FACULDADE DE TECNOLOGIA DE LINS CURSO SUPERIOR DE...
59
C ENTRO E STADUAL DE E DUCAÇÃO T ECNOLÓGICA “P AULA S OUZA ” FACULDADE DE TECNOLOGIA DE LINS CURSO SUPERIOR DE TECNOLOGIA EM REDES DE COMPUTADORES GUILHERME VAIDOTAS TÉCNICAS DE SEGURANÇA NA COMPUTAÇÃO EM NUVENS LINS/SP 2º SEMESTRE/2011
Transcript of FACULDADE DE TECNOLOGIA DE LINS CURSO SUPERIOR DE...
CENTRO ESTADUAL DE EDUCAÇÃOTECNOLÓGICA “PAULA SOUZA”
FACULDADE DE TECNOLOGIA DE LINS CURSO SUPERIOR DE TECNOLOGIA EM REDES DE
COMPUTADORES
GUILHERME VAIDOTAS
TÉCNICAS DE SEGURANÇA NA COMPUTAÇÃO EM NUVENS
LINS/SP 2º SEMESTRE/2011
CENTRO ESTADUAL DE EDUCAÇÃO TECNOLÓGICA “PAULA SOUZA”
FACULDADE DE TECNOLOGIA DE LINS CURSO SUPERIOR DE TECNOLOGIA EM REDES DE
COMPUTADORES
GUILHERME VAIDOTAS
TÉCNICAS DE SEGURANÇA NA COMPUTAÇÃO EM NUVENS
Trabalho de Conclusão de curso apresentado à
Faculdade de Tecnologia de Lins para obtenção
do Título de Tecnólogo em Redes de
Computadores.
Orientador: Prof. Me. Adriano de Souza Marques
LINS/SP 2º SEMESTRE/2011
GUILHERME VAIDOTAS
TÉCNICAS DE SEGURANÇA NA COMPUTAÇÃO EM NUVENS
Trabalho de Conclusão de Curso apresentado à
Faculdade de Tecnologia de Lins, como parte dos
requisitos necessários para obtenção do título de
Tecnóloga em Redes de Computadores sob
orientação do Prof. Me. Adriano de Souza
Marques
Data da aprovação: _____/_____/_____
______________________________________________
Orientador Prof. Me. Adriano de Souza Marques
______________________________________________
Examinador 1
______________________________________________
Examinador 2
Ao meu pai, Márcio Vaidotas, in memorian, ao Professor Ygor Gonzaga de Oliveira, in memorian e à minha mãe Claudisséia Gonçalves.
AGRADECIMENTOS
Primeiramente gostaria de agradecer ao Professor Me. Adriano de Souza
Marques pela força, apoio e toda a ajuda necessária para o desenvolvimento e
realização desse trabalho.
À minha família, amigos e também outros professores pelo incentivo e
companhia até a finalização do curso.
RESUMO
O conceito e uso da Computação em Nuvem somente ganhou força com o decorrer dos últimos anos, apesar que esse mesmo conceito existe a mais de algumas décadas. As empresas buscam constantemente maneiras de obterem uma produção cada vez melhor e gerar menos custos. Mas mesmo assim é necessário um determinado gasto para atender essas necessidades. E a Computação em Nuvem está sendo usada para sanar essa necessidade. Todavia é importante ressaltar o aspecto de segurança nessa tecnologia pois muitas empresas ainda não aderiram à prática desse tipo de serviço porque ainda possuem receios, como por exemplo, qual é a real eficiência que a Computação em Nuvem oferece para manter a privacidade e integridade das informações. O que foi desejado por este trabalho foi conhecer por meio de pesquisas as práticas e técnicas de defesa da Computação em Nuvem. Também foi realizada uma breve pesquisa e descrição das empresas que oferecem serviços na Nuvem, como aplicações, armazenamento de dados, e infraestrutura, como por exemplo, Sistemas Operacionais em Nuvem. O mesmo apresentou um teste de segurança com uma ferramenta Web e depois descrita de forma documentada com uma aplicação baseada na tecnologia em estudo. Na sequência é descrito o resultado da segurança da mesma e uma avaliação pessoal da segurança do ambiente da Computação em Nuvem. Palavras-chave: Computação em Nuvem. Segurança e Aplicação
ABSTRACT
Through this work will be carried out a survey on the technical security in cloud computing. The World Wide Web can be used by anyone in the world, and this use may be even maliciously. Digital threats such as virus are problems that are fought every day. But new hacking techniques to capture private content are created and because of that there is a need to create an effective security tool and cloud computing used the Internet to offer their services and consequently also suffers the same problems. The reason of this research is to know the effectiveness of a security technology that provides online services such as storage of personal data. In this research work will also documented a security test with a simple application but that helps the understanding and evaluates the effectiveness of security that is under consideration. Keywords: Cloud computing. Security. Digital threats. Security Technology
LISTA DE ILUSTRAÇÕES
Figura 1.1 – Visão geral de uma nuvem computacional ............................................ 15
Figura 1.2 - Ambiente da Computação em Nuvem ................................................... 16
Figura 1.3 - Modelos de Serviços .............................................................................. 18
Figura 4.1 - Amazon Elastic Compute Cloud ............................................................ 42
Figura 4.2 – Windows Microsoft Azure ...................................................................... 43
Figura 4.3 - Panda Cloud Antivirus em uso ............................................................... 45
Figura 4.4 - Exemplo de funcionalidade do iCloud .................................................... 46
Figura 4.5 - Demostração do Google Docs – Criar e colaborar facilmente ............... 46
Figura 4.6 - Exemplo de utilização do Zoho .............................................................. 47
Figura 5.1 - Ilustração do painel de gerenciamento de aplicações do Zoho Creator. 49
Figura 5.2 - Ilustração do painel de criação do formulário da aplicação .................... 49
Figura 5.3 - Formulário de cadastro gerado na solução Zoho Creator ...................... 50
Figura 5.4 - URL do formulário de teste .................................................................... 50
Figura 5.5 - Interface do software NMAP .................................................................. 52
Figura 5.6 - Resultado do teste de vulnerabilidade do Robots.txt ............................. 53
Figura 5.7 - Resultado da varredura nmap ................................................................ 53
Figura 5.8 - Características de segurança da solução Zoho Creator ........................ 54
Figura 5.9 - Tela para iniciar a sessão no Aplicativo Zoho ........................................ 54
Figura 5.10 - Resultado Captcha ............................................................................... 55
LISTA DE QUADROS
Quadro 1.1 – Modelos e Exemplos de Serviços ........................................................ 20
LISTA DE ABREVIATURAS E SIGLAS
API - Application Programming Interface
AWS – Amazon Web Services
CN – Computação em Nuvem
CRM – Custom Relationship Manager
GIA – Gerenciamento de Identidade e Acesso
CSA – Cloud Security Alliance
EC2 – Elastic Compute Cloud
IaaS – Infrastructure as a Service
IDC - International Data Corporation
IDE - Integrated Development Environment
IP – Internet Protocol
PaaS – Plataform as a Service
PRL - Predictable Resoure Location
SaaS – Software as a Service
SSL – Security Sockets Layer
SDLC – Ciclo de Vida de Desenvolvimento de Software
T.I - Tecnologia da Informação
URL - Uniform Resource Locator
SUMÁRIO
INTRODUÇÃO ..................................................................................... 13
1 COMPUTAÇÃO EM NUVENS - CONCEITOS ................................... 15
1.1 O AMBIENTE DA COMPUTAÇÃO EM NUVEM ................................................. 16
1.1.1 A máquina virtual e a Computação em Nuvem ............................................... 17
1.2 MODELOS DE SERVIÇOS ................................................................................. 17
1.2.1 Software como Serviço .................................................................................... 18
1.2.2 Plataforma como Serviço ................................................................................ 19
1.2.3 Infraestrutura como Serviço ............................................................................ 19
1.3 MODELOS DE IMPLANTAÇÃO .......................................................................... 20
1.3.1 Nuvem Privada ................................................................................................ 21
1.3.2 Nuvem Pública ................................................................................................ 21
1.3.3 Nuvem Comunidade ........................................................................................ 22
1.3.4 Nuvem Híbrida ................................................................................................ 22
2 SEGURANÇAS DE DADOS EM REDES .......................................... 23
2.1 O CONCEITO DA SEGURANÇA EM REDE ....................................................... 23
2.2 FATORES DE PREOCUPAÇÃO COM A SEGURANÇA .................................... 24
2.2.1 Tipos e formas de ataques e invasão em Sistemas ........................................ 25
2.2.1.1 Malware ......................................................................................................... 26
2.2.1.2 Vírus .............................................................................................................. 26
2.2.1.3 Trojans .......................................................................................................... 26
2.2.1.4 Worms ........................................................................................................... 26
2.2.1.5 Spyware ........................................................................................................ 27
2.2.1.6 Mensagem eletrônica não solicitada (Spam) ................................................. 27
2.2.1.7 Ataque DoS ................................................................................................... 27
2.2.1.8 Ataque DDoS ................................................................................................ 27
2.3 REGRAS E TÉCNICAS DE DEFESA.................................................................. 28
2.3.1 Políticas de Segurança.................................................................................... 28
2.3.2 Técnicas de Defesa na Rede .......................................................................... 29
3 SEGURANÇA EM AMBIENTES DE COMPUTAÇÃO EM NUVEM .... 31
3.1 RISCOS E AMEAÇAS NA COMPUTAÇÃO EM NUVEM .................................... 31
3.1.1 Principais Ameaças ......................................................................................... 32
3.2 TÉCNICAS E PRÁTICAS DE SEGURANÇA NA NUVEM................................... 33
3.2.1 Segurança Tradicional e Recuperação de Dados
344
3.2.2 Respostas a Incidentes, Notificações e remediação ....................................... 34
3.2.3 Segurança de Aplicações ................................................................................ 36
3.2.4 Criptografia e Gerencialmente de Chaves – Conceitos de Uso ...................... 37
3.2.4.1 Criptografia .................................................................................................... 38
3.2.4.2 Gerenciamento de Chaves ............................................................................ 39
3.2.5 Gerenciamento de Identidade e Acesso........................................................... 40
4 TECNOLOGIAS E APLICAÇÕES NA NUVEM .................................. 42
4.1 TECNOLOGIAS NA NUVEM ............................................................................... 42
4.1.1 Amazon Web Services .................................................................................... 42
4.1.2 Eucalyptus ....................................................................................................... 43
4.1.3 Windows Microsoft Azure ................................................................................ 43
4.1.4 Google App Engine ......................................................................................... 44
4.1.5 Salesforce ....................................................................................................... 44
4.2 APLICAÇÕES NA NUVEM .................................................................................. 44
4.2.1 Panda Cloud Antivirus ..................................................................................... 44
4.2.2 Aplicativo iCloud .............................................................................................. 45
4.2.3 Google Docs .................................................................................................... 46
4.2.4 Aplicativo Zoho ................................................................................................ 47
5 TESTES DE SEGURANÇA .................................................................................... 48
5.1 A SOLUÇÃO ....................................................................................................... 49
5.2 OS TESTES ........................................................................................................ 50
5.3 RESULTADOS .................................................................................................... 53
CONCLUSÃO ............................................................................................................ 56
REFERÊNCIAS ......................................................................................................... 57
13
INTRODUÇÃO
Constantemente as empresas armazenam e processam grandes
quantidades de dados em suas redes, e para atender essa demanda, é necessário
pagar um elevado preço no mercado da Tecnologia da Informação (TI) para obterem
uma infraestrutura tecnológica adequada. Muitas vezes esse mesmo custo não
atende a todas as necessidades dessas empresas.
A Computação em Nuvem (CN) surgiu como um grande aliado aos serviços
de TI, o que pode ser a solução para o ponto de vista financeiro e de recursos
tecnológicos. Estes serviços estão disponíveis para usuários e também grandes
corporações, oferecidos por empresas como o Google, por exemplo.
Na CN, os dados dos usuários são armazenados em uma infraestrutura a
disposição para esse serviço em grandes Data Centers - local o qual concentra
equipamentos de processamento e armazenamento de dados. Isto torna possível
acessar esses dados a qualquer momento e em qualquer lugar que possua um
acesso à rede Internet, uma estação com um sistema operacional e um navegador.
Essa tecnologia permite oferecer serviços sob demanda, ou seja, a
infraestrutura cresce de acordo com a necessidade do sistema, o que facilita o
processo de evolução das necessidades dos usuários, ou mesmo a ampliação da
capacidade do serviço.
Ao lembrarmos que a CN é um conceito que utiliza a rede Internet,
caracteristicamente uma rede pública, existe a necessidade de recursos de
segurança.
Ainda hoje a segurança em redes é um assunto extremamente discutido.
Novos métodos de segurança são criados, mas mesmo assim novos métodos de
ataques também são criados, com isso a segurança em uma rede sempre deverá
estar atualizada e realizando teste, evitando problemas no futuro.
E com a segurança em nuvem o assunto não é diferente, pois é um
ambiente que pode ser acessado a qualquer lugar do Mundo. A empresa não poderá
ser capaz de saber onde os dados estão sendo armazenados. Também a ideia de
armazenar seus dados confidenciais em ambientes de terceiros ainda não é bem
vinda, isso é até visto por muitos como uma quebra do paradigma da empresa.
14
Com isso, como garantir a privacidade, a segurança e também garantir a
integridade dos dados armazenados nessa nuvem? Como podem ser protegidos
contra invasões que possam comprometer as informações pessoais de usuários
comuns, e mais amplamente, dados privados de grandes empresas.
Os provedores do ambiente da Computação em Nuvem oferecem técnicas
de segurança para evitar a ocorrência de qualquer preocupação de seus clientes.
A escolha desse tema deu-se ao fato do desejo de conhecer os mecanismos
de defesa dessa tecnologia contestada.
Inicialmente esse trabalho irá fundamentar os conceitos dessa tecnologia,
tal como também sua arquitetura. O foco e o desenvolvimento principal estarão
envolvidos com as Técnicas de Seguranças atuais praticadas para garantir à
confidencialidade e privacidade das informações armazenadas nesse ambiente
tecnológico. Também será feito testes de segurança com um simples aplicativo afim
de um conhecimento adicional.
15
1 COMPUTAÇÃO EM NUVENS - CONCEITOS
A Computação em Nuvem é considerada um campo emergente na indústria
da Tecnologia da Informação. A nuvem nada mais é do que uma metáfora para a
Internet ou uma infraestrutura baseada no conceito dessa tecnologia.
“Cada parte desta infraestrutura é provida como um serviço e, estes são
normalmente alocados em centros de dados, utilizando hardware compartilhado
para computação e armazenamento.” (SOUZA; MOREIRA; MACHADO, 2009, p.3)
Segundo Souza et al. (2009) além da capacidade de armazenamento e
acesso a esses dados sob demanda ela também oferece ao usuário outros recursos
que estão no ambiente dessa nuvem. Uso de softwares e até mesmo plataforma via
Web (a rede Internet), como por exemplo, o Microsoft Windows Azure – plataforma
desenvolvida pela empresa Microsoft - são alguns exemplos desses serviços
oferecidos por essa tecnologia. Na figura 1.1 é ilustrada a visão descrita
anteriormente.
Figura 1.1: Visão Geral de uma nuvem computacional Fonte: SOUZA; MOREIRA; MACHADO, 2009, p. 2
Souza et al. (2009) destacam que não há a necessidade em investir em
poder de hardware local ou até em requisições de aplicativos externos para usufruir
esses recursos oferecidos por essa TI. Para o usuário é necessário ter um sistema
operacional, um navegador (browser) e o acesso à Internet em sua máquina local,
ou seja, a tendência é a diminuição de gastos internos, neste caso em se tratando
na busca de melhorias em processamento e armazenamento da infraestrutura local.
16
É importante lembrar alguns aspectos positivos que essa tecnologia
oferece: Recursos sob demanda - o usuário pagará somente aquilo que irá utilizar; a
portabilidade - qualquer plataforma é capaz de usufruí-la; a “quebra de fronteiras” -
atendendo os requisitos para utilizar essa tecnologia o usuário é capaz de acessar
esse ambiente a qualquer hora e a qualquer lugar do Mundo, etc.
Atualmente a segurança e confiabilidade da Computação em Nuvem ainda
são contestadas, mas aliado a todos os aspectos positivos anteriores citados a
segurança não é considerado um grave problema, pois os provedores de serviços
oferecem proteções e diversos protocolos de segurança na garantia de oferecer um
serviço íntegro a seus clientes.
1.1 O AMBIENTE DA COMPUTAÇÃO EM NUVEM
O ambiente da CN, segundo Souza et al. (2009), pode ser baseado em uma
arquitetura composta por até milhares de máquinas físicas (sejam elas grandes ou
computadores de pequeno e médio porte) e/ou máquinas virtuais, todas de baixo
custo e conectados por meio de uma rede, a Internet.
“Cada máquina física tem as mesmas configurações de software, mas pode
ter variação na capacidade de hardware em termos de CPU, memória e
armazenamento em disco” (SOUZA; MOREIRA, MACHADO, 2009, p. 3). O conceito
do ambiente de uma CN está ilustrado na figura 1.2.
Figura 1.2: Ambiente da Computação em Nuvem Fonte: SOUZA; MOREIRA; MACHADO, 2009, p. 4
17
Souza et al. (2009) citam que basicamente essa tecnologia oferece três
benefícios: A primeira é a redução de custo na compra e composição de toda a
infraestrutura que a empresa está necessitando; o segundo é flexibilidade - os
recursos operacionais dessa tecnologia são encontrados tanto no nível de hardware
quanto de software e o terceiro é a facilidade de acesso a essa tecnologia e somado
a isso uma abstração, o usuário não precisa saber a localização física da
infraestrutura que oferece recursos encontrados no ambiente da nuvem.
1.1.1 A máquina virtual e a Computação em Nuvem
Primeiramente é importante destacar o papel importante da virtualização das
máquinas paras as empresas. (COMPUTAÇÃO, 2011)
A virtualização oferece uma grande ajuda às empresas a utilizarem os
recursos de suas máquinas com mais eficiência. Ela cria um ambiente simples,
possibilitando um nível alto de abstração do ambiente de software que está sendo
usado a partir de um hardware. Outro aspecto importantíssimo é a possibilidade de
criar uma estrutura mais escalonável e flexível. (COMPUTAÇÃO, 2011)
A Computação em Nuvem conseguiu aumentar todos os aspectos de
eficiência e agilidade das Máquinas Virtuais, pois ela facilitou o fornecimento de
serviços como software, infraestrutura e plataformas, graças a sua diversidade
geográfica e sua simples conectividade universal. (COMPUTAÇÃO, 2011)
1.2 MODELOS DE SERVIÇOS
A CN é divida em modelos de serviços. Esses são os modelos que oferecem
aplicativos, infraestrutura e plataformas. Cada modelo possui sua política de
administração e controle do serviço oferecido.
“O ambiente de Computação em Nuvem é composto de três modelos de
serviços. Estes modelos são importantes, pois eles definem um padrão arquitetural
para soluções de Computação em Nuvem. ”(SOUZA; MOREIRA; MACHADO, 2009
18
p. 7). Os três modelos são: Software as a Service - Software como Serviço (SaaS);
Plataform as a Service - Plataforma como Serviços (PaaS) e a Infrastructure as a
Service - Infraestrutura como serviço (IaaS).
Figura 1.3: Modelos de Serviços Fonte: SOUZA; MOREIRA; MACHADO, 2009, p. 7
1.2.1 Software como Serviço
Nesse modelo, o serviço é encontrado na Web, podendo ser acessado a
qualquer lugar e a qualquer momento.
O usuário não é capaz de administrar ou controlar toda a infraestrutura que
envolve esse serviço.
Alguns aspectos positivos são, por exemplo, o baixo custo – pois dispensa a
aquisição de licenças de sistemas de Softwares – e também a simplicidade no uso
do mesmo, pois o usuário necessita apenas que o dispositivo a qual usa tenha um
navegador (browser). Souza et al. (2009) enfatizam que o usuário não precisa se
preocupar com atualizações e compatibilidade de versão do software que está
sendo oferecido nessa camada, pois todos esses procedimentos são de total
responsabilidade do provedor desse serviço.
De acordo com Souza et al. (2009), o aplicativo Google Docs – da empresa
Google – é um exemplo de um serviço desse modelo e já é utilizado pelo público em
19
geral. The Security Division Of EMC (RSA, 2009) também cita o aplicativo Custom
Relationship Manager (CRM) baseado na Web da Salesforce.com como outro
serviço oferecido nesse modelo.
A Salesforce é uma empresa de computação em nuvens empresarial. Todos
os seus serviços podem ser adquiridos com uma taxa mensal ou até mesmo criar
aplicativos, sem a necessidade de compra de um hardware ou software, ou seja,
tudo a base um navegador. (SALESFORCE, 2011)
1.2.2 Plataforma como Serviço
Como no caso do SaaS, a Plataforma como Serviço não permite que o
usuário administre ou controle os serviços que são oferecidos
A PaaS fornece um sistema operacional, linguagens de programação
e ambientes de desenvolvimento para as aplicações, auxiliando a
implementação de sistemas de software, já que contém ferramentas
de desenvolvimento e colaboração entre desenvolvedores. (SOUZA;
MOREIRA; MACHADO, 2009, p. 8).
O provedor oferece esse ambiente na forma de máquinas virtuais
padronizadas por ele mesmo.
O Sistema Operacional Microsoft Windows Azure é um exemplo de serviço
nesse modelo. Neto el al. (2010) também ressalva a utilização do Google App
Engine – plataforma de desenvolvimento. O Google oferece um plugin em seu site o
qual deve ser usado juntamente com a plataforma Eclipse – IDE (Integrated
Development Environment) de desenvolvimento, esse é uma recomendação da
própria empresa para realizar qualquer desenvolvimento com o Google App Engine.
1.2.3 Infraestrutura como Serviço
Segundo Souza et al. (2009) a IaaS é o serviço da Computação em Nuvem
responsável pelo fornecimento de toda a infraestrutura necessária para PaaS e
SaaS possam realizar suas funções.
20
O usuário não é capaz de administrar os serviços nesse modelo, mas
diferentemente dos modelos anteriores, o usuário pode controlar os sistemas
operacionais, armazenamento de dados e aplicativos implantados.
“O Amazon Elastic Cloud Computing (EC2) e o Elastic Utility Computing
Architecture Linking Your Programs To Useful Systems (Eucalyptus) são exemplos
de IaaS.” (SOUZA; MOREIRA; MACHADO, 2009, p. 8).
O Eucalyptus foi iniciado como um projeto de pesquisa do Departamento de
Ciência da Computação de University of California Santa Barbara e comercializado
recentemente como Eucalyptus Systems Inc.5. O Quadro 1.1 demonstra uma
relação de modelos de serviços e seus respectivos exemplos.
Quadro 1.1: Modelos e Exemplos de Serviços.
Modelos
de Serviços
Exemplos
de Serviços
SaaS
CRM da Salesforce.com
Google Docs
Mail Live Officer
PaaS
Windows Azure
Google App Engine
Amazon AWS EC2
Aneka
IaaS Eucalyptus
Windows Azure
Fonte: NETO, O. O.; FREITAS, R. C., 2010, p. 9
1.3 MODELOS DE IMPLANTAÇÃO
No ambiente da Computação em Nuvem existem modelos de implantação,
os quais determinam os acessos aos serviços desse ambiente.
Por questão de segurança e privacidade as empresas optam por utilizar
ambientes mais restritos. “A restrição ou abertura de acesso depende do processo
21
de negócio, do tipo de informação e do nível de visão.” (SOUZA; MOREIRA;
MACHADO, 2009, p. 9)
Souza et al. (2009) salientam que os modelos de implantação da
Computação em Nuvem podem ser divididas em nuvem privada, pública,
comunidade e híbrida.
1.3.1 Nuvem Privada
Nesse modelo de implantação é a empresa que determina a política de
acesso e utilização de serviços. A utilização dos recursos de toda a infraestrutura
desse modelo é de única e exclusiva responsabilidade da organização que a possui.
“As técnicas utilizadas para prover tais características podem ser em nível
de gerenciamento de redes, configurações dos provedores de serviços e a utilização
de tecnologias de autenticação e autorização”. (SOUZA; MOREIRA; MACHADO,
2009, p. 10). A nuvem privada é, geralmente, criada por um Data Center privado.
O site da Computer World destaca a empresa Qualcomm que já está
utilizando o conceito de uma nuvem privada. (COMPUTER WORLD, 2011)
1.3.2 Nuvem Pública
Ao contrário da Nuvem Privada, a Nuvem Pública disponibiliza sua
infraestrutura para o público em geral.
“Neste modelo de implantação não podem ser aplicadas restrições de
acesso quanto ao gerenciamento de redes, e menos ainda, utilizar técnicas para
autenticação e autorização.” (SOUZA; MOREIRA; MACHADO, 2009, p. 10).
Em uma pesquisa feita pela International Data Corporation (IDC) em Janeiro
de 2010 demonstrou que 30% das empresas dão como positivo a utilização da
Nuvem Pública, contra 64% para a Nuvem Privada. Em tese essa pesquisa
demonstra que as empresas ainda possuem receios com relação à utilização do
modelo de implantação da Nuvem Pública. (VALE, 2010)
22
1.3.3 Nuvem Comunidade
A infraestrutura desse modelo permite que diversas empresas compartilhem
qualquer tipo de comunicação, seja ela uma missão, políticas, requisitos de
segurança. “Este tipo de modelo de implantação pode existir localmente ou
remotamente e geralmente é administrado por alguma empresa da comunidade ou
por terceiros.” (SOUZA; MOREIRA; MACHADO, 2009, p. 10)
1.3.4 Nuvem Híbrida
A Nuvem Híbrida é composta por duas ou mais modelos de nuvens, sejam
elas públicas, privadas ou comunidades, mas essa entidade da Nuvem Híbrida será
única. Segundo Souza el al. (2009) os modelos de nuvens são ligados por uma
tecnologia padronizada ou proprietária que permite a portabilidade de aplicações e
dados.
O conceito da nuvem híbrida é relativamente novo ainda, as práticas e
ferramentas dessa arquitetura continuam a emergir.
23
2 SEGURANÇAS DE DADOS EM REDES
Nesse capítulo será abordado o conceito de uma segurança em uma rede.
Também serão levantados os fatores de risco que tornam importantes a utilização
de uma rede segura e, por fim, as técnicas e regras de defesa.
2.1 O CONCEITO DA SEGURANÇA EM REDE
Com o advento da informática as empresas conseguiram aperfeiçoar seus
modelos de negócio, produtividade e tornar seu meio corporativo mais organizado.
A rede é capaz de estabelecer conexões entre dispositivos, como roteadores
e computadores, e também até servidores que armazenam, por exemplo, o banco
de dados da própria empresa ou de um cliente.
A falta de segurança em uma rede é um dos principais problemas que as
empresas enfrentam nos dias de hoje. Se o meio tecnológico da empresa estiver
com uma segurança precária ou até desatualizada isso acarretará em vários
problemas no futuro, como prejuízo de produção e, consequentemente, financeiros.
Os ataques por parte de crackers – invasores de computadores - sempre
são inovados e por isso é de extrema importância também as inovações em técnicas
de defesas contra possíveis novos ataques. Nakamura e Geus (2007) enfatizam que
a segurança em uma rede deve ser contínua e evolutiva.
É de suma importância que toda a informação chegue ao usuário de forma
íntegra e confiável. Isso torna necessário que todos os elementos da rede a qual flui
essa informação estejam íntegros e disponíveis. O sigilo é outro fator importante
para a rede. De acordo com Nakamura e Geus (2007) esses três elementos –
integridade, sigilo e disponibilidade - formam as partes mais importantes para a
segurança de uma rede.
24
2.2 FATORES DE PREOCUPAÇÃO COM A SEGURANÇA
Como dito nos itens anteriores, a preocupação da segurança deve ser
contínua e evolutiva. Nakamura e Geus (2007) descreveram alguns fatores que
podem ser considerados os mais importantes para que a segurança em uma rede
seja justificada:
Entender a natureza do ataque é fundamental: Todo sistema tem alguma
falha, seja ela um bug – falha específica em um sistema -, um erro no projeto ou até
falhas em uma implantação de um projeto ou protocolo. Isso acarreta numa
vulnerabilidade do sistema, ou seja, ela estará suscetível a novos ataques. O erro
em si pode ser corrigido, mas outras falhas poderão existir;
Novas tecnologias trazem consigo novas vulnerabilidades: A tecnologia da
informação é constantemente inovada, mas a possibilidade dessa nova tecnologia
possuir uma nova falha existe;
Novas formas de ataque são criadas: Esse é um fator primordial para a
importância de uma segurança em uma rede. Constantemente os crackers criam
novas técnicas de ataques, as quais são cada vez mais sofisticadas. Esse invasor
mistura essas técnicas como, por exemplo, tecnologia para encobrir vestígios, com a
sua criatividade. Tudo isso torna obrigatório que a defesa da rede fique mais
complexa;
Aumento da conectividade resulta em novas possibilidades de ataque:
Quanto maior for sua possibilidade de conectividades maior será a possibilidade de
ataques;
Existência de ataques direcionados quanto de ataques oportunísticos:
Quando a segurança em uma rede se encontra desatualizada e, com isso,
suscetível a falhas os ataques oportunísticos são mais evidenciados, o invasor vai
se aproveitar daquela falha que não foi corrigida. Mas os ataques direcionados são
mais perigosos. O invasor tem uma real intenção de atacar, o ataque será pensado
e estudado. Geralmente esses tipos de ataque são os que dão mais prejuízos as
empresas. Os ataques direcionados, ao contrário dos oportunísticos, são mais
agressivos por causa da seriedade da estratégia que o invasor criou;
25
A defesa é mais complexa do que o ataque: O cracker pode ter vários
pontos de uma rede para atacar. Caso ele falhe em uma existirá outra para ser
invadida. Com isso a segurança em uma rede deve ser cada vez mais complexa
como um todo. Se um ponto for atacado isso acarretará em um fracasso com o
esforço na segurança em geral, mesmo nos pontos as quais não tiveram o ataque.
O profissional que é responsável pela segurança deve conhecer sua rede e suas
falhas, se ele não reconhecer os riscos ele estará comprometendo todo o sistema. A
negligência desse profissional ficará evidenciada. O firewall, por exemplo, é uma
defesa de uma rede, mas que não pode proteger contra todos os possíveis ataques
existentes;
Aumentos de crimes virtuais: A Internet quebrou a fronteira para os
invasores. Um ataque em uma rede pode estar sendo feito por um invasor do outro
lado do globo. Em muitos países, como o Brasil, a legislação contra os crimes
virtuais ainda é muito branda, o que facilita mais ainda os crimes efetuados pelos
invasores.
Nakamura e Geus (2007) destacam a fácil disseminação de vírus e worms –
programa auto-replicante, parecido com o vírus – como a principal importância para
utilização de uma boa segurança em uma rede. A vítima de um ataque poderá ser
usada como a origem de outro ataque, o que torna a contaminação em uma rede
mais fácil e rápida.
Entre esses fatores existem mais alguns que dão a justificativa para a
implantação de uma segurança em uma rede. Por esses motivos a segurança torna-
se um dos papeis chave para o sucesso de uma organização.
2.2.1 Tipos e formas de ataques e invasão em Sistemas
Neste tópico serão abordados brevemente os tipos de ataques e invasões
em Sistemas. Esses tipos de ataque foram descritos por Bezerra et al (2011).
26
2.2.1.1 Malware
Malware é um software criado para causar danos em computadores, como
por exemplos os vírus.
2.2.1.2 Vírus
Os vírus são pequenos programas que podem danificar dados dos
computadores. São capazes de infectar, apagar, copiar e alterar conteúdos e, com
isso, o funcionamento e desempenho dos sistemas infectados estarão
comprometidos. Os vírus são capazes de se duplicarem no sistema infectado.
A Internet facilitou a propagação de vírus em computadores em todo mundo.
A contaminação pode ser feita por e-mails, sites infectados e outros meios que a
Web (a rede Internet propriamente dita) oferece.
2.2.1.3 Trojans
Diferente do vírus, o Trojan não é capaz de se duplicar. Seu objetivo é
infectar o computador da vítima e controlar a máquina. Sua propagação é por e-
mails e também em sites infectado. Muitas vezes a vítima não é capaz de saber se
seu computador está sendo ou já está infectado.
2.2.1.4 Worms
O worm é capaz de se auto-replicar, como um vírus. Mas seu meio de
propagação é diferente. É capaz de se propagar por qualquer rede e gerando várias
cópias de si.
27
Esse programa pode causar danos ao Sistema tal como reduzir seu
desempenho, tornando-o mais lento.
2.2.1.5 Spyware
O Spyware é um programa que recolhe as informações do usuário. Não tem
como objetivo causar danos ao sistema. Sua propagação pode ser efetuada por
meio de correios eletrônicos.
2.2.1.6 Mensagem eletrônica não solicitada (Spam)
Mensagens indesejadas que são enviadas em massa. As mensagens
podem estar infectadas com algum tipo de vírus ou outros tipos de programas
maliciosos. Hoaxes – histórias falsas – são outros problemas que o Spam acarreta.
Spam é frequentemente usado para golpes na Internet.
2.2.1.7 Ataque DoS
Esse tipo de ataque procura tornar o serviço mais lento ou até derrubá-lo,
tornando-o inacessível. O DoS – Denial of Service – é um ataque que procura falhas
no sistema alvo. O Sistema não é invadido e sim sobrecarregado.
2.2.1.8 Ataque DDoS
O ataque DDoS – Distributed Deniel of Service – é mais complexo do que
DoS.
28
Podem utilizar até milhares de computadores zumbis distribuídos na rede –
infectados por algum programa malicioso – e atacam determinada vítima,
sobrecarregando seu sistema, tornando-o inacessível para os clientes o qual
acessam.
2.3 REGRAS E TÉCNICAS DE DEFESA
Nessa parte serão levantadas as regras de implantação para uma boa
segurança em uma rede e também os dispositivos disponíveis contra possíveis
ataques.
2.3.1 Políticas de Segurança
Nakamura e Geus (2007) destacam a política de segurança como a base
para todas as questões relacionadas à proteção da informação em uma rede. O
desenvolvimento dessa política é o primeiro passo para a estratégia de uma
segurança em uma organização. É nesse ambiente que todos os aspectos de
proteção serão definidos.
A política de segurança também trata dos aspectos humanos, culturais,
tecnológicos, processos de negócios e legislações locais.
Segundo Nakamura e Geus (2007) os elementos essenciais que uma
política de segurança deve possuir são:
Vigilância: Todos os membros da organização devem entender a
essencialidade da segurança no ambiente a qual trabalham. A vigilância visa
monitorar o sistema e sua rede, alertar e responder eventos em acontecimento;
Atitude: Se o ambiente não tiver uma atitude necessária, a segurança não
terá uma proposta de valor. Essa atitude não é apenas o trabalho que está sendo
feito após uma causa, e sim o trabalho feito após um treinamento. A atitude como
um todo é um planejamento contínuo;
29
Estratégia: É o ponto de definição para a criação de um plano de defesa
contra os ataques. O plano de defesa não pode interferir com o andamento dos
negócios de uma organização;
Tecnologia: A tecnologia deve suprir as necessidades da organização. É
de suma importância ela ser adaptativa e flexível. Se essa tecnologia não atender as
necessidades reais da organização ela estará colocando-a em perigo constante.
Nesse aspecto podemos citar o Firewall – dispositivo da rede que aplica as políticas
de segurança.
As políticas de seguranças são regras gerais e estruturais as quais são
aplicadas ao contexto de toda a organização.
2.3.2 Técnicas de Defesa na Rede
Atualmente existem diversas técnicas de defesa para evitar ataques por
partes de invasores na rede. Podemos citar:
Firewall: O Firewall é um ponto entre duas ou mais redes. O Firewall faz o
controle, a autenticação e o registro do tráfego da rede;
Anti-vírus: Programas de computador criados para prevenir, detectar,
isolar e eliminar vírus de computadores, como worms, trojans – “cavalos de tróia”
capazes de acessar e copiar informações de vítimas;
Anti-spyware: Detecta e elimina spyware, adware e keyloggers –
programas espiões;
Autenticação: Log in e senhas. É de extrema recomendação a utilização
de senhas com combinação de letras, números e símbolos especiais;
Criptografia: É a responsável por manter as informações sigilosamente.
Por meio da cifragem, a criptografia disfarça o texto original. A mensagem é
descriptografada por meio da decifragem. A técnica é realizada graça a algoritmos
com funções matemáticas, as quais transformam o texto original em um texto
inteligível. Um exemplo de um algoritmo de criptografia de dados é o RSA;
30
Atualização do sistema: É importante atualizar sempre que possível o
sistema de sua rede, para correção de falhas que podem ser aproveitadas para um
ataque;
Ferramentas de monitoração da Rede: Existem softwares específicos para
avaliar a segurança da rede. A monitoração permite verificar se a rede está sendo
invadida. Um exemplo de uso é o software nmap.
A segurança realmente é um aspecto indispensável para qualquer ambiente
organizacional. Caso ela funcione corretamente, protegerá suas informações contra
ataques de invasores, que a cada dia criam novas técnicas para realizar suas
invasões.
31
3 SEGURANÇA EM AMBIENTES DE COMPUTAÇÃO EM NUVEM
A segurança da Computação em Nuvem está diretamente relacionada à
segurança da Internet, pois ela é o ambiente no qual o conceito de CN é aplicado.
Dessa maneira a CN também está suscetível aos mesmos ataques que são
feitos na rede Internet.
Maicon Junior et al. (2010) salientam que quando se fala em segurança no
ambiente computacional deve-se sempre serem lembradas as propriedades básicas:
confidencialidade, integridade, disponibilidade, autenticidade e não repúdio.
A CN também utiliza de mecanismos de segurança que são praticados na
rede Internet, como criptografia, autenticação, controle de acesso e mais algumas
técnicas que serão descritas posteriormente. Agora serão descritos os reais riscos
no ambiente da nuvem.
3.1 RISCOS E AMEAÇAS NA COMPUTAÇÃO EM NUVEM
Antes de qualquer aplicação de uma nuvem computacional, é necessária
uma profunda análise dos riscos e ameaças que os sistemas e os aplicativos os
quais serão disponibilizados possam ter.
Maicon Junior et al. (2010) enfatizam que é necessário avaliar quais dados e
serviços podem ser transferidos para o ambiente externo à organização se a nuvem
for pública. Os principais ativos suportados da nuvem são: dados, aplicações,
processos e serviços. É importante que esses ativos/recursos sejam analisados para
determinar a importância para o negócio da organização.
As organizações podem mover integral ou parcialmente seus
processos ou dados para o ambiente de Computação em Nuvem.
Parte das transações e informações podem ser mantidas dentro do
perímetro da organização – em ambiente privado.
(MAICON JUNIOR et al, 2010, p. 76)
É necessário entender os relacionamentos e dependências entre diferentes
camadas da Computação em Nuvem. As camadas são: IaaS,. SaaS e PaaS.
32
Maicon Junior et al. (2010) basicamente explicam as camadas como: O
SaaS oferece serviços pré-determinados e com um nível relativamente alto de
segurança. O PaaS oferece ao usuário a possibilidade de desenvolveram seus
aplicativos em cima de uma plataforma e com isso seu conceito oferece também a
possibilidade de inserir camadas de segurança adicionais. E o IaaS, por seu lado,
prevê poucas funcionalidades específicas para aplicações, mas é flexível e
extensível.
Este provê poucas funcionalidades de segurança integradas – além
da própria infraestrutura da nuvem. IaaS necessita que o sistema
operacional, aplicações e conteúdo seja gerenciado e protegido pelo
consumidor da nuvem computacional. (MAICON JUNIOR et al,
2010,p. 76)
3.1.1 Principais Ameaças
Com o modelo de Computação em Nuvem a informática passa a ser
um utilitário que pode ser contratado e utilizado de acordo com a
necessidade, sem que o consumidor (contratante) tenha que se
preocupar com o gerenciamento da infraestrutura. (MAICON JUNIOR
et al, 2010,p. 78)
Maicon Junior et al. (2010) recomendam que sempre é necessário pensar
antes de decidir se é viável ou não aderir a algum serviço da Computação em
Nuvem. A segurança e a privacidade são os principais desafios a serem traçados.
Se um componente da segurança falha, o sistema inteiro ficará comprometido.
O sequestro de contas ou serviços não é um problema de segurança
desconhecido, pois acontece em phishing, fraudes, exploração de
vulnerabilidades de sistemas e aplicações etc., sendo que é uma
prática comum usuários reutilizarem credenciais e senhas,
amplificando o impacto deste tipo de ataque. (MAICON JR et al,
2010,p. 78)
Segundo Maicon Junior et al. (2010) o IaaS cria uma ilusão aos clientes que
a usam. Essa ilusão seria uma capacidade computacional sem limites de
processamento, largura de banda e armazenamento de dados. Para a compra
33
desses serviços é necessário um processo de um simples registro, esse sendo
comprado por um cartão de crédito. Mas esse registro é anônimo, favorecendo com
isso a possibilidade de fraudes.
Já mencionado anteriormente, um cliente pode comprar um serviço de um
determinado provedor que vende serviços da computação em nuvem, como
armazenamento de dados. Maicon Junior et al. (2010) enfatizam a utilização de
modelos de armazenamento de dados seguro, visando a integridade das
informações armazenadas em infraestruturas de terceiros.
Há outros problemas que Maicon Junior et al. (2010) citam com relação aos
problemas de segurança na CN. Arquivos sem cópia de segurança podem ser
manipulados, alterados e apagados, por isso é recomendado fazer cópias para
backups.
Ambientes terceirizados ou externos necessitam de práticas e
mecanismos de segurança rigorosos para garantir a segurança dos
dados em trânsito, proteção dos dados utilizados em processos,
gerenciamento do ciclo de vida de chaves, estabelecimento de
regras contratuais com os provedores exigindo a correta destruição
de dados que estão armazenados em mídias antes desta serem
liberadas para uso, estratégias para efetuar a cópia de segurança
etc. (MAICON JUNIOR et al, 2010,p. 79)
3.2 TÉCNICAS E PRÁTICAS DE SEGURANÇA NA NUVEM
Nesse item serão abordadas as melhores técnicas e práticas de segurança
na nuvem segundo um relatório feito pela Cloud Security Alliance (CSA) em 2009. A
CSA é uma organização que fornece constantemente relatórios com as melhores
recomendações técnicas e práticas com relação ao ambiente da segurança na CN.
34
3.2.1 Segurança Tradicional e Recuperação de Dados
O ambiente da CN não é estático, ele muda constantemente e em ritmo
acelerado. Esse ritmo acelerado exige que os profissionais envolvidos nesse
ambiente estejam totalmente envolvidos no controle, manutenção e monitoração de
seus provedores que estão sendo usados.
É importantíssimo nessa monitoração identificar os riscos para evitar
problemas futuros. A CSA (2009) ressalta que os problemas podem ser diminuídos
mas nem todos podem ser resolvidos, suas recomendações são:
Fraude interna: Tenha em mente que a fraude interna, ou seja, pelos
próprios profissionais do ambiente da CN é significativa;
Segurança: A segurança para os clientes deve ser rigorosa, considerando
o custo e benefício. Esse custo deve ser eficaz, levando em conta a redução de
riscos e as reais necessidades dos clientes;
O provedor da CN deve conhecer os seus profissionais: O provedor deve
garantir que esses profissionais não usam de modo malicioso meios de obter
informações pessoais de seus clientes que não podem ser acessados. Ela deve
limitar esse acesso e monitorar essas ações. É importante conhecer o antecedente
dos seus profissionais;
Divisão de responsabilidades: É de responsabilidade do cliente
inspecionar os locais das instalações dos provedores da CN. Ele também deve
verificar os meios de recuperação de dados que o provedor da CN oferece em caso
de desastres internos.
3.2.2 Respostas a Incidentes, Notificações e remediação
Na CN é difícil de contratar alguém em caso de um incidente de segurança,
seja ela uma invasão ou até vazamento de informação para uma eventual
investigação. É importante criar um mecanismo padrão para essas eventuais falhas
de segurança.
35
O cliente deve supor que nem todos os princípios de segurança e
integridade de dados podem ter sido elaborados e implementados nos aplicativos
que o provedor de um serviço da CN está oferecendo. Isso poderá acarretar em
problemas de operação desses serviços em futuro próximo.
(...) Uma organização que cogita usar os serviços de Computação
em Nuvem precisa revisar quais mecanismos foram implementados
em relação ao acesso a dados de empregados que não são regidos
por contratos de usuário e políticas de privacidade. (...) (CSA, 2009,
p.59)
A maneira de um provedor da SaaS de controlar seus serviços é diferente
dos provedores da IaaS e SaaS. A CSA (2009) enfatiza que o cliente deve analisar o
nível de segurança do serviço que deseja utilizar.
Um Centro de Operações de Segurança (em inglês SOC) monitora os
alertas e outros tipos de incidentes, tais como detecção de intrusos. As notificações
que um SOC pode criar crescem exponencialmente em um ambiente na
Computação em Nuvem, devido à necessidade de monitoração desse centro deve
realizar, desde atividade entre cliente até um ambiente externo.
As seguintes recomendações que a CSA (2009) relata sobre respostas a
incidentes, notificações e remediações são:
Incidentes e suspeitas: O cliente deve saber as reais diferenças entre
incidentes (quando ocorre realmente alguma falha, como roubo de dados) e eventos
corriqueiros como suspeita de invasão em um serviço;
Limitações: O cliente poderá ter um acesso limitado com relação a
respostas de um eventual incidente. Por essa razão o cliente deverá conhecer
detalhadamente os canais de comunicação predefinidos para contratar uma equipe
responsável a lidar com respostas a incidentes;
Ferramentas de Segurança: As ferramentas de segurança devem ser
conhecidas pelo cliente, quais realizam detecções e análises de incidentes;
Existe um processo chamado de Gestão de Eventos e Informações de
Segurança (SIEM). Esse identifica as fontes disponíveis de informação (tais como
logs), combina com uma plataforma comum de análise e notificação. Com isso
facilita a detecção de incidentes dentro de um ambiente da Computação em Nuvem.
Essa detecção é feita pelo SOC;
36
Visualização alternativa: É recomendável procurar provedores que
oferecem meios de visualização do ambiente virtual do cliente, essa visualização em
modo “off-line”;
Remediação: A remediação nada mais é que a possibilidade de
restauração de algum dado ou informação para um estado anterior considerado
confiável. É possível retornar a um estado de 6 a 12 meses atrás do estado atual;
Criptografia: É importante usar meios de criptografia em dados
considerados privados no ambiente da CN.
3.2.3 Segurança de Aplicações
Devido a sua flexibilidade, receptividade e disponibilidade pública, a
Computação em Nuvem tem um desafio fundamental na questão sobre segurança
de aplicações em seu ambiente.
“Computação em Nuvem é um desafio particular para aplicações através das
camadas de Software como um Serviço (SaaS), Plataforma como um Serviço
(PaaS) e Infraestrutura como um Serviço(IaaS).” (CSA, 2009, p.62)
Segundo CSA (2009) aplicações em ambientes de nuvem irão impactar
pelos seguintes aspectos principais:
Arquitetura de Segurança da Aplicação: A maioria das aplicações possui
dependência em diversos sistemas. Na CN essas dependências poderão ser
dinâmicas. As modificações arquiteturais para garantir a segurança de uma
aplicação são dependentes do ambiente que essa mesma aplicação se encontra;
Ciclo de Vida de Desenvolvimento de Software: A CN afeta diretamente
todo o ciclo de vida de desenvolvimento de software (SDLC), desde o projeto até
sua possível desativação no futuro;
Conformidade: A conformidade é uma avaliação de critérios já definidos.
Ela pode afetar os dados e também pode influenciar aplicações, como por exemplo,
de qual maneira um programa implementa uma criptografia em particular;
Ferramentas e Serviços: Em um ambiente da CN e há o desafio de por
meio de ferramentas de criar e manter aplicações disponíveis o maior tempo
possível. Alguns exemplos são a dependência nas bibliotecas e serviços em
37
sistemas operacionais diversos, ferramentas de desenvolvimento e teste (...). É
fundamental compreender a função e manipulação dessas e outras ferramentas;
Vulnerabilidades: Essas vulnerabilidades incluem documentos,
vulnerabilidades em aplicações Web entre outros.
As recomendações que a CSA (2009) descreve como alternativas para uma
efetiva segurança em aplicações são:
A segurança em uma SDLC deve abordar em alto nível três principais
áreas de diferenciação com desenvolvimento baseado em nuvem: Ameaças
atualizadas e modelos de confiança; Ferramentas de avaliação e aplicação para
ambientes em nuvem e Processos de SDLC e checkpoint de Qualidade (um ponto
que é atualizado constantemente) para contabilizar mudanças de arquiteturas e
aplicações;
Os três modelos de serviços (IaaS, SaaS e PaaS) criam diferentes limites
de confiança para o ciclo de desenvolvimento de um software;
Um fator importante para IaaS é a presença de imagens de máquinas
virtuais confiáveis;
Gerenciamento e proteção de credenciais e matérias chave de aplicação;
Cuidado adicional no gerenciamento de arquivos usados para os registros
(logs);
Os provedores de nuvem devem suportar a dinamicidade de ferramentas
de segurança para aplicações Web;
Atenção às novas ações causadas por atores maliciosos em arquiteturas
novas no ambiente na Computação em Nuvem. Um hacker tende a atacar códigos
visíveis;
O cliente deve ter a capacidade de realizar avaliação de vulnerabilidades
remotas.
3.2.4 Criptografia e Gerencialmente de Chaves – Conceitos de Uso
Nessa parte será descrito, segundo a CSA (2009) as melhores
recomendações de uso de criptografia e gerenciamento de chaves.
38
3.2.4.1 Criptografia
A criptografia é uma ferramenta de segurança considerada indispensável em
vários lugares e na Computação em Nuvem não é diferente.
Os clientes desejam que suas informações estejam protegidas, não
importando onde as mesmas estejam armazenadas fisicamente.
A CSA (2009) considera a criptografia com parte de um mecanismo
fundamental para a proteção de informações e dados armazenados no ambiente da
CN. Enquanto a cifragem criptografa um dado, o gerenciamento de chaves permite o
acesso ao mesmo.
As maneiras de criptografar um dado segundo CSA (2009) são:
Criptografar dados em trânsito através de redes: É de extrema
necessidade criptografar credenciais multiuso em trânsito através da Internet, como
senhas e número de cartões de créditos. Segundo a CSA (2009) as redes dos
provedores da CN são mais seguras do que a própria Internet, entretanto cada
provedor tem sua arquitetura e compartilham o conceito do ambiente da CN, com
isso fica evidenciada a importância da segurança dentro do próprio provedor;
Criptografar dados em repouso: Criptografar dados em disco ou em banco
de dados de produção pode proteger suas integridades contra um provedor de
serviço de nuvem com intenções maliciosas e até abuso de aplicações que
executam processos que não deveriam por fazê-los;
O cliente pode cifrar seus dados e enviá-los a um fornecedor de
armazenamento. Como o cliente detém a chave de decifragem só ele será capaz de
decifrar o código criptografado em seu próprio ambiente.
No modelo de serviço IaaS é mais comum esse tipo de mecanismo de
segurança, enquanto no PaaS é, geralmente, mais complexo. No SaaS isso só é
possível quando o cliente solicita o provedor o qual contratou.
Criptografar dados em mídias de backup: O backup tem sua importância
por possibilitar a proteção de dados contra o mau uso de alguma mídia perdida ou
até roubada. É de responsabilidade do provedor verificar qual criptografia estará
sendo utilizada;
39
A CSA (2009) lembra a possibilidade de ataques exóticos (aqueles que
fogem dos ataques mais comuns) contra provedores da CN e com isso uma maior
importância para a proteção de dados dinâmicos.
3.2.4.2 Gerenciamento de Chaves
Os provedores da CN podem promover o uso de mecanismos básicos de
chaves de criptografia para a proteção de seus aplicativos e informações de seus
clientes. Entretanto continua árduo o trabalho dos provedores para suportar a
adesão de mecanismos mais robustos de gerenciamento de chaves. (CSA, 2009)
Alguns dos problemas enfrentados pelos provedores para a utilização de
gerenciamento de chaves, segundo a CSA (2009) são:
Repositórios seguros de chaves: O repositório o qual armazena as chaves
deve estar protegido, tanto no armazenamento, trânsito de dados e backups. Se os
repositórios não estiverem protegidos a chance de invasão e comprometimento de
todas as aplicações e outros dados em um ambiente da CN é alta;
Acesso ao repositório de chaves: O acesso aos repositórios deve ser
limitado àqueles que realmente devem acessá-los. É importante a definição de uma
política para o controle de acesso;
Backup e recuperação de chaves: É de extrema importância a criação de
backups de chaves. Se uma ou várias chaves forem perdidas e até mesmo
roubadas toda a segurança do ambiente de uma CN ficará comprometida.
Dentre as recomendações da CSA (2009) de utilização de chaves e seus
gerenciamentos podemos citar:
Utilização de criptografia para separar posse de dados de uso de dados;
Segregar o gerenciamento de chaves com o intuito de proteger tanto o
cliente como o próprio provedor quando houver a obrigação de fornecer dados com
a expedição de um mandato legal;
Assegurar padrões existentes de indústria e governo quando determinar a
utilização de criptografia em uma linguagem de contrato;
O cliente deve saber como o provedor da nuvem provém o gerenciamento
de papéis e separação de funções;
40
É Importante garantir a criptografia em dados do cliente, tanto no trânsito da
rede como no estado de repouso.
3.2.5 Gerenciamento de Identidade e Acesso
Atualmente os maiores desafios na questão de segurança da Nuvem são o
controle de acesso e o gerenciamento de identidades.
Se um provedor tem seu sistema novo com uma segurança escassa e
deseja torná-la mais complexa é necessária uma avaliação profunda de quão esse
sistema está preparado para evoluir em se tratando de segurança para conduzir da
melhor maneira um Gerenciamento de Identidade e Acesso (GIA).
As principais funções da GIA no ambiente da CN segundo CSA (2009) são:
Provisionamento de Identidade: O gerenciamento ágil e seguro de
concessão e revogação de usuários na nuvem são ainda desafiadores para muitas
empresas;
Autenticação: Também é desafiador a autenticação dos usuários que
passarão a usar os serviços do provedor da CN, e essa autenticação para os
usuários é uma exigência vital.
Há duas opções que os serviços PaaS e SaaS oferecem para autenticação:
serviços próprios para autenticação ou delegar autenticação a empresas.
Com relação aos clientes eles possuem as seguintes opções:
As empresas devem considerar autenticar seus usuários através de seus
próprios Provedores de Identidades;
Centrar a autenticação de um usuário como do Google, Yahoo, etc, com isso
permitindo utilizar um único credencial válido para validação;
Se um serviço SaaS é responsável por delegar a autenticação deve ser
analisado cuidadosamente uma segurança adequada;
No caso da IaaS é possível a utilização de Virtual Private Network (VPN)
para o pessoal de TI. Um túnel da VPN é recomendo a ser usado para os sistemas a
qual o Gerenciamento de Identidade é utilizado.
Federação: O GIA Federadas permite que organizações autentiquem seus
usuários de nuvem usando o provedor de identidade por ela escolhido. Se uma
41
organização considera o gerenciamento de identidade federadas na nuvem é
necessário que ela entenda os riscos, desafios e possíveis soluções como, por
exemplo, o gerenciamento de ciclo de vida da identidade, tal como quais os métodos
disponíveis para garantir a integridade e confidencialidade de uma autenticação. A
CSA (2009) ressalta a importância da flexibilidade que os provedores da nuvem
devem possuir para aceitar os formatos padrão de federação de diferentes
provedores de identidade;
Autorização e Gerenciamento de perfil de usuário: A maneira que o
usuário, sendo um usuário comum ou representando de uma empresa, usa serviços
da nuvem irá determinar a exigência para a política de controle de acesso e perfis,
facilitando com isso futuras auditorias.
Com base em todas as informações anteriormente discutidas nota-se que a
Computação em Nuvem possui suas próprias políticas de segurança e técnicas de
defesa para garantir a integridade e confidencialidade das informações nelas
armazenadas. O êxito dessa segurança irá depender de como ela será projetada,
desenvolvida e monitorada pelos provedores de serviços na nuvem.
42
4 TECNOLOGIAS E APLICAÇÕES NA NUVEM
Neste capítulo serão abordadas quais as tecnologias e aplicações que
podem ser encontradas na CN, tal como as empresas que estão investindo nesse
ambiente, descrito por Souza et al (2009).
4.1 TECNOLOGIAS NA NUVEM
Atualmente já são encontrados tecnologias na nuvem oferecidas por
grandes empresas, tais como Amazon, Google e Microsoft. A Amazon iniciou seus
serviços na Computação em Nuvem em Julho de 2002 e é considerada uma das
pioneiras a disponibilizar e comercializar esses tipos de serviço (SOUZA; MOREIRA,
MACHADO, 2009, p. 11)
4.1.1 Amazon Web Services
A Amazon Web Services (AWS) oferece uma infraestrutura completa para a
computação, desde a mais simples até a mais complexa. Um sistema de destaque
do AWS é o Elastic Compute Cloud (EC2). Esse sistema é responsável por todo
gerenciamento das aplicações na infraestrutura da Amazon. A figura 4.1 demonstra
o conceito da Amazon Web Services
Figura 4.1: Amazon Elastic Compute Cloud Fonte: SOUZA; MOREIRA; MACHADO, 2009, p.14
43
O Amazon Simple Queue Service (Amazon SQS) em conjunto com o EC2
fornece a automação de workflows – Um workflow, no contexto geral de um
software, tem como objetivo o suporte ao trabalho cooperativo, ou seja, a interação
entre usuários. (SOUZA; MOREIRA; MACHADO, 2009, p.15)
Amazon Simple Storage Service (Amazon S3) tem como responsabilidade o
armazenamento e recuperação de dados, enquanto que o SimpleDB fornece as
funcionalidades de um sistema de banco de dados. (SOUZA; MOREIRA;
MACHADO, 2009, p.15)
4.1.2 Eucalyptus
O Eucalyptus tem como uma de suas funções fornecer uma interface
compatível com Amazon EC2 e S3. Também permite que usuários criem suas
próprias infraestruturas e desfrutem a computação em nuvem como um todo.
(SOUZA; MOREIRA; MACHADO, 2009, p.15)
4.1.3 Windows Microsoft Azure
Desenvolvido pela empresa Microsoft, o Windows Microsoft Azure é um
sistema operacional baseado no modo PaaS (Plataform as a Service) – Plataforma
como Serviço. Esse sistema operacional pode ser usado por aplicações em
execução na própria nuvem ou até mesmo fora dela. (SOUZA; MOREIRA;
MACHADO, 2009, p.15). Na figura 4.2 há a relação de serviços do Microsoft
Windows Azure.
Figura 4.2: Microsoft Windows Azure Fonte: SOUZA; MOREIRA; MACHADO, 2009, p.15
44
4.1.4 Google App Engine
Desenvolvido pela Google, o Google App Engine oferece o desenvolvimento
de aplicações Web, esses executados na infraestrutura do próprio Google. Baseado
também no modelo PaaS, oferece um conjunto de Application Programming
Interface (API) – Interface de Programação de Aplicativos – e modelos de aplicação
para o desenvolvimento dos usuários os quais os utilizam. (SOUZA; MOREIRA;
MACHADO, 2009, p.16)
4.1.5 Salesforce
Baseado no Gerenciamento de Relacionamento com Cliente, a Salesforce
aplicações para empresas em busca de interagir com seus clientes e torna-los
satisfeitos. Um dos seus aplicativos (Sales Cloud) é o mais usado no mundo para
vendas. (SALESFORCE, 2011)
4.2 APLICAÇÕES NA NUVEM
Nesse item serão abordadas brevemente algumas aplicações da CN que já
estão disponíveis para uso.
4.2.1 Panda Cloud Antivirus
A aplicação Panda Cloud Anitvirus é considerada a primeira em questão de
antivírus na nuvem. (PANDA, 2011)
Seu funcionamento é simples, pois é baseado em Inteligência Coletiva, ou
seja, são os próprios usuários em rede que compartilham conhecimento sobre novos
vírus, malwares e outros tipos de ameaças. Se uma pessoa em qualquer lugar do
Mundo detectar um novo vírus e ao mesmo tempo está utilizando o Panda Cloud
45
Antivirus todos que também usufruem dessa aplicação também tomarão
conhecimento da nova ameaça e se protegerão quase de imediato. (PANDA, 2011)
Desenvolvido pela Panda Security, o Panda Cloud Antivirus é disponibilizado
de graça para qualquer usuário, bastando ter um sistema operacional, 64 MB de
RAM e um navegador de Internet. Também há uma versão paga que oferece
algumas funcionalidades não disponíveis na versão de graça. (PANDA, 2011)
Na figura 4.3 há um exemplo do funcionamento do Panda Cloud Antivirus.
Figura 4.3: Panda Cloud Antivirus em uso Fonte: Elaborado pelo autor
Na figura 4.3, Panda Cloud Antivírus avisa que não há ameaças encontradas
no sistema.
4.2.2 Aplicativo iCloud
Em Julho 2011 a empresa Apple anunciou o serviço iCloud. O usuário é
capaz de armazenar fotos, músicas, vídeos, documentos e também executar outras
aplicações da própria Apple. (APPLE, 2011)
O iCloud além de oferecer seus serviços para um Computador também
atinge aparelhos como iPad, iPhone, MAC, esses também da Apple. (APPLE, 2011)
46
Figura 4.4: Exemplo de funcionalidade do iCloud Fonte: Apple. 2011
Na Figura 4.4 há um pequeno exemplo do iCoud, um aplicativo que tem
compatibilidade com e-mails, calendários e também a possibilidade de
armazenamento no iCloud Storage.
4.2.3 Google Docs
Criada pela empresa Google, o Google Docs oferece o serviço de criar,
modificar e armazenar arquivos como documentos, slides, formulários e planilhas
on-line. Seu lançamento foi em Agosto de 2005 e até hoje é utilizado por milhões de
usuários que pode compartilhar o mesmo documento. (GOOGLE, 2011)
Figura 4.5: Demostração do Google Docs - Criar e colaborar facilmente Fonte: Google Docs, 2011
47
4.2.4 Aplicativo Zoho
Também baseada no Gerenciamento de Relacionamento com o Cliente, o
aplicativo Zoho foi desenvolvido pela Zoho Corporation. Seu foco de
desenvolvimento foi baseado na necessidade das empresas para obterem uma
melhor produção e menores gastos. Contando com mais de 22 milhões de
aplicações e 5 milhões de usuários pelo Mundo, o aplicativo Zoho já recebeu
inúmero prêmios como “Produto do Ano” pela InforWorld em 2009. O Zoho também
pode ser utilizado para o uso doméstico. (ZOHO, 2011)
O aplicativo Zoho foi escolhido para testes de segurança que serão
realizados e documentados no próximo item.
Na figura 4.6 há um exemplo de utilização do aplicativo Zoho.
Figura 4.6: Exemplo de utilização do Zoho Fonte: Elaborado pelo autor
A figura 4.6 mostra o aplicativo Zoho Mail, de criação do próprio Zoho. Na
figura também pode ser visto outros aplicativos como a de Tarefas, Calendários etc.
48
5 TESTES DE SEGURANÇA
Para a realização dos testes, alguns aspectos importantes devem ser
levados em conta, sendo eles, o critério de avaliação e quais os aspectos a serem
avaliado.
O primeiro passo para a realização dos testes, foi a criação de uma
aplicação exemplo utilizando-se uma solução disponível na Nuvem e de utilização
gratuita. Neste trabalho foi utilizada a solução Zoho – Work.Online da empresa Zoho
Corporation (www.zoho.com), a qual disponibiliza um conjunto de aplicações da
Nuvem, entre elas a Zoho Creator, que permite a criação de formulários e banco de
dados na nuvem de forma simples e rápida. A opção pela adoção desta solução se
deve ao fato da mesma atender os requisitos estabelecidos inicialmente, o de não
haver custo (a solução Zoho Creator, permite a criação de três bancos de dados e
um limite para 1000 registros sem custo) e também de oferecer uma possibilidade
da criação de uma aplicação de forma rápida e eficiente, tendo em vista que este
não era o objetivo deste estudo.
Outras soluções estão disponíveis na nuvem, muitas operam de forma
gratuita, mas limitadas, a exemplo do próprio serviço do Zoho com objetivo único de
divulgação do serviço, outras operam de forma totalmente restrita aos usuários ou
assinantes de seus serviços.
Não podemos deixar de citar, talvez a mais popular das soluções disponíveis
na nuvem: o Google Docs, o qual também possui o recurso de criação de formulário
simples de cadastros. Mas esta não é uma solução com banco de dados, pois os
dados registrados no formulário construído pelo Google Docs são armazenados em
uma planilha, tornando este o motivo da opção pela ferramenta adotada para os
testes.
49
5.1 A SOLUÇÃO
A criação do formulário do ambiente de testes na solução Zoho Creator, é
feita de maneira bem intuitiva, iniciando-se primeiro pela criação da aplicação, neste
trabalho chamada de “Cliente em Nuvem”, conforme a Figura 5.1.
Figura 5.1: Ilustração do painel de gerenciamento de aplicações do Zoho Creator Fonte: Elaborado pelo autor
Com a aplicação (banco de dados) criado, o próximo passo foi a criação do
formulário simples de cadastro, criado utilizando-se as opções pré-definidas no
menu (a esquerda) da Figura 5.2.
Figura 5.2: Ilustração do painel de criação do formulário da aplicação Fonte: Elaborado pelo autor
A criação desse formulário é simples e intuitiva. No campo esquerdo basta
somente escolher as opções que serão utilizadas no formulário, como por exemplo
campo de e-mail. Além do e-mail, foram utilizados os campos single line e number.
50
O resultado obtido foi um formulário que armazenava os dados de um
cadastro simples de uma pessoa física, ilustrado na Figura 5.3.
Figura 5.3: Formulário de cadastro gerado na solução Zoho Creator Fonte: Elaborado pelo autor
Após a criação da aplicação, foi gerada de maneira automática uma Uniform
Resource Locator (URL) para acesso ao formulário. Esta URL é composta pelo
usuário Zoho – guilherme_vaidotas, pelo nome da aplicação – cliente-em-nuvem e
pelo nome do formulário – Cliente. A URL segue apresentada na figura 5.4.
Figura 5.4: URL do formulário de teste Fonte: Elaborado pelo autor
5.2 OS TESTES
As características de segurança a serem testadas em uma aplicação para
computação em nuvem foram definidas por meio de pesquisa bibliográfica, e
segundo Bittencourt e Manola (2011) são:
URLs amigáveis: Com este sistema, é mais difícil sofrer ataques de SQL-
Injection pela barra de endereços do browser (navegador de Internet), pois o próprio
servidor Web se encarrega de realizar filtros nativamente quando este modo é
ativado;
51
Robots.txt: Neste arquivo podem ser expostos caminhos sensíveis. Uma
boa prática é listar os caminhos que se permite (assegurando-se que estes não
representam uma vulnerabilidade) e negar o acesso a todos os outros;
Login Remoto: Não possuir portas abertas para serviços de login remoto
(TCP/21-23, TCP/144);
Secuirty Socket Layer: Se permite login, têm que forçar o SSL, o qual
adiciona uma camada de segurança em decorrência da criptografia, protegendo
assim, informações como usuário e senhas. É imprescindível que a assinatura do
certificado seja emitida por uma entidade globalmente reconhecida na Internet;
SSL no Cadastro: Se o serviço da nuvem permite cadastro onde são
inseridas informações pessoais, como e-mail, endereço residencial, etc, é
necessário que este formulário seja submetido por meio de SSL.;
Versão do servidor Web: O servidor deve ser configurado de forma a não
divulgar a sua versão do sistema. Um atacante pode identificar bug-reports daquela
versão e já saber quais são os ataques possíveis de serem feitos;
Captcha: Captcha para N tentativas mal sucedidas. O captcha é um
recurso de segurança que permite evitar que robôs (crawlers) efetuem ataques de
força bruta em sistemas de login na Internet;
Virtual Hosting: Alguns sistemas usam virtual hosting como uma forma de
permitir que mais de uma aplicação com endereços FQDN diferentes compartilhem a
mesma máquina (mesmo IP), isso pode representar uma ameaça pois caso uma das
aplicações hospedadas no servidor esteja vulnerável, um invasor pode explorar tal
vulnerabilidade, obter acesso ao servidor e comprometer outras aplicações que ali
estão;
Predictable Resoure Location: O ataque PRL consiste em buscar
caminhos e nomes de arquivos conhecidos por determinados frameworks Web para
descobrir o que está sendo rodado no servidor. Com esta informação pode-se tentar
explorar bugs destas ferramentas usadas para tentar conseguir acesso à aplicação
principal;
SQL Injection: Este ataque permite que o invasor insira um código SQL em
variáveis que serão usadas em consultas de banco de dados. Explorando este
ataque o invasor pode obter acesso a nomes de usuário e senhas da aplicação em
questão.
52
Para a realização dos testes faz-se necessário a utilização de softwares para
esta finalidade. Após uma pesquisa, vários foram identificados para tais fins, onde
podemos citar o Nikito (realiza os testes de PLR), o Acunetix Web Vulnerability
Scanner (para realizar o teste de SQL Injection). Porém estas ferramentas a
exemplo do Acunetix possui versão Demo limitada a testes realizados apenas em
URLs específicas para o conhecimento das operações da ferramenta, impedindo
assim que a utilizássemos para testar o ataque de SQL Injection em nossa URL,
mas utilizada para testar outras funções como o teste do arquivo Robots.
Considerando estes aspectos, neste trabalho utilizamos a ferramenta NMAP,
figura 5.5 apenas para identificar se as portas permitidas para Login Remoto
(TCP/21-23, TCP/144) estavam abertas.
Figura 5.5: Interface do software NMAP Fonte: Elaborado pelo autor
No campo “Alvo” será atribuído a URL do Zoho Creator, escolhendo o tipo
de exame como intense scan (exame intenso)
53
5.3 RESULTADOS
Com relação ao teste de URL amigável, a aplicação criada no Serviço Zoho
Creator não apresentou um resultado satisfatório, pois apresenta informações
referentes à estrutura de armazenamento do formulário no servidor como segue:
https://creator.zoho.com/guilherme_vaidotas/cliente-em-nuvem/#Form:Cliente
Utilizando o software Acunetix foi realizado o teste do arquivo Robots.txt, o
qual teve sua segurança certificada pela ferramenta, conforme o resultado da figura
5.6.
Figura 5.6: Resultado do teste de vulnerabilidade do Robots.txt Fonte: Elaborado pelo autor
A Figura 5.6 descreve o status Ok no arquivo Robots.txt.
Para a realização do teste de Login Remoto, conforme já citado, foi utilizado
o software NMAP, onde os resultados apresentados se mostraram positivos, pois a
portas TCP/21-23 (FTP, ssh e telnet), TCP/144 (UMA) encontravam-se fechadas
conforme figura 5.7.
Figura 5.7: Resultado da varredura nmap Fonte: Elaborado pelo autor
54
As portas abertas encontradas pelo nmap conforme a Figura 5.7 foram
TCP/80 (Web) e TCP/433 (HTTPS).
O teste de criptografia foi checado através do navegador utilizado (Google
Chrome), o qual apontou os dados da certificadora e a chave de criptografia utilizado
na aplicação Zoho Creator de 256 bits, conforme a Figura 5.5.
Figura 5.8: Características de segurança da solução Zoho Creator
Fonte: Elaborado pelo autor
O teste de segurança no acesso com Login e senha foi realizado com o
intuito de identificar se o formulário oferece proteção contra acesso indevido, como
por exemplo, força bruta.
Figura 5.9: Tela para iniciar a sessão no Aplicativo Zoho Fonte: Elaborado pelo autor
55
Após 5 (cinco) tentativas de login, a ferramenta captcha foi acionada para
bloquear a tentativa de acesso por força bruta. Com o captcha é possível evitar que
programas tentem realizar um acesso após várias tentativas, pois o captcha pede
que o usuário leia os caracteres em uma determinada imagem e o reescreva em um
campo determinado para verificar se foram digitados corretamente. Somado a isso
ainda é pedido o nome do utilizar e a senha do mesmo, tornando a segurança do
acesso mais forte. Na figura 5.4 é demonstrada a utilização do captcha.
Figura 5.10: Resultado Captcha Fonte: Elaborado pelo autor
Baseado nos aspectos testados como exemplificação para demonstração do
nível de segurança em uma aplicação hospedada na nuvem, a solução adotada
(Zoho Creator) atendeu os principais requisitos básicos de segurança para a
proteção de aplicações feitas pela sua ferramenta, como a utilização de criptografia
(um método de segurança que foi citado em capítulos anteriores), a utilização do
captcha contra maneiras de força bruta de acesso e mesmo a proteção do
Robots.txt que impede a identificação de caminhos expostos do servidor. A
aplicação não obteve um bom resultado no item URL amigável dado (como já citado)
à sua extensão, o que expõe a estrutura do endereço.
Os resultados obtidos com estes testes apenas ilustram um exemplo da
avaliação das técnicas de segurança da nuvem.
56
CONCLUSÃO
Ao se estudar um assunto tão delicado como a segurança em uma rede,
sempre devemos considerar que os sistemas são inseguros.
Partindo-se deste ponto, a segurança é algo que deve ser considerada um
dos principais elementos de uma rede. Quando essa rede é a Internet, todos os
problemas se multiplicam. Considerando que a Computação em Nuvem é um
conceito que utiliza a Internet como ambiente, a segurança na Computação em
nuvem é algo que deve ser muito estudado para haver um aprimoramento.
É importante lembrar que o nível de segurança na Computação em Nuvem
depende do que ele oferece propriamente dito. Armazenar dados pessoais é ainda
um desafio a ser enfrentado, um desafio mais sério do que criar simples formulários.
O teste realizado não determinou uma conclusão final sobre a real eficácia
da segurança da Computação em Nuvem, foi apenas tomado como base onde
simples testes de segurança foram realizados em um simples serviço. Porém há o
destaque do bom rendimento dos testes realizados.
Ficou evidenciado que o provedor e o cliente devem atuar juntos para
determinar uma boa eficácia na segurança. O provedor sempre deverá estar
atualizado quando o assunto é novas ameaças e novos mecanismos de defesa, ele
deverá ser capaz de aderi-las. O cliente por seu lado deve interagir com o provedor,
tem que tomar conhecimento da situação da estrutura e serviço a qual escolheu
utilizar.
A Internet ainda possui suas falhas nos dias atuais e com a Computação em
Nuvem não poderia ser diferente, mas com toda pesquisa e testes feitos ficou
evidenciado que ela é e continuará segura de acordo com a seriedade que é
monitorada e utilizada.
57
REFERÊNCIAS
ACUTENIX Disponível em <http://www.acunetix.com> Acessado em 20 de Novembro de 2011.
APPLE iCloud. Disponível em <http://www.apple.com/br/icloud/> Acessado em 20 de Novembro de 2011. BEZERRA, L.; BOECHAT, P.; CAMPOS, S.; CARDOSO, S.; TRISTÃO, R.; Ataques a Computadores. Disponível em: <http://www.ic.uff.br/~otton/graduacao/informaticaI/Ataques.pdf> Acessado em 10 de Abril de 2011. BITTENCOURT, A. A.; MANOLA, R. Segurança na Computação em Nuvem. Faculdades Integradas Espírito-Santenses. 2011. Disponível em <http://www.inf.ufes.br/~rmanola/system/files/Artigo-Posgrad-AndersonAyres-RenanManola-2011.pdf> Acessado em 10 de Novembro de 2011.
COMPUTAÇÃO em nuvem: Leve suas máquinas virtuais para nuvem. 28 de Maio de 2011. Disponível em <http://www.leonardodesign.com.br/blog/2011/05/computacao-em-nuvem-leve-suas-maquinas-virtuais-para-a-nuvem/> Acessado em 1 de Junho de 2011. CSA Guia de Segurança para Áreas Críticas Focados em Computação em Nuvem V2.1. Disponível em <https://cloudsecurityalliance.org/guidance/CSAGuidance-pt-BR.pdf> Acessado em 17 de Maio de 2011. COMPUTER WORLD. Qualcomm é exemplo de bom uso de nuvem privada. 04 de Janeiro de 2011. Disponível em: <http://computerworld.uol.com.br/tecnologia/2011/01/03/estudo-de-caso-qualcomm-e-bom-exemplo-no-uso-de-nuvem-privada/> Acessado em 1 de Maio de 2011. GOOGLE Docs Disponível em <http://www.google.com/google-d-s/intl/pt-BR/tour1.html> Acessado em 13 de Outubro de 2011.
IBM. Computação em nuvem com o Amazon Web Services, Parte 1: Introdução. Disponível em <http://www.ibm.com/developerworks/br/cloud/library/ar-cloudaws1/> Acessado em 27 de Outubro de 2011. MAICON JUNIOR, A.; LAURENO, M.; SANTIN, A.; MAZIERO, C. Aspectos de Segurança e privacidade em ambiente de Computação em Nuvem. Capítulo 2. Universidade Estadual do Ceará. 2010. Disponível em: <http://www.insert.uece.br/sbseg2010/anais/04_minicursos/minicurso_02.pdf> Acessado em 17 de Abril de 2011. NAKAMURA, E. T.; GEUS, P. L. DE. Segurança de Redes em Ambientes Cooperativos. 1. Ed. Novatec. 2007. 488 p.
58
NETO, O. O.; FREITAS, R. C. Computação em Nuvens, visão Comparativa entre as principais plataformas do mercado. Faculdade Integral do Ceará. 2010. Disponível em: <http://olavooneto.files.wordpress.com/2011/01/computacao_em_nuvens_visao_olavo_neto.pdf> Acessado em 12 de Abril de 2011. NIKITO Web Scanner. Disponível em <http://cirt.net/nikto2> Acessado em 17 de Novembro de 2011. NMAP Free Security Scanner For Network Exploration & Hacking. Disponível em <nmap.org> Acessado em 5 de Novembro de 2011. PANDA Cloud Antivirus. O primeiro antivírus da Nuvem. Disponível em <http://http://www.cloudantivirus.com/pb/forHome/> Acessado em 20 de Novembro de 2011. SALESFORCE Fundation. Disponível em: <www.salesforce.com> Acessado em 12 de Abril de 2011. SOUZA, F. R. C.; MOREIRA, L. O.; MACHADO, J. C. Computação em Nuvem: Conceitos, Tecnologias, Aplicações e Desafios. Fortaleza. 2009. Disponível em: <http://www.es.ufc.br/~flavio/files/Computacao_Nuvem.pdf> Acessado em 14 de abril de 2011. RSA. O papel da Segurança na Computação em Nuvem confiável. THE SECURITY DIVISION OF EMC. 2009. Disponível em: <http://www.rsa.com/solutions/business/wp/11022_CLOUD_WP_0209_PG.pdf> Acessado em 22 de Abril de 2011. VALE a pena adotar uma nuvem pública? 24 de Julho de 2010. Disponível em <https://www.ibm.com/developerworks/mydeveloperworks/blogs/ctaurion/entry/vale_a_pena_adotar_uma_nuvem_publica38?lang=en> Acessado em 10 de Abril de 2010. ZOHO Work – Online. Disponível em <https://www.zoho.com/> Acessado em 1 de Novembro de 2011.
