Terminei de ler algumas centenas de feeds que possuo no google reader, para falar a verdade, é mais do que isso e fico me perguntando o porquê de não reduzir isso o quanto antes ????? Mas aí, acabo lembrando que pedi os feeds do @suffert, que com certeza e maior do que o meu..
Falando do que importa agora – Li o artigo do Alfredo dos Santos, Segurança em Cloud Computing e pensei um pouco sobre as 21 recomendações que ele passou. Vamos relembra-las:
1. Estabelecer em contrato os SLAs incluindo os casos de incidentes de segurança
2. Fornecer o desenho da arquitetura de segurança
3. Possuir proteções especializadas de perímetro, como por exemplo IPS e Firewall de aplicação
4. Possuir firewall de rede segregando todas redes, separando inclusive usuários operadores do ambiente de servidores
5. Segregação de função dentro do provedor, onde por exemplo, quem atua dentro do datacenter não é a mesma pessoa que opera o sistema
6. Permitir Análises de Vulnerabilidade e Ethical Hacking
7. Permitir acesso ao log do ambiente e sistemas
8. Permitir o uso de ferramentas de correlação e retenção de log
9. Ter um focal de segurança para atender o contratante durante toda vigência do contrato
10. Realizar uma gestão de vulnerabilidades, ameaças e riscos alinhada com o contratante
11. Compartilhar a politica de continuidade de negócios e plano de recuperação de desastres
12. Ter a certificação SAS70 ou similar
13. Detalhar em contrato o processo de termino de atividades
14. Detalhar em contrato o processo de descarte de dados
15. Detalhar em contrato o processo de respostas a demandas legais
16. Detalhar em contrato o processo de backup e guarda de fitas
17. Detalhar o quanto o ambiente/infraestrutura é compartilhado com outros clientes
18. Informar como gerenciam vazamento de informação
19. Detalhar procedimentos em casos de ataques DDOS
20. Identificar onde ficará o datacenter ou os datacenters da solução para atender ou se preocupar com particularidades legais locais
21. Demonstrar o processo de gestão de chaves criptográficas
E eis que faço algumas considerações:
Cite 1 único provedor de public cloud computing que faça ou possua 70% do que foi recomendado na lista acima ? Que tal 50% ? Melhor, 30% ?
Não tem e vocês sabem do porquê ? CUSTO, MATURIDADE e NEGÓCIO
As 21 recomendações, neste momento, são seguidas por contratos de full outsourcing ou housting e não para Cloud Computing. O fato é que grandes, médias e pequenas empresas estão migrando boa parte de suas operações para soluções by cloud computing devido a drástica redução dos custos de suas operações.
Eu digo isso com conhecimento de causa depois de ter lido os contratos e os SLAs dos maiores fornecedores de Cloud Computing do mercado. Eles não prometem a mãe, irmã ou sogra. Deixam bem claro suas cláusulas de ônus e bônus, deixando a cargo do cliente a contratação ou não de seus serviços. É aquela velha e conhecida história – eu não coloquei uma arma na sua cabeça para você assinar isso. Você o fez porque era vantajoso.
Imaginem a Amazon ou a Google fornecendo detalhes de como é feito o backup, de como é o desenho de toda a sua arquitetura e mais, explicando, detalhadamente, o processo de gerenciamento vazamento de informação… ?!?!?!
Pessoal, a Google vive do processo de gerenciamento da informação – ela é vazada para quem paga, e o que proíbe a Amazon de fazer o mesmo ? Ética, contrato ou fidelização com os seus clientes ?
Repito – O mercado está entusiasmado com o nome Cloud Computing porque para os CFO- a galera que cuida da grana dentro das empresas – isso é sinônimo de redução de custos e de forma rápida. Nenhuma empresa saudável é contrária ao seu time financeiro.
No final, todos estes pontos cominam em uma coisa – será que o serviço de cloud que estou utilizando segue as melhores práticas e recomendações de segurança ?
Se for public cloud a resposta será não e você ainda terá que se contentar com isso, até porque você vendeu que cloud era a solução para todos os seus problemas, mas esqueceu que este serviço acabou de nascer — tem gente que fala que ele já está correndo, ledo engano caros amigos……
Fonte: http://blog.corujadeti.com.br/seguranca-em-cloud-computing-e-possivel-ter/
No responses yet