artigo - cloud computing (segurança) - 18 12 2010
TRANSCRIPT
CLOUD COMPUTING
Mário Crispim ¹
Paulo André ²
Willamis Moraes ³
Resumo - A tecnologia em sistemas de informação esta em constante transformação em decorrência de novas soluções que envolvem hardware e software. Mas uma nova visão que vem impactando nesse avanço diz respeito ao uso de sistemas remotos em grande escala, chamado de Cloud Computing. Este artigo descreve as principais características desse novo paradigma, Segurança e integridade dos dados.Palavras chave - Segurança, Cloud computing, SAAS, SOA.
Abstract - The technology in information systems is constantly changing due to new solutions that involve hardware and software. But a new vision that has been impacting this progress relates to the use of remote systems on a large scale, called Cloud Computing. This article describes the main characteristics of this new paradigm, security and data integrity.Keywords – Security, Cloud computing, SAAS, SOA.
1 INTRODUÇÃO
A tecnologia em sistemas de informação esta em constante transformação em
decorrência da necessidade de novas soluções. Atualmente se fala muito em “Cloud
Computing” ou “Computação em Nuvem”, esse novo paradigma vem se destacando
mundialmente fazendo o uso de ferramentas ou discos de armazenamento
interconectados através da internet, sendo possível acessar seus recursos de
qualquer lugar do mundo que tenha acesso a “World Wide Web”, como se você
estivesse levando seu computador sempre com você. A maioria das empresas
fornecem planos para garantir a segurança e integridade dos seus dados. Não é
mais necessário se preocupar com hardware, sistema operacional ou aplicativos
instalados, boa parte de suas preocupações estão solucionadas. Até mesmo backup
dos seus dados passa a ser uma preocupação a menos. A construção do trabalho
ocorreu através do levantamento bibliográfico e documental a respeito do “Cloud
Computing”. Foi escolhido para avaliação a segurança e integridade dos dados. No
entanto, existem algumas dúvidas sobre esse novo paradigma. O que acontecerá
com os dados confidenciais das empresas ou usuários finais, uma vez que o
processamento e o armazenamento de dados dependerão de empresas que
fornecerão esses serviços e o tipo de segurança será realizado para garantir a
integridade desses dados. A computação em nuvem fornece a grande vantagem da
alta disponibilidade de serviços. Não ficando restrito a um determinado espaço
físico, onde somente neste local o usuário poderá ter acesso aos dados. Estas e
outras vantagens vêm despertando o interesse de muitas instituições e pessoas em
escala mundial, o que torna a computação em nuvem um importante tema.
2 METODOLOGIA
A elaboração do trabalho teve como base a pesquisa em diversas fontes
especializadas, disponíveis na web no formato de artigos científicos, vídeos e
apresentações em PowerPoint. Sendo possível comparar diferentes pontos de vista
sobre a tecnologia, seus principais problemas e soluções.
A pesquisa bibliográfica utiliza-se de materiais já elaborados,
como livros e artigos científicos, tendo como principal vantagem a
possibilidade da ampla cobertura de fenômenos. A pesquisa
documental é semelhante à pesquisa bibliográfica, embora a primeira
empregue materiais que ainda não foram analisados e que podem ser
reelaborados de acordo com os objetivos da pesquisa. Enquanto que,
a segunda vale-se de materiais de diversos autores sobre determinado
assunto. (GIL, 2007, pag. 56).
3 FUNDAMENTAÇÃO TEÓRICA
3.1 A História e o Cloud
Apesar de ser um assunto novo, alguns dos conceitos por trás da computação
em nuvem foram idealizados ainda no inicio das redes de computadores e somente
com a evolução das tecnologias foi possível concretizá-las [3]. Algumas destas
inovações podem ser listadas brevemente em ordem cronológica, ajudando a
compreender melhor o funcionamento da computação em nuvem, sendo estas [4]:
Inicio da Internet (década de 60): A interligação entre computadores militares
possibilitou a criação de uma versão primitiva da internet conhecida como
ARPANET.
Computação cliente servidor (década de 70): O processamento da informação
era centralizado no mainframe e repassado aos dispositivos de saída (tela,
impressora e etc.).
Micro-computador (década de 80): Com a popularização dos micro-computadores
as redes foram ampliadas.
Computação em grade (década de 90): A computação em grade permitiu
processar partes de uma tarefa de forma distribuída entre vários computadores.
A infraestrutura por trás da computação em nuvem compreende de forma
geral, servidores fisicamente separados, porém, interconectados com capacidade de
compartilhamento de recursos, onde seus serviços são disponibilizados através da
internet, conforme ilustrado na figura 2.1 abaixo.
Figura 3.1 – Interconexão em Cloud
O conceito de Cloud Computing surgiu por volta de 1965, quando um grupo
de pesquisadores da IBM, eles necessitavam de um meio para realizar avaliações e
testes. Foi então desenvolvida, uma forma de dividir as máquinas em partes
menores. Estas, por sua vez, tinham a capacidade de fazer o gerenciamento dos
seus próprios recursos. Desta forma, os pesquisadores podiam efetuar, de forma
simultânea, os seus testes nas mais diversas condições de uso. Isso tudo, sem
alterar as outras partes que se encontravam no sistema. A tecnologia como
conhecemos hoje, vem sendo preparada desde os anos 90, mas ganhou a grande
massa pelas mãos da VMware, empresa responsável pelo apresentação em massa
desta tecnologia, que aliás, foi fundada recentemente, em 1998. [15] Atualmente
muitas empresas e pessoas têm optado por utilizar recursos computacionais
disponíveis através da internet ao invés de investir em um ambiente local e
apropriado para suas necessidades [1]. A tecnologia que suporta tal mudança é
conhecida como computação em nuvem. Cloud Computing é um termo que define
na prática o acesso via Internet para um conjunto de recursos computacionais
compartilhados e configuráveis que podem ser rapidamente configurados com o
mínimo de preparo, suporte ou interação com um provedor de serviços. O termo
Cloud Computing foi criado pelo CEO do Google, Eric Schmidte (2010) em uma das
várias palestras do Google.
3.2 Tipos de Cloud
Cloud Computing promove disponibilidade, é composto por cinco
características essenciais, quatro modelos de implementação e uma série de
modelos de serviço. As cinco características principais de Cloud Computing São:
Disponibilidade imediata de recursos. Esta ao mesmo tempo em todo lugar,
Independência de localização, Homogeneidade, Rápido redimensionamento. Os
quatro modelos de implementação mais utilizados no mercado são: Private Cloud
(Nuvem Privada) neste caso a empresa possui propriedade sobre a nuvem,
Community Cloud (Nuvem Compartilhada) onde a nuvem é compartilhada para
um grupo especifico de empresas, Public Cloud (Nuvem Pública) aonde é vendida
ao público em geral, Hybrid Cloud (Nuvem Hibrida) é composta por um ou mais
modelos de nuvem. A seguir a figura 2.2 estes tipos de nuvens e suas relações.
Figura 3.2 - Tipos de Nuvens
3.3 Principais serviços
Dentre os serviços baseados em Cloud Computing existem diversos como:
Storage-as-a-service, Backup-as-a-service, Process-as-a-service, Security-as-
a-service, entre outros. Mas, os modelos de serviços mais fornecidos no mercado
mundial são: Software as a Service (SaaS) aonde a aplicação e vendida na nuvem,
Plataform as a Service (PaaS) aonde a aplicação e implementada na nuvem e
Infrastructure as a Service (IaaS) que são as venda de processamento, rede,
memória, maquinas virtuais e recursos computacionais na nuvem. O conceito de
Software as a Service esta diretamente ligado à Cloud Computing. Em sua
essência, trata-se de uma forma de trabalho onde o software é oferecido como
serviço, assim, o usuário não precisa adquirir licenças de uso para instalação ou
mesmo comprar computadores ou servidores para executá-los. Nessa modalidade,
no máximo paga-se um valor periódico, como se fosse uma assinatura, somente
pelos recursos utilizados e/ou pelo tempo de uso. Para entender melhor o Software
as a Service (SaaS), temos como exemplo uma empresa que tem vinte funcionários
e necessita de um software para gerar folhas de pagamento. A empresa terá que
comprar licenças de uso de um determinado software e, dependendo do caso, até
mesmo hardware para executá-lo. E geralmente, o preço da licença ou mesmo dos
equipamentos pode gerar um custo alto e não compatível com a condição de porte
pequeno da empresa. Se por outro lado a empresa encontrar um fornecedor de
software para folhas de pagamento que trabalha com o modelo Software as a
Service (SaaS), a situação pode ficar mais fácil e essa companhia poderá, por
exemplo, oferecer esse serviço através de Cloud Computing e cobrar apenas pelo
número de usuário e/ou pelo tempo de uso. Dessa forma, a empresa interessada
paga um valor baixo pelo uso da aplicação. Além disso, hardware, instalação,
atualização, manutenção, entre outros, ficam por conta do fornecedor. Também é
importante levar em conta que o intervalo entre a contratação do serviço e o início
de sua utilização é extremamente baixo, o que não aconteceria se o software tivesse
que ser instalado nos computadores do cliente. Este só precisa se preocupar com o
acesso ao serviço ou, se necessário, com a simples instalação de algum recurso
mínimo, como um plugin no navegador de internet das maquinas. O que faz muitas
empresas e usuário ainda temerem a utilização da Cloud Computing são os
problemas de seguranças ainda apresentados. Problemas como dados sensíveis
sendo processado fora da empresa trazem obrigatoriamente, um nível inerente de
risco. Os serviços terceirizados fogem de controles físicos, lógicos e de pessoal que
as áreas de TI criam em casa. As empresas é quem são as responsáveis pela
segurança e integridade de seus próprios dados, mesmo quando essas informações
são gerenciadas por um provedor de serviços e quando uma empresa está usando o
Cloud, ela provavelmente não sabe exatamente onde os dados estão armazenados.
Na verdade, a empresa pode nem saber qual é o país em que as informações estão
guardadas. Dados de uma empresa na nuvem dividem tipicamente um ambiente
com dados de outros clientes. A criptografia é efetiva, mas não é a cura para tudo.
Acidentes com criptografia pode fazer o dado inutilizável e mesmo a criptografia
normal pode comprometer a disponibilidade. Além disso, mesmo a empresa não
sabendo onde estão os dados o fornecedor deve garantir, que mesmo em caso de
falência ou de um desastre os dados estarão disponíveis e íntegros. De acordo com
Gartner (2010), Cloud Computing tem “atributos únicos que demandam análise de
risco em áreas como integridade de dados, recuperação e privacidade, e a avaliação
de questões legais em áreas como e-discovery, compilance e auditoria”. O instituto
aconselha aos clientes que exijam transparência, evitando fornecedores que se
recusem a dar informações detalhadas sobre programas de segurança. É preciso,
também, perguntar sobre as qualificações dos arquitetos e codificadores que criaram
as políticas; sobre os processos para controle de risco e o nível de testes que foram
feitos para verificar que os processos estão funcionando da maneira pela qual foram
projetados. A seguir, alguns problemas de segurança para os quais o Gartner alerta
em relatório.
3.4 Dicas de segurança
Acesso privilegiado de usuários: Dados sensíveis sendo processados fora
da empresa trazem, obrigatoriamente, um nível inerente de risco. Os serviços
terceirizados fogem de controles “físicos, lógicos e de pessoal” que as áreas de TI
criam em casa. Consiga o máximo de informação que você precisa sobre quem vai
gerenciar seus dados. “Peça aos fornecedores que dêem informações específicas
sobre quem terá privilégio de administrador no acesso aos dados para, daí, controlar
esses acessos.” (GARTNER, 2010, pag.68).
Compilance com regulamentação: As empresas são as responsáveis pela
segurança e integridade de seus próprios dados, mesmo quando essas informações
são gerenciadas por um provedor de serviços. “Provedores de serviços tradicionais
estão sujeitos a auditores externos e a certificações de segurança. Já os
fornecedores de Cloud computing que se recusem a suportar a esse tipo de
escrutínio estão sinalizando aos clientes que o único uso para Cloud é para
questões triviais.” (GARTNER, 2010, pag.68).
Localização dos dados: Quando uma empresa está usando o Cloud, ela
provavelmente não sabe exatamente onde os dados estão armazenados. Na
verdade, a empresa pode nem saber qual é o país em que as informações estão
guardadas. Pergunte aos fornecedores se eles estão dispostos a se comprometer a
armazenar e a processar dados em jurisdições específicas. E, mais, se eles vão
assumir esse compromisso em contrato de obedecer aos requerimentos de
privacidade que o país de origem da empresa pede.
Segregação dos dados: Dados de uma empresa na nuvem dividem tipicamente um
ambiente com dados de outros clientes. A criptografia é efetiva, mas não é a cura
para tudo. “Descubra o que é feito para separar os dados,” aconselha o Gartner. O
fornecedor de Cloud pode fornecer a prova que a criptografia foi criada e desenhada
por especialistas com experiência. “Acidentes com criptografia pode fazer o dado
inutilizável e mesmo a criptografia normal pode comprometer a disponibilidade.”
(GARTNER, 2010, pag.68).
Recuperação dos dados: Mesmo se a empresa não sabe onde os dados estão um
fornecedor em Cloud deve saber o que acontece com essas informações em caso
de desastre. “Qualquer oferta que não replica os dados e a infra-estrutura de
aplicações em diversas localidades está vulnerável a falha completa,” (GARTNER,
2010, pag.68). Pergunte ao seu fornecedor se ele tem a “habilidade de fazer uma
restauração completa e quanto tempo vai demorar.” (GARTNER, 2010, pag.68).
Apoio à investigação: A investigação de atividades ilegais pode se tornar
impossível em Cloud computing, alerta o Gartner.
Serviços em Cloud são especialmente difíceis de investigar, por que o acesso e os dados dos vários usuários podem estar localizado em vários lugares, espalhados em uma série de servidores que mudam o tempo todo. Se não for possível conseguir um compromisso contratual para dar apoio as formas específicas de investigação, junto com a evidência de que esse fornecedor já tenha feito isso com sucesso no passado. (GARTNER, 2010, pag.69).
Viabilidade em longo prazo: No mundo ideal, o seu fornecedor de Cloud
computing jamais vai falir ou ser adquirido por uma empresa maior. Mas a empresa
precisa garantir que os seus dados estarão disponíveis caso isso aconteça.
“Pergunte como você vai conseguir seus dados de volta e se eles vão estar em um
formato que você pode importá-lo em uma aplicação substituta.” (GARTNER, 2010,
pag.69).
3.5 Desvantagens
Apesar de todas as vantagens observadas na computação em nuvem, muitos
obstáculos ainda precisam ser superados para que a tecnologia ganhe mais espaço
nas empresas. De acordo com a pesquisa feita pela Unisys com 90 respostas [14]:
72% relatam preocupação com segurança; 34% identificaram problemas de
integração; 14% mencionaram o TCO, que é o custo total da tomada de uma
decisão em TI; e 8% escolheram outros tipos de preocupações, como pode ser visto
na figura 3.3 abaixo.
Figura 3.3 – Pesquisa Unisys
As questões ligadas à segurança representam um problema para a maior parte dos
potenciais clientes desta tecnologia. Tendo em vista esta questão, existe uma série
de soluções que podem ser utilizadas na computação em nuvem visando um nível
de segurança mais elevado.
3.6 Propostas tecnológicas
Segundo Joan Goodchild [8], em qualquer sistema de informação, o elo mais
fraco é sempre o fator humano. Levando em consideração esta constatação, foi
relacionada abaixo uma lista de soluções em segurança, tendo como foco principal a
autenticação do usuário de Cloud computing. As soluções propostas são: Utilização
de senha forte; Token; cartão de segurança e biometria. Uma senha forte deveria ter
algumas características, como: Ter no mínimo 6 caracteres; conter caracteres não-
alfabéticos, tais como 0-9, e caracteres não alfanuméricos, como #,% ou &; conter
letras maiúsculas e minúsculas e não ser uma palavra de dicionário. Certificando-se
que a senha não é o próprio nome ou de familiares e que o nome não está seguido
de números consecutivos [12]. Utilizar senhas fortes dificulta o acesso de pessoas
não autorizadas por evitar que sejam facilmente "quebradas". Token é um
dispositivo eletrônico gerador de senhas, geralmente sem conexão física com o
computador, podendo também, em algumas versões, ser conectado à uma porta
USB. O modelo OTP, pode ser baseado em tempo, gerando senhas dinâmicas a
cada fração de tempo previamente determinada, ou ainda baseado em evento, que
gera senhas a cada clicar do botão, sendo essa senha válida até o momento da sua
utilização, não dependendo de tempo [9]. Utilizar este dispositivo fornece uma
camada extra de segurança, já que as senhas mudam constantemente. O cartão de
segurança é uma ferramenta que oferece proteção adicional na utilização de
serviços online. Ao realizar alguma operação, um dos códigos do cartão será
solicitado aleatoriamente, funcionando como dispositivo adicional de segurança [10].
É comum em transações bancárias, mas pode ser utilizado em qualquer setor
empresarial. A biometria se baseia na idéia de que alguns traços físicos são
exclusivos de cada ser e os transforma em padrões. A técnica foca as chamadas
"mensurações unívocas" do ser humano. Os aparelhos biométricos funcionam por
meio da captura de dados do ser humano, tais como: íris, retina, dedo, rosto, veias
da mão, voz e até odores do corpo. Essa amostra é transformada em um padrão,
que poderá ser comparado para futuras identificações [11]. Desta forma, a biometria
fornece um meio altamente eficaz na identificação de um usuário.
4 RESULTADOS
A partir das propostas apresentadas, verificou-se que a utilização das
mesmas promove um aumento de segurança na autenticação de usuários.
Entretanto, a utilização de uma camada extra de autenticação não garante um
acesso 100% seguro. Uma possibilidade de melhorar o processo de autenticação
seria a implementação de "autenticação forte", ou seja, utilizar a combinação de dois
métodos de autenticação. Por exemplo: Cartão de segurança/Senha forte ou
Token/Biometria. As combinações poderiam variar de acordo com a necessidade do
cliente.
5 CONSIDERAÇÕES FINAIS
O presente trabalho abordou a computação nuvem de forma simples e
objetiva, apresentando um pouco de sua historia e principais evoluções tecnológicas
que possibilitaram sua concretização. A partir da introdução ao tema, foi possível
discutir sobre os principais serviços disponíveis através da computação em nuvem,
sendo estes: SaaS; PaaS; IaaS e PRaaS. Estes serviços evidenciam o potencial de
utilização da computação em nuvem e sua crescente popularização, por outro lado,
as questões relacionadas à segurança figuram entre os principais obstáculos à sua
utilização. Tendo em vista a segurança como um dos principais fatores negativos, o
trabalho propôs a utilização em conjunto de diferentes soluções relacionadas a
autenticação do usuário, como por exemplo: Cartão de segurança/Senha forte ou
Token/Biometria, garantindo assim a construção de uma "autenticação forte" e assim
minimizar a questão da segurança como um obstáculo.
6 REFERÊNCIAS
[1] BRIAN, H., Cloud Computing, Disponível em: <http://bit-player.org/bph-publications/CACM- 2008-07-Hayes-cloud.pdf>, 2008, Acesso em: 25/11/2010.
[2] BARROS, Fabio. Cloud Computing: Prepare-se para a nova onda em tecnologia. Computerworld, Ano XVI, n.511, Abril de 2008.
[3] MOHAMED, A., A history of cloud computing, Disponível em: <http://www.computerweekly.com/Articles/2009/06/10/235429/A-history-of-cloud-computing.htm>, 2009, Acesso em: 25/11/2010.
[4] MOREIRA, A., Evolução das redes de computadores, Disponível em: <http://www.fmr.edu.br/material/GSI/3_semestre/redes/rede_aula1.doc>, 2008, Acesso em: 27/11/2010.
[5] SIMON, Mike. Grupos estudam padrões de Segurança em Cloud Computing, Maio 2009. Disponível em: <http://cio.uol.com.br/tecnologia/2009/05/29/grupos-estudam-padroes-de-seguranca-em-cloud-computing/#rec:mcl>. Acesso em: 10/11/2010.
[6] JOBSTRAIBIZER, Flávia. Cloud Computing, Agosto 2010. Disponível em:<http://www.linuxnewmedia.com.br/issue/lm_69_cloud_computing>. Acesso em: 20/10/2010.
[7] CTAURION, Segurança em Cloud Computing, Março 2010. Disponível em:<http://computingonclouds.wordpress.com/2010/03/04/seguranca-em-cloud-computing-3/>. Acesso em: 05/11/2010.
[8] GOODCHILD, J., Políticas de segurança: o elo mais fraco está nas pessoas, Disponível em: <http://cio.uol.com.br/tecnologia/2010/05/25/politicas-de-seguranca-o-elo-mais-fraco-esta-nas-pessoas/>, 2010, Acesso em: 02/12/2010.
[9] FONSECA, W., O que é Token, Disponível em: <http://www.baixaki.com.br/info/3077-o-que-e- token-.htm>, 2009, Acesso em: 02/12/2010.
[10] BANCO ITAU, Dicas de Segurança, Disponível em: <http://www.itau.com.br/seguranca/itauseg_tecnologia_seguranca.htm>, 2008, Acesso em: 03/12/2010.
[11] ALECRIM, E., Introdução a Biometria, Disponível em: <http://www.infowester.com/biometria.php>, 2005, Acesso em: 03/12/2010.
[12] COMPUTE-RS.COM, Como criar uma senha forte You Can Remember, Disponível em: <http://www.compute-rs.com/pt/conselho-2175148.htm>, 2010, Acesso em: 30/11/2010.
[13] CSA, Cloud Security Alliance. Security Guidance for Critical Areas of Focus in Cloud Computing, Versão.2.1, Dezembro 2009. Disponível em: <http://www.cloudsecurityalliance.org/guidance/csaguide.v2.1.pdf>. Acesso em: 21/10/2010.
[14] VILELA, A., 9 Mitos Cloud Computing, Disponível em: <http://vshow.on24.com/vshow/cloudcomputing#resourceCenter>, 2010, Acesso em: 30/11/2010.
[15] INTELLINOC, Virtualização de servidores, SaaS e Cloud Computing, Disponível em: <http://www.artigonal.com/internet-artigos/virtualizacao-de-servidores-saas-e-cloud-computing-2372204.html>, 2010, Acesso em: 01/12/2010.
[16] HAYES, Brian. Cloud Computing. Communications of The ACM, Vol.51, n.7, Julho de 2009.
¹ Graduando em Análise e Desenvolvimento de Sistemas (UNIBRATEC - Recife)
E-mail: [email protected]
² Graduando em Análise e Desenvolvimento de Sistemas (UNIBRATEC - Recife)
E-mail: [email protected]
³ Graduando em Análise e Desenvolvimento de Sistemas (UNIBRATEC - Recife)
E-mail: [email protected]