SEGURANA NA COMPUTAO EM NUVEM

DANISH JAMIL Departamento de Engenharia de Computao , Universidade de Engenharia e Tecnologia Sir Syed , Estrada Universitria Principal, Karachi, Sindh - 75300 , Paquisto

HASSAN ZAKI Departamento de Engenharia de Computao , Universidade de Engenharia e Tecnologia Sir Syed, Estrada Universitria Principal, Karachi, Sindh - 75300 , Paquisto

Resumo: No nenhum segredo que a computao em nuvem est se tornando cada vez mais popular e hoje cada vez maior em popularidade com grandes empresas como eles compartilham recursos valiosos de uma forma rentvel. Devido a esta crescente demanda por mais nuvens h uma ameaa cada vez maior de segurana se tornando um grande problema. Este papel deve procurar formas em que as ameaas segurana podem ser um perigo para a computao em nuvem e como eles podem ser evitados.
Palavras chave - Cloud Computing, VPN, Segurana, Ameaas, Perigo, Valioso, eficaz

1 . INTRODUO A computao em nuvem baseada na Internet onde os recursos compartilhados, software e informaes so fornecidos aos computadores e outros dispositivos ondemand. O pioneiro de fornecedores de computao em nuvem , Amazon Simple Storage Service (S3) e Amazon Elastic Compute Cloud ( EC2 ) so exemplos bem conhecidos. Enquanto estes baseados na Internet on-line servios no fornecem grandes quantidades de espao de armazenamento e recursos de computao personalizveis , essa mudana plataforma de computao , no entanto, est eliminando a responsabilidade de mquinas locais para a manuteno de dados ao mesmo tempo. Como resultado , os usurios ficam merc de seus provedores de servios em nuvem para a disponibilidade e integridade de suas dados. O tempo de inatividade do S3 da Amazon um exemplo. [1]

Os trs aspectos principais da computao em nuvem so software como servio, plataforma como servio e infra-estrutura como um servio. Um provedor de SaaS normalmente hospeda e gerencia um determinado aplicativo em seu prprio centro de dados e torna disponvel para vrios inquilinos e usurios pela web. Alguns provedores de SaaS executado em PaaS de outro provedor de nuvem ou ofertas de servios de IaaS . Oracle CRM On Demand, Salesforce.com e Netsuite so alguns dos exemplos de SaaS bem conhecidos . Plataforma como Servio (PaaS) um desen volvimento aplicativo e da plataforma de implantao fornecidos como um servio para os desenvolvedores atravs da web. Ele facilita o desenvolvimento e implantao de

aplicativos sem o custo ea complexidade de comprar e gerenciar a infra-estrutura subjacente , fornecendo todos os equipamentos necessrios para suportar o ciclo de vida completo de construir e entregar aplicativos web e servios totalmente disponveis na Internet. Esta plataforma consiste em software de infra-estrutura , e normalmente inclui uma ferramenta de desenvolvimento de banco de dados , middleware e . Uma arquitetura de grid computing virtualizados e agregados muitas vezes a base para este software de infra-estrutura . Algumas ofertas de PaaS tem uma linguagem de programao especfica ou API. Por exemplo , o Google AppEngine uma oferta de PaaS , onde os desenvolvedores escrever em Python ou Java. EngineYard Ruby on Rails. s vezes, provedores de PaaS tm linguagens proprietrias como force.com da Salesforce.com e Coghead , agora propriedade da SAP. Infraestrutura como Servio ( IaaS) a entrega de hardware ( servidores, armazenamento e de rede), e associado software ( tecnologia de virtualizao de sistemas operacionais , sistema de arquivos) , como um servio. uma evoluo de hosting tradicionais, que no necessitam de qualquer compromisso a longo prazo e permite aos usurios provisionar recursos sob demanda. Ao contrrio dos servios de PaaS , o provedor de IaaS faz muito pouco gesto diferente manter a centro operacional e os usurios de dados deve implantar e gerenciar os prprios servios de software - apenas a forma como se estivessem em seu prprio centro de dados. Amazon Web Services Elastic Compute Cloud (EC2) e servio de armazenamento seguro (S3) so exemplos de ofertas de IaaS . [2] Ainda mais os tipos de nuvens mais populares so nuvens privadas , pblicas e hbridas. Em uma nuvem privada , a infra-estrutura para implementar a nuvem controlado totalmente pela empresa. Normalmente, as nuvens privadas so implementadas no centro de dados da empresa e gerenciado por recursos internos. Uma nuvem privada mantm todos os dados corporativos em recursos sob o controle do guarda-chuva legal e contratual da organizao. Isso elimina as preocupaes regulamentares, legais e de segurana associados com a informao a ser processada em recursos de terceiros de computao. Em uma nuvem pblica, organizaes externas fornecer a infra-estrutura e de gesto necessrias para implementar a nuvem. As nuvens pblicas simplificam drasticamente sua implementao e normalmente so cobradas com base no uso. Isso transfere o custo de um investimento com uma despesa operacional e rapidamente pode ser dimensionado para atender s necessidades da organizao. Aplicaes temporrias ou aplicaes. Com o salto nas necessidades de recursos tipicamente beneficiando a capacidade da nuvem pblica para agregar recursos quando necessrio e, em seguida, escal-los de volta quando eles no so mais necessrios. Em uma nuvem privada, a empresa precisaria de fornecimento para o pior caso em todos os aplicativos que compartilham a infra-estrutura. Isto pode resultar em desperdcio de recursos quando a utilizao no est no seu pico. [2] 1.1. AMEAAS DE SEGURANA A computao em nuvem e servios web so executados em uma estrutura de rede ento eles esto abertos a ataques de rede. Um desses ataques o ataque distribudo de negao de servio. Se um usurio pode sequestrar um servidor ento o hacker poderia parar o funcionamento dos servios web e exigir um resgate para colocar os servios de volta on-line. Para parar esses ataques o uso de cookies syn e a limitao de usurios ligados a um servidor ajudaria a parar um ataque DDOS. Outro ataque

desse tipo o ataque man in the middle. Se o Secure Sockets Layer (SSL) est configurado incorretamente ento a autenticao do cliente e do servidor no pode se comportar como se espera, portanto, o que conduz a ataques o man in the middle. [3] Outro tipo de ataque o sniffing de rede. Com um packet sniffer um atacante pode capturar dados confidenciais no criptografados como senhas e outras configuraes de segurana relacionadas com o servio web como o UDDI (Universal Description Discovery and Integrity), SOAP (Simple Object Access Protocol) e arquivos WSDL (Web Service Description Language). Port scanning tambm outra ameaa que pode ser usado por um invasor. A porta 80 est sempre aberta devido ao fato de ser a porta que o servidor web fica. No entanto, pode facilmente ser encriptada e contanto que o software do servidor esteja configurado corretamente, ento no deve haver nenhuma invaso. [4] Outros ataques incluem SQL Injection, onde um hacker pode usar caracteres especiais ou termos para devolver dados no intencionais, por exemplo, a seqncia de caracteres que pode acabar em uma clusula WHERE de uma instruo SQL pode ser enganada e includas mais informaes. Por exemplo, um valor de parmetro de X ' ou 1 = 1 pode fazer todo contedo de uma tabela ser devolvido, visto que 1 = 1 sempre visto como verdadeiro. Tambm cross site scripting, onde a insero de cdigo em um campo ou uma URL em que executado entrega o controle ou dados sensveis para o atacante. Bem-sucedidos ataques de cross site scripting pode levar a buffer overflows, ataques DOS, insero de spyware e cdigos maliciosos nos navegadores visitantes e violao da privacidade do usurio. [5] Outros riscos marcados como de alto risco em segurana na nuvem so - PERDA DE GOVERNANA: no uso de infraestruturas de nuvem, o cliente necessariamente cede o controle ao provedor de nuvem (CP) sobre uma srie de questes que podem afetar a segurana. Ao mesmo tempo, os SLAs podem no oferecer um compromisso com a prestao desses servios por parte do provedor de nuvem, deixando assim uma brecha nas defesas de segurana. [6] LOCK-IN: atualmente h pouca oferta na forma de ferramentas, procedimentos e formatos de dados padro ou interfaces de servios que poderiam garantir dados, aplicaes e servios de portabilidade. Isso pode tornar mais difcil para o cliente migrar de um fornecedor para outro ou migrar dados e servios de volta para um ambiente interno de TI. Isto introduz uma dependncia em um CP particular para prestao de servios, especialmente se a portabilidade de dados, como o aspecto mais fundamental, no est habilitada. [6] PROTEO DE DADOS: a computao em nuvem apresenta diversos riscos de proteo de dados para os clientes e fornecedores de nuvem. Em alguns casos, pode ser difcil para o cliente (em seu papel como controlador de dados) verificar efetivamente as prticas de manipulao de dados do provedor e, assim, ter certeza de que os dados so tratados de uma forma legal. Este problema agravado nos casos de mltiplas transferncias de dados, por exemplo, entre nuvens federadas. Por outro lado, alguns provedores de nuvem fornecem informaes sobre suas prticas de manipulao de dados. Alguns tambm oferecem resumos de certificao em seu processamento de dados e atividades de segurana de dados e os controles de dados que eles tm no lugar, por exemplo, de certificao SAS70. . [6] EXCLUSO DE DADOS INSEGURA OU INCOMPLETA : quando um pedido para apagar um recurso de nuvem feita , como a maioria dos sistemas operacionais, isso pode no resultar em verdadeira limpeza dos dados. Excluso de dados adequada e oportuna tambm pode ser impossvel (ou indesejvel do ponto de vista do cliente), ou

porque cpias extras de dados so armazenados, mas no esto disponveis, ou porque o disco para ser destrudo tambm armazena dados de outros clientes. No caso de vrios arrendamento e a reutilizao de recursos de hardware, o que representa um maior risco para o cliente do que com hardware dedicado. [6]. Como voc pode ver os ataques so muito semelhantes ao de uma rede padro. outros ataques que no podem ser especficos para a nuvem so a falta de autenticao fsica, como biometria e furto cartes. Configuraes incorretas tambm podem contribuir para a perda de dados ou permitir que um hacker obtenha acesso. Outros podem incluir software de sistema operacional no atualizados, o uso de software no confivel e ferramentas dentro da nuvem. Um certo nmero de contramedidas devem ser discutidas agora na prxima seo. 1.2. MEDIDAS DE SEGURANA Para ajudar a aumentar ainda mais a segurana dos usurios na nuvem, nuvens privadas podem ser formadas. Um exemplo disso a Amazon Virtual Private Cloud (VPC). A idia de uma nuvem privada a de permitir que uma empresa para criar uma ponte segura e transparente entre a estrutura de TI existente da empresa e da nuvem AWS. Amazon VPC permite s empresas conectar sua infra-estrutura existente a um conjunto isolado de recursos AWS atravs de uma conexo de rede privada virtual (VPN), e estender suas capacidades de gesto existentes, tais como os servios de segurana, firewalls e sistemas de deteco de intruso para incluir seus recursos AWS . Como exemplo disto mostrado abaixo na figura 1 - [7]

Figura 1 - Mostra uma possvel VPN para ajudar a aumentar a segurana na nuvem.

Para garantir a estrutura que est a ser implementada, precisamos chegar a um processo de anlise de segurana. Isso ir incluir os tipos de ativos que devem ser protegidos a partir do ponto de vista da empresa, quais ameaas podem ser executadas na empresa, que contramedidas podem ser postas em prtica para parar esses ataques caso ocorram. Ao lidar com ativos temos de ver quais ativos estamos

tentando proteger e quais propriedades desses ativos devem ser protegidas. Para lidar com ameaas, devemos olhar para os tipos de ataques que podem ser lanados contra uma empresa com este tipo de estrutura. [8]. Quando se trata do tema dos ativos de uma empresa , precisamos olhar para aspectos como os dados do cliente, aplicaes de clientes e dispositivos de computao. Isso incluiria confidencialidade, integridade e disponibilidade dos dados. Confidencialidade lida com o acesso no autorizado de dados, integridade lida com o confinamento seguro dos dados e, naturalmente, a disponibilidade lidar com os dados que esto disponveis para o cliente o tempo todo. Tipos de ameaas incluem falhas na segurana do provedor, ataques por um cliente ou um hacker, questes de disponibilidade e confiabilidade. O cliente deve confiar no provedor de segurana, portanto, essencial que ela seja monitorada regularmente. [8 ] Ataques de cliente poderia ser recursos do provedor como o uso de CPU e armazenamento compartilhado com terceiros no confiveis. Dados e aplicativos dos clientes devem ser executados separadamente e no faz-lo pode afetar a confidencialidade, integridade e princpios de disponibilidade (CIA). Para evitar isso, podemos usar as medidas j discutidas, como as VPNs e VLANs e criptografia forte juntamente com segurana na camada de transporte. Ameaas que se enquadram sob questes de disponibilidade e confiabilidade so a causa do aumento das falhas, as nuvens so importantes alvos de ataque e a confiabilidade na internet s vezes no confivel. Para contrapor este planejamento para tempo de inatividade essencial, pois est usando nuvens pblicas para aplicaes no-essenciais. [8]. Outro mtodo de segurana popular o hypervisor. O servio Web da Amazon faz uso dela em sua nuvem. O Amazon EC2 atualmente utiliza uma verso altamente personalizada do Xen hypervisor, aproveitando-se de paravirtualizao. Porque convidados virtualizados contam com o hypervisor para fornecer suporte para operaes que normalmente requerem acesso privilegiado, possvel executar o sistema operacional convidado sem acesso elevado ao CPU. Esta virtualizao explcita dos recursos fsicos leva a uma separao clara entre o hspede e o hypervisor, resultando em forte separao de segurana entre os dois. [7]. Um firewall tambm essencial e os servios web da Amazon tambm recomendam um mtodo de implementao para isso. O Amazon EC2 fornece uma soluo de firewall completo, o firewall de entrada obrigatriamente configurado em um modo padro fechado e o cliente Amazon EC2 deve explicitamente abrir as portas para permitir o trfego de entrada. O trfego pode ser restringido por protocolo, por porta de servio, bem como por endereo IP de origem (IP individual ou bloco CIDR). O firewall pode ser configurado em grupos, permitindo diferentes classes de instncias para ter regras diferentes, por exemplo, o caso de uma aplicao web de trs camadas tradicional. [7]. O grupo para os servidores web teria as portas 80 (HTTP) e 443 (HTTPS) abertas para o mundo. O grupo para os servidores de aplicativos teria a porta 8000 (aplicao especfica), acessvel apenas para o grupo de servidores web. O grupo para os servidores de banco de dados teria a porta 3306 (MySQL) aberta apenas para o grupo de servidores de aplicao. Todos os trs grupos permitiriam o acesso administrativo na porta 22 (SSH), mas somente a partir da rede corporativa do cliente. Aplicaes de alta segurana podem ser implementados utilizando este mecanismo expressivo. O firewall controlado no pelo host / instncia prpria, mas exige certificado X.509 do cliente e chave para autorizar alteraes, acrescentando assim uma camada extra de segurana. [7]

Dentro do EC2, o administrador do host e o administrador da nuvem podem ser pessoas diferentes, permitindo se equipar com duas polticas de segurana reforando como regra. Alm disso, a AWS incentiva os clientes a aplicar filtros por instncia adicionais com firewalls baseados em host, como o iptables. Isso pode restringir o trfego de entrada e sada em cada instncia. O nvel de segurana proporcionada pelo firewall em funo de quais portas esto abertas pelo cliente, e para que durao e finalidade. O estado padro negar todo o trfego de entrada, e os desenvolvedores devem planejar cuidadosamente o que eles vo abrir ao construir e proteger as suas aplicaes. Gesto do trfego bem informado e projetar a segurana ainda necessria em uma base por instncia. A figura do firewall pode ser vista na figura 2 [7]

Figura 2 - mostra uma soluo de firewall de computao em nuvem em potencial.

1.3.

VANTAGENS E DESVANTAGENS DA COMPUTAO EM NUVEM

Cloud computing , sem dvida, uma tecnologia fantstica e continua a crescer em popularidade e mais e mais empresas esto investindo em uma nuvem para a sua empresa. Cloud computing apresenta as organizaes de TI com um modelo fundamentalmente diferente de operao, que aproveita a maturidade de aplicaes web e redes ea interoperabilidade crescente de sistemas de computao para fornecer servios de TI. Os provedores de nuvem se especializam em aplicaes e servios especficos, e esse conhecimento lhes permite gerir de forma eficiente atualizaes e manuteno, backups, recuperao de desastres, e as funes de failover. Como

resultado, os consumidores de servios em nuvem podem ver maior confiabilidade, assim como diminuir os custos devido s economias de escala e outros fatores de produo. Outras vantagens incluem reduo de custos como os recursos so compartilhados e reutilizados dentro da nuvem. [9]. Por isso, justo dizer que os principais benefcios da computao em nuvem para a empresa so os seguintes: Reduo do Custo Tecnologia de nuvem pago de forma incremental, economizando organizaes dinheiro. Aumento de Armazenamento As organizaes podem armazenar mais dados do que em sistemas de computador particular. Altamente Automatizado No mais que o pessoal de TI precisa se preocupar em manter o software atualizado. Flexibilidade A computao em nuvem oferece muito mais flexibilidade do que os mtodos de computao do passado. Mais Mobilidade Os funcionrios podem acessar as informaes onde quer que estejam, ao invs de ter que permanecer em suas mesas.

Permite que a TI mude o foco No mais se preocupar com atualizaes constantes do servidor e outras questes de computao, administrao. Organizaes estaro livres para concentrar-se na inovao. [10] A tecnologia , naturalmente, no livre de falhas. Um dos principais problemas a segurana. Toda a informao vital armazenada em um servidor externo por um fornecedor externo. Como mencionado muitos ataques de rede simples podem trabalhar nas nuvens da empresa. Teoricamente, os dados armazenados na nuvem so extraordinariamente seguros, replicado em vrias mquinas. Mas na chance de que seus dados vo faltar, voc no tem backup fsico ou local. Outra desvantagem que ela exige uma ligao constante. Uma vez que voc usa a Internet para se conectar a ambos os aplicativos e documentos, se voc no tem uma conexo com a Internet voc no pode acessar qualquer coisa, at mesmo os seus prprios documentos . Isso certamente contar para a perda de negcios . Outra questo e a desvantagem a velocidade. Tudo sobre a nuvem, a partir da interface com o documento atual, tem que ser enviado para trs e para a frente do seu computador para os computadores na nuvem. Problemas de latncia e desempenho so comuns

nas nuvens e para desempenhar adequadamente , exigem uma conexo de alta velocidade. Claro que fatores geogrficos e similares vai entrar em jogo . [11 ]