28-05-2012, 22:52
O vice-presidente da Gartner, John Pescatore considera que os utilizadores de cloud computing não podem confiar nas características de segurança desses serviços e dos fornecedores, para os dados mais críticos.
Quando uma família com um bebé adquire um carro novo, não compra um assento específico para criança do fabricante do veículo: há equipamento especializado para lidar com o activo mais sensível da família. John Pescatore, vice-presidente da Gartner e analista de segurança, diz que a segurança em cloud computing pode ser pensada de forma semelhante: os utilizadores não devem confiar nas características de segurança dos fornecedores de serviços de cloud computing, para manterem protegidos os seus dados mais críticos.
Informações confidenciais que precisam de ser protegidas – os dados do cliente, aplicações de missão crítica, informação de produção de grau – em muitos casos, precisam de ter controlos de segurança específicos para ficarem totalmente protegidas. “Conforme se muda para modelos de cloud computing, há algumas informações passíveis de serem confiadas ao fornecedor. Mas para os dados de negócio críticos e informação controlada por matrizes de regulação, raramente a infra-estrutura ser+á suficiente”, disse Pescatore durante um seminário emitido através da Internet recentemente.
A segurança continua a ser uma das principais preocupações para as empresas interessadas em implantar uma estratégia de cloud computing, mas Pescatore diz que há formas de mitigar os receios. Uma solução, diz , é haver medidas de segurança projectadas especificamente para proteger aplicações, dados ou volumes de trabalho baseados em cloud computing.
Um bom exemplo são as informações dos cartões de crédito. A certificação Payment Card Industry (PCI) exige a encriptação de todos os dados dos clientes de cartão de crédito armazenados electronicamente.
Alguns fornecedores de serviços de cloud computing vão oferecer serviços de encriptação integrados nas suas ofertas de armazenamento. Mas, há uma gama de aplicações de terceiras partes a quem os clientes podem comprar a prestação de serviços de cifragem, protecção a ataques de negação de serviço (DDoS) e medidas de controlo de acesso especificamente adaptados a implantações em cloud computing. Muitos destes já são entregues num formato de cloud computing.
Há uma variedade de produtos de segurança em cloud computing para numerosas funções. Fornecedores como a Zscaler, a Websense ou a ScanSafe da Cisco são de produtos de “porta de entrada”: ficam entre o utilizador e o prestador de de serviços para monitorizar os dados colocados na cloud. Certificam-se também que os dados ou aplicações nocivas não penetram nos sistemas do utilizador.
Se a plataforma de cloud está a ser usada para alojar um site, há serviços de protecção para este, tais como o Imperva, o CloudFlare e até mesmo alguns da Akamai nesta área, por exemplo. Globalmente, porém, diz Pescatore, a segurança para a cloud num nível básico.
A maioria das empresas iniciam a sua experiência de cloud computing com uma plataforma privada, interna, e isso é um bom ambiente para iniciar os controlos de segurança. “Garantir a segurança na plataforma privada primeiro, e depois alargar à plataforma híbrida e pública”, sugere.
É importante ter processos para proteger ambientes virtualizados de ataques externos, considera. “Obter visibilidade sobre o sistema, os controlos de mudança e as vulnerabilidades”, diz ele. Isso inclui assegurar a orquestração da arquitectura e o aprovisionamento de novas contas, domínios e máquinas virtuais.
Pescatore diz que o enfoque da segurança em cloud computing deve incidir nos processos de protecção de cloud computing. Devem-se criar políticas de segurança em cloud computing, de seguida, e garantir que são implantadas em todo system de cloud e manter um conformidade com elas.
As vulnerabilidades emergem quando existem políticas inconsistentes ou controlos de segurança não implantados, diz. “Ainda não vimos grandes novos ataques a tentar comprometer a infra-estrutura de nuvem ou a camada de virtualização”, nota. Mas “a realidade é que as presas fáceis (para os hackers) são as empresas urtilizadoras de serviços em cloud computing”.
A boa notícia é que os clientes têm uma grande variedade de opções. Para obter responder às necessidades de segurança, um prestador de serviços em cloud computing, normalmente cada tem as suas próprias características de segurança: a Amazon Web Services usa o FISMA; a FireHost, outro utiliza norma PCI.
Pescatore diz que os utilizadores devem procurar no mínimo que os seus prestadores estejam certificados segundo as normas ISO 27001, SOC 2 ou SOC 3. Além disso, e para informações especialmente confidenciais, há ofertas de segurança de sistemas de terceiras partes.
Fonte:http://www.computerworld.com.pt/2012/05/...specifica/
Quando uma família com um bebé adquire um carro novo, não compra um assento específico para criança do fabricante do veículo: há equipamento especializado para lidar com o activo mais sensível da família. John Pescatore, vice-presidente da Gartner e analista de segurança, diz que a segurança em cloud computing pode ser pensada de forma semelhante: os utilizadores não devem confiar nas características de segurança dos fornecedores de serviços de cloud computing, para manterem protegidos os seus dados mais críticos.
Informações confidenciais que precisam de ser protegidas – os dados do cliente, aplicações de missão crítica, informação de produção de grau – em muitos casos, precisam de ter controlos de segurança específicos para ficarem totalmente protegidas. “Conforme se muda para modelos de cloud computing, há algumas informações passíveis de serem confiadas ao fornecedor. Mas para os dados de negócio críticos e informação controlada por matrizes de regulação, raramente a infra-estrutura ser+á suficiente”, disse Pescatore durante um seminário emitido através da Internet recentemente.
A segurança continua a ser uma das principais preocupações para as empresas interessadas em implantar uma estratégia de cloud computing, mas Pescatore diz que há formas de mitigar os receios. Uma solução, diz , é haver medidas de segurança projectadas especificamente para proteger aplicações, dados ou volumes de trabalho baseados em cloud computing.
Um bom exemplo são as informações dos cartões de crédito. A certificação Payment Card Industry (PCI) exige a encriptação de todos os dados dos clientes de cartão de crédito armazenados electronicamente.
Alguns fornecedores de serviços de cloud computing vão oferecer serviços de encriptação integrados nas suas ofertas de armazenamento. Mas, há uma gama de aplicações de terceiras partes a quem os clientes podem comprar a prestação de serviços de cifragem, protecção a ataques de negação de serviço (DDoS) e medidas de controlo de acesso especificamente adaptados a implantações em cloud computing. Muitos destes já são entregues num formato de cloud computing.
Há uma variedade de produtos de segurança em cloud computing para numerosas funções. Fornecedores como a Zscaler, a Websense ou a ScanSafe da Cisco são de produtos de “porta de entrada”: ficam entre o utilizador e o prestador de de serviços para monitorizar os dados colocados na cloud. Certificam-se também que os dados ou aplicações nocivas não penetram nos sistemas do utilizador.
Se a plataforma de cloud está a ser usada para alojar um site, há serviços de protecção para este, tais como o Imperva, o CloudFlare e até mesmo alguns da Akamai nesta área, por exemplo. Globalmente, porém, diz Pescatore, a segurança para a cloud num nível básico.
A maioria das empresas iniciam a sua experiência de cloud computing com uma plataforma privada, interna, e isso é um bom ambiente para iniciar os controlos de segurança. “Garantir a segurança na plataforma privada primeiro, e depois alargar à plataforma híbrida e pública”, sugere.
É importante ter processos para proteger ambientes virtualizados de ataques externos, considera. “Obter visibilidade sobre o sistema, os controlos de mudança e as vulnerabilidades”, diz ele. Isso inclui assegurar a orquestração da arquitectura e o aprovisionamento de novas contas, domínios e máquinas virtuais.
Pescatore diz que o enfoque da segurança em cloud computing deve incidir nos processos de protecção de cloud computing. Devem-se criar políticas de segurança em cloud computing, de seguida, e garantir que são implantadas em todo system de cloud e manter um conformidade com elas.
As vulnerabilidades emergem quando existem políticas inconsistentes ou controlos de segurança não implantados, diz. “Ainda não vimos grandes novos ataques a tentar comprometer a infra-estrutura de nuvem ou a camada de virtualização”, nota. Mas “a realidade é que as presas fáceis (para os hackers) são as empresas urtilizadoras de serviços em cloud computing”.
A boa notícia é que os clientes têm uma grande variedade de opções. Para obter responder às necessidades de segurança, um prestador de serviços em cloud computing, normalmente cada tem as suas próprias características de segurança: a Amazon Web Services usa o FISMA; a FireHost, outro utiliza norma PCI.
Pescatore diz que os utilizadores devem procurar no mínimo que os seus prestadores estejam certificados segundo as normas ISO 27001, SOC 2 ou SOC 3. Além disso, e para informações especialmente confidenciais, há ofertas de segurança de sistemas de terceiras partes.
Fonte:http://www.computerworld.com.pt/2012/05/...specifica/