Modelos de servi\u00e7os em nuvem<\/h2>\n
Antes que uma avalia\u00e7\u00e3o de seguran\u00e7a da informa\u00e7\u00e3o possa ser feita, devemos primeiro entender como servi\u00e7os em nuvem podem ser providos aos clientes. Os modelos de servi\u00e7o em nuvem mais comuns dispon\u00edveis no Mercado, em ordem de complexidade, s\u00e3o:<\/p>\n
Infraestrutura como servi\u00e7o (Infrastructure as a Service – IaaS):<\/em><\/strong> modelo que oferece apenas infraestrutura computacional b\u00e1sica (ex.: m\u00e1quinas f\u00edsicas e virtuais, localiza\u00e7\u00e3o, rede, backup, etc.).<\/p>\n Plataforma como servi\u00e7o (Platform as a Service – PaaS):<\/em><\/strong> modelo que oferece, al\u00e9m da infraestrutura computacional, um ambiente de desenvolvimento para desenvolvedores de aplica\u00e7\u00f5es (ex.: sistemas operacionais, ambiente para execu\u00e7\u00e3o de linguagem de programa\u00e7\u00e3o, bases de dados, etc.).<\/p>\n Software como servi\u00e7o (Software as a Service – SaaS):<\/em><\/strong> modelo que oferece aos usu\u00e1rios finais acesso a aplica\u00e7\u00f5es e bases de dados (ex.: e-mail, compartilhamento de arquivos, redes sociais, ERPs, etc.).<\/p>\n Perceba que, \u00e0 medida que a complexidade aumenta da IaaS para SaaS, os ativos sob controle da organiza\u00e7\u00e3o come\u00e7am a ficar sob controle do provedor; contudo, em termos de seguran\u00e7a da informa\u00e7\u00e3o, algumas atividades ainda permanecem sob controle da organiza\u00e7\u00e3o cliente, com o veremos na pr\u00f3xima se\u00e7\u00e3o.<\/p>\n A partir de um ponto de vista de seguran\u00e7a da informa\u00e7\u00e3o, as principais preocupa\u00e7\u00f5es envolvendo os modelos de nuvem acima mencionados, e o que voc\u00ea deveria ter o bom senso de considerar em termos de seguran\u00e7a, s\u00e3o:<\/p>\n Classifica\u00e7\u00e3o, r\u00f3tulo e tratamento de informa\u00e7\u00f5es.<\/em><\/strong> Os dados armazenados e processados em ambientes de nuvem de provedores em \u00faltima inst\u00e2ncia pertencem ao, ou est\u00e3o sob a responsabilidade da, organiza\u00e7\u00e3o cliente, assim a decis\u00e3o final sobre como elas devem ser classificadas, rotuladas e tratadas deve sempre ser tomada pelo cliente. Assim, mesmo que todos os ativos estejam sob controle do provedor, como no modelo SaaS, \u00e9 uma boa coisa que sua responsabilidade com rela\u00e7\u00e3o a seguran\u00e7a da informa\u00e7\u00e3o cubra apenas a implementa\u00e7\u00e3o dos controles relacionados a classifica\u00e7\u00e3o dada pela organiza\u00e7\u00e3o cliente.<\/p>\n Gest\u00e3o de identidades.<\/em><\/strong> Nos modelos PaaS e SaaS, dependendo do Sistema de informa\u00e7\u00e3o considerado (ex.: um ERP), grupos de usu\u00e1rios podem ser divididos em usu\u00e1rios requeridos para manter o Sistema no ar (atividades operacionais), frequentemente sob controle do provedor; e usu\u00e1rios requeridos para gerir o acesso a funcionalidades do sistema (ex.: fun\u00e7\u00f5es financeiras e de RH de um ERP) e usu\u00e1rios finais, estes \u00faltimos dois frequentemente sob controle da organiza\u00e7\u00e3o cliente. Assim, em um sistema similar, \u00e9 uma boa coisa manter um controle estrito sobre quais usu\u00e1rios podem pertencer a quais grupos.<\/p>\n Monitoramento.<\/em><\/strong> Independente do modelo de nuvem adotado, dados monitorados podem estar relacionados ao desempenho de ativos (ex.: largura de banda, taxa de transfer\u00eancia, etc.) ou a processamento de dados (ex.: registros acessados, atividades de usu\u00e1rios, hor\u00e1rio de login de usu\u00e1rio, etc.), e no \u00faltimo caso, informa\u00e7\u00f5es sens\u00edveis podem ser comprometidas atrav\u00e9s dos dados monitorados, assim \u00e9 uma coisa boa definir quais dados o provedor pode monitorar e quais dados devem ser tornados dispon\u00edveis apenas para a organiza\u00e7\u00e3o cliente.<\/p>\n Privacidade.<\/em><\/strong> Este \u00e9 talvez o aspecto mais cr\u00edtico da seguran\u00e7a da informa\u00e7\u00e3o relacionado a ado\u00e7\u00e3o de servi\u00e7os em nuvem, uma vez que o provedor de servi\u00e7o, por controlar a infraestrutura b\u00e1sica, pode acessar todos os dados que est\u00e3o na nuvem a qualquer hora. Al\u00e9m disso, os locais a partir dos quais o provedor de nuvem opera podem ter leis e regulamenta\u00e7\u00f5es que podem se mostrar um risco a confidencialidade das informa\u00e7\u00f5es.<\/p>\n O \u201cbom senso\u201d que vimos na se\u00e7\u00e3o anterior j\u00e1 \u00e9 considerado de um modo formal nas normas de seguran\u00e7a ISO. Enquanto a ISO 27001 prov\u00ea controles para assegurar a defini\u00e7\u00e3o apropriada de responsabilidades com rela\u00e7\u00e3o a seguran\u00e7a da informa\u00e7\u00e3o (ex.: A.6.1.1 \u2013 Pap\u00e9is e responsabilidades de seguran\u00e7a da informa\u00e7\u00e3o e A.6.1.2 \u2013 Segrega\u00e7\u00e3o de fun\u00e7\u00f5es), a ISO 27017 oferece uma vis\u00e3o integrada, considerando como clientes e provedores deveriam abordar o mesmo controle. Veja este artigo: ISO 27001 vs. ISO 27017 \u2013 Information security controls for cloud services<\/a>.<\/p>\n Assim, considerando esta vis\u00e3o integrada, as recomenda\u00e7\u00f5es gerais da norma sobre responsabilidades compartilhadas em ambientes de nuvem podem ser descritas como:<\/p>\n Pol\u00edticas de seguran\u00e7a<\/em><\/strong><\/a>:<\/em><\/strong> Organiza\u00e7\u00f5es cliente deveriam declarar a relev\u00e2ncia dos servi\u00e7os em nuvem para seu neg\u00f3cio e processos de seguran\u00e7a da informa\u00e7\u00e3o, e provedores deveriam declarar que os requisitos de clientes de servi\u00e7os de nuvem deveriam ser considerados na gest\u00e3o de seus pr\u00f3prios processos de seguran\u00e7a.<\/p>\n Cl\u00e1usulas contratuais<\/em><\/strong><\/a>:<\/em><\/strong> Organiza\u00e7\u00f5es cliente deveriam incluir cl\u00e1usulas em seus SLAs considerando aspectos de seguran\u00e7a da informa\u00e7\u00e3o a serem atendidos pelo provedor. Estas cl\u00e1usulas deveriam cobrir os requisitos da organiza\u00e7\u00e3o assim como aqueles de seus pr\u00f3prios clientes, incluindo preocupa\u00e7\u00f5es com privacidade. Provedores deveriam incluir cl\u00e1usulas em seus contratos com clientes especificando claramente as capacidades que eles podem oferecer com rela\u00e7\u00e3o aos servi\u00e7os em nuvem providos, e informa\u00e7\u00f5es relacionadas a privacidade (ex.: onde o provedor opera e a que leis e regulamenta\u00e7\u00f5es eles devem atender).<\/p>\n![\"Assets_control_by_cloud_service_models_PT\"](\"\/wp-content\/uploads\/\/sites\/5\/2016\/08\/Assets_control_by_cloud_service_models_PT.png\")
Figura 1 \u2013 Controle de ativos por modelos de servi\u00e7o em nuvem<\/em><\/p>\nPrincipais preocupa\u00e7\u00f5es de seguran\u00e7a e pontos a serem observados<\/h2>\n
Usando a ISO 27017 para ajudar clientes e provedores a definir responsabilidades de seguran\u00e7a em nuvem<\/h2>\n