Bem vindo ao SOS Designers

Faça o seu cadastro gratuito no Portal SOS Designers e tenha um acesso personalizado.

Empresas

Cadastre gratuitamente suas vagas, crie sua propria Lista de Curriculos Favoritos, e tenha um acesso personalizado.

Usuarios

Cadastre gratuitamente seu curriculo, crie sua propria Lista de Noticias Favoritas e tenha um acesso personalizado.

Área de Empresas | Vagas

Área de acesso a empresas cadastradas que desejam postar vagas de empregos no Portal e pesquisar curriculos.

Cadastre-se gratuitamente
Esqueceu a sua senha?

Área de Usuarios | Curriculos

Área do Usuario que deseja cadastrar seu curriculo e pesquisar vagas.



Cadastre-se gratuitamente
Esqueceu a sua senha?


Redes Sociais
Siga o Portal SOS Designers no Twitter Siga o Portal SOS Designers no Facebook

Cloud Computing


Você está aqui: Home » Cloud Computing » Debatendo um pouco mais Cloud security

Debatendo um pouco mais Cloud security


Pesquisar no Portal SOS Designers





Tempo Real



Siga o SOS Designers








SOS Designers

A cada vez que o assunto Cloud Computing surge em uma reunião, a questão da segurança aparece em primero lugar. Sendo assim, nada mais natural que eu volte a falar deste tema.
Neste post vou abordar os provedores externos de infra-estrutura em nuvem, os provedores de IaaS.

No caso dos provedores de IaaS o primeiro lembrete é que eles não são iguais. Ou seja, cada provedor, apesar das aparentes similaridades dos recursos de segurança quando olhamos superficialmente a questão, oferece, ao nos aprofundarmos na análise, niveis de segurança bastante diferentes.


É inevitável. A experiência, capacitação e poder financeiro por trás do DNA corporativo de cada provedor vai se traduzir em diferentes processos de gestão de segurança. Um provedor de hosting voltado a pessoas físicas e pequenas empresas, que se lança como provedor de cloud, não tem a experiência acumulada de uma outra empresa que há anos se dedica a terceirizar serviços de outsourcing a empresas extremamente exigentes quanto à segurança, como bancos e operadoras de cartões de crédito.


Alguns exemplos: Qual o nivel de controle de segurança física e gerencial oferecido pelo provedor nos seus data centers? Existem tecnologias adequadas para mitigar os efeitos de ataques DDoS (Distributed Denial-of-Service)? Quais os recursos oferecidos pelo provedor para deteção de intrusões? Quais os recursos oferecidos para garantir o isolamento das máquinas virtuais de diferentes clientes que compartilham os mesmos servidores físicos?


Outro aspecto que deve ser analisado nos provedores externos é a questão do IAM (Identity and Access Management). Sugiro validar se e como os funcionários do próprio provedor acessam as máquinas virtuais dos clientes. No caso de funcionários do provedor terem acesso, para atividades operacionais como debug ou atualização de patches, este acesso é auditado e rastreável? No caso de acesso pelos clientes, o provedor tem procedimentos que garantam que apenas os usuários autorizados acessam as máquinas virtuais destes clientes?


Além disso, o discurso comercial pode induzir algumas confusões adicionais. Muitos provedores argumentam que por possuirem um nivel de auditagem SAS 70 Type II serão absolutamente seguros. Não é verdade, pois o SAS 70 não revisa a eficácia dos processos e controles de segurança, mas apenas checa se tais procedimentos existem e se estão documentados. Outra confusão aparece quando se analisa o provedor perante requerimentos como o Sarbanes-Oxley Act (SOX). Muitas vezes o provedor apenas cumpre parte dos requerimentos e pode acontecer que tais partes não estejam à altura do nível de compliance de sua empresa. Assim, não basta saber que o provedor está compliance com SOX ou PCI DSS (Payment Card Industry Data Security Standard). É necessário que você verifique com cuidado se o nivel de compliance dele é adequado às suas necessidades.


No final das contas, apesar do provedor oferecer processos e controles de segurança adequados, sua empresa é a responsável final pela segurança. No caso de infra em nuvem (IaaS), não esqueça que estamos falando de servidores virtuais e o controle de acesso lógico aos aplicativos e dados é de responsabilidade dos usuários da nuvem e não do provedor. O que significa tudo iso? Simples. A responsabilidade pela resiliência da infra em nuvem é compartilhada tanto pelo provedor como pelos seus clientes. O provedor tem que garantir a resiliência do data center e dos servidores. Os aplicativos são de responsabilidade da empresa.


Assim, como mensagem final, avalie cuidadosamente os provedores, filtre os discursos comerciais e analise em detalhes os processos e controles de segurança oferecidos.

 

Sobre o Colunista:

Cezar Taurion


Profissão: Gerente de Novas Tecnologias Aplicadas/Technical Evangelist da IBM Brasil

Descrição: Profissional e estudioso de Tecnologia da Informação desde fins da década de 70, com educação formal diversificada, em Economia, mestrado em Ciência da Computação e MBA em Marketing de Serviços, e experiência profissional moldada pela passagem em empresas de porte mundial.

Escreve constantemente sobre tecnologia da informação em publicações especializadas como Computerwold Brasil, Mundo Java e Linux Magazine, além de apresentar palestras em eventos e conferências de renome.

É autor de cinco livros que abordam assuntos como Software Livre, Grid Computing, Software Embarcado e Cloud Computing. Cezar Taurion também mantém um dos blogs mais acessados da comunidade IBM developerWorks. Mantém, também, um blog específico sobre Cloud Computing em www.computingonclouds.wordpress.com

Deixe seu comentário:





© Copyright 2002-2018
Portal SOS Designers
Webmaster: Luiz Antonio Bovi