Computação em Nuvem por Agências Governamentais

Superando os desafios de negócios e segurança na nuvem

O governo federal dos Estados Unidos tem o maior orçamento anual de TI de todas as organizações — quase US$ 80 bilhões somente em 2010. Para economizar dinheiro e melhorar os serviços, o governo está começando a adotar uma abordagem de nuvem primeiro em relação à compra de sistemas novos e para substituição. Os casos de negócio e benefícios técnicos da adoção da nuvem são os mesmos para o governo e outras empresas, mas as economias e desafios são muito maiores. As agências governamentais têm dois desafios especiais: compra e segurança. Este artigo descreve resumidamente os desafios de compra e, em seguida, orienta os compradores de serviços de nuvem do governo sobre os aspectos positivos e negativos da segurança na nuvem e sobre como gerenciar riscos à segurança que os possíveis fornecedores representam. As ameaças à segurança são abordadas sob o ponto de vista do governo, mas os fornecedores de nuvem inteligentes irão utilizá-las como uma prévia das perguntas que o governo pode fazer e se preparar adequadamente.

Shahid N Shah, CEO and Chief Architect, Netspective Communications, LLC

Shahid Shah photoShahid N. Shah é líder de pensamento em TI influente e reconhecido internacionalmente, com quase 20 anos de experiência em arquitetura e desenvolvimento, incluindo 10 anos de especialização senior no setor público, entidades sem fins lucrativos e estratégias tecnológicas em saúde. É consultor de várias agências federais sobre assuntos de TI geral e estratégias específicas de nuvem e ganhou o cobiçado prêmio "Fed 100" da Federal Computer Week, concedido a especialistas de TI que tiveram um grande impacto no governo. Shahid atuou como consultor, arquitetou e desenvolveu vários sistemas governamentais complexos públicos e protegidos no Gabinete Executivo do Presidente, NIH, VA e OMB. Seu conhecimento em tecnologia inclui estratégia governamental centradas no cidadão, arquiteturas orientadas a serviços e acionadas por eventos, Java/JEE, .NET, desenvolvimento agile, integração de dados e modernização de sistemas legados.



31/Ago/2012

Desafios técnicos e de negócios da adoção da nuvem

A gestão Obama tem focado especificamente o uso de tecnologias modernas de Web 2.0 e computação em nuvem para ajudar a melhorar os serviços do governo. De fato, essa solicitação foi incluída nos orçamentos para os próximos anos — isso significa que, oficialmente e por lei, todas as agências devem considerar a nuvem primeiro agora. Devido a esse pensamento de "nuvem em primeiro lugar", está ocorrendo um esforço considerável de análise da consolidação de datacenter, e a gestão atual está procurando formas de acelerar a adoção da nuvem. Evidentemente, qualquer grande movimento de adoção da nuvem por parte do governo é uma iniciativa de vários anos, mas está claro que os principais líderes de TI do governo já aceitaram o conceito.

Os casos de negócio e benefícios técnicos da adoção da nuvem são os mesmos para o governo e outras empresas, mas as possíveis economias e desafios são muito maiores. Se o governo conseguir reduzir 5% dos seus custos ao longo dos próximos anos, isso envolve uma economia de bilhões de dólares; portanto, é fácil entender por que os líderes senior de TI do governo estão pensando na nuvem.

A maioria dos desafios de negócios da nuvem equivale aos dos outros ambientes, mas o governo tem desafios especiais. O primeiro é a compra. Com você compra serviços de nuvem sob demanda se o governo faz o orçamento com anos de antecedência, não sendo possível conhecer a demanda do serviço? Os processos de contratação e compra normalmente são longos e árduos, porque o governo tenta negociar menos contratos que atendem as necessidades de todas as agências em longo prazo. Por serem contratos de longo prazo, não conseguem acompanhar o ciclo de inovação tecnológica — ou seja, o governo acaba comprando servidores, redes, datacenters, etc. mais antigos e caros.

Embora as barreiras culturais e aquisitivas à compra sejam substanciais, a segunda barreira mais importante — que também vale para empresas comerciais, mas tem implicações maiores e mais amplas no governo — é a segurança na nuvem. As regras de segurança que o governo deve seguir geralmente são estabelecidas pelo Congresso como regulamentos formais com força de lei; são muito mais rigorosas e menos tolerantes que as do setor comercial.


Vantagens gerais de segurança oferecidas pela adoção da nuvem

Muitas agências do governo hospedam seus dados públicos (dados não protegidos que são compartilhados com os cidadãos) nas mesmas redes (em termos lógicos) dos dados privados. Ao passar os dados públicos para uma nuvem externa, as agências podem reduzir a exposição dos dados internos sensíveis, porque os servidores públicos e privados não ficam próximos.

Hoje, cada agência tem a sua própria rede e gasta literalmente bilhões de dólares para arquitetar, desenvolver, documentar, proteger, monitorar e auditar centenas de redes diferentes que provavelmente fazem coisas semelhantes. Quando se adota a nuvem, a auditoria e o teste de segurança e as tarefas relacionadas ficam mais simples, já que as infraestruturas e redes são semelhantes ou idênticas.

A redundância e a recuperação de desastre (DR) ou continuidade de operações (COOP) são muito caras devido à estrutura atual dos aplicativos, plataformas e redes da maioria das agências. Adotando a nuvem e, o mais importante, as tecnologias de virtualização, é possível ver estratégias de DR e COOP mais fáceis porque a nuvem oferece backups mais fáceis e melhor redundância.

É simples ver como a DR e a COOP ficam mais fáceis — todos os fornecedores de nuvem com boa reputação têm vários datacenters redundantes e oferecem replicação de máquina virtual em diversos sites. As ofertas de backup mais fáceis são um aspecto que pode passar despercebido com facilidade — muitos fornecedores oferecem redes de área de armazenamento (SANs) para redundância de dados em várias unidades de disco — ou seja, você obtém backups em tempo real. No entanto, além disso, os fornecedores oferecem capturas instantâneas para backups regulares de discos inteiros, para os quais é possível retroceder e, em última análise, mover para a fita ou um armazenamento externo, caso você adquira esse serviço. A DR, a COOP e as ofertas de backup não são apenas aspectos técnicos. Elas são questões de segurança importantes porque a perda e o vazamento de dados ocorrem devido a estratégias inadequadas de DR e backup.


Desafios gerais de segurança relacionados à adoção da nuvem

Embora alguns benefícios estejam associados à adoção da nuvem, a maioria dos profissionais de TI vê muitas razões para ter medo. Estas são perguntas comuns que os profissionais de segurança fazem:

  • Como eu sei se posso confiar o seu (do vendedor) modelo de segurança? A documentação e os processos serão transparentes? Como eu sei se você responderá às descobertas da auditoria?
  • A sua implementação proprietária pode ser examinada facilmente para descobrir falhas? Você dará apoio às minhas investigações criminais e de intrusão, da mesma forma que eu faço na minha rede atualmente?
  • Você suporta conexões confiáveis à Internet (TICs) com auditoria completa para a largura da banda do tráfego da Internet utilizada pelo governo? As TICs estão se tornando obrigatórias, e a maioria dos provedores em nuvem nem sabem o que é isso.
  • Como você controla os vazamentos de dados classificados para sistemas não classificados? Se houver um caso de "vazamento" acidental para um sistema não classificado, o governo pode vir às suas instalações e solicitar o apagamento de unidades de disco rígido inteiras para limpá-las depois do vazamento de informações. Quais tipos de processos vocês utilizam para lidar com o apagamento de unidades de disco rígido caso vocês tenha compartilhado dados de vários clientes em uma única unidade de disco rígido? Como vocês lidam com as questões sobre a responsabilidade de misturar dados classificados e não classificados?
  • Como vocês garantem que os dados do governo continuarão nos servidores localizados fisicamente dentro dos Estados Unidos Continentais? Há regras rigorosas elaboradas pelo Congresso e regulamentos promulgados por diversas gestões presidenciais que exigem isso.
  • Os backups estão fora dos limites do seu sistema? O transporte ocorre em uma conexão segura e é criptografado em um local remoto? É criptografado durante o trânsito externo? Quais são os controles de segurança física e técnica no local externo? Os backups são enviados a locais no exterior para armazenamento externo? O site de backup tem os mesmos controles que o site primário?

A maioria dessas questões — multitenancy, criptografia e conformidade — resume-se à confiança. Há mais perguntas que podem ser respondidas facilmente pela maioria dos fornecedores de nuvem. Se você é um fornecedor de nuvem que quer atender o governo, ou um comprador governamental que quer saber em quais questões técnicas de segurança deve se concentrar, estas são algumas dicas. Este artigo trata das ameaças à segurança sob o ponto de vista do governo, mas os fornecedores de nuvem inteligentes irão utilizá-las como uma prévia das perguntas que o governo pode fazer e se preparar adequadamente.

Em seguida, você verá desafios específicos de segurança para os usuários governamentais de nuvem.


Riscos à equipe, ao gerenciamento de identidade e ao controle de acesso

Convém estar ciente de ameaças como funcionários mal intencionados, como os responsáveis pelo vazamento recente de mais de 90.000 páginas de documentos classificados sobre a guerra no Afeganistão. O gerenciamento de identidade e o controle de acesso adequados são difíceis até dentro dos limites do sistema de TI de uma única entidade. No entanto, quando um sistema ultrapassa os limites — com uma parte dele dentro de uma rede interna e outra parte (maior ou menor) na nuvem dentro do ambiente de outro fornecedor — esses aspectos se tornam ainda mais difíceis. Se você ajudar a proteger sistemas híbridos desse tipo, certifique-se considerar as práticas de contratação nos seus fornecedores de nuvem. Eles devem ter políticas de contratação tão rigorosas quanto as suas, pelo menos. Como o seu fornecedor notificará você quando pessoas que trabalham com seus dados ou sistemas são contratadas e deixam a empresa? Sob quais circunstâncias o funcionário deixou a empresa? Se você não pode confiar nos funcionários do fornecedor, não pode confiar no fornecedor. Por exemplo, quando um funcionário do seu fornecedor de nuvem deixa a empresa, você é notificado?

Depois de conhecer o processo de contratação e as regras de fornecimento de sistema, é conveniente entender o processo de acesso lógico e de aumento de privilégios. Quem decide as regras de acesso e como você é notificado quando as regras de acesso mudam? As pessoas geralmente se preocupam mais com a concessão do acesso inicial. No entanto, lembre-se de que as violações mais prováveis ocorrem quando o acesso é escalado para os funcionários já existentes de um fornecedor, mas você não é notificado dessa escalada (para poder monitorar a utilização de forma diferente). O monitoramento de identidade e o acesso dos seus próprios funcionários no governo são cruciais, mas você tem outras salvaguardas, como a segurança física no local, para acessar a sua rede ou as VPNs para acesso remoto, que requerem a autenticação de dois fatores. Do ponto de vista da segurança, os funcionários do seu fornecedor de nuvem são como os seus próprios funcionários e, se os funcionários do seu fornecedor não estão seguindo as mesmas regras internas que os seus funcionários, esteja certo de que haverá uma violação mais cedo ou mais tarde.

Para fazer uma correção específica desses tipos de riscos, é conveniente criar listas de funcionários importantes dos provedores em nuvem que sejam conhecidos e controlados pelas obrigações contratuais. A realização de auditorias regulares do acesso às informações é outra técnica comum. Você deve exigir o estabelecimento de relatórios de conformidade e ferramentas de monitoramento para deixar os processos do fornecedor de nuvem totalmente transparentes para a equipe do governo que supervisiona o contrato. Coisas óbvias, como exigir a segurança de dois fatores e evitar o compartilhamento de credenciais, são importantes, mas os intangíveis e o fato de a segurança estar no DNA do fornecedor de nuvem — e não algo considerado como um esforço de conformidade — é um aspecto ainda mais importante.

Fornecedores respeitados, como IBM®, Amazon, Google e Microsoft®, e outros nomes muito conhecidos já sabem fazer esse tipo de trabalho de segurança; a preocupação está relacionada aos fornecedores de software como serviço (SaaS) ou plataforma como serviço (PaaS) focados no software, que se concentram mais no aplicativo que no sistema. Se uma empresa de nuvem foca mais o consumidor que o governo (ou as empresas), ela requer uma análise mais minuciosa, porque não lida tanto com dados de missão crítica que podem causar danos irreparáveis ao governo.


Riscos de vazamento de dados

Muitos tipos de propriedade intelectual precisam de proteção mas os dados podem ser o tipo mais importante: quando você pensa em segurança, a maior preocupação não é o roubo de servidores ou aplicativos. A real preocupação, principalmente para o governo, é com os dados armazenados nos servidores. As violações de dados causam perda de dados, também conhecida como vazamento de dados , nos casos em que os dados originais são preservados, mas copiados das origens. Várias coisas podem causar violações de segurança de dados:

  • Alterar os dados sem o conhecimento do proprietário deles
  • Excluir dados de forma irrecuperável
  • Obter dados por meios escusos e usá-los para prejudicar o governo ou seus cidadãos

Você já conhece as implicações para a segurança nacional: vazamentos de dados classificados podem prejudicar os soldados. Entretanto, o hackeamento comercial e as violações de dados são ainda mais comuns e devem ser evitados. Este é um exemplo simples: uma empresa contratada que trabalha para o governo pode roubar ou emprestar dados sensíveis de compra para outra contratada que quer se beneficiar de informações privilegiadas. Esse tipo de vazamento de dados é mais fácil de controlar quando todos os dados e usuários estão na mesma rede; no entanto, seu controle é muito mais difícil quando os dados e sistemas de TI estão fora do seu controle, na nuvem.

Para ajudar a corrigir o risco de vazamento de dados, certifique-se de exigir contratualmente que o fornecedor de nuvem mantenha logs de acesso e realize auditorias regulares dos principais sistemas, como os servidores de banco de dados [físicos ou em máquina virtual (VM)] e sistemas de banco de dados (MySQL, ORACLE, DB2®, etc.). É preciso saber, por exemplo, quais dados são revisados e gerenciados regularmente pela equipe de DBA do fornecedor de nuvem. Se ele ainda não controla essas informações e está fazendo algo especial para você, pode haver problemas.

A segurança de nuvem é uma propriedade emergente de todo o sistema e também um requisito funcional. Tratar a segurança como um requisito funcional específico é um bom começo — os sistemas que você compra e os fornecedores que escolhe certamente devem ser "protegidos". No entanto, na maioria dos sistemas complexos, a segurança deve ser entendida como uma propriedade emergente, ou seja, é possível que partes importantes da funcionalidade do sistema estejam funcionalmente seguras, mas o sistema como um todo pode estar desprotegido e apresentar um alto risco. Por exemplo: o seu fornecedor de nuvem pode criptografar os dados em repouso ou nas unidades de disco rígido (seguros) e os dados podem ser transferidos entre os sites de forma criptografada (também seguros), mas os usuários podem anotar suas senhas ou armazená-las em celulares (desprotegidos). Muitos profissionais de segurança, principalmente os patrocinadores executivos, frequentemente empregam mais tempo na segurança técnica dos componentes e não nos fatores humanos que ligam esses componentes — quando se faz isso, os riscos passam despercebidos facilmente. Esse fato vale também para a nuvem, onde há organizações totalmente diferentes envolvidas. Se você trata a segurança e os riscos associados como uma propriedade emergente (algo que “surge” do seu sistema, em vez de estar contido nele), pode gerenciar melhor as ameaças à segurança na nuvem.

O descarte de dados é outro esforço de correção. Parte dos vazamentos de dados mais comuns não ocorre enquanto os dados são protegidos ativamente pelos DBAs, mas quando as unidades de disco rígido são descartadas, as fitas de backup são transferidas de um ambiente para outro ou ocorre o planejamento de reutilização das mídias. Se você é o responsável pelo controle da segurança de dados no seu fornecedor de nuvem, pergunte a ele sobre o plano de descarte de dados e audite-o minuciosamente.


Risco do hosting com vários proprietários

Depois de examinar os vetores de ataque amplos, como os controles de acesso para a equipe e o descarte de dados, concentre-se no multitenancy e na mistura de dados de clientes diferentes e a forma de proteção dos dados. Por exemplo: um provedor de Infraestrutura como serviço (IaaS) pode oferecer a cinco clientes o acesso particionado de VM no mesmo servidor físico. Acessar os dados em uma VM a partir de outra VM protegida na mesma caixa é possível, mas muito difícil. Entretanto, proteger um aplicativo com vários proprietários contra o vazamento de dados entre os clientes é mais difícil e o vazamento se torna mais provável. Convém perguntar para o seu provedor de nuvem como ele armazena os dados de vários proprietários e se é possível que um proprietário (você) acesse de forma acidental ou mal intencionada os dados de outro proprietário. A maioria dos fornecedores e programadores dirá que programou proteções, mas um simples erro na lógica de acesso dentro de um arquivo HTML ou JavaScript pode vazar grandes quantidades de dados. Os sistemas com vários proprietários que armazenam tudo em um banco de dados lógico e físico estão mais suscetíveis a esse tipo de erro que os sistemas que armazenam os dados de cada proprietário em bancos de dados lógicos separados com esquemas diferentes para cada cliente. Trabalhe em conjunto com os fornecedores para verificar o risco de vazamento de dados. Provavelmente, é muito mais alto do que eles pensam.


Manipulando informações secretas

A criptografia de dados e as técnicas de bancos de dados translúcidos são outros dois métodos comuns para manipular informações secretas. Os seus fornecedores podem optar pela integral do disco inteiro, criptografia parcial baseada no sistema de arquivos do disco, criptografia baseada no esquema, criptografia de tabela, de coluna ou uma combinação. A criptografia FIPS 140-2 deve ser um requisito mínimo, quando for adequado, para os dados específicos que estão sendo protegidos (consulte Recursos para ver um link para a "publicação Federal Information Processing Standards 140-2"). A melhor coisa a fazer é garantir a criptografia do disco inteiro, a menos que o seu fornecedor realmente saiba fazer os outros tipos. Entretanto, até mesmo quando o fornecedor de nuvem diz que os dados são criptografados em repouso no banco de dados, pergunte sobre a abordagem ao gerenciamento de chaves. Quem fica com as chaves e como é feito o gerenciamento? Se o gerenciamento de chaves não é seguro e gerenciado adequadamente, a criptografia não faz sentido. Alguns fornecedores criptografam os discos mas colocam as chaves no mesmo servidor, porque não entendem os riscos. Proteger os dados do governo é muito mais difícil que proteger dados comerciais, portanto, é fundamental que a equipe do fornecedor entenda isso. Se você está usando IaaS, é possível controlar a criptografia e o gerenciamento de chaves no nível que você quiser. No entanto, se você está usando PaaS ou SaaS, fica à mercê dos fornecedores de nuvem — assim sendo, convém estabelecer os seus requisitos detalhadamente.

Tenha em mente também que, embora um fornecedor possa ter um consultor de certificação e credenciamento (C&A) e afirme ser compatível com a Lei do Gerenciamento de Segurança das Informações Federais (FISMA), isso não significa que os seus dados secretos estejam protegidos adequadamente. Como representante do governo, é preciso ser ainda mais diligente na obtenção das provas necessárias para convencer os patrocinadores executivos.


Auditoria e criação de log

Todos, inclusive os fornecedores, sabem da importância da auditoria e criação de log. No entanto, nem todos fazem isso corretamente: o sistema de registro dos logs nunca deve ser o mesmo sistema cujos logs estão sendo criados; a maioria dos sistemas operacionais inclui logs, mas isso não é suficiente. O syslog remoto e o envio de log em tempo real devem ser usados em todas as circunstâncias, não em algumas ocasiões. Eventos de aplicativo, logs do banco de dados e controle das atividades de segurança devem ser armazenados em um log centralizado totalmente auditável com recursos de irrecusabilidade, como mecanismos de hashing e garantia da entrega de mensagens. Se o fornecedor tem acesso aos seus próprios logs e pode modificá-los, não tem credibilidade. Obviamente, o fornecedor deve ter acesso aos seus próprios logs, mas qualquer modificação no log deve ser impossível e o sistema de gerenciamento de logs deve ser capaz de detectar tentativas de hackeamento ou violação. Ao realizar a análise forense depois de um evento, os logs são a principal fonte de provas e devem ser confiáveis e estar altamente disponíveis.


Riscos de negação de serviço e desfiguramento

Os sistemas do governo são particularmente vulneráveis aos ataques de negação de serviço e desfiguramento, cujo objetivo é envergonhar uma agência, sua missão ou equipe. O flooding de pacotes, também conhecido como saturação da largura da banda da rede, é o risco mais comum. Você deve perguntar ao fornecedor como eles lidam especificamente com isso, porque a maioria dos fornecedores de rede (principalmente SaaS) simplesmente supõe que outra pessoa lida com isso. Além disso, deve perguntar como eles identificam botnets e defendem contra o tráfego mal intencionado na rede que provavelmente entrará nos ambientes de IaaS, PaaS ou SaaS. Eles devem realizar uma inspeção aprofundada dos pacotes para detectar ataques à rede com assinaturas conhecidas e proteger automaticamente contra flooding ou pacotes de dados grandes que podem travar os servidores da web ou de aplicativos.


Riscos de spoofing, escuta clandestina e farejamento de pacotes

Se os requisitos de IaaS, PaaS ou SaaS do seu governo incluem conhecer as origens dos dados por meio de endereços IP ou DNS, é conveniente se certificar de que o seu provedor possa proteger contra o spoofing de IP e DNS e o flooding de ARP. Os fornecedores também devem ter a obrigação contratual de mostrar como impedem a violação de pacotes, a enumeração dos seus serviços privados por outros proprietários e a violação dos seus dados de configuração ou chaves de criptografia, que podem precisar de proteção extra.


Conclusão

Você aprendeu que os governos são grandes usuários de todos os tipos de sistemas de TI. Ao empenhar-se para serem mais ágeis, cumprir as metas de missão mais rapidamente, reduzir os riscos de desenvolvimento e reduzir os orçamentos e custos gerais associados à administração de sistemas de TI, a maioria das organizações governamentais estão procurando implementar uma solução de nuvem. A nuvem oferece grandes benefícios de negócios e alguns benefícios de segurança — com o tempo, será mais bem compreendida e usada de forma mais efetiva. Nesta época, a equipe do governo deve ter cuidado, porque a nuvem é nova. Ninguém, nem mesmo os fornecedores de nuvem, está ciente de todos os riscos à segurança. No entanto, isso não deve impedir você de fazer experiências com fornecedores que se mostrem sérios em relação à segurança e conheçam bem os modelos de ameaça.

Recursos

Aprender

Obter produtos e tecnologias

Discutir

Comentários

developerWorks: Conecte-se

Los campos obligatorios están marcados con un asterisco (*).


Precisa de um ID IBM?
Esqueceu seu ID IBM?


Esqueceu sua senha?
Alterar sua senha

Ao clicar em Enviar, você concorda com os termos e condições do developerWorks.

 


A primeira vez que você entrar no developerWorks, um perfil é criado para você. Informações no seu perfil (seu nome, país / região, e nome da empresa) é apresentado ao público e vai acompanhar qualquer conteúdo que você postar, a menos que você opte por esconder o nome da empresa. Você pode atualizar sua conta IBM a qualquer momento.

Todas as informações enviadas são seguras.

Elija su nombre para mostrar



Ao se conectar ao developerWorks pela primeira vez, é criado um perfil para você e é necessário selecionar um nome de exibição. O nome de exibição acompanhará o conteúdo que você postar no developerWorks.

Escolha um nome de exibição de 3 - 31 caracteres. Seu nome de exibição deve ser exclusivo na comunidade do developerWorks e não deve ser o seu endereço de email por motivo de privacidade.

Los campos obligatorios están marcados con un asterisco (*).

(Escolha um nome de exibição de 3 - 31 caracteres.)

Ao clicar em Enviar, você concorda com os termos e condições do developerWorks.

 


Todas as informações enviadas são seguras.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=80
Zone=Segmentos de mercado, Cloud computing
ArticleID=833256
ArticleTitle=Computação em Nuvem por Agências Governamentais
publish-date=08312012