SEGURANÇA DA IDENTIDADE, INFORMAÇÕES E INFRAESTRUTURA

Prévia do material em texto

Unidade 3:
Tópico 1 - Introdução:
Caro(a) estudante, a segurança na nuvem, também conhecida como segurança de
computação em nuvem, consiste em um conjunto de políticas, controles,
procedimentos e tecnologias que trabalham juntos para proteger sistemas, dados e
infraestrutura baseados em nuvem.
Essas medidas de segurança são configuradas para proteger dados, dar suporte à
conformidade regulamentar e à privacidade dos clientes, além de definir regras de
autenticação para usuários e dispositivos individuais.
A partir desse cenário, nesta unidade, vamos discutir sobre a Segurança em
Computação em Nuvem, a Segurança da Identidade, a Segurança das Informações
e a Segurança da Infraestrutura.
Tópico 2 - Segurança em Computação em Nuvem:
A computação em nuvem não é uma nova tecnologia, mas um novo modelo de
entrega de informações e serviços que utilizam tecnologias existentes. Faz uso da
infraestrutura da Internet para permitir a comunicação entre o cliente e o servidor
-serviços / aplicativos.
Cloud Service Providers (CSPs) dispõem de plataformas na nuvem para que seus
clientes usem e criem seus serviços na Web, como os provedores de serviços de
Internet, e oferecem aos clientes banda larga de alta velocidade para o acesso à
Internet.
A computação em nuvem fornece uma camada de abstração entre os recursos de
computação e a arquitetura de nível envolvida. Os clientes, na verdade, não
possuem a infraestrutura física real, devendo apenas pagar uma taxa de assinatura
e o provedor de serviços concede a eles acesso às nuvens dos recursos e
infraestrutura disponíveis. Um conceito-chave é que os clientes possam reduzir as
despesas com a Segurança da computação em nuvem.
Segurança na Nuvem:
A computação em nuvem pode ser considerada ainda em seu estágio inicial, no
entanto, há um número de organizações e organismos que desenharam os padrões
e APIs para serem utilizados. Há uma preocupação na comunidade sobre a
segurança de computação em nuvem.
Um dos riscos que as pessoas veem é que os provedores precisam gerenciar
potencialmente milhões de clientes e isso representa um grande desafio.
O que isso representa é que muitas pessoas estão preocupadas com o fato de os
prestadores desses serviços não serem capazes de lidar com a grande escala ou
que a infraestrutura não consiga dimensionar adequadamente as grandes
quantidades de uso.
A privacidade é importante para as organizações, especialmente quando o indivíduo
trafega informações confidenciais que serão armazenadas nesses espaços, mas
ainda não está completamente compreendido se a infraestrutura de computação em
nuvem será capaz de suportar o armazenamento de informações sem
responsabilizar as organizações por violar os regulamentos de privacidade.
Muitos acreditam que, com apenas uma senha e nome de usuário para obter
acesso aos sistemas de autorização na nuvem, eles não são robustos o suficiente.
Se houver informações particulares / confidenciais sendo armazenadas em uma
nuvem privada, existe uma alta chance de alguém ver essas informações.
O cliente deve ser aconselhado a fornecer apenas os dados ou usar a nuvem (ou
seja, o sistema do(s) fornecedores), se confia neles. Os provedores de serviços em
nuvem acreditam que a criptografia é a chave e pode resolver com muita segurança
diversos problemas, mas o que vem junto com os benefícios da criptografia são as
armadilhas que ela pode representar em relação ao consumo do processador.
Pode haver momentos - quando ocorrem pequenas falhas e os dados não podem
ser descriptografados - que deixam os dados corrompidos e inutilizáveis para
clientes e para o provedor de serviços em nuvem. Os recursos também podem ser
abusados como provedores de nuvem - eles atribuem endereços IP quando um
cliente não precisa mais desse endereço.
Uma vez que o endereço de IP não é mais necessário para um cliente após um
período de tempo, torna-se disponível para outro cliente usar. Os provedores de
nuvem economizam dinheiro e não precisam utilizar tantos endereços IP, por isso
está na nuvem o interesse do fornecedor em reutilizá-los.
Muitos desses endereços IP ociosos / usados podem deixar o provedor de nuvem
aberto ao abuso de seus recursos. Há um período entre um endereço IP alterado no
DNS e os cachês DNS mantendo o endereço IP limpo. Se esses antigos endereços
IP estão sendo mantidos no cache, eles podem ser acessados, o que daria a um
usuário acesso aos recursos disponíveis no endereço de IP.
Também um cliente do mesmo provedor de nuvem poderia potencialmente obter
acesso para os recursos de outro cliente ao navegar pelas redes do provedor de
nuvem, se não forem aplicadas medidas de segurança.
Saiba mais:
Neste vídeo, o profissional Nelson Novaes Neto (Gerente de Segurança do UOL)
apresenta aos profissionais envolvidos no processo de desenvolvimento e
segurança de software uma introdução aos conceitos e melhores práticas de
mercado para o desenvolvimento e segurança de soluções Cloud Computing.
Link: https://www.youtube.com/watch?v=GDVQV643-BA
Os dados e a informação são como uma moeda para invasores, e a computação em
nuvens pode conter enormes quantidades de dados, tornando-se um alvo atraente
para esses invasores, e é por isso que a segurança na nuvem deve ser de primeira
qualidade e não deve ser esquecida.
API do Clouds e software como serviço estão evoluindo, o que significa que as
atualizações podem ser frequentes, mas algumas nuvens não informam seus
clientes que essas alterações foram feitas. Fazer alterações na API significa alterar
a configuração de nuvem que afeta todas as instâncias dentro da nuvem.
As mudanças podem afetar a segurança do sistema como um todo (por exemplo, a
mudança pode corrigir um erro, mas criar outro). Os clientes do provedor de nuvem
devem perguntar se alguma atualização é feita; também se as implementações de
segurança protegem efetivamente os dados e o que exatamente mudou com o
sistema.
Algumas maneiras de verificar se a empresa está certa com o serviço que está
sendo oferecido é checar se existe um terceiro auditando sua nuvem ou se eles têm
algum certificado de segurança. Se um cibercriminoso invadir a nuvem, o provedor e
os dados que pertencem ao cliente podem ser copiados do servidor sem que o
cliente saiba.
O provedor de nuvem terá acesso aos logs do servidor; e o cliente não. Vários
clientes podem estar compartilhando os recursos dos mesmos servidores e um
cliente estar usando vários hosts potencialmente todos os dias.
Isso tornaria o rastreamento do acesso não autorizado aos dados quase impossível
para o provedor de serviços em nuvem, pois os dados podem ser amplamente
difundidos nas redes de provedores de nuvem, a menos que o provedor tenha
desenvolvido algum tipo de software de monitoramento que pode agrupar /
classificar os processos que ocorreram para cada usuário.
https://www.youtube.com/watch?v=GDVQV643-BA
Caso contrário, isso pode ser um grande risco de segurança. A maioria dos clientes
não sabe onde seus dados estão sendo armazenados pelo provedor de nuvem. Isso
coloca uma série de questões, especialmente se a informação é importante ou
valiosa.
Os clientes preocupados com a segurança devem perguntar ao provedor de nuvem
onde os servidores físicos estão e que tipo de medidas de segurança física têm sido
tomadas (por exemplo, acesso biométrico ou PIN) para restringir o acesso aos
recursos do servidor.
Existe uma chance de que os dados sejam mantidos em outro país, o que significa
que a lei e a jurisdição local seriam diferentes e poderiam criar um risco de
segurança diferente, como dados que podem ser seguros em um país e não podem
ser seguros em outro.
Observando as diferentes visões sobre privacidade de dados entre os EUA e a UE
(União Europeia), esse risco à segurança se torna mais evidente, já que os EUA
têm uma visão muito aberta à privacidade dos dados.
O Patriot Act dos EUA concede ao governo e a outras agências com poderes
ilimitados virtualmente acesso a informações, inclusive pertencentes às empresas.
Já naUE, esse tipo de dados seria muito mais seguro, pois as leis e jurisdições
locais possuem um grande efeito sobre a segurança e a privacidade dos dados
dentro de uma nuvem.
Tópico 3 - Segurança da Identidade:
A computação em nuvem é um serviço de rede sob demanda com pools de
recursos de computação, como processamento e armazenamento. Os serviços mais
populares da computação em nuvem são SaaS (Software as a Service) e PaaS
(Platform as a Service).
No serviço de nuvem, em vez de comprar licença de software, as empresas podem
usar SaaS. Em vez de comprar software e hardware, toda pequena ou média
empresa pode comprar um serviço na nuvem e utilizar o PaaS. Os usuários podem
acessar seus serviços pela Internet digitando seu nome de usuário e senha.
Isso é frente à autenticação e à autorização de computação em nuvem; mas, lá
atrás, existem diferentes serviços que ajudam as empresas a manter sua
privacidade na Internet. Assim, para manter o acesso indesejado longe dos dados
preciosos das empresas, existe um papel importante nos serviços em nuvem.
O Gerenciamento de Identidade (IDM - Identity Management) da computação em
nuvem fornece informações que contêm funções de usuário e permissões para o
gerenciamento de acesso. O gerenciamento de acesso é apenas o responsável por
aplicar essas funções fornecidas pelo IDM para preservar a privacidade em uma
computação em nuvem.
Definições de Privacidade na Computação em Nuvem:
Existem definições diferentes quando falamos sobre privacidade. A privacidade
pode ser definida como qualquer indivíduo ou organização que deve decidir quando,
como e quanto de suas informações devem ser acessíveis a outras pessoas.
Sediada na definição, o administrador da empresa deve decidir como acessar o quê.
Por outro lado, segurança na nuvem é um mecanismo que deve verificar as
identidades e impedir o acesso de usuários não autorizados que tentam acessar
esses recursos. A identidade é um termo da característica única utilizável de uma
entidade.
A computação em nuvem pode ser qualquer tipo de informação proveniente de um
indivíduo ou objeto no ambiente em nuvem. Assim, essas características com base
em sua exclusividade são usadas para fins de autenticação e conhecidas como
identificadores.
Papel dos Sistemas de Gerenciamento de Identidades na
Privacidade:
O Gerenciamento de Identidades (IDM - Identity Management) afeta diretamente a
privacidade e a segurança da computação em nuvem. Em se tratando de segurança
na nuvem, a primeira coisa com a qual se deve se preocupar é a identidade de
colocar uma borda em um ambiente sem fronteiras.
Para manter uma grande quantidade de usuários no ambiente de nuvem separados,
é necessário gerenciar os componentes de forma independente. Este componente
distingue usuários não autorizados de usuários autorizados. Na próxima etapa, ele
desenha uma linha que mostra a quantidade de dados que cada usuário pode ou
deve acessar.
O IDM trabalha com a ajuda de identidades na rede para controlar todos os
indivíduos e os seus acessos aos recursos. As tarefas que o IDM executa são:
I. Estabelecer as identidades.
II. Descrever as identidades.
III. Registrar as atividades.
IV. Destruir as identidades não utilizadas.
Reflita:
O IDM (Identity Management) não é apenas um gerenciador de senhas simples em
um ambiente em nuvem, é também o responsável pela manutenção da privacidade
de dados do usuário nesse ambiente. A partir desse cenário, de que forma é
possível utilizar as informações fornecidas pelo IDM para preservar a privacidade
em uma computação em nuvem?
O IDM está mantendo a identidade do usuário e evitando o acesso ilegal a dados
seguros sobre o ambiente em nuvem e é chamado de provisionamento e
cancelamento de provisionamento. É usado para evitar o acesso ilegal a funções de
extração e direitos de acesso aos recursos a partir de dados inseridos por
administradores e autoridades empresariais. Em seguida, ele fornece essas
informações por meio de protocolos de comunicação que serão explicados mais
tarde.
Classificação da Base de Gerenciamento de Identidades
na Implantação:
A combinação de locais em um servidor de aplicativos na nuvem e um servidor de
gerenciamento de identidades define diferentes estratégias. Com base nos ativos
que temos em uma nuvem, cada uma dessas estratégias pode ser implementada.
Independent IDM:
O Independent Identity Manager (IDM) também introduzido como servidor único IDM
isolado é o responsável por gerenciar todos os usuários e controlá-los. O IDM
Independent é o esquema mais simples de implementação de privacidade e
segurança e também é comum no design de software em nuvem em pequenas e
médias empresas.
User-Centric IDM:
Design centrado no usuário, construído com base nas necessidades do usuário . Os
usuários serviram-se de suas identidades digitais para usar aplicativos de nuvem
em locais diferentes em vários dispositivos, como smartphones e tablets. Os
usuários só precisam fazer logon uma única vez nos aplicativos em nuvem, que
estarão acessíveis para eles.
Federation IDM:
Esse modelo é mais parecido com o modelo centrado no usuário, mas, em vez do
grupo de usuários relacionado, existe uma federação de usuários. Diferentes partes
que contêm seus próprios usuários consolidam gerenciadores diferentes, mas de
identidade relacionados. É adequado para empresas de médio ou pequeno porte
que consolidam recursos e reduzem seus custos ou compartilham suas
informações. Porém o grande problema é a heterogeneidade de diferentes
identidades e também a interoperabilidade de diferentes nuvens.
Anonymous IDM:
O gerenciamento de identidades anônimas também atua como IDMs centrados no
usuário, com uma diferença, pois deve ser desconhecido do utilizador. Esse modelo
garante o anonimato de cada entidade e mantém os dados anônimos de qualquer
outra pessoa em um ambiente em nuvem.
Há uma abordagem no IDM anônimo, conhecida como Abordagem Centrada na
Entidade. A entidade centrada é projetada com base no esquema do pacote ativo e
as VM são consideradas essenciais para aplicar as políticas de privacidade e
segurança.
Tópico 4 - Segurança das Informações:
O termo “segurança da informação” significa proteger as informações e sistemas
de informação contra o acesso, o uso, a divulgação, a interrupção, a modificação ou
a destruição não autorizados, a fim de fornecer integridade, confidencialidade e
disponibilidade.
Dentro desse contexto, integridade significa proteção contra a impropriedade e a
modificação ou destruição de informações e inclui a garantia de não repúdio e
autenticidade.
Confidencialidade significa preservar restrições autorizadas à divulgação e acesso,
incluindo meios para defender informações de privacidade proprietárias e pessoais.
E disponibilidade significa garantir acesso oportuno e confiável e uso de
informações.
A computação em nuvem fornece diversos recursos de computação e
armazenamento sob demanda, sem a necessidade de infraestrutura interna que
garante benefícios de economia de custos.
À medida que o arranjo tecnológico se torna mais popular, são necessárias medidas
de segurança para a computação em nuvem garantir a proteção contínua da
confidencialidade, disponibilidade e integridade dos dados da empresa.
Para garantir que os recursos de segurança mais recentes estejam sendo usados
de forma adequada, esse recurso da computação em nuvem exigirá modelos de
criptografia sendo constantemente avaliados. Ao usar o provedor de serviços certo
na nuvem, esse recurso pode ser melhorado.
Para garantir a segurança das informações, o armazenamento de dados e a
privacidade devem ser considerados e acompanhados de forma constante. No data
center tradicional, os controles sobre acesso físico, acesso a hardware e os
controles de software e identidade são combinados para proteger os dados.
Na computação em nuvem, essa barreira protetora que protege a infraestrutura é
difusa. Os dados precisam de sua segurança própria e exigirão.
Isolamento de dados: no ambiente de multilocação,os dados devem ser mantidos
com segurança para protegê-lo quando vários clientes usam recursos
compartilhados. A virtualização, a criptografia e o controle de acesso são alguns dos
degraus para permitir que diferentes níveis hierárquicos e separações existam entre
as corporações, comunidades de interesse e usuários.
Segurança mais forte dos dados: nos ambientes existentes do data center, o
controle de acesso no nível de grupos de usuários é aceitável na maioria dos casos,
desde que as informações permaneçam sob o controle da empresa. No entanto, os
dados sensíveis exigirão segurança no nível do arquivo, campo ou bloco para
atender às demandas de garantia e conformidade para informações na nuvem.
Classificação eficaz dos dados: as empresas precisarão saber que tipo de dados
é importante e onde estão localizados como pré-requisito para melhorar o
desempenho das decisões de custo-benefício, além de garantir o foco nas áreas
mais críticas para os procedimentos de prevenção de perda de dados.
Gerenciamento de direitos de informação: geralmente é tratado como um
componente da identidade a que os usuários têm acesso. A segurança mais forte
centrada em dados requer políticas e mecanismos de controle sobre o
armazenamento e uso de informações a serem associados diretamente à própria
informação.
Governança e conformidade: um requisito importante de informações corporativas
em governança e conformidade é a criação de gerenciamento e validação das
informações - monitorando e auditando o estado de segurança das informações
com recursos de log. As infraestruturas de computação em nuvem devem poder
verificar se os dados estão sendo gerenciados de acordo com os regulamentos
locais e internacionais aplicáveis, com controles, coleta de logs e relatórios
apropriados.
Saiba mais:
Neste vídeo, o profissional Nelson Esquivel (EMC Consulting) aborda o papel da
computação em nuvem na dinâmica da gestão de TI. Além disso, é apresentada a
diferença entre a Virtualização e a Computação em Nuvem.
Link: https://www.youtube.com/watch?v=wv0AFx8j4N4
Recomendações:
Para garantir a segurança da informação da computação em nuvem, é necessário
verificar qual provedor de serviços será o melhor para a sua organização sobre
segurança da informação. Para ajudar na escolha do caminho certo, recomendamos
o seguinte:
1. Decida a sensibilidade dos dados da sua organização em relação à proteção
dos dados sensíveis, como informações de identificação pessoal,
propriedade intelectual ou outros segredos. Agora, considerando a
importância de seus dados, escolha o modelo de implantação correto, como
modelo privado, modelo público, modelo híbrido ou modelo comunitário de
nuvem.
2. Todos os provedores de nuvem oferecem um certo nível de benefícios de
segurança para seus clientes, mas, de acordo com suas próprias
necessidades de segurança, crie uma lista de verificação com a ajuda de
uma informação de um especialista em segurança. Verifique se os
especialistas do departamento de TI permanecem envolvidos enquanto estão
preparando a lista de verificação.
3. Considere a localização geográfica do Datacenter dos provedores de
serviços em nuvem.
4. Agora escolha qual provedor de serviços em nuvem o atende melhor, de
acordo com a lista de verificação.
5. Para reduzir ameaças, revise o software / hardware / outro equipamento do
provedor, processo de verificação de antecedentes dos funcionários, práticas
da cadeia de suprimentos e RH.
6. Para reduzir o ônus da garantia, análises de controles comuns precisam ser
usadas com base na ISO 27000 e 28000 padrões.
7. Os riscos legais, como intimações, descoberta eletrônica e questões
jurisdicionais, bem como questões de licenciamento precisam ser tratados no
contrato.
https://www.youtube.com/watch?v=wv0AFx8j4N4
8. Obviamente, haverá uma mudança nas habilidades nos departamentos de TI
à medida que as empresas migrarem para a nuvem. Nossa recomendação é
treinar as pessoas da organização e ajudá-las a alcançar esse objetivo.
9. Finalmente, dentro de 24 horas, no idioma obrigatório, a notificação imediata
de segurança ao projetar (verificar) a ocorrência de eventos, como revisões
de segurança em andamento, precisa ser considerada no contrato com o
provedor de serviço.
Tópico 5 - Segurança da Infraestrutura:
As seguintes categorias de computação em nuvem foram identificadas e definidas
no processo de desenvolvimento em nuvem:
Infrastructure as Service (IaaS): fornece máquinas virtuais e outros hardwares e
sistemas operacionais abstratos que podem ser controlados por meio de um serviço
a partir de uma API (Application Programming Interface). IaaS inclui toda a pilha de
recursos de infraestrutura das instalações às plataformas de hardware que residem
neles.
Ele incorpora a capacidade de abstrair recursos, bem como fornecer conectividade
física e lógica a esses recursos. O IaaS fornece um conjunto de APIs que permitem
o gerenciamento e outras formas de interação com a infraestrutura dos
consumidores.
Platform as a Service (PaaS): permite que os clientes desenvolvam novos
aplicativos usando APIs, implantadas e operadas remotamente. As plataformas
oferecidas incluem ferramentas de desenvolvimento, gerenciamento de
configuração e plataformas de implantação.
O PaaS está posicionado sobre o IaaS e adiciona uma camada adicional de
integração com estruturas e funções de desenvolvimento de aplicativos, como
banco de dados, mensagens e filas que permitem que os desenvolvedores criem
aplicativos para a plataforma com ferramentas e linguagens de programação.
Software as a Service (SaaS): é um software oferecido por um fornecedor
terceirizado, disponível sob demanda, geralmente por meio de um navegador da
Web, operando em um local remoto. Os exemplos incluem ferramentas on-line de
processamento de texto e planilha, serviços de CRM e serviços de entrega de
conteúdo da Web.
O SaaS, por sua vez, é baseado em pilhas IaaS e PaaS subjacentes e fornece uma
operação operacional independente do ambiente usado para fornecer toda a
experiência ao usuário, incluindo o conteúdo, sua apresentação, os aplicativos e os
recursos de gerenciamento.
Multi-Tenancy (Multilocação): a necessidade de imposição, segmentação,
isolamento, governança, níveis de serviço e modelos de cobrança para diferentes
consumidores.
Os consumidores podem utilizar o serviço de um provedor de nuvem pública ou, na
verdade, que sejam da mesma organização, mas ainda compartilham a
infraestrutura. Os provedores de aplicativos IaaS tratam os aplicativos dentro do
cliente virtual a partir da instância como uma caixa preta e, portanto, são
completamente indiferentes às operações e gerenciamento de aplicativos do cliente.
O pacote inteiro (aplicativo do cliente e aplicativo de tempo de execução) é
executado no servidor do cliente na infraestrutura do provedor e é gerenciado pelos
próprios clientes. Por isso, é importante observar que o cliente deve assumir total
responsabilidade por garantir a proteção de seus aplicativos implementados na
nuvem.
Os aplicativos implantados na nuvem devem ser projetados para o modelo de
ameaça da Internet. Eles devem ser projetados com contramedidas de segurança
padrão para se proteger contra as vulnerabilidades comuns da Web.
Dessa forma, os clientes são responsáveis por manter seus aplicativos atualizados -
e, portanto, devem garantir que eles tenham uma estratégia de correção para
garantir que seus aplicativos são rastreados a partir de malware e hackers,
procurando por vulnerabilidades e o acesso não autorizado a seus dados na nuvem.
Os clientes não devem ficar tentados a usar implementações personalizadas de
autenticação, autorização e contabilidade, pois elas podem se tornar fracas, se não
forem devidamente implementadas.
A infraestrutura fundamental para uma nuvem deve ser inerentemente segura, seja
uma nuvem pública ou privada ou se o serviço é SAAS, PAAS ou IAAS. Diante do
exposto, é necessário atentar aos seguintes itens:
Segurança inerente no nível do componente: a nuvem precisaser arquitetada
para ser segura, construída com componentes inerentemente seguros, implantados
e provisionados com interfaces fortes para outros componentes e com suporte
seguro, com processos de avaliação de vulnerabilidades e gerenciamento de
mudanças que produzem informações de gerenciamento e garantias no nível de
serviço que criam confiança.
Segurança de interface mais forte: os pontos no sistema em que a interação leva
usuário para rede, aplicativo servidor para servidor exigem políticas e controles de
segurança mais fortes que garantam consistência e responsabilidade.
Gerenciamento do ciclo de vida dos recursos: a economia da computação em
nuvem é baseada na multiplicação e no compartilhamento de recursos. Como as
necessidades dos clientes e os requisitos mudam, um provedor de serviços deve
provisionar e descomissionar de forma correspondente esses recursos - largura de
banda, servidores, armazenamento e segurança. Esse processo do ciclo de vida
deve ser gerenciado para criar confiança.
A segurança da infraestrutura pode ser visualizada, avaliada e implementada de
acordo com seus níveis de construção - os níveis de rede, host e aplicação.
Segurança da Infraestrutura - O Nível da Rede:
Ao examinar o nível de rede da segurança da infraestrutura, é importante distinguir
entre nuvens públicas e nuvens privadas. Com as nuvens privadas, não há novos
ataques, vulnerabilidades ou alterações de risco específicas a esta topologia que o
pessoal de segurança da informação precisa considerar.
Se os serviços de nuvem pública forem escolhidos, a alteração dos requisitos de
segurança exigirá alterações na topologia da rede e a maneira pela qual a topologia
de rede existente interage com a nuvem e a topologia de rede do provedor deve ser
levada em consideração.
Existem quatro fatores de risco significativos neste caso de uso:
1. Garantir a confidencialidade e a integridade dos dados em trânsito da
organização de e para um provedor de nuvem pública.
2. Garantir o controle de acesso adequado (autenticação, autorização e
auditoria) para quaisquer recursos usados no provedor de nuvem pública.
3. Garantir a disponibilidade dos recursos voltados para a Internet em uma
nuvem pública que estão sendo usados por uma organização ou foram
atribuídos a uma organização por provedores de nuvem pública.
4. Substituir o modelo estabelecido de zonas e camadas de rede por domínios.
Segurança da Infraestrutura - O Nível do Host:
Ao revisar a segurança do host e avaliar os riscos, o contexto dos serviços em
nuvem, os modelos de entrega (SaaS, PaaS e IaaS), os modelos de implantação
públicos, privados e/ou híbridos devem ser considerados.
As responsabilidades de segurança do host no SaaS e serviços de PaaS são
transferidas para o provedor de serviços em nuvem. Os clientes de IaaS são os
principais responsáveis por proteger os hosts provisionados na nuvem (segurança
do software de virtualização, sistema operacional convidado do cliente ou segurança
do servidor virtual).
Segurança da Infraestrutura - O Nível do Aplicativo:
A segurança do aplicativo ou software deve ser um elemento crítico de um
programa de segurança. A maioria das empresas com programas de segurança da
informação ainda não instituiu um programa de segurança de aplicativos para
abordar esse domínio.
O design e a implementação de aplicativos que visam à implantação em uma
plataforma em nuvem exigirão que os programas de segurança de aplicativos
existentes reavaliem as práticas e os padrões atuais.
O espectro de segurança de aplicativos varia de aplicativos independentes de
usuário único a aplicativos sofisticados de comércio eletrônico multiusuário usados
por muitos usuários.
O nível é responsável por gerenciar os seguintes itens:
A. Ameaças de segurança no nível do aplicativo.
B. Segurança do usuário final.
C. Segurança de aplicativos SaaS.
D. Segurança de aplicativos PaaS.
E. Segurança de aplicativos implantados pelo cliente.
F. Segurança de aplicativos IaaS.
G. Limitações de segurança na nuvem pública.
Pode-se resumir que os problemas de segurança de infraestrutura e computação
em nuvem estão na área de definição e fornecimento de aspectos especificados de
segurança e podem ser divididos em partes específicas.
Tópico 6 - Conclusão:
A tecnologia de computação em nuvem permite que os usuários aprimorem os
serviços de forma mais rápida e economizem recursos, fortaleçam serviços e
promovam uma nova dinâmica (dentro desse contexto).
Vimos que as características essenciais da computação em nuvem é o seu
provisionamento sob demanda, serviços medidos, acesso à rede, elasticidade e
pool de recursos que reduzem drasticamente os custos de aquisição e operação e
aumentam bastante a eficiência e eficácia dos serviços. Uma das maiores
preocupações de segurança com o modelo de computação em nuvem é o
compartilhamento de recursos (multilocação).
Os provedores de serviços precisam mostrar aos seus clientes que eles estão
fornecendo medidas de segurança apropriadas que protegerão os dados de forma
eficaz. Apresentamos ao longo dessa unidade que, dependendo das necessidades,
podem ser construídas diferentes estruturas que virão a ser úteis.
Mas, sob quaisquer condições, os usuários precisam encontrar um provedor de
serviços em nuvem confiável que possa manter as informações confidenciais.