Facto: o IT é caracterizado por uma alocação de 2/3 do seu orçamento no serviço de operação.
A cloud é uma das áreas emergentes nas tecnologias de informação (TI), caracterizada por benefícios de economia de escala, flexibilidade e escalabilidade. A sua adoção permite libertar 35% a 50% dos recursos envolvidos nas infraestruturas e sua operação. No entanto, levanta questões de segurança de informação que necessitam de ser endereçadas. Com a deslocalização dos dados para a cloud, o risco de estes ficarem comprometidos aumenta caso não sejam implementados os controlos adequados.
Neste momento todas as organizações – privadas e públicas – estão a ser confrontadas com a necessidade de reduzir os orçamentos. A área de TI é uma delas, onde se procuram novas estratégias para melhorar a eficiência e otimizar os custos. A utilização deste modelo de serviço é uma das abordagens, pela possibilidade de reduzir custos, melhorar a escalabilidade e reduzir encargos de operação através de:
Melhoria da capacidade do centro de dados;
Utilização de tecnologia de virtualização;
Envolvimento de equipas mais reduzidas para a sua operação.
Em termos de modelo de serviços temos:
Infrastructure as a Service (IaaS) – onde é disponibilizado apenas o hardware para o cliente utilizar;
Platform as a Service (PaaS) – disponibiliza ao cliente um ambiente aplicacional, onde pode ser usado software para desenvolvimento;
Software as a Service (SaaS) – disponibiliza ao cliente um conjunto de aplicações (sem acesso a sistemas operativos ou infraestruturas).
A sua implementação poderá passar por um dos seguintes modelos:
Privado: a infraestrutura é disponibilizada, exclusivamente, para a utilização de uma única organização;
Público: a infraestrutura é disponibilizada para uso aberto a qualquer cliente;
Em Comunidade: a infraestrutura é disponibilizada para utilização exclusiva de uma comunidade de utilizadores com necessidades comuns;
Híbrido: a infraestrutura é composta por duas ou mais infraestruturas distintas (privada, pública ou comunidade) que continuam a ser entidades únicas, mas que estão ligadas por tecnologias normalizadas que permitem a portabilidade de dados e aplicações.
No entanto, cada um dos modelos de serviço e abordagem de implementação acima apresentados possuem riscos associados que têm de ser mitigados com controlos adequados.
De notar que as organizações continuam a ser responsáveis pelos riscos associados à utilização de serviços de terceiros, devendo ser compensados com controlos adicionais.
Em termos de modelo, quanto mais baixo for o nível de serviço a prestar, maior o envolvimento e responsabilidade do cliente na componente de segurança, ou seja:
IaaS – o prestador de serviço da cloud é responsável pela segurança da infraestrutura, sendo o restante da responsabilidade do utilizador;
PaaS – a segurança é responsabilidade partilhada entre o prestador de serviço e o cliente;
SaaS – o prestador de serviço é responsável pela segurança.
A segurança na cloud passa por garantir as propriedades de confidencialidade, integridade e disponibilidade, por forma a minimizar os riscos. Mas nem todos podem ser mitigados com a adoção deste modelo. Alguns poderão ser reduzidos, outros poderão aumentar. Os controlos a considerar são:
Segurança lógica – protege os dados através da utilização de controlos, tais como passwords, autenticação e autorização;
Segurança física e de instalações – encontram-se sob a responsabilidade do prestador de serviços da cloud.
A segurança física, lógica e das instalações fazem parte de uma estratégia em que são criados múltiplos níveis de proteção, com o objetivo de reduzir, com sucesso, o risco de um ataque. Mesmo que um dos níveis seja comprometido, deverão existir outros que terão de ser ultrapassados até que o ataque seja bem sucedido. Os controlos tradicionais – firewalls, Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS), Network Access Control (NAC) que asseguram o controlo de acessos, entre outros – continuam a ser componentes críticos no desenho da arquitetura de segurança.
Aspetos a ter em conta na análise/implementação da segurança na cloud:
Virtualização segura (sistemas, redes, segurança) – validar a implementação dos diferentes componentes da infraestrutura de acordo com as boas práticas e as recomendações dos fabricantes;
Segmentação das redes – sendo uma infraestrutura partilhada, deve assegurar-se que são adotadas as medidas necessárias a nível de isolamento das redes, limitando o acesso apenas a quem de direito (pessoas e equipamentos);
Proteção de dados – aplicar cifra nos dados em repouso e em trânsito de forma a assegurar que apenas o cliente tem acesso aos mesmos;
Monitorização e resposta a incidentes – componente que permite ao cliente ter visibilidade de como a sua infraestrutura está a ser utilizada/gerida e necessária para questões de auditoria e conformidade:
Implica articular com o prestador de serviço a implementação de captura de logs dos sistemas operativos, aplicações e dos equipamentos;
A resposta a incidentes depende muito dos logs para a sua deteção e análise forense e implica a implementação de um plano de resposta a incidentes.
Em resumo, na adoção da cloud deverão ser considerados os seguintes aspetos:
As organizações estão a mover os seus sistemas para a cloud num esforço para reduzir custos e aumentar a eficiência. Este novo paradigma, embora associado a múltiplos benefícios, tem riscos de segurança associados;
Os recursos de TI, neste modelo de serviços, são flexíveis, o que significa disponibilidade a pedido. A virtualização é um dos componentes importantes para atingir a economia de escala. Embora permita reduzir alguns riscos, traz também outros, como seja uma maior dimensão do possível alvo de ataque – mais informação disponível num único ponto;
Os métodos tradicionais de segurança – firewalls, IDS/IPS, NAC, entre outros – continuam válidos, mas devem ser implementados num contexto virtual;
Necessidade de implementação de controlos de proteção de dados – em particular cifra de dados em repouso e em trânsito – para que estes estejam disponíveis, apenas, para o cliente;
Necessidade de implementação de controlos de logging e monitorização e a definição/revisão do plano de resposta a incidentes para ir ao encontro do novo contexto.
A seleção do prestador do serviço deve ter em conta critérios financeiros, do modelo/implementação, de gestão de TI, de segurança e legais.