i

CENTRO UNIVERSITRIO FUNDAO SANTO ANDR

Segurana em cloud computing segundo usurios

Santo Andr 2011 CENTRO UNIVERSITRIO FUNDAO SANTO ANDR

ii

Segurana em cloud computing segundo usurios

Trabalho de METODOLOGIA DE PESQUISA

Orientador: Prof Ms. Ricardo Crepalde.

Santo Andr 2011

iii

LISTA DE FIGURAS

iv

LISTA DE TABELAS

LISTA DE SIGLAS

IaaS PaaS DaaS SaaS

Infraestrutura como Servio Plataforma como Servio Desenvolvimento como Servio Software como Servio

vi

SUMRIO

LISTA DE FIGURAS.......................................................................................iii LISTA DE TABELAS.......................................................................................iv LISTA DE SIGLAS...........................................................................................v PROJETO DE MONOGRAFIA PS GRADUAO.....................................................7 Pesquisa...................................................................................................15
Informaes gerais....................................................................................................15 Perguntas de seleo................................................................................................15 Atribuies sobre segurana em cloud computing....................................................15 Experincias com cloud computing...........................................................................16

PROJETO DE MONOGRAFIA PS GRADUAO

identificaO

Curso: MBA em Engenharia de Software

ALUNO(S)
Fabio Janes <fbojanes@hotmail.com> Osmar Nunes Cruz <oncruz@uol.com.br>

Data:

Orientadores sugeridos

TEMA
Segurana em cloud computing segundo usurios

tipo de PESQUISA (X) Levantamento ( ) Estudo de campo ( ) Estudo de caso ( ) Outro ____________________________________________________________ Especificar:

Obs: ___________________________________________________________________________ ________________________________________________________________________________

PROBLEMA Quais os problemas de segurana encontrados por empresas situadas no Brasil que fazem uso dos servios de cloud computing?

PROJETO DE MONOGRAFIA PS GRADUAO

JUSTIFICATIVA A cloud computing tem sido anunciada como uma tendncia de mercado, os servios baseados em cloud computing cada vez mais esto a impor-se no mercado mundial. Os benefcios anunciados pelos fornecedores so muito atrativos, como aumento de produtividade e reduo de custos, mas como todo bnus tem seu nus, segundo (DHANJANI; RIOS; HARDIN, 2009) a cloud computing traz consigo o risco de dividir a nuvem com seu inimigo, no caso de hardware compartilhado e separao logica, que o mais comum. As ltimas previses do IDC apontam que 30 a 35% das companhias brasileiras tero adotado alguma soluo em cloud computing em 2013, portanto mostra-se vlido um estudo com empresas que j se utilizam dos servios para mostrar suas experincias, e decises tomadas quando se trata de segurana, j que essa mesma pesquisa mostra que o maior receio apontado pelas empresas futuras usurias de cloud computing com relao segurana dos dados. Analisar o quanto as empresas fazem uso de cloud computing, como elas esto utilizando esses recursos, e quais principais preocupaes com segurana trs benefcios para empresas interessadas em servios de cloud computing e aos provedores a possibilidade de aumentar a satisfao dos clientes e usurios dos produtos e servios. MOTIVAO A motivao para a realizao deste levantamento surgiu do interesse pessoal pelo assunto, que tem sido muito discutido e questionada a segurana depois que a Sony nas nuvens foi invadida com o uso de servios de cloud computing da Amazon, ou seja, falta de segurana de ambos os lados, fatos que fizeram com que Tom Kellermann, Oficial chefe de tecnologia da AirPatrol Corp. e membro da comisso de segurana ciberntica do Presidente dos Estados Unidos, Barack Obama. Levantasse a possibilidade de que os fornecedores tivessem um foco tortuoso quanto s prioridades de segurana de cloud computing. O estudo feito pelo Instituto Ponemon com objetivo de descobrir as opinies de clientes e fornecedores de servios de cloud computing situados nos Estados Unidos e Europa tambm foi de grande importncia para escolha do tema.

PROJETO DE MONOGRAFIA PS GRADUAO

OBJETIVOS O objetivo desse levantamento identificar quais os problemas de segurana encontrados por empresas situadas no Brasil que fazem uso dos servios de cloud computing, o que as empresas esperam dos servios de cloud computing quando se trata de segurana e analisar como as empresas esto utilizando os servios de cloud computing, quais os cuidados que esto tomando quanto as suas informaes confidenciais e a quem delegam a reponsabilidade de garantir a segurana nos servios IaaS, PaaS, DaaS e SaaS de cloud computing. CONTRIBUIO Como mostrado pelo estudo do IDC aproximadamente um tero das empresas brasileiras sero usarias de cloud computing dentro dos prximos dois anos, e seus maiores receios so quanto segurana. Com o possvel quadro de muitas organizaes se movendo rapidamente para a cloud computing sem a certeza de que a informao que eles colocaro nas nuvens esteja segura, tentamos mitigar esses riscos mostrando atravs do levantamento quais as medidas tomadas pelas empresas que fazem uso dos servios de cloud computing e quais foram suas principais preocupaes com segurana, tornando possvel o aprendizado com erros e acertos dos outros. O levantamento realizado tem a finalidade de contribuir com essa discusso enriquecendo as anlises sobre o tema. Podendo vir a colaborar com estudantes e profissionais que tenham interesse ou queiram se aprofundar no assunto. METODOLOGIA Ser feito o levantamento bibliogrfico, leitura e fichamento de obras e elaborao de questionrios. A coleta e seleo de dados sero realizadas atravs de uma pesquisa quantitativa e uso de documentao direta, o tamanho de amostra mnimo esperado de 50 devolues de um total de 1000 formulrios a serem enviados, ou seja, iremos trabalhar com devoluo mnima de 5% baseados nos resultados apresentados por um estudo similar realizado pelo instituto Ponemon; o processo de seleo dos indivduos que devem compor a amostra ser de profissionais de TI com utilizao de pergunta seletiva para eliminao de pessoas que no possuem conhecimento suficiente do assunto, ou que no tem experincia envolvendo coud computing. Ser realizada a reviso bibliogrfica, anlise critica do material, elaborao preliminar do texto e redao provisria, a apresentao dos resultados ser atravs de grficos de barra, pizza e tabelas.

10

PROJETO DE MONOGRAFIA PS GRADUAO

Ser efetuada a entrega ao orientador, em seguida a reviso e redao final, a entrega ao coordenador e finalmente a defesa da monografia.

11

PROJETO DE MONOGRAFIA PS GRADUAO

CRONOGRAMA ESPECIFICAO / ANO MESES LEVANTAMENTO BIBLIOGRFICO LEITURA E FICHAMENTO DE OBRAS ELABORAO DE QUESTIONRIOS COLETA E SELEO DADOS DE JUN JUL AGO 2011 SET OU NOV DEZ

X X X X X X X X X X X X X X X X X X X

REVISO BIBLIOGRFICA ANLISE CRITICA MATERIAL DO

ELABORAO PRELIMINAR DO TEXTO REDAO PROVISRIA ENTREGA AO ORIENTADOR REVISO E FINAL REDAO

ENTREGA AO COORDENADOR DEFESA DA MONOGRAFIA

TODAS AS ATIVIDADES ACIMA LISTADAS SO DE RESPONSABILIDADE DE FABIO JANES E OSMAR NUNES CRUZ.

12

PROJETO DE MONOGRAFIA PS GRADUAO

CONCEITOS E TECNOLOGIAS UTILIZADOS (apoio Introduo)
IaaS Infrastructure as a Service ou Infraestrutura como Servio (em portugus): quando se utiliza uma porcentagem de um servidor, geralmente com configurao que se adque sua necessidade. PaaS Plataform as a Service ou Plataforma como Servio (em portugus): utilizando-se apenas uma plataforma como um banco de dados, um WebService, etc. (p.ex.: Windows Azure). DaaS Development as a Service ou Desenvolvimento como Servio (em portugus): as ferramentas de desenvolvimento tomam forma no cloud computing como ferramentas compartilhadas, ferramentas de desenvolvimento web-based e servios baseados em mashup. SaaS Software as a Service ou Software como Servio (em portugus): uso de um software em regime de utilizao web (p.ex.: Google Docs, Microsoft Sharepoint Online).

SUMRIO INICIAL PROPOSTO

LISTA DE FIGURAS.......................................................................................iii LISTA DE TABELAS.......................................................................................iv LISTA DE SIGLAS...........................................................................................v PROJETO DE MONOGRAFIA PS GRADUAO.....................................................7 Pesquisa...................................................................................................15
Informaes gerais....................................................................................................15 Perguntas de seleo................................................................................................15 Atribuies sobre segurana em cloud computing....................................................15 Experincias com cloud computing...........................................................................16

INTRODUO DO TRABALHO Atualmente as empresas focam em reduo de custos, um dos fatores que tem feito com que estas deixem de comprar seus prprios servidores, e se utilizem de servios de cloud computing. Se alguma vez andou de Metro em Londres, j deve estar familiarizado com a frase Mind the gap., que significa tenha cuidado com o vo. A plataforma e os trens do Metro deveriam ter um perfeito alinhamento tanto horizontal como vertical, mas geralmente no tm. Em alguns lugares a o vo entre os dois significamente grande. O aviso te deixa alerta para tomar cuidado onde pisa. Segundo (Mather; Kumaraswamy; Shahed, 2009), poderamos usar o conceito de tomar cuidado com o vo, nesse caso entre cloud computing e segurana da mesma, ambos deveriam se alinhar, mas geralmente no se consegue assegurar

13

PROJETO DE MONOGRAFIA PS GRADUAO

esse alinhamento. Ambos cloud computing e segurana em cloud computing parecem no se entender, principalmente por uma falta de consenso de quem o responsvel pela segurana. Segundo (CHORAFAS, 2011) Antes mesmo da cloud computing, tnhamos o quadro de: dados no criptografados em web servers; falta de auditoria depois que as transaes so efetuadas; o gerenciamento de segurana feito pelas empresas no transparente. Portanto o novo ambiente (cloud computing) no responsvel por isso acontecer. A diferena e que antes esses eram casos isolados com possvel dano reduzido em consequncia de falhas de segurana. Ainda segundo (CHORAFAS, 2011) a diferena agora que estamos falando de milhes de servidores nas nuvens com um numero de acessos sem precedentes. O centro do problema pode se resumir em duas questes: Quem possui informao de que nas nuvens? Que parte responsvel pela segurana? A maioria dos autores refora a ideia de que no e claro quem e o responsvel por garantir a segurana dos dados em cloud computing, se esse papel deve ser dividido por ambas as parte, o quo responsvel cada parte pela segurana. No exterior h uma grande preocupao das empresas com segurana nas nuvens, afinal ningum quer reduzir custos arriscando seus dados, com o crescimento no uso dos servios de cloud computing no Brasil e previso de grande aumento no uso dos mesmos, vemos a necessidade de conhecer a opinio das empresas situadas no Brasil sobre cloud computing e segurana em cloud computing. Atravs do levantamento pretendemos identificar problemas e falhas de segurana encontrados por empresas situadas no Brasil, como as empresas vm os servios de cloud computing e o que esperam deles.

REFERNCIAS BIBLIOGRFICAS
THOMPSON, Nicholas; KELLERMANN, Tom. Kellermann Interview on Cloud Computing: Sony Data Hack. Disponvel em: <http://www.bloomberg.com/video/69808318/>. Acesso em: 07 jun. 2011. MANZATO, Prof. Dr. Antonio Jos; SANTOS, Profa. Adriana Barbosa. A ELABORAO DE QUESTIONRIOS NA PESQUISA QUANTITATIVA. Disponvel em: <www.dcce.ibilce.unesp.br/~adriana/ensino/quest.doc>. Acesso em: 10 jun. 2011.

14

PROJETO DE MONOGRAFIA PS GRADUAO

PONEMON INSTITUTE LLC (Org.). Security of Cloud Computing Users: A Study of Practitioners in the US & Europe. Disponvel em: <http://www.ca.com/~/media/Files/IndustryResearch/security-cloud-computingusers_235659.pdf>. Acesso em: 12 maio 2010. PONEMON INSTITUTE LLC (Org.). Security of Cloud Computing: Providers Study. Disponvel em: <http://www.ca.com/~/media/Files/IndustryResearch/security-of-cloudcomputing-providers-final-april-2011.pdf>. Acesso em: 30 abr. 2011. A INSEGURANA da cloud Disponvel em: <http://www.computerworld.com.pt/2011/06/14/a-inseguranca-da-cloud/>. Acesso em: 14 jun. 2011. ADOPO desregrada da cloud preocupa executivos Disponvel em: <http://www.computerworld.com.pt/2011/06/09/adopcao-desregrada-da-cloud-preocupaexecutivos/>. Acesso em: 09 jun. 2011. FORNECEDORES e utilizadores divergem sobre a segurana da cloud Disponvel em: <http://www.computerworld.com.pt/2011/05/26/fornecedores-e-utilizadores-divergemsobre-a-seguranca-da-cloud/>. Acesso em: 26 jun. 2011. O QUE pensam realmente os auditores de segurana? Disponvel em: <http://www.computerworld.com.pt/2011/03/16/o-que-pensam-realmente-os-auditores-deseguranca/>. Acesso em: 16 mar. 2011. LINTHICUM, David. Why Sony's PSN problem won't take down cloud computing: The hacks and Sony's incompetence involve bad security practice, not a flaw in cloud services per se. Disponvel em: <http://www.infoworld.com/d/cloud-computing/why-sonys-psn-problemwont-take-down-cloud-computing-391>. Acesso em: 30 maio 2011. QUAIN, John R.. Cracks in the Cloud: Security Issues Loom Over Online Backup Services. Disponvel em: <http://www.securitynewsdaily.com/cracks-in-cloud-securityissues-loom-over-online-backup-services-0752/>. Acesso em: 04 maio 2011. QUAIN, John R.. Hackers Use Cloud Computing to Boost Firepower. Disponvel em: <http://www.securitynewsdaily.com/hackers-cloud-computing-boost-firepower-0825/>. Acesso em: 31 maio 2011. KRUTZ, Ronald L.; VINES, Russell Dean. Cloud Security: A Comprehensive Guide to Secure Cloud Computing. Indianapolis: Wiley Publishing, Inc., Indianapolis, Indiana, 2010. CHORAFAS, Dimimtris N.. Cloud Computing Strategies. Boca Raton: Taylor And Francis Group, Llc, 2011. MATHER, Tim; KUMARASWAMY, Subra; LATIF, Shahed. Cloud Security and Privacy. First Edition Sebastopol: Oreilly Media, Inc, 2009. DHANJANI, Nitesh; RIOS, Billy; HARDIN, Brett. Hacking: The Next Generation. First Edition Sebastopol: Oreilly Media, Inc., 2009.

Pesquisa

15

Informaes gerais
Nome: Cargo: Data :

Departamento:

Perguntas de seleo
Sua organizao faz uso de pelo menos algum dos recursos de cloud computing? Sim No (pare) Como voc descreve o tipo de implementao de cloud computing utilizado pela sua empresa? Escolha somente uma opo. Usa principalmente nuvens publicas Usa principalmente nuvens privadas Usa uma combinao de nuvens publicas e privadas

Atribuies sobre segurana em cloud computing

Minha organizao avalia o impacto que computao em nuvem tem na capacidade de proteger e assegurar informaes de alta sensibilidade e confidenciais. Discordo totalmente Discordo Concordo Concordo totalmente Minha organizao no utiliza aplicaes de computao em nuvem que so no minuciosamente inspecionados quanto a riscos de segurana pra nenhum tipo de servio. Discordo totalmente Discordo Concordo Concordo totalmente Minha organizao est atenta a realizar auditorias ou avaliaes dos recursos de cloud computing antes de sua implantao. Discordo totalmente Discordo Concordo Concordo totalmente Minha organizao proativa em avaliar as informaes que so muito sensveis para serem armazenadas nas nuvens. Discordo totalmente Discordo Concordo Concordo totalmente Os profissionais de segurana da minha organizao so os que tm maior responsabilidade em garantir a segurana da minha empresa no uso de cloud computing. Discordo totalmente Discordo Concordo Concordo totalmente

16

Experincias com cloud computing Sua organizao faz uso de recursos SaaS providos por fornecedores de cloud computing? Sim No No tenho certeza Se sim, qual o percentual de aplicaes de misso crtica de sua organizao utiliza aplicaes SaaS?
Menos de 10% Entre 51 e 60 % No sei informar Entre 11 e 20% Entre 61 e 70% Entre 21 e 30% Entre 71 e 80% Entre 31 e 40 % Entre 81 e 90 % Entre 41 e 50 % mais de 90%

Usurios finais da minha empresa so os maiores responsveis.

Em sua opinio, quem o maior responsvel por garantir a segurana das aplicaes SaaS utilizadas dentro de sua organizao? O departamento de TI da minha empresa o maior responsvel. O departamento de segurana em TI da minha empresa o maior responsvel. O fornecedor de servios de cloud computing o maior responsvel.

A responsabilidade dividida entre minha companhia e o fornecedor de cloud computing. No sei informar