no momento em que o servidor executa um programa ou acessa uma informação, a máquina
10
necessita apenas do monitor, sistema operacional e dos hardwares para que aconteça a interação entre o usuário e a nuvem fazendo com que a partir da conexão com a nuvem seja possível a utilização de todas as ferramentas armazenadas e arquivar tudo o que for necessário para um futuro acesso.
O termo e a imagem "Nuvem" foram utilizados para representar uma rede, de algum tipo de composição sendo utilizada sem necessariamente precisar detalhar as características das redes para representar a rede da internet, ou também não precisa ser conhecida no momento.
Segundo TAURION (2009) [3], A Computação em nuvem é, portanto, uma maneira bastante eficiente de maximizar e flexibilizar os recursos computacionais. Além disso, uma nuvem computacional é um ambiente redundante e resiliente por natureza. Resiliente pode ser definido como a capacidade de um sistema de informação continuar a funcionar corretamente, apesar do mau funcionamento de um ou mais dos seus componentes. 2.2 ONDE SURGIU ESSA TECNOLOGIA?
O termo computação em nuvem surgiu em umas das palestras de Eric Schimdt, da Google, no ano de 2006, e surgiu com o objetivo de oferecer benefícios tais esses como serviços de fácil acesso e baixo custo e também para garantir algumas das suas características como escalabilidade e disponibilidade. Sendo incluso também em seus objetivos oferecer três benefícios: redução do custo da estrutura, devido a sua versatilidade e porque não é necessária a compra de componentes para fazer a composição da estrutura necessária para suprir as indigências das empresas ou dos usuários, outro benefício é a versatilidade que a tecnologia dispõe no momento de instalação e troca de aplicativos referentes aos computadores fazendo com que assim o serviço possa atender as necessidades de empresas e usuários em recursos de hardware e quanto a software, e o terceiro benefício é equipar uma abstração e a facilidade de acesso aos usuários do serviço fazendo com que os mesmos não
11
necessitam ter o conhecimento da localização física e das entregas dos resultados do serviço.
2.3 ONDE É APLICADA A computação em nuvem está sendo aplicada em empresas de pequenas e de grande porte por sua facilidade em manutenção e instalação. Existem milhares de aplicações que utilizam as ideias de Cloud Computing para seu funcionamento. Segundo Marco A. B. A. Garcia (2007) [4] no seu artigo relacionou algumas aplicações podem ser executadas nas nuvens. Abaixo estão listadas as mais conhecidas e utilizadas pela rede.
Amazon: a Amazon [5] é um dos maiores serviços de e commerce do mundo. Para suportar o volume de vendas no período do Natal, a empresa montou uma superestrutura de processamento e armazenamento de dados, que acabava ficando na maior parte do ano ociosa. Daí surgiu à ideia de “alugar” esses recursos e surgiram os serviços como o Simple Storage Solution (S3), para armazenamento de dados, e o Elastic Compute Cloud (EC2), um serviço que permite aos usuários alugar computadores virtuais para executar suas aplicações, atualmente oferece uma plataforma de nuvem confiável, escalável e de custo baixo que assim aumenta a potência de centenas de milhares de empresas localizadas em 190 países ao redor do mundo;
Datasul By You: a brasileira Datasul (agora integrada à TOTVS), dispõe de um conjunto de soluções ERP (Enterprise resource planning) chamado By You que utiliza conceitos de Cloud Computing e SaaS.
Aprex: também é brasileiro, e oferece um conjunto de ferramentas para uso profissional, como calendário, gerenciador de contatos, lista de tarefas, disco virtual, blog, serviço de e-mail marketing, apresentações, entre outros. Tudo é
12
feito pela Web e, no caso de empresas, é possível até mesmo inserir o logotipo e alterar o padrão de cores das páginas.
2.4 COMO ESTÁ EM NIVEL DE BRASIL E MUNDO. No Brasil e no mundo de certa forma, as empresas tem razão em ter certo receio quanto a ter o seu data center na grande nuvem sendo cuidado por uma empresa desconhecida, mas é de se pensar que desta forma os custos para manter um sistema operacional e o valor pagos com licenças irão se tornar menores, devido a empresa pagar pelo que realmente usar. Portanto isso não é um motivo para reprovar esta tecnologia, o recomendável é que as empresas que interessar em aderir a computação em nuvens deve-se começar migrando aos poucos suas aplicações para a nuvem, sempre mantendo um espelhamento destas aplicações em seu data center, de forma que se acontecer alguma tempestade na nuvem, e esta parar de fornecer os serviços, existe a possibilidade de a máquina espelho continuar fornecendo os serviços sem prejudicar o funcionamento da empresa. Como sabemos, todas aplicações estão sujeita a falhas e o Brasil ainda não dispõe de uma internet de alta velocidade, portanto antes de efetuar um contrato com uma empresa para colocar seus dados na nuvem é importante verificar bem o contrato, saber qual a taxa de transmissão da rede, fazer um estudo e verificar se a rede não estará sujeita a um congestionamento no tráfego de dados, conhecer bem a empresa e analisar se realmente é viável estar migrando seu sistema para um ambiente virtual. Com tudo, sabendo que falhas são possíveis assim como qualquer outro recurso computacional existente, é necessário que antes de qualquer decisão o usuário, busque um maior conhecimento sobre a Computação em Nuvens, observando fatores básicos que as empresas do meio oferecem como, por exemplo, segurança, confiabilidade e acessibilidade. Porem mesmo ciente destas condições pertinentes ao acesso e armazenamento dos dados e aplicativos sejam satisfatórias e que iram suprir suas necessidades, é preciso que o usuário/cliente conheça sua infraestrutura de internet em particular, pois este ainda é o principal canal de comunicação da Cloud Computing, além de se colocar a par da real infraestrutura
13
de internet que é oferecida no território nacional, que atualmente tem muito a que se melhorar, fazendo que o processo de implementação dessa tecnologia seja gradual.
3 CARACTERÍSTICAS ESSENCIAIS O NIST (National Institute of Standards and Technology) Instituto Nacional de Padrões e Tecnologias definiu a computação em nuvem como sendo um modelo que oferece cinco características essenciais, abaixo:
Self-Service sobre demanda: é a capacidade de posicionamento de recursos de forma automatizada.
Acesso amplo à rede: é a capacidade de acesso por vários dispositivos, a recursos da rede computacional.
Agrupamento de recursos: é a capacidade do provedor da nuvem mover recursos físicos ou virtuais, para atender a demanda do cliente e a necessidade de uma possível expansão.
Elasticidade rápida: é a capacidade de o provedor suprir rapidamente a necessidade de recursos do cliente de acordo com a demanda.
Serviço Mensurado: é a capacidade de medir e monitorar a utilização dos recursos de acordo com o serviço oferecido.
Sabendo que todo provedor necessita de tais definições para que seja possível padronizar o tipo de serviço, e o que o cliente vai esperar do provedor. Contudo, tais características não condizem nada sobre a segurança da informação, que é uma das preocupações necessárias durante a migração do cliente pra nuvem. 4
MODELOS DE SERVIÇOS
Agora ficou bem claro o que um provedor em nuvem precisa ter para que seu serviço seja qualificado, mas não basta conhecer somente as características, temos
14
também que conhecer os modelos de serviços ofertados por tais provedores. Os modelos de serviços são:
Software como um serviço (SaaS – Software as a Service).
Plataforma como um serviço (PaaS – Platform as a Service).
Infraestrutura como um serviço (IaaS – Infrastructure as a Service). Nos tópicos a seguir veremos com mais detalhes cada um desses modelos.
FIGURA 2 – Modelos de serviços.
4.1 SOFTWARE COMO UM SERVIÇO (SaaS)
15
Um aplicativo é hospedado como um serviço fornecido aos clientes, para que possam ser executados pelos clientes de seus diversos dispositivos. É um dos modelos que vai trazer um grande impacto na redução de custos, este modelo já vem sendo usado há bastante tempo, e já caiu no entendimento do cliente, apesar de muitos pensarem que computação em nuvem é uma tecnologia nova, o software como um serviço na prática já vem sendo utilizado há muitos anos, um exemplo é o correio eletrônico por parte dos provedores, como o Gmail, Hotmail, Yahoo e entre outros. Na verdade a nuvem sempre esteve presente. O usuário está consumindo um software oferecido por este serviço, serviço este que é dedicado ao correio eletrônico.
Figura 3 – Correio eletrônico.
O uso do SaaS traz uma nova realidade para as empresas em geral, atualmente elas precisam adquirir o software e a licença, para a sua implementação no ambiente, os usuários devem ser devidamente treinados, implantação de novas versões futuras, caso tenha disponibilidade e manutenção. A durabilidade do software licenciado, se comparado ao software como um serviço é diferente. Abaixo estão algumas vantagens do software como um serviço:
Custo de licenciamento baixo;
Abstração e redução do custo de manutenção;
Custo de atualização baixo
16
Adoção mais acelerada de novas tecnologias.
4.2 PLATAFORMA COMO UM SERVIÇO (PaaS).
Se tratando de padronização esse modelo é o mais flexível se voltado para o âmbito empresarial, pois o PaaS é uma mescla de combinação de serviços de software e infraestrutura com ferramentas que desenvolvem aplicativos, para que junto com os serviços da Web possam ser integrados e hospedados. Este é o modelo ideal pra quem precisa além do software como um serviço, mas também de uma plataforma de desenvolvimento de aplicações customizadas que o cliente precisará ter. Neste modelo a empresa estará utilizando um conjunto de elementos oferecidos pelo provedor para que possa funcionar como uma espécie de suporte para desenvolvimento e manutenção de aplicações. Desta forma o desenvolvedor não precisará se preocupar com a manutenção da plataforma operacional, ele não precisará se importar em atualizar a versão. O cliente não tem acesso aos componentes físicos da infraestrutura da rede, como switches, roteadores, sistemas operacionais em uso, e dispositivos de armazenamento. Entre os benefícios do PaaS, podemos citar:
As mesmas vantagens do SaaS.
A customização da plataforma de acordo com a necessidade do cliente.
Flexibilidade, fácil desenvolvimento do software dentro de uma plataforma única.
4.3 INFRAESTRUTURA COMO UM SERVIÇO (IaaS)
São recursos fornecidos localmente, o provedor de soluções fornece totalmente os recursos necessários para que o cliente para que ele coloque seu negócio em prática. O provedor inclui disponibilização de rede, dispositivos de armazenamento, e
17
uma mudança significativa em relação aos outros modelos, o contratante tem acesso ao sistema operacional, tais como instalação, manutenção e configuração. É importante frisar que a questão da manutenção da aplicação até o sistema operacional fica a critério do contratante. Mas o lado bom do IaaS é que se tratando de atualização de hardware, infraestrutura de rede física, cabeamento e segurança física do hardware fica a cargo do provedor de serviços.
Figura 4- Modelos de nuvem.
5 MODELOS DE IMPLEMENTAÇÃO Dependendo da necessidade da empresa, ou do tipo de serviço a ser utilizado pelo cliente, existem modelos básicos para se adotar a computação em nuvem, estão divididos em: Nuvens Privadas, Nuvens Públicas, Nuvens Comunidade, e Nuvens Híbridas.
5.1 NUVENS PRIVADAS:
É disponibilizada à empresa, ou ao cliente de forma que seu serviço e sua infraestrutura estejam em uma rede privada, na qual, somente usuários autorizados terão acesso aos dados contidos nesta nuvem. Este modelo de nuvem requer que a
18
empresa seja responsável pela instalação e manutenção do software e infraestrutura da nuvem.
Diferentemente de um data center privado virtual, a infraestrutura utili4zada pertence ao usuário, e, portanto, ele possui total controle sobre como as aplicações são implementadas na nuvem. Uma nuvem privada é, em geral, construída sobre um data center privado. [1] Trazendo de certa forma, uma maior comodidade, uma melhor qualidade de serviço, e segurança.
5.2 NUVENS PÚBLICAS: Estes tipos de nuvens são mais comuns, vários usuários terão acesso aos recursos oferecidos pela internet. Oferece o melhor nível de eficiência de recursos compartilhados, porém, são mais vulneráveis do que as nuvens privadas em relação à segurança. A infraestrutura da nuvem pública é disponibilizada ao público em geral. A sua manutenção, gerenciamento e instalação são por conta do provedor da nuvem. Sendo cobrados dos clientes apenas os recursos que forem usar. Para este modelo de implantação as restrições de acessos não podem ser aplicadas, quanto ao gerenciamento de redes, a aplicação de técnicas de autenticação e autorização também não será possível. Na nuvem pública, a infraestrutura é disponibilizada para o público em geral, sendo acessado por qualquer usuário que conheça a localização do serviço. [8]
5.3 NUVENS COMUNIDADE:
Esta nuvem é administrada por diversas empresas de uma nuvem, sendo suportada por uma comunidade específica que tem por preocupação, a missão, os requisitos de segurança, flexibilidade e política. Pode ser local ou remota, e ser administrada por empresas ou por terceiros.
19
5.4 NUVENS HÍBRIDAS: Neste formato há uma combinação de infraestrutura de nuvem distinta (privada e pública), onde os clientes podem tirar proveito da padronização usada pelo provedor de nuvem para fins de tolerância contra falha e alta disponibilidade. [6] Nas nuvens híbridas, temos uma composição de duas ou mais nuvens, das quais pode ser privada, comunidade ou pública, que continuaram sendo entidades únicas e ligadas por uma mesma tecnologia que segue um padrão para que permita a portabilidade dos dados e aplicações. [8] Por ela ser uma implementação relativamente nova, algumas desvantagens desta nuvem é dificuldade de se criar, administrar, necessidade de manter várias plataformas de segurança e garantir que os aspectos do negócio da empresa possam se comunicar uns com os outros. Uma das vantagens é de poder interagir com o os clientes utilizando a nuvem pública, porém, com os dados assegurados dentro de uma nuvem privada.
6 O DESAFIO DA NUVEM: SEGURANÇA
A computação em nuvem traz consigo vários benefícios que quando aproveitados significam grandes mudanças para as organizações de TI corporativas. O maior benefício será a redução do controle, apesar de as organizações precisarem ser mais responsáveis pela confidencialidade e pela conformidade das práticas de computação na empresa. Essa falta de responsabilidade faz com que a segurança seja um dos desafios mais importantes para os departamentos de TI que consideram serviços em nuvem e provedores.
6.1 RELAÇÕES DINÂMICAS
20
Um fator imprescindível da computação em nuvem é que os aspectos de segurança da infraestrutura vão além do controle e passam para dentro da nuvem em si. Assim, provocando mudanças no número de investidores em segurança e em suas respectivas funções à medida que empresas prestadoras de serviços terceirizados assumirem o controle da infraestrutura e dos processos de segurança da nuvem. As relações de confiança entre os vários investidores da nuvem precisam ser consideradas à medida que a computação em nuvem evolui para possibilitar a gerencia dos dados corporativos confidenciais. Os data centers são o espelho da segurança, pois apresentam suas estruturas reforçadas trazendo segurança, para assim, protegerem os dados em meio as suas infraestruturas físicas, de hardware e de software seguras: O controle do acesso ao usuário é a principal base da sua segurança. A computação em nuvem tem sua imagem ligada aos datas centers, mas é a pessoa que controla essa tecnologia bastante complexa? A computação em nuvem divide muitos dos tradicionais limites corporativos de segurança que acabam fazendo com que haja a substituição das cadeias de custódia temporárias dos dados com importantes para a segurança e confiança dos dados e aplicativos corporativos confidenciais. O compartilhamento do controle gera responsabilidades, uma delas é a questão que o acesso precisa ser individualizado para que somente pessoas selecionadas e controláveis tenham pleno acesso, e essa individualização também contribui para que haja um controle dos usuários, para que seja possível identificar quais funcionários do provedor da nuvem tiveram acesso e as quais informações e aplicativos.
6.2 PADRÕES
Antes que as informações confidenciais passem para nuvem pública, é preciso falar sobre os padrões de segurança e compatibilidade que abrangem a autenticação sólida, autorização delegada, gerenciamento de chaves para
21
desencriptografar dados, proteções contra perda de dados e emissão de relatórios normativos. Como esses requisitos serão atendidos pelos provedores nas suas infraestruturas individuais de nuvem e nas várias nuvens escolhidas pelo consumidor? Os provedores de serviço que estão atualmente atendendo os clientes poderão se tornar os verdadeiros modelos, se criada à federação dos controles de autorização e segurança.
FIGURA 4 – Desafios de segurança da nuvem.
6.3 PORTABILIDADE ENTRE NUVENS PÚBLICAS
A portabilidade entre as nuvens é de grande importância e necessidade para facilitar o acesso e combinar os serviços através de um ambiente acessível que dê a possibilidade de uma comunicação mais transparente entre as nuvens. Essa comunicação é de extrema importância na medida em que os serviços fornecidos por um maior número de nuvens forem mais complexos.
22
6.4 CONFIDENCIALIDADE E PRIVACIDADE As empresas que utilizam as nuvens para armazenamento, exigem do seu departamento de TI a proteção de seus dados nas nuvens privadas e públicas, para que as informações confidenciais não sejam violadas ou publicadas exigindo também o maior conhecimento dos usuários e dos seus próprios dados confidenciais.
6.5 NÍVEIS DE SERVIÇO DE SEGURANÇA Devido ao grande volume no trafego de dados confidenciais e não confidenciais haverá necessidade maior no nível da segurança na nuvem, serviços esses que correspondam a segurança nos dados confidenciais ou em qualquer outro tipo de dados. A maior dificuldade será a associação dos diversos tipos de segurança às informações pra que haja transferência para a nuvem com menor custo e com o maior nível de segurança.
FIGURA 6 – Elementos de segurança.
23
5 METODOLOGIA
O trabalho implica numa metodologia qualitativa de caráter bibliográfico, que consiste na utilização de referências teóricas já publicadas para análise e discussão da tecnologia. Para esse estudo foram usados como base monografias, livros, artigos e sites que possuem como objetivos investigar a computação nas nuvens e suas principais plataformas. Por fim foram efetuadas as conclusões e as recomendações aplicadas ao tema do trabalho.
24
6 CRONOGRAMA DE DESENVOLVIMENTO
Quadro 1 – Cronograma de execução das atividades do Projeto e do Trabalho de Conclusão de Curso. ATIVIDADES Escolha do tema. Definição do problema de pesquisa Definição dos objetivos, justificativa. Definição da metodologia. Pesquisa bibliográfica e elaboração da fundamentação teórica. Entrega da primeira versão do projeto. Entrega da versão final do projeto. Revisão das referências para elaboração do TCC. Elaboração do Capítulo 1. Revisão e reestruturação do Capítulo 1 e elaboração do Capítulo 2. Revisão e reestruturação dos Capítulos 1 e 2. Elaboração do Capítulo 3. Elaboração das considerações finais. Revisão da Introdução. Reestruturação e revisão de todo o texto. Verificação das referências utilizadas. Elaboração de todos os elementos pré e póstextuais.
2019 JAN
FEV
MAR
ABR
X
X
X
X
X
X
X
X
2019 MAI
X
X
X
X
JUN
JUL
AGO
SET
OUT
NOV
DEZ
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X X
X
Entrega da monografia.
X
X
X
X
X
X
Defesa da monografia.
X
X
X
X
X
X
25
REFERÊNCIAS
[1] TAURION, Cezar. Cloud Computing: Computação em Nuvem: Transformando o mundo da tecnologia da informação. Rio de Janeiro: Brasport, 2009.
[2] http://olhardigital.uol.com.br/negocios/digital_news/noticias/75_das_grandes_empres as_no_brasil_ja_usam_cloud_computing_aponta_estudo
[3] VELTE, Anthony T; VELTE, Toby J; ELSENPETER, Robert. Computação em nuvem: Uma Abordagem Prática. Rio de Janeiro: Alta Books, 2012.
[4] GARCIA, Marco A. B. A. Cloud Computing: Definições, Funcionamento e Aplicações da Computação em Nuvem. UNESP, São José do Rio Preto. Disponível em:
[5] Amazon (2013). Amazon Web Services. http://aws.amazon.com/. [Acessado em abril-2013].
[6] DIOGENES, Yuri; MAUSER, Daniel. Certificação Security+ Da pratica para o exame SY0-301 2ªEdição.
26
[7]RSA, White Paper. O papel da segurança na computação em nuvem confiável. Disponível em:
[8] RUSHEL, H., ZANOTTO, M. S., DA MOTA, W. C. - Computação em Nuvem. Curitiba, 2010.
