Baixe o app para aproveitar ainda mais
Prévia do material em texto
Unidade 3: Tópico 1 - Introdução: Caro(a) estudante, a segurança na nuvem, também conhecida como segurança de computação em nuvem, consiste em um conjunto de políticas, controles, procedimentos e tecnologias que trabalham juntos para proteger sistemas, dados e infraestrutura baseados em nuvem. Essas medidas de segurança são configuradas para proteger dados, dar suporte à conformidade regulamentar e à privacidade dos clientes, além de definir regras de autenticação para usuários e dispositivos individuais. A partir desse cenário, nesta unidade, vamos discutir sobre a Segurança em Computação em Nuvem, a Segurança da Identidade, a Segurança das Informações e a Segurança da Infraestrutura. Tópico 2 - Segurança em Computação em Nuvem: A computação em nuvem não é uma nova tecnologia, mas um novo modelo de entrega de informações e serviços que utilizam tecnologias existentes. Faz uso da infraestrutura da Internet para permitir a comunicação entre o cliente e o servidor -serviços / aplicativos. Cloud Service Providers (CSPs) dispõem de plataformas na nuvem para que seus clientes usem e criem seus serviços na Web, como os provedores de serviços de Internet, e oferecem aos clientes banda larga de alta velocidade para o acesso à Internet. A computação em nuvem fornece uma camada de abstração entre os recursos de computação e a arquitetura de nível envolvida. Os clientes, na verdade, não possuem a infraestrutura física real, devendo apenas pagar uma taxa de assinatura e o provedor de serviços concede a eles acesso às nuvens dos recursos e infraestrutura disponíveis. Um conceito-chave é que os clientes possam reduzir as despesas com a Segurança da computação em nuvem. Segurança na Nuvem: A computação em nuvem pode ser considerada ainda em seu estágio inicial, no entanto, há um número de organizações e organismos que desenharam os padrões e APIs para serem utilizados. Há uma preocupação na comunidade sobre a segurança de computação em nuvem. Um dos riscos que as pessoas veem é que os provedores precisam gerenciar potencialmente milhões de clientes e isso representa um grande desafio. O que isso representa é que muitas pessoas estão preocupadas com o fato de os prestadores desses serviços não serem capazes de lidar com a grande escala ou que a infraestrutura não consiga dimensionar adequadamente as grandes quantidades de uso. A privacidade é importante para as organizações, especialmente quando o indivíduo trafega informações confidenciais que serão armazenadas nesses espaços, mas ainda não está completamente compreendido se a infraestrutura de computação em nuvem será capaz de suportar o armazenamento de informações sem responsabilizar as organizações por violar os regulamentos de privacidade. Muitos acreditam que, com apenas uma senha e nome de usuário para obter acesso aos sistemas de autorização na nuvem, eles não são robustos o suficiente. Se houver informações particulares / confidenciais sendo armazenadas em uma nuvem privada, existe uma alta chance de alguém ver essas informações. O cliente deve ser aconselhado a fornecer apenas os dados ou usar a nuvem (ou seja, o sistema do(s) fornecedores), se confia neles. Os provedores de serviços em nuvem acreditam que a criptografia é a chave e pode resolver com muita segurança diversos problemas, mas o que vem junto com os benefícios da criptografia são as armadilhas que ela pode representar em relação ao consumo do processador. Pode haver momentos - quando ocorrem pequenas falhas e os dados não podem ser descriptografados - que deixam os dados corrompidos e inutilizáveis para clientes e para o provedor de serviços em nuvem. Os recursos também podem ser abusados como provedores de nuvem - eles atribuem endereços IP quando um cliente não precisa mais desse endereço. Uma vez que o endereço de IP não é mais necessário para um cliente após um período de tempo, torna-se disponível para outro cliente usar. Os provedores de nuvem economizam dinheiro e não precisam utilizar tantos endereços IP, por isso está na nuvem o interesse do fornecedor em reutilizá-los. Muitos desses endereços IP ociosos / usados podem deixar o provedor de nuvem aberto ao abuso de seus recursos. Há um período entre um endereço IP alterado no DNS e os cachês DNS mantendo o endereço IP limpo. Se esses antigos endereços IP estão sendo mantidos no cache, eles podem ser acessados, o que daria a um usuário acesso aos recursos disponíveis no endereço de IP. Também um cliente do mesmo provedor de nuvem poderia potencialmente obter acesso para os recursos de outro cliente ao navegar pelas redes do provedor de nuvem, se não forem aplicadas medidas de segurança. Saiba mais: Neste vídeo, o profissional Nelson Novaes Neto (Gerente de Segurança do UOL) apresenta aos profissionais envolvidos no processo de desenvolvimento e segurança de software uma introdução aos conceitos e melhores práticas de mercado para o desenvolvimento e segurança de soluções Cloud Computing. Link: https://www.youtube.com/watch?v=GDVQV643-BA Os dados e a informação são como uma moeda para invasores, e a computação em nuvens pode conter enormes quantidades de dados, tornando-se um alvo atraente para esses invasores, e é por isso que a segurança na nuvem deve ser de primeira qualidade e não deve ser esquecida. API do Clouds e software como serviço estão evoluindo, o que significa que as atualizações podem ser frequentes, mas algumas nuvens não informam seus clientes que essas alterações foram feitas. Fazer alterações na API significa alterar a configuração de nuvem que afeta todas as instâncias dentro da nuvem. As mudanças podem afetar a segurança do sistema como um todo (por exemplo, a mudança pode corrigir um erro, mas criar outro). Os clientes do provedor de nuvem devem perguntar se alguma atualização é feita; também se as implementações de segurança protegem efetivamente os dados e o que exatamente mudou com o sistema. Algumas maneiras de verificar se a empresa está certa com o serviço que está sendo oferecido é checar se existe um terceiro auditando sua nuvem ou se eles têm algum certificado de segurança. Se um cibercriminoso invadir a nuvem, o provedor e os dados que pertencem ao cliente podem ser copiados do servidor sem que o cliente saiba. O provedor de nuvem terá acesso aos logs do servidor; e o cliente não. Vários clientes podem estar compartilhando os recursos dos mesmos servidores e um cliente estar usando vários hosts potencialmente todos os dias. Isso tornaria o rastreamento do acesso não autorizado aos dados quase impossível para o provedor de serviços em nuvem, pois os dados podem ser amplamente difundidos nas redes de provedores de nuvem, a menos que o provedor tenha desenvolvido algum tipo de software de monitoramento que pode agrupar / classificar os processos que ocorreram para cada usuário. https://www.youtube.com/watch?v=GDVQV643-BA Caso contrário, isso pode ser um grande risco de segurança. A maioria dos clientes não sabe onde seus dados estão sendo armazenados pelo provedor de nuvem. Isso coloca uma série de questões, especialmente se a informação é importante ou valiosa. Os clientes preocupados com a segurança devem perguntar ao provedor de nuvem onde os servidores físicos estão e que tipo de medidas de segurança física têm sido tomadas (por exemplo, acesso biométrico ou PIN) para restringir o acesso aos recursos do servidor. Existe uma chance de que os dados sejam mantidos em outro país, o que significa que a lei e a jurisdição local seriam diferentes e poderiam criar um risco de segurança diferente, como dados que podem ser seguros em um país e não podem ser seguros em outro. Observando as diferentes visões sobre privacidade de dados entre os EUA e a UE (União Europeia), esse risco à segurança se torna mais evidente, já que os EUA têm uma visão muito aberta à privacidade dos dados. O Patriot Act dos EUA concede ao governo e a outras agências com poderes ilimitados virtualmente acesso a informações, inclusive pertencentes às empresas. Já naUE, esse tipo de dados seria muito mais seguro, pois as leis e jurisdições locais possuem um grande efeito sobre a segurança e a privacidade dos dados dentro de uma nuvem. Tópico 3 - Segurança da Identidade: A computação em nuvem é um serviço de rede sob demanda com pools de recursos de computação, como processamento e armazenamento. Os serviços mais populares da computação em nuvem são SaaS (Software as a Service) e PaaS (Platform as a Service). No serviço de nuvem, em vez de comprar licença de software, as empresas podem usar SaaS. Em vez de comprar software e hardware, toda pequena ou média empresa pode comprar um serviço na nuvem e utilizar o PaaS. Os usuários podem acessar seus serviços pela Internet digitando seu nome de usuário e senha. Isso é frente à autenticação e à autorização de computação em nuvem; mas, lá atrás, existem diferentes serviços que ajudam as empresas a manter sua privacidade na Internet. Assim, para manter o acesso indesejado longe dos dados preciosos das empresas, existe um papel importante nos serviços em nuvem. O Gerenciamento de Identidade (IDM - Identity Management) da computação em nuvem fornece informações que contêm funções de usuário e permissões para o gerenciamento de acesso. O gerenciamento de acesso é apenas o responsável por aplicar essas funções fornecidas pelo IDM para preservar a privacidade em uma computação em nuvem. Definições de Privacidade na Computação em Nuvem: Existem definições diferentes quando falamos sobre privacidade. A privacidade pode ser definida como qualquer indivíduo ou organização que deve decidir quando, como e quanto de suas informações devem ser acessíveis a outras pessoas. Sediada na definição, o administrador da empresa deve decidir como acessar o quê. Por outro lado, segurança na nuvem é um mecanismo que deve verificar as identidades e impedir o acesso de usuários não autorizados que tentam acessar esses recursos. A identidade é um termo da característica única utilizável de uma entidade. A computação em nuvem pode ser qualquer tipo de informação proveniente de um indivíduo ou objeto no ambiente em nuvem. Assim, essas características com base em sua exclusividade são usadas para fins de autenticação e conhecidas como identificadores. Papel dos Sistemas de Gerenciamento de Identidades na Privacidade: O Gerenciamento de Identidades (IDM - Identity Management) afeta diretamente a privacidade e a segurança da computação em nuvem. Em se tratando de segurança na nuvem, a primeira coisa com a qual se deve se preocupar é a identidade de colocar uma borda em um ambiente sem fronteiras. Para manter uma grande quantidade de usuários no ambiente de nuvem separados, é necessário gerenciar os componentes de forma independente. Este componente distingue usuários não autorizados de usuários autorizados. Na próxima etapa, ele desenha uma linha que mostra a quantidade de dados que cada usuário pode ou deve acessar. O IDM trabalha com a ajuda de identidades na rede para controlar todos os indivíduos e os seus acessos aos recursos. As tarefas que o IDM executa são: I. Estabelecer as identidades. II. Descrever as identidades. III. Registrar as atividades. IV. Destruir as identidades não utilizadas. Reflita: O IDM (Identity Management) não é apenas um gerenciador de senhas simples em um ambiente em nuvem, é também o responsável pela manutenção da privacidade de dados do usuário nesse ambiente. A partir desse cenário, de que forma é possível utilizar as informações fornecidas pelo IDM para preservar a privacidade em uma computação em nuvem? O IDM está mantendo a identidade do usuário e evitando o acesso ilegal a dados seguros sobre o ambiente em nuvem e é chamado de provisionamento e cancelamento de provisionamento. É usado para evitar o acesso ilegal a funções de extração e direitos de acesso aos recursos a partir de dados inseridos por administradores e autoridades empresariais. Em seguida, ele fornece essas informações por meio de protocolos de comunicação que serão explicados mais tarde. Classificação da Base de Gerenciamento de Identidades na Implantação: A combinação de locais em um servidor de aplicativos na nuvem e um servidor de gerenciamento de identidades define diferentes estratégias. Com base nos ativos que temos em uma nuvem, cada uma dessas estratégias pode ser implementada. Independent IDM: O Independent Identity Manager (IDM) também introduzido como servidor único IDM isolado é o responsável por gerenciar todos os usuários e controlá-los. O IDM Independent é o esquema mais simples de implementação de privacidade e segurança e também é comum no design de software em nuvem em pequenas e médias empresas. User-Centric IDM: Design centrado no usuário, construído com base nas necessidades do usuário . Os usuários serviram-se de suas identidades digitais para usar aplicativos de nuvem em locais diferentes em vários dispositivos, como smartphones e tablets. Os usuários só precisam fazer logon uma única vez nos aplicativos em nuvem, que estarão acessíveis para eles. Federation IDM: Esse modelo é mais parecido com o modelo centrado no usuário, mas, em vez do grupo de usuários relacionado, existe uma federação de usuários. Diferentes partes que contêm seus próprios usuários consolidam gerenciadores diferentes, mas de identidade relacionados. É adequado para empresas de médio ou pequeno porte que consolidam recursos e reduzem seus custos ou compartilham suas informações. Porém o grande problema é a heterogeneidade de diferentes identidades e também a interoperabilidade de diferentes nuvens. Anonymous IDM: O gerenciamento de identidades anônimas também atua como IDMs centrados no usuário, com uma diferença, pois deve ser desconhecido do utilizador. Esse modelo garante o anonimato de cada entidade e mantém os dados anônimos de qualquer outra pessoa em um ambiente em nuvem. Há uma abordagem no IDM anônimo, conhecida como Abordagem Centrada na Entidade. A entidade centrada é projetada com base no esquema do pacote ativo e as VM são consideradas essenciais para aplicar as políticas de privacidade e segurança. Tópico 4 - Segurança das Informações: O termo “segurança da informação” significa proteger as informações e sistemas de informação contra o acesso, o uso, a divulgação, a interrupção, a modificação ou a destruição não autorizados, a fim de fornecer integridade, confidencialidade e disponibilidade. Dentro desse contexto, integridade significa proteção contra a impropriedade e a modificação ou destruição de informações e inclui a garantia de não repúdio e autenticidade. Confidencialidade significa preservar restrições autorizadas à divulgação e acesso, incluindo meios para defender informações de privacidade proprietárias e pessoais. E disponibilidade significa garantir acesso oportuno e confiável e uso de informações. A computação em nuvem fornece diversos recursos de computação e armazenamento sob demanda, sem a necessidade de infraestrutura interna que garante benefícios de economia de custos. À medida que o arranjo tecnológico se torna mais popular, são necessárias medidas de segurança para a computação em nuvem garantir a proteção contínua da confidencialidade, disponibilidade e integridade dos dados da empresa. Para garantir que os recursos de segurança mais recentes estejam sendo usados de forma adequada, esse recurso da computação em nuvem exigirá modelos de criptografia sendo constantemente avaliados. Ao usar o provedor de serviços certo na nuvem, esse recurso pode ser melhorado. Para garantir a segurança das informações, o armazenamento de dados e a privacidade devem ser considerados e acompanhados de forma constante. No data center tradicional, os controles sobre acesso físico, acesso a hardware e os controles de software e identidade são combinados para proteger os dados. Na computação em nuvem, essa barreira protetora que protege a infraestrutura é difusa. Os dados precisam de sua segurança própria e exigirão. Isolamento de dados: no ambiente de multilocação,os dados devem ser mantidos com segurança para protegê-lo quando vários clientes usam recursos compartilhados. A virtualização, a criptografia e o controle de acesso são alguns dos degraus para permitir que diferentes níveis hierárquicos e separações existam entre as corporações, comunidades de interesse e usuários. Segurança mais forte dos dados: nos ambientes existentes do data center, o controle de acesso no nível de grupos de usuários é aceitável na maioria dos casos, desde que as informações permaneçam sob o controle da empresa. No entanto, os dados sensíveis exigirão segurança no nível do arquivo, campo ou bloco para atender às demandas de garantia e conformidade para informações na nuvem. Classificação eficaz dos dados: as empresas precisarão saber que tipo de dados é importante e onde estão localizados como pré-requisito para melhorar o desempenho das decisões de custo-benefício, além de garantir o foco nas áreas mais críticas para os procedimentos de prevenção de perda de dados. Gerenciamento de direitos de informação: geralmente é tratado como um componente da identidade a que os usuários têm acesso. A segurança mais forte centrada em dados requer políticas e mecanismos de controle sobre o armazenamento e uso de informações a serem associados diretamente à própria informação. Governança e conformidade: um requisito importante de informações corporativas em governança e conformidade é a criação de gerenciamento e validação das informações - monitorando e auditando o estado de segurança das informações com recursos de log. As infraestruturas de computação em nuvem devem poder verificar se os dados estão sendo gerenciados de acordo com os regulamentos locais e internacionais aplicáveis, com controles, coleta de logs e relatórios apropriados. Saiba mais: Neste vídeo, o profissional Nelson Esquivel (EMC Consulting) aborda o papel da computação em nuvem na dinâmica da gestão de TI. Além disso, é apresentada a diferença entre a Virtualização e a Computação em Nuvem. Link: https://www.youtube.com/watch?v=wv0AFx8j4N4 Recomendações: Para garantir a segurança da informação da computação em nuvem, é necessário verificar qual provedor de serviços será o melhor para a sua organização sobre segurança da informação. Para ajudar na escolha do caminho certo, recomendamos o seguinte: 1. Decida a sensibilidade dos dados da sua organização em relação à proteção dos dados sensíveis, como informações de identificação pessoal, propriedade intelectual ou outros segredos. Agora, considerando a importância de seus dados, escolha o modelo de implantação correto, como modelo privado, modelo público, modelo híbrido ou modelo comunitário de nuvem. 2. Todos os provedores de nuvem oferecem um certo nível de benefícios de segurança para seus clientes, mas, de acordo com suas próprias necessidades de segurança, crie uma lista de verificação com a ajuda de uma informação de um especialista em segurança. Verifique se os especialistas do departamento de TI permanecem envolvidos enquanto estão preparando a lista de verificação. 3. Considere a localização geográfica do Datacenter dos provedores de serviços em nuvem. 4. Agora escolha qual provedor de serviços em nuvem o atende melhor, de acordo com a lista de verificação. 5. Para reduzir ameaças, revise o software / hardware / outro equipamento do provedor, processo de verificação de antecedentes dos funcionários, práticas da cadeia de suprimentos e RH. 6. Para reduzir o ônus da garantia, análises de controles comuns precisam ser usadas com base na ISO 27000 e 28000 padrões. 7. Os riscos legais, como intimações, descoberta eletrônica e questões jurisdicionais, bem como questões de licenciamento precisam ser tratados no contrato. https://www.youtube.com/watch?v=wv0AFx8j4N4 8. Obviamente, haverá uma mudança nas habilidades nos departamentos de TI à medida que as empresas migrarem para a nuvem. Nossa recomendação é treinar as pessoas da organização e ajudá-las a alcançar esse objetivo. 9. Finalmente, dentro de 24 horas, no idioma obrigatório, a notificação imediata de segurança ao projetar (verificar) a ocorrência de eventos, como revisões de segurança em andamento, precisa ser considerada no contrato com o provedor de serviço. Tópico 5 - Segurança da Infraestrutura: As seguintes categorias de computação em nuvem foram identificadas e definidas no processo de desenvolvimento em nuvem: Infrastructure as Service (IaaS): fornece máquinas virtuais e outros hardwares e sistemas operacionais abstratos que podem ser controlados por meio de um serviço a partir de uma API (Application Programming Interface). IaaS inclui toda a pilha de recursos de infraestrutura das instalações às plataformas de hardware que residem neles. Ele incorpora a capacidade de abstrair recursos, bem como fornecer conectividade física e lógica a esses recursos. O IaaS fornece um conjunto de APIs que permitem o gerenciamento e outras formas de interação com a infraestrutura dos consumidores. Platform as a Service (PaaS): permite que os clientes desenvolvam novos aplicativos usando APIs, implantadas e operadas remotamente. As plataformas oferecidas incluem ferramentas de desenvolvimento, gerenciamento de configuração e plataformas de implantação. O PaaS está posicionado sobre o IaaS e adiciona uma camada adicional de integração com estruturas e funções de desenvolvimento de aplicativos, como banco de dados, mensagens e filas que permitem que os desenvolvedores criem aplicativos para a plataforma com ferramentas e linguagens de programação. Software as a Service (SaaS): é um software oferecido por um fornecedor terceirizado, disponível sob demanda, geralmente por meio de um navegador da Web, operando em um local remoto. Os exemplos incluem ferramentas on-line de processamento de texto e planilha, serviços de CRM e serviços de entrega de conteúdo da Web. O SaaS, por sua vez, é baseado em pilhas IaaS e PaaS subjacentes e fornece uma operação operacional independente do ambiente usado para fornecer toda a experiência ao usuário, incluindo o conteúdo, sua apresentação, os aplicativos e os recursos de gerenciamento. Multi-Tenancy (Multilocação): a necessidade de imposição, segmentação, isolamento, governança, níveis de serviço e modelos de cobrança para diferentes consumidores. Os consumidores podem utilizar o serviço de um provedor de nuvem pública ou, na verdade, que sejam da mesma organização, mas ainda compartilham a infraestrutura. Os provedores de aplicativos IaaS tratam os aplicativos dentro do cliente virtual a partir da instância como uma caixa preta e, portanto, são completamente indiferentes às operações e gerenciamento de aplicativos do cliente. O pacote inteiro (aplicativo do cliente e aplicativo de tempo de execução) é executado no servidor do cliente na infraestrutura do provedor e é gerenciado pelos próprios clientes. Por isso, é importante observar que o cliente deve assumir total responsabilidade por garantir a proteção de seus aplicativos implementados na nuvem. Os aplicativos implantados na nuvem devem ser projetados para o modelo de ameaça da Internet. Eles devem ser projetados com contramedidas de segurança padrão para se proteger contra as vulnerabilidades comuns da Web. Dessa forma, os clientes são responsáveis por manter seus aplicativos atualizados - e, portanto, devem garantir que eles tenham uma estratégia de correção para garantir que seus aplicativos são rastreados a partir de malware e hackers, procurando por vulnerabilidades e o acesso não autorizado a seus dados na nuvem. Os clientes não devem ficar tentados a usar implementações personalizadas de autenticação, autorização e contabilidade, pois elas podem se tornar fracas, se não forem devidamente implementadas. A infraestrutura fundamental para uma nuvem deve ser inerentemente segura, seja uma nuvem pública ou privada ou se o serviço é SAAS, PAAS ou IAAS. Diante do exposto, é necessário atentar aos seguintes itens: Segurança inerente no nível do componente: a nuvem precisaser arquitetada para ser segura, construída com componentes inerentemente seguros, implantados e provisionados com interfaces fortes para outros componentes e com suporte seguro, com processos de avaliação de vulnerabilidades e gerenciamento de mudanças que produzem informações de gerenciamento e garantias no nível de serviço que criam confiança. Segurança de interface mais forte: os pontos no sistema em que a interação leva usuário para rede, aplicativo servidor para servidor exigem políticas e controles de segurança mais fortes que garantam consistência e responsabilidade. Gerenciamento do ciclo de vida dos recursos: a economia da computação em nuvem é baseada na multiplicação e no compartilhamento de recursos. Como as necessidades dos clientes e os requisitos mudam, um provedor de serviços deve provisionar e descomissionar de forma correspondente esses recursos - largura de banda, servidores, armazenamento e segurança. Esse processo do ciclo de vida deve ser gerenciado para criar confiança. A segurança da infraestrutura pode ser visualizada, avaliada e implementada de acordo com seus níveis de construção - os níveis de rede, host e aplicação. Segurança da Infraestrutura - O Nível da Rede: Ao examinar o nível de rede da segurança da infraestrutura, é importante distinguir entre nuvens públicas e nuvens privadas. Com as nuvens privadas, não há novos ataques, vulnerabilidades ou alterações de risco específicas a esta topologia que o pessoal de segurança da informação precisa considerar. Se os serviços de nuvem pública forem escolhidos, a alteração dos requisitos de segurança exigirá alterações na topologia da rede e a maneira pela qual a topologia de rede existente interage com a nuvem e a topologia de rede do provedor deve ser levada em consideração. Existem quatro fatores de risco significativos neste caso de uso: 1. Garantir a confidencialidade e a integridade dos dados em trânsito da organização de e para um provedor de nuvem pública. 2. Garantir o controle de acesso adequado (autenticação, autorização e auditoria) para quaisquer recursos usados no provedor de nuvem pública. 3. Garantir a disponibilidade dos recursos voltados para a Internet em uma nuvem pública que estão sendo usados por uma organização ou foram atribuídos a uma organização por provedores de nuvem pública. 4. Substituir o modelo estabelecido de zonas e camadas de rede por domínios. Segurança da Infraestrutura - O Nível do Host: Ao revisar a segurança do host e avaliar os riscos, o contexto dos serviços em nuvem, os modelos de entrega (SaaS, PaaS e IaaS), os modelos de implantação públicos, privados e/ou híbridos devem ser considerados. As responsabilidades de segurança do host no SaaS e serviços de PaaS são transferidas para o provedor de serviços em nuvem. Os clientes de IaaS são os principais responsáveis por proteger os hosts provisionados na nuvem (segurança do software de virtualização, sistema operacional convidado do cliente ou segurança do servidor virtual). Segurança da Infraestrutura - O Nível do Aplicativo: A segurança do aplicativo ou software deve ser um elemento crítico de um programa de segurança. A maioria das empresas com programas de segurança da informação ainda não instituiu um programa de segurança de aplicativos para abordar esse domínio. O design e a implementação de aplicativos que visam à implantação em uma plataforma em nuvem exigirão que os programas de segurança de aplicativos existentes reavaliem as práticas e os padrões atuais. O espectro de segurança de aplicativos varia de aplicativos independentes de usuário único a aplicativos sofisticados de comércio eletrônico multiusuário usados por muitos usuários. O nível é responsável por gerenciar os seguintes itens: A. Ameaças de segurança no nível do aplicativo. B. Segurança do usuário final. C. Segurança de aplicativos SaaS. D. Segurança de aplicativos PaaS. E. Segurança de aplicativos implantados pelo cliente. F. Segurança de aplicativos IaaS. G. Limitações de segurança na nuvem pública. Pode-se resumir que os problemas de segurança de infraestrutura e computação em nuvem estão na área de definição e fornecimento de aspectos especificados de segurança e podem ser divididos em partes específicas. Tópico 6 - Conclusão: A tecnologia de computação em nuvem permite que os usuários aprimorem os serviços de forma mais rápida e economizem recursos, fortaleçam serviços e promovam uma nova dinâmica (dentro desse contexto). Vimos que as características essenciais da computação em nuvem é o seu provisionamento sob demanda, serviços medidos, acesso à rede, elasticidade e pool de recursos que reduzem drasticamente os custos de aquisição e operação e aumentam bastante a eficiência e eficácia dos serviços. Uma das maiores preocupações de segurança com o modelo de computação em nuvem é o compartilhamento de recursos (multilocação). Os provedores de serviços precisam mostrar aos seus clientes que eles estão fornecendo medidas de segurança apropriadas que protegerão os dados de forma eficaz. Apresentamos ao longo dessa unidade que, dependendo das necessidades, podem ser construídas diferentes estruturas que virão a ser úteis. Mas, sob quaisquer condições, os usuários precisam encontrar um provedor de serviços em nuvem confiável que possa manter as informações confidenciais.
Compartilhar