Evite vulnerabilidades e ameaças na nuvem

O que sua organização precisa saber sobre segurança na nuvem

A nuvem tem sido uma das tecnologias mais comentadas desde a Web 2.0. Embora a nuvem tenha sido enaltecida por sua promessa de economia, muitas organizações hesitam em comprar soluções baseadas na nuvem por motivos de segurança. Como qualquer outra tecnologia, a nuvem é vulnerável a ataques mal intencionados, mas as pessoas que entendem quais são os desafios de segurança que enfrentam na nuvem, percebem que são capazes de proteger melhor seus recursos contidos nela.

Jeff Orloff, Freelance Technology Writer, Sequoia Media Services Inc.

Jeff é um escritor de tecnologia freelancer que também trabalha como coordenador de tecnologia no Distrito escolar de Palm Beach County. Durante sua carreira ele trabalhou com tecnologias da web, especializando-se em segurança. Ele trabalhou como diretor de tecnologia da SafeWave, uma Evangelista de segurança da Applicure Technologies, e como editor do Developer Drive, um blog dedicado aos tutoriais de desenvolvimento de website.


nível de autor Contribuidor do
        developerWorks

02/Fev/2012

Visão Geral

Um analista senior da Gartner se referiu à computação em nuvem como "a frase do dia". Qualquer pessoa que passe algum tempo com tecnologia da informação (TI) sabe que a frase será popular no futuro próximo também. Na verdade, Gartner previu que o mercado da computação em nuvem alcançará 150 bilhões de dólares até o ano 2013. Merrill Lynch fornece uma estimativa parecida, prevendo um surto de crescimento chegando até 160 bilhões de dólares em 2013.

O motivo de a computação em nuvem ser um tópico tão popular é por ser construída para conservar recursos e economizar dinheiro. Ao transferir software, armazenamento, email e muito mais para a nuvem, as organizações são capazes de dedicar somente os recursos necessários para esses serviços. O espaço de armazenamento, o poder de computação, memória e até mesmo o licenciamento, não ficam mais ociosos aguardando por algo a ser feito. Se for necessário, será usado e será pago por isso. A Figura 1 é um diagrama da Wikimedia Commons que fornece uma visão geral da computação em nuvem.

Figura 1. Visão geral da computação em nuvem
Visão geral da computação em nuvem

As organizações procuram até economias com pessoal com a nuvem. Ao terceirizar os serviços de Ti para provedores na nuvem, essas organizações são capazes de liberar a equipe de TI para se dedicar a projetos que desenvolvem o negócio, em vez de gastar tempo suportando serviços que os provedores na nuvem podem assumir.

Ao serem apresentadas às possibilidades de economia, fica difícil entender porque as organizações são relutantes em mover os dados, software e outros serviços para a nuvem. Ou melhor, até que você considere os riscos de segurança envolvidos. De acordo com a maioria das pesquisas, a segurança é o principal motivo de os líderes de TI hesitarem em mudar para soluções baseadas na nuvem. Uma pesquisa recente no LinkedIn mostrou que 54% dos 7.053 respondentes afirmaram que segurança é a principal preocupação quando o assunto é migrar para a nuvem.

Assim como ocorre com qualquer serviço de TI, há vulnerabilidades de segurança que os invasores procuram na nuvem. Quanto mais os profissionais de TI ficam cientes dessas vulnerabilidades e como resolvê-las, mas segura se torna a nuvem. Na verdade, aventurar-se na nuvem melhorou sua segurança de acordo com 57% dos participantes de uma pesquisa da Mimecast. O motivo de grande parte desse grupo sentir que a computação em nuvem é segura, é por compreenderem as ameaças e terem aprendido a reduzi-las.

Este artigo indica os riscos de segurança mais comuns associados à computação em nuvem, junto com etapas que podem ser executadas por sua organização a fim de ajudar a reduzir esses riscos.

Recursos de tecnologia compartilhada

A computação em nuvem está dividida em quatro modelos de implementação listados e descritos na Tabela 1.

Tablela 1. Modelos de implementação da computação em nuvem
ModeloDescrição
Nuvem públicaO provedor de serviço disponibiliza os recursos (aplicativos, armazenamento etc.) para o público geral pela Internet.
Nuvem comunitáriaDiversas organizações compartilham recursos.
Nuvem privadaA infraestrutura é dedicada a uma organização.
Nuvem híbridaEsse modelo combina dois ou mais modelos de implementação.

Nos modelos de nuvem pública e comunitária, e até certo ponto, no modelo híbrido, muitos clientes diferentes compartilham recursos usando a virtualização. Essa plataforma de computação apresenta os seguintes possíveis pontos fracos:

  • A comunicação entre diferentes máquinas virtuais ou entre uma máquina virtual e o host por meio de discos compartilhados, comutadores virtuais ou redes locais virtuais (VLANs) e uma E/S ou cache compartilhado.
  • Drivers genéricos que emulam hardware.
  • Vulnerabilidades no hypervisor que permitem a execução de códigos arbitrários no host com os privilégios do hypervisor, que permitem que um invasor controle todas as máquinas virtuais e o próprio host.
  • Rootkits baseados em máquina virtual que permitem a modificação das chamadas do sistema hypervisor para o sistema operacional do host a fim de executar códigos maliciosos.
  • Uma exploração, conhecida como escape da máquina virtual, na qual um programa em uma máquina virtual recebe acesso irrestrito ao host por meio de recursos compartilhados.
  • Execução de ataques de negação de serviço em uma máquina virtual, desativando todas as outras em execução no mesmo host.

A primeira etapa a ser executada para proteger contra esses pontos fracos é entender o ambiente no qual você está trabalhando. Se os dados ou outros recursos exigirem um ambiente protegido devido a leis, normas ou regulamentos do segmento de mercado, a abordagem usada precisará refletir esses requisitos, prestando atenção ao tipo de ambiente usado. A preferência óbvia para esse cenário é uma solução de nuvem privada ou possivelmente uma solução híbrida com dados confidenciais, transições e serviços hospedados na seção privada, a fim de proporcionar à sua organização um controle mais rígido sobre a segurança e o acesso.

Em seguida, é necessário realizar uma avaliação de seu provedor na nuvem. Discuta quais etapas eles executam para proteger contra essas vulnerabilidades, especificamente quando o assunto é o hypervisor. Pergunte sobre qual software de virtualização eles usam e qual é o planejamento para correções e atualizações. Verifique se o host está usando um módulo de plataforma confiável que cria um relacionamento confiável com o hypervisor, a fim de impedir a modificação.

Além disso, certifique-se de que o hypervisor esteja configurado para detectar o consumo extremo de recursos, a fim de proteger contra ataques de negação de serviço.


Perda e vazamento de dados

No artigo, "Data Leakage Prevention and Cloud Computing", KPMG LLP diz, "Quando os dados estão em uma nuvem pública, sua implementação organizacional de data leakage prevention (DLP) não tem mais valor para ajudar a proteger a confidencialidade desses dados. E, sua organização não tem controle direto sobre a confidencialidade de seus dados em uma nuvem pública nos modelos de entrega Software como serviço (SaaS) ou Plataforma como serviço (PaaS)." Consulte Recursos para obter o artigo completo.

Em uma época em que o Health Insurance Portability and Accountability Act de 1996 (HIPAA) e Payment Card Industry Data Security Standard (PCI DSS) exigem que as organizações levem a proteção dos dados a sério, o que você pode fazer para impedir o vazamento de dados na nuvem?

Recorrer aos produtos de prevenção de vazamento de dados existentes no mercado parece ser a melhor solução. No entanto, esses produtos têm como objetivo garantir a integridade e disponibilidade dos dados, não protegê-los. Além disso, provavelmente essas soluções não são implementadas em qualquer ambiente no qual você não controla a infraestrutura.

A prevenção, em vez disso, é o que protege os sistemas que hospedam e transportam dados.

Antes de qualquer coisa, o provedor na nuvem deve empregar um alto nível de criptografia quando o assunto é manipular seus dados—tanto em armazenamento quanto em trânsito. Você também deve executar etapas a fim de assegurar que exista um acordo de nível de serviço assinado entre sua organização e o provedor de serviço na nuvem, definindo claramente as funções e responsabilidades da proteção dos dados na nuvem. Como parte desse acordo, certifique-se de que o provedor de serviço na nuvem limpe a mídia persistente antes de liberá-la no pool.

Outra etapa para que sua empresa permaneça em conformidade com o PCI DSS é se certificar de que exista um firewall de aplicativo da web configurado apropriadamente, para proteger aplicativos baseados na web contra diversos ataques. Antes de se comprometer com qualquer provedor de SaaS, o departamento de TI de sua organização precisa discutir o nível de proteção usado para proteger o software baseado na web. Se tiver permissão, execute testes de penetração em quaisquer aplicativos usados por sua empresa.

Finalmente, é possível executar etapas internamente para se proteger contra vazamento de dados na nuvem, mas isso envolve uma mudança nas políticas relacionadas aos dados. As organizações que temem o vazamento de dados devem ter políticas que classificam os dados e fornecem normas sobre como lidar com os diferentes níveis de dados. Resumindo, alguns dados não servem para serem armazenados na nuvem.


APIs inseguras

Para que seus clientes interajam com serviços baseados na nuvem, os provedores dependem de interfaces de programação de aplicativos (APIs). Fornecimento, gerenciamento, orquestração e monitoramento usam essas interfaces, portanto, a segurança fundamental dos serviços fornecidos na nuvem depende de quão protegidas estão essas APIs.

Acesso anônimo ou tokens ou senhas reutilizáveis, autenticação de texto não criptografado ou transmissão de conteúdo e controles de acesso inflexíveis ou autorizações indevidas, tudo isso representa sérias implicações de segurança. Acrescente a isso os recursos limitados dos clientes para monitoramento e registro em log, e parece que os clientes estão, essencialmente, à mercê dos provedores quando o assunto é quem tem acesso aos recursos pelos quais estão pagando.

Finalmente, tem o problema de APIs criadas por terceiros. Embora essas interfaces sejam frequentemente construídas para oferecer serviços de valor agregado aos clientes, esses complementos nem sempre são sujeitos ao mesmo tempo de revisão e exame minucioso, acrescentando ainda outra camada de complexidade à API e aumentando o risco de segurança. Além disso, as APIs de terceiros podem esperar que as organizações forneçam suas credenciais—às vezes sem o conhecimento delas—a fim de acessar os serviços fornecidos pela API.

Remediar esses riscos significa, em grande parte, revisar e analisar o modelo de segurança do provedor na nuvem, a fim de se certificar de que tudo está sendo feito para proteger as APIs.

Sua organização deve examinar minuciosamente os controles de autenticação e de acesso para se certificar de que as transmissões são criptografadas. Também é necessário revisar a cadeia de dependência para se certificar de que você conheça cada API e o que ela precisa, antes de entrar em um acordo.


Interceptação

Embora a maioria dessas vulnerabilidades pese principalmente sobre os ombros do provedor na nuvem, o cenário de ameaça de interceptação de conta ou de serviço é algo compartilhado entre o provedor e o cliente.

Embora as vulnerabilidades de software possibilitem que um invasor capture informações da conta na origem, esse não é o método mais comum de roubo de credenciais do usuário. Normalmente, os invasores roubam as informações de login do usuário por meio de ataques de phishing, violação por meio de um software malicioso, e fraude. Como as pessoas normalmente reutilizam nomes de usuário e senhas para diversos serviços, os invasores frequentemente descobrem que podem interceptar credenciais no local menos protegido. Esse pode ser outro serviço usado pela vítima fora do provedor na nuvem. Quando os invasores reciclam as credenciais de um usuário, eles podem comprometer a integridade e confidencialidade dos dados armazenados na nuvem. Eles podem até mesmo usar essas mesmas credenciais para iniciar ataques contra outras pessoas, causando danos sérios à reputação de uma organização.

Além de entender as políticas de segurança de seu provedor na nuvem, sua organização também deve realizar algum tipo de monitoramento pró-ativo da atividade nos serviços baseados na nuvem, de modo que você possa monitorar o acesso e atividade não autorizados.

Políticas de credenciais de login exclusivas e de senha forte também ajudam a impedir a exploração das informações de usuário compartilhadas. Técnicas de autenticação de dois fatores ajudam a reduzir ainda mais esses tipos de ataques.


Ameaças internas

Normalmente, as organizações se esforçam muito para avaliar os funcionários antes de contratá-los ou de conceder acesso a determinadas informações. Quando o assunto são os provedores na nuvem, há falta de transparência com relação aos processos e procedimentos que regem seus funcionários.

Entregar os serviços para um provedor na nuvem normalmente significa que você não terá conhecimento sobre quem tem acesso, físico e virtual, aos recursos de sua organização. Os provedores na nuvem mantêm os clientes no escuro com relação a como monitoram seus funcionários ou como analisam e relatam a conformidade com a política.

A oportunidade de trabalhar com dados confidenciais e financeiros apresenta uma oportunidade atraente para hackers criminosos e espiões corporativos. Trabalhar para uma empresa que fornece serviços baseados na nuvem pode permitir que um adversário como esse obtenha dados confidenciais ou controle total sobre os serviços na nuvem, com pouco ou nenhum risco.

Como uma primeira etapa, os clientes precisam entender o que os provedores estão fazendo para detectar e se defender contra informantes maliciosos. Além de exigir transparência quando o assunto são as práticas de segurança e gerenciamento de informações, você deve descobrir também qual é o processo de notificação para violações de segurança. Se o período ou processo de relatório não for aceitável, procure um provedor diferente.


Conclusão

A computação na nuvem oferece oportunidades empolgantes para uma colaboração maior, trabalho remoto e global e economia de custos. Embora existam riscos associados à mudança para a nuvem, os riscos não são maiores do que quando os serviços são hospedados internamente. A principal diferença é que a nuvem apresenta aos invasores uma nova paisagem para ataque.

Se você reservar um tempo para entender as vulnerabilidades que existem na nuvem e o que pode ser feito para impedir que os invasores as explorem, os serviços baseados na nuvem podem ser tão seguros quanto qualquer serviço hospedado na rede local ou de longa distância de sua organização.

Recursos

Aprender

Obter produtos e tecnologias

Discutir

Comentários

developerWorks: Conecte-se

Los campos obligatorios están marcados con un asterisco (*).


Precisa de um ID IBM?
Esqueceu seu ID IBM?


Esqueceu sua senha?
Alterar sua senha

Ao clicar em Enviar, você concorda com os termos e condições do developerWorks.

 


A primeira vez que você entrar no developerWorks, um perfil é criado para você. Informações no seu perfil (seu nome, país / região, e nome da empresa) é apresentado ao público e vai acompanhar qualquer conteúdo que você postar, a menos que você opte por esconder o nome da empresa. Você pode atualizar sua conta IBM a qualquer momento.

Todas as informações enviadas são seguras.

Elija su nombre para mostrar



Ao se conectar ao developerWorks pela primeira vez, é criado um perfil para você e é necessário selecionar um nome de exibição. O nome de exibição acompanhará o conteúdo que você postar no developerWorks.

Escolha um nome de exibição de 3 - 31 caracteres. Seu nome de exibição deve ser exclusivo na comunidade do developerWorks e não deve ser o seu endereço de email por motivo de privacidade.

Los campos obligatorios están marcados con un asterisco (*).

(Escolha um nome de exibição de 3 - 31 caracteres.)

Ao clicar em Enviar, você concorda com os termos e condições do developerWorks.

 


Todas as informações enviadas são seguras.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=80
Zone=Cloud computing
ArticleID=790575
ArticleTitle=Evite vulnerabilidades e ameaças na nuvem
publish-date=02022012