Computação em nuvem: Avaliação de riscos para a nuvem

Avaliar corretamente sua tolerância a riscos organizacionais é essencial antes de adotar uma plataforma de computação em nuvem.

Vic Winkler

Adaptado de "Securing the Cloud," publicado pela Syngress, um selo da Elsevier (2011)

É seguro usar uma nuvem pública? Essa é a pergunta prevalece sobre a nuvem de computação. A resposta completa, porém, depende de um entendimento claro do nível da sua organização de aceitação de risco. Noções básicas sobre quanto você pode tolerar o risco depende avaliar os requisitos de segurança e como valor seus ativos de informações como dados, aplicativos e processos.

Somente quando você compreende esses problemas você pode tomar uma decisão informada sobre qual implantação modelos e entrega de serviço são adequados para suas necessidades e tolerância ao risco. Identificação de ativos de informação é importante antes de adoptar um modelo público ou híbrido. Ambas as opções envolverá pelo menos algum grau de controle cedente sobre como essas informações serão protegidas e onde pode residir (local/jurisdição). Aumentou controle organizacional para uma nuvem privada internamente hospedada e operada internamente contra outras combinações.

E não se esqueça que a soma total dos ativos de informação não se limita a informação ou dados. Seus aplicativos e processos podem ser facilmente como confidenciais ou proprietárias como suas informações. Em muitos reinos como inteligência e das finanças, algoritmos ou programas que você usa freqüentemente são proprietárias e altamente secreto para a organização. Sua exposição pode constituir uma dramática perda para a organização.

Avaliar seu risco

Começar com uma análise de risco breve. Você deve fazer as seguintes perguntas:

• Categorização de ameaças: O que pode acontecer com seus ativos de informação?
• Impacto de ameaça: Quão grave que poderia ser?
• Frequência de ameaça: A frequência com que pode acontecer?
• Factor de incerteza: Como alguns estão você em responder a estas três perguntas?

A questão central com risco é expressa em termos de probabilidade de incerteza. O que você realmente quer saber é o que fazer sobre isso (contramedidas ou mitigação de risco). Depois de analisados e dirigida a riscos, você pode pedir várias outras questões:

• Atenuação: O que você pode fazer para reduzir o risco?
• Redução dos custos: O que a redução do risco de incorrer?
• Redução dos custos/benefícios: Mitigação é rentável?

Para ser claro, essas três perguntas são mais retóricas para uma nuvem pública do que para uma nuvem privado ou híbrido. Em uma nuvem pública, você começa o que você paga. O provedor de nuvem é a parte responsável por responder essas três perguntas. Da mesma forma, estas questões também são menos relevantes para Software como serviço (SaaS) do que para a plataforma como um serviço (PaaS), mas mais relevante ainda para infra-estrutura como um serviço (IaaS).

Risco e ativos de informações

A questão central com risco é a incerteza. Aplicando esse fator para sua pergunta, você deve examinar seus ativos de informação um pouco mais detalhadamente. Identificar os ativos de informação pode ser ilusória, especialmente com a "criar-uma vez, cópia-frequentemente" aspecto do conteúdo digital.

A organização típica raramente tem controle suficiente sobre sua informação. Isso é muitas vezes mínima garantia de que não há nenhuma outras cópias de qualquer determinado elemento de dados. Do ponto de vista da proteção de dados digitais, que pode ser o pior. A maioria das organizações têm muitos outros problemas que gerenciar seus ativos de informação, embora.

Quando você está pensando em mudar seus ativos de informação para a nuvem, você precisará estar satisfeitos com o processo de categorização classes de informação versus bits específicos de informações. Infelizmente, aqui, também, há geralmente um problema. Isso pode não ser tão ruim se nossos sistemas de computação aplicada informações rotular, mas eles geralmente não. Informações marcação na maioria dos sistemas de computador são baseadas em processos reais de personalidades, que tenham necessidade de conhecer e a limpeza adequada para obter informações.

Isso é organizacionalmente controlada ao longo das linhas de classificação de informações e adicionais de manipulação advertências (tais como projeto x apenas). Os controles apropriados são geralmente insuficientes para impedir a duplicação digital e hemorragia de informação destina ou não intencional.

Lembrando a tríade de fatores de segurança (confidencialidade, integridade e disponibilidade), você pode pedir uma série de perguntas específicas em torno de informações activos nos moldes do que seriam a consequência ser se:

• O ativo de informações foi exposto?
• O ativo de informações foi modificado por uma entidade externa?
• O ativo de informações foi manipulado?
• O ativo de informações tornou-se indisponível?

Se essas questões suscitam preocupações sobre riscos inaceitáveis, você pode querer abordar o problema global, limitando o grau de risco processamento para uma nuvem privado (evitando a introdução de novos riscos). Use a nuvem pública para dados confidenciais de risco. Adopção de uma nuvem privada não eliminam a necessidade de controlos adequados.

Com isso em mente, você pode querer considerar os resultados de:

• Misturando terceirização em uma nuvem pública para dados não confidenciais e reservando sistemas internos de dados confidenciais, você pode ganhar algumas vantagens de custo sem assumir novos riscos.
• No caso de utilização de uma nuvem privada colocaria sem novos riscos para ativos de informação, uso de um híbrido ou modelo de nuvem pública pode.
• Alternar de um tradicional modelo para processamento interno para um modelo de nuvem privado pode reduzir o risco.

Estas são instruções razoáveis que se movem em direção ao alinhamento a importância de nossos ativos de informações em direção a modelos de implantação e os modelos de serviço.

Privacidade e confidencialidade preocupações

Além desses riscos para ativos de informação, você pode ser processamento, armazenar ou transmitir dados que tem assunto para regulamentar e requisitos de conformidade. Quando dados se inscreve no âmbito regulamentar ou restrições de conformidade, sua escolha de nuvem implantação (se privado, público ou híbrido) dobradiças em ser convencido de que o provedor é totalmente compatível. Caso contrário, você corre o risco de violação da privacidade, regulamentar ou outros requisitos legais.

Esta obrigação para confirmar a gestão segura de dados geralmente recai sobre o inquilino ou usuário. As implicações para a manutenção da segurança da informação são importantes quando se trata de privacidade, negócios e segurança nacional.

Violações de privacidade ocorrerem com freqüência suficiente dentro de infra-estruturas para você se preocupar com qualquer sistema de computação em nuvem — baseados em nuvem ou tradicionais. Isso é especialmente verdadeiro quando você estiver armazenando, processamento ou transmitir informações particularmente sensíveis tais como financeira ou dados de cuidados de saúde.

Em 2010, houve várias exposições de informações de privacidade de nuvem que ocorreram com um número de serviços baseados em nuvem, incluindo Facebook, Twitter, Inc. e Google Inc. Assim, as preocupações de privacidade com o modelo de nuvem não são fundamentalmente novas.

Como um inquilino de nuvem com as obrigações legais de privacidade, a maneira na qual você lidar com informações de privacidade não vai ser diferente se você usa nuvem ou armazenamento tradicional. Assim como você não iria armazenar essas informações em um servidor que carecia de controlos adequados, não selecione qualquer provedor de nuvem sem verificar que se encontram os pontos de referência mesmos para como eles protegem dados em repouso, em transmissão ou enquanto ele é processado.

Isso é não quer para dizer que sua política razoavelmente pode excluir qualquer provedor externo gerenciar essas informações para você, nuvem incluído. E enquanto pode haver uma percepção de que o computador na sua mesa é mais seguro do que um que está em uma nuvem de pública, a menos que você está tomando as precauções técnicas e processuais incomuns com seu computador desktop, é mais apto a ser o único com a segurança mais fraca.

Governança de dados

Você deve reconhecer que a segurança de dados confidenciais e sua governança são duas questões distintas. Como parte da devida diligência, você precisará compreender totalmente o controle de privacidade do provedor juntamente com suas práticas de segurança e orientações.

Informações pessoais estão sujeita às leis de privacidade. Outras classes de informações de negócios e qualquer coisa relacionada à segurança nacional está sujeita a leis e regulamentos muito mais rigorosas. Processos e informações de segurança nacional beneficiam de um corpo forte e desenvolvido de lei, regulamento e orientação.

Embora a nuvem é um modelo relativamente novo, deve ser amplo para restringir absolutamente qualquer informação classificada de residir em uma nuvem pública um exame estudou as orientações disponíveis. A área de preocupação provável encontra-se com outras funções de governo que não processam dados sensíveis ou confidenciais.

Basta dizer que, quando você examina a possibilidade de utilização de nuvens públicas, há muitas linhas distintas e separadas de negócios do governo nacional para baixo para jurisdições locais. Dado o tamanho do governo e o número de níveis e jurisdições, parece como se o próprio governo poderia operar uma série de nuvens de Comunidade para seu uso exclusivo, assim, obter os benefícios e evitar problemas com a convivência em uma nuvem pública.

Por outro lado, se o governo é usar uma nuvem pública, esse serviço totalmente deve satisfazer os interesses do inquilino e todas as leis e regulamentos aplicáveis. É possível que um inquilino pode implementar controles de segurança adicionais que atendem aos requisitos regulamentares ou legais, mesmo quando um subjacente IaaS pública ou PaaS totalmente não atender a esses mesmos requisitos.

No entanto, você tem que entender que o intervalo de controles adicionais que podem ser adicionados por um inquilino são limitadas e não pode superar muitas lacunas em alguns serviços público cloud. Manter seu olho na bola quando se trata de segurança é essencial, seja qual for o modelo de nuvem que você escolhe ou consoante o que se adapte às suas necessidades organizacionais.

Vic (J.R.) Winkler é associado um sênior na Booz Allen Hamilton, fornecendo consultoria técnica para principalmente Estados Unidos. clientes do governo. Ele é uma segurança de informações publicadas e pesquisador de segurança cibernética, bem como um especialista em detecção de intrusão/anomalias.

© 2011 Elsevier Inc. Todos os direitos reservados. Impresso com permissão da Syngress, um selo da Elsevier. Copyright 2011. "Protegendo a nuvem" por Vic (J.R.) Winkler. Para obter mais informações sobre este título e outros livros similares, por favor visite elsevierdirect.com.

Conteúdo relacionado

• Computação em nuvem: Arquitetando uma nuvem de Microsoft privado
• Nuvem de segurança: Compartilhá-lo com segurança soluções
• Microsoft Forefront: Proteger o acesso aos seus serviços na nuvem