Prévia do material em texto
Segurança da Informação Unidade 4 Segurança de dados na internet Diretor Executivo DAVID LIRA STEPHEN BARROS Gerente Editorial CRISTIANE SILVEIRA CESAR DE OLIVEIRA Projeto Gráfico TIAGO DA ROCHA Autoria DANIEL CARLOS NUNES AUTORIA Daniel Carlos Nunes Olá! Sou Mestre em Desenvolvimento de Processos pela UNICAP, com experiência na elaboração de rotinas e processos para a otimização de operações e redução do custo operacional, executando atividades por cerca de 20 anos. Docente de Pós-Graduação na Universidade Estácio, fui professor formador, modalidade à distância, do Sistema Escola Aberta do Brasil - UAB, Instituto Federal de Educação, Ciências e Tecnologia de Pernambuco (IFPE). Fui Professor Líder de Projeto no Centro de Estudos e Sistemas Avançados do Recife, CESAR / HANIUM. Consultor de Custos em Sistemas de Saúde com foco em Gestão Hospitalar, da empresa Essencial TI. Já realizei trabalhos em várias instituições privadas, entre elas, Diname Factoring e Lojas Tentação. Na Área de Saúde, destacam- se trabalhos já realizados no Centro Hospitalar Albert Sabin, Hospital de Olhos de Pernambuco, HOPE), Centro Hospitalar São Marcos, Laboratório Boris Berenstein. Estou muito feliz em poder ajudar você nesta fase de muito estudo e trabalho. Conte comigo! ICONOGRÁFICOS Olá. Esses ícones irão aparecer em sua trilha de aprendizagem toda vez que: OBJETIVO: para o início do desenvolvimento de uma nova compe- tência; DEFINIÇÃO: houver necessidade de se apresentar um novo conceito; NOTA: quando forem necessários obser- vações ou comple- mentações para o seu conhecimento; IMPORTANTE: as observações escritas tiveram que ser priorizadas para você; EXPLICANDO MELHOR: algo precisa ser melhor explicado ou detalhado; VOCÊ SABIA? curiosidades e indagações lúdicas sobre o tema em estudo, se forem necessárias; SAIBA MAIS: textos, referências bibliográficas e links para aprofundamen- to do seu conheci- mento; REFLITA: se houver a neces- sidade de chamar a atenção sobre algo a ser refletido ou dis- cutido sobre; ACESSE: se for preciso aces- sar um ou mais sites para fazer download, assistir vídeos, ler textos, ouvir podcast; RESUMINDO: quando for preciso se fazer um resumo acumulativo das últi- mas abordagens; ATIVIDADES: quando alguma atividade de au- toaprendizagem for aplicada; TESTANDO: quando o desen- volvimento de uma competência for concluído e questões forem explicadas; SUMÁRIO Segurança na intranet e conceitos de LAN e VPN ........................ 12 Intranet .................................................................................................................................................... 12 Infraestrutura básica de uma Intranet ........................................................... 14 Intranet do Windows ................................................................................................. 14 Extranet ............................................................................................................................... 15 Intranet x Internet x Extranet ............................................................................... 16 LAN ............................................................................................................................................................ 17 WAN ....................................................................................................................................... 18 VPN ............................................................................................................................................................ 18 Intranet e Extranet VPN ........................................................................................... 19 Como o VPN funciona ............................................................................................. 20 Identificando de camada de rede e criptografia ........................... 21 Camada de rede .............................................................................................................................. 21 Modelo OSI .......................................................................................................................22 HostID ...................................................................................................................................24 Criptografia ...........................................................................................................................................26 Certificados digitais e assinaturas .......................................... 29 Certificados digitais ........................................................................................................................29 Como obter o certificado ........................................................................................32 Assinaturas digitais .........................................................................................................................33 Assinando o documento .........................................................................................35 Compartilhando documentos assinados....................................................35 A computação na nuvem ........................................................................ 37 O que é computação em Nuvem ou cloud computing? ....................................37 Modelos de computação em Nuvem ............................................................................. 39 Nuvem privada .......................................................................................... 40 Nuvem pública .......................................................................................... 40 Nuvem híbrida ............................................................................................. 41 Nuvem comunitária ................................................................................. 41 Vantagens e desvantagens da computação em Nuvem ..................................42 Servidores de armazenamento na Nuvem ..................................................................44 Dropbox ...............................................................................................................................44 OneDrive .............................................................................................................................45 Google Drive ....................................................................................................................45 A segurança na Nuvem ............................................................................................................. 46 Medidas de proteção ................................................................................................47 Criptografar os dados ............................................................................47 Backup dos dados .................................................................................. 48 Separação correta ................................................................................... 48 9 UNIDADE 04 Segurança da Informação 10 INTRODUÇÃO Você sabe o que é a Intranet? Ampliando ainda mais nosso conhecimento, iremos aprender os conceitos básicos relativos a Intranet e a VPN (Rede Privada Virtual) que ao contrário das redes externas, são formuladas conforme a necessidade da empresa, abordando quais são as suas características principais e quais são as técnicas de segurança que podem ser utilizadas, no caso da Intranet, para proteger a rede de computadores ligadas a ela. Veremos também a funcionalidade de uma VPN, que também constrói uma rede privada, mas, ao contrário da Intranet, essa rede é baseada em uma rede maior e pública, como a Internet. Veremos ainda o conceito básico de LAN’S e suas funções, a fim de compreender como um todo os sistemas que possibilitam criar redes de informações. Compreenderemosos conceitos de identificação da camada de rede, e no que ela consiste, observando os principais conceitos relativos a HostID, por exemplo. Em seguida iremos definir e saber para que serve a criptografia na área da Segurança da Informação, observando como ela deve ser utilizada para proteger os dados e informações trocadas na Internet. Além disso, aprenderemos mais sobre algumas das ferramentas que são muito utilizadas para assegurar a proteção de dados ou de páginas de Internet. Iremos compreender os principais conceitos relacionados a essas duas formas de proteção, como utilizarmos essas ferramentas para salvaguardar as informações trocadas. O conhecimento dessas ferramentas, hoje em dia, é fundamental para qualquer profissional que deseja trabalhar ou trocar informações através da Internet ou de redes de computadores. Para finalizar a disciplina de Segurança da Informação, veremos como uma das ferramentas mais utilizadas para armazenar e administrar conteúdo pode ser utilizada para auxiliar a segurança. Iremos conhecer um pouco mais sobre esta ferramenta e as maneiras de proteger os arquivos contidos nela, observaremos a sua relação com a segurança e como ela ajuda nesse fator, já que conhecer a ferramenta de Cloud Computing, hoje em dia, é fundamental para qualquer profissional que deseja ter segurança no armazenamento de suas informações, bem como o direito de acessá-las em qualquer lugar. Entendeu? Ao longo desta unidade letiva você vai mergulhar neste universo! Segurança da Informação 11 OBJETIVOS Olá. Seja muito bem-vindo à Unidade 4 – Segurança de dados na Internet. Até o término desta etapa de estudos, nosso objetivo é auxiliar você no desenvolvimento das seguintes competências profissionais: 1. Compreender os conceitos de VPN e de Intranet, identificar suas principais características e entender, aprofundadamente, como funcionam. 2. Definir os conceitos básicos e identificar as camadas de rede, bem como os princípios e as práticas da criptografia. 3. Aplicar as ferramentas de certificados digitais, bem como as definições acerca das assinaturas. 4. Utilizar a ferramenta de cloud computing para armazenamento na Nuvem. Então? Preparado para adquirir conhecimento sobre um assunto fascinante e inovador como esse? Vamos lá! Segurança da Informação 12 Segurança na intranet e conceitos de LAN e VPN OBJETIVO: Ao término deste capítulo, você será capaz de compreender melhor os conceitos de VPN e de Intranet, podendo identificar as principais características e compreender como é o seu funcionamento de maneira aprofundada. E então? Motivado para desenvolver esta competência? Então, vamos lá. Avante! Intranet Por possuir um baixo custo de manutenção e instalação, e ter diversos benefícios quanto a segurança e troca de informações, hoje em dia está cada vez mais comum de falar de Intranet, mas, no que ela de fato consiste? Figura 1 - Segurança Fonte: Pixabay Essa rede criada pela Intranet é exclusiva de cada empresa, isto é, para cada demanda deve-se criar uma nova, e apesar de ser uma rede fechada, os funcionários, se permitidos, podem ter acesso as redes de Internet que normalmente são protegidas por Firewalls. Segurança da Informação 13 EXPLICANDO MELHOR: Imagine que existe uma empresa que trabalha com a venda de softwares, e para que os desenvolvedores consigam criar os programas precisam receber as informações do Financeiro. Para facilitar esse processo o Financeiro cria uma rede privada, a Intranet, para informá-los das demandas, facilitando assim a comunicação e tornando o processo mais ágil, visto que esses são os principais objetivos de uma Intranet, ela é vantajosa para todos. Podemos considerar que a Intranet é uma rede de Internet local, que trabalha apenas com os dados ofertados pela empresa para realizar a troca de informações, normalmente esses dados, quando dispostos em Intranet, não possuem uma maior restrição, exemplo, quem vai acessar o que por meio de senhas, porque a própria Intranet é criada com abas, para que um certo tipo de funcionário acesse um certo tipo de informação contida nela. Vamos observar a seguir algumas das principais vantagens presentes na Intranet: • É um sistema intuitivo, que pessoas sem grandes conhecimentos de informática conseguem acessá-lo e alimentá-lo. • Não possui um número máximo possível de usuários simultâneos, isto é, se uma empresa tiver 10.000 funcionários, se bem implementado, o sistema irá rodar sem falhas. • É um ambiente totalmente controlável e editável, podendo ser trocado e auditado quando a empresa tiver necessidade. • As comunicações de caráter privado para empresa estarão mais seguras dentro de um sistema que só ela tem acesso. • O sistema de Intranet é implementado e aprovado pelo mundo todo, o tornando a cada atualização e implementação nova, melhor. • Os softwares que devem ser distribuídos por toda a empresa, caso ela funcione com um sistema de Intranet, são distribuídos de maneira mais fácil e com mais agilidade. Segurança da Informação 14 Infraestrutura básica de uma Intranet Para implementar uma estrutura funcional de Intranet, segundo os maiores especialistas desta área, é preciso, basicamente de: • O protocolo fundamental da Intranet, que é uma rede TCP/IP. • Os computadores que irão fazer parte da rede, e um deve ser capaz de abrigar um servidor de Internet. • O programa que será usado para instalar o servidor de Internet, o mais famoso, hoje, é o Unix. • A página em HTML que irá servir como o abrigo da Intranet, bem como deve ter um processador capaz de ler a página. • Como vimos, a Intranet é uma Internet fechada da empresa, por isso deve-se ter uma plataforma de busca ou um navegador, os mais comuns hoje são: Ncsa Mosaic e o Netscape Navigator, deve-se ter além deles todos os sistemas complementares para que rodem com precisão. Intranet do Windows Como vimos em uma de nossas primeiras aulas, o Windows é um sistema operacional bastante completo e visa sempre atender as demandas de seus usuários. Observando o crescimento de redes extras e Intranet, o sistema respondeu de maneira rápida, criando uma possibilidade de dentro do próprio sistema, criar uma Intranet de maneira consideravelmente rápida e fácil. ACESSE: No Windows 7 existe a possibilidade de você criar um servidor que funciona para armazenar tanto, sites de Web, quanto conexões de Intranet. Para acessar o passo a passo de como configurar, clique aqui. Segurança da Informação https://support.microsoft.com/pt-br/help/2468142 15 Extranet A Extranet funciona de maneira igual, em alguns aspectos, a Intranet, consiste em uma rede previamente configurada para atender as demandas da empresa, onde essa rede pode ser acessada de qualquer lugar, através da Internet. Podendo ser considerada uma Intranet “estendida”, a Extranet funciona com uma maior amplidão de quem poderá acessar, isto é, na Intranet quem administra a rede é apenas um gerente, de um local e uma rede, já na Extranet, diversos gerentes, mediante permissão, podem fazer uso do sistema, possibilitando uma troca de informação maior. Apesar de ser uma rede interna, caso a empresa possua uma filial em outro estado, por exemplo, é possível que essa filial, por meio de uma senha disponibilizada pela empresa, consiga acessar a Intranet pela Internet, facilitando assim a comunicação entre instituições mesmo em estados diferentes, por isso, normalmente, grandes empresas adotam a Intranet em suas redes. Figura 2 - Extranet Filial FilialServidor principal, ou matriz da empresa Pacote TCP/IP Pacote TCP/IP Fonte: Elaborada pelo autor (2021). Do ponto de vista empresarial algumas vantagens da Extranet, são: • A rede não fica limitada a um único ponto, no caso de empresas que possuem filiais ou diversas lojas, existe a facilidade no acesso. • Redução de custos, uma vez que os sistemas são interligados,é possível que, com os dados das empresas, uma única pessoa realizar a contabilidade, na maioria das vezes quem realiza é a matriz, ou até os recursos humanos. Segurança da Informação 16 • Apesar de diversas pessoas possuírem acesso ao sistema, a Extranet o torna mais seguro uma vez que todos os acessos são registrados, sendo assim existe um controle maior da informação, onde ficam guardados quem acessou, em que momento acessou e se houve algum desvio de informação, visto que a informação é um dos principais capitais da empresa, essa vantagem, muitas vezes, é a que chama mais atenção. • Como existe uma ponte de acesso direto à informação, é desnecessário o uso de interlocutores, o que faz com que ela chegue mais rápido e evite a disseminação dela, já que quanto menos pessoas souberem, mais segura a informação fica; • A colaboração das filiais e dos funcionários é bem maior quando a empresa faz uso de Extranet, uma vez que ela permite que eles insiram dados em tempo real e compartilhem, então caso alguma pessoa de uma filial, que está do outro lado do país, precise dessa informação, ela terá acesso de maneira rápida, sem precisar pesquisar arduamente, poupando tempo. Vamos observar a seguir um pequeno esquema que mostra como as filiais de uma empresa, por exemplo, podem se conectar com o servidor principal ou com a própria matriz da empresa. Intranet x Internet x Extranet Vamos observar adiante um pequeno quadro que compara esses três tipos de redes, que apesar de serem semelhantes no nome, são diferentes. Observe o Quadro 1. Segurança da Informação 17 Quadro 1 – Intranet x Internet x Extranet INTRANET INTERNET EXTRANET Possibilita a comunicação rápida e instantânea. SIM SIM SIM Possibilita a comunicação com redes ou computadores externos. NÃO SIM SIM O acesso é limitado e restrito a pessoas autorizadas. SIM NÃO SIM É possível compartilhar periféricos e hardwares tipo impressoras. SIM NÃO NÃO O compartilhamento de dados é possível. SIM SIM SIM Pode integrar uma rede local, conhecida como LAN. SIM NÃO NÃO Fonte: Adaptado de Freire e Araujo (1999). LAN No quadro anterior, vimos que apenas a Intranet é possível fazer parte de uma LAN, mas, você deve ter ficado se perguntando o que é uma LAN, certo? Vamos ver um pouco mais sobre essa tecnologia. Figura 3 - LAN Fonte: Pixabay Segurança da Informação 18 A sigla LAN é a abreviação de Local Área Network, e se refere a uma rede restrita a um determinado local, essa definição lembra a de Intranet, certo? A diferença é que a LAN se refere a configuração do roteador de Internet, não compreendeu? Vamos ver a sua definição a seguir: DEFINIÇÃO: Podemos definir LAN como sendo a configuração da rede de um determinado local provida pelo roteador, essa LAN age como um delimitador, onde, ultrapassando uma área, você não possui mais acesso (MARCHIORI, 2002). WAN Uma WAM (Wide Area Network) se refere, em tese, a um sistema de LAN ampliado, a WAM trabalha cobrindo uma área física relativamente maior que a LAN. Ela surgiu graças as grandes demandas de empresas que precisavam cobrir uma grande área e possuir uma velocidade de tráfego de dados alta, que a LAN não conseguia cobrir. VPN Já compreendemos os conceitos e as maneiras mais básicas de criarmos uma Intranet, por exemplo, mas onde utilizaríamos o VPN? Ao contrário da Intranet e Extranet, o VPN não funciona como uma rede, mas sim como uma tecnologia de integração, ele trabalha, basicamente, com a instalação de uma rede privada baseada em uma pública, como a Internet. A sigla VPN significa, Virtual Private Network, ou, em português, Rede Privada Virtual, e ela é mais um tipo de proteção quando tratamos de segurança na troca de dados. Ela trabalha com protocolos previamente definidos, chamados de “protocolo padrão”, onde eles podem contribuir para a segurança ou não. Com base em criptografia, que iremos estudar em nossa próxima aula, e em tunelamento (o tunelamento é um processo de transporte de dados de maneira segura, ele trabalha no encapsulamento das informações, o nome é alusivo, já que a ideia lembra um túnel que conecta a entrada com o final) a VPN busca proteger os dados enquanto estão sendo trafegados. Segurança da Informação 19 A tecnologia VPN, assim como a de Intranet, possui um custo baixo, sendo a VPN ainda com um custo mais baixo do que a segunda, por causa disso ela vem substituindo as diversas tecnologias que vieram antes dela, além do baixo custo, é uma tecnologia com um alto nível de segurança, e que segundo especialistas, consegue atingir os objetivos e princípios básicos da Segurança da Informação, os da confidencialidade, disponibilidade e integridade dos dados, por isso, ao fazer uso deles, as informações trafegadas possuem um maior índice de confiabilidade de origem. Intranet e Extranet VPN Por ser uma tecnologia altamente segura, as redes de Intranet e Extranet estão utilizando o VPN cada vez mais em suas transações de informações. Assegurando assim que a informação fique segura no âmbito interno e externo da empresa. Na Intranet VPN, quando os escritórios de outras filiais acessam a Internet, sem estar conectado com uma Extranet, por exemplo, é possível que eles realizem a troca de dados de maneira segura, essa Intranet só permite que usuários funcionários acessem as informações. Já, no caso da Extranet, a tecnologia VPN possibilita que usuários que fazem transações com a empresa, mas não são filiais, como é o caso de fornecedores, por exemplo, tenham acesso as informações contidas no sistema da empresa. Apesar de serem tecnologias seguras, é preciso que o gerenciador das redes ou os funcionários responsáveis pela TI se atentem para os usuários que possuem direito a acessar a rede, já que, como visto anteriormente, um dos maiores fatores de vazamento de informações está no fator humano, é preciso que se observe, por exemplo, no caso dos fornecedores que possuem acesso a rede, se eles são realmente confiáveis, devendo ser instauradas políticas de controle. Segurança da Informação 20 Como o VPN funciona Vamos observar a seguir os passos para que um dado seja enviado pelo VPN: • Os dados são encapsulados, através do protocolo de tunelamento de dados seguros. • O IP da rede em que os dados estão sendo destinados é inserido juntamente ao IP da rede em que o dado é oriundo, essas informações ficam localizadas no cabeçalho do dado. • São atribuídos mais dois cabeçalhos, o de autenticação do dado e o ESP, que trata da segurança dele, o qual busca prever a autenticidade e integridade do dado. • Quando os dados são entregues eles são descapsulados e entregues ao destino dentro da rede em que foi colocado. RESUMINDO: Nesta aula compreendemos que a Intranet se trata de uma rede interna de comunicação na qual só pode ser utilizada por pessoas autorizadas e que possui diversas vantagens, entre elas a segurança em relação à comunicação privada. Entendemos que a infraestrutura básica de uma Intranet deve ser implementada com alguns elementos como o seu protocolo de rede ser TCP/IP, por exemplo. Vimos que a Intranet pode ser criada no Windows de maneira rápida e fácil, e que a Extranet tem pontos idênticos ao da Intranet sendo até considerada como uma Intranet estendida. Conhecemos as vantagens da Extranet e as diferenças entre Internet, Intranet e Extranet. Além disso aprendemos sobre a LAN e que ela se difere da Intranet pelo fato de se referir a configuração do roteador de Internet. Por fim vimos o que é VPN, que ele não funciona como uma rede, mas significa rede privada virtual e é baseada em criptografia e em tunelamento, como também o funcionamento da Intranet e Extranet VPN. Segurança da Informação 21 Identificando de camada de rede e criptografia OBJETIVO: Ao término deste capítulo, você será capaz de compreender os conceitos básicos de identificaçãoda camada de rede, bem como os da criptografia. E então? Motivado para desenvolver esta competência? Então, vamos lá. Avante! Camada de rede Para continuarmos os nossos estudos sobre a Segurança da Informação, estudaremos agora um pouco sobre a camada de rede, que é responsável, basicamente, por conectar o nosso computador ou o sistema ao “mundo” da Internet, mas primeiro, como podemos definir a camada de rede? Figura 4 – Camada de rede Fonte: Pixabay Segurança da Informação 22 DEFINIÇÃO: Essa camada de rede é responsável por administrar todas as operações relativas a conexão da rede, como um todo. Ela funciona como um meio de “direcionar” o pacote de dados a um destino previamente definido. As principais funções desta camada são: • Ela roteia os pacotes de dados do endereço de origem ao endereço de destino. • Controla o fluxo de dados como um todo. • Contabiliza e cria registros internos que contêm informações referentes aos pacotes, contendo números ou bytes. • Funciona como um “portal” entre a sua máquina e a Internet. • Controla os congestionamentos de dados. • Trabalha na detecção de erros que podem atrapalhar a entrega dos pacotes e informações. • Ele trabalha com todo o processo de fluxo, delimitando as suas rotas e definindo-as. Esta camada faz parte de um modelo chamado OSI, inicialmente precisamos compreender o que trata esse modelo, vamos ver adiante. Modelo OSI Esse modelo foi criado com base na ISO que trata sobre a divisão das camadas, e foi apresentado como um modelo, de fato, em 1983. Ele busca basicamente a padronização das redes, para atingir um alto grau de excelência e satisfação. Esse modelo trabalha trazendo as diretrizes básicas para as redes, como elas serão construídas e independem da tecnologia, muitas vezes são as tecnologias que se baseiam neste modelo. Segurança da Informação 23 ACESSE: Quer conhecer mais sobre esse modelo tão importante? Acesse aqui. Esse modelo objetiva uma padronização que consiga atingir quatro fins, por meio da criação de etapas, são eles: • Portabilidade do sistema. • Compatibilidade do sistema ou do computador com outros. • Escalabilidade. • Interoperabilidade. Para que o sistema consiga atingir esses parâmetros, é preciso que, primeiramente, seja identificado o modelo a ser seguido para implementá- lo; após definir o modelo, deverá delimitar os protocolos básicos de cada camada para, em seguida, definir e delimitar o funcionamento de cada uma delas. Vamos observar a seguir quais são as camadas que fazem parte do modelo: Figura 5 – Modelo OSI 1º Física 2º Enlace 3º Rede 4º Transporte 5º Sessão 6º Apresentação 7º Aplicação Fonte: Adaptada de Freire e Araujo (1999). Segurança da Informação https://canaltech.com.br/tutorial/o-que-e/o-que-e-modelo-osi/ 24 Nesta aula estamos estudando a 3º camada. Os protocolos que são desenvolvidos nesta camada são: • O Internet Protocol (IP) que é o responsável pelo encapsulamento e o recebimento dos dados. Já que trata da etapa mais “aparente”, ela é a menos confiável e não possui confirmação; • Internet Group Management Protocol (IGMP) é um protocolo específico para gerenciar participantes de hosts, ele atua no reporte deles; • Internet Control Message Protocol, é responsável pelo TCP/IP, esse protocolo se baseia nos IEFT e ICMP, configurando roteadores de maneira a acertar a conexão. Nesta camada são atribuídos endereços para cada computador que faz uso da rede, esses endereços são chamados de IP. Eles são concedidos para que, quando ocorra a distribuição do pacote, o sistema consiga identificar para onde ele deve ir. O IP é representado em forma decimal para facilitar a leitura e é formado por 32 bits, o padrão é a representação do Byte, onde cada numeração apresenta 8 bytes. HostID Antes de entender o conceito de HostID, você sabe identificar o que é um Host? Bem, eu imagino que você já tenha uma ideia do que seja, mas não consegue assimilar o conhecimento ao nome, mas vamos fazer isso agora vendo a sua definição: DEFINIÇÃO: Em português hospedeiro, o Host é o computador que armazena a informação, para que ele se caracterize como um host, basta ele estar conectado à rede de Internet. O host é o responsável pela camada de rede (MCGEE; PRUSAK, 1994). Segurança da Informação 25 Para ser identificado, o Host precisa de um endereço, e esse endereço é o HostIP, agora que compreendemos o que é host, no que consiste o IP? DEFINIÇÃO: O IP é o endereço propriamente dito do sistema, sua tradução é Protocolo de Internet, é esse protocolo que torna possível a comunicação da rede com a Internet (MCGEE; PRUSAK, 1994). Agora que já vimos os conceitos das siglas que formam a palavra HostID, vamos conhecer um pouco mais sobre ela? Figura 6 - HostID Fonte: Pixabay O HOSTID é responsável por identificar a capacidade suportada por um ID, isto é, por meio dele é possível observar quantos Hosts, ou seja, quantas máquinas, uma rede de computadores pode possuir. Para criar uma rede eficaz, esse número deve ser levado em conta, caso não suporte, e mesmo assim se crie uma rede, os problemas que poderão surgir são: • Superaquecimento dos computadores que fazem parte da rede, podendo causar perdas de informações e aumento de custos caso algum venha a ter seu hardware danificado. Segurança da Informação 26 • Vazamento de informações devido a falhas que podem surgir pelo peso do sistema, essas falhas podem ser oriundas até dos computadores. • Problemas ao acessar o servidor principal, já que ele estará sobrecarregado. Como vimos anteriormente, os IPS, são indicados por bits, e nesse caso, quanto maior for o seu número, menor será a possibilidade de números de máquinas. Criptografia Se você fala unicamente português, você conseguirá ler uma carta em inglês? Acho que não, certo? Essa é basicamente a linha de raciocínio da criptografia, por meio dela apenas o autor da mensagem e o receptor a quem ela será entregue saberá o código que a faz legível. Figura 7 - Criptografia Fonte: Pixabay DEFINIÇÃO: É um ramo da Matemática. Por meio da criptografia a mensagem se torna ilegível a quem não possui o código que a torna legível novamente. O processo realizado para que isso aconteça é chamado de “Cifragem“ (MCGEE e PRUSAK, 1994). Segurança da Informação 27 De maneira geral, existem duas formas de cifrar uma mensagem, são elas: • Simétrica: As chaves de envio e recebimento para a desincriptação da mensagem são as mesmas, assim as duas pessoas ou empresas utilizam a mesma chave, os algoritmos mais utilizados para criar essas chaves. Nesse caso, são: Ron’s Code ou Rivest Cipher, International Data Encryption Algorithm e o Data Encryption Standar. • Assimétrica: Nesse caso as chaves são relacionadas, mas não iguais, na assimétrica existe uma chave para envio, que é chamada de chave pública, e uma chave para o recebimento, que é chamada chave privada, essa chave sendo secreta é entregue apenas para a pessoa ou sistema voltado a fazer a leitura da mensagem. Por se tratar de uma chave complexa, os algoritmos para trabalhar com ela são reduzidos. Atualmente, temos dois principais: Rvest, Shamir and Adleman e ElGamal. O uso da criptografia, hoje em dia, se tornou quase indispensável para a segurança das informações. Diversas plataformas, como as de mensagens de texto de aparelhos móbile, por exemplo o WhatsApp, utiliza a criptografia para assegurar que as mensagens sejam enviadas e entregues apenas pelas pessoas que realmente sejam destinatárias. Além de se preocupar com o embaralhamento das informações, a criptografia trata da autenticidade da informação, buscando lugares seguros para armazená-la e entregá-la. A criptografia, na Segurança da Informação, visa atender os quatro principais princípios, da seguinte maneira: • Apenas a pessoa a quem a mensagem se destina poderá lê- la, assim a confidencialidadedo comunicado é resguardada de maneira primária, onde as possíveis tentativas de furto de informações poderão até serem bem-sucedidas, mas não será possível ler as mensagens. Segurança da Informação 28 • Como a criptografia pode ser responsável por identificar possíveis alterações da mensagem, o usuário final será capaz de identificar se houver qualquer erro na mensagem. • O remetente, uma vez após enviar a mensagem, não será capaz de negar que foi ele que enviou, já que qualquer chave vai estar minimamente ligada a dele. • Através do conteúdo e da cifragem, o usuário final poderá identificar se a mensagem foi enviada realmente pela pessoa que deveria enviar. RESUMINDO: E então? Gostou do que lhe mostramos? Aprendeu mesmo tudinho? Agora, só para termos certeza de que você realmente entendeu o tema de estudo deste capítulo, vamos resumir tudo o que vimos. Pudemos ver que a camada de rede é responsável pode conectar o computador à Internet e que possui diversas funções, entre elas a de controlar o congestionamento dos dados. Vimos que ela faz parte do modelo OSI, que tem como objetivo padronizar para que se consiga quatro finalidades, as quais são a portabilidade do sistema, compatibilidade do sistema, escalabilidade e interoperabilidade e é formado por algumas camadas nos quais são desenvolvidos protocolos. Conhecemos o HostID que pode ser usado para observar quantas máquinas uma rede de computadores pode possuir, sendo muito importante por vários motivos, inclusive para evitar o superaquecimento dos computadores. Conhecemos a criptografia que faz com que uma mensagem se torne legível apenas por quem estiver autorizado a recebê-la, sendo usado para isso, formas de cifragem de mensagens que podem ser simétricas ou assimétricas, e assim, passou a ter uma grande importância no mundo da Internet quando falamos em segurança de dados. Segurança da Informação 29 Certificados digitais e assinaturas OBJETIVO: Ao término deste capítulo, você será capaz de compreender conceitos básicos e aplicações das ferramentas de certificados digitais, bem como as definições acerca das assinaturas. E então? Motivado para desenvolver esta competência? Então, vamos lá. Avante! Certificados digitais Vimos previamente o conceito de criptografia e para que ela serve, e, de maneira geral, o certificado digital tem o mesmo objetivo, ele visa proteger a informação através da identificação dos usuários, no caso dos certificados, do leitor. Mas o que vem a ser um certificado digital? O certificado digital é uma confirmação de identidade, basicamente, funciona como uma digital tecnológica e confere ao usuário uma presunção de veracidade tanto quanto ao perfil, quanto às informações tratadas (FREIRE; ARAUJO, 1999). Figura 8 – Certificados digitais Fonte: Pixabay Segurança da Informação 30 No site do Instituto Nacional de Tecnologia da Informação, o certificado digital é descrito e sua função falada da seguinte maneira: O certificado digital ICP-Brasil funciona como uma identidade virtual que permite a identificação segura e inequívoca do autor de uma mensagem ou transação feita em meios eletrônicos, como a web. Esse documento eletrônico é gerado e assinado por uma terceira parte confiável, ou seja, uma Autoridade Certificadora - AC que, seguindo regras estabelecidas pelo Comitê Gestor da ICP-Brasil, associa uma entidade (pessoa, processo, servidor) a um par de chaves criptográficas. O certificado digital da ICP-Brasil, além de personificar o cidadão na rede mundial de computadores, garante, por força da legislação atual, validade jurídica aos atos praticados com o seu uso (INSTITUTO DE TECNOLOGIA DA INFORMAÇÃO, [s. d.], on-line). Em nossa legislação o certificado digital é uma ferramenta utilizada para assegurar a privacidade em troca de informações no caso de transações importantes. Na prática, o certificado digital se baseia em um arquivo que possui os dados correspondentes à pessoa ou empresa, protegidos por criptografia amplamente complexa e com prazo de validade predeterminado. Esse arquivo pode ser armazenado de variadas maneiras, como em um pendrive, smartcard, no computador, ou até mesmo na Nuvem. Vimos previamente que existem dois tipos de criptografia, a simétrica e a assimétrica. O certificado digital funciona da segunda maneira. Existem duas chaves, uma pública e outra privada; a chave pública é a que a empresa dispõe, enquanto a privada é a que a pessoa que deseja ler possui. Não compreendeu? Observe o esquema a seguir: Segurança da Informação 31 Figura 9 – Como funciona o certificado digital Pacote de dados não cifrados Chave primária Chave secundária Pacote de dados decifrados �Fonte: Elaborada pelo autor (2021). De maneira geral, os dados que são necessários tanto para gerar um certificado quanto para mantê-lo são: • O nome a quem o certificado deve ser empregado, podendo ser de pessoa física ou jurídica. • A assinatura física da pessoa, no caso de pessoa física, e do administrador, no caso de pessoa jurídica. • O período em que as chaves são válidas. • A chave primária, pública. De maneira geral, os principais objetivos dos certificados digitais são: • Ser uma forma segura de fazer movimentações bancárias através da Internet sem precisar ir à agência. • Trazer economia, tanto no custo, quanto no tempo dispendido para realizar serviços ou contratá-los de maneira segura, com o certificado existe uma maior certeza e assim os serviços são mais seguros. Segurança da Informação 32 • No caso da Internet utilizada para realizar a movimentação jurídica, o certificado atesta a validade das informações. • É possível entrar em ambientes quase que completamente seguros por meio de um login e do certificado. • Presunção de veracidade dos documentos enviados com o certificado através da Internet. • No caso de empresas, as notas fiscais podem ser assinadas através dos certificados. Existem dois tipos principais de certificados, que variam conforme o tempo de validade, são eles: • A1 que possui 1 ano. • A3 que possui um cartão ou um token que contém criptografia e dura até 5 anos, o prazo deve ser estipulado pela EC. Como obter o certificado O certificado varia com a demanda, assim, cada necessidade e cada objetivo que a empresa ou pessoa necessite, deve possuir um certificado específico. O certificado digital é a identidade eletrônica que também pode ser conhecido como e-CPF ou e-CNPJ. Para obtê-lo, é necessário procurar uma Autoridade Certificadora, pois esta entidade é responsável por conferir os documentos necessários, a identidade do titular e criar a identidade digital. Caso o certificado tenha sido obtido de maneira errada ou pela entidade certificadora errada, ele não possuirá validade. SAIBA MAIS: Existem sites que mostram o que são ED, quer ver um? Acesse aqui. Segurança da Informação https://serasa.certificadodigital.com.br/o-que-e/ 33 Permitida pela Receita Federal e preenchendo requisitos muito específicos, as entidades certificadoras trabalham analisando os documentos e emitindo pareceres conforme a análise. O certificado é emitido após esses passos: • Identifique a entidade certificadora correta para o certificado necessário e entre em contato com ela, dando início ao processo de solicitação; • O agendamento deverá ser realizado após a solicitação; • Entregar à entidade os documentos pedidos, como identidade e documentos específicos; • Realizar o processo de validação presencial, que consiste na realização de uma biometria facial e digital. ACESSE: Quer conhecer mais sobre as entidades? Acesse aqui. Assinaturas digitais Podendo ser considerada uma maneira de certificação, a assinatura digital é, basicamente, um modo de validar um documento sem que seja necessário imprimir, assinar, escanear. Através da assinatura digital você assina o documento diretamentena máquina. A Assinatura Digital serve para autenticar qualquer documento eletrônico. Possui validade jurídica garantida por lei e equivale a assinatura em papel. É uma tecnologia que utiliza a criptografia e vincula o certificado digital ao documento eletrônico que está sendo assinado. Segurança da Informação http://www.iti.gov.br/ 34 Figura 11 – Assinatura digital Fonte: Pixabay Exemplo: Imagine que uma empresa de prestação de serviços precisaria fechar um contrato com uma outra empresa, representadas na forma de pessoas jurídicas. Para a assinatura desse contrato, seria necessário que pelo menos um colaborador de cada empresa se deslocasse até o cartório mais próximo, investindo o tempo do seu dia nessa tarefa. Se as partes estivessem em cidades diferentes, o processo ficaria ainda mais demorado e caro. Poderíamos resolver esse caso de uma forma simples, por meio da assinatura digital. Precisaríamos somente que cada representante da empresa possuísse um certificado E-CNPJ e assinassem o documento de forma remota. Dessa forma seria possível garantir segurança e validade jurídica ao documento digital, da mesma forma ao documento autenticado em cartório “convencional”. As assinaturas, mais uma vez, visam proteger a integridade e a confidencialidade dos documentos e dados trafegados na Internet. IMPORTANTE: A assinatura é considerada a Chave Privada de um certificado. Segurança da Informação 35 Como vimos no estudo das criptografias, as chaves primarias são um conjunto de dados, no caso bits, criptografados, a assinatura funciona como essa chave para assegurar que você é realmente você, e não um usuário não autorizado. Caso seja dado a você uma chave pública, será possível acessar o dado o qual essa chave se refere. A assinatura digital tem caráter vinculante a um certificado, dando garantias a ele. Assinando o documento Quando se realiza o cadastro da assinatura em algum site, normalmente, ele disponibiliza uma plataforma para que você assine o documento quando necessário. Normalmente a assinatura se faz por meio do upload do arquivo, após realizá-lo é inserida a assinatura no local de escolha ou delimitado para a mesma. IMPORTANTE: Não confunda assinatura digital com assinatura eletrônica. A assinatura eletrônica se refere a qualquer processo eletrônico que indique a aceitação de um documento, já a assinatura digital é um tipo específico de assinatura eletrônica. Para a validação de sua autenticidade, a assinatura digital exige um Certificado Digital. A diferença está basicamente na forma e no meio pelo qual elas são realizadas. É válido ressaltar que cada local utilizado para armazenar a sua assinatura possui um “regimento” que delimita e cria um passo a passo para inserção dela. Compartilhando documentos assinados Quando você possui uma assinatura, em um site por exemplo, ele disponibiliza uma plataforma ou um manual para que os documentos assinados sejam repassados de maneira segura ao destinatário. Normalmente, a maneira de compartilhar os arquivos com segurança segura é: Segurança da Informação 36 Figura 12 – Compartilhamento de documentos Acessar o portal da empresa em que você possui assinatura. Cadastrar os usuarios que terão acesso ao documento assinado. Preencher as informações sobre o documento e realizar o upload dele. Selecionar aqueles que podem além de acessar, compartilhar. Fonte: Elaborada pelo autor (2021). Dessa forma, é preciso que além de acessar, seja dada também a permissão de compartilhamento dos documentos. RESUMINDO: E então? Gostou do que lhe mostramos? Aprendeu mesmo tudinho? Agora, só para termos certeza de que você realmente entendeu o tema de estudo deste capítulo, vamos resumir tudo o que vimos. Você deve ter aprendido que os certificados digitais funcionam como uma digital tecnológica e tem validade jurídica tanto em relação ao perfil quanto às informações, bem como assegura a privacidade na troca de informações e é protegido por criptografia assimétrica. Vimos os dados necessários para gerar um certificado e para mantê-los, vimos também os principais objetivos dos certificados digitais e os principais tipos de certificados que existem no mercado. Além disso, estudamos como fazer para obter um certificado e que caso ele não seja adquirido por uma autoridade certificadora ele não possuirá validade, e que para ele ser emitido é preciso seguir alguns passos. Entendemos o que são as assinaturas digitais e que elas vinculam o certificado digital ao documento eletrônico e faz uso da criptografia. Por fim, compreendemos como assinar o documento, entendendo a diferença entre assinatura digital e assinatura eletrônica, e vimos como compartilhar documentos assinados. Segurança da Informação 37 A computação na nuvem OBJETIVO: Ao término deste capítulo, você será capaz de compreender os conceitos e utilizar a ferramenta de cloud computing. E então? Motivado para desenvolver esta competência? Então, vamos lá. Avante! O que é computação em Nuvem ou cloud computing? Com o objetivo de facilitar o acesso e a edição das informações, quando tratamos de cloud computing – ou computação na Nuvem – falamos da possibilidade dos seus arquivos estarem disponíveis em qualquer lugar a qualquer momento. Figura 13 - Nuvem Fonte: Pixabay Segurança da Informação 38 Já estudamos sobre essa tecnologia antes, mas vamos agora aprofundar mais os conhecimentos dessa ferramenta que é atualmente uma das principais para realizar backups, por exemplo. Cloud computing é a capacidade de armazenar informações de dados nos computadores do tipo servidor, utilizando apenas a Internet sem necessitar de nenhum dispositivo físico ou do donwload de nenhuma plataforma específica, na maioria dos casos (MCGEE e PRUSAK, 1994). Podemos dizer que a computação na Nuvem é a evolução do armazenamento e do serviço de data center, não sabe o que é isso? Vamos ver a definição a seguir. DEFINIÇÃO: Conhecido também como Centro de Processamento de Dados, o data center é uma empresa que disponibiliza um provedor de serviços via Internet, inclusive a hospedagem de servidores de várias empresas, que, por sua vez, economizam grandes somas de recursos financeiros por não mais se responsabilizarem pela guarda e pelo gerenciamento físico de seus servidores. Esses centros possuem grandes servidores que trabalham para armazenar e processar dados (FREIRE; ARAUJO, 1999). Apesar de poupar grandes somas em dinheiro das empresas, os data centers ainda possuem desvantagens, vejamos: • Como se trata de uma estrutura física, o data center aumenta a possibilidade, em comparação com a computação na Nuvem, de os dados ou informações armazenadas sejam vazados por pessoas não autorizadas. • Caso o servidor em que você ou a empresa armazena as suas informações queime ou pare de funcionar por qualquer outro motivo, todas as informações que estão nele podem ser perdidas. • Apesar de reduzir o custo com o armazenamento, ele eleva os custos em relação a download e manutenção dos softwares da empresa, aumentando o tempo, já que as informações devem ser buscadas nele e pode ser que não estejam disponíveis. Segurança da Informação 39 • Por mais que a estrutura seja imensa e possua um alto poder de armazenamento, ela é “estática”, se por acaso, a empresa demandar mais espaço e o data center estiver sem capacidade de armazenar, ela terá que recorrer a outro, tornando essa operação bastante cara. Em termos práticos, quem utiliza seus dados na Nuvem, não precisa se preocupar com nenhum desses fatores, inclusive não precisa nem saber em que computador exatamente está armazenando seus dados. Eles poderão estar em qualquer computador. Neste caso, o usuário só se preocupa em gerenciar seus dados logicamente. Modelos de computação em Nuvem Tudo aquilo que você faz depende exclusivamente de suas necessidades! Assimsendo, os modelos de implantação da computação em Nuvem implicam na abertura ou na restrição do serviço. Desta forma, vejamos os modelos mais frequentes. Figura 14 – Modelos de computação em Nuvem Fonte: Pixabay Segurança da Informação 40 Nuvem privada Conhecida também como corporate cloud, a Nuvem privada visa, em sua maioria, a segurança das informações através da dedicação de um servidor único. Normalmente ela se localiza dentro do firewall da corporação que a mantém. Trata-se do serviço de computação em Nuvem particular, geralmente usado por empresas de médio e alto porte, bem como entidades governamentais, ela funciona em um data center específico. Essa Nuvem tem como principais atrativos, a maior agilidade no acesso de dados, bem como maior eficiência quando processados, além disso ela oferece uma proteção maior que qualquer outro tipo de Nuvem, já que cria um servidor único e voltado exclusivamente para a empresa ou entidade que a demanda. É como se um data center oferecesse a possibilidade de espalhar os dados de um cliente ao longo de todos os seus servidores, de forma compartilhada, aumentando a velocidade no fechamento de negócios, troca de informações que podem ser úteis em diversos locais, além do crescimento de eficiência dos funcionários. Para implementar esse tipo de Nuvem, um dos métodos mais intuitivos e práticos é o software As a Service, conhecido como SaaS, nele existe uma “virtualização das máquinas”, onde um grande servidor é criado de maneira virtual imitando uma máquina física. Esse servidor pode ser alocado em diversas máquinas e pode ser elastecido conforme a necessidade da empresa. Nuvem pública Pode ser considerado o sistema de Nuvem mais utilizado, a Nuvem pública é basicamente a Nuvem comum, que usuários do Google, Microsoft, possuem acesso. Por ser um modelo completamente público ele não é um exemplo de segurança, visto que qualquer falha pode disponibilizar e facilitar o acesso a seus dados por pessoas diferentes e usuários não autorizados. Segurança da Informação 41 Normalmente grandes empresas não optam por esse sistema justamente para proteger as suas informações, considerado um capital alto para elas. O servidor utilizado por uma empresa é utilizado por várias outras, o que é uma das desvantagens desse modelo. Trata-se do serviço de computação em Nuvem totalmente “aberto”, para uso 100% livre, mas com pouca segurança. Alguns servidores de Nuvem pública, como o Google Drive, oferecem serviços de infraestrutura. Nuvem híbrida Trata-se do serviço de computação em Nuvem, meio público e meio privado, permitindo ter alguns serviços livres e com segurança. Empresas como a Amazon e a Azure oferecem esse tipo de serviço. Esse tipo de Nuvem é desenvolvido em parceria com um data center, sendo assim algumas desvantagens dele passam para a Nuvem, e no que concerne a parte da segurança, na parte da Nuvem pública, todas as desvantagens dela também são passadas para a Nuvem híbrida. Quais suas vantagens então? Vamos observar a seguir: Apesar de ser metade pública, por guardar os dados em databases, a empresa não precisa disponibilizá-los na Internet, o que traz um nível maior de segurança. A empresa pode expor uma parte dos dados e esconder outras, o que pode ser uma característica boa para negócios. Os administradores ou funcionários de TI possuem um alto controle desse tipo de Nuvem, o que é uma vantagem que a Nuvem pública não disponibiliza com tanta amplidão. Nuvem comunitária Trata-se do serviço de computação na Nuvem compartilhado entre várias instituições e organizações, com os mesmos objetivos, e a mesma política, utilizando os mesmos recursos e as mesmas políticas de segurança. Segurança da Informação 42 Essa Nuvem pode ser abrigada em um local previamente definido pela organização ou pode ser como um servidor completamente virtual, o qual o seu acesso é feito completamente de forma remota. Ela pode ser administrada por uma pessoa de cada organização, por exemplo, ou por uma pessoa definida por elas. Essa Nuvem é muito utilizada por ONGs, por exemplo, que desejam armazenar seus dados com outras ONGs que possuem a mesma finalidade, e por ter um nível tão alto de compartilhamento, seu nível de segurança é básico, mínimo, por isso instituições que prezam por segurança normalmente optam pelas mesmas nuvens que as grandes empresas usam. Vantagens e desvantagens da computação em Nuvem Falando desse jeito, parece que a computação na Nuvem é o grande sucesso, e que não apresenta problemas, mas não é bem assim. Como em tudo, nós temos o lado bom e o lado ruim, e assim temos vantagens e desvantagens com o uso da computação em Nuvem. Entre as principais vantagens ao uso da computação em Nuvem, nós temos a utilização de programas sem que eles estejam instalados no computador. Os programas são atualizados automaticamente, os seus arquivos podem ser acessados de qualquer lugar, a partir de qualquer computador conectado à rede, e assim diminui-se os custos com o uso de softwares gratuitos, além da baixa manutenção dos equipamentos. Entre as principais desvantagens do uso da computação em Nuvem está a sua total dependência da internet. Caso você perca seu acesso à rede, você perde o acesso a todo o seu trabalho. Além disso, trabalhar só com a internet deixa os processos do computador mais lentos, principalmente se você não tiver uma boa conexão. Por fim, boa parte dos serviços de computação em Nuvem são pagos. Segurança da Informação 43 SAIBA MAIS: Você já usou algum serviço de computação na Nuvem? Por exemplo, um serviço de streaming, como o da Netflix e o do Youtube, é um exemplo de uso intenso e típico de cloud computing. Nesses casos, os milhares de vídeos ficam armazenados em dezenas de centenas de servidores espalhados em todo o mundo. Além desses, conheça mais casos de sucesso do uso da computação em Nuvem no mundo, lendo a matéria que trata dos casos de sucesso do uso do cloud computing na gestão empresarial, disponível aqui. Além da praticidade para quem usa a computação na Nuvem, existem também os serviços oferecidos pelo recurso, que acabam sendo um atrativo a parte, tornando ainda mais interessante essa opção. Vejamos: • Servidor na Nuvem: Trata-se do serviço de servidor web que oferece a opção para guardar seus arquivos de dados, e permitir que você possa acessá-los de qualquer lugar, e a qualquer momento, através do seu login e da sua senha. • Hospedagem de Sites na Nuvem: Trata-se do serviço para guardar informações de áudio, vídeo e imagens para que qualquer um possa acessá-los quando precisar. Essa opção é ideal para pequenas empresas que oferecem serviços pelo seu sistema on-line. • Webmails: Trata-se do serviço de correio eletrônico 100% gratuito, que muitos provedores oferecem em seus sites, como o Gmail, Yahoo! Mail, e o Hotmail (Outlook.com), os quais você pode acessar seus e-mails diretamente pelo seu navegador, sem precisar de outro programa para isso. • Balanceamento de Carga na Nuvem (Load Balance): É o serviço o qual temos a distribuição da carga de trabalho feita de modo uniforme entre dois ou mais computadores, remotamente na Nuvem. Com isso, é possível diminuir a quantidade de tarefas agendadas, o tempo de espera para executá-las, e melhorar o desempenho como um todo. Segurança da Informação https://skyone.solutions/hub/cloud-computing-na-gestao-empresarial/ 44 Servidores de armazenamento na Nuvem Hoje, existem muitas empresas que oferecem diversos serviços de armazenamento, muitos deles bem diversificados. Mas, o serviço mais conhecido e utilizado ainda é o armazenamento de informações de dados na Nuvem. Ou seja, guardar os seus arquivos na internet. Entre os principais serviços de servidor na Nuvem conhecidos, nós temos alguns que se destacam, são eles: Dropbox Um serviço simples e intuitivo, com uma interfacepratica que permite qualquer usuário, quer tenha ou não conhecimento em informática, acessar e disponibilizar informações, o Dropbox é um serviço completo, e talvez uns dos principais e mais falados quando o assunto é computação na Nuvem. O Dropbox Inc. foi um dos primeiros serviços de armazenamento na Nuvem, com sua sede na Califórnia, EUA, ele começa com 2 GB de espaço disponível para guardar os dados, e conforme você indique amigos para ele, o espaço pode chegar até 50 GB. O Dropbox é gratuito, mas ele tem a opção paga. Figura 15 – Dropbox Fonte: Freepik Segurança da Informação 45 Para utilizá-lo é necessário ter uma conta com login e senha, e essa conta deve ser feita por meio de um pequeno questionário que solicita informações, como e-mail e nome. Por ser um questionário rápido e prático, é fácil entrar no serviço, e talvez essa seja uma das principais vantagens, a fácil acessibilidade. ACESSE: Apesar de ser um conteúdo antigo, essa publicação da TechTudo possui informações válidas e atuais. Quer conhecer mais sobre o Dropbox? Acesse aqui. OneDrive O OneDrive é o serviço de armazenamento na Nuvem da Microsoft, com até 5 GB disponível para guardar os seus dados, mas com possibilidade de aumentar ainda mais o seu espaço. O OneDrive é gratuito, e trabalha em conjunto com o Windows 10, com o Office 365, e no Windows Phone 10. Para ter acesso a essa plataforma de Nuvem, você precisa possuir uma conta Hotmail, Live, Outlook, ou qualquer outra conta da Microsoft, caso não tenha e queira fazer uso desse tipo de armazenamento, deve criar uma conta comum, esse processo é bastante simples. Ela possibilita um link direto com as pastas de seu computador, permitindo o upload delas direto para a Nuvem, sem, necessariamente, acessar a plataforma do OneDrive. Google Drive Talvez seja o nome que vem à sua cabeça quando falamos de armazenamento na Nuvem, certo? Essa plataforma é uma das mais utilizadas quando tratamos desse assunto. O Google Drive é o serviço para armazenamento na Nuvem da Google Inc., com cerca de 15 GB de espaço disponível para guardar dados gratuitamente, mas pode chegar de 25 GB a até 16 TB, na sua opção paga. O Google Drive trabalha em conjunto com o Gmail e o Google Docs. Segurança da Informação https://www.tecmundo.com.br/tutorial/22466-dropbox-guia-completo-video-.htm 46 Por ser um serviço disponibilizado pela Google, para ter acesso a ele você deverá criar uma conta no Gmail, que é o sistema de e-mails da empresa, após isso, a sua Nuvem estará disponível através dela. Por ser disponibilizada por meio de um e-mail, você consegue transferir dados e compartilhar pastas com outros usuários, e esses usuários terão acesso apenas à pasta que você selecionou, o que é um ponto bastante importante de segurança. A segurança na Nuvem Apesar de uma das vantagens da cloud compuntig ser a segurança, não podemos esquecer completamente das medidas básicas para manter seus dados sempre protegidos na Nuvem. Existem princípios básicos que devem ser observados, são eles: • Controle dos usuários – Por ser um sistema onde diversas pessoas podem acessar, o controle de usuários que terão acesso deve ser observado com rigor. • Recuperação de dados – Apesar de ser um serviço que está crescendo cada vez mais no mundo, é preciso que a empresa que utiliza o sistema conte também com outro sistema para que, caso a empresa servidora venha a falir ou deixar de ofertar, os dados não sejam perdidos e possuam lugar para armazenar. • Saber onde seus dados estão – Por mais que o sistema seja na Nuvem, seus dados ficarão armazenados em algum lugar, e para que você tenha total controle deles, esse local deve ser conhecido pela empresa. • Separação de dados – Para que haja a correta utilização dos dados, é preciso que a empresa os divida de maneira correta, já que ela pode lidar com diversos clientes e esses clientes precisam ter acesso às informações. Deve-se assegurar que um cliente não possua acesso à informação de outro. Segurança da Informação 47 • Servidor legalizado e conforme a lei – Para um sistema completamente seguro, é preciso que se tenha total confiança no servidor que oferece o serviço, uma das maneiras de avaliar se o servidor é íntegro, é observar se ele segue a legislação do país em que armazena os dados, bem como qual é a sua posição com a legislação do país em que a empresa está localizada. Esses princípios devem ser seguidos à risca caso você queira assegurar a segurança de suas informações armazenadas na Nuvem, pois, apesar de ser um serviço seguro, ele possui diversos tipos de ameaças, como: • A conta que é a forma de acesso à Nuvem pode ser roubada ou sequestrada por crackers. • Os dados podem ser vazados por usuários que consigam ter acesso à conta. • A falta de conhecimento de obrigações contratuais pode colocar suas informações em risco. Medidas de proteção Agora que já vimos os princípios e as principais ameaças, quais seriam as medidas que devem ser tomadas para proteger os dados, vamos observar adiante: Criptografar os dados Já vimos, em uma de nossas aulas, a importância da criptografia para manter os dados a salvo na Internet, no caso do cloud computing a criptografia não perde o valor. Pode ser considerado fundamental para a segurança, e faz com que os dados sejam vistos apenas por pessoas que realmente devem ter acesso a eles. Segurança da Informação 48 Backup dos dados Por mais que a Nuvem seja utilizada para armazenar dados de backup, é preciso ter, ainda, um segundo backup para prevenir, e caso a Nuvem seja o principal meio de armazenamento, esse backup deve ser realizado em dispositivos físicos, como HDs, pen-drives e outros. Separação correta Um dos princípios para manter os dados seguros é a da separação, e essa separação deve realmente ocorrer conforme a demanda, caso a empresa dona da Nuvem tenha, por exemplo, 10 clientes que tenham acesso a ela, devem existir 10 pastas com acesso restrito, onde cada cliente terá acesso a sua pasta. RESUMINDO: E então? Gostou do que lhe mostramos? Aprendeu mesmo tudinho? Agora, só para termos certeza de que você realmente entendeu o tema de estudo deste capítulo, vamos resumir tudo o que vimos. Você deve ter aprendido que a computação em Nuvem possibilita que os arquivos estejam disponíveis em qualquer lugar a qualquer hora, necessitando apenas de Internet, e que veio para suprir as desvantagens dos datas centers. Conhecemos os modelos de computação em Nuvem, que podem ser privadas, públicas, híbridas ou comunitárias, como também suas vantagens e desvantagens. Compreendemos os serviços oferecidos na Nuvem e seus principais servidores de armazenamento, como também a segurança e as medidas de proteção ao utilizar a Nuvem. Segurança da Informação 49 REFERÊNCIAS BRASIL. Certificação digital. Instituto Nacional da Tecnologia de Informação, 2020. Disponível em: https://bit.ly/3KHfwMO. Acesso em: 29 nov. 2021. FREIRE, I. M.; ARAUJO, V. M. R. H. de. A responsabilidade social da Ciência da informação. Transinformação, Campinas, v. 11, n. 1, p. 7-15, jan./abr. 1999. MARCHIORI, P. A Ciência da Informação: compatibilidade no espaço profissional. Caderno de Pesquisas em Administração, São Paulo, v. 9, n. 1, p. 91-101, jan./mar. 2002. MCGEE, J. V.; PRUSAK, L. Gerenciamento Estratégico da Informação. Rio de Janeiro: Campus. 1994. Segurança da Informação _Hlk89273043 _Hlk89266139 _Hlk89265558 _Hlk89265598 _Hlk89265582 Segurança na intranet e conceitos de lan e vpn Intranet Infraestrutura básica de uma Intranet Intranet do Windows Extranet Intranet x Internet x Extranet LAN WAN VPN Intranet e Extranet VPN Como o VPN funciona Identificando de camada de rede e criptografia Camada de rede Modelo OSI HostID Criptografia Certificados digitais e assinaturas Certificados digitais Como obter o certificadoAssinaturas digitais Assinando o documento Compartilhando documentos assinados A computação na nuvem O que é computação em Nuvem ou cloud computing? Modelos de computação em Nuvem Nuvem privada Nuvem pública Nuvem híbrida Nuvem comunitária Vantagens e desvantagens da computação em Nuvem Servidores de armazenamento na Nuvem Dropbox OneDrive Google Drive A segurança na Nuvem Medidas de proteção Criptografar os dados Backup dos dados Separação correta