Segurança e disponibilidade em Cloud ComputingEm 2011, nas muitas palestras e eventos que participei, quase sempre ouvia o questionamento quanto à segurança e disponibilidade das nuvens públicas. As eventuais falhas que aparecem em nuvens públicas se espalham com muita rapidez com, na minha opinião, excessiva publicidade, pela mídia. Um “cloud data center” é uma infraestrutura complexa, com muita tecnologia envolvida e com alto grau de resiliência. Mas, embora nada seja completamente imune a falhas, com certeza ele será bem mais seguro e confiável que a imensa maioria dos data centers que vemos espalhados pelo Brasil...
Para usar uma nuvem pública, é sempre bom ser cauteloso e fazer uma “due diligence” para se assegurar que o provedor adota práticas de segurança e disponibilidade adequadas. Uma boa fonte de pesquisas e estudos sobre o assunto, bem como certificações de resiliência de data centers pode ser visto no Uptime Intitute. Em tempo no Brasil é http Assim, analise as práticas adotadas pelo provedor, o grau de transparência de informações que ele passa e os serviços de recuperação de falhas que ele oferece. Valide se ele adota práticas profissionais como ITIL e se está aderente às regras de segurança ISO/IEC 27001:2005. Uma boa fonte de suporte é a Cloud Security Alliance e seu GRC Stack (Governance, Risk Management and Compliance), que contém vários documentos que ajudam a uma empresa avaliar seu provedor de nuvem pública. Recomendo também, como apoio nesta avaliação, acessar a página do CAMM (Common Assurance Maturity Model) e estudar os seus papers. Além disso, arquitete seus sistemas para explorar as potencialidades das nuvens públicas e crie condições de resiliência próprias. Isto significa que você não deve simplesmente transferir de olhos fechados seus aplicativos on-premise para a nuvem. Adicione a este processo as práticas de segurança e recuperação adequadas para operar na nuvem. Não esqueça de avaliar cuidadosamente as cláusulas contratuais quanto a estes aspectos. Na prática, a responsabilidade pela gestão dos riscos é compartilhada entre o provedor da nuvem e os seus clientes. |