Implementações na nuvem implicam em segurança e riscos regulatórios

Publicado em 08/06/2012 às 17:08 | 16264 leituras

Todas as implementações em nuvem trazem riscos de segurança, incluindo uma que muitas empresas não consideram na fase de planejamento. 


Versão para impressão Enviar por email


Para a maioria das empresas, a migração de processos de negócio para a nuvem oferece vários benefícios. Por exemplo, pode ajudar a reduzir a sobrecarga de trabalho e aumentar a capacidade do trabalhador médio para realizar suas tarefas diárias. Isso posto, mover serviços e dados críticos para a nuvem trazem consigo alguns riscos, incluindo uma que muitas organizações não levam em conta. 

Quando as empresas e organizações de todos os tipos olham para a computação em nuvem, o que estão realmente pensando é "como partilhar recursos em uma única bolha amorfa que possa ser compartilhada por todas as organizações, departamentos ou clientes", diz Johnnie Konstantas, executivo da Juniper. Essa conjugação de recursos permite que as organizações façam mais com menos. No entanto, CIOs e profissionais de TI devem compreender os riscos envolvidos em iniciativas baseadas em nuvem antes de assinar um contrato de serviços, o que começa com pesquisa - muita pesquisa.


Nuvem pública


As organizações devem, em primeiro lugar, obter uma base de suas redes, identificando todas as cargas de trabalho existentes e mapeando-as na nuvem. Isso inclui também as camadas de segurança pré-existentes. Uma vez que a base é estabelecida, a organização precisa decidir se deverá optar por uma nuvem pública, privada, ou híbrida que melhor se encaixe em seus objetivos gerais. A opção escolhida deverá permitir a expansão da empresa conforme suas necessidades - ou até uma retração, se for o caso - com segurança e eficiência sempre asseguradas.

Ofertas de nuvem públicas, tais como as da Amazon, permitem às organizações pagarem conforme o uso. Para operações menores, o custo-benefício é quase instantâneo, dependendo dos termos do provedor do serviço. O principal risco associado à opção de nuvem pública é a segmentação do trabalho. Uma empresa que opta por um modelo de nuvem pública está colocando seus dados nas mãos de um terceiro. Por conta disso, a organização precisa de garantias de que sua carga de dados estará separada da de outros clientes.


Nuvem privada


Soluções de nuvem privada, onde computação e armazenamento são implementados dentro da própria organização, não elimina preocupações geralmente associadas com nuvens públicas. "Quando se trata de nuvem privada, temos preocupações semelhantes", explica Konstantas. "Mas tendem a ser, em sua maior parte, de natureza regulamentar. Você quer ter certeza de que os dados de seus clientes, dados de recursos humanos, [ou] de propriedade intelectual, enfim, ter a certeza de ter criado as barreiras adequadas entre essas cargas de dados na nuvem, de modo que não haja perigo em violar algum tipo de regulação, ou ainda de estar indevidamente expondo informações confidenciais para a Internet ou para acessos indesejados", conclui. 

As várias plataformas disponíveis para implantações em nuvem, tais como AWS ou Azure, devem ser examinadas com cautela, a fim de garantir que atendam às necessidades da organização. Isso inclui garantias de segurança (tais como o isolamento), baseadas em regras de segurança que regulam o uso contínuo de máquinas virtuais e instâncias recém-criadas, SLAs e relatórios periódicos. "Acredite ou não, diferentes provedores variam muito quanto ao que oferecem como proteções para serviços na nuvem," observa Konstantas. "Pode ir de um firewall que a empresa precisa gerenciar por conta própria a algo que o provedor implementa e gerencia para seus clientes".


Nuvem híbrida


Uma vez que o tipo de nuvem tenha sido escolhido, as organizações devem realizar pesquisas adicionais sobre os tipos de cargas de trabalho que poderão ser escoadas para esse ambiente. Essas cargas de dados podem exigir camadas únicas de segurança no topo da camada geral de segurança, normalmente atribuídas a um ativo digital. Por exemplo, dados de clientes devem ser protegidos e disponíveis apenas para aplicativos autorizados e funcionários responsáveis. Imagine uma carga de trabalho de registros de clientes e transações diárias. Uma empresa que envie esses dados para a nuvem necessita de uma abordagem de segurança em camadas que garanta a proteção e conformidade regulamentar, sem dificultar o acesso aos dados quando necessário, e sem afetar a experiência do cliente ou a produtividade interna.

Algumas organizações navegam por esse emaranhado de dados optando por uma nuvem híbrida. Elas irão virtualizar uma parte de seus datacenters, talvez porque queiram reduzir seu consumo de energia ou melhorar a utilização do hardware. Ao mesmo tempo, terão de passar algumas cargas de dados para um ambiente hospedado, otimizando a produtividade e melhorando a experiência do usuário, ao disponibilizar os aplicativos mais usados online e próximos de quem os utiliza.
A nuvem híbrida permite às organizações alavancarem mais poder de processamento e armazenamento, conforme suas necessidades, razão pela qual a maioria dos especialistas chamam de "o melhor de dois mundos" quando falam sobre os diferentes tipos de nuvens. Mas o modelo híbrido também traz riscos, incluindo um grande problema: a comunicação.

Organizações que desejam implementar uma solução híbrida precisam estar asseguradas por um túnel seguro em ambas as extremidades para que as cargas de dados da nuvem pública possam se comunicar com os seus homólogos na nuvem privada. A segurança de uma nuvem híbrida deve envolver as mesmas camadas utilizadas nas opções públicas e privadas, mas a visibilidade e o controle de acesso precisam ser duas considerações principais. Quando uma nova instância é ativada, a mesma não pode exigir toda a segurança usada nas outras partes da infra-estrutura, mas deve haver visibilidade sobre sua operação, juntamente com os controles que determinam qual aplicativo ou quais usuários terão acesso a ela, e controles granulares configurados sobre os dados propriamente ditos.


Aplicativos web


Além disso, qualquer aplicativo web utilizado para acessar dados na nuvem deve ser examinado também. O mesmo terá de ser assegurado e otimizado para tirar o melhor proveito do novo ambiente. "O benefício de um novo software desenvolvido com a nuvem em mente é que a maioria dos desenvolvedores de software são, em sua maior parte, conscientes dos benefícios e desafios de ambientes em nuvem. Integrações com software legado, para não mencionar soluções de segurança de legado, em ambientes de nuvem podem levar algumas empresas a repensar suas estratégias de adoção da nuvem a dar uma pausa antes de jogar tudo para a nuvem imediatamente", diz Andrew Hay, chefe da Cloud Passage e entusiasta do assunto. A segurança do aplicativo envolve endurecimento contra vulnerabilidades (como injeção de SQL) e falhas de lógica de negócio, incluindo (neste último caso) aqueles que permitem que um cliente possa acessar contas de outros clientes ou manipular processos de entrada de serviço.

O risco final associado à transposição de dados para a nuvem é aquele que a maioria das empresa nunca vê até que seja tarde demais. Há uma abundância de opções no mercado para virtualização e segurança, mas uma organização que implementa muitas dessas opções pode perder completamente o benefício da nuvem. Em teoria, a nuvem fornece uma rede altamente flexível que pode ser otimizada para performance, tornando mais eficientes as tarefas desempenhadas por seus usuários. "Queremos segurança aliada a esses benefícios", diz Konstantas. "Se você tem que desativar o auto-serviço, se você tem que desativar a migração ao vivo, se a sua segurança é tão pesada que diminui o tráfego ou se não pode obter o maior número de máquinas virtuais em seu host de máquina virtual, isso irá custar-lhe caro. Irá custar tanto que você poderia muito bem não ir para o modelo de cloud computing", conclui. Assim, o uso da nuvem e da segurança de dados têm de ser igualados. O maior risco que as organizações enfrentam quando se deslocam para a nuvem não é a ausência de segurança; às vezes é justamente o contrário.

Fonte: SlashCloud [em inglês].

Comentários


Outras notícias

Livro sobre Métodos Ágeis disponibilizado livremente

Publicado em: 14/02/2019 às 15:20 | leituras |

"Scrum - Projetos Ágeis e Pessoas Felizes", de autoria de Cesar Brod, disponibilizado de forma livre (Creative Commons) para download e consulta.

Papo de SysAdmin vai lançar Club DevOps

Publicado em: 19/01/2019 às 17:53 | leituras |

Plataforma deverá ser ambiente para reciclagem e capacitação em tecnologias DevOps.

Assespro-PR é o mais novo parceiro de canal do LPI no Brasil

Publicado em: 18/12/2018 às 11:10 | leituras |

A Assespro-PR — Associação das Empresas Brasileiras de Tecnologia da Informação —, e o Linux Professional Institute – LPI, firmaram uma parceria que deverá beneficiar as empresas associadas à Assespro-PR, bem como contribuir para a profissionalização do mercado de Software Livre e de Código Aberto no Paraná.

Linux Developer Conference Brazil: faltam poucos dias!

Publicado em: 14/08/2018 às 11:57 | leituras |

Evento será realizado nas dependências da UNICAMP, em Campinas, nos dias 25 e 26 de agosto.

Leitor da Linux Magazine paga meia para entrar no FISL18

Publicado em: 06/07/2018 às 21:05 | leituras |

Parceria entre a ASL.org e a Linux Magazine disponibiliza código promocional que fornece 50% de desconto na inscrição para o FISL18.

DevOpsDays chega a Maringá pela primeira vez

Publicado em: 20/03/2018 às 18:25 | leituras |

O DevOpsDays terá sua sétima edição no Brasil sendo sediada na cidade de Maringá, no Paraná, dias 23 e 24 de março, no Sebrae. O evento acontece em mais de 40 países e nele foi criado o termo "DevOps" (em 2009, na cidade de Gante - Bélgica).

SENAI/Fatesg promove segundo Meeting Hacker Senai

Publicado em: 18/02/2018 às 12:47 | leituras |

No dia 24/02/2018 a partir das 8:00h, o SENAI/Fatesg realizará o segundo Meeting Hacker Senai, com a participação do LPI, da Infomach e da Barketilly.

Certificações LPI: o caminho para turbinar a sua carreira

Publicado em: 13/10/2017 às 15:50 | leituras |

O Linux Professional Institute (LPI) oferecerá provas de certificação na Latinoware, em Foz do Iguaçu, em outubro, na Poticon, em Natal e no FGSL em novembro. Fique antenado! Este artigo elenca as últimas novidades sobre o LPI.

Blog do maddog: Ambientes de nuvem privada virtual

Publicado em: 06/10/2017 às 14:09 | leituras |

O Subutai é uma solução de nuvem de código aberto, ponto a ponto (P2P), segura e estável, que cria ambientes de nuvem privada virtual (VPC) para usuários finais usando um modelo de nuvem de contêineres como serviço (CaaS). O usuário final pode instalar qualquer tipo de serviço, aplicativo ou software de infraestrutura que desejar nas máquinas em execução nessa nuvem.

Ambientes de nuvem privada virtual

Publicado em: 06/10/2017 às 13:23 | leituras |

O Subutai é uma solução de nuvem de código aberto, ponto a ponto (P2P), segura e estável, que cria ambientes de nuvem privada virtual (VPC) para usuários finais usando um modelo de nuvem de contêineres como serviço (CaaS). O usuário final pode instalar qualquer tipo de serviço, aplicativo ou software de infraestrutura que desejar nas máquinas em execução nessa nuvem.

4Linux abre vagas para Líder Técnico em São Paulo e Brasília

Publicado em: 25/07/2017 às 14:12 | leituras |

A 4Linux — uma empresa líder em soluções Open Source e em práticas DevOps — está procurando profissionais para trabalhar como gerente técnico, que tenha bons conhecimentos em Linux e Softwares Livres. São duas vagas: uma para trabalhar em Brasília e outra para São Paulo.

Seminário sobre gestão de privilégios do Linux dá direito a certificado CPE

Publicado em: 23/05/2017 às 10:35 | leituras |

O evento irá abordar a forte disseminação de sistemas Linux em toda a estrutura de informação e mostrará a importância de técnicos da área serem capazes de identificar rotas, especificar controles de acesso para usuários Linux e monitorar a atividade privilegiada do usuário ao longo da rede de informação e, especialmente, na complexidade da nuvem. Participantes poderão requerer gratuitamente os créditos de CPE (Continuing Professional Education).

Novas vagas para os minicursos do WikiLab

Publicado em: 16/05/2017 às 11:59 | leituras |

Novas vagas abertas para os minicursos do WikiLab. Todos que já apoiaram ou apoiarem o projeto WikiLab no Catarse (com qualquer valor) podem participar.

Novo evento "Universidade Livre" será realizado em Belém/PA em 06/05/2017

Publicado em: 28/04/2017 às 11:19 | leituras |

Novo evento sobre Software Livre será realizado no Instituto de Estudos Superiores da Amazônia (IESAM).

Soluti Certificação Digital em busca de especialista Linux

Publicado em: 19/04/2017 às 17:18 | leituras |

A Soluti Certificação Digital está em busca de um profissional para atuar como especialista Linux em Goiânia.

Vaga para analista de TI com experiência em ECM/GED, BPM e BI

Publicado em: 16/12/2016 às 11:12 | leituras |

Renomada empresa de serviços de consultoria em TI, está em busca de um analista de TI para trabalhar em projetos de implementação de soluções ECM/GED, BPM e BI usando os sistemas Alfresco, Activiti, Bonita, Camunda e SpagoBI.

Nova versão do Scalix Groupware oferece suporte completo a IBM Power & IBM Mainframes

Publicado em: 14/12/2016 às 12:59 | leituras |

A nova versão dá liberdade de escolha às empresas para usar as tecnologias mais modernas oferecidas pelo mercado como base para sua solução de e-mail e colaboração

Software Livre e de Código Aberto: uma questão de economia, não de política

Publicado em: 12/11/2016 às 12:36 | leituras |

Os argumentos apresentados neste artigo são todos aspectos econômicos, e não aspectos políticos. Decisões baseadas em política (e não em economia) devem ser lembradas pelos eleitores nas próximas eleições.

Lançamento: E-book E-mail e Colaboração no Século XXI (grátis)

Publicado em: 29/09/2016 às 9:15 | leituras |

A Linux Magazine, em parceria com a Scalix Brasil e a Linux Solutions, acaba de lançar o novo ebook da série "Technology Report": E-mail e Colaboração no Século XXI. Baixe gratuitamente!

Oportunidade na 4Linux - Vaga para Brasília

Publicado em: 25/08/2016 às 9:58 | leituras |

A 4Linux, empresa de consultoria e treinamento especializada em tecnologia Open Source, está em busca de um profissional com o perfil de analista de infraestrutura Linux pleno, para atuar em Brasília.

Lançamento: E-book 101 dicas para usar o Linux como um Profissional (grátis)

Publicado em: 01/08/2016 às 8:19 | leituras |

Baixe gratuitamente o e-book "101 dicas para usar o Linux como um Profissional", contendo os principais conselhos para não se apertar no seu trabalho ao usar e configurar o sistema do pinguim.

Sicoob adota soluções de código aberto e triplica rede de associados

Publicado em: 19/07/2016 às 12:22 | leituras |

A partir do projeto, a empresa pôde substituir mais de 500 servidores físicos de pequeno porte, consolidando todas as transações em três mainframes e 15 máquinas Intel de alto desempenho (high end).

BrodTec é a nova revenda Scalix na Região Sul

Publicado em: 30/03/2016 às 11:20 | leituras |

No mês de março, a Scalix firmou parceria com a BrodTec para que a empresa seja o seu represente oficial no Rio Grande do Sul e em Santa Catarina.

Linux Professional Institute anuncia seu novo Diretor de Desenvolvimento Regional para o Brasil

Publicado em: 21/03/2016 às 18:51 | leituras |

Há muito tempo incentivando softwares livres e de código aberto, Cesar Brod é, agora, o responsável do instituto para ampliar a formação e certificação em Linux no Brasil.

ASL.Org lança campanha de doação para realizar o FISL17

Publicado em: 05/02/2016 às 21:20 | leituras |

A Associação Software Livre (ASL.Org) iniciou nesta quinta-feira (4) uma campanha de arrecadação de fundos para a continuidade de seus trabalhos, entre eles a organização da 17ª edição do Fórum Internacional Software Livre (FISL17), que acontece de 13 a 16 de julho em Porto Alegre.


Mais notícias


lançamento!

LM 119 | Backup e Restauração




Impressa esgotada
Comprar Digital  R$ 10,90 Digital

  1. Soluti Certificação Digital em busca de especialista Linux

    Publicado em 19/04/2017 às 17:18 | 597499 leituras

  1. Seminário sobre gestão de privilégios do Linux dá direito a certificado CPE

    Publicado em 23/05/2017 às 10:35 | 514826 leituras

  1. Baixe o curso de shell script do Julio Cezar Neves

    Publicado em 07/04/2008 às 19:41 | 492450 leituras

  1. 4Linux abre vagas para Líder Técnico em São Paulo e Brasília

    Publicado em 25/07/2017 às 14:12 | 359873 leituras

  1. Novo evento "Universidade Livre" será realizado em Belém/PA em 06/05/2017

    Publicado em 28/04/2017 às 11:19 | 305256 leituras

  1. FNAC promove lançamento da Linux New Media do Brasil

    Publicado em 22/02/2008 às 10:03 | 11970 leituras

  1. 81% das redes corporativas têm softwares inúteis, diz estudo

    Publicado em 08/10/2010 às 10:23 | 12481 leituras

  1. Bons ventos sopram para a Red Hat

    Publicado em 05/05/2011 às 14:11 | 15368 leituras

  1. Mais uma vulnerabilidade no BIND9

    Publicado em 29/07/2009 às 11:08 | 16656 leituras

  1. Começou o Red Hat Summit 2009

    Publicado em 01/09/2009 às 18:53 | 12971 leituras

whitepapers

mais whitepapers