Computação em nuvem: Privacidade, confidencialidade e a nuvem
Há inúmeras preocupações novas e antigas a serem tratadas quando se fala em mover, armazenar e acessar dados via serviços em nuvem.
Vic (J.R.) Winkler
Adaptado de "Protegendo a nuvem" (Syngress, um selo da Elsevier)
Estes dias, você freqüentemente está processamento, armazenar ou transmitir dados que tem sujeito a regulamentação e requisitos de conformidade. Quando esses dados cai sob regulamentação ou restrições de conformidade, sua escolha de implantação de nuvem (seja ela privada, híbrido ou público) depende de um entendimento de que o provedor é totalmente compatível. Caso contrário, existe o risco de violar a privacidade, regulamentar ou outras exigências legais. As implicações para a manutenção da segurança da informação são importantes quando se trata de privacidade.
Tem havido bastante violações de privacidade fora da esfera de haver preocupação com qualquer sistema de computação em nuvem — baseado em nuvem ou tradicional — durante o armazenamento, processamento ou transmitir informações confidenciais. A nuvem tem seus próprios exemplos também. Em 2010, vários nuvem informações de privacidade exposições ocorreram com uma série de serviços baseados em nuvem, incluindo Facebook, Twitter e Google.
Preocupações de privacidade dentro do modelo de nuvem não são novas. Como um inquilino com obrigações legais de privacidade, o tratamento das questões de privacidade não é diferente se você usar a nuvem. Assim como você não iria armazenar essas informações em um servidor sem controles adequados, você não seleciona qualquer provedor de nuvem sem verificar se atende os mesmos benchmarks para como ele protege os dados em repouso, na transmissão, ou durante o processamento.
Suas políticas podem excluir qualquer provedor externo, gerenciamento de informações sensíveis para você, incluindo provedores de nuvem. Embora possa haver uma percepção de que o computador em sua mesa é mais seguro do que uma nuvem pública, é provavelmente não (a menos que você está tomando precauções técnicas e processuais incomuns). Segurança e governança são duas questões distintas e como parte da devida diligência, você precisará compreender governança de privacidade do seu provedor, bem como suas práticas de segurança e orientações.
Como com informações pessoais sujeitas às leis de privacidade, várias classes de negócios e informações de segurança nacional também estão sujeitos a regulamentação e legislação. Processos e informações de segurança nacional beneficiam de orientação, regulamentos e leis fortes e altamente desenvolvidas. Estas derivam de direito público e fluxo para baixo, através de cada agência individual ou entidade oficialmente responsável.
Dado o tamanho do governo e o número de níveis e jurisdições, parece que o próprio governo poderia operar uma série de nuvens de comunidade para seu uso exclusivo, obtendo assim, os benefícios e evitar os problemas com a convivência em uma nuvem pública. Por outro lado, se o governo usar uma nuvem pública, que o serviço teria que satisfazer plenamente os interesses do inquilino e as leis e regulamentos aplicáveis.
É possível que um inquilino poderia implementar controles de segurança adicionais que atendam a requisitos legais ou regulamentares, mesmo quando a infra-estrutura subjacente de pública como um serviço (IaaS) ou plataforma como serviço (PaaS) não satisfazia inteiramente os mesmos requisitos. No entanto, deve-se compreender que a gama de controles adicionais que podem ser adicionados por um inquilino são limitada e não podem superar muitas lacunas em alguns serviços de nuvem pública.
Preocupações de localidade e de posse de dados
Além de questões de confidencialidade e privacidade, propriedade dos ativos de informação traz à tona questões adicionais. Há potencial para erosão de propriedade de ativos de informações ao mover recursos para qualquer sistema externo. Há uma diferença fundamental entre a posse de dados e ter responsabilidade como um guardião de dados.
Embora a posse de dados legal permanece com o proprietário de dados origem, uma área potencial de preocupação com uma nuvem pública é que o provedor de nuvem pode tornar-se responsável por ambos os papéis. Não há nenhum melhor exemplo desta que quando uma entidade do enforcement de lei serve um mandado para um provedor de nuvem para acesso a ativos de informações do inquilino.
Onde os dados residem e que jurisdições que pode atravessar são preocupações relacionadas. Armazenagem e movimentação de dados on-line apresentam a oportunidade para examinar sub-repticiamente segredos de outra pessoa. Em resposta a isso, a diretiva de proteção de dados da União Europeia (UE) estipulado em quais países UE dados pessoais e privados pode ou podem não atravessar ou residir. Isto tem implicações profundas para todos os Estados-Membros.
Do ponto de vista da computação em nuvem, o impacto desta forma provável vontade directiva como provedores de nuvem pública implementam seus serviços. Este é um modelo perfeitamente razoável para limitar a pegada jurisdicional de dados para minimizar o mal potencial que esses dados são aplicável na passagem, armazenamento ou processamento. Todos os inquilinos de serviço de nuvem e os usuários devem se preocupar com o potencial que uma nuvem pública pode empurrar a dados ou aplicações fora da jurisdição em que o inquilino reside ou tem obrigações legais.
Auditoria e perícia
A auditoria é um termo sobrecarregado em segurança, mas refiro-me avaliar a política de segurança, procedimentos, práticas e os controlos técnicos para correção e completude. Isso é necessário avaliar se os controles e procedimentos são suficientes para atender a todos os aspectos operacionais de segurança, incluindo a conformidade, proteção, detecção e análise forense.
Para serviços em nuvem, tais auditorias têm grande valor para os clientes e inquilinos como eles transmitem uma sensação de confiança sobre diligência do provedor de nuvem em assegurar a segurança. Como o proprietário de ativos de informação, um inquilino deve executar informado devido diligência no provedor. Porque devida diligência pelos clientes geralmente não escala para o modelo de negócio do provedor, o provedor deve ser transparente sobre sua política de segurança, governação e procedimentos. Como resultado, os inquilinos estão em melhor posição para tomar decisões informadas.
Há várias questões em torno as responsabilidades e os limites que afetam os inquilinos e fornecedores no que respeita à recolha de provas juridicamente admissíveis pela acusação. Compreender quem fez o quê e como é difícil o suficiente com uma cadeia de provas onde a responsabilidade para coleta de dados é compartilhada entre o provedor e o inquilino.
Uma das partes pode ser o legítimo proprietário dos dados, enquanto o outro é o guardião. Dada a natureza de como alguns serviços são acessados, pode ser difícil de representar com autoridade ou mesmo entender o rastro de ações e na sequência de um compromisso ou a penetração. Para começar com, ter um inquilino obter acesso aos registros de um provedor pode comprometer a privacidade de outros inquilinos.
Em segundo lugar, eventos em dois conjuntos de registros não podem controlar se os relógios do sistema não são idênticos. Pode ser difícil provar que dados de análise forense do inquilino recolhidos e armazenados em uma nuvem pública não tem sido alterados. Esta situação representa um conjunto de excelentes oportunidades para provedores de nuvem para distinguir-se através da oferta de serviços avançados.
Ameaças emergentes
Alguns dos programas mais antigos são por vezes encontrados ter vulnerabilidades que permaneceram desconhecidas há anos. Você deve sempre esperar que o que você pensou que era seguro pode ser encontrado para ter sido vulnerável antes você estava mesmo ciente dessa vulnerabilidade. Além disso, algumas das tecnologias — e certamente muitos dos componentes de software — que nuvem computação é composta ainda são muito novos e ainda gerar um alto grau de confiança dos profissionais de segurança experiente.
Alguns componentes são construídos em cima de que só pode ser descrito como camadas sobre camadas de software e andaimes de protocolo. A soma destas partes é seguro? A resposta é provavelmente não. Complexidade e interação entre os componentes são dois reinos de que vulnerabilidades Primavera adiante.
Por isso é seguro?
A nuvem ainda é nova, assim o impulso para um controlo eficaz sobre a proteção de informações na nuvem também é incipiente. Atualmente, existem poucas soluções de segurança para a nuvem do que para proteger os dispositivos físicos em uma infra-estrutura tradicional. Enquanto o custo de instanciar os aparelhos de segurança virtual é menor na nuvem, a tecnologia é mais recente.
Muito da ação presente na adoção da nuvem pública é no Reino dos pioneiros. É difícil determinar se quaisquer dados ou processamento está sendo feito em violação de requisitos legais ou conformidade. O governo dos Estados Unidos lançou um esforço chamado o risco Federal e programa de gestão de autorização (FedRAMP), que é voltada para permitir todo o processo de garantir instâncias de nuvem são adequadas para aplicações de agência individual.
Duas organizações que estão ativamente buscando a melhoria dos controles de segurança e proteção de dados na nuvem são o Cloud Security Alliance e o fórum de interoperabilidade do Cloud Computing. Outro grupo, o fórum de Jericó, abordou o problema de uma perspectiva diferente, ou seja que de-perimeterization já ocorreu devido a uma variedade de serviços que penetrar no perímetro da infra-estrutura em grande parte por tunelamento através de firewalls para fornecer acesso a serviços essenciais.
Um problema com a maioria das certificações é que eles estejam concentrados mais facilidade e o processo do que no novo mundo de-perimeterized, orientada a serviços. Uma segunda questão é que muitos sistemas em uso têm virtualizado servidores executando neles. Se esses servidores têm requisitos de segurança conflitantes, já existe um problema na prática.
Maioria dos problemas de segurança com cloud computing são exclusivos para o modelo de computação em nuvem, nem muito difícil, para o endereço. O próprio modelo de nuvem representa uma oportunidade de ouro para conseguir a melhor segurança. No entanto, é preciso reconhecer que existem diferenças. Você não pode ser cavalier sobre segurança com o modelo de nuvem.
.jpg)
**Vic (J.R.) Winkler**é um senior associate na Booz Allen Hamilton Inc., fornecendo consultoria técnica para principalmente EUA clientes de governo. Ele é uma segurança de informações publicadas e pesquisador de segurança cibernética, bem como um especialista em detecção de intrusão/anomalias.
© 2011 Elsevier Inc. Todos os direitos reservados. Impresso com permissão da Syngress, um selo da Elsevier. Copyright 2011. “Protegendo a nuvem" por Vic (J.R.) Winkler. Para obter mais informações sobre este título e outros livros similares, visite por favor elsevierdirect.com.