Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança em cloud e ambientes web Marcelo Teixeira de Azevedo Dados Internacionais de Catalogação na Publicação (CIP) (Simone M. P. Vieira – CRB 8a/4771) Azevedo, Marcelo Teixeira de Segurança em cloud e ambientes web / Marcelo Teixeira de Azevedo. – São Paulo : Editora Senac São Paulo, 2022. (Série Universitária) Bibliografia. e-ISBN 978-85-396-3434-7 (ePub/2022) e-ISBN 978-85-396-3435-4 (PDF/2022) 1. Computação em nuvem 2. Serviços na WEB 3. Arquitetura de computador : Serviços de nuvem 4. Armazenamento de dados : Computação em nuvem 5. Segurança da informação I. Título. II. Série. 22-1565t CDD – 004.36 BISAC COM091000 COM053000 Índice para catálogo sistemático: 1. Computação em nuvem : Segurança da informação 004.36 M at er ia l p ar a us o ex cl us ivo d e al un o m at ric ul ad o em c ur so d e Ed uc aç ão a D is tâ nc ia d a Re de S en ac E AD , d a di sc ip lin a co rre sp on de nt e. P ro ib id a a re pr od uç ão e o c om pa rti lh am en to d ig ita l, s ob a s pe na s da L ei . © E di to ra S en ac S ão P au lo . SEGURANÇA EM CLOUD E AMBIENTES WEB Marcelo Teixeira de Azevedo M aterial para uso exclusivo de aluno m atriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com partilham ento digital, sob as penas da Lei. © Editora Senac São Paulo. Administração Regional do Senac no Estado de São Paulo Presidente do Conselho Regional Abram Szajman Diretor do Departamento Regional Luiz Francisco de A. Salgado Superintendente Universitário e de Desenvolvimento Luiz Carlos Dourado M at er ia l p ar a us o ex cl us ivo d e al un o m at ric ul ad o em c ur so d e Ed uc aç ão a D is tâ nc ia d a Re de S en ac E AD , d a di sc ip lin a co rre sp on de nt e. P ro ib id a a re pr od uç ão e o c om pa rti lh am en to d ig ita l, s ob a s pe na s da L ei . © E di to ra S en ac S ão P au lo . Editora Senac São Paulo Conselho Editorial Luiz Francisco de A. Salgado Luiz Carlos Dourado Darcio Sayad Maia Lucila Mara Sbrana Sciotti Luís Américo Tousi Botelho Gerente/Publisher Luís Américo Tousi Botelho Coordenação Editorial/Prospecção Dolores Crisci Manzano Ricardo Diana Administrativo grupoedsadministrativo@sp.senac.br Comercial comercial@editorasenacsp.com.br Acompanhamento Pedagógico Mônica Rodrigues dos Santos Designer Educacional Patrícia Pinheiro de Sant’Ana Revisão Técnica Fabio Luiz Lettieri da Costa Preparação e Revisão de Texto Marcelo Nardeli Projeto Gráfico Alexandre Lemes da Silva Emília Corrêa Abreu Capa Antonio Carlos De Angelis Editoração Eletrônica Gabriel Dantas Arrais Ilustrações Gabriel Dantas Arrais Imagens Adobe Stock Photos E-book Rodolfo Santana Proibida a reprodução sem autorização expressa. Todos os direitos desta edição reservados à Editora Senac São Paulo Rua 24 de Maio, 208 – 3o andar Centro – CEP 01041-000 – São Paulo – SP Caixa Postal 1120 – CEP 01032-970 – São Paulo – SP Tel. (11) 2187-4450 – Fax (11) 2187-4486 E-mail: editora@sp.senac.br Home page: http://www.livrariasenac.com.br © Editora Senac São Paulo, 2022 Sumário Capítulo 1 Fundamentos de um ambiente web em computação em nuvem, 7 1 Evolução histórica: do mainframe à nuvem, 8 2 Definição de computação em nuvem, 9 3 Características essenciais, 11 4 Definição de nível de serviço e acordo de nível de serviço (SLA), 12 5 Disponibilidade, capacidade, performance, portabilidade, 13 Considerações finais, 14 Referências, 15 Capítulo 2 Fundamentos de segurança em computação em nuvem, 17 1 Virtualização: conceito, princípios e tipos, 18 2 Virtualização vs. computação em nuvem, 20 3 Tipos de nuvem: pública, privada, híbrida e comunitária, 22 Considerações finais, 23 Referências, 24 Capítulo 3 Modelo de responsabilidade compartilhada, 25 1 Definição de responsabilidade compartilhada, 26 2 Vantagens de segurança na nuvem, 28 3 Tipos de autenticação que podem ser adotados, 29 Considerações finais, 31 Referências, 31 Capítulo 4 Modelos de serviços em nuvem com seus respectivos aspectos de segurança, 33 1 Modelo de responsabilidade compartilhada para nuvem tipo IaaS, 34 2 Modelo de responsabilidade compartilhada para nuvem tipo PaaS, 35 3 Modelo de responsabilidade compartilhada para nuvem tipo SaaS, 37 Considerações finais, 38 Referências, 38 Capítulo 5 Requisitos mínimos de autenticação, autorização e auditoria, 39 1 Controles mínimos de segurança que devem ser proporcionados por um provedor de nuvem, 40 2 Padrões de segurança da federação, 43 Considerações finais, 44 Referências, 45 Capítulo 6 Requisitos mínimos para confidencialidade, integridade e disponibilidade de dados, 47 1 Definição de segurança por camadas na nuvem, 48 2 Requisitos mínimos de segurança em cada camada na nuvem, 50 Considerações finais, 52 Referências, 53 M aterial para uso exclusivo de aluno m atriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com partilham ento digital, sob as penas da Lei. © Editora Senac São Paulo. 6 Segurança em cloud e ambientes web Ma te ria l p ar a us o ex cl us ivo d e al un o m at ric ul ad o em c ur so d e Ed uc aç ão a D is tâ nc ia d a Re de S en ac E AD , d a di sc ip lin a co rre sp on de nt e. P ro ib id a a re pr od uç ão e o c om pa rti lh am en to d ig ita l, s ob a s pe na s da L ei . © E di to ra S en ac S ão P au lo .Capítulo 7 Twelve-Factor App, 55 1 Base de código, 56 2 Dependências, 56 3 Configurações, 57 4 Serviços de apoio, 57 5 Construa, lance, execute, 57 6 Processos, 58 7 Vínculo de porta, 58 8 Concorrência, 59 9 Descartabilidade, 59 10 Dev/pro semelhantes, 60 11 Logs, 60 12 Processos de admin, 61 Considerações finais, 61 Referências, 61 Capítulo 8 Governança, controle e observabilidade de aplicações web em computação em nuvem, 63 1 SRE, 64 2 Monitoramento, 64 3 Resposta a emergências, 65 4 Gerenciamento de mudança, 66 5 Previsão de demanda e capacity planning, 67 6 Provisionamento, 67 7 Eficiência e performance, 68 8 DevOps, 69 Considerações finais, 71 Referências, 71 Sobre o autor, 75 7 M aterial para uso exclusivo de aluno m atriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com partilham ento digital, sob as penas da Lei. © Editora Senac São Paulo. Capítulo 1 Fundamentos de um ambiente web em computação em nuvem Neste capítulo são abordadas concepções acerca da computação em nuvem (cloud computing), com ênfase na evolução histórica, ca- racterísticas e definições-chave do serviço, a partir da perspectiva do National Institute of Standards and Technology (NIST) e das obras de Veras (2015) e Chee e Franklin Jr. (2013). 8 Segurança em cloud e ambientes web Ma te ria l p ar a us o ex cl us ivo d e al un o m at ric ul ad o em c ur so d e Ed uc aç ão a D is tâ nc ia d a Re de S en ac E AD , d a di sc ip lin a co rre sp on de nt e. P ro ib id a a re pr od uç ão e o c om pa rti lh am en to d ig ita l, s ob a s pe na s da L ei . © E di to ra S en ac S ão P au lo .Também serão discutidos os níveis de serviço e os acordos de nível de serviço (SLA, da sigla em inglês service level agreement) que devem ser considerados para atingir o potencial máximo da computação em nuvem. Por fim, dicute-se brevemente sobre a adoção da computação em nuvem com ênfase em disponibilidade, capacidade, performance e portabilidade. 1 Evolução histórica: do mainframe à nuvem Inicialmente, os sistemas computacionais tinham os seus proces- samentos centralizados (VERAS, 2015). Os mainframes e os terminais de acesso sãoexemplos desse tipo de arquitetura. Com o passar do tempo e com o surgimento de novas necessidades de negócios, pro- pôs-se um aperfeiçoamento dessa arquitetura centralizada e inflexível para descentralizar o processamento, o que fez surgir os primeiros sis- temas distribuídos, sendo a arquitetura cliente/servidor seu exemplo mais conhecido. Com a evolução das redes de comunicação, a internet se tornou um meio para negócios, e as empresas começaram a utilizá-la para ofere- cer serviços para seus clientes. Essa oferta se apoiava, basicamente, em infraestrutura dedicada de servidor, o que tornava seu custo alto. Então, novas formas de negócios surgiram para melhorar o cenário competitivo. A partir daí, surgiu a virtualização de infraestruturas, tornando os data centers mais eficientes e com os recursos mais bem utilizados. Posteriormente, a computação em nuvem teve sua contribuição, au- mentando ainda mais essa eficiência por meio da disponibilização de recursos sob demanda, diversidade geográfica e conectividade univer- sal (VERAS, 2015). Na figura 1 é possível conferir um resumo geral dessa evolução histórica. 9Fundamentos de um ambiente web em computação em nuvem M aterial para uso exclusivo de aluno m atriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com partilham ento digital, sob as penas da Lei. © Editora Senac São Paulo. Figura 1 – Evolução histórica dos sistemas computacionais: do mainframe à nuvem 1980-2000 Cliente/servidor 1960-1980 Mainframe HOJE Internet Virtualização Computação em nuvem Fonte: adaptado de Cisco (2018) e Santos (2018). IMPORTANTE No capítulo 1 da obra Computação em nuvem: nova arquitetura da TI (VERAS, 2015), é realizada uma breve discussão sobre a tecnologia da informação e seu uso no negócio para melhoria de competividade. São informações importantes para entender o motivo da adoção da compu- tação em nuvem pelas mais variadas empresas e segmentos do merca- do mundial. 2 Definição de computação em nuvem O NIST é o Instituto Nacional de Padrões e Tecnologia dos Estados Unidos, ou seja, uma agência governamental não regulatória da admi- nistração de tecnologia do Departamento de Comércio dos Estados 10 Segurança em cloud e ambientes web Ma te ria l p ar a us o ex cl us ivo d e al un o m at ric ul ad o em c ur so d e Ed uc aç ão a D is tâ nc ia d a Re de S en ac E AD , d a di sc ip lin a co rre sp on de nt e. P ro ib id a a re pr od uç ão e o c om pa rti lh am en to d ig ita l, s ob a s pe na s da L ei . © E di to ra S en ac S ão P au lo .Unidos. O NIST define computação em nuvem como um modelo que permite acesso, de forma globalizada e quando necessário, aos mais variados recursos compartilhados (de infraestrutura até serviços), po- dendo ser fornecido agilmente e disponibilizado com pouca interação e mínimo gerenciamento com o provedor de serviço (MELL; GRANCE, 2011). Empresas prestadoras de serviço têm utilizado esse novo modelo de negócio para gerar receita e fornecer produtos e serviços mais com- petitivos. Entre as diversas empresas que fornecem serviço na nuvem, destacam-se Google, Amazon, Oracle, IBM e Microsoft. São empresas que começaram a oferecer produtos e serviços muito antes de se definir o que era computação em nuvem, e hoje se beneficiam das vantagens que esse novo modelo trouxe para as empresas e os usuários. De maneira objetiva, Lecheta (2014) define a computação em nu- vem como a possibilidade de contratar e expandir serviços de TI sob demanda e pagar somente pelo que se utilizar. Na figura 2 é possível vi- sualizar os benefícios da adoção da computação em nuvem, bem como demonstrar a definição dada por Lecheta (2014). Figura 2 – Capacidade × tempo: benefícios da computação em nuvem A Ca pa ci da de d e in fra es tru tu ra Demanda real Capacidade de infraestrutura Tempo B Ca pa ci da de d e in fra es tru tu ra Demanda real Capacidade de infraestrutura Tempo Fonte: adaptado de Veras (2015). 11Fundamentos de um ambiente web em computação em nuvem M aterial para uso exclusivo de aluno m atriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com partilham ento digital, sob as penas da Lei. © Editora Senac São Paulo. No gráfico A, existe uma capacidade de infraestrutura inicialmente acima da necessidade real de demanda. Porém, em determinado mo- mento (p. ex., Natal, Black Friday, Dias das Mães, etc.), a demanda real aumenta além da capacidade da infraestrutura atual, que pode demons- trar lentidão ou perda de conectividade com as interações dos usuários. Já no gráfico B os recursos de infraestrutura e a demanda real acom- panham a tendência de uso de modo constante, para mais ou para me- nos, não ocasionando problemas de lentidão ou perda de acesso para o usuário. NA PRÁTICA O Google é um dos exemplos de empresa provedora de serviços na nu- vem. Suas aplicações e serviços são conectados à nuvem todos os dias, mas poucos usuários sabem que essas informações fluem por locais físicos, os data centers. 3 Características essenciais Para Chee e Franklin Jr. (2013), as características essências da computação em nuvem estão relacionadas à possibilidade de oferecer serviço sob demanda e, desse modo, fazer a provisão ou a liberação dos recursos computacionais de maneira simples e rápida (em alguns casos, automaticamente), além de disponibilizar recursos de medição e acompanhamento do uso. O NIST define cinco características essen- cias para o serviço de computação em nuvem (MELL; GRANCE, 2011): 1. Sob demanda e autosserviço: o consumidor pode provisionar a capacidade computacional sem requerer interação humana com o provedor de serviço. 12 Segurança em cloud e ambientes web Ma te ria l p ar a us o ex cl us ivo d e al un o m at ric ul ad o em c ur so d e Ed uc aç ão a D is tâ nc ia d a Re de S en ac E AD , d a di sc ip lin a co rre sp on de nt e. P ro ib id a a re pr od uç ão e o c om pa rti lh am en to d ig ita l, s ob a s pe na s da L ei . © E di to ra S en ac S ão P au lo .2. Acesso amplo à rede: os recursos estão disponíveis na rede e podem ser acessados por meio de plataformas heterogêneas, como celulares, tablets, laptops e estações de trabalho. 3. Conjunto de recursos: os recursos computacionais do prove- dor de acesso são agrupados para servir vários consumidores com diferentes recursos físicos e virtuais, atribuídos dinamica- mente e de acordo com a demanda do consumidor. 4. Rápida elasticidade: os recursos podem ser elasticamente pro- visionados (em qualquer quantidade e a qualquer momento) e liberados de acordo com a demanda. 5. Serviço de medição: o sistema de nuvem automaticamente controla e otimiza o uso dos recursos, sendo estes monitora- dos, controlados e reportados com transparência, tanto para o provedor como para o consumidor do serviço utilizado. 4 Definição de nível de serviço e acordo de nível de serviço (SLA) O acordo de nível de serviço (SLA) é um documento formal no qual constam as definições do que a empresa prestadora de serviço em nu- vem entregará, e que o cliente poderá exigir da prestadora em caso de problema. Portanto, é muito importante a definição de um nível de ser- viço condizente com a necessidade da empresa e dos clientes, e que a prestadora de serviço em nuvem possa entregar esses parâmetros de maneira satisfatória. Para Veras (2015, p. 103), a garantia do SLA é um dos aspectos mais importantes ao se escolher um prestador de serviço: O contrato de gerenciamento a ser firmado entre a organização e o provedor de nuvem assume o formato baseado em SLA, que ga- rante o nível de desempenho, a disponibilidade e a segurança que o provedor de computação em nuvem forneceráe regerá as ações 13Fundamentos de um ambiente web em computação em nuvem M aterial para uso exclusivo de aluno m atriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com partilham ento digital, sob as penas da Lei. © Editora Senac São Paulo. do provedor, caso o provedor deixe ou seja impossibilitado de cum- prir as garantias definidas. Um bom SLA deve garantir que um nível mínimo de serviço seja man- tido para a aplicação ou o serviço que se encontram no provedor. Além disso, deve-se garantir confiabilidade, disponibilidade e capacidade de resposta mínima em condições de alto volume de tráfego, além de as- pectos de segurança ao ambiente. Ainda mais importante: o que acon- tecerá se houver uma interrupção no serviço; e as penalidades, caso os níveis de serviço não forem atendidos (CHEE; FRANKLIN JR., 2013). Conforme detalhado em Chee e Franklin Jr. (2013), uma infraestru- tura em nuvem pode abranger diversas geografias, redes e sistemas, portanto, deve-se definir de maneira ampla o volume e a quantidade de requisições, a velocidade e o tempo de resposta mínimo e aceitável. Esses parâmetros devem ser documentados formalmente e acompa- nhandos diariamente com o objetivo de identificar se o que foi acordado para a garantia de serviço está sendo atendido. 5 Disponibilidade, capacidade, performance, portabilidade Quando se fala na utilização de computação em nuvem em ambien- tes web, é importante levar em consideração a disponibilidade, a capa- cidade, a performance e a portabilidade. Essas quatro características estão intimamente conectadas e devem estar referenciadas no SLA pra- ticado pela prestadora de serviço em nuvem. Segundo Veras (2015), a aplicação e o serviço ofertado devem ga- rantir tais condições para o seu correto funcionamento. A disponibilida- de de dados e aplicativos para os usuários é garantida pela prestadora de serviço em nuvem por meio da utilização de múltiplas regiões, virtua- lização e espelhamento de recursos. Isso possibilita alta disponibilidade 14 Segurança em cloud e ambientes web Ma te ria l p ar a us o ex cl us ivo d e al un o m at ric ul ad o em c ur so d e Ed uc aç ão a D is tâ nc ia d a Re de S en ac E AD , d a di sc ip lin a co rre sp on de nt e. P ro ib id a a re pr od uç ão e o c om pa rti lh am en to d ig ita l, s ob a s pe na s da L ei . © E di to ra S en ac S ão P au lo .e torna o acesso mais rápido para os usuários finais, garantindo uma performance satisfatória. Portanto, a disponibilidade pode ser definida como a porcentagem de tempo que um sistema ou serviço está acessível. Essa porcentagem determinará o tempo total de interrupção aceitável para o ambiente. Paralelamente, o desempenho da nuvem deve ser acompanhado por meio de ferramentas de monitoramento e testes de performance. Capacidade, por sua vez, está relacionada a conseguir gerir os recur- sos necessários para suportar a demanda sem afetar a entrega ou a disponibilidade do serviço, incluindo configurações e recursos de rede, armazenamento, banco de dados e segurança. Além disso, a infraestru- tura, de maneira padronizada, deve propiciar portabilidade de dados e aplicações independentemente do hardware ou software utilizados, po- dendo ser transferida para outros ambientes sem perda de informações. Portabilidade é a capacidade de um cliente mover e adaptar adequa- damente seus aplicativos e dados entre seus próprios sistemas e servi- ços em nuvem, bem como entre serviços em nuvem de diferentes pro- vedores de serviços em nuvem e modelos de implantação em nuvem potencialmente diferentes. Por fim, performance está ligada ao desempenho da computação em nuvem, na qual deve ser entregue ao usuário final o que foi definido em contrato, respeitando sempre os valores mínimos acordados. Isso visa a garantir a qualidade de entrega dos serviços trabalhando com indicadores considerados bons para a qualidade da aplicação. Considerações finais Neste primeiro capítulo, foram apresentados alguns dos principais conceitos relacionados aos sistemas de computação em nuvem ― sua evolução histórica, sua definição e caracterização. Partindo dessas 15Fundamentos de um ambiente web em computação em nuvem M aterial para uso exclusivo de aluno m atriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com partilham ento digital, sob as penas da Lei. © Editora Senac São Paulo. compreensões, destacaram-se o SLA e sua importância para garantir níveis de serviço mínimos necessários para a saúde do ambiente, no qual se mostram importantes os aspectos disponibilidade, capacidade, performance e portabilidade. Referências CHEE, Brian J. S.; FRANKLIN JR., Curtis. Computação em nuvem: cloud computing: tecnologias e estratégias. São Paulo: M.Books, 2013. CISCO. Do mainframe a multicloud: evolução computacional: uma breve história da infraestrutura de TI corporativa. [S. l.]: 2018. Disponível em: https://www. cisco.com/c/dam/global/pt_br/solutions/pdfs/hyperflex-cisco-computing- evolution-ebook-br.pdf. Acesso em: 3 ago. 2021. LECHETA, Ricardo R. AWS para desenvolvedores: aprenda a instalar aplicações na nuvem da Amazon. São Paulo: Novatec, 2014. MELL, Peter; GRANCE, Timothy. The NIST definition of cloud computing: recommendations of the National Institute of Standards and Technology. Gaithersburg: National Institute of Standards and Technology, 2011. Disponível em: https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-145. pdf. Acesso em: 12 abr. 2022. SANTOS, Tiago. Fundamentos da computação em nuvem. São Paulo: Senac, 2018. (Série Universitária). VERAS, Manoel. Computação em nuvem: nova arquitetura da TI. Rio de Janeiro: Brasport, 2015. https://www.cisco.com/c/dam/global/pt_br/solutions/pdfs/hyperflex-cisco-computing-evolution-ebook-br.pdf https://www.cisco.com/c/dam/global/pt_br/solutions/pdfs/hyperflex-cisco-computing-evolution-ebook-br.pdf https://www.cisco.com/c/dam/global/pt_br/solutions/pdfs/hyperflex-cisco-computing-evolution-ebook-br.pdf 17 M aterial para uso exclusivo de aluno m atriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com partilham ento digital, sob as penas da Lei. © Editora Senac São Paulo. Capítulo 2 Fundamentos de segurança em computação em nuvem Este capítulo trata da virtualização e da sua relação com a compu- tação em nuvem, destacando-se conceitos, princípios e tipos de virtua- lização. Posteriormente, são apresentados os tipos de computação em nuvem (cloud computing) – pública, privada, híbrida e comunitária –, com especial atenção às suas características e funcionalidades, bem como seu uso e suas funções. 1 Virtualização: conceito, princípios e tipos A definição clássica de virtualização está fundamentada no particio- namento de um servidor físico em diversos servidores lógicos (figura 1). O servidor físico detém os componentes físicos, como memória, espa- ço em disco, processador, enquanto uma camada de abstração com- partilha os recursos físicos com os servidores lógicos. Essa camada é posicionada entre o hardware e o software, possibilitando o comparti- lhamento dos recursos físicos do servidor para as máquinas virtuais. Figura 1 – Virtualização Aplicações Sistema operacional 1 Máquina virtual 1 Camada de abstração Servidor físico Máquina virtual 2 Máquina virtual 3 Aplicações Sistema operacional 2 Aplicações Sistema operacional 3 Fonte: adaptado de Veras (2015). A camada de abstração que aparece na figura 1 também é chamada “hypervisor”, elemento responsável por delimitar os componentes físi- cos dos ambientes virtuais que necessitam fazer uso desses recursos. Os componentes físicos são separados de acordo com a exigência dos ambientes virtuais. Osutilizadores do sistema fazem as interações den- tro do ambiente virtual, chamado “máquina virtual”. A máquina virtual trabalha de maneira única, como um arquivo de dados, podendo ser transferida e aberta em qualquer gerenciador de ambiente virtual. Segurança em cloud e ambientes web Ma te ria l p ar a us o ex cl us ivo d e al un o m at ric ul ad o em c ur so d e Ed uc aç ão a D is tâ nc ia d a Re de S en ac E AD , d a di sc ip lin a co rre sp on de nt e. P ro ib id a a re pr od uç ão e o c om pa rti lh am en to d ig ita l, s ob a s pe na s da L ei . © E di to ra S en ac S ão P au lo . 18 19 Fundamentos de segurança em computação em nuvem M aterial para uso exclusivo de aluno m atriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com partilham ento digital, sob as penas da Lei. © Editora Senac São Paulo. Um dos benefícios da virtualização, segundo Veras (2015, p. 185, gri- fo do autor), é: A virtualização simplifica o gerenciamento e permite flexibilizar e ampliar o poder de processamento. Funcionalidades contidas nos softwares de virtualização também permitem melhorar a disponibi- lidade e a recuperação de desastres de ambientes de TI de manei- ra mais simples e com menor custo quando comparado a formas tradicionais. Com a virtualização, ganhamos facilidade de gerenciamento e eco- nomia para manter e operar a infraestrutura, o que nos beneficia com redução do custo de hardware e disponibilidade rápida de recursos para os usuários. IMPORTANTE Ao tratar sobre os efeitos da virtualização, Veras (2015, p. 187, grifo do autor) define que, como regra geral, “o software de virtualização deve otimizar a demanda de processamento, de armazenamento e de I/O, distribuindo a carga de trabalho visando otimizar o uso dos recursos”. Portanto, é muito importante que a infraestrutura de TI existente passe por uma avaliação criteriosa para que sejam possíveis a migração e o uso em novos projetos de virtualização sem comprometer o desempe- nho das aplicações. Para aproveitar os benefícios da virtualização, é importante entender seus diferentes tipos para escolher aquele de que se precisa, com base em seus requisitos. Para Kusnetzky (2011), a virtualização pode ser de- finida em quatro tipos: • Acesso: parte da premissa de que qualquer dispositivo pode acessar qualquer aplicativo sem que tenha detalhes da tecnolo- gia empregada em ambos. 20 Ma te ria l p ar a us o ex cl us ivo d e al un o m at ric ul ad o em c ur so d e Ed uc aç ão a D is tâ nc ia d a Re de S en ac E AD , d a di sc ip lin a co rre sp on de nt e. P ro ib id a a re pr od uç ão e o c om pa rti lh am en to d ig ita l, s ob a s pe na s da L ei . © E di to ra S en ac S ão P au lo . Segurança em cloud e ambientes web • Aplicação: permite a execução de diversos aplicativos em siste- mas operacionais diferentes e também em diferentes platafor- mas de hardware. • Processo: baseia-se na ocultação da configuração física dos sis- temas operacionais ou aplicativos, fazendo com que o sistema pareça ser muitos, ou ainda que vários sistemas sejam entregues de maneira única. • Rede: apresenta uma visão diferente da rede tradicional, não se le- vando em consideração a questão física. O administrador da rede controla o que os usuários podem acessar, podendo restringir ou permitir apenas determinadas redes e sistemas. • Armazenamento (storage): apoia-se no princípio de permitir o uso do sistema de armazenamento para qualquer tipo de disposi- tivo, independentemente da sua tecnologia. PARA SABER MAIS A VMware é uma empresa estadunidense com atuação global que pro- duz softwares e serviços para virtualização e para a computação em nuvem. Suas soluções permitem a execução de aplicativos em qualquer dispositivo e também na nuvem. Vale a pena assistir ao vídeo “Funda- mentos da virtualização – VMware”, no canal oficial da empresa no YouTube (FUNDAMENTOS..., 2013). Aproveite para ver os outros vídeos sobre temas relacionados. 2 Virtualização vs. computação em nuvem Vimos que virtualização se refere à criação de uma estrutura virtual tendo como ponto de partida uma estrutura física. Já a computação em nuvem trata da adoção de diferentes modelos e serviços para atender o 21 Fundamentos de segurança em computação em nuvem M aterial para uso exclusivo de aluno m atriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com partilham ento digital, sob as penas da Lei. © Editora Senac São Paulo. propósito de uma organização. Existem, portanto, diferenças significati- vas entre virtualização e computação em nuvem. Pode-se dizer que a diferença fundamental entre elas é que a virtu- alização está mais preocupada em oferecer recursos virtuais por meio de um componente físico, enquanto a computação em nuvem utiliza esses conceitos fundamentais para entregar serviços de maneira ágil, com custo baixo e valor agregado para quem oferece e para quem usu- frui do serviço. Chandrasekaran (2015) define seis diferenças fundamentais entre a virtualização e a computação em nuvem: • Tipo de serviço: na virtualização, são oferecidos serviços de in- fraestrutura em vez de serviços de plataforma e aplicativos, que são oferecidos na computação em nuvem. • Entrega de serviço: ocorre sob demanda na computação em nu- vem, permitindo que os usuários utilizem o serviço conforme sua necessidade, sendo que a virtualização não oferece serviços sob demanda. • Provisionamento de serviço: na computação em nuvem ocorre o provisionamento automático e o gerenciamento dos recursos pode ser realizado pelo administrador. • Orquestração de serviço: ocorre somente na computação em nuvem para atendimento das necessidades dos usuários finais no provisionamento de recursos. • Elasticidade: na computação em nuvem, é possível adicionar ou remover recursos de forma automatizada, o que não é possível na virtualização. • Público-alvo: a computação em nuvem tem como alvo os pro- vedores de serviços e, consequentemente, os usuários. No caso 22 Ma te ria l p ar a us o ex cl us ivo d e al un o m at ric ul ad o em c ur so d e Ed uc aç ão a D is tâ nc ia d a Re de S en ac E AD , d a di sc ip lin a co rre sp on de nt e. P ro ib id a a re pr od uç ão e o c om pa rti lh am en to d ig ita l, s ob a s pe na s da L ei . © E di to ra S en ac S ão P au lo . Segurança em cloud e ambientes web da virtualização, o público-alvo são os provedores de serviços ou proprietários de TI, não os usuários finais. IMPORTANTE Em Computação em nuvem: cloud computing: tecnologias e estratégias, Chee e Franklin Jr. (2013) levantam uma discussão sobre a diferença entre a virtualização e a computação em nuvem, atentando-se especial- mente à virtualização enquanto fundação para as nuvens. 3 Tipos de nuvem: pública, privada, híbrida e comunitária Os tipos de computação em nuvem são definidos por Stallings (2015) — e amparados pela definição do National Institute of Standards and Technology (NIST) (MELL; GRANCE, 2011) — como nuvem públi- ca, nuvem privada, nuvem híbrida e nuvem comunitária. Entre os maio- res provedores de serviço em nuvem, destacam-se: Microsoft Azure, Amazon Web Services e Google Cloud Platform. • Na nuvem pública, a infraestrutura é oferecida para o público em geral, ou seja, para acessos por meio da internet. O provedor da nuvem é totalmente responsável pela infraestrutura e pelo controle de dados e operações dentro da nuvem. Nesse tipo de nuvem pode-se oferecer recursos como máquinas virtuais, apli- cativos, rede e armazenamento. • Já na nuvem privada, a infraestrutura édedicada para uma úni- ca organização, não sendo compartilhada com outras empresas. Nesse tipo de nuvem, o provedor de serviço em nuvem é respon- sável somente pela infraestrutura, não pelo controle, o qual pode 23 Fundamentos de segurança em computação em nuvem M aterial para uso exclusivo de aluno m atriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com partilham ento digital, sob as penas da Lei. © Editora Senac São Paulo. ser realizado pela própria organização por meio de seu time de TI ou por uma empresa terceirizada. • Na nuvem comunitária, como o próprio nome indica, organizações distintas que suportam uma comunidade específica comparti- lham a mesma infraestrutura. Essas organizações são guiadas por um propósito e objetivo comuns, têm as mesmas preocupa- ções, como segurança, padrões e conformidades. A nuvem co- munitária pode ser controlada por uma das organizações ou por uma empresa terceirizada. • Na nuvem híbrida, a arquitetura é composta de duas ou mais nu- vens (privada, comunitária ou pública). Esse conjunto de nuvens é representado como entidade única, de forma padronizada, pos- sibilitando a portabilidade entre as aplicações e os dados gera- dos. No caso de um problema, este pode ser balanceado entre as nuvens. NA PRÁTICA Amazon Web Services (AWS) é um provedor de serviço na nuvem que oferece soluções para diversos clientes ao redor do mundo. A AWS aju- dou o NuBank, startup brasileira do segmento de serviços financeiros, a aproveitar as facilidades da computação em nuvem com foco no negócio do cliente. No vídeo “NuBank Uses AWS to launch Mobile Credit Card Plat- form in 7 months” (NUBANK..., 2015), Marcus Ferreira, gerente da AWS, conta como a plataforma da Amazon foi importante para a estruturação do NuBank. Apesar do título em inglês, o vídeo está em português. Considerações finais Apresentadas as principais definições relacionadas à virtualização, estabeleceu-se sua relação com a computação em nuvem, evidenciando 24 Ma te ria l p ar a us o ex cl us ivo d e al un o m at ric ul ad o em c ur so d e Ed uc aç ão a D is tâ nc ia d a Re de S en ac E AD , d a di sc ip lin a co rre sp on de nt e. P ro ib id a a re pr od uç ão e o c om pa rti lh am en to d ig ita l, s ob a s pe na s da L ei . © E di to ra S en ac S ão P au lo . Segurança em cloud e ambientes web as diferenças entre ambas. Por fim, foram identificados os tipos de nu- vem, categorização fundamental para que se saiba escolher o mais ade- quado às empresas. Referências CHANDRASEKARAN, K. Essentials of cloud computing. Boca Raton: CRC Press, 2015. CHEE, Brian J. S.; FRANKLIN JR., Curtis. Computação em nuvem: cloud computing: tecnologias e estratégias. São Paulo: M.Books, 2013. FUNDAMENTOS da virtualização – VMware. [S. l.: s. n.], 2013. 1 vídeo (3 min). Publicado pelo canal VMware Brasil. Disponível em: https://youtu.be/-9fcJ8KVeuw. Acesso em: 13 abr. 2022. KUSNETZKY, Dan. Virtualization: a managers’ guide. Sebastopol: O’Reilly, 2011. MELL, Peter; GRANCE, Timothy. The NIST definition of cloud computing: recommendations of the National Institute of Standards and Technology. Gaithersburg: National Institute of Standards and Technology, 2011. Disponível em: https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-1 45.pdf. Acesso em: 12 abr. 2022. NUBANK uses AWS to launch mobile credit card platform in 7 months. [S. l.: s. n.], 2015. 1 vídeo (4 min). Publicado pelo canal Amazon Web Services. Disponível em: https://youtu.be/twxaumVRUEY. Acesso em: 13 abr. 2022. STALLINGS, William. Criptografia e segurança de redes: princípios e práticas. 6. ed. São Paulo: Pearson Education do Brasil, 2015. VERAS, Manoel. Computação em nuvem: nova arquitetura da TI. Rio de Janeiro: Brasport, 2015. https://youtu.be/twxaumVRUEY https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-1 https://youtu.be/-9fcJ8KVeuw 25 M aterial para uso exclusivo de aluno m atriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com partilham ento digital, sob as penas da Lei. © Editora Senac São Paulo. Capítulo 3 Modelo de responsabilidade compartilhada Responsabilidade compartilhada, vantagens de segurança em nu- vem e tipos de autenticação que podem ser adotados nesse modelo são os temas deste capítulo. Ao tratar da responsabilidade compartilha- da, são exploradas as preocupações do cliente em relação à segurança, sendo possível traçar um panorama objetivo das vantagens de seguran- ça na nuvem e dos tipos de autenticação. 26 Ma te ria l p ar a us o ex cl us ivo d e al un o m at ric ul ad o em c ur so d e Ed uc aç ão a D is tâ nc ia d a Re de S en ac E AD , d a di sc ip lin a co rre sp on de nt e. P ro ib id a a re pr od uç ão e o c om pa rti lh am en to d ig ita l, s ob a s pe na s da L ei . © E di to ra S en ac S ão P au lo . Segurança em cloud e ambientes web 1 Definição de responsabilidade compartilhada Segurança da informação é uma preocupação constante para os ad- ministradores de rede e para os profissionais de áreas como banco de dados, sistema operacional, desenvolvimento de sistemas e gerencia- mento de projetos. Na computação em nuvem não é diferente. A preo- cupação com a segurança da informação existe, mas é vista por uma óptica diferente, em que as responsabilidades são compartilhadas entre o cliente e o provedor de serviço em nuvem. Um exemplo de responsabilidade compartilhada é descrito por Veras (2015, p. 185), tendo como parâmetro a Amazon Web Services (AWS): Responsabilidade compartilhada do ambiente: em geral o cliente do AWS é responsável pelo sistema operacional, incluindo patches e updates de segurança, e pela configuração do grupo de segurança. Normas da família ISO 27000 foram definidas para guiar e servir de referência para os clientes e provedores de serviço em relação à respon- sabilidade compartilhada na computação em nuvem, sendo duas delas (HINTZBERGEN et al., 2018): • ISO/IEC 27017: norma responsável pelos controles de segurança da informação para a computação em nuvem. • ISO/IEC 27036:2013+: diretriz de segurança, de várias partes, para o relacionamento com fornecedores, incluindo os aspectos de gestão do relacionamento na computação em nuvem (partes 1, 2 e 3 foram publicadas). Na figura 1 é possível visualizar graficamente as responsabilidades do cliente e da provedora de serviço (nesse caso, AWS). M aterial para uso exclusivo de aluno m atriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com partilham ento digital, sob as penas da Lei. © Editora Senac São Paulo. Figura 1 – Modelo AWS de responsabilidade compartilhada Responsabilidade pela Responsabilidade pela segurança “na” nuvem segurança “da” nuvem Dados do cliente AWS – Provedor de serviço Plataformas Software Aplicações Identidade Gerenciamento de acesso Computação Redes Sistema operacional Configuração de redes Firewall Armazenamento Banco de dados Criptografia Criptografia Proteção do Integridade de dados do servidor tráfego de redes Autenticação dos (Sistema de arquivos Criptografia dados do cliente e/ou dados) Integridade Identidade Fonte: adaptado de Modelo... ([s. d.]). O modelo AWS de responsabilidade compartilhada ilustrado na figu - ra 1 demonstra as responsabilidades relativas ao comprometimento da segurança pelo cliente e também pelo provedor de serviço. No caso do cliente, ele é responsável pela segurança de todos os dados gerados por seu sistema, além da segurança das aplicações, sistema operacional e gerenciamento de acesso. Portanto, o cliente deve garantir criptografia,integridade e autenticação dos dados e do tráfego gerado. Já o prove- dor de serviço é responsável pelo software que provê a computação em Modelo de responsabilidade compartilhada 27 28 Ma te ria l p ar a us o ex cl us ivo d e al un o m at ric ul ad o em c ur so d e Ed uc aç ão a D is tâ nc ia d a Re de S en ac E AD , d a di sc ip lin a co rre sp on de nt e. P ro ib id a a re pr od uç ão e o c om pa rti lh am en to d ig ita l, s ob a s pe na s da L ei . © E di to ra S en ac S ão P au lo . Segurança em cloud e ambientes web nuvem, bem como seu processamento, armazenamento e infraestrutu- ra de armazenamento e redes. Além disso, também é responsável pelo hardware e pela infraestrutura global. IMPORTANTE Em Computação em nuvem: cloud computing: tecnologias e estratégias, Chee e Franklin Jr. (2013) traçam um panorama sobre as principais ca- racterísticas das funções de segurança disponíveis na nuvem e como essas características são oferecidas. Deve-se atentar às opções de se- gurança em nuvem e como se deve montar essa proteção para uma maior segurança do ambiente. 2 Vantagens de segurança na nuvem De modo geral, as vantagens relativas à adoção da computação em nuvem são (CHEE; FRANKLIN JR., 2013; VERAS, 2015): • Escalabilidade com visibilidade e segurança: o cliente define as permissões de acesso e controla em tempo real como os dados são armazenados, quem pode acessá-los e quais são os recursos consumidos. • Automatização e redução de riscos: na computação em nuvem é possível automatizar sem dificuldades e com segurança as ta- refas contínuas, garantindo redução ou eliminação de erros de execução de maneira integrada. • Privacidade e segurança de dados: pode-se fazer uso de uma in- fraestrutura global independentemente de sua localização e utili- zando criptografia, autenticação e integridade dos dados gerados. 29 Modelo de responsabilidade compartilhada M aterial para uso exclusivo de aluno m atriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com partilham ento digital, sob as penas da Lei. © Editora Senac São Paulo. • Ecossistema integrado: os provedores de serviços têm uma am- pla opção de consultoria e parceiros de negócios para avaliação e recomendação de segurança para o ambiente na nuvem. • Controle de conformidade e segurança abrangente: os prove- dores de serviços têm requisitos de conformidade global e mo- nitoramento constante para atender os padrões de segurança e conformidade de áreas como finanças, varejo, saúde, governo, entre outras. NA PRÁTICA A AWS possui duas ferramentas para ajudar seus clientes a compre- ender as vantagens da adoção da computação em nuvem, com foco em segurança, benefícios e custo. Uma é AWS Economics Center, que compara os custos relativos ao uso de infraestrutura de TI tradicional. A outra é AWS Security Center, relacionada à segurança no gerenciamento de aplicativos na nuvem da AWS. 3 Tipos de autenticação que podem ser adotados A autenticação e o privilégio de acesso na computação em nuvem é algo que deve ser gerenciado e controlado com cuidado, pois qualquer erro ou problema de configuração pode comprometer a segurança do ambiente. O controle de acesso divide-se basicamente em autenticação e autorização: a primeira se refere ao meio de verificação da existência de uma identidade; já a autorização verifica, pela entidade autenticado- ra, se o usuário possui e quais são as permissões de acesso aos recur- sos (VERAS, 2015). 30 Ma te ria l p ar a us o ex cl us ivo d e al un o m at ric ul ad o em c ur so d e Ed uc aç ão a D is tâ nc ia d a Re de S en ac E AD , d a di sc ip lin a co rre sp on de nt e. P ro ib id a a re pr od uç ão e o c om pa rti lh am en to d ig ita l, s ob a s pe na s da L ei . © E di to ra S en ac S ão P au lo . Segurança em cloud e ambientes web Segundo Veras (2013), a proteção das contas na computação em nu- vem pode ser realizada pela equipe de segurança por meio de recursos de autenticação com logon único (Single Sign-On – SSO) e federação. Federação é um conjunto de organizações que cooperam entre si de acordo com regras de confiança preestabelecidas para autenti- cação de usuários e compartilhamento de recursos. A federação é utilizada, por exemplo, para simplificar a autenticação e a autoriza- ção de usuários a recursos e aplicações entre domínios parceiros. SSO se refere à maneira como um usuário de um serviço compar- tilhado pode ser autenticado sem ter que utilizar diversas creden- ciais. O SSO é muito útil em ambientes cooperados, facilitando o processo de autenticação. (VERAS, 2013, p. 62) PARA SABER MAIS A AWS oferece o serviço AWS Single Sign-On para o gerenciamento des- centralizado do acesso às contas ou aplicações da AWS. Por meio des- se serviço, é possível criar e conectar as credenciais dos funcionários aos serviços da AWS, e assim o administrador pode gerenciar e contro- lar o que cada usuário pode fazer. Um exemplo de uso de autenticação é o serviço oferecido pela AWS: Identity and Access Management (IAM), uma maneira fácil e integra- da de controlar os acessos que permite monitorar e gerenciar com se- gurança os recursos do provedor de serviço. A vantagem é que, nesse caso, não é necessário criar uma conta para cada usuário ou sistema, além de eliminar a necessidade de compartilhar credenciais. Com uma única conta AWS, é possível organizar usuários em grupos, centralizar o controle de acesso, criar acessos temporários, além de revogá-los e controlá-los de maneira única (VERAS, 2013). 31 Modelo de responsabilidade compartilhada M aterial para uso exclusivo de aluno m atriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com partilham ento digital, sob as penas da Lei. © Editora Senac São Paulo. PARA SABER MAIS No site da AWS, é possível verificar com mais detalhes o gerenciamento dos acessos aos serviços e recursos da plataforma. Leia sobre auten- ticação, em especial sobre autenticação multifator e os casos de uso. Considerações finais Depois de se apresentar os principais aspectos relacionados à respon- sabilidade compartilhada, tendo como parâmetro as responsabilidades do cliente e do provedor de serviço, demonstrou-se, em linhas gerais, um exemplo prático de responsabilidade compartilhada: a plataforma AWS. Por fim, foram discutidas as principais vantagens relativas à segurança na nuvem e comentados os tipos de autenticação que podem ser adotados na computação em nuvem. Referências CHEE, Brian J. S.; FRANKLIN JR., Curtis. Computação em nuvem: cloud computing: tecnologias e estratégias. São Paulo: M.Books, 2013. HINTZBERGEN, Jule et al. Fundamentos de segurança da informação: com base na ISO 27001 e na ISO 27002. Rio de Janeiro: Brasport, 2018. MODELO de responsabilidade compartilhada. AWS, [s. d.].Disponível em: https:// aws.amazon.com/pt/compliance/shared-responsibility-model/. Acesso em: 6 set. 2021. VERAS, Manoel. Arquitetura de nuvem: Amazon Web Services (AWS). Rio de Janeiro: Brasport, 2013. VERAS, Manoel. Computação em nuvem: nova arquitetura da TI. Rio de Janeiro: Brasport, 2015. https://aws.amazon.com/pt/compliance/shared-responsibility-model 33 M aterial para uso exclusivo de aluno m atriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com partilham ento digital, sob as penas da Lei. © Editora Senac São Paulo. Capítulo 4 Modelos de serviços em nuvem com seus respectivos aspectos de segurança O objetivo da responsabilidade compartilhada é ampliar a segurança atendendo os requisitos de conformidade. Desse modo, neste capítu- losão tratados os modelos de responsabilidade compartilhada, tendo como parâmetro os três tipos de serviço existentes na computação em nuvem — infraestrutura como serviço (IaaS), plataforma como serviço (PaaS) e software como serviço (SaaS) — e discutindo-se as caracterís- ticas e funções de cada modelo. 34 Ma te ria l p ar a us o ex cl us ivo d e al un o m at ric ul ad o em c ur so d e Ed uc aç ão a D is tâ nc ia d a Re de S en ac E AD , d a di sc ip lin a co rre sp on de nt e. P ro ib id a a re pr od uç ão e o c om pa rti lh am en to d ig ita l, s ob a s pe na s da L ei . © E di to ra S en ac S ão P au lo . Segurança em cloud e ambientes web 1 Modelo de responsabilidade compartilhada para nuvem tipo IaaS A infraestrutura como serviço (IaaS) tem como principal caracterís- tica a capacidade de fornecer ao cliente o gerenciamento dos recursos computacionais, além de implementar e executar aplicações de sua escolha (CHEE; FRANKLIN JR., 2013). Para esse tipo de serviço, desta- cam-se Microsoft Azure, Amazon Web Services (AWS) e Google Cloud. No modelo tradicional, ou on-premises, o cliente é responsável desde a infraestrutura para o fornecimento de energia elétrica e de espaços físi- cos até a configuração de softwares de segurança, como firewalls, detec- tores de intrusão e antivírus. A figura 1 apresenta um comparativo entre as responsabilidades do cliente e do provedor de serviço no modelo IaaS. Figura 1 – Modelo de responsabilidade compartilhada IaaS Software Firewall/IDS/AV Sistema operacional On-premises (responsabilidade do cliente) Aplicativos Virtualização Hardware Infra Dados Software Firewall/IDS/AV Sistema operacional Aplicativos Virtualização Hardware Infra Dados Reponsabilidade do cliente Reponsabilidade do provedor de serviço IaaS (infraestrutura como serviço) Fonte: adaptado de Veras (2013). 35 Modelos de serviços em nuvem com seus respectivos aspectos de segurança M aterial para uso exclusivo de aluno m atriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com partilham ento digital, sob as penas da Lei. © Editora Senac São Paulo. Enquanto no modelo on-premises a responsabilidade do cliente é total, no modelo IaaS o cliente é responsável pelo sistema operacional, aplicações, grupos de segurança, configuração da rede e gerenciamen- to da conta. Desse modo, responsabilidades como infraestrutura, hard- ware e virtualização são do provedor de serviço. Na figura 1, foi possível ver a responsabilidade compartilhada por meio da responsabilidade do cliente e do provedor de serviço. PARA SABER MAIS A Red Hat é uma empresa que fornece soluções de computação em nuvem. Em seu site, há um artigo interessante sobre os fatores que de- vem ser considerados ao escolher um provedor de serviço para IaaS (O QUE..., 2019). É uma consulta interessante para se aprofundar no tema e verificar os principais requisitos na adoção desse tipo de serviço e as responsabilidades das partes. 2 Modelo de responsabilidade compartilhada para nuvem tipo PaaS No modelo de responsabilidade compartilhada do tipo plataforma como serviço (PaaS), parte-se do princípio de que o cliente tem controle sobre a implementação da aplicação e da possibilidade de configura- ção do ambiente, porém não tem controle nem gerencia a infraestrutura computacional na nuvem (CHEE; FRANKLIN JR., 2013). São exemplos de PaaS: Heroku, Google App Engine e Microsoft Azure Cloud Services. A figura 2 mostra as responsabilidades do cliente e do provedor de ser- viço no tipo PaaS. 36 Ma te ria l p ar a us o ex cl us ivo d e al un o m at ric ul ad o em c ur so d e Ed uc aç ão a D is tâ nc ia d a Re de S en ac E AD , d a di sc ip lin a co rre sp on de nt e. P ro ib id a a re pr od uç ão e o c om pa rti lh am en to d ig ita l, s ob a s pe na s da L ei . © E di to ra S en ac S ão P au lo . Segurança em cloud e ambientes web Figura 2 – Modelo de responsabilidade compartilhada PaaS On-premises PaaS (responsabilidade do cliente) (plataforma como serviço) Software Firewall/IDS/AV Sistema operacional Aplicativos Virtualização Hardware Infra Dados Software Firewall/IDS/AV Sistema operacional Aplicativos Virtualização Hardware Infra Dados Reponsabilidade do cliente Reponsabilidade do provedor de serviço Fonte: adaptado de Veras (2013). No modelo PaaS, o cliente é responsável pelas interações com a pla- taforma, não tendo que se preocupar com licenças de software, infra- estrutura e ferramentas de desenvolvimento. O provedor de serviço, por sua vez, é responsável pelo aplicativo na nuvem e por todos os aspectos operacionais do serviço. NA PRÁTICA No vídeo “Get to know Google App Engine” (GET..., 2017), demonstra-se o uso da ferramenta, que é um exemplo de PaaS. Ao assistir ao vídeo, ative as legendas e descubra as vantagens do uso desse modelo. 37 Modelos de serviços em nuvem com seus respectivos aspectos de segurança M aterial para uso exclusivo de aluno m atriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com partilham ento digital, sob as penas da Lei. © Editora Senac São Paulo. 3 Modelo de responsabilidade compartilhada para nuvem tipo SaaS O modelo software como serviço (SaaS) se baseia na utilização de aplicações que possam ser acessadas por diversas plataformas e meios, porém o cliente não tem controle e gerenciamento sobre os recursos computacionais. Destacam-se os exemplos: Microsoft Office 365, Salesforce e a grande gama de aplicativos oferecidos pelo Google (VERAS, 2015). Na figura 3, há um comparativo entre as responsabilida- des do cliente e do provedor de serviço no tipo SaaS. Figura 3 – Modelo de responsabilidade compartilhada SaaS Software Firewall/IDS/AV Sistema operacional On-premises (responsabilidade do cliente) Aplicativos Virtualização Hardware Infra Dados Software Firewall/IDS/AV Sistema operacional Aplicativos Virtualização Hardware Infra Dados Reponsabilidade do provedor de serviço SaaS (software como serviço) Fonte: adaptado de Veras (2013). 38 Ma te ria l p ar a us o ex cl us ivo d e al un o m at ric ul ad o em c ur so d e Ed uc aç ão a D is tâ nc ia d a Re de S en ac E AD , d a di sc ip lin a co rre sp on de nt e. P ro ib id a a re pr od uç ão e o c om pa rti lh am en to d ig ita l, s ob a s pe na s da L ei . © E di to ra S en ac S ão P au lo . Segurança em cloud e ambientes web No SaaS, a responsabilidade é toda do provedor de serviço, e o clien- te é somente o consumidor do serviço ― basta ter uma conexão e um dispositivo para acessar o que é ofertado. NA PRÁTICA Salesforce é uma empr esa líder no fornecimento de aplicações de ne- gócios, em especial seu software de gestão de relacionamento com o cliente (CRM), disponibilizado na nuvem e no modelo SaaS. Considerações finais Além de apresentar os três tipos de modelo de responsabilidade compartilhada — IaaS, PaaS e SaaS —, discutiram-se principalmente as responsabilidades do cliente e do provedor de serviço, tendo sido indi- cados exemplos práticos para cada caso. Referências CHEE, Brian J. S.; FRANKLIN JR., Curtis. Computação em nuvem: cloud compu- ting: tecnologias e estratégias. São Paulo: M.Books, 2013. GET to know Google App Engine. [S. l.: s. n.], 2017. 1 vídeo (2 min). Publicado pelo canal Google Cloud Tech. Disponível em: https://youtu.be/2PRciDpqpko. Acesso em 14 abr. 2022. O QUE é Iaas? Red Hat, 13ago. 2019. Disponível em: https://www.redhat.com/ pt-br/topics/cloud-computing/what-is-iaas. Acesso em: 3 maio 2022. VERAS, Manoel. Arquitetura de nuvem: Amazon Web Services (AWS). Rio de Janeiro: Brasport, 2013. VERAS, Manoel. Computação em nuvem: nova arquitetura da TI. Rio de Janeiro: Brasport, 2015. https://www.redhat.com https://youtu.be/2PRciDpqpko 39 M aterial para uso exclusivo de aluno m atriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com partilham ento digital, sob as penas da Lei. © Editora Senac São Paulo. Capítulo 5 Requisitos mínimos de autenticação, autorização e auditoria Neste capítulo, são tratados os controles mínimos de segurança que devem ser proporcionados por um provedor de nuvem, em especial os pontos de autenticação, autorização e auditoria. Aborda-se a importância da autenticação e como é realizada a confirmação da autenticidade de quem está conectado no ambiente da nuvem, assim como o funciona- mento da autorização ao permitir acesso somente ao que foi previamente autorizado. Por fim, discutem-se os padrões de segurança da federação, com o objetivo de entender os aspectos de segurança envolvidos. 40 Ma te ria l p ar a us o ex cl us ivo d e al un o m at ric ul ad o em c ur so d e Ed uc aç ão a D is tâ nc ia d a Re de S en ac E AD , d a di sc ip lin a co rre sp on de nt e. P ro ib id a a re pr od uç ão e o c om pa rti lh am en to d ig ita l, s ob a s pe na s da L ei . © E di to ra S en ac S ão P au lo . Segurança em cloud e ambientes web 1 Controles mínimos de segurança que devem ser proporcionados por um provedor de nuvem Segundo Armstrong (2020), uma das principais preocupações em migrar os dados corporativos de uma solução local para a computa- ção em nuvem está relacionada à falta de segurança e à probabilidade de exposição desses dados na internet. Ainda hoje, é comum encon- trar pessoas ou empresas com uma certa desconfiança ou relutando em migrar as informações para a nuvem. Entretanto, já existem con- troles implementados pelo provedor de nuvem que visam a garantir a segurança do ambiente em relação a confidencialidade, integridade e disponibilidade. A plataforma Amazon Web Services (AWS), por exemplo, categoriza os serviços de segurança em seis grandes grupos (SEGURANÇA..., [s. d.]): • Gerenciamento de identidade e acesso. • Detecção. • Proteção da infraestrutura. • Proteção de dados. • Resposta a incidentes. • Conformidade. Para cada categoria, a AWS tem um serviço associado, buscando garantir a segurança do ambiente. No quadro 1, é possível conferir as categorias em relação a autenticação, autorização e auditoria, bem como os exemplos de uso e o nome do serviço comercial oferecido aos clientes AWS. As categorias buscam resolver um ou mais tipos de pro- blemas de segurança. Por exemplo, o serviço AWS Identity and Access 41Requisitos mínimos de autenticação, autorização e auditoria M aterial para uso exclusivo de aluno m atriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com partilham ento digital, sob as penas da Lei. © Editora Senac São Paulo. Management (IAM) objetiva garantir o correto acesso aos recursos dis- poníveis na nuvem, bem como o fácil gerenciamento de atribuição ou remoção de permissão de acesso. Quadro 1 – Serviços de segurança, identidade e conformidade da AWS CATEGORIA EXEMPLOS DE USO SERVIÇO DA AWS Gerenciamento com segurança do acesso a serviços e recursos AWS Identity and Access Management (IAM) Serviço de Single Sign-On (SSO) na nuvem AWS Single Sign-On Gerenciamento de identidade Gerenciamento de identidade para aplicativos Amazon Cognito e acesso (autenticação e autorização) Microsoft Active Directory gerenciado Compartilhamento simples e seguro de recursos da AWS AWS Directory Service AWS Resource Access Manager Governança e gerenciamento centralizados para contas da AWS AWS Organizations Conformidade (auditoria) Portal gratuito de autoatendimento para acesso sob demanda aos relatórios de conformidade da AWS Auditoria contínua do uso da AWS para simplificar a avaliação de risco e conformidade AWS Artifact AWS Audit Manager Fonte: adaptado de Segurança... ([s. d.]). PARA SABER MAIS A AWS é líder no segmento de computação em nuvem e oferece uma solução robusta de segurança que envolve proteção de dados, autenti- cação, autorização e auditoria. Todos esses componentes de segurança são oferecidos como serviços da AWS e podem ser utilizados conforme critério e nível de segurança desejados pelo cliente. 42 Ma te ria l p ar a us o ex cl us ivo d e al un o m at ric ul ad o em c ur so d e Ed uc aç ão a D is tâ nc ia d a Re de S en ac E AD , d a di sc ip lin a co rre sp on de nt e. P ro ib id a a re pr od uç ão e o c om pa rti lh am en to d ig ita l, s ob a s pe na s da L ei . © E di to ra S en ac S ão P au lo . Segurança em cloud e ambientes web Para Chee e Franklin Jr. (2013), a autenticação, a autorização e a auditoria estão relacionadas aos requisitos mínimos de controle de se- gurança que um provedor de nuvem deve proporcionar aos seus clien- tes. Em relação à autenticação (identidade) e à autorização (privilégios concedidos), a AWS proporciona o IAM, que permite o gerenciamento dos acessos e a permissão aos serviços da provedora de nuvem, sendo possível criar e gerenciar usuários e grupos de privilégios. Já na questão de auditoria, existe o AWS Audit Manager, que ajuda na avaliação de risco e conformidade, automatizando a coleta de evi- dências para avaliar políticas de segurança e procedimentos e ativida- des que estão ocorrendo ou ocorreram no ambiente. Conforme Veras (2013), o controle de acesso se baseia, sobretudo, na autenticação e na autorização – embora os conceitos sejam diferen- tes, ocorrem sequencialmente. Autenticação: é o processo de verificar a existência de uma iden- tidade. Para que o processo se inicie é necessário que o usuário forneça uma credencial válida para o método de autenticação uti- lizado pela entidade autenticadora. De posse da credencial válida, a entidade verifica se existe uma identidade cuja credencial seja a fornecida pelo usuário. Se sim, o usuário é autenticado. Autorização: é a verificação pela entidade autenticadora das per- missões de acesso a um recurso requisitado pelo usuário identifi- cado. (VERAS, 2013, p. 82) No que se refere à auditoria, Veras (2015) afirma que um dos exem- plos de preocupação com a auditoria é o serviço da empresa Dropbox, que utiliza a computação em nuvem para fornecer armazenamento aos seus usuários. O Dropbox é submetido regularmente às auditorias ISO 27000 e Service Organization Control (SOC), e um dos pontos da audito- ria é a proteção de contas com recursos de autenticação de logon único (SSO, do termo em inglês Single Sign-On) e verificação em dois passos. 43Requisitos mínimos de autenticação, autorização e auditoria M aterial para uso exclusivo de aluno m atriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com partilham ento digital, sob as penas da Lei. © Editora Senac São Paulo. NA PRÁTICA No site da AWS, é possível visualizar um exemplo de auditoria em eventos, tendo como ponto de partida o banco de dados MongoDB (MONGODB..., [s. d.]). Apresentam-se os principais parâmetros que devem ser levados em consideração para uma auditoria de banco de dados e como ativá-la. 2 Padrões de segurança da federação Federação se refere à existência de parceiros trabalhando de for- ma colaborativa, permitindo que as identidades federadas tenham in- teração na base compartilhada, o que possibilita a autenticação única (SSO) (VERAS, 2013). Portanto, federaçãoe SSO são conceitos que se relacionam: Federação é um conjunto de organizações que cooperam entre si de acordo com regras de confiança preestabelecidas para a auten- ticação de usuários e compartilhamento de recursos. A federação é utilizada, por exemplo, para simplificar a autenticação e autoriza- ção de usuários a recursos e aplicações entre domínios parceiros. SSO se refere à maneira como um usuário de um serviço compar- tilhado pode ser autenticado sem ter que utilizar diversas creden- ciais. O SSO é muito útil em ambientes cooperados, facilitando o processo de autenticação. (VERAS, 2013, p. 83) Na figura 1 é possível visualizar o conceito de federação e SSO. O usuário é autenticado por meio de logon único e, a partir da autentica- ção na nuvem A, está autorizado a utilizar os recursos das nuvens B e C. 44 Ma te ria l p ar a us o ex cl us ivo d e al un o m at ric ul ad o em c ur so d e Ed uc aç ão a D is tâ nc ia d a Re de S en ac E AD , d a di sc ip lin a co rre sp on de nt e. P ro ib id a a re pr od uç ão e o c om pa rti lh am en to d ig ita l, s ob a s pe na s da L ei . © E di to ra S en ac S ão P au lo . Segurança em cloud e ambientes web Figura 1 – Federação de nuvens e SSO Faz logon único autenticado na nuvem AUsuário Autorização para utilizar os recursos das nuvens B e C B SSO A C Fonte: adaptado de Veras (2013). NA PRÁTICA Busque, no site oficial da AWS, artigos sobre o uso de federação de iden- tidades e o logon único (SSO) por meio do serviço Amazon QuickSight, que oferece suporte à federação, permitindo que o usuário da Amazon utilize as mesmas credenciais existentes. Considerações finais Entre os controles de segurança mínimos que devem ser proporcio- nados por um provedor de nuvem destacam-se a autenticação e a auto- rização, conceitos que puderam ser compreendidos por meio do exem- plo dos serviços IAM e Audit Manager da AWS. Por fim, demonstrou-se a importância da federação e do SSO, bem como a relação entre ambos e seu uso no ambiente de computação em nuvem. 45Requisitos mínimos de autenticação, autorização e auditoria M aterial para uso exclusivo de aluno m atriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com partilham ento digital, sob as penas da Lei. © Editora Senac São Paulo. Referências ARMSTRONG, Jeff. Migrating to AWS: a manager’s guide: how to foster agility, reduce costs, and bring a competitive edge to your business. Sebastopol: O’ Reilly, 2020. CHEE, Brian J. S.; FRANKLIN JR., Curtis. Computação em nuvem: cloud computing: tecnologias e estratégias. São Paulo: M.Books, 2013. MONGODB na AWS. AWS, [s. d.]. Disponível em: https://aws.amazon.com/pt/ quickstart/architecture/mongodb/. Acesso em: 14 set. 2022. SEGURANÇA, identidade e conformidade na AWS. AWS, [s. d.]. Disponível em: https://aws.amazon.com/pt/products/security/. Acesso em: 20 set. 2021. VERAS, Manoel. Arquitetura de nuvem: Amazon Web Services (AWS). Rio de Janeiro: Brasport, 2013. VERAS, Manoel. Computação em nuvem: nova arquitetura da TI. Rio de Janeiro: Brasport, 2015. 47 M aterial para uso exclusivo de aluno m atriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com partilham ento digital, sob as penas da Lei. © Editora Senac São Paulo. Capítulo 6 Requisitos mínimos para confidencialidade, integridade e disponibilidade de dados Para tratar dos requisitos mínimos para confidencialidade, integridade e disponibilidade de dados da computação em nuvem, vamos definir o que é segurança por camadas na nuvem. O objetivo é garantir a seguran- ça do ambiente e das aplicações inseridas na computação em nuvem. 48 Ma te ria l p ar a us o ex cl us ivo d e al un o m at ric ul ad o em c ur so d e Ed uc aç ão a D is tâ nc ia d a Re de S en ac E AD , d a di sc ip lin a co rre sp on de nt e. P ro ib id a a re pr od uç ão e o c om pa rti lh am en to d ig ita l, s ob a s pe na s da L ei . © E di to ra S en ac S ão P au lo . Segurança em cloud e ambientes web 1 Definição de segurança por camadas na nuvem Stallings (2015, p. 7) define confidencialidade, privacidade, integrida- de e disponibilidade da seguinte forma: Confidencialidade de dados: assegura que informações privadas e confidenciais não estejam disponíveis nem sejam reveladas para indivíduos não autorizados. Privacidade: assegura que os indivíduos controlem ou influenciem quais informações relacionadas a eles podem ser obtidas e arma- zenadas, da mesma forma que como, por quem e para quem es- sas informações são passíveis de ser reveladas. Integridade de dados: assegura que as informações e os progra- mas sejam modificados somente de uma maneira especificada e autorizada. Integridade do sistema: assegura que um sistema execute as suas funcionalidades de forma ilesa, livre de manipulações deliberadas ou inadvertidas do sistema. Disponibilidade: assegura que os sistemas operem prontamente e seus serviços não fiquem indisponíveis para usuários autorizados. Confidencialidade, integridade e disponibilidade formam o acrônimo CID, que designa os pilares clássicos da segurança da informação. O atendimento a esses requisitos mínimos tem como objetivo final pre- venir problemas de segurança, como exposição de dados, vazamento de informação sigilosa, ataques em geral, entre outros. Portanto, CID envolve objetivos fundamentais relacionados a dados de maneira geral e também aos serviços de informação, área na qual a computação em nuvem está inserida. É fundamental conhecer esses conceitos para de- finir a segurança por camadas na nuvem. Veras (2013) define alguns exemplos de elementos computacionais que visam a garantir a tríade CID: 49 Requisitos mínimos para confidencialidade, integridade e disponibilidade de dados M aterial para uso exclusivo de aluno m atriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com partilham ento digital, sob as penas da Lei. © Editora Senac São Paulo. • Confidencialidade: criptografia de dados; serviços de autentica- ção na rede; protocolos de segurança de rede. • Integridade: serviços de firewall; detectores de intrusão. • Disponibilidade: backup e sistemas redundantes; processos de segurança confiáveis e interoperáveis. NA PRÁTICA A Amazon Web Services (AWS) oferece um serviço de segurança deno- minado “Avaliações de segurança ou testes de penetração”, em que o provedor de serviço na nuvem realiza testes no ambiente da AWS para garantir a CID. Além disso, por meio dele é possível verificar se os pa- drões de segurança utilizados estão em conformidade com diversos frameworks, como Payment Card Industry Data Security Standard (PCI DSS), General Data Protection Regulation (GDPR) e Health Insurance Portability and Accountability Act (HIPAA). Apesar de a computação em nuvem não ser um ambiente totalmen- te controlado pela provedora de serviço em nuvem, mesmo assim é possível ampliar a segurança da informação, pois o provedor do ser- viço utiliza tecnologias atualizadas e sofisticadas com corpo técnico altamente qualificado, as quais, na maioria das vezes, devido ao custo, podem não ser implementadas internamente pela empresa que faz uso desse serviço (VERAS, 2015). A estratégia de segurança da AWS é planejada por seus especialis- tas para entregar uma infraestrutura segura, apropriada e com alto de- sempenho, sendo focada em quatro níveis (SEGURANÇA..., [s. d.]): • Prevenir: definir medidas para permissões e identidades de usuá- rios e proteção de infraestrutura e de dados, a fim de estabelecer uma estratégia de adoção simples e planejada. 50 Ma te ria l p ar a us o excl us ivo d e al un o m at ric ul ad o em c ur so d e Ed uc aç ão a D is tâ nc ia d a Re de S en ac E AD , d a di sc ip lin a co rre sp on de nt e. P ro ib id a a re pr od uç ão e o c om pa rti lh am en to d ig ita l, s ob a s pe na s da L ei . © E di to ra S en ac S ão P au lo . Segurança em cloud e ambientes web • Detectar: adquirir visibilidade para a estratégia de segurança para a organização a partir de serviços de monitoramento e registro em log. Gerir essas informações em uma plataforma escalável para garantir o gerenciamento de eventos, testes e auditoria. • Resposta: fornecer resposta e recuperação automatizadas a inci- dentes para ajudar a mudar o foco principal das equipes de segu- rança, de modo que possam se concentrar na análise da causa raiz. • Corrigir: aproveitar a automação orientada por eventos para cor- rigir e proteger rapidamente o ambiente da AWS. 2 Requisitos mínimos de segurança em cada camada na nuvem Chee e Franklin Jr. (2013) comentam que um dos motivos de a se- gurança da nuvem ser satisfatória é por causa de uma boa arquitetura, o que está intimamente ligado à habilidade de identificar um tráfego suspeito e impedir que ele chegue na rede corporativa. Dessa forma, o provedor de nuvem aplica controles para evitar a exposição dos seus próprios dados, refletindo esses mesmos controles na rede corporativa da empresa que utiliza o serviço. Portanto, uma boa arquitetura de nuvem está relacionada com a es- trutura e as políticas de segurança da informação. A plataforma AWS se baseia no Controle de Objetivos para a Informação e Tecnologia Relacionada (COBIT) e na ISO/IEC 27001, além de conduzir testes de vulnerabilidades de forma regular para garantir os requisitos mínimos de segurança em cada camada na nuvem (VERAS, 2013). Para atingir esse objetivo, utiliza-se um modelo de domínios, ilustrando as camadas de segurança envolvidas. Esse modelo é um framework de segurança da IBM e pode ser conferido na figura 1. 51 Requisitos mínimos para confidencialidade, integridade e disponibilidade de dados M aterial para uso exclusivo de aluno m atriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com partilham ento digital, sob as penas da Lei. © Editora Senac São Paulo. Figura 1 – Framework de segurança Acesso Dados Aplicações e SO convidado Virtualização Rede Hardware Infraestrutura física Fonte: adaptado de Veras (2013). A primeira camada (Acesso) se refere a credenciais de acesso, chave de acesso, certificados e pares de chave. Dentro do contexto da nuvem da Amazon, o exemplo prático dessa camada é o Identity and Access Management (IAM) da AWS. Já a segunda camada (Dados) está relacionada à proteção dos dados (armazenamento e tráfego). Exemplo: a encriptação de dados com o uso de algoritmos de criptografia, podendo ser simétrica ou assimétrica. A terceira camada (Aplicações e SO convidado) diz respeito à res- ponsabilidade compartilhada. Espera-se que o cliente mantenha atu- alizadas as versões de suas aplicações e dos sistemas operacionais, conforme recomendado pelos fabricantes. A camada Virtualização é a garantia (pelo provedor de serviço da nuvem) de que o tráfego gerado só diz respeito ao cliente específico, e 52 Ma te ria l p ar a us o ex cl us ivo d e al un o m at ric ul ad o em c ur so d e Ed uc aç ão a D is tâ nc ia d a Re de S en ac E AD , d a di sc ip lin a co rre sp on de nt e. P ro ib id a a re pr od uç ão e o c om pa rti lh am en to d ig ita l, s ob a s pe na s da L ei . © E di to ra S en ac S ão P au lo . Segurança em cloud e ambientes web somente ele pode ter acesso às informações geradas, não ocorrendo, portanto, vazamento de dados entre clientes ou invasores externos. A camada Rede tem relação com a proteção da rede contra os mais variados tipos de ataques, como ataque distribuído de negação de ser- viço (DDoS, do termo em inglês distributed denial of service), man-in-the- -middle (MITM), spoofing, entre outros. Para garantir essa segurança, o provedor de serviço faz uso de equipamentos de segurança e testes regulares de penetração e vulnerabilidade. A sexta camada (Hardware) se refere à obrigatoriedade de o prove- dor de serviço na nuvem eliminar qualquer vestígio de informação do cliente no caso de desativação, seguindo as melhores práticas de mer- cado, como DoD 5220.22-M e NIST 800-88. Por último, a camada Infraestrutura física está relacionada à detec- ção de problemas físicos — incêndio, falta de energia, eventos relacio- nados a clima e temperatura —, ao acesso físico dos colaboradores e à infraestrutura disponibilizada aos clientes. PARA SABER MAIS As melhores práticas de segurança para aumentar o nível de segurança na nuvem AWS podem ser observadas em diversos webinars disponibiliza- dos pela própria Amazon Web Services em seu canal oficial do YouTube. Considerações finais Neste capítulo foram apresentados os requisitos mínimos para im- plementação das camadas de segurança e gerenciamento de vulnera- bilidades no provedor de serviço da nuvem, tendo sido indicados exem- plos práticos de seu uso. 53 Requisitos mínimos para confidencialidade, integridade e disponibilidade de dados M aterial para uso exclusivo de aluno m atriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com partilham ento digital, sob as penas da Lei. © Editora Senac São Paulo. Referências CHEE, Brian J. S.; FRANKLIN JR., Curtis. Computação em nuvem: cloud computing: tecnologias e estratégias. São Paulo: M.Books, 2013. SEGURANÇA na nuvem AWS: infraestrutura e serviços para elevar a segurança na nuvem. AWS, [s. d.]. Disponível em: https://aws.amazon.com/pt/security/. Acesso em: 2 out. 2021. STALLINGS, William. Criptografia e segurança de redes: princípios e práticas. 6. ed. São Paulo: Pearson Education do Brasil, 2015. VERAS, Manoel. Arquitetura de nuvem: Amazon Web Services (AWS). Rio de Janeiro: Brasport, 2013. VERAS, Manoel. Computação em nuvem: nova arquitetura da TI. Rio de Janeiro: Brasport, 2015. https://aws.amazon.com/pt/security 55 M aterial para uso exclusivo de aluno m atriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com partilham ento digital, sob as penas da Lei. © Editora Senac São Paulo. Capítulo 7 Twelve-Factor App Severino (2017) define metodologia como o estudo dos métodos, ou seja, os passos necessários que precisam ser seguidos para chegar a um objetivo previamente definido. Também pode ser considerada um conjunto de regras bem estabelecidas para alcançar um objetivo. Para Veras (2015), uma das maiores preocupações em computação em nuvem é desenvolver aplicações seguras, portáteis e resilientes. Partindo desse problema e considerando as definições de metodologia, surgiu a metodologia Twelve-Factor App, composta de doze práticas para construir aplicações. 56 Ma te ria l p ar a us o ex cl us ivo d e al un o m at ric ul ad o em c ur so d e Ed uc aç ão a D is tâ nc ia d a Re de S en ac E AD , d a di sc ip lin a co rre sp on de nt e. P ro ib id a a re pr od uç ão e o c om pa rti lh am en to d ig ita l, s ob a s pe na s da L ei . © E di to ra S en ac S ão P au lo . Segurança em cloud e ambientes web 1 Base de código O primeiro fator é a “base de código” e está relacionado ao reposi- tório do código-fonte. Este é acessível a todos da equipe que estão en- volvidos no desenvolvimento da aplicação e aos processos de automa- ção que fazem parte do ciclo de vida de desenvolvimento do software. Além disso, a base de código deve ter armazenamento
Compartilhar