A Segurança no Cloud (Nuvem)

20/10/2015 Por: Paulo Stollar

Estamos habituados a armazenar arquivos e dados dos mais variados tipos e a utilizar aplicações de maneira on premise, isto é, instaladas em nossos próprios computadores ou dispositivos. Em ambientes corporativos, esse cenário muda um pouco: é relativamente comum empresas utilizarem aplicações disponíveis em servidores com acesso à rede local.

A evolução constante da tecnologia computacional e das telecomunicações está fazendo com que o acesso à internet se torne cada vez mais amplo e rápido. Esse cenário cria a condição perfeita para a popularização da cloud computing, pois faz com que o conceito se dissemine no mundo todo.

Com a cloud computing, muitos aplicativos, assim como arquivos e outros dados relacionados, não precisam mais estar instalados ou armazenados no computador do usuário ou em um servidor próximo. Esse conteúdo passa a ficar disponível nas nuvens, isto é, na internet.

Ao fornecedor da aplicação cabe todas as tarefas de desenvolvimento, armazenamento, manutenção, atualização, backup, escalonamento, etc. O usuário não precisa se preocupar com nenhum desses aspectos, apenas em acessar e utilizar.

Tal como já informado, uma das vantagens da cloud computing é o acesso a aplicações a partir da internet, sem que estas estejam instaladas em computadores ou dispositivos específicos. Mas, há outros benefícios significativos:

  1. Na maioria dos casos, o usuário pode acessar as aplicações independente do seu sistema operacional ou do equipamento usado.
  2. O usuário não precisa se preocupar com a estrutura para executar a aplicação – hardware, procedimentos de backup, controle de segurança, manutenção, entre outros.
  3. Compartilhamento de informações e trabalho colaborativo se tornam mais fáceis, pois todos os usuários acessam as aplicações e os dados do mesmo lugar: a nuvem.

Mas não há dúvidas de que a computação em nuvens é uma realidade cada vez mais sólida. Nos últimos anos, grandes empresas têm dado muita atenção a esta tecnologia, e tudo nos faz crer que isso vai continuar.

Software as a Service (SaaS)

Intimamente ligado à cloud computing está o conceito de Software as a Service (SaaS) ou, em bom português, Software como Serviço. Em sua essência, trata-se de uma forma de trabalho em que o software é oferecido como serviço, assim, o usuário não precisa adquirir licenças de uso para instalação ou mesmo comprar computadores ou servidores para executá-lo.

Além disso, hardware, instalação, atualização, manutenção, entre outros, são tarefas que ficam por conta do fornecedor.

Também é importante levar em conta que o intervalo entre a contratação do serviço e o início de sua utilização é extremamente baixo, o que não aconteceria se o software tivesse que ser instalado nos computadores do cliente – este só precisa se preocupar com o acesso ao serviço (no caso, uma conexão à internet) ou, se necessário, com a simples instalação de algum recurso mínimo, como um plugin no navegador de internet de suas máquinas.

Segurança: o grande diferencial

O armazenamento nas nuvens também gera desconfiança, principalmente no que se refere à segurança. Afinal, a proposta é manter informações importantes em um ambiente virtual, e não são todas as pessoas que se sentem à vontade com isso.

Preservar informações é a garantia de um negócio bem sucedido e talvez esteja aí o maior atrativo da computação na nuvem para as empresas. Trabalhando com os mais sofisticados sistemas de segurança presentes, atualmente no mercado, estes serviços oferecem proteção virtual e física avançadas.

O nosso Ambiente SaaS BRITech foi planejado e implementado visando endereçar esta questão, sendo ele hospedado na Microsoft-Azure, passando por Rigorosas auditorias de terceiros, tais como as realizadas pelo British Standards Institute, que confirmam a adesão do Azure aos rígidos controles de segurança exigidos por tais normas e que seguem as recomendações detalhadas nas diretrizes NIST SP800-41 e normas de conformidade internacionais e específicas da indústria, tais como:

  1. HIPAA
  2. FedRAMP
  3. SOC 1 e SOC 2
  4. IRAP da Austrália
  5. G-Cloud do Reino Unido
  6. MTCS de Cingapura
  7. ISO/IEC 27018, que regula o processamento de informações pessoais por provedores de serviços de nuvem
  8. Política de Segurança do CJIS
  9. Content Delivery and Security Association (CDSA)
  10. A Cloud Controls Matrix (CCM) da Cloud Security Alliance (CSA)
  11. O DIACAP (Processo de Certificação e Acreditação de Garantia da Informação)
  12. Autorização Provisória para Modelo de Segurança de Nuvem do DISA Nível 2 em um contrato recíproco com a FedRAMP JAB
  13. Cláusulas de Modelo UE
  14. FDA 21 CFR Parte 11
  15. FedRAMP
  16. FERPA
  17. FIPS 140-2
  18. FISC
  19. IRS 1075
  20. FISMA
  21. HIPAA / HITECH
  22. CCSL (IRAP)
  23. ISO/IEC 27001/27002:2013
  24. MLPS
  25. MTCS SS Nível 3
  26. NZ GCIO
  27. PCI DSS Nível 1
  28. SOC 1 Tipo 2 e SOC 2 Tipo 2
  29. TCS CCCPPF

Além disso, nosso Ambiente SaaS BRITech possui Certificado Digital SSL e é realizado um Serviço de varredura de Segurança de empresa líder em produtos e serviços de segurança on-line para internet, que nos oferece o conjunto abrangente Scan para Blindagem de nosso Ambiente SaaS em que são feitos testes completos de Segurança.

Esse serviço tenta invadir diariamente o nosso site com técnicas de hackers tais como (porém não se limitando a): SQL Injection, Cross Site Scripting (XSS), Cross Site Request Forgery (XSRF or CSRF), Cross Site Script Inclusion (XSSI), Clickjacking, XPath Injection, LDAP Injection, Command Injection, Path Traversal. Eles estão constantemente adicionando novas técnicas de invasão à medida que as vulnerabilidades são detectadas pelos especialistas globais de segurança.

No caso, atingimos a certificação (Exibição de uma empresa líder em produtos e serviços de segurança on-line para internet) por não apresentarmos tais vulnerabilidades.

Além disso eles fazem a varredura por URL, por IP e procuram Malware.

Criamos uma instância (Aplicação + Banco de Dados) segregada para cada cliente e a Gestão de Configuração de cada uma destas Instância é feita por um Processo nosso.

O Cliente tem todo o Controle de Acesso aos Usuários/Funcionalidades/Chinese Wall da Aplicação de sua Instância.

Estamos à disposição para esclarecimentos adicionais.

Sobre o autor:

Paulo Stollar

Gerente de Projetos, Gerente de Configurações e Analista de Processos. Juntou-se a BRITech em 2014. PAULO Stollar , Pós-Graduado em (MBA - 636 horas) MIT - Master in Information Technology pela Faculdade FIAP e Graduado em Tecnologia em Sistemas de Banco de Dados pela Faculdade IBTA como Administrador de Banco de Dados, com mais de 15 anos de experiência na gestão do processo de desenvolvimento de software no mercado financeiro brasileiro. Antes da Britech, PAULO Stollar era um Gestor de Serviços de Implementação de Sistemas, Capacitação e Suporte Técnico Especializado da TOTVS, para clientes de pequeno, médio e grande porte, no segmento Financial Services. Liderando uma equipe de 46 profissionais.

<< Voltar ao blog
BRITech
[CDATA[function read_cookie(a){var b=a+"=";var c=document.cookie.split(";");for(var d=0;d
[CDATA[function read_cookie(a){var b=a+"=";var c=document.cookie.split(";");for(var d=0;d