1.  Unisys Blogs  / European Voices / Cloud: Segurança até onde?

Cloud: Segurança até onde?

European Voices6 minutes readJul 12th, 2013
SHARE +

Facto: o IT é caracterizado por uma alocação de 2/3 do seu orçamento no serviço de operação.

A cloud é uma das áreas emergentes nas tecnologias de informação (TI), caracterizada por benefícios de economia de escala, flexibilidade e escalabilidade. A sua adoção permite libertar 35% a 50% dos recursos envolvidos nas infraestruturas e sua operação. No entanto, levanta questões de segurança de informação que necessitam de ser endereçadas. Com a deslocalização dos dados para a cloud, o risco de estes ficarem comprometidos aumenta caso não sejam implementados os controlos adequados.

Neste momento todas as organizações – privadas e públicas – estão a ser confrontadas com a necessidade de reduzir os orçamentos. A área de TI  é uma delas, onde se procuram novas estratégias para melhorar a eficiência e otimizar os custos. A utilização deste modelo de serviço é uma das abordagens, pela possibilidade de reduzir custos, melhorar a escalabilidade e reduzir encargos de operação através de:

  • Melhoria da capacidade do centro de dados;
  • Utilização de tecnologia de virtualização;
  • Envolvimento de equipas mais reduzidas para a sua operação.

Em termos de modelo de serviços temos:

  • Infrastructure as a Service (IaaS) – onde é disponibilizado apenas o hardware para o cliente utilizar;
  • Platform as a Service (PaaS) – disponibiliza ao cliente um ambiente aplicacional, onde pode ser usado software para desenvolvimento;
  • Software as a Service (SaaS) – disponibiliza ao cliente um conjunto de aplicações (sem acesso a sistemas operativos ou infraestruturas).

A sua implementação poderá passar por um dos seguintes modelos:

  • Privado: a infraestrutura é disponibilizada, exclusivamente, para a utilização de uma única organização;
  • Público: a infraestrutura é disponibilizada para uso aberto a qualquer cliente;
  • Em Comunidade: a infraestrutura é disponibilizada para utilização exclusiva de uma comunidade de utilizadores com necessidades comuns;
  • Híbrido: a infraestrutura é composta por duas ou mais infraestruturas distintas (privada, pública ou comunidade) que continuam a ser entidades únicas, mas que estão ligadas por tecnologias normalizadas que permitem a portabilidade de dados e aplicações.

No entanto, cada um dos modelos de serviço e abordagem de implementação acima apresentados possuem riscos associados que têm de ser mitigados com controlos adequados.

De notar que as organizações continuam a ser responsáveis pelos riscos associados à utilização de serviços de terceiros, devendo ser compensados com controlos adicionais.

Em termos de modelo, quanto mais baixo for o nível de serviço a prestar, maior o envolvimento e responsabilidade do cliente na componente de segurança, ou seja:

  • IaaS – o prestador de serviço da cloud é responsável pela segurança da infraestrutura, sendo o restante da responsabilidade do utilizador;
  • PaaS – a segurança é responsabilidade partilhada entre o prestador de serviço e o cliente;
  • SaaS – o prestador de serviço é responsável pela segurança.

A segurança na cloud passa por garantir as propriedades de confidencialidade, integridade e disponibilidade, por forma a minimizar os riscos. Mas nem todos podem ser mitigados com a adoção deste modelo. Alguns poderão ser reduzidos, outros poderão aumentar. Os controlos a considerar são:

  • Segurança lógica – protege os dados através da utilização de controlos, tais como passwords, autenticação e autorização;
  • Segurança física e de instalações – encontram-se sob a responsabilidade do prestador de serviços da cloud.

A segurança física, lógica e das instalações fazem parte de uma estratégia em que são criados múltiplos níveis de proteção, com o objetivo de reduzir, com sucesso, o risco de um ataque. Mesmo que um dos níveis seja comprometido, deverão existir outros que terão de ser ultrapassados até que o ataque seja bem sucedido. Os controlos tradicionais – firewalls, Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS), Network Access Control (NAC) que asseguram o controlo de acessos, entre outros – continuam a ser componentes críticos no desenho da arquitetura de segurança.

Aspetos a ter em conta na análise/implementação da segurança na cloud:

  • Virtualização segura (sistemas, redes, segurança) – validar a implementação dos diferentes componentes da infraestrutura de acordo com as boas práticas e as recomendações dos fabricantes;
  • Segmentação das redes – sendo uma infraestrutura partilhada, deve assegurar-se que são adotadas as medidas necessárias a nível de isolamento das redes, limitando o acesso apenas a quem de direito (pessoas e equipamentos);
  • Proteção de dados – aplicar cifra nos dados em repouso e em trânsito de forma a assegurar que apenas o cliente tem acesso aos mesmos;
  • Monitorização e resposta a incidentes – componente que permite ao cliente ter visibilidade de como a sua infraestrutura está a ser utilizada/gerida e necessária para questões de auditoria e conformidade:
    • Implica articular com o prestador de serviço a implementação de captura de logs dos sistemas operativos, aplicações e dos equipamentos;
    • A resposta a incidentes depende muito dos logs para a sua deteção e análise forense e implica a implementação de um plano de resposta a incidentes.

Em resumo, na adoção da cloud deverão ser considerados os seguintes aspetos:

  • As organizações estão a mover os seus sistemas para a cloud num esforço para reduzir custos e aumentar a eficiência. Este novo paradigma, embora associado a múltiplos benefícios, tem riscos de segurança associados;
  • Os recursos de TI, neste modelo de serviços, são flexíveis, o que significa disponibilidade a pedido. A virtualização é um dos componentes importantes para atingir a economia de escala. Embora permita reduzir alguns riscos, traz também outros, como seja uma maior dimensão do possível alvo de ataque – mais informação disponível num único ponto;
  • Os métodos tradicionais de segurança – firewalls, IDS/IPS, NAC, entre outros – continuam válidos, mas devem ser implementados num contexto virtual;
  • Necessidade de implementação de controlos de proteção de dados – em particular cifra de dados em repouso e em trânsito – para que estes estejam disponíveis, apenas, para o cliente;
  • Necessidade de implementação de controlos de logging e monitorização e a definição/revisão do plano de resposta a incidentes para ir ao encontro do novo contexto.

A seleção do prestador do serviço deve ter em conta critérios financeiros, do modelo/implementação, de gestão de TI, de segurança e legais.

Tags-   Cloud confidencialidade escalabilidade híbrida IaaS IDS infraestrutura IPS NAC PaaS privada pública redes redução de custos SaaS segurança virtualização

PREVIOUS POST

In de cloud kan het wel eens mistig worden

NEXT POST

Interoperabilidade: uma história de miúdos

Related Posts

The Key to Unlocking SME Switching" >
European Voices
Oct 18th, 2018

The Key to Unlocking SME Switching

READ MORE
New Year, New Personal Data Regulation—Is Your Organization Ready?" >
European Voices
Jan 8th, 2018

New Year, New Personal Data Regulation—Is Your Organization Ready?

READ MORE
Policing’s Big Data problem and how to fix it" >
European Voices
Jan 4th, 2018

Policing’s Big Data problem and how to fix it

READ MORE
Gartner Report: GDPR Clarity: 19 Frequently Asked Questions" >
European Voices
Nov 28th, 2017

Gartner Report: GDPR Clarity: 19 Frequently Asked Questions

READ MORE