INSTITUTO FEDERAL DO PARANÁ

ADRIELE SANTOS DE OLIVEIRA

CLAUDIO MATHEUS DO ROSARIO

SISTEMA DA INFORMAÇÃO NA COMPUTAÇÃO EM NUVEM

Trabalho Final apresentado como requisito

parcial da avaliação da disciplina de
Metodologia Científica e Sistemas
Operacionais do curso de Tecnólogo em
Análise e Desenvolvimento de Sistemas, do
Instituto Federal do Paraná.

Prof. Emerson L. Tonetti

Prof. Diego J. Hoss

PARANAGUÁ
2018
RESUMO
A nuvem não está presente apenas sobre nossas cabeças, muito pelo contrário,
encontra-se em diversos serviços que utilizamos via internet, através da conhecida
computação em nuvem. Por estarmos diariamente conectados em rede, estamos
sujeitos a diversos ataques, inclusive, no roubo de informações confidenciais, sendo
assim, é de extrema importância que tenhamos completa confiança ao contratar os
serviços de determinado provedor. Portanto, foi buscado em literaturas os pontos
que devem-se ter uma maior atenção ao migrar seus dados para nuvem, verificando
se são garantidos os princípios da autenticidade, integridade e disponibilidade dos
dados. Porém, vale ressaltar que para garantir a segurança da informação, é
necessário que haja atenção tanto por parte do usuário quanto do provedor do
serviço.

Palavras-chave: Computação. Nuvem. Segurança. Informação. Provedores.

1
 SUMÁRIO

1. INTRODUÇÃO 4

2. COMPUTAÇÃO EM NUVEM 5
2.1. SERVIÇOS NA COMPUTAÇÃO EM NUVEM 6

3. SEGURANÇA DA INFORMAÇÃO EM NUVEM 7

3.1 SEGURANÇA DE REDE 8
3.2 INTERFACES 8
3.3 SEGURANÇA DE DADOS 8
3.4 VIRTUALIZAÇÃO 9
3.5 GOVERNANÇA 9
3.6 CONFORMIDADE 10
3.7 QUESTÕES LEGAIS 10

4. CONSIDERAÇÕES FINAIS 11

REFERÊNCIAS 13

2
 LISTA DE FIGURAS

Figura 1 - Representação geral da computação em nuvem 6

3
1. INTRODUÇÃO

A sociedade evoluiu e, com ela, suas tecnologias, que foram surgindo para
atender as necessidades cada vez mais crescentes de usuários e corporações para
facilitar nos processos realizados, inclusive, para o armazenamento e manipulação
de informações, e com isto, surge o conceito de computação em nuvem, onde:

O termo Computação em nuvem pode ser definido como um conjunto de uma

grande rede de servidores interligados, sejam eles virtuais ou físicos, ou
ainda pode ser definido como sendo um conjunto de recursos
computacionais disponibilizados na internet como um serviço. (SOUSA et al,
2009 citado por PEREIRA et al, 2016).

Segundo dados divulgados em 2017 pela Brasscom, no 3º Seminário

Brasscom Políticas Públicas e Negócios, mostra que no ano anterior (2016), o
segmento em nuvem foi um dos que mais cresceu no país, tendo um aumento de
51,7% no número de usuários que adotaram os diversos serviços que são oferecidos
pelos mais distintos provedores e, com esta expansão, surge a necessidade de
assegurar a segurança da informação destes dados, visto que a computação em
nuvem traz consigo inúmeros desafios.
A escolha pela computação em nuvem se deve ao fato de que os serviços
são cada vez mais confiáveis e com um melhor desempenho, estando disponíveis
sempre que o usuário necessitar, de qualquer lugar no planeta, através de um
dispositivo e internet, sendo assim, o usuário deposita sobre o provedor a
responsabilidade por assegurar a segurança de suas informações, possuindo três
componentes primordiais segundo Pereira et al. (2016) :
1. Integridade: proteger os dados contra alteração indevida ou danos;
2. Autenticidade: garantir que os dados se mantenham íntegros, não sendo
alvo de mutações ao longo de um processo;
3. Disponibilidade: proteger os dados contra a interferência com os meios de
acesso aos recursos.
Deste modo, fica evidente que a proteção dos dados é primordial, sendo
assim, este artigo busca verificar como é realizado o gerenciamento dos recursos
em nuvem, garantindo os princípios da autenticidade, integridade e disponibilidade,
através da busca na literatura de qual o conceito de computação em nuvem e seus
serviços, para poder situar-se em qual ambiente estamos tratando e, posteriormente,
apresentar os problemas de segurança relacionadas com a mesma.

4
 Este artigo se divide em partes. Em um primeiro momento será apresentado o
conceito de computação em nuvem e listar quais são seus principais serviços. Em
um segundo momento será apresentado os principais problemas da segurança da
informação no que diz respeito a computação em nuvem. E por terceiro, será
apresentado a metodologia, juntamente com os resultados e considerações finais.

2. COMPUTAÇÃO EM NUVEM
Quando pensamos em computação em nuvem, não nos é estranho o termo,
visto que grandes empresas como a Amazon, VMware, Microsoft e Google oferecem
diversos serviços famosos, como é o caso do Gmail, Youtube e até mesmo o
GoogleDocs, que é conhecido pelo recurso de edição em tempo real (TAURION,
2009 apud PEREIRA et al., 2016). Sendo assim, o recurso da nuvem está presente
em nosso dia a dia, podendo ser acessada de qualquer lugar do mundo e a qualquer
hora.
A computação em nuvem pode ser caracterizada de várias formas, não se
tratando apenas de salvar e recuperar arquivos remotamente. O termo refere-se aos
servidores remotos que muitos, por sua vez, utilizam da técnica de virtualização para
emular os diversos sistemas. A técnica da virtualização é utilizada constantemente,
pois, com ela pode-se emular sistemas distintos para cada usuário e sua
necessidade, sendo assim, tanto sites de e-mais, vídeos e programas online, como o
GoogleDocs, utilizam deste recurso.
O grande número de usuários que adotaram e vem adotando estes serviços,
deve-se ao fato que ao invés de investir em altos valores em uma infraestrutura
própria, é mais vantajoso utilizar os recursos via internet, visto que os sistemas de
computação em nuvem oferecem diversos recursos computacionais ao cliente,
sendo os mais comuns hardwares, plataformas de desenvolvimento e softwares,
onde é pago apenas pelos serviços utilizados. Estes recursos são provenientes dos
data centers, que são compostos por diversos computadores para compor um
servidor, onde são guardados os dados e disponibilizados os recursos para o cliente.
Os data centers necessitam de alguns cuidados, por precisarem de um constante
resfriamento, geralmente são construídos em locais de baixa temperatura, além
disso, poucas pessoas tem acesso aos servidores, tendo em vista que é importante
manter a integridade dos dados.

5
 Figura 1 - Representação
geral da computação em nuvem.
(PEREIRA et al., 2016).

A mediação dos dados dos aplicativos em nuvem e dos servidores, ou seja,

da entrada, processamento e retorno de informações é realizada por meio do Front-
End e Back-End. O Front-End pode ser considerado como uma interface para o
cliente, se trata do local onde serão recebidos os dados de entrada do usuário
(páginas web) e posteriormente enviados para o Back-End, onde este irá processar
e armazenar os dados nos servidores físicos para que possam ser recuperados
assim que necessário.

2.1. SERVIÇOS NA COMPUTAÇÃO EM NUVEM

Os modelos baseados na implementação em nuvem são classificados de

acordo com os recursos fornecidos ao usuário e como eles serão utilizados.
Estes modelos são classificados como Software-as-a-Service (SaaS),
Infrastructure-as-a-Service (IaaS), Database-as-a-Service (DaaS) e
Plataform-as-a-Service (PaaS). (PEIXOTO, 2012; AMARANTE, 2013 citado
por PEREIRA et al., 2016).

O Software como Serviço (SaaS) pode ser caracterizado pelos programas

hospedados em servidores e acessados pela internet por diversos usuários
simultâneos, ou seja, ocorre uma abstração, pois os usuários acessam através de
navegadores de internet, porém, não sabem exatamente onde os aplicativos que
estão sendo utilizados estão executando. Como exemplo de um sistema SaaS,
podemos citar novamente o pacote de aplicativos do Google para edições online,
além de aplicativos para alteração de fotos, não ficando restrito apenas a estes,
havendo muitos outros disponíveis com diversificados recursos.
A Infraestrutura como Serviço (IaaS) é comumente utilizado em termos de
máquinas virtuais, onde são disponibilizados os recursos de hardware, como
armazenamento, processamento e comunicação de dados, poupando grandes

6
investimentos para desenvolvedores, visto que é bastante utilizado para o
desenvolvimento de software, por conta da flexibilidade de escolher variadas
plataformas para o desenvolvimento e testes, sendo assim, a IaaS garante o poder
da computação que seus usuários necessitam para o PaaS e SaaS.
A Plataforma como Serviço (PaaS) é caracterizado por disponibilizar
servidores virtuais para que possam ser utilizados para o desenvolvimento de
aplicações sem ter que se preocupar muito com o sistema operacional e a sua
velocidade de processamento. Alguns autores como Chirigati afirmam que um dos
principais objetivos do PaaS é facilitar o construção e adaptação de aplicações
voltadas aos usuários da nuvem.
O Banco de Dados como Serviço (DaaS) se torna viável quando se tem por
objetivo o gerenciamento de banco de dados. O custo deste serviço está
proporcionalmente ligado a quantidade de dados e bancos a serem utilizados e, por
consequência, com o aumento de dados, torna-se necessário o aumento em
segurança, integração, disponibilidade e desempenho.

3. SEGURANÇA DA INFORMAÇÃO EM NUVEM

A preocupação com os dados em um ambiente virtual sempre existiu. Assim
como na vida real é evidente o risco de perda e de violação de informações, na
internet não seria diferente, assim, os clientes são rigorosos na escolha de seu
provedor de serviços em nuvem, visto que as informações que a mesma detém é o
bem mais precioso de qualquer organização e, pensando justamente na segurança
da informação em um ambiente virtual, existem alguns princípios que devem ser
atendidos, “Assim, todo serviço oferecido em rede deve atender aos princípios que
garantam a disponibilidade, integridade e confidencialidade de dados”(KANDUKURI
et al., 2009 apud PEREIRA et al., 2016).

Segundo Gonzales et al (2013), a computação em nuvem está sujeita a

diversos problemas de segurança, sendo destacado sete principais que precisam ser
tratados, sendo eles: segurança de rede, interfaces, segurança de dados,
virtualização, governança, conformidade e questões legais.

7
3.1 SEGURANÇA DE REDE

Este tópico refere-se a segurança de comunicação que, por sua vez, há

pontos inseguros, principalmente quando há armazenamento na nuvem. Uma das
coisas a ser considerada neste tópico é a transferência de arquivos em grande
quantia junto da sincronização da máquina virtual. Devido a este grande fluxo de
dados, faz-se necessário a utilização de mecanismos de proteção, como é o caso do
virtual private networks (VPN) que protege as informações contra ataques remotos
que exploram vulnerabilidades no sistema de comunicação. Os firewalls também
tratam-se de um mecanismo de proteção, porém, este em si oferece proteção da
infraestrutura do provedor prevenindo tanto ataques internos como externos.
Também faz-se a utilização da filtragem de endereços, controle sobre portas de
acessos, prevenção de negação de serviços(DoS), entre outras coisas.

3.2 INTERFACES

Para que ocorra a mediação do usuário e a nuvem, existem o intermediador

composto pelas interfaces, que permitem os usuários acessar de modo intuitivo.
Outra utilidade das interfaces da nuvem é a execução de tarefas administrativas e de
controle do sistema(GONZALES et al, 2013). Os aspectos ligados diretamente as
interfaces são caracterizados de diversas formas, eles consistem na API (application
programming interfaces), administração e autenticação. A API é que possibilita aos
sistemas e programas trabalharem em conjunto, é um dos principais elementos para
PaaS e IaaS, pois são eles que permitem a utilização da virtualização dos sistemas.
A administração é quem controla as interfaces de gestão de recursos da nuvem e,
segundo Gonzales et al.(2013), isto representa o gerenciamento de recursos de um
IaaS, do desenvolvimento de plataformas oferecidas por um PaaS, ou das
aplicações e respectivas configurações de um SaaS. A autenticação refere-se a
interface de protocolos que realizam a autenticação para que ocorra o devido acesso
à nuvem, apesar de muitos serviços utilizarem usuário e senha para o login, é contra
indicado devido a maior facilidade a ataques.

3.3 SEGURANÇA DE DADOS

Está diretamente relacionada com a proteção dos dados no que diz respeito a
confidencialidade, disponibilidade e integridade e, para garantir que estes requisitos

8
sejam satisfeitos, são utilizados 3 principais mecanismos segundo Gonzales et al.
(2013), sendo eles: a criptografia, que garante a proteção de dados através da
técnica de cifragem; a redundância, onde deve ser garantido que não haja a perda
de dados e que os serviços estejam disponíveis, assim, “[...] as informações críticas
de negócio devem ser protegidas em termos de integridade e disponibilidade”
(TECH, 2010 apud GONZALES et al., 2013); e por fim, o descarte e a remoção dos
dados, onde deve ser garantido que quando houver uma exclusão, que a mesma
seja completa e definitiva, pois a maioria das técnicas disponíveis remove apenas o
índice do sistema de arquivos, não havendo uma exclusão efetiva, sendo assim, fica
resquícios de dados disponíveis, o que não pode ocorrer em hipótese alguma, pois
estas informações sigilosas ficam mais vulneráveis a ataques.

3.4 VIRTUALIZAÇÃO

Segundo Trindade e Costa (2018), a virtualização ainda serve como peça

fundamental para a computação em nuvem pois, através dela, torna-se possível
emular ambientes para diversas utilidades e necessidades dos usuário em uma
única máquina. A virtualização apesar se ser peça fundamental para os serviços em
nuvem e controle de usuário, ela pode contar com diversos contrapontos ao serem
utilizadas. O isolamento das máquinas nem sempre é seguro, pois, apesar dos
hypervisor cuidar da infraestrutura de virtualização, podem ocorrer falhas que
permitam acessos errôneos ao local onde estão guardados os dados, tendo em vista
que trata-se de um mesmo hardware executando todos os programas e emulações.
O ataque entre máquinas virtuais também é algo possível, ele pode ser
caracterizado pela tentativa de comunicação com outra máquina virtual, situada no
mesmo ambiente de hardware, com a intenção de obter dados de forma ilegal ou
não autorizada, isso se deve pela falta de controle de identificação e autorização de
máquinas virtuais.

3.5 GOVERNANÇA

“Esta categoria inclui problemas relacionados à perda de controle

administrativo e de segurança sobre os recursos e os dados à medida que decisões
dessa natureza [...] são incumbidas ao provedor da nuvem.” (CHOW et al., 2009
apud GONZALES et al., 2013), sendo divididas então entre 3 subcategorias: a
primeira subcategoria é o controle de dados, visto que como não está mais em seu

9
computador local, o usuário não possui total autonomia sobre seus arquivos; a
segunda é o controle da segurança, assim, ao utilizar soluções em nuvem o usuário
perde o controle sobre os níveis de segurança e certas configurações, visto que tal
tarefa passa a ser de responsabilidade do provedor; e por fim, o lock-in está
relacionado a um certo grau de dependência de um cliente em relação ao serviço
contratado, assim, caso um serviço seja migrado para outro servidor, podem ser
observadas diversas consequências em relação a seus dados.

3.6 CONFORMIDADE

Esta categoria divide-se em 4 subcategorias, onde “[...] são apresentados os

requisitos de conformidade com diferentes níveis de serviço, disponibilidade,
transparência e auditoria.” (BRANDIC et al., 2010 apud GONZALES et al., 2013),
sendo elas: o nível de segurança, que está relacionado com os procedimentos de
segurança a serem adotados e estabelece políticas relacionadas a requisitos de
disponibilidade de serviço; a disponibilidade dos serviços, visto que os clientes
possuem um certo grau de dependência com os dados em nuvem, assim, não pode
haver interrupções no fornecimento; a auditoria, onde são realizadas análises de
segurança e disponibilidade dos serviços através de métodos eficazes e
transparentes; e por fim, a conformidade de serviço, onde trata-se das obrigações
contratuais por parte do usuário e do provedor do serviço.

3.7 QUESTÕES LEGAIS

As questões legais estão voltadas mais para um lado jurídico. Muitas pessoas
ao alugarem espaço na nuvem para guardarem seus documentos ou ter acesso a
programas, não sabem os termos que estão tendo que aceitar. Um dos principais
pontos a serem abordados seria o fato de que cada país tem sua própria legislação
e, como os seus dados não estão em apenas um lugar, se torna difícil saber por
quais jurisdições os dados estão sujeitos a passar. Outro ponto é o e-Discovery que
Nelson e Simek citados por Gonzales et al. (2013) classificaram como o resultado de
uma decisão judicial, fazendo com que os dispositivos de armazenamento possam
ser recolhidos para análise forense em uma investigação. Contudo, todos os
usuários do serviço cujas informações estão armazenadas nestes dispositivos, terão
seus dados expostos, comprometendo a confidencialidade dos mesmos. Além dos
fatos abordados, vale ressaltar que o provedor ainda tem uma vantagem de acesso

10
sobre seus dados, seja fisicamente ou remotamente e suas legislações podem
mudar constantemente, porém, sempre com aviso prévio.

4. CONSIDERAÇÕES FINAIS

Em virtude dos fatos mencionados no tópico 3, pode-se observar que a

segurança não cabe apenas aos provedores, mas sim, a uma cooperação entre o
contratante e o contratado dos serviços. Portanto, parte do provedor adotar técnicas
que irão garantir os 7 princípios principais no quesito segurança: segurança de rede,
interfaces, segurança de dados, virtualização, governança, conformidade e questões
legais, pois, através destes princípios são garantidos os conceitos de autenticidade,
integridade e disponibilidade.
Com base nos materiais recolhidos e analisados, pode-se criar uma visão
mais ampla do assunto a ser abordado. A princípio, a nuvem se tornou promissora,
porém, com uma análise mais profunda, observou-se que ainda há muitos pontos,
principalmente de segurança, que podem e devem ser melhorados, visto que trata-
se de informações muitas vezes sigilosas.
Quando é utilizado a rede física, a responsabilidade sobre a segurança da
informação e os modelos e técnicas a serem adotados fica sobre responsabilidade
do prestador que a implementa, mas quando falamos de nuvem, quem realiza todo
este controle é o provedor, com a ajuda do contratante, através de um contrato,
onde é especificado que a responsabilidade pela segurança dos dados cabe a
ambos, assim, o usuário tem por responsabilidade adotar algumas práticas de
segurança dentro de sua organização, como por exemplo, limitar os funcionários que
podem ter acesso a estes dados, assim como é realizado na rede física pois, o risco
na violação das informações também existe na nuvem, principalmente quando não
se conhece quem administra os dados dentro dos datacenters.
De maneira geral, assim como nas redes físicas, os processos a serem
adotados na computação em nuvem devem seguir os mesmos princípios, deste
modo, o risco de violação de dados existe tanto na rede física quanto em nuvem,
porém, em nuvem tem a vantagem de uma infraestrutura completa montada e a
baixo custo, além de toda uma equipe que está em constante análise para o melhor
desempenho dos provedores, tanto no quesito de desempenho quanto da segurança
da informação de seus usuários, que devem ser monitorados para detectar
eventuais mudanças não autorizadas pelo seu cliente final.

11
12
 REFERÊNCIAS
BRITO, G. F. et al .Cloud Computing: Segurança na Computação em Nuvem e a
Governança de TI. Semana Nacional de Ciência e Tecnologia, 2017. Disponível em:
<https://www.unifimes.edu.br/admin/siterapido/uploads/semana/xii_semana/artigos/e
ngenharias_tecnologias/[...].pdf>. Acesso em: 20 nov. 2018.

BUYYA, R.; BROBERG, J.; GOSCINSKI, A. M. Cloud Computing: Principles and

Paradigms. New Jersey, United States: John Wiley & Sons, 2011. Disponível em:
<http://dhoto.lecturer.pens.ac.id/lecture_notes/internet_of_things/CLOUD%20COMP
UTING%20Principles%20and%20Paradigms.pdf>. Acesso em: 21 nov. 2018.

CANTO, A. The History and Future of Cloud Computing. Dell na Forbes, 2011.
Disponível em: <https://www.forbes.com/sites/dell/2011/12/20/the-history-and- future-
of-cloud-computing/#155c1e3479d9>. Acesso em: 22 nov. 2018.

CARNEIRO, R. J. G; RAMOS, C. C. L. C. A Segurança na Preservação e Uso das

Informações na Computação nas Nuvens. Artigo - Faculdade de Tecnologia de
João Pessoa - João Pessoa. Disponível em:<https://ricardojgc.files.wordpress.com/2
010/10/artigo-computacao-nas-nuvens.pdf>. Acesso em: 21 nov. 2018.

DIAS, J. M. F; RODRIGUES, R. C. M. C; PIRES, D. F. A Segurança de Dados na

Computação em Nuvem nas Pequenas e Médias Empresas.Revista eletrônica de
sistemas de informação e gestão tecnológica, 2012. Disponível em:<periodicos.unifa
cef.com.br/index.php/resiget/article/download/287/278>. Acesso em: 21 nov 2018.

GONZALES, N. M. et al.Segurança das Nuvens Computacionais: Uma Visão dos

Principais Problemas e Soluções. São Paulo:Revista USP, 2013. Disponível em:
<https://www.revistas.usp.br/revusp/article/download/61683/64572/>.Acesso em: 21
nov. 2018.

JUNIOR, J. L. S. Cloud Computing: Virtualização na Nuvem. Disponível em: <https:

//www.tiespecialistas.com.br/cloud-computing-virtualizacao-na-nuvem/>. Acesso em:
21 nov. 2018.

LOBO, A. P. Serviços na nuvem crescem 51.7% em 2017 no Brasil.

Convergência Digital, 2018. Disponível em:
<http://www.convergenciadigital.com.br/cgi/cgilua.exe/s
ys/start.htm?UserActiveTemplate=site&infoid=47504&sid=97>. Acesso em: 19 nov.
2018.

PEDROSA, P. H. C.; NOGUEIRA, T. Computação em Nuvem. Disponível em:

<http://www.ic.unicamp.br/~ducatte/mo401/1s2011/T2/Artigos/G04-095352-120531-
t2.pdf>. Acesso em: 21 nov. 2018.

PEREIRA, A. L. et al.Computação em nuvem: A Segurança da Informação em

Ambientes na Nuvem e em Redes Físicas. Brazilian Journal of Production
Engineering (BJPE), São Mateus, v. 2, n. 1, p. 12-27,2016. Disponível em:
<http://periodicos.ufes.br/BJPE/article/viewFile/EO02_2016/pdf> Acesso em: 20 nov.
2018.

13
RONG, C.; NGUYEN, S. T.; JAATUN, M. G. Beyond lightning: A survey on security
challenges in cloud computing. Stavanger, Norway: Computers & Electrical
Engineering, v. 39, p 47-54, 2013. Disponível em: < https://www.sciencedirect.com/
science/article/pii/S0045790612000870>. Acesso em: 21 nov. 2018.

SOUSA, F.; MOREIRA, L.; MACHADO, J. Computação em Nuvem: Conceitos,

Tecnologias, Aplicações e Desafios. Piauí: EDUFPI, 2009. Disponível em:
<https://www.researchgate.net/profile/Javam_Machado/publication/237644729_Com
putacao_em_Nuvem_Conceitos_Tecnologias_Aplicacoes_e_Desafios/links/56044f4
308aea25fce3121f3.pdf>. Acesso em: 21 nov. 2018.

TRINDADE, L. V. P., et al. Análise do Desempenho da Virtualização Leve para

Ambientes com Edge Computing baseada em NFV. Dissertação (Grupo de
Teleinformática e Automação) - Universidade Federal do Rio de Janeiro., Rio de
Janeiro. Disponível em: <http://www.sbrc2018.ufscar.br/wp-content/uploads/2018/04/
179544.pdf>. Acesso em: 20 nov. 2018.

14