CSA Segurança em Nuvem
81 pág.

CSA Segurança em Nuvem


DisciplinaSegurança1.125 materiais2.068 seguidores
Pré-visualização23 páginas
uma maior responsabilidade do que em um cenário de implantação 
de SaaS. Do ponto de vista do controle de segurança, isto significa que clientes IaaS 
terão que implantar muitos dos controles para a conformidade regulatório. Em um 
cenário SaaS, o provedor de serviços de Computação em Nuvem deve fornecer os 
controles necessários. De uma perspectiva contratual é importante entender os 
requisitos específicos e garantir que o contrato de serviços, bem como os acordos de 
nível de serviço, sejam tratados adequadamente. 
 
\uf0d6 Analisar o Impacto das Regulamentações na Infraestrutura do Provedor. Na área de 
infraestrutura, mover-se para serviços de Computação em Nuvem também requer 
uma análise cuidadosa. Alguns requisitos regulatórios especificam controles que são 
difíceis ou impossíveis de se atingir em certos tipos de serviços de nuvem. 
 
\uf0d6 Analisar o Impacto de Regulamentações em Políticas e Procedimentos. Mover dados 
e aplicações para serviços de Computação em Nuvem provavelmente causará um 
impacto em políticas e procedimentos. Os clientes devem avaliar quais políticas e 
procedimentos relacionados com regulamentações terão de ser alterados. Exemplos 
de políticas e procedimentos impactados incluem relatórios de atividades, logs, 
retenção de dados, resposta a incidentes, controles de testes e políticas de 
privacidade. 
 
\uf0d6 Preparar Evidências de como cada Exigência Está Sendo Cumprida. Coletar 
evidências de conformidade através da multiplicidade de regulamentos e de requisitos 
é um desafio. Clientes dos serviços de Computação em Nuvem devem desenvolver 
processos para coletar e armazenar evidências de conformidade, incluindo logs de 
auditoria e relatórios de atividades, cópias das configurações dos sistemas, relatórios 
de gestão de mudanças e resultados de outros procedimentos de teste. Dependendo do 
modelo de serviço o provedor pode precisar fornecer muitas dessas informações. 
 
\uf0d6 Seleção e Qualificação de Auditores. Em muitos casos a organização não tem 
nenhuma influência na seleção de auditores ou avaliadores de segurança. Se uma 
organização participa da seleção, é altamente recomendável escolher um auditor que 
conheça Computação em Nuvem, uma vez que muitos podem não estar 
familiarizados com os desafios da virtualização e da Computação em Nuvem. 
 
Copyright © 2009 Cloud Security Alliance 43 
Questionar sua familiaridade com as nomenclaturas IaaS, PaaS e SaaS é um bom 
ponto de partida. 
 
\uf0d6 Provedores de Computação em Nuvem da Categoria SAS 70 Tipo II. Os provedores 
devem ter, no mínimo, esta homologação, pois ela proporcionará um ponto de 
referência reconhecido para auditores e avaliadores. Uma vez que auditorias SAS 70 
Tipo II garantem apenas que os controles estão implementados como foram 
documentados, é igualmente importante entender o escopo da auditoria SAS 70 e se 
esses controles estão adequados aos seus requisitos. 
 
\uf0d6 Roteiro de Certificação ISO/IEC 27001/27002 dos Provedores de Computação em 
Nuvem. Provedores que buscam o fornecimento de serviços de missão crítica devem 
adotar os padrões da ISO/IEC 27001 para sistemas de gerenciamento de segurança da 
informação. Se o provedor não tiver alcançado a certificação ISO/IEC 27001, ele 
deve demonstrar alinhamento com as práticas da ISO 27002. 
 
\uf0d6 Escopo da ISO/IEC 27001/27002. A Cloud Security Alliance está emitindo uma 
chamada na industria para alinhar provedores de Computação em Nuvem com a 
certificação ISO/IEC 27001, para garantir que o escopo não omita critérios críticos da 
certificação. 
 
 
Colaboradores da Versão Original: Nadeem Bukhari, Anton Chuvakin, Peter Gregory, Jim 
Hietala, Greg Kane, Patrick Sullivan 
 
Colaboradores da Versão Brasileira: Alexandre Pupo, Ricardo Makino 
 
 
Copyright © 2009 Cloud Security Alliance 44 
 Domínio 5: Gerenciamento do Ciclo de Vida das Informações 
 
Um dos principais objetivos da segurança da informação é proteger os dados fundamentais que 
suportam nossos sistemas e aplicações. Durante a transição para Computação em Nuvem, nossos 
métodos tradicionais de proteção à informação são desafiados por arquiteturas baseadas na 
nuvem. Elasticidade, multilocação, novas arquiteturas físicas e lógicas e controles abstratos 
exigem novas estratégias de segurança de dados. Com muitas implementações de Computação 
em Nuvem, nós estamos transferindo dados para ambientes externos \u2013 ou mesmo públicos - o que 
seria impensado há poucos anos atrás. 
 
 Gerenciamento do Ciclo de Vida das Informações 
 
O Ciclo de Vida da Segurança de Dados é diferente do Gerenciamento do Ciclo de Vida das 
Informações, refletindo as diferentes necessidades do público de segurança. O Ciclo de Vida da 
Segurança de Dados consiste de seis fases: 
 
 
Figura 8 \u2013 Ciclo de vida da segurança de dados 
 
 
Os desafios-chave relativos ao ciclo de vida da segurança de dados na nuvem incluem os 
seguintes: 
Segurança de dados. Confidencialidade, Integridade, Disponibilidade, Autenticidade, 
Autorização, Autenticação e Irretratabilidade (não-repúdio). 
Localização dos dados. Deve-se ter certeza que os dados, incluindo todas as suas cópias e 
backups, estejam armazenados somente em localizações geográficas permitidas por contrato, SLA 
e/ou regulação. Por exemplo, uso de armazenamento tal como exigido pela União Europeia para 
 
Copyright © 2009 Cloud Security Alliance 45 
armazenamento eletrônico de registros de saúde pode ser um desafio adicional para o proprietário 
dos dados e provedores de serviço de nuvem. 
Remanescência ou persistência de dados. Dados devem ser efetivamente e completamente 
removidos para serem considerados \u201cdestruídos\u201d. Portanto, técnicas para localizar completamente 
e efetivamente dados que estejam na nuvem, apagar/destruir dados e assegurar que tenham sido 
completamente removidos ou tornados irrecuperáveis devem estar disponíveis e ser usadas 
quando exigido. 
Mescla de dados com outros clientes da nuvem. Dados \u2013 especialmente dados classificados 
/sensíveis \u2013 não devem ser mesclados com dados de outros clientes sem controles de 
compensação enquanto em uso, armazenados ou em trânsito. A mistura ou mescla de dados será 
um desafio quando as preocupações quanto à segurança de dados e à geolocalização aumentam. 
Esquemas de backup e recuperação de dados para recuperação e restauração. Os dados 
devem estar disponíveis e esquemas de backup e recuperação para Computação em Nuvem 
devem estar ativos e efetivos, objetivando prevenir perda de dados, sobrescrita e destruição não 
intencional de dados. Não assuma que dados baseados em Computação em Nuvem estejam a 
salvo e sejam recuperáveis. 
Descoberta de dados. Como o sistema legal continua focando a descoberta eletrônica de dados, 
provedores de serviço de Computação em Nuvem e proprietários de dados necessitarão focar em 
descoberta de dados, assegurando às autoridades legais e regulatórias que todos os dados 
requisitados tenham sido obtidos. Em um ambiente de Computação em Nuvem esta questão é 
extremamente difícil de ser respondida e exigirá controles administrativos, técnicos e legais 
quando requerido. 
Agregação e inferência de dados. Com dados na nuvem, existem preocupações adicionais de 
inferência e agregação de dados que poderão resultar em violação de confidencialidade de 
informações sensíveis e confidenciais. Portanto, devem ser definidas práticas que garantam ao 
proprietário dos dados e às partes interessadas (stakeholders) que os dados ainda estejam 
protegidos de uma súbita \u201cviolação\u201d quando estiverem sendo mesclados e/ou agregados para 
suportar outros sistemas que não o seu principal, revelando assim informação protegida (p. ex., 
dados médicos contendo nomes e informações médicas misturados com dados anônimos mas, 
contendo o mesmo \u201ccampo de correlação\u201d). 
 Recomendações 
 
\uf0d6 Entenda como a integridade