sexta-feira, 30 de setembro de 2011

Nas nuvens...

Segurança na nuvem: desafios para 2011
Conheça as cinco questões mais relevantes para os executivos de segurança quando o assunto é cloud computing.

Conheça as cinco questões mais relevantes para os executivos de segurança quando o assunto é a computação em nuvem para 2011.

1. Conectividade para dispositivos móveis. Na opinião de Randy Barr, vice-presidente de segurança da empresa Qualys e membro da Cloud Security Alliance , organização preocupada em acompanhar a segurança de cloud computing, o alto volume de smartphones e a variação entre os sistemas traz consigo uma série de implicações de segurança. “Acredito que seja encontrada uma solução para cada sistema, mas, possivelmente seja necessário que haja um evento significativo de vazamento de dados que coloque o tema em evidência até que essas soluções apareçam”, avisa Barr. Segundo ele, as maiores brechas encontram-se nos processos de backup e no armazenamento de dados em dispositivos móveis.

“O uso de diferentes provedores de cloud computing em um mesmo sistema operacional móvel gera um ambiente com alto grau de interdependências e que requer flexibilidade”, afirma o executivo da Qualy. Outro medo é que a invasão de um servidor de acesso móvel por um hacker comprometa uma quantidade enorme de dispositivos de uma vez. Roubo e furto de smartphones e o acesso em baixo nível que tais circunstâncias oferecem completam a lista de ameaças no segmento móvel.

2. Gestão de identidades e controle de acesso. “Por natureza, a nuvem é um território altamente virtualizado e federado, em que são necessários processos que estabeleçam um controle efetivo sobre as identidades de usuários nômades que transitam por diferentes serviços”, diz Alan Boheme, que ocupa a vice-presidência de estratégia e de arquitetura de TI na financeira ING. O executivo diz que, apesar das várias soluções sendo lançadas por outras empresas, ainda falta muito para se chegar a algo que atenda a demanda gerada por grandes empresas com ecossistemas de TI variados.

3. Regulamentações. É, na visão do vice-presidente de segurança da Akami Andy Ellis, o mais importante tema a ser atacado, principalmente para poder dar conta de clientes como a indústria de cartões de crédito. “Também acho que os dados de informações médicas , assim que forem armazenados na nuvem, serão alvo de intensa verificação por parte das agências reguladoras”, completa.

4. Vizinhança de dados. “Partindo do princípio de que, nas estruturas provedoras de ambientes na nuvem, tudo acontece com base em uma máquina física servindo múltiplos ambientes virtuais, ao mesmo tempo, existe a preocupação com a proximidade entre as informações de empresas distintas“, avisa o diretor de segurança de investimentos e de regulamentação na empresa de segurança Sword & Shield Enterprise Security, Dave Shackleford.

“Sabemos que máquinas virtuais em um sistema único não têm, por padrão, qualquer interface que as comunique”, nota. Mas Shakleford afirma que há motivos para preocupação, especificamente com fraquezas em plataformas hypervisor e brechas que podem ocasionar problemas na segregação dos ambientes virtuais.

O exemplo mais contundente de tal fraqueza foi evidenciado em 2009 por Kostya Korchinsky, da empresa Immunity. O profissional conseguiu abandonar o ambiente virtualizado de uma sistema VMware e executar uma instrução na camada hypervisor a partir de uma conexão com a máquina virtual. Desde então esse conceito de segurança é conhecido por CloudBurst. Um ano antes, a Core Security identificou uma brecha que permitia um usuário remoto acessar arquivos no hypervisro, também a partir de uma conexão com uma ambiente virtualizado.

5. Padrões. Ao optar por um provedor de serviços de computação em nuvem, a segurança será fator decisivo, e estabelecer certificados e padrões que comprovem a robustez dos serviços é essencial. Para Barr, os usuários de soluções de cloud computing são o principal termômetro para indicar os melhores provedores. Isso não acaba com a necessidade de haver organizações emitindo melhores práticas e padrões para a nuvem. CW

Nenhum comentário: