Cloud: Segurança até onde?

European Voices6 minutes readJul 12th, 2013
SHARE +

Facto: o IT é caracterizado por uma alocação de 2/3 do seu orçamento no serviço de operação.

A cloud é uma das áreas emergentes nas tecnologias de informação (TI), caracterizada por benefícios de economia de escala, flexibilidade e escalabilidade. A sua adoção permite libertar 35% a 50% dos recursos envolvidos nas infraestruturas e sua operação. No entanto, levanta questões de segurança de informação que necessitam de ser endereçadas. Com a deslocalização dos dados para a cloud, o risco de estes ficarem comprometidos aumenta caso não sejam implementados os controlos adequados.

Neste momento todas as organizações – privadas e públicas – estão a ser confrontadas com a necessidade de reduzir os orçamentos. A área de TI  é uma delas, onde se procuram novas estratégias para melhorar a eficiência e otimizar os custos. A utilização deste modelo de serviço é uma das abordagens, pela possibilidade de reduzir custos, melhorar a escalabilidade e reduzir encargos de operação através de:

  • Melhoria da capacidade do centro de dados;
  • Utilização de tecnologia de virtualização;
  • Envolvimento de equipas mais reduzidas para a sua operação.

Em termos de modelo de serviços temos:

  • Infrastructure as a Service (IaaS) – onde é disponibilizado apenas o hardware para o cliente utilizar;
  • Platform as a Service (PaaS) – disponibiliza ao cliente um ambiente aplicacional, onde pode ser usado software para desenvolvimento;
  • Software as a Service (SaaS) – disponibiliza ao cliente um conjunto de aplicações (sem acesso a sistemas operativos ou infraestruturas).

A sua implementação poderá passar por um dos seguintes modelos:

  • Privado: a infraestrutura é disponibilizada, exclusivamente, para a utilização de uma única organização;
  • Público: a infraestrutura é disponibilizada para uso aberto a qualquer cliente;
  • Em Comunidade: a infraestrutura é disponibilizada para utilização exclusiva de uma comunidade de utilizadores com necessidades comuns;
  • Híbrido: a infraestrutura é composta por duas ou mais infraestruturas distintas (privada, pública ou comunidade) que continuam a ser entidades únicas, mas que estão ligadas por tecnologias normalizadas que permitem a portabilidade de dados e aplicações.

No entanto, cada um dos modelos de serviço e abordagem de implementação acima apresentados possuem riscos associados que têm de ser mitigados com controlos adequados.

De notar que as organizações continuam a ser responsáveis pelos riscos associados à utilização de serviços de terceiros, devendo ser compensados com controlos adicionais.

Em termos de modelo, quanto mais baixo for o nível de serviço a prestar, maior o envolvimento e responsabilidade do cliente na componente de segurança, ou seja:

  • IaaS – o prestador de serviço da cloud é responsável pela segurança da infraestrutura, sendo o restante da responsabilidade do utilizador;
  • PaaS – a segurança é responsabilidade partilhada entre o prestador de serviço e o cliente;
  • SaaS – o prestador de serviço é responsável pela segurança.

A segurança na cloud passa por garantir as propriedades de confidencialidade, integridade e disponibilidade, por forma a minimizar os riscos. Mas nem todos podem ser mitigados com a adoção deste modelo. Alguns poderão ser reduzidos, outros poderão aumentar. Os controlos a considerar são:

  • Segurança lógica – protege os dados através da utilização de controlos, tais como passwords, autenticação e autorização;
  • Segurança física e de instalações – encontram-se sob a responsabilidade do prestador de serviços da cloud.

A segurança física, lógica e das instalações fazem parte de uma estratégia em que são criados múltiplos níveis de proteção, com o objetivo de reduzir, com sucesso, o risco de um ataque. Mesmo que um dos níveis seja comprometido, deverão existir outros que terão de ser ultrapassados até que o ataque seja bem sucedido. Os controlos tradicionais – firewalls, Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS), Network Access Control (NAC) que asseguram o controlo de acessos, entre outros – continuam a ser componentes críticos no desenho da arquitetura de segurança.

Aspetos a ter em conta na análise/implementação da segurança na cloud:

  • Virtualização segura (sistemas, redes, segurança) – validar a implementação dos diferentes componentes da infraestrutura de acordo com as boas práticas e as recomendações dos fabricantes;
  • Segmentação das redes – sendo uma infraestrutura partilhada, deve assegurar-se que são adotadas as medidas necessárias a nível de isolamento das redes, limitando o acesso apenas a quem de direito (pessoas e equipamentos);
  • Proteção de dados – aplicar cifra nos dados em repouso e em trânsito de forma a assegurar que apenas o cliente tem acesso aos mesmos;
  • Monitorização e resposta a incidentes – componente que permite ao cliente ter visibilidade de como a sua infraestrutura está a ser utilizada/gerida e necessária para questões de auditoria e conformidade:
    • Implica articular com o prestador de serviço a implementação de captura de logs dos sistemas operativos, aplicações e dos equipamentos;
    • A resposta a incidentes depende muito dos logs para a sua deteção e análise forense e implica a implementação de um plano de resposta a incidentes.

Em resumo, na adoção da cloud deverão ser considerados os seguintes aspetos:

  • As organizações estão a mover os seus sistemas para a cloud num esforço para reduzir custos e aumentar a eficiência. Este novo paradigma, embora associado a múltiplos benefícios, tem riscos de segurança associados;
  • Os recursos de TI, neste modelo de serviços, são flexíveis, o que significa disponibilidade a pedido. A virtualização é um dos componentes importantes para atingir a economia de escala. Embora permita reduzir alguns riscos, traz também outros, como seja uma maior dimensão do possível alvo de ataque – mais informação disponível num único ponto;
  • Os métodos tradicionais de segurança – firewalls, IDS/IPS, NAC, entre outros – continuam válidos, mas devem ser implementados num contexto virtual;
  • Necessidade de implementação de controlos de proteção de dados – em particular cifra de dados em repouso e em trânsito – para que estes estejam disponíveis, apenas, para o cliente;
  • Necessidade de implementação de controlos de logging e monitorização e a definição/revisão do plano de resposta a incidentes para ir ao encontro do novo contexto.

A seleção do prestador do serviço deve ter em conta critérios financeiros, do modelo/implementação, de gestão de TI, de segurança e legais.

Tags-   Cloud confidencialidade escalabilidade híbrida IaaS IDS infraestrutura IPS NAC PaaS privada pública redes redução de custos SaaS segurança virtualização