Embed Size (px)
Citation preview
Pós-Graduação em Ciência da Computação
Adoção de Computação em Nuvem Privada em uma Empresa de Processamento de Dados
Estadual: Os Impactos de Implantação em seu Ambiente Corporativo
POR
JOSÉ LUTIANO COSTA DA SILVA
DISSERTAÇÃO DE MESTRADO
Universidade Federal de Pernambuco [email protected]
www.cin.ufpe.br/~posgraduacao
RECIFE
Novembro 2013
UNIVERSIDADE FEDERAL DE PERNAMBUCO CENTRO DE INFORMÁTICA PÓS-GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO
JOSÉ LUTIANO COSTA DA SILVA
Adoção de Computação em Nuvem Privada em uma Empresa de Processamento de Dados Estadual: Os
Impactos de Implantação em seu Ambiente Corporativo
Este trabalho foi apresentado à Pós-graduação em Ciência da Computação do Centro de Informática da Universidade Federal de Pernambuco como requisito parcial para obtenção do grau de Mestre Profissional em Ciência da Computação.
ORIENTADOR: Prof. Vinicius Cardoso Garcia
RECIFE
Novembro 2013
Dissertação de Mestrado Profissional apresentada por José Lutiano Costa da Silva à Pós-Graduação em Ciência da Computação do Centro de Informática da Universidade Federal de Pernambuco, sob o título, “A Adoção de Computação em Nuvem Privada em uma Empresa de Processamento de Dados Estadual: Os Impactos de Implantação em seu Ambiente Corporativo”, orientada pelo Professor Vinícius Cardoso Garcia e aprovada pela Banca Examinadora formada pelos professores:
_______________________________________________ Prof. Nelson Souto Rosa
Centro de Informática / UFPE ______________________________________________
PROF. RODRIGO ELIA ASSAD
Universidade Federal Rural de Pernambuco
_______________________________________________ Prof. Vinícius Cardoso Garcia Centro de Informática / UFPE Visto e permitida a impressão. Recife, 19 de novembro de 2013. ___________________________________________________ Profª. EDNA NATIVIDADE DA SILVA BARROS Coordenadora da Pós-Graduação em Ciência da Computação do Centro de Informática da Universidade Federal de Pernambuco.
Dedico este trabalho: Aos meus pais,
minha irmã, minha mulher
e ao meu filho.
Agradecimentos
Primeiramente agradecer a Deus, por me dar oportunidade de fazer parte deste mundo e de
alguma forma poder contribuir com algo para a sociedade.
Aos meus pais, Américo Távora da Silva e Marinete Figueiredo Costa, por me
oportunizarem a vida e me proporcionarem toda a educação que me foi dada por eles.
À minha mulher Mônica e meu filho Pietro, por terem toda compreensão em minhas
ausências para a realização deste trabalho.
Ao meu orientador, Vinicius Cardoso Garcia, por ter compartilhado seu conhecimento
e por toda a paciência de revisar meu trabalho inúmeras vezes e retornar com sugestões de
melhorias, externo-lhe que ele contribuiu para o meu crescimento pessoal e profissional.
Enfim, agradeço a todos que direta e indiretamente torceram e acreditaram em mim.
Resumo
Com o advento do uso de serviços hospedados em cenários de computação em nuvem,
presencia-se a necessidade de organizações utilizarem seus benefícios. Neste âmbito,
empresas governamentais ainda possuem receio em hospedarem seus dados no ambiente de
computação em nuvem, o que por sua vez, faz com que muitas dessas entidades utilizem um
modelo de oferta de serviços tradicionais não otimizados no contexto de recursos
computacionais. Devido a isso, a computação em nuvem privada surge como ambiente
alternativo para hospedagem de serviços dentro da própria infraestrutura da empresa pública,
suprimindo as preocupações de conformidades à segurança da informação e adequação do
modelo de oferta de serviços. Com o objetivo de discutir e ampliar a literatura acerca do
assunto são apresentados passos a serem utilizados para implantação de um cenário em
computação em nuvem privada, como solução destes problemas em uma empresa pública de
processamento de dados. Como contribuição prática, o estudo apresenta uma solução
escalável com baixo investimento, uma vez que todo o cenário proposto é utilizado em
ferramental de software livre, permitindo impactos positivos e valor agregado no modelo de
oferta de serviços do provedor para os clientes.
Palavras chaves: Computação em nuvem; Nuvem privada; Empresa de processamento de
dados; Infrastructure as a Service; Software as a Service.
Abstract
With the advent of the use of hosted services in cloud computing scenarios, there is the need
for organizations use their benefits. In this context, government enterprises still have fear to
host their data in cloud computing environment, which in turn, causes many of these entities
use a model which offers traditional services not optimized in the context of computational
resources. Duo to this, the private cloud computing emerges as an alternative environment for
hosting services within the infrastructure of the government company, suppressing the
concerns of compliance to information security and adequacy of the model of service
provision. In order to discuss and extend the literature concerning the subject, steps are shown
to be used to implement a scenario in private cloud computing as a solution to these problems
in a company of data processing. As practical contribution, the study presents a scalable
solution with low investment, once for the entire proposed scenario free software tooling is
employed allowing positive impacts and added value in the model of service provision from
the provider to the clients.
Keywords: Cloud computing, Private cloud; Data processing company; Infrastructure as a
Service, Software as a Service.
Lista de Figuras
Figura 2.1 – Modelo da arquitetura da computação em nuvem do NIST.. ............................... 22
Figura 2.2 – Modelos principais de serviços em computação em nuvem. ............................... 25
Figura 2.3 – Papéis na computação em nuvem. ....................................................................... 27
Figura 2.4. – Ciclo de vida da informação. .............................................................................. 32
Figura 3.1 – Topologia computacional da PRODAP. ............................................................... 46
Figura 4.1 – Ciclo de vida do projeto. ...................................................................................... 55
Figura 4.2 – Método de análise e avaliação de riscos. ............................................................. 58
Figura 4.3 – Topologia proposta para nuvem privada para a PRODAP. .................................. 63
Figura 5.1 – Processo de implantação da nuvem privada da PRODAP. .................................. 70
Figura 5.2 – Ferramenta de administração das VMs na nuvem privada da PRODAP. ............ 71
Figura 5.3 – Exemplo de parâmetros de configuração no puppet server. ................................. 72
Figura 5.4 – Interface de gerência de email na solução de SaaS da PRODAP ........................ 72
Lista de Tabelas
Tabela 1 – Consumo de processamento em servidores físicos da PRODAP. ........................... 49
Tabela 2 – Consumo de memória RAM em servidores físicos da PRODAP. .......................... 50
Tabela 3 – Consumo de Armazenamento em servidores físicos da PRODAP. ........................ 51
Tabela 4 – Cronograma de planejamento de execução das atividades de implantação ............ 58
Tabela 5 – Processo de análise e avaliação de risco na PRODAP ........................................... 60
Tabela 6 – Comparação de custos para os cenários da PRODAP. ............................................ 75
Tabela 7 – Solução adotada para solucionar problemas da PRODAP. ..................................... 78
Tabela 8 – Características essenciais do NIST implantadas nuvem da PRODAP. ................... 79
Tabela 9 – Atividades do CSAv3.0 implantadas na nuvem da PRODAP. ................................ 80
Tabela 10 – Atividades da ISO/IEC 27002 implantadas na nuvem da PRODAP. .................... 81
Tabela 11 – Tratamento do risco na PRODAP. ......................................................................... 83
Lista de Abreviaturas e Siglas
ABNT Associação Brasileira de Normas Técnicas
ANS Acordo de Nível de Serviço
API Application Programming Interface
AWS Amazon Web Service
CAGR Compounded Annual Growth Rate
CERT Computer Emergency Response Team
CMS Content Management System
CPU Central Processing Unit
CSA Cloud Security Alliance
CSP Cloud Service Provider
DaaS Data as a Service
DATAPREV Empresa de Tecnologia e Informações da Previdência Social
DISA Defense Information Systems Agency
DMZ DeMilitarized Zone
EC2 Elastic Compute Cloud
EaD Educação à Distância
FaaS Forensic as a Service
GB GigaByte
GNU Gnu Not Unix
HA High Availability
HPC High Performance Computing
HTTP Hyper Text Transfer Protocol
IDS Intrusion Detection System
IAM Identity and Access Management
ISACA Information Systems Audit and Control Association
MTA Mail Transfer Agent
NFS Network File System
NIST National Institute of Standards and Technology
IaaS Infrastructure as a Service
ISO International Organization for Standardization
OWASP Open Web Application Security Project
PaaS Plataform as a Service
PCI-DSS Payment Card Industry Data Security Standard
PHP PHP:Hypertext Preprocessor
PRODAP Processamento de Dados do Estado do Amapá
PMBOK Project Management Body of Knowledge
QoS Quality of Service
RAM Random Access Memory
SaaS Software as a Service
SAML Security Assertion Markup Language
SGBD Sistema de Gerenciamento de Banco de Dados
SecaaS Security as a Service
SERPRO Serviço Federal de Processamento de Dados
SLA Service Level Agreement
SNMP Simple Network Management Protocol
SQL Structured Query Language
SSH Secure SHell
STaaS Storage as a Service
S3 Simple Storage Service
TB TeraByte
TI Tecnologia da Informação
TIC Tecnologia da Informação e Comunicação
VLAN Virtual Local Area Network
VM Virtual Machine
XCP Xen Cloud Plataform
Sumário
1 INTRODUÇÃO ................................................................................................................... 14
1.1 CONTEXTUALIZAÇÃO .............................................................................................. 14
1.2 OBJETIVOS DO TRABALHO ...................................................................................... 17
1.3 ORGANIZAÇÃO DA DISSERTAÇÃO ......................................................................... 17
2 COMPUTAÇÃO EM NUVEM .......................................................................................... 19
2.1 DEFINIÇÃO ................................................................................................................... 19
2.2 HISTÓRICO ................................................................................................................... 21
2.3 ARQUITETURAS DE COMPUTAÇÃO EM NUVEM ................................................ 22
2.4 PAPÉIS NA COMPUTAÇÃO EM NUVEM .................................................................. 27
2.5 A VIRTUALIZAÇÃO E A COMPUTAÇÃO EM NUVEM .......................................... 27
2.6 SEGURANÇA EM COMPUTAÇÃO EM NUVEM ...................................................... 28
2.6.1 Segurança da informação e conformidades ......................................................... 28
2.6.2 Requisitos mínimos para garantir a segurança na nuvem .................................... 28
2.6.3 Áreas de segurança que compreendem a computação em nuvem ....................... 29
2.6.3.1 Cloud Security Alliance (CSA) ......................................................................... 29
2.6.3.2 Open Web Application Security Project ........................................................... 35
2.7 COMPUTAÇÃO EM NUVEM EM EMPRESAS PÚBLICAS DO BRASIL ............... 39
2.8 TRABALHOS RELACIONADOS ................................................................................ 39
2.9 SUMÁRIO DO CAPÍTULO .......................................................................................... 42
3 REALIDADE PRODAP...................................................................................................... 44
3.1 SOBRE AS ATIVIDADES DA PRODAP ...................................................................... 44
3.2 PROBLEMAS COM O MODELO DE OFERTA DE SERVIÇOS DE TI DA PRODAP .............................................................................................................................................. 45
3.3 SUMÁRIO DO CAPÍTULO .......................................................................................... 52
4 PROPOSTA DE SOLUÇÃO DE COMPUTAÇÃO EM NUVEM PARA A PRODAP . 54
4.1 VISÃO GERAL DA PROPOSTA .................................................................................. 54
4.2 FASES DO PROJETO DE SOLUÇÃO EM NUVEM PARA A PRODAP .................... 54
4.2.1 Inicialização da proposta ..................................................................................... 55
4.2.2 Planejamento da proposta .................................................................................... 55
4.2.3 Execução da proposta .......................................................................................... 60
4.2.4 Monitoração da proposta ..................................................................................... 61
4.2.5 Encerramento da proposta ................................................................................... 61
4.3 TOPOLOGIA COMPUTACIONAL EM NUVEM PROPOSTA PARA A PRODAP .... 62
4.4 TECNOLOGIAS UTILIZADAS NA PROPOSTA DE NUVEM PRIVADA PARA PRODAP ............................................................................................................................... 64
4.5 FERRAMENTAS UTILIZADAS NA PROPOSTA ....................................................... 65
4.6 RECURSOS COMPUTACIONAIS UTILIZADOS NA PROPOSTA ........................... 66
4.7 SUMÁRIO DO CAPÍTULO .......................................................................................... 67
5 IMPLEMENTAÇÃO DE SOLUÇÃO DE NUVEM PRIVADA PARA A PRODAP ..... 69
5.1 DESCRIÇÃO DO CENÁRIO DE NUVEM PRIVADA PARA PRODAP .................... 69
5.2 DESCRIÇÃO DO CENÁRIO IMPLANTADO ............................................................. 69
5.3 RESULTADOS OBTIDOS COM A IMPLANTAÇÃO DO CENÁRIO DE NUVEM PRIVADA PARA PRODAP .................................................................................................. 73
5.3.1 Resolução dos problemas da PRODAP ............................................................... 75
5.3.2 Conformidades com segurança da informação e computação em nuvem ........... 76
5.3.3 Tratamento dos riscos mapeados no ambiente convencional da PRODAP ......... 80
5.4 DISCUSSÃO DOS RESULTADOS ............................................................................... 84
5.5 SUMÁRIO DO CAPÍTULO .......................................................................................... 86
6 CONCLUSÃO E TRABALHOS FUTUROS .................................................................... 87
REFERÊNCIAS ..................................................................................................................... 90
14
CAPÍTULO 1 1 INTRODUÇÃO
1.1 CONTEXTUALIZAÇÃO
A utilização de recursos computacionais e tecnológicos em forma de serviços, desde
os seus tempos mais remotos, tem destacado o uso conforme demanda sobre as necessidades
dos clientes, criando assim o contexto de computação em nuvem. Este conceito utiliza-se de
serviços tecnológicos em um modelo de pagamento conforme o seu consumo.
Na década de 1960 a definição de tal serviço se dava pelo termo “rede intergaláctica”,
o primeiro indício de utilização do termo computação em nuvem ocorreu em 1997, pelo
professor Ramnath Chellappa, do curso superior em Sistemas de Informação (MOHAMED,
2009).
No Brasil, a adoção do ambiente de nuvem vem crescendo a cada ano, em 2011 foram
57%, em 2012 foram 68,4% e estima-se para este ano 74,3%, mostrando assim o potencial do
país nesse segmento (DD, 2013).
O objetivo da computação em nuvem é criar um ambiente de oferta de serviços onde o
cliente utiliza-os conforme a sua necessidade, podendo esta necessidade ser de: infraestrutura,
software, ou plataforma de desenvolvimento (este especificamente para clientes que
trabalham com desenvolvimento de softwares) (ARMBRUST, 2009). Este cenário de nuvem
pode se utilizar da tecnologia de virtualização como elemento básico para criar a sua
infraestrutura computacional. Nessa tecnologia é possível instanciar em uma máquina física
diversas máquinas virtuais que hospedarão diversos serviços, tornando-se assim um cenário
otimizado e escalável de oferta de serviços conforme a demanda dos clientes.
Empresas especializadas em tecnologia estão investindo em ofertas de serviços em
computação em nuvem. Empresas como Google1, Microsoft2, Amazon3 e até mesmo
operadoras de telecomunicações, já oferecem serviços tais como, Oi Smart Cloud4, TIM
Cloud5 e Vivo Cloud Plus. Isto é possível fazendo investimento em novos datacenters ou
atualizando os existentes, para que seja possível suportar a demanda dos clientes. A
1 Disponível em: <http://www.google.com> 2 Disponível em: <http://www.microsoft.com> 3 Disponível em: <http://aws.amazon.com> 4 Disponível em: <http://loja.oismartcloud.com.br> 5 Disponível em: <http://www.cloud.tim.it>
15
computação em nuvem comercializada pelo mercado proporciona aos clientes uma “visão” de
acessos a recursos computacionais de forma “ilimitada”. Esse tipo de serviço é ofertado em
um cenário denominado de “nuvem pública”, onde: a cobrança pelos serviços pode ser
comercializada com pagamento conforme o uso; e os clientes podem aumentar o uso de
recursos computacionais conforme as suas necessidades.
A gerência ineficaz de recursos computacionais torna-se um fator de impacto negativo
para as organizações, pois nesse cenário o uso de recursos computacionais cresce bastante e
pode ocorrer o não atendimento às demandas conforme necessidades de seus clientes no
modelo de oferta de serviços de TI (Tecnologia da Informação) hospedados nessa
infraestrutura computacional não otimizada, tornando assim um ambiente com problema o
qual se denomina “racionalização de recursos”. Os trabalhos de Andrade (2013) e Wu (2010)
expõem esse evento de cenários computacionais que utilizam uma gerência sem otimização
de recursos computacionais. Outra dificuldade que as empresas estão expostas refere-se à
segurança da informação (GELLMAN, 2009). No planejamento da infraestrutura
computacional para oferta de serviços de TI, muitos projetos não há a devida atenção as
conformidades de melhores práticas de segurança da informação (VAQUERO, 2011).
No âmbito de empresas governamentais, estas podem realizar investimento em seus
datacenters ou adequá-los, deixando de utilizarem um modelo legado e convencional de
computação, onde a alocação de serviços é realizada em máquinas reais, não havendo
otimização de recursos computacionais. Estas empresas podem utilizar como alternativa o
modelo de computação em nuvem, em que se utiliza a técnica de virtualização para instanciar
máquinas virtuais e aplicações, tornando o ambiente mais otimizado em relação a recursos e
outros agregados.
Organizações podem adotar uma estratégia de computação com nuvens híbridas, ou
seja, armazenar seus dados mais críticos ou que possuem leis ou regulatórios (muitas das
vezes cenários de empresas públicas) que impossibilitem a hospedarem em terceiros,
colocando esses dados na sua própria nuvem privada e os dados não tão críticos em uma
nuvem pública utilizando um provedor desse serviço (HOFFMANN, 2010).
Ainda no âmbito de empresas governamentais, especificamente federais, há
recomendações de como tratar a segurança das informações, onde se deve preocupar com
locais de armazenamento de dados, pensando na confiabilidade e integridade dos dados, uma
vez que muitos desses dados armazenados são de extrema importância para a estratégia e
operação do governo (TCU, 2012). Essas recomendações do Tribunal de Contas da União
16
(TCU) sobre como tratar a segurança da informação no âmbito do governo federal, como por
exemplo, armazenar dados de folha de pagamento no datacenter local, acabam tornando-se
requisitos para órgãos de governos estaduais que não têm suas próprias políticas ou
regulamentações definidas pelo TCE (Tribunal de Contas de Estado), utilizando-se assim
como documentação norteadora de melhores práticas de segurança da informação. Outra
recomendação sobre a segurança da informação aplicada à computação em nuvem no governo
federal é a norma complementar 14/IN01/DSIC/GSIPR6 que define a diretriz relacionada à
segurança da informação e comunicações para o uso de computação em nuvem nos órgãos e
entidades da administração pública federal.
Este trabalho visa investigar os passos necessários e impactos da adoção em um
processo de implantação de cenário de computação em nuvem privada em empresa pública de
processamento de dados estadual, permitindo avaliar quais benefícios este cenário agrega
referente aos quesitos de modelo de oferta de serviços e segurança da informação. Esta
investigação foi realizada fazendo um levantamento de documentações e melhores práticas
que se referem à computação em nuvem e segurança da informação. Em seguida, realizou-se
um diagnóstico de problemas com a infraestrutura computacional, modelo de oferta de serviço
e riscos de segurança da informação apresentados pela empresa utilizada como objeto de
estudo do trabalho. O diagnóstico foi realizado pelo autor do trabalho e a equipe que atua com
os serviços de TI referenciados neste estudo. Uma vez que ambos trabalham na organização
utilizada como objeto de estudo, os problemas foram identificados com uso de relatos pela
equipe, em dados de maior incidência de problemas reportados na empresa.
Após esse levantamento, foi realizado um estudo em documentações técnicas que
relatam soluções de computação em nuvem, solução essa que foi escolhida conforme
necessidade técnica e financeira da organização, com o intuito de mitigar os problemas
existentes. Em seguida, foi proposta a solução escolhida e apresentaram-se os passos
utilizados para sua implantação no cenário da empresa. E por fim, foi implantado o cenário
proposto e realizada uma avaliação dos impactos positivos agregados com a adoção da nuvem
junto à organização utilizada como estudo deste trabalho.
Desta forma, a proposta contempla a criação de nuvem privada em uma empresa
pública que trabalha em um modelo de negócio de provedor de serviços de TI, tendo como
estudo de caso, a PRODAP (Processamento de Dados do Estado do Amapá). Cria-se assim,
um cenário padrão para oferta de serviços de IaaS e SaaS, com a finalidade de tornar-se um 6 Disponível em: <http://dsic.planalto.gov.br/documentos/nc_14_nuvem.pdf>
17
provedor de serviços de nuvem para as secretarias do governo do Estado do Amapá,
centralizando todo processamento, armazenamento, níveis de qualidade, níveis de segurança
no datacenter da PRODAP. O estudo avaliará o impacto da adoção da nuvem privada para a
PRODAP, e fará uma análise e avaliação de riscos comparando o cenário tradicional em
nuvem privada no processo de oferta de serviços e aspectos de segurança da informação em
computação em nuvem em documentações como, NIST, CSA e a ISO 27002, já que garantir a
segurança dos dados governamentais é de suma importância para empresas governamentais.
1.2 OBJETIVOS DO TRABALHO
O objeto de estudo deste trabalho consiste em elaborar uma proposta de implantação
de computação em nuvem privada em uma empresa pública de processamento de dados. Para
isto, serão avaliados os impactos de adoção no ambiente, impactos estes incluindo modelo de
oferta de serviços, utilização da virtualização, garantia de SLA (Service Level Agreement),
atendimento às demandas e necessidades das secretarias clientes da PRODAP, análise e
avaliação de riscos e ainda avaliar requisitos de segurança da informação em conformidade
com melhores práticas de segurança da informação e segurança em computação em nuvem no
processo de implementação desse cenário. Esta proposta objetiva criar um cenário
computacional em nuvem que otimize recursos computacionais, crie um modelo de oferta de
serviços de TI e garanta conformidades de segurança com as melhores práticas de segurança
da informação.
Os objetivos específicos a serem atingidos incluem:
• Pesquisar e discutir os desafios e oportunidades que a computação em nuvem
oferece para empresas públicas;
• Levantar problemas no ambiente convencional de uma empresa pública de
processamento de dados;
• Propor um cenário de computação em nuvem para empresa pública de
processamento de dados; e
• Implementar solução de nuvem privada utilizando ferramental em software livre
em uma empresa pública de processamento de dados e avaliar seu impacto de
implantação.
1.3 ORGANIZAÇÃO DA DISSERTAÇÃO
Esta dissertação está organizada, a partir deste capítulo, da maneira descrita a seguir:
18
O Capítulo 2, Computação em nuvem, corresponde à fundamentação teórica do
trabalho, abordando conceitos, características, modelos de implantação e serviços, aspectos de
conformidades de segurança da informação e a computação em nuvem, e a base tecnológica
da computação em nuvem.
O Capítulo 3, Realidade PRODAP, apresenta conceitos e fundamenta como funciona o
processo de oferta de serviços na infraestrutura computacional da PRODAP para as
secretarias estaduais do Estado do Amapá. Ele reporta ainda os problemas apresentados com o
cenário tradicional, não otimizado e não escalável existente, para as demandas e necessidades
dessas entidades clientes.
O Capítulo 4, Proposta de solução de nuvem para a PRODAP, apresenta uma proposta
de solução de nuvem privada para a PRODAP atuar como um provedor de serviço em nuvem
para o governo do Estado do Amapá. Neste capítulo, será ainda realizado todo planejamento
da proposta e apresentado os requisitos para avaliação a solução dos problemas relatados no
Capítulo 3.
O Capítulo 5, Implementação de solução de nuvem privada para a PRODAP, expõe a
solução proposta de nuvem privada para o cenário computacional da PRODAP, solução essa
planejada no Capítulo 4 com a finalidade de mitigar problemas computacionais e riscos de
segurança da informação reportados nos Capítulos 3 e 4, assim avaliando os impactos da
solução no ambiente da PRODAP.
Finalmente, no Capítulo 6 são apresentadas as conclusões e trabalhos futuros.
19
CAPÍTULO 2 COMPUTAÇÃO EM NUVEM
A computação em nuvem traz uma nova configuração na utilização de tecnologias já
conhecidas, sendo um termo genérico que pode ser definido como a evolução de tecnologias e
processos, compostos de serviços, aplicações, informações e infraestrutura distribuída
(MARINS, 2009). Criada a partir da necessidade de redução de tempo para administrar e
implementar parques tecnológicos, custos e uma melhor gestão das infraestruturas
tecnológicas, a computação em nuvem surgiu para mudar o paradigma de infraestrutura de
parques tecnológicos de TI espalhados ao redor do mundo, flexibilizando sua gestão de forma
estratégica e menos custosa.
Empresas têm investido nessa área como processos de inovação tecnológica e
estratégica de negócio para seus serviços (HARRIS, 2010). O ambiente de computação em
nuvem difere-se do modelo convencional de computação, baseado em aquisição de serviços e
não mais em um modelo baseado em aquisição de equipamentos (MARSTON et al., 2011).
A computação em nuvem, especificamente a pública, destaca o processamento das
aplicações e armazenamento de dados fora do ambiente corporativo da empresa, e sim dentro
de infraestruturas de grande porte, em estruturas conhecidas como datacenter, assim
realizando a otimização de recursos, apesar da possibilidade da empresa criar sua própria
infraestrutura de datacenter, fazendo uma nuvem privada (VERAS, 2012).
Datacenter é um conjunto integrado de recursos tecnológicos que fornece serviços de
infraestrutura de valor agregado para empresa, tipicamente recursos de processamento,
armazenamento de dados e capacidade de largura de banda em redes de computadores, em
larga escala, independente da organização. Qualquer organização possui seu próprio
datacenter ou terceiriza-o, não importa o tamanho da empresa ou do datacenter (VERAS,
2009). Datacenters são ambientes conhecidos como de missão crítica, e hospedam
equipamentos cujas responsabilidades são de processar e armazenar informações vitais para
continuidade de negócios em diversos tipos de organizações seja no âmbito governamental ou
privado (MARIN, 2011).
2.1 DEFINIÇÃO
O NIST (2011) define computação em nuvem como um modelo que possibilita acesso,
20
de modo conveniente e sob demanda, a um conjunto de recursos computacionais
configuráveis (por exemplo, redes, servidores, armazenamento, aplicações e serviços) que
podem ser rapidamente adquiridos e liberados com mínimo esforço gerencial ou interação
com o provedor de serviços. Velte et al. (2010) enfatizam a definição de computação em
nuvem como um estilo de computação onde capacidades relacionadas a TI massivamente
escaláveis são fornecidas como serviço, usando tecnologias de Internet para vários clientes
externos.
O uso por parte dos usuários finais em serviços da computação em nuvem está cada
vez mais ligado ao dia-a-dia deles, onde podemos citar softwares utilizados em nuvens
públicas, como: googledrive7, dropbox8, windowslive, skydrive9, entre outros. Com tantos
benefícios, a computação em nuvem acabou se tornando uma tendência mundial e uma área
de forte investimento. Segundo Jackson (2011), em 2009 a receita para serviços em nuvem foi
um pouco mais alta que US$ 58,6 bilhões. Em 2011, estimava-se que as despesas com TI
ultrapassariam US$ 2,6 trilhões e projeta-se que a receita para serviços em nuvem chegará a
US$ 152,1 bilhões, em 2014 (DD, 2013).
Vaquero et al. (2009) discutem a respeito da volatilidade do conceito de computação
em nuvem, enfatizando que a definição apresenta apenas o conceito de computação em
nuvem atual. A definição apresentada pelos autores diz que a nuvem é um grande conjunto de
recursos virtualizados (tais como hardware, plataformas de desenvolvimento e/ou serviços)
facilmente utilizáveis e acessíveis. Esses recursos podem ser dinamicamente reconfigurados
para ajustar a variável carga (escalabilidade), permitindo também uma utilização completa
dos recursos. Essa variedade de recursos é tipicamente utilizada pelo modelo de pagamento
por uso (pay-per-use), no qual as garantias são oferecidas pelo provedor de serviços por meio
de acordos de níveis de serviço personalizados (SLA). Conforme ressaltam Buyya et al.
(2008), todos esses serviços de computação precisam ser altamente confiáveis, escaláveis e
autônomos. Além disso, os consumidores devem determinar o nível do serviço através da
qualidade de serviço (Quality of Service – QoS) em que a garantia é oferecida pelo provedor
de serviço de nuvem por meio de acordos a níveis de serviços (Service Level Agreement –
SLA) .
7 Disponível em: <https://drive.google.com> 8 Disponível em: <http://www.dropbox.com> 9 Disponível em: <http://skydrive.live.com>
21
2.2 HISTÓRICO
A essência do conceito de computação em nuvem, que enfatiza a disponibilização de
serviços de software e hardware utilizando-se a Internet, não é recente. Na década de 1960,
Joseph Carl Robnett Licklider, um dos responsáveis pelo desenvolvimento da ARPANET
(Advanced Research Projects Agency Network), já havia introduzido a ideia de uma rede de
computadores que ofereceria serviços onde todos deveriam estar conectados entre si,
acessando programas e dados de qualquer site e de qualquer lugar. Essa rede foi denominada
rede de computadores intergaláctica, e ainda na década de 60, John McCarthy, propôs a ideia
de que a computação deveria ser organizada na forma de um serviço de utilidade pública, em
que uma agência de serviços o disponibilizaria e cobraria uma taxa para seu uso
(MOHAMED, 2009). Em 1997, o termo “computação em nuvem” foi utilizado pela primeira
vez por Ramnath Chellappa (DELL, 2012).
Porém, um dos primeiro marcos para a computação nas nuvens só apareceu em 1999,
com o surgimento da Salesforce.com, que foi pioneira em disponibilizar aplicações
empresariais através da Internet. A partir de então, o termo “computação nas nuvens” passou a
ganhar mais espaço e outras empresas também começaram a investir nessa área, como a
Amazon, Google, IBM10 e Microsoft (MOHAMED, 2009).
A computação em nuvem é também relacionada ao conceito de computação em grade,
que é um sistema que coordena recursos que não estão sujeitos a controle de forma
centralizada, utilizando protocolos e interfaces que visam garantir a qualidade do serviço.
Desta forma, a computação em nuvem e a computação em grade compartilham alguns
objetivos similares, como o intuito de redução de custos, aumento na flexibilidade e
centralização ou operacionalização de dados em hardware de terceiros. Entretanto, apesar de
compartilharem conceitos parecidos, elas se diferem em alguns pontos, os quais devem ficar
claros. Alguns pontos mais importantes são apresentados a seguir (VAQUERO, 2009):
• Alocação dos recursos: Enquanto a computação em grade realiza um
compartilhamento por igual dos recursos entre os usuários, a computação nas
nuvens só aloca um recurso a um determinado usuário caso ele queira usá-lo; logo,
isso sugere a ideia de que o recurso é totalmente dedicado àquele usuário; além
disso, não ocorre propriamente um compartilhamento de recursos na computação
nas nuvens, devido ao isolamento realizado através da virtualização;
10 Disponível em: <http://www.ibm.com>
22
• Virtualização: Ambos realizam a virtualização de dados e aplicativos, escondendo
a heterogeneidade dos recursos existentes; todavia, a computação nas nuvens
também possui a virtualização dos recursos de hardware;
• Plataformas e dependências: As nuvens permitem que os usuários usem
softwares independentes de um determinado domínio; ou seja, os softwares rodam
em ambientes customizados, e não padronizados; as grades, ao contrário, só
aceitam aplicações que sejam executáveis em seu sistema;
• Escalabilidade: Tanto a computação em grade como a computação nuvem lidam
com as questões de escalabilidade; especificamente em grade, o usuário habilita
manualmente a escalabilidade através do aumento do número de nós utilizados. Na
nuvem, por outro lado, a escalabilidade é automática.
2.3 ARQUITETURAS DE COMPUTAÇÃO EM NUVEM
O NIST (2011) define o modelo de arquitetura de computação em nuvem divido em
três categorias: características essenciais, modelos de serviços e modelos de implantação de
computação em nuvem. Estas características serão avaliadas na proposta de implantação de
nuvem privada para a PRODAP. A sumarização das categorias é ilustrada na Figura 2.1.
Figura 2.1: Modelo da arquitetura da computação em nuvem do NIST (adaptado de MELL, 2011).
As características essenciais enfatizam que tipos de elementos deverão existir em um
ambiente de computação em nuvem para que os serviços funcionem de forma estratégica na
visão do usuário e quais recursos de infraestrutura a nuvem deverá possuir. Já os modelos de
serviços de nuvem, definem que níveis ou camadas, os serviços podem ser ofertados e/ou
comprados sob a nuvem. E por fim, os modelos de implantação são implementados
23
independente do modelo de serviço, essa categoria define a infraestrutura lógica do ambiente
de computação em nuvem.
As características essenciais adotadas para este trabalho são as definidas por Mell
(2011) e NIST (2011), conforme se segue:
• Autoatendimento sob demanda: Funcionalidades computacionais são providas
automaticamente sem a interação humana com o provedor de serviço;
• Amplo acesso a serviços de rede: Recursos computacionais estão disponíveis
através da Internet e são acessados via mecanismos padronizados, para que possam
ser utilizados por dispositivos móveis e portáteis, computadores, e assim por
diante;
• Pool de recursos: Recursos computacionais (físicos ou virtuais) do provedor são
utilizados para servir a múltiplos usuários, sendo alocados e realocados
dinamicamente conforme a demanda;
• Rápida elasticidade: As funcionalidades computacionais devem ser rápidas e
providas de forma elástica, assim como rapidamente liberadas. Os usuários dos
recursos devem ter a impressão de que eles possuem recursos ilimitados, que
podem ser adquiridos em qualquer quantidade e a qualquer momento. A
Elasticidade tem três principais componentes: Escalabilidade linear que define
crescimento de recursos de forma transparente para o usuário; Utilização sob
demanda que enfatiza que o usuário utilizará os recursos conforme sua
necessidade; e pagamento por unidades consumidas em recursos; e
• Serviços mensuráveis: Os sistemas de gerenciamento utilizados pela computação
em nuvem controlam e monitoram automaticamente os recursos para cada tipo de
serviço (armazenamento, processamento e largura de banda). Esse monitoramento
do uso dos recursos deve ser transparente para o provedor de serviços, assim como
para o consumidor do serviço utilizado. Outro ponto nessa característica é a
tarifação do serviço, onde o usuário deverá ter acesso e gerenciar seus gastos.
Além das características essenciais apresentadas, existem outros termos presentes na
literatura que precisam ser deliberados, pois serão vastamente utilizados no decorrer deste
trabalho. Com base no trabalho publicado pelo grupo de discussão de casos de uso da
computação em nuvem, Open Cloud Manifesto (2012), os termos são os que seguem:
24
• Interoperabilidade: Ligada à habilidade dos sistemas de se comunicarem, o que
implica que códigos funcionarão em vários fornecedores de nuvem ao mesmo
tempo, independente das diferenças entre provedores;
• SLA (ou em português ANS – Acordo de Nível de Serviço): É um contrato entre
o fornecedor e o consumidor que explicita as exigências (inclusive de segurança e
QoS) do consumidor e o comprometimento do fornecedor em cumpri-las;
• Multi-Tenancy: É a propriedade que possibilita vários sistemas, aplicações ou
dados de diferentes lugares (empresas, departamentos, entre outros) serem
hospedados em um mesmo hardware físico;
• Política: Termo genérico utilizado para determinar um procedimento operacional.
Por exemplo, uma política de segurança pode explicitar que todas as requisições de
um serviço em nuvem qualquer que sejam criptografadas;
• Governança: Controles e processos que garantem que as políticas sejam
desempenhadas;
• Máquina virtual: Um arquivo, conhecido como imagem, quando executado faz
com o que o usuário sinta-se em uma máquina real. Infraestrutura como serviço
(IaaS) normalmente é fornecida como uma imagem de máquina virtual, que pode
ser iniciada ou terminada quando necessário. Qualquer modificação na máquina
virtual enquanto estiver sendo executada pode ser armazenada em disco e tornada
imutável ou destruída; e
• Interface de programação de aplicativos (Application Programming Interface -
API): É um conjunto de padrões e rotinas que guiam o desenvolvedor na escrita de
códigos que interajam com certos tipos de sistema. APIs descrevem a sintaxe de
operações suportadas pelo sistema, especificando quais informações devem ser
enviadas, quais são recebidas e os erros que podem ocorrer.
A computação em nuvem possui basicamente três modelos de serviços conforme
reconhecimento do NIST (2011) e ilustrados na Figura 2.1. Estes três modelos podem ser
chamados de níveis ou camadas, nos quais os serviços podem ser ofertados e comprados sob o
modelo da tecnologia (TAURION, 2009). A Figura 2.2 ilustra uma visão geral sobre os três
modelos de serviços.
25
Figura 2.2: Modelos principais de serviços em computação em nuvem (MERIAT, 2011).
• Nível 1: Camada de infraestrutura em nuvem (Infrastructure as a Service – IaaS):
Permite, através do datacenter e utilizando-se geralmente da virtualização, ofertar
serviços que permitem atribuir e redimensionar dinamicamente capacidades de
armazenamento, processamento, memória e rede, de acordo com a demanda dos
usuários. É a camada mais básica da computação em nuvem. Nesse modelo o
cliente tem controle sobre os sistemas operacionais e recursos computacionais
disponibilizados pelo provedor de serviço em nuvem.
• Nível 2: Camada de desenvolvimento (Plataform as a Service – PaaS): A
plataforma como serviço possibilita a utilização de ferramentas de
desenvolvimento ou a possibilidade de implantar aplicações na infraestrutura de
nuvem. Nesse modelo o cliente não gerencia ou controla a infraestrutura que
compõe a nuvem, mas tem controle sobre as aplicações implementadas e as
configurações do ambiente. Exemplos de plataformas de desenvolvimento são:
Google AppEngine11, Openshift
12, Heroku13 e Cloud Foundry
14.
• Nível 3: Camada de aplicações (Software as a Service – SaaS): Software como
serviço é uma alternativa à execução local de aplicações, permitindo sua execução
na infraestrutura fornecida pela nuvem, os quais podem ser acessados por meio de
11 Disponível em: <https://appengine.google.com> 12 Disponível em: <http://openshift.redhat.com> 13 Disponível em: <http://heroku.com> 14 Disponível em: <http://cloudfoundry.com>
26
vários clientes (tais como navegadores). Neste modelo o cliente não gerencia ou
controla a infraestrutura que compõe a nuvem (rede, servidores, sistemas
operacionais, entre outros), com isso o foco de desenvolvedores se concentra
apenas em inovação e não em infraestrutura.
Além dos três níveis básicos de modelos de serviços em computação em nuvem,
existem outros modelos, como exemplo Forensic as a Service (FaaS), que utiliza-se do
processo forense computacional, que é uma metodologia de investigação e armazenamento de
incidências de crimes virtuais (QUEIROZ et al., 2010). Com isso, nesse modelo utiliza-se o
ambiente de computação em nuvem para ofertar o serviço forense computacional (DIDONÉ,
2011). Outro modelo de serviço crescente no mercado de computação em nuvem é o
Database as a Service (DaaS) (TAURION, 2009). Mais uma solução de mercado com
tecnologias inovadoras para o modelo de armazenamento na nuvem, é o USTO.RE15, solução
de Storage as a Service (STaaS) focada em nuvem privada, que implanta-se em uma nuvem
específica para armazenamento de dado, mas a referida solução traz algo inovador de utilizar-
se de um ambiente P2P (ANDRADE, 2013). Com o advento crescente do uso de dispositivos
móveis pelos usuários, a mobilidade pode ser um serviço oferecido na nuvem MaaS (Mobility
as a Service).
Independentes dos modelos de serviços de computação em nuvem existem quatro
modelos de implantação desses serviços, com variações para atenderem requisitos específicos
(CSA, 2012):
• Nuvem pública. A infraestrutura de nuvem é disponibilizada ao público em geral
ou a um grande grupo industrial e é controlada por uma organização que vende os
serviços de nuvem.
• Nuvem privada. A infraestrutura da nuvem é operada exclusivamente por uma
única organização. Ela pode ser gerida pela organização ou por terceiros, e pode
existir no local ou fora do ambiente da empresa.
• Nuvem comunitária. A infraestrutura da nuvem é compartilhada por diversas
organizações e suporta uma determinada comunidade que partilha interesses (por
exemplo, a missão, os requisitos de segurança, política ou considerações de
conformidade). Ela pode ser administrada pelas organizações ou por um terceiro e
pode existir no local ou fora do ambiente da empresa.
15 Disponível em: <http://www.usto.re>
27
• Nuvem híbrida. A infraestrutura da nuvem é uma composição de duas ou mais
nuvens (privada, comunitária ou pública) que permanecem como entidades únicas,
mas estão unidas pela tecnologia padronizada ou proprietária que permite a
portabilidade de dados e aplicativos (por exemplo, “cloud bursting” para
balanceamento de carga entre as nuvens).
2.4 PAPÉIS NA COMPUTAÇÃO EM NUVEM
Na arquitetura da computação em nuvem, existem papéis relacionados a atores, sejam
eles fornecedores ou usuários dos serviços de nuvem. A Figura 2.3 ilustra a classificação dos
atores dos modelos de acordo com os papéis desempenhados.
Figura 2.3: Papéis na computação em nuvem (RUSCHEL et al., 2010).
Esta imagem ilustra o processo de comunicação entre os atores que compõem a
computação em nuvem. O fluxo ilustrado na Figura 2.3 apresenta um provedor de serviços
que fornece os serviços seja para usuários finais ou desenvolvedores. Os desenvolvedores
podem consumir a infraestrutura de nuvem fornecida pelo provedor e desenvolver aplicações
nessa infraestrutura que serão fornecidas para os usuários finais. Embora a Figura 2.3 ilustre
apenas três atores na definição de papéis na computação em nuvem, existem outros, por
exemplo, auditor, fiscalizador, monitor, tarifados e outros.
2.5 A VIRTUALIZAÇÃO E A COMPUTAÇÃO EM NUVEM
A computação em nuvem disponibiliza serviços, para isso automatiza e otimiza
recursos. Assim, é de extrema importância o uso da tecnologia de virtualização.
28
A técnica de virtualização pode ser definida como o particionamento de um servidor
físico em vários servidores lógicos. Com a virtualização, o gerenciamento do ambiente se
torna mais flexível, podendo se ampliar os recursos computacionais (VERAS, 2011).
Outro fator importante para a computação em nuvem é a técnica de clusterização16,
pois se estende à limitação da virtualização. Segundo Pitanga (2008), quando se trata de
clusterização, se refere a um número de diferentes tecnologias e configurações e podem-se
dividir os clusters em duas categorias básicas: Alta Disponibilidade (do inglês, HA – High
Availability) e Alto Desempenho de Computação (do inglês, HPC – High Performance
Computing). A virtualização soluciona o problema de desperdício de recursos em servidores
físicos, já a clusterização resolve o problema de falta de recursos físicos. Por exemplo, no
conceito de virtualização se podem instanciar várias máquinas virtuais em uma máquina física
e na clusterização pode-se agrupar diversas máquinas físicas tornando-as uma única máquina
lógica e ainda instanciar muitas outras máquinas virtuais. Com isso, para um ambiente de
nuvem é ideal a utilização das duas técnicas, uma técnica suprindo a necessidade da outra
(VERAS, 2012).
2.6 SEGURANÇA EM COMPUTAÇÃO EM NUVEM
No que tange à segurança em computação em nuvem, que é uma área específica
dentro da segurança da informação, é importante atentar-se para a definição da segurança da
informação e ainda relacioná-la em conformidade com normas específicas para segurança da
informação.
2.6.1 Segurança da informação e conformidade com normas internacionais
A garantia da segurança da informação é de extrema importância tanto para pessoas, e
principalmente para organizações e nações. Assim, para que a informação possua requisitos
mínimos para sua segurança, é necessário um sistema de segurança da informação que se
baseia em três princípios básicos (CAMPOS, 2007), chamados de tríade da segurança da
informação (RAMOS, 2006).
• Confidencialidade: Garante que apenas pessoas explicitamente autorizadas podem
ter acesso à informação. Esse princípio basicamente trata-se do sigilo da
informação.
• Integridade: Garante que a informação acessada estará completa, sem alterações 16 Um termo utilizado para referenciar-se à técnica chamada de agrupamento de máquinas, para criar um ambiente único de processamento e consumo de memória para uma atividade específica.
29
e, portanto, confiável.
• Disponibilidade: Garante que a informação sempre estará acessível quando for
solicitada por pessoas autorizadas a acessarem a informação.
A utilização de normas internacionais, chamadas ISOs17, como documentos para guiar
projetos e adequação aos processos de negócio de organizações são elementos essenciais para
garantir a conformidade com especificações reconhecidas internacionalmente.
Especificamente no que tange à segurança da informação, existem diversas normas,
onde as principais são ISO 27001 e ISO 27002.
A norma ABNT NBR ISO/IEC 27001:2006 provê um modelo para estabelecer,
implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de
Gestão de Segurança da Informação (SGSI). A adoção de um SGSI deve ser uma decisão
estratégica para uma organização. A especificação e a implementação do SGSI de uma
organização são influenciadas pelas suas necessidades e objetivos, requisitos de segurança,
processos empregados e tamanhos da estrutura da organização. É esperado que este e os
sistemas de apoio mudassem com o passar do tempo (ABNT_1, 2005).
A norma ABNT NBR ISO/IEC 27002:2005 estabelece diretrizes e princípios gerais
para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma
organização. A segurança da informação visa proteger as informações consideradas
importantes para a continuidade e manutenção dos objetivos de negócio da organização
(ABNT_2, 2005).
2.6.2 Requisitos mínimos para garantir a segurança na nuvem
A garantia da segurança da informação no ambiente de computação em nuvem é
primordial para as organizações, pois há uma crescente demanda da tecnologia para utilização
de serviços de TI por empresas. Alguns desses requisitos de segurança são:
1. Os acessos pelos usuários dos serviços da nuvem devem manusear suas
informações de forma que seja solicitada credencial para validar a autenticidade
dos usuários requerentes da informação. A credencial geralmente é um usuário e
senha, este método não é o mais seguro, e outros métodos mais confiáveis podem
utilizar a Assinatura Digital ou autenticação por biometria.
2. Dados na nuvem devem ser acessados/modificados pelos usuários de forma a
17 Disponível em: <http://www.iso.org>
30
garantir a sua integridade. Assim, necessita-se a utilização de criptografia dos
dados. A encriptação deve ser garantida a todo o momento no acesso junto aos
dados armazenados no provedor de serviços de computação em nuvem.
3. As informações devem estar disponíveis a qualquer momento que forem
solicitadas pelos usuários. A indisponibilidade só poderá existir caso esteja
explícita em contrato e acordado no SLA entre o cliente e o provedor de serviços
de TI de nuvem. Outros fatores mais técnicos e estratégicos sobre requisitos de
segurança da informação em computação em nuvem serão tratados nas seções
seguintes deste capítulo.
2.6.3 Áreas de segurança que compreendem a computação em nuvem
Nos dias atuais existem diversas organizações motivadas em minimizar as ameaças de
segurança aos modelos de computação em nuvem, por exemplo, a Cloud Security Alliance
(CSA), uma organização que surgiu no cerne destas preocupações. Outras organizações como
a National Insitute of Standards and Technology (NIST), a European Network and
Information Security Agency (ENISA18), a OWASP Foundation com seu projeto OWASP-
Cloud, e a Computer Emergency Response Team (CERT19). Silva et al. (2013) apresentam um
estudo sistemático sobre mapeamento de ameaças aplicadas à computação em nuvem
utilizando como análise de conformidade diversas metodologias e documentações regulatórias
sobre segurança em nuvem. Outro trabalho relevante sobre mapeamento de ameaças e
soluções de segurança em nuvem é apresentado em Vaquero et al. (2011).
2.6.3.1 Cloud Security Alliance (CSA)
A Cloud Security Alliance20 é um guia de segurança para áreas críticas focado na
computação em nuvem, o qual foi lançado em abril de 2009.
As áreas críticas que envolvem segurança de computação em nuvem são dividas em
três seções contemplando quatorze domínios CSA (2011). Neste trabalho, serão avaliados
quais domínios o processo de implantação de nuvem privada para a PRODAP agregou em
conformidade com o CSA.
A primeira seção é a de arquitetura em nuvem, a qual possui um domínio para definir
um framework da arquitetura de computação em nuvem. O domínio é:
18 Disponível em: <http://www.enisa.europa.eu> 19 Disponível em: <http://www.cert.org> 20 Disponível em: <http://cloudsecurityalliance.org>
31
• Domínio 1 – Framework arquitetural da computação em nuvem: Neste
domínio, é oferecida uma estrutura conceitual que orienta toda a documentação do
da CSA referente à computação em nuvem.
A segunda seção do CSA é governança em nuvem, que enfatiza a gestão dos dados na
nuvem contemplando cinco domínios.
• Domínio 2 – Governança e gestão de riscos corporativos: É a capacidade de
uma organização para governar e medir o risco empresarial introduzido pela
Computação em Nuvem. Itens como a procedência legal em caso de violação de
acordo com a capacidade de organizações usuárias para avaliar adequadamente o
risco de um provedor de nuvem.
• Domínio 3 – Aspectos legais e electronic discovery: Este domínio trata de
problemas legais em potencial quando se utiliza a nuvem. Os assuntos abordados
nesta seção incluem os requisitos de proteção da informação e de sistemas
informáticos, leis de divulgação de violações de segurança, os requisitos
regulatórios e de privacidade, as leis internacionais, etc.
Destacam-se neste domínio alguns dos aspectos jurídicos suscitados pela
computação em nuvem. Ele fornece informações gerais sobre questões legais que
podem ser levantadas em relação a mover dados para a nuvem.
• Domínio 4 – Conformidade e auditoria: As organizações enfrentam novos
desafios à medida que migram de centros de dados tradicionais para a nuvem.
Entregar, medir e comunicar o cumprimento com uma multidão de regulamentos
em múltiplas jurisdições é um dos maiores desafios.
Clientes e fornecedores precisam entender e apreciar as diferenças e as implicações
sobre o cumprimento e as normas de auditoria, processos e práticas. A natureza
distribuída e virtualizada de nuvem requer ajuste de quadro significativo de
abordagens baseadas em instâncias definidas e físicas de informações e processos.
Questões relativas à avaliação da forma como a computação em nuvem afeta o
cumprimento das políticas de segurança interna, bem como diversos requisitos de
conformidade (regulatórios, legislativos e outros) são discutidos neste domínio.
• Domínio 5 – Gerenciamento da informação e segurança nos dados: O principal
objetivo da segurança da informação é proteger os dados de sistemas e aplicações.
Gestão da informação na era da computação em nuvem é um grande desafio, que
afeta todas as organizações, mesmo aquelas que não são aparentemente engajadas
32
em projetos baseados em nuvem.
Gestão da informação e segurança de dados na nuvem demanda novas estratégias e
arquiteturas técnicas. Felizmente não só os usuários têm as ferramentas e técnicas
necessárias, mas a nuvem cria oportunidades para melhor proteger os dados na
infraestrutura tradicional.
Neste domínio é tratado o ciclo de vida da informação que compreende seis fases,
sendo elas: criação da informação, armazenamento, uso, compartilhamento,
arquivamento e destruição da informação. A Figura 2.4 ilustra o ciclo de vida de
uma informação na nuvem.
Figura 2.4: Ciclo de vida da informação (CSA, 2011).
• Domínio 6 – Portabilidade e interoperabilidade: É a habilidade de mover
dados/serviços de um provedor para outro, ou levá-los totalmente de volta para a
empresa. A computação em nuvem oferece escalabilidade sem precedentes para
uma organização de TI com capacidade de processamento e administrativa, ao
contrário daquelas disponíveis em infraestruturas tradicionais. Quase
instantaneamente, a capacidade adicional pode ser realizada, movida ou removida
em resposta às necessidades de processamento de forma dinâmica. Caso a
necessidade de demanda diminua, a capacidade adicional pode ser desligada com a
mesma rapidez de adicioná-la. Os problemas de interoperabilidade entre os
fornecedores também são discutidos.
A segunda categoria enfatiza as preocupações táticas de segurança e sua
implementação dentro da arquitetura, contemplando oito domínios. Os seus domínios são:
33
• Domínio 7 – Segurança tradicional, continuidade de negócios e recuperação de
desastres: Com o surgimento da computação em nuvem como uma tecnologia para
a terceirização de operações de TI (do inglês, Outsourcing), as questões de
segurança, inerentes ao modelo de hospedagem de serviços, assumiram maior
importância e criticidade inerentes ao conceito de computação em nuvem os riscos
associados com confiança de dados confidenciais contidos no ambiente de terceiros
(Cloud Service Provider – CSP).
A evolução dos serviços em nuvem permitiu que entidades empresariais façam
mais com menos: menos recursos e maior eficiência operacional. Isso tem muitos
benefícios tangíveis para o negócio, apesar dos riscos de segurança inerentes que
devem ser avaliados, tratados e resolvidos nesse ambiente.
Um dos propósitos deste domínio é ajudar os usuários de serviços em nuvem a
compartilharem um entendimento comum de segurança tradicional (segurança
física). Segurança tradicional pode ser definida como as medidas tomadas para
garantir a existência de procedimentos de segurança física, proteções contra roubo
de equipamentos que contenham dados e ainda contra ataques de espionagem,
roubo, sabotagem, ou dano físico. Esse domínio também trata sobre medidas de
continuidade de negócio e recuperação de desastres em caso de um incidente
natural, por exemplo, como inundação, o CSP tem que garantir a continuidade do
serviço para o cliente.
• Domínio 8 – Operação do datacenter: Este trata de avaliar a arquitetura e a
operação de um fornecedor de datacenter. É focado em ajudar os usuários a
identificarem características comuns de datacenters que podem ser prejudiciais
para os serviços de nuvem em andamento, bem como características que são
fundamentais para a estabilidade em longo prazo.
• Domínio 9 – Resposta a Incidentes: Resposta a Incidentes (RI) é um dos pilares
da gestão de segurança da informação. Mesmo o planejamento mais diligente,
implementando e executando controles de segurança preventivos, não pode
eliminar completamente a possibilidade de um ataque sobre os ativos de
informação, ativos esses que podem ser elementos físicos, lógicos e humanos.
Uma das questões centrais para as organizações que se deslocam para a nuvem
deve ser: o que fazer para permitir uma gestão eficiente e eficaz dos incidentes de
segurança que envolvem recursos na nuvem? Resposta a incidentes para a
computação em nuvem não é um novo paradigma conceitual, mas sim, requer que
34
a organização mapeie devidamente seus programas de RI existentes, além de
processos e ferramentas para o ambiente operacional.
Este domínio é organizado de acordo com o ciclo de vida de resposta a incidentes
como no guia de segurança Incident Handling do NIST (NIST_800-61, 2012).
Depois de estabelecer as características da computação em nuvem que visam RI,
cada passo seguinte aborda uma fase do ciclo de vida e explora as considerações
potenciais para seus responsáveis. Pretende-se abordar itens que devem estar
presentes tanto no nível dos prestadores e dos usuários para permitir bom
tratamento de incidentes e forenses computacionais.
• Domínio 10 – Segurança de aplicação: Protegendo o software aplicativo que está
sendo executado ou sendo desenvolvido na nuvem. Isto inclui itens tais como, se é
apropriado migrar ou projetar um aplicativo para ser executado na nuvem, e em
caso afirmativo, que tipo de plataforma em nuvem é mais adequado (SaaS, PaaS ou
IaaS). Nesse sentido, existem iniciativas, como a documentação SDL (Secure
Development Lifecycle) para fomentar o desenvolvimento de software em códigos
seguros (SDL, 2011), além de existir outras documentações como: Secure
Programming Standard Methodology Manual – SPSMM (SPSM, 2002) e Segurity
Programming for Linux and Unix Howto (SPLUH, 2003).
• Domínio 11 – Gestão de criptografia e de chaves: Para um profissional de
segurança, é recomendável que, se uma organização necessita armazenar seus
dados de forma segura garantindo que outros não possam acessar ou utilizar os
dados, estes devem ser criptografados. Dentro de um datacenter, a premissa de que
a organização deverá controlar todos os dados e eles devem estar criptografados, e
preferencialmente o ambiente deverá estar em conformidade com padrões de
segurança, como PCI-DSS (Payment Card Industry Data Security Standard) por
exemplo, para empresas que utilizam transações bancárias online com cartão de
crédito.
• Domínio 12 – Gestão da identidade, direito e do acesso: Os conceitos por trás de
identidade, direito, gestão de acesso são usados em computação tradicional e
requerem mudanças fundamentais na maneira de pensarem na implementação
de um ambiente de nuvem, especialmente dividindo-o em três funções distintas,
Identity, Entitlement, and Authorization/Access Management (IDEA).
Para a maioria das organizações, a implementação de uma aplicação tradicional
significa implementar um servidor, possivelmente em uma DMZ, e na maioria dos
35
casos, amarrado em um serviço de diretório (como o Active Directory da
Microsoft, Novell Directory ou OpenLDAP) para autenticação do usuário. Em
alguns casos, isso significa que a implementação de um aplicativo ou usar a web –
serviço prestado com um perfil próprio – sistema de autenticação por si só, provoca
grande aborrecimento nos usuários que depois têm de lembrar um conjuntos de
credenciais (ou pior, reutilizar as credenciais de outros domínios, talvez mais
confiáveis). O Gerenciamento de identidades alavanca os serviços de diretório para
fornecer controle de acesso. Este fornece insights para avaliar a prontidão da
organização para realizar a gestão da identidade e acesso (Identity and Access
Management, ou IAM) baseados na nuvem.
• Domínio 13 – Virtualização: A virtualização é um dos elementos chave de
Infraestrutura como Serviço (IaaS), e é cada vez mais usado em partes do back-end
da Plataforma como Serviço (PaaS) e SaaS. Também, naturalmente, uma
tecnologia chave para desktops virtuais que são entregues a partir de nuvens
privadas ou públicas. Os benefícios da virtualização são bem conhecidos, incluindo
multi-locação, melhor utilização do servidor e consolidação do centro de dados.
Provedores de nuvem podem alcançar maior densidade, que se traduz em melhores
margens, e as empresas podem usar a virtualização para reduzir as despesas de
capital em hardware de servidor, bem como aumentar a eficiência operacional.
• Domínio 14 – Segurança como um serviço (Security as a Service – SecaaS): Um
dos marcos da maturidade da nuvem como uma plataforma para as operações de
negócios é a adoção de segurança como um serviço (SecaaS) em escala global e o
reconhecimento de como a segurança pode ser melhorada. A implementação
mundial de segurança como um bem terceirizado acabará por minimizar as
variações díspares e vazias de segurança.
Outra documentação que a CSA possui é específica sobre ameaças em segurança em
nuvem, denominada “The Notorious Nine Top Threats to Cloud Computing 2013” (CSA_1,
2013).
2.6.3.2 Open Web Application Security Project
A Open Web Application Security Project21 (OWASP) é uma entidade sem fins
lucrativos e de reconhecimento internacional, que contribui para a melhoria da segurança de
21 Disponível em: <https://www.owasp.org/index.php>
36
softwares aplicativos reunindo informações importantes que permitem avaliar riscos de
segurança e combater formas de ataques através da internet (OWASP, 2013). Uma maneira de
validar a segurança em aplicações seria a utilização de testes de intrusão nas aplicações,
técnica denominada “PENTEST”, uma forma condicionada de realizar os testes seria
utilizando a metodologia OSSTMM22 (Open Source Security Testing Methodology Manual).
Os estudos e documentos da OWASP são disponibilizados para toda a comunidade
internacional, e adotados como referência por entidades como U.S. (United State) Defense
Information Systems Agency (DISA), U.S. Federal Trade Commission, várias empresas e
organizações mundiais das áreas de tecnologia, auditoria e segurança.
O trabalho mais conhecido da OWASP é sua lista “The Top 10 Most Critical Web
Application Security Risks”, que reúne os riscos de ataque mais críticos exploráveis a partir de
vulnerabilidades nas aplicações Web. Neste sentido a OWASP possui uma documentação
específica para segurança de computação em nuvem chamada “List of OWASP Cloud Top 10
Security Risks”, os dez riscos enfatizados pela OWASP para segurança em nuvem são
(OWASP_CLOUD, 2010):
• Risco 1 – Responsabilidade e propriedade de dados: Um datacenter tradicional
de uma organização está sob completo controle da organização. As organizações
lógica e fisicamente protegem os dados que elas possuem. Uma organização que
escolher utilizar uma nuvem pública para hospedar seu serviço de negócio perde o
controle de seus dados, especificamente de forma física. Isto representa riscos
críticos de segurança que a organização precisa considerar com cuidado e mitigá-
los.
É preciso admitir sobre a garantia de recuperação de dados. Uma vez que os dados
são confiados a um provedor terceiro, a organização deve questionar-se sobre quais
são as garantias que o provedor vai utilizar para recuperar a informação? E sobre
os backups realizados pelos provedores na nuvem?
• Risco 2 – Identidade de usuário federado: É muito importante para as empresas
manterem o controle sobre as identidades dos usuários. Os usuários devem ser
exclusivamente identificáveis com uma autenticação federada (por exemplo, SAML
– Security Assertion Markup Language) que funciona através dos provedores de
nuvem para criar um método centralizado de autenticação.
22 Disponível em: <http://www.isecom.org/mirror/OSSTMM.3.pdf>
37
• Risco 3 – Conformidade regulatória: Os dados que são compreendidos para
serem seguros em um país não podem ser compreendidos seguros em outro, devido
as diferentes leis regulatórias entre os países ou regiões. Por exemplo, a União
Europeia (UE) tem leis muito rígidas de privacidade e, portanto, os dados
armazenados nos EUA podem não respeitar as leis da UE.
• Risco 4 – Resiliência e continuidade de negócio: Continuidade de negócio é uma
atividade que a organização tenta garantir para que o negócio possa ser realizado
em uma situação de desastre. No caso de uma organização que usa nuvem, a
responsabilidade da continuidade do negócio fica delegada ao provedor de nuvem.
Isso cria um risco para a organização de não ter continuidade de negócio adequado.
Sobre continuidade de serviço e níveis de qualidade, é necessário garantir as
soluções contratuais que foram propostas e acordadas pelo operador de nuvem com
o cliente respeitando o acordo de nível de serviço.
• Risco 5 – Privacidade do usuário e uso de dados secundários: Dados pessoais
de usuários ficam armazenados na nuvem. Assim, o provedor de nuvem pode
definir políticas de acesso para usuários que acessam dados secundários, como
sites de redes sociais. Por exemplo, através de redes sociais como LinkedIn23,
Twitter24, Facebook25 é muito fácil deduzir dados pessoais dos usuários. Com isso,
há uma necessidade de assegurar com o provedor de nuvem que dados podem ou
não serem usados pelos usuários para fins secundários. Muitos provedores de
aplicações de redes sociais utilizam dados do usuário para, por exemplo, uso
secundário dirigido à publicidade. Percebe-se esse fato quando fazemos buscas por
lugares para possíveis férias, e imediatamente começam a aparecer anúncios em
hotéis e voos próximos ao seu destino.
• Risco 6 – Integração de serviços e dados: As organizações devem ter a certeza de
que seus dados estão devidamente protegidos, uma vez que são transferidos entre o
usuário final e a nuvem. Enquanto a intercepção de dados em trânsito deve ser
motivo de preocupação para toda a organização, o risco é muito maior para as
organizações que utilizam um modelo de computação em nuvem, onde os dados
são transmitidos através da Internet. Dados inseguros são suscetíveis à
interceptação e compromisso durante a transmissão.
23 Disponível em: <http://www.linkedin.com> 24 Disponível em: <http://twitter.com> 25 Disponível em: <www.facebook.com>
38
• Risco 7 – Segurança física e multi-tenancy: Multi-tenancy em nuvem significa a
partilha de recursos e serviços entre os vários clientes (CPU, armazenamento,
redes, bancos de dados, pilha de aplicativos). Ela aumenta a dependência de
segregação lógica e outros controles para garantir que um hóspede deliberado ou
inadvertidamente não pode interferir com a segurança (confidencialidade,
integridade, disponibilidade) dos outros hóspedes.
• Risco 8 – Análise de incidentes e suporte à forense: Em caso de um incidente de
segurança, aplicativos e serviços hospedados em um provedor de nuvem são
difíceis de serem investigados, os registros podem ser distribuídos através de
múltiplos hosts e centros de dados que podem ser localizados em diversos países e,
portanto, regido por leis diferentes. Além disso, juntamente com os arquivos de
log, os dados pertencentes a vários clientes podem ser co-localizados nos mesmos
hardwares e dispositivos de armazenamento e, portanto, uma preocupação com a
lei que imponha a agência de recuperação judicial.
• Risco 9 – Segurança em infraestrutura: Toda a infraestrutura deve ser
fortalecida e configurada de forma segura, e as linhas de base de
fortalecimento/configuração devem ser baseadas em melhores práticas da indústria.
Aplicações, sistemas e redes devem ser projetadas e configuradas com
hierarquização e zonas de segurança, e de acesso deve ser configurado para
permitir apenas requisitos essenciais de rede e protocolos de aplicação. O acesso
administrativo deve ser baseado em função, e concedido com base na necessidade
de autorização. As avaliações de riscos regulares devem ser feitas, de preferência
por entidades terceiras especializadas. Uma política de segurança deve contemplar
o processo e a aplicação de patches/atualizações de segurança, e pode, com base no
risco, realizar avaliação de novas questões de segurança.
• Risco 10 – Exposição do ambiente a não produção: Uma organização de TI que
desenvolve aplicativos internamente emprega um conjunto de ambientes de não
produção para atividades de concepção, desenvolvimento e teste. Os ambientes de
não produção geralmente não são fixados ao mesmo nível que o ambiente de
produção. Se uma organização usa um provedor de nuvem para o ambiente de não-
produção, então há um alto risco de acesso não autorizado, modificação e roubo de
informações.
Diversas outras iniciativas sobre segurança em computação em nuvem têm sido
39
desenvolvidas por instituições que se envolvem com tecnologia, seja em um contexto
operacional ou estratégico, como exemplo, do ISACA26 que tem trabalhado em publicar
documentações que fomentam a segurança em computação em nuvem, um desses documentos
é para objetivos de controles de TI para segurança em nuvem (ISACA, 2011).
2.7 COMPUTAÇÃO EM NUVEM EM EMPRESAS PÚBLICAS DO BRASIL
Várias tecnologias visam facilitar a vida do cidadão e a computação em nuvem é uma
delas, que permite ao usuário acessar, via internet, sistemas e recursos tecnológicos sem
precisarem usar os seus computadores, nem comprá-los, podendo alugá-los como serviços
onde o fornecedor oferece desde infraestrutura, softwares, atualizações automáticas até o
compartilhamento de arquivos, gestão e manutenção. A computação em nuvem já é realidade
também no âmbito do governo federal. A Dataprev27 (Empresa de Tecnologia e Informações
da Previdência Social), em parceria com o Serpro28 (Serviço Federal de Processamento de
Dados), já utiliza um ambiente denominado de Expresso em Nuvem, que tem como objetivo
criar um ambiente de governo padronizado para atender a demandas de correio eletrônico com
segurança, qualidade e velocidade (DATAPREV, 2013). No que tange à segurança da
informação em nuvem na esfera do governo federal, foi homologada a norma complementar
nº 14/IN01/DSIC/GSIPR, que estabelece diretrizes para a utilização de tecnologias de
computação em nuvem, nos aspectos relacionados à Segurança da Informação e
Comunicações (SIC), nos órgãos e entidades da Administração Pública Federal (APF), direta
e indireta, publicada no DOU Nº 30 – Seção 1, de 10 de fevereiro de 2012 (DSIC, 2013).
No início de setembro deste ano, o Serpro lançou a primeira nuvem do governo
federal. O ambiente vai abrigar, de início, sistemas para o Programa Cidades Digitais. A
tecnologia vai oferecer soluções de educação, atendimento médico hospitalar, gestão e
comunicações para cerca de 200 municípios brasileiros. O pacote de serviços inclui sistemas
de ouvidoria, gestão de saúde básica (integrado ao cartão único de saúde), educação, gestão
escolar e suíte de comunicação. Para o Diretor do Serpro, Marcos Mazoni, a nuvem brasileira
está estável e preparada para um acesso três vezes maior que o previsto. O gerenciamento da
tecnologia ficará sob a responsabilidade do Serpro em um centro de dados da própria
instituição. O espaço para armazenamento e processamento de dados será dado de acordo com
a necessidade do usuário (INFO, 2013).
26 Disponível em: <http://www.isaca.org> 27 Disponível em: <http://www.dataprev.gov.br> 28 Disponível em: <http://www.serpro.gov.br>
40
Ainda no âmbito do Governo Federal, outra empresa que está voltada para projetos de
computação em nuvem é a RNP (Rede Nacional de Pesquisa), que está concebendo um
projeto que vai permitir à Biblioteca Nacional e à Cinemateca oferecerem acervos
digitalizados para consulta ao público a partir de fevereiro de 2014. O Centro de Dados
Compartilhados (CDC) que permitirá o armazenamento dessas informações será lançado em
fase experimental. O conteúdo oferecido ainda será definido pelas instituições. Na primeira
etapa de construção, o CDC atenderá de forma mais restrita à comunidade acadêmica do país.
A infraestrutura no início terá capacidade limitada, para que os usuários experimentem a
plataforma. Entre seus objetivos estão os de abrigar grandes volumes de informações e
colaborar para a manutenção e a preservação de dados (FNDC, 2013).
2.8 TRABALHOS RELACIONADOS
O processo de adoção de computação em nuvem é algo que deve ser avaliado
conforme as necessidades de negócio da empresa. O trabalho de Sampaio et al. (2010),
apresenta uma abordagem proposta denominada de Uni4Cloud que visa à implantação de
aplicações em múltiplas nuvens através da criação de ferramentas e componentes de software
implementados com base em padrões abertos e soluções de código aberto existentes. Algumas
das características dessa abordagem se destacam:
• Permite criar um modelo que contém informações sobre os componentes de
software que fazem parte de uma aplicação (ex: servidor web, servidor de
aplicação, banco de dados) e que são distribuídos como uma virtual appliance
(baseado no padrão Open Virtualization Format – OVF) em nuvens híbridas.
Virtual Appliance corresponde a uma nova forma de “empacotar” um serviço de
software através de um conjunto de máquinas virtuais (cada uma contendo sua
pilha de software específica) e metadados que descrevem diversas informações
como, por exemplo: (i) a capacidade de cada máquina virtual (CPU, memória,
disco, rede com a qual sua interface está conectada, etc.); (ii) sequência de startup
das máquinas virtuais; e (iii) conjunto de pares propriedades-valor a serem
configurados em tempo de boot das máquinas virtuais.
• A distribuição de cada componente da aplicação se faz de forma automática,
através de chamadas às APIs baseadas em um padrão genérico de API para nuvens
chamado Open Cloud Computing Interface (OCCI). A implementação funciona
41
como um adaptador que encapsula chamadas correspondentes às APIs proprietárias
de nuvens de infraestrutura distintas.
• Em tempo de inicialização de cada componente, ou seja, quando sua máquina
virtual é inicializada, a aplicação tem o poder de se autoconfigurar através de
scripts (ex: servidor de aplicação configura o IP do banco de dados ao qual ele
referencia).
A proposta Uni4Cloud apresenta uma abordagem simples de criação de aplicações
Web em nuvem, a qual pode ser hospedada em diferentes provedores. Outro ponto positivo na
proposta é a de se utilizar o padrão OVF que é o padrão escolhido por muitas empresas
atuantes no mercado de computação em nuvem. Entretanto, a proposta não enfatiza
especificamente se a abordagem aplica-se para nuvem pública ou privada. E ainda não prevê
em sua proposta o modelo de serviço em nuvem IaaS. Portanto, a abordagem proposta neste
trabalho oferece a implantação de um cenário baseada nas necessidades de negócio da
PRODAP.
Santos et al. (2010) relatam alguns passos a serem seguidos para o processo de adoção
de computação em nuvem para um ambiente corporativo, os passos são:
1. Avaliar profundamente cada aplicação: Este passo relata sobre a análise que deve
ser realizada antes de um processo de migração de um ambiente convencional para
ambiente em nuvem. Avaliando seus impactos de negócio, de segurança da
informação.
2. Classificar e determinar a sensibilidade dos dados: Deve ser feito um levantamento
dos dados e dos processos que serão migrados para a nuvem, identificando assim
os processos mais críticos e as informações relevantes e sigilosas, para determinar
o tipo de nuvem que será contratada.
3. Determinar o tipo de nuvem que melhor se enquadra na empresa: Após a análise
das aplicações, dados e processos, é possível determinar o consumo e a utilização
que serão necessários contratar de um provedor de computação em nuvem, e assim
determinar o tipo de nuvem para o melhor aproveitamento da empresa.
4. Escolher o modelo de implantação de computação em nuvem: escolher o modelo
de implantação que determina o grau de segurança, gerenciamento, terceirização e
compartilhamento das informações com outros clientes do provedor. Podendo ser
um modelo de nuvem pública, privada ou híbrida.
42
5. Especificar a arquitetura para a plataforma: É necessário especificar os requisitos
de arquitetura como armazenamento, backup, roteamento de rede, virtualização e
hardware dedicado, para garantir que a plataforma para onde as aplicações serão
migradas esteja de acordo com os requisitos da aplicação e da quantidade de
informação e processamento que será disponibilizada no ambiente de nuvem.
6. Especificar cuidadosamente todos os serviços de segurança: Na contratação de
serviço de infraestrutura e software, os requisitos de segurança devem estar bem
analisados e descritos com relação à utilização de firewalls, detecção de intrusos,
gerenciamento de identidade, prevenção à perda de dados, criptografia, buscas por
vulnerabilidade, entre outros, garantindo assim a segurança necessária para as
informações relevantes e sigilosas da empresa.
7. Conferir cuidadosamente todas as políticas do fornecedor de computação em
nuvem para verificar se tudo está enquadrado nos requisitos da empresa: As
políticas do provedor de computação em nuvem devem ser analisadas
profundamente para avaliar se estão de acordo com os requisitos da empresa em
relação à segurança da informação, gerenciamento, configurações e upgrade de
todo o ambiente que será migrado para a nuvem, evitando assim qualquer surpresa
futura.
8. Analisar o provedor de serviço: O provedor deve ser cuidadosamente avaliado
levando em conta aspectos geográficos e de segurança, para garantir a capacidade
em atender um crescimento futuro do negócio, permitindo que seus usuários
possam atribuir recursos de forma autônoma, e com monitoramento do tráfego,
evitando os ataques de negação de serviço. É fundamental avaliar também se os
acordos de nível de serviços (SLAs) estão em conformidade com os requisitos
suportados pela empresa e se o provedor tem capacidade financeira para futuros
investimentos e multas contratuais.
A proposta do trabalho de Santos et al. (2010) apresenta 8 passos para a implantação
de computação em nuvem. Apesar de relatar desde a escolha de requisitos de negócios à
analise de requisitos de segurança e contratos com provedores de serviços de nuvem, não
expõe de forma mais específica como realizar tais análises, tornando-se assim uma proposta
metodológica muito superficial e genérica. Nesse sentido, este trabalho apresenta uma
proposta de adoção em computação em nuvem em forma de projeto, realizando todas as fases
de um projeto, desde seu planejamento até a execução, tornando assim uma escolha mais
43
orientada às necessidades do negócio e planejada conforme as necessidades estratégicas e
com a finalidade de mitigar os problemas existentes com o modelo de atuação.
2.9 SUMÁRIO DO CAPÍTULO
Conforme apresentado, este capítulo teve a finalidade de discutir sobre os paradigmas
da computação em nuvem, seus modelos de implantação, de serviços, características
essenciais, além de questões de segurança. Após a discussão, foi relacionada a utilização da
computação em nuvem como estratégia de negócio para organizações públicas a fim de
reduzir custos.
Sobre estas empresas públicas discutiu-se a respeito de Empresas Públicas Federais
que trabalham com modelos de prestação de serviços tecnológicos para outras entidades
federais no Brasil e já atuam com projetos implementados utilizando o modelo de computação
em nuvem. No âmbito de Empresas Públicas que trabalham como modelos de prestadores de
serviços tecnológicos para secretarias, o capítulo a seguir tratará da PRODAP, uma Entidade
Pública que é também uma prestadora de serviços de TI e atua em um modelo similar ao do
Serpro. Assim, enquanto o Serpro atende as entidades públicas federais, a PRODAP atende as
secretarias estaduais do Estado do Amapá.
44
CAPÍTULO 3 REALIDADE PRODAP
A adoção de modelos de computação em nuvem em empresas estaduais públicas ainda
é algo pouco utilizado nestas entidades, dado esse motivado em poucas referências
disponíveis na academia e no mercado. Em discussões sobre a adoção desse modelo de
serviço, principalmente na utilização de nuvem pública, muitas empresas relacionam-se com o
desafio, a segurança da informação, na desconfiança se o provedor de serviços de nuvem
poderá garantir a disponibilidade e integridade dos dados estratégicos da organização. Para
essa problemática de hospedar dados em um provedor de nuvem pública, empresas públicas
podem adotar a utilização de um modelo de oferta de serviços em sua própria infraestrutura, a
nuvem privada.
Neste sentido, tratando-se especificamente de empresas públicas de processamento de
dados, as empresas PRODs (Processamento de Dados) são instituições públicas ou empresas
públicas privadas que fornecem serviços de TIC (Tecnologia da Informação e Comunicação)
para secretarias estaduais, serviços esses de Internet, web, webmail, aplicações corporativas,
dentre outras.
Especificamente no estado do Amapá, a empresa de processamento de dados é a
PRODAP29, empresa essa que fornece todos os serviços corporativos de TI, essenciais para as
secretarias estaduais do Estado do Amapá, alguns serviços destacados são: a Internet,
hospedagem de sites, webmail, armazenamento de dados e acesso a aplicações corporativas.
A PRODAP, instituída pela Lei nº 0310 de 05 de Dezembro de 1996 e alterada pela
Lei nº 0318 de 23.12.96, é uma Autarquia Estadual, vinculada à Secretaria de Estado de
Planejamento (SEPLAN30) e coordenação geral, dotada de personalidade jurídica de direito
público interno, patrimônio próprio, autonomia administrativa e financeira. A PRODAP tem
por finalidade programar, coordenar, orientar e controlar a execução das atividades de
processamento de dados, prioritariamente para os órgãos da administração direta e indireta,
bem como delinear a política e as diretrizes da informática no Estado.
3.1 SOBRE AS ATIVIDADES DA PRODAP
À PRODAP compete programar, coordenar, orientar e controlar a execução das
29 Disponível em: <http://www.prodap.ap.gov.br> 30 Disponível em: <http://www.seplan.ap.gov.br>
45
atividades de processamento de dados, prioritariamente para o poder executivo; delinear a
política e as diretrizes de informática no Estado e exercer outras atribuições correlatas na
forma de seu estatuto, dentre elas:
I. Serviços de informática;
II. Atividades de geoprocessamento;
III. Atividades de multimídia;
IV. Treinamento de usuários; e
V. Armazenamento eletrônico de documentos.
Um agravante negativo pode ocorrer à PRODAP, por se tratar de uma entidade
pública, e depender de disponibilização de recursos financeiros por parte do governo, pode ser
um problema que impacte negativamente em novos projetos.
3.2 PROBLEMAS COM O MODELO DE OFERTA DE SERVIÇOS DE TI DA
PRODAP
A PRODAP em sua infraestrutura tecnológica trabalha com ambientes convencionais,
ou seja, utiliza-se de um serviço tecnológico por máquina física na maior parte de seus
serviços ofertados. Com isso, torna-se oneroso o processo de administração do ambiente para
a equipe de TI, uma vez que a quantidade de equipamentos físicos é grande. Outro ponto é o
não uso dos recursos computacionais de forma otimizada, em alguns casos muitas máquinas
subutilizadas. O consumo elétrico também se torna um problema financeiro, uma vez que
quanto mais se utiliza equipamentos, maior será o consumo elétrico, o espaço físico também
deve ser proporcional à quantidade de equipamentos.
Outro problema que a PRODAP enfrenta é a questão de versões de aplicações
diferentes, uma vez que o ambiente de produção em alguns casos é diferente do ambiente de
desenvolvimento, e utilizando-se um ambiente convencional torna-se oneroso administrá-lo.
Outro fator a ser tratado é referente à diversidade de solicitações das secretarias clientes da
PRODAP para instalação de softwares em sua maioria para desenvolvimento de sites, tais
como joomla31 e wordpress32. Com o cenário da PRODAP, era necessário alocar uma
máquina física para cada solicitação de demanda da necessidade de cada secretaria, processo
custoso tratando-se de recursos físicos como processamento, armazenamento, memória,
espaço físico, e ainda gerência dessas ferramentas por parte da equipe de infraestrutura de
31 Disponível em: <http://www.joomla.org> 32 Disponível em: <http://www.wordpress.org>
46
redes de computadores. A Figura 3.1 ilustra a topologia utilizada pela PRODAP para
hospedagem e disponibilização de serviços em seu ambiente convencional tecnológico.
Figura 3.1: Topologia computacional da PRODAP.
Conforme ilustrado na Figura 3.1, a topologia da PRODAP é estruturada na forma de
hospedar seus serviços em máquinas físicas, fazendo assim o uso não racionalizado de
recursos e consequentemente não atendendo às necessidades tecnológicas, seja de
infraestrutura ou softwares de seus clientes que são as secretarias do governo do Estado do
Amapá.
Os dez problemas mais específicos e principais com o ambiente da PRODAP são:
1. Não otimização de recursos (racionalização): Pelo fato de ter em sua maior
parte da infraestrutura uma máquina física trabalhando como servidor para
implementação de um serviço, torna-se oneroso tratar recursos computacionais. Com
isso, o ambiente fica não otimizado, ou seja, não utilizando toda a sua capacidade
adequada ou máxima de desempenho de recursos computacionais.
2. Problemas com versões de aplicações de teste e produção: Em alguns casos,
testes de aplicações são realizados em desktops dos desenvolvedores da equipe de
Gerência de Sistemas, diferentes do ambiente de produção. Isso causa um transtorno
47
para a implementação em produção do software uma vez que podem ocorrer
incompatibilidade de versões de linguagens de programação e/ou problemas pelo fato
dos dois ambientes estarem trabalhando com cenários de versionamento diferentes.
3. Não atendimento às necessidades de requisições de softwares demandados
pelas secretarias: A PRODAP atende cerca de quase cinco mil usuários dentro da
Intranet do Governo do Amapá e atende mais cem secretarias, nesse sentido a demanda
é grande referente às solicitações de ambiente para hospedagem, software para
desenvolvimento de sites, armazenamento e outros. Assim, com o ambiente não
otimizado, acaba-se não atendendo essa demanda de forma satisfatória ou em alguns
casos não se pode até mesmo atender.
4. Demora no processo de implementação de ambiente para produção sob
demanda: Como o processo de implementação da infraestrutura solicitada pelas
secretarias sobre hospedagem, armazenamento ou necessidade de softwares não é
realizado de forma automatizada, isso torna o processo de entrega do serviço
demorado.
5. Gerenciamento não centralizado dos servidores: São diversas as máquinas
físicas distintas, o gerenciamento não é unificado, assim se tem que gerenciar diversas
máquinas, podendo ocorrer o risco de realizar a configuração correta em um servidor e
realizar de forma incorreta em outro.
6. Probabilidade de risco maior em caso de incidentes de segurança física: A
ocorrência de indisponibilidade das máquinas torna-se maior, uma vez que existem
muitas máquinas físicas.
7. Dificuldade de garantir a disponibilidade com redundância dos servidores:
Para realizar a redundância das máquinas, deve-se no mínimo possuir o dobro do
número de máquinas existentes para redundância, assim se torna oneroso implementar
um ambiente dessa forma.
8. Gerenciamento do ambiente mais complexo: Por serem diversas máquinas
físicas, o processo de gerenciamento torna-se mais difícil em caso de reparações
físicas.
9. Maior dificuldade para escalabilidade de recursos computacionais: Pelo
fato da aplicação está alocada em uma máquina física, a mesma está limitada à
quantidade de recursos existentes, assim fica mais difícil escalar recursos
computacionais.
10. Maior dificuldade em deixar o ambiente computacional em conformidade
48
com normas de segurança: Para garantir a conformidade com alguns requisitos de
normas de segurança, deve-se garantir a disponibilidade e infraestrutura de segurança
mínima, como um ambiente não otimizado, a adequação do mesmo se torna mais
difícil.
Conforme reportado, os problemas referentes a não otimização de recursos, ocasiona
um maior consumo destes recursos de forma não otimizada e consequentemente acaba não
atendendo a demanda das solicitações de infraestrutura por parte dos clientes.
Para mostrar a subutilização de recursos computacionais, especificamente
processamento, consumo de memória e armazenamento, este trabalho realizou coleta de dados
sobre os recursos utilizando uma ferramenta de monitoramento de recursos em servidores no
período do mês de novembro de 2012 (especificamente entre os dias 05 a 30 desse mês), essa
coleta foi realizada utilizando o protocolo SNMP (Simple Network Management Protocol),
onde em cada máquina que provia serviços na PRODAP foi instalada um cliente SNMP, que
enviava as informações dos recursos para uma máquina servidora com a ferramenta Cacti33
instalada. A escolha dessa ferramenta foi em decorrência de sua facilidade de instalação e
configuração e porque a mesma já era utilizada pela PRODAP para monitoramento dos
servidores em sua infraestrutura. A ferramenta realiza a coleta dos dados em um intervalo de
30 segundos, soma os resultados para realizar a média de consumo dos recursos em caso da
necessidade de se gerar um relatório.
A coleta considerou apenas o horário comercial de trabalho dentro do governo do
Estado que é das 8h às 19h e ainda considerando apenas os dias comerciais (de segunda à
sexta-feira), uma vez que nesses dias e nesses horários são de maior frequência o uso de
recursos por parte das secretarias clientes da PRODAP.
Para este trabalho, foram realizados os testes de monitoração dos recursos em um
período de um mês, após esse período foi realizada a submissão do relatório na ferramenta
Cacti sobre o consumo dos recursos já supracitados. A Tabela 1 ilustra o resultado do
consumo em recursos referente ao quesito de processamento da infraestrutura do provedor de
serviços da PRODAP.
33 Disponível em: <http://www.cacti.net>
49
ID Servidor Descrição Quantidade de Processadores
% de utilização
1 WEB Servidor que faz a hospedagem dos sites da PRODAP e das demais secretarias do Estado
4 70%
2 Webmail34 Servidor de webmail que atende a todas as secretarias do Estado
4 50%
3 Aplicações WEB PHP Servidor com aplicações Web desenvolvidas em PHP para demandas do Estado
2 75%
4 Aplicações WEB Ruby
Servidor com aplicações Web desenvolvidas em linguagem de programação Ruby35 para demandas do Estado
2 55%
5 Aplicações WEB Java Servidor com aplicações Web desenvolvidas em Java para demandas do Estado
2 72%
6 Aplicação WEB EaD Servidor que hospeda a ferramenta moodle para educação à distância
1 45%
7 Aplicação CONSIG36 Servidor que hospeda o sistema de consignação do Estado
4 55%
8 Aplicação SIOP37 Servidor que hospeda o sistema de boletim de ocorrências de segurança pública do Estado
4 40%
9 Aplicação Impressão Servidor que realiza o processo de impressão de um sistema corporativo
2 60%
10 Aplicação Filtro de e-mail
Servidor que realiza processo de filtragem de AntiSpam e Antivírus para e-mail
2 60%
Capacidade total de quantitativo de processadores 27
58.2% Média de Consumo Total de todos Servidores de Processamento
Tabela 1: Consumo de processamento em servidores físicos da PRODAP.
A média de consumo entre todos os servidores ilustrados na Tabela 1 está abaixo de
60% da capacidade total de processamento, ou seja, servidores subutilizados e não otimizados
para atender a demanda das solicitações por parte das secretarias do Estado. A Tabela 2
apresenta os resultados do consumo de memória RAM por parte dos servidores físicos da
PRODAP.
34 Disponível em: <http://webmail.amapa.gov.br> 35 Disponível em: <http://www.ruby-lang.org> 36 Disponível em: <http://www.consig.ap.gov.br> 37 Disponível em: <http://www.siop.ap.gov.br/siop>
50
ID Servidor Quantidade
RAM % utilização
1 WEB 12 GB 80%
2 Webmail 12 GB 60%
3 Aplicações WEB PHP 24 GB 65%
4 Aplicações WEB Ruby 24 GB 55%
5 Aplicações WEB Java 24 GB 75%
6 Aplicação WEB EaD 8 GB 40%
7 Aplicação CONSIG 12 GB 70%
8 Aplicação SIOP 24 GB 40%
9 Aplicação Impressão 8 GB 65%
10 Aplicação Filtro de email 12 GB 50%
Capacidade total de memória 160 GB 60%
Média de Consumo Total de todos Servidores de RAM
Tabela 2: Consumo de memória RAM em servidores físicos da PRODAP.
O consumo de memória RAM na infraestrutura de servidores não ultrapassou 70% de
sua capacidade total. Isso mostra a má alocação de recursos e não otimização dos mesmos,
fazendo aumentar o consumo energético, pois apesar de não se utilizar a metade da
capacidade, utilizam-se todos os servidores, otimização essa que poderia ser aplicada para
reduzir, por exemplo, para cinco máquinas físicas em vez de dez, pensando no consumo de
recursos. Problema ainda sobre otimização de recursos, ocorre sobre armazenamento de
dados, como ilustra a Tabela 3.
51
ID Servidor Armazenamento % utilização
1 WEB 250 GB 28%
2 Webmail 250 GB 55%
3 Aplicações WEB PHP 500 GB 23%
4 Aplicações WEB Ruby 250 GB 25%
5 Aplicações WEB Java 250 GB 29%
6 Aplicação WEB EaD 500 GB 15%
7 Aplicação CONSIG 300 GB 35%
8 Aplicação SIOP 300 GB 28%
9 Aplicação Impressão 250 GB 18%
10 Aplicação Filtro de email 500 GB 23%
Capacidade total de armazenamento
3.3 TB
27.9% Média de Consumo Armazenamento Total de
todos Servidores
Tabela 3: Consumo de Armazenamento em servidores físicos da PRODAP.
No que tange ao consumo de armazenamento contemplando toda a estrutura, nota-se
que não há um consumo de 30% da sua capacidade total. Mas, como a capacidade de
armazenamento é realizada de forma descentralizada, onde cada servidor possui sua
capacidade de armazenar e gerenciar, caso haja a necessidade de um grande volume de dados
para armazenamento em um único local, não será permitido, pois o armazenamento está
vinculado à capacidade máxima de cada servidor ou nesse cenário os dados teriam que ser
distribuídos em servidores físicos distintos tirando a ideia de centralização de dados.
Outro fator importantíssimo para justificar a adoção da computação em nuvem está
diretamente ligado à técnica de consolidação de servidores com a tecnologia de virtualização
que é a redução de consumo de energia. A consolidação de servidores é uma reestruturação da
infraestrutura de uma organização para fins de redução de custos e melhoria do controle pela
otimização dos requisitos de recursos.
Para medir o consumo de energia no ambiente utilizou-se a potência da fonte das
máquinas apresentadas no cenário problemático de estudo da PRODAP. O cálculo do
consumo foi realizado da seguinte forma: Consumo de energia da fonte = potência da fonte x
número de fontes do total de servidores. Em seguida mediu-se o consumo diário na seguinte
maneira: Consumo diário de energia da fonte = Consumo diário de energia da fonte x número
total de horas no dia / 1.000 (para transformar em uma medida de potência maior de Watt para
52
Kilowatt). E por fim, mediu-se o consumo mensal, onde tem-se: Consumo mensal de energia
da fonte = consumo diário de energia da fonte x 30. As informações do cenário são:
• Potência da fonte – 670 Watt
• Número de fontes – 20 unidades
• Tempo de funcionamento em horas – 24 horas
Os dados acima foram sobre o cenário legado da PRODAP que subsidiaram o cálculo de
consumo de energia, cujo cálculo foi:
• Consumo diário
o 670 x 20 = 13.400 Watt
o 13.400 x 24 = 321.600 Watt/dia
o 321.600 / 1000 = 321,6 Kw/dia
• Consumo mensal
o 321,6 x 30 = 9.648 Kw/mês
Acima se tem os dados que mostram o consumo de energia do cenário legado da
PRODAP antes da implantação da proposta deste trabalho. Essas Métricas são usadas para
ilustrar uma visão quantitativa sobre o consumo de energia. O trabalho de Portella (2010)
apresenta resultados bem satisfatórios, em torno de mais de 50% de redução de energia com o
uso de consolidação de servidores utilizando a virtualização de 20 servidores físicos por 20
servidores virtuais consolidados em 2 servidores físicos. Isso mostra a grande vantagem do
uso da tecnologia, tornando-a de extrema importância para o uso corporativo em empresas
além de fomentar o conceito de TI verde, que preza em reduzir consumos de energia para
redução de emissão de gás e outros elementos. Neste sentido, a virtualização mesmo sendo
uma técnica que ajuda a redução de energia, deve ter-se recursos tecnológicos e humanos para
administrar o ambiente.
3.3 SUMÁRIO DO CAPÍTULO
Este capítulo teve o intuito de descrever a empresa pública de processamento de dados
PRODAP, apresentando suas funcionalidades como provedora de serviços de TI para as
secretarias do Estado do Amapá. O capítulo ainda tratou do modelo computacional utilizado
pela PRODAP para oferta de serviços para as secretarias. Além disso, também apresentou os
problemas encontrados com a infraestrutura atual da PRODAP como fornecedora de serviços
de TI e com um ambiente computacional não otimizado.
53
Os problemas apresentados sobre o ambiente computacional da PRODAP servirão de
subsídios para a proposta de solução de computação em nuvem privada que será descrita no
capítulo a seguir, a qual irá apresentar a proposta para solucionar os problemas encontrados e
ainda mostrar outros benefícios com a adoção do ambiente.
54
CAPÍTULO 4 PROPOSTA DE SOLUÇÃO DE COMPUTAÇÃO EM NUVEM PARA A PRODAP
4.1 VISÃO GERAL DA PROPOSTA
A proposta de solução em nuvem privada da PRODAP contempla a escolha de
tecnologias e ferramental que atendam às necessidades do ambiente e consigam oportunizar a
solução dos problemas relatados no Capítulo 3. Nesse âmbito, a escolha do ferramental foi em
software livre, pois se tratando de uma empresa pública com as particularidades como as da
PRODAP, torna-se uma alternativa quando se necessita de investimento em soluções
licenciadas.
Outro motivador da escolha do ferramental em software livre é a política já adotada
pela empresa, pois em uma relação de custo x benefício torna-se mais viável, além da equipe
técnica da PRODAP possuir especialidade nessa área. Ainda nesse raciocínio, outro agravante
da escolha, é a maturidade de soluções livres existentes no mercado, e o uso por outras
empresas com o mesmo segmento de atuação da organização utilizada como objeto de estudo
desta pesquisa.
O ambiente proposto tem por objetivo criar uma infraestrutura computacional de
nuvem privada para que a PRODAP esteja habilitada a oferecer serviços de IaaS e SaaS em
nuvem para seus clientes, as secretarias governamentais do estado do Amapá. O referido
cenário tem a finalidade de solucionar os problemas já reportados no Capítulo 3.
4.2 FASES DO PROJETO DE SOLUÇÃO EM NUVEM PARA A PRODAP
Qualquer mudança que impacta nas atividades cotidianas de uma empresa, necessita
ser planejada, assim, precisa-se pensar em forma de projeto. Para proposta de qualquer projeto
é importantíssimo que a fase de planejamento seja bem elaborada, pois é nesse momento que
há todo o mapeamento de necessidades, sejam elas técnicas ou estratégicas da empresa em
relação ao projeto.
Projeto é um empreendimento não periódico, caracterizado por uma sequência clara e
lógica de eventos, com início, meio e fim, que se propõe a atingir um objetivo claro e
definido, sendo gerido por pessoas dentro de parâmetros pré-definidos de tempo, custo,
recursos envolvidos e qualidade (VARGAS, 2009).
55
O processo de gerenciamento de projetos é divido em fases que compõem o processo
do ciclo de vida de projeto, a Figura 4.1 ilustra o ciclo.
Fase 1 - Inicialização Fase 2 - Planejamento Fase 3 - Execução
Fase 5 - Enceramento
Fase 4 - Monitoramento
Figura 4.1: Ciclo de vida do projeto (ADAPTADO DE PMBOK, 2008).
O ciclo de vida do projeto é definido em cinco fases, a primeira é a de iniciação que
define a autorização de um novo projeto; a segunda fase é de planejamento a qual se
determina o escopo, objetivos e elaboração do fluxo das atividades do projeto; a terceira é de
execução do que foi planejado; a quarta é o monitoramento, mas essa fase ocorre desde o
início do projeto para acompanhamento, revisão e identificação de mudanças no projeto; e por
fim, a última fase que é de encerramento do projeto que tem por objetivo finalizar todas as
atividades vinculadas ao projeto e realizar seu encerramento formal (PMBOK, 2008). Ainda
sobre o processo de ciclo de vida de projeto, a metodologia para gerenciamento de projetos
Prince238 enfatiza sobre como realizar as atividades no processo. A metodologia Prince2
utiliza-se de sete temas para contemplar como fazer gerência de projetos, diferente do
conjunto de melhores práticas PMBOK que orienta o que é necessário fazer no processo de
gerenciamento de projetos e utiliza-se de nove áreas de conhecimentos (RIBEIRO, 2011).
Para este trabalho, é proposta uma solução de computação em nuvem privada para a
empresa PRODAP contemplando conformidades com normas e melhores práticas de gerência
e segurança da informação. A proposta será fundamentada conforme as fases do ciclo de vida
de projeto. As fases serão: Inicialização da proposta; Planejamento da proposta; Execução da
proposta; Monitoração da proposta e Encerramento da proposta. Em cada fase haverá
38 Disponível em: <http://www.prince-officialsite.com>
56
atividades vinculadas.
4.2.1 Inicialização da proposta
Esta fase tem como objetivo apresentar a justificativa da existência e necessidade de
realizar-se um projeto de computação em nuvem para a PRODAP.
Justifica-se a implantação de uma solução em nuvem para a PRODAP pelos motivos
já citados no Capítulo 3, a qual se refere ao modelo computacional tradicional que a PRODAP
utiliza como provedor de serviços de TI. Nessa fase foram mapeadas algumas atividades
como as quais:
• Identificação de problemas com o ambiente computacional existente da
PRODAP como provedor de serviços de TI: Nessa atividade, foi realizado o
mapeamento de identificação dos problemas ocorridos com o ambiente legado da
infraestrutura de serviços da PRODAP, esses problemas foram descritos na Seção
3.2.
• Objetivar proposta: Foi definido nesta atividade, o objetivo da proposta de nuvem
privada da PRODAP, com o intuito único de solucionar todos os problemas
reportados na identificação de problemas.
• Justificar proposta: Apesar da identificação de problemas e apresentação do
objetivo da proposta, é necessário justificar a proposta, o investimento,
apresentando o retorno e valor agregado para a empresa. Nessa atividade, foram
apresentados motivos do porque implantar a solução de nuvem para a PRODAP,
benefícios agregados, como por exemplo: Melhorar a gerência do ambiente,
garantir redundância dos dados, atender as demandas das secretarias e
consequentemente melhorar o nível de satisfação dos clientes, uma vez sendo
atendidas suas demandas.
• Ter autorização da gestão para prosseguir com a proposta: Após a apresentação
da justificativa e potencial da proposta, foi requisitado o aceite da gestão para que a
implantação fosse realizada.
4.2.2 Planejamento da proposta
Nesta fase, o objetivo é planejar o fluxo de atividades que compõem o processo de
implantação da proposta de computação em nuvem privada, este ainda define o escopo do
projeto, modelo de serviço ofertado na nuvem, redefinição ou refinamento dos objetivos. As
57
atividades vinculadas a esta fase são:
• Definir escopo do projeto: Nesta atividade, foi necessário definir ou delimitar o
escopo do projeto, nesse âmbito o projeto delimita-se ao departamento de serviços
de Intranet e Internet da PRODAP, denominado de Provedor de Internet. A
proposta não envolveu outros departamentos como Banco de Dados e
Infraestrutura de Redes. A delimitação do escopo especificou o departamento
Provedor de Internet, pois é o que hospeda e oferta toda a parte de serviços em
forma de aplicação da PRODAP.
• Definir modelo de serviço ofertado: Dentro do escopo do trabalho, foram
definidos os tipos de modelos de serviços ofertados na nuvem privada da
PRODAP, os serviços foram, IaaS e SaaS, pelo fato de serem a principal demanda
das secretarias clientes.
• Definir recursos tecnológicos necessários: Nesta atividade foi realizado um
levantamento de requisitos de recursos computacionais para atender a proposta,
pensando nas demandas atuais e futuras, por parte das secretarias. Os recursos
computacionais necessários para a proposta foram descritos na Seção 4.6.
• Definir planejamento de estimativa de tempo para execução da proposta:
Nesta atividade foi realizado o planejamento das dez atividades da implantação da
nuvem privada da PRODAP, que são: Instalar e configurar XCP nas máquinas
servidoras (A1); Instalar e configurar FreeNAS como storage (A2); Instalar e
configurar as VMs (Virtual Machines) hospedeiras (A3); Instalar e configurar
softwares nas VMs (A4); Instalar e configurar zabbix server (A5); Instalar e
configurar puppet server (A6); Instalar e configurar os agentes SNMP ou agentes
zabbix (A7); Instalar e configurar agentes puppet nas VMs (A8); Definir SLA dos
serviços e informar aos clientes (A9); Criar documentação do ambiente (A10). A
Tabela 4 apresenta o cronograma de execução das dez atividades (Ax) planejadas
para a execução desta proposta.
58
ATIVIDADES JANEIRO FEVEREIRO
SEMANAS SEMANAS
2 3 4 5 2 3 4
A1 X
A2 X
A3
X
A4 X X
A5
X
A6
X X
A7
X
A8
X
A9
X X
A10
X
Tabela 4: Cronograma de planejamento de execução das atividades de implantação
A Tabela 4 ilustra o período planejado para a implantação da proposta de nuvem
privada para a PRODAP, com suas respectivas atividades, ilustrando em qual
período (semanas) foi realizada, e totalizando dois meses.
• Definir estimativa de riscos para a execução da proposta: Nesta atividade, foi
definido e utilizado o método avaliativo adaptado de Ramos (2006) para realização
de análise e avaliação de riscos no cenário de computação em nuvem privada. A
Figura 4.2 ilustra o método utilizado para realizar a análise e avaliação de risco da
proposta.
Figura 4.2: Método de análise e avaliação de riscos (adaptado de Ramos, 2006).
O método de análise e avaliação de risco, descrito na Figura 4.2, tem como intuito
calcular o risco, que é medido através de três variáveis: Ameaça, vulnerabilidade e
59
impacto. A ameaça é o que pode gerar um incidente para o ativo da informação
(elemento utilizado no processo, por exemplo, banco de dados), a vulnerabilidade é
a ausência de algum mecanismo de proteção ou proteção ineficaz e, por fim, o
impacto é a ação da ameaça sobre a vulnerabilidade. Exemplificando essas três
variáveis, podemos utilizar como exemplo, a ameaça sendo um vírus que explora a
vulnerabilidade de uma máquina que não possui um antivírus o que gerará um
impacto de danificação dos arquivos nessa máquina.
Ainda sobre o método, essa avaliação é subjetiva, onde o profissional ou equipe
que a elabora deverá possuir um conhecimento aprofundado do cenário em
questão, pois serão pontuados níveis como, baixo, médio e alto para ameaça,
vulnerabilidade e impacto, com a finalidade de medir o risco. Para o nível baixo
pontua o valor 1 (um), para o nível médio o valor 2 (dois) e para o nível alto 3
(três). Após pontuar, deverá ser calculado o risco que é a multiplicação das
variáveis, ameaça x vulnerabilidade x impacto. Neste estudo, utilizou-se o método
já descrito anteriormente, para avaliar os problemas reportados na seção 3.2 do
Capítulo 3, é apresentada a Tabela 5.
60
ID Ativo Ameaça Vulnerabilidade Impacto Risco
1 Otimização de
Recursos Computacionais
- Profissionais não se otimizarem
de forma eficaz - Alta demanda de implementação de
serviços (2)
- Não utilização de otimização de recursos - Profissionais terem a
visão de otimização eficiente (2)
MÉDIO (2)
MÉDIO (8)
2 Garantia de
Versionamento de ambientes
- Profissionais não se comunicarem - Equipe de
desenvolvimento utilizar ambiente não
alinhado com a produção (2)
- Indisponibilidade de recursos
para disponibilizar ambiente de
desenvolvimento e produção (2)
ALTO (3)
MÉDIO (12)
3 Atendimento as
necessidades das Secretarias
- Falta de recursos computacionais (2)
- Não utilização de otimização
de recursos (1)
MÉDIO (2)
BAIXO (4)
4
Demora no Processo de
Implementação de ambiente
de Produção
- Falta de recursos computacionais (2)
- Não utilização de otimização
de recursos (2)
MÉDIO (2)
MÉDIO (8)
5 Gerenciamento descentralizado
- Profissionais não realizarem
configurações necessárias em todos
servidores (2)
- Não utilização de ambiente centralizado
- Não utilização de solução centralizada
para configurações (2)
ALTO (3)
MÉDIO (12)
6 Segurança Física - Problemas elétricos
- Queima de equipamentos (1)
- Não utilização de solução
de redundância (2)
ALTO (3)
BAIXO (6)
7 Garantir a
Disponibilidade
- Queima de equipamentos
- Queda de serviços (1)
- Não utilização de solução
de redundância (2)
ALTO (3)
BAIXO (6)
8 Gerenciamento
complexo
- Demanda alta para os
profissionais (2)
- Não utilização de ambiente centralizado
- Não utilização de solução centralizada
para configurações (2)
MÉDIO (2)
MÉDIO (8)
9 Dificuldade para
escalabilidade - Poucas máquinas
físicas (1)
- Não otimização de recursos
computacionais (2)
BAIXO (1)
BAIXO (2)
10
Dificuldade em realizar
conformidade com segurança da informação
- Ambiente complexo - Alta demanda para
os profissionais e falta de tempo para
avaliar o ambiente em
conformidades (2)
- Não utilização de um ambiente otimizado
- Não aderência a metodologias,
melhores práticas e normas
de segurança da informação (2)
MÉDIO (2)
MÉDIO (8)
Tabela 5: Processo de análise e avaliação de risco na PRODAP
61
A Tabela 5 ilustra o processo de análise e avaliação de risco nos elementos
(problemas) descritos no Capitulo 3, nesse processo foram apresentados os riscos
antes da proposta de computação em nuvem privada para a PRODAP. Com isso, a
proposta desse trabalho é mitigar todos os riscos mostrados na referida tabela. A
implementação da proposta deste trabalho será descrita no Capítulo seguinte, a
qual tratará da fase denominada “Tratamento do Risco”, fase essa com a finalidade
de solucionar ou amenizar os problemas reportados na fase de análise e avaliação
de riscos.
• Alinhar proposta com normas, metodologias que se relacionam à computação
em nuvem, gerência e segurança da informação: Foi realizado nesta atividade, o
levantamento de conformidade com normas, melhores práticas e metodologias
referentes à segurança da informação e computação em nuvem. O processo é
avaliar a existência ou não da aderência aos processos de conformidade. Os
resultados da avaliação estão descritos na Seção 5.3.1 do capítulo a seguir.
4.2.3 Execução da proposta
O objetivo desta fase é executar todas as atividades que foram definidas na fase de
planejamento da proposta. As atividades ligadas a esta fase são:
• Implementar ambiente computacional e softwares planejados: Nesta atividade,
será implementado o cenário de computação em nuvem privada para a PRODAP.
• Adequar ambiente legado ao planejado: A finalidade desta atividade foi de
“migrar” os serviços antes ofertados na infraestrutura computacional legada da
PRODAP para o novo ambiente em nuvem privada.
• Adequar novo ambiente em conformidade com metodologias e documentações
que busquem a gerência e segurança das informações para computação em
nuvem: Implementar o cenário de nuvem privada em conformidade com melhores
práticas de segurança como CSA, requisitos de ambiente de nuvem na visão do
NIST e conformidade com processos de segurança com a ISO 27002, é a finalidade
desta fase. A escolha do uso de requisitos do NIST e CSA para a proposta ocorreu
como justificativa de serem conformidades de mercado consolidadas, e como a
proposta do cenário é para uma empresa de mercado, isto engrandece a proposta. A
a escolha do uso da ISO 27002 se deu em consonância desta ISO ser mais técnica.
Os resultados desta atividade serão apresentados no próximo Capitulo desta
62
pesquisa.
4.2.4 Monitoração da proposta
Esta fase é realizada desde o início do projeto, ou seja, trabalha de forma paralela às
demais, pois nela ocorre a monitoração das atividades realizadas e gerência, possíveis
mudanças no fluxo do projeto para adequá-lo a melhor maneira de garantir o que foi proposto
no início do projeto. Nesta fase é feita toda a monitoração de possíveis desvios de atividades
não previstas no planejamento. Caso seja encontrado algum problema que impacte o processo
de implantação da proposta, deve-se replanejar e verificar possíveis mudanças no escopo do
projeto e até mudanças em seu cronograma do projeto.
4.2.5 Encerramento da proposta
E por fim, a última fase do ciclo realiza o encerramento do projeto, esse artefato é feito
com a entrega da documentação final de todo projeto, contemplando tempo, custo, níveis de
qualidade, níveis de segurança supostamente atingidos com a implantação da proposta, cujos
artefatos estão na discussão deste trabalho descritos no capítulo a seguir. Esta documentação
final do projeto pode ter todo este trabalho como exemplo, pois ilustra todo o processo de
implantação e fatores positivos da adoção do cenário proposto a ser implantado.
4.3 TOPOLOGIA COMPUTACIONAL EM NUVEM PROPOSTA PARA A PRODAP
Para que o ambiente computacional da PRODAP trabalhe com um modelo de
computação em nuvem, é necessário realizar mudança em sua topologia computacional de
hospedagem e oferta de serviços, conforme ilustra a Figura 4.3.
63
Figura 4.3: Topologia proposta para nuvem privada para a PRODAP.
A topologia proposta para a PRODAP é criar um ambiente de nuvem privada para
oferta de serviços pela nuvem (i.e. IaaS, SaaS, DaaS designadamente). A topologia
computacional proposta tem um cenário que é segregado em dois ambientes, um de
aplicações e outro de armazenamento, assim o serviço SaaS fica hospedado no ambiente de
aplicações e os serviços de IaaS e DaaS no ambiente de armazenamento na nuvem privada.
Para cada secretaria cliente da PRODAP é disponibilizada uma sub-rede de
endereçamento IP classe A com máscara de sub-rede classe padrão C, e é utilizada outra sub-
rede para a rede interna da PRODAP, assim tornando o ambiente segmentado tanto
fisicamente como logicamente. E ainda é segmentado física e logicamente o ambiente de
oferta de serviços tanto para a rede interna da PRODAP como para as suas secretarias
clientes, esses serviços são disponibilizados tanto na Intranet como na Internet.
Esse cenário foi proposto especificamente pela configuração dos servidores que serão
implementados no ambiente computacional de nuvem. No ambiente de SaaS geralmente
utiliza-se mais recursos computacionais como memória, processamento, já em IaaS e DaaS
utilizam-se além de memória, processamento, processamento alto de leitura e escrita em
disco.
Outro fator importante é o cenário, no ambiente de aplicações as máquinas são mais
64
utilizadas para processar e disponibilizar memória, já as máquinas de armazenamento são para
armazenar as VMs, tornando o ambiente de armazenamento de nuvem um ambiente de
storage, o compartilhamento do ambiente storage para armazenar as VMs utiliza-se da
tecnologia de NFS (Network File System).
Este trabalho trata unicamente os serviços IaaS e SaaS, apesar de relatar sobre o
serviço DaaS não foi realizada coleta de dados sobre esse serviço, ainda pelo fato da demanda
deste tipo de serviço ser pequeno junto ao departamento Provedor de Internet, departamento
utilizado como objeto de estudo. Outro fator é que esse tipo de serviço está muito ligado a
outro departamento, que é o de Banco de Dados, o qual já foi aqui relatado, e que não está no
escopo da proposta, mas enfatiza-se a necessidade de haver integração entre esses
departamentos, um que trata a aplicação e outro trata o banco de dados (armazenamento) em
um processo de implantação de computação em nuvem.
4.4 TECNOLOGIAS UTILIZADAS NA PROPOSTA DE NUVEM PRIVADA PARA
PRODAP
As tecnologias utilizadas na proposta de nuvem privada para a PRODAP são todas de
padrão aberto, e a justificativa da escolha decorre devido aos custos monetários. Caso fosse
escolhida uma solução proprietária, muitos órgãos públicos não dispõem de recursos
financeiros para implementações deste tipo de projeto. As tecnologias escolhidas para o
ambiente de nuvem foram:
• Tecnologia Ethernet: A tecnologia Ethernet cujo padrão é IEEE 802.3 torna
possível a comunicação em redes locais, podendo-se chegar a capacidades de 40
Gbps na troca de informações pelo equipamento switch (KUROSE, 2011).
• NFS: É um sistema de arquivo que compartilha dados pela rede entre
computadores (HUNT, 2004).
• VLAN (Virtual Local Area Network): É uma técnica utilizada para segmentar
redes, a VLAN trabalha na camada 2 do modelo OSI (NAKAMURA, 2007).
• Link aggregation: é uma técnica em redes de computadores usada para o
acoplamento de dois ou mais canais Ethernet em paralelo para produzir um único
canal de maior velocidade e/ou aumentar a disponibilidade e redundância desse
canal (FARREL, 2005).
65
4.5 FERRAMENTAS UTILIZADAS NA PROPOSTA
As ferramentas utilizadas para a criação do ambiente de nuvem privada são todas em
software livre, fomentando assim a redução de custos com licenciamento de softwares
proprietários. A escolha do ferramental em software livre deu-se pelo fato da tecnologia base
para a criação do ambiente de nuvem ser a virtualização, e no mercado duas soluções, são
mais difundidas, a XEN e VMWARE. Assim, comparando as características técnicas e
atentando-se ao escopo da proposta deste trabalho, conforme Lowe (2008) que trata sobre as
características da VMWARE e Mathews (2009) da XEN, notou-se que no quesito de
características e investimentos financeiros, a solução XEN atenderia aos requisitos da
proposta para criar o ambiente de infraestrutura de nuvem. Seguindo a proposta, todos os
outros softwares escolhidos foram em software livre, garantindo assim uma maior
compatibilidade entre as ferramentas.
Este trabalho propõe o uso de ferramentas em software livre que não são particulares
para o uso em um modelo de computação em nuvem. Um modelo computacional tradicional
poderia também utilizar-se de tais ferramentas, entretanto, a proposta é utilizar essas
ferramentas para tornar o ambiente mais racionalizado em um cenário de computação em
nuvem privada.
Grosmann et al. (2011) apresentam resultados comparativos sobre as duas soluções de
virtualização, e os resultados mostram que ambas possuem características de desempenho
parecidas. Com isso, pensando-se a uma solução de custo benefício e para um ambiente
corporativo, a XEN torna-se mais adequada, apesar de existirem outras soluções em software
livre para virtualização, como, Virtualbox39, KVM40 e QEMU41, mas essas não são
ferramentas que possuem características técnicas que abrangem o escopo deste trabalho, como
exemplo, a possibilidade de uso de ferramentas para gerenciar graficamente o ambiente
virtualizado de nuvem. As ferramentas utilizadas nesta proposta são:
• XCP42 (Xen Cloud Plataform): É um projeto de código aberto, que fornece um
conjunto completo de virtualização e computação em nuvem utilizando o
hypervisor Xen. O Xen possui esta versão customizada para computação em
nuvem, assim optou-se o uso desta versão já customizada pelo próprio projeto para
cenário de nuvem;
39 Disponível em: <https://www.virtualbox.org> 40 Disponível em: <http://www.linux-kvm.org> 41 Disponível em: <http://www.qemu.org> 42 Disponível em: <http://www.xen.org/products/cloudxen.html>
66
• Apache43: É um serviço para webserver que utiliza o protocolo de redes HTTP;
• PHP44: Linguagem de programação para aplicações Web;
• GNU/Linux45: Sistema operacional em software livre;
• MySQL46: É um sistema de gerenciamento de banco de dados (SGBD) que utiliza-
se da linguagem SQL como interface para consulta de dados no banco de dados;
• OpenSSH47: Aplicação que utiliza-se do protocolo SSH para acesso remoto em
servidores;
• Tomcat48: Aplicação Web que hospeda conteúdos de sites na linguagem de
programação Java;
• Joomla: CMS para desenvolvimento de sites Web;
• Wordpress: CMS para desenvolvimento de sites Web;
• Moodle49: Ferramenta web para trabalhar com educação à distância;
• QMAIL50: É um serviço de email (MTA – Mail Transfer Agent) em software livre;
• BSDApps: Ferramenta desenvolvida por uma empresa terceira em software livre
para gerenciar o serviço de email;
• Zabbix51: Ferramenta para gerenciamento de redes para monitoração de recursos
computacionais através de agentes remotos ou através do protocolo SNMP;
• Puppet52: Ferramenta para gerenciamento de configuração.
• FreeNAS41: Ferramenta para administrar e gerenciar Storage.
4.6 RECURSOS COMPUTACIONAIS UTILIZADOS NA PROPOSTA
Para validar a proposta deste trabalho, a solução de nuvem privada utilizou-se de 4
(quatro) máquinas servidoras, sendo 2 (duas) utilizadas para o ambiente de aplicações e 2
(duas) para armazenamento das VMs, além da utilização de um equipamento concentrador, o
switch, para interligar os servidores em redes de computadores.
A escolha de quatro máquinas já foi descrita, porém é importante enfatizar que uma
43 Disponível em: < http://www.apache.org> 44 Disponível em: <http://www.php.net> 45 Disponível em: <http://www.gnu.org/gnu/linux-and-gnu.html> 46 Disponível em: <http://www.mysql.com> 47 Disponível em: <http://www.openssh.org> 48 Disponível em: <http://tomcat.apache.org> 49 Disponível em: <http://www.moodle.org> 50 Disponível em: <http:// www.qmail.org/top.html> 51 Disponível em: <http://www.zabbix.com> 52 Disponível em: <https://puppetlas.com> 41 Disponível em: <http://www.freenas.org>
67
proposta de infraestrutura, que esteja em conformidade com melhores práticas de segurança,
deve garantir diversos processos, um deles é a disponibilidade, para garantir que o serviço
continuará sendo ofertado mesmo em caso de uma paralisação no ambiente de produção.
Neste sentido, a proposta objetiva mitigar este processo, além de outros que serão descritos ao
longo do trabalho. Outro fator motivador desta proposta é utilizar tecnologias de padrões
abertos, tecnologias essas já consolidadas no mercado e que já vêm nativas em qualquer
hardware adquirido. Assim, para a proposta desta dissertação torna-se algo mais possível de
validar, pois, caso fossem adotadas outras tecnologias para a infraestrutura como a de fiber
channel53, tecnologia que utiliza fibra óptica como solução de conectividade, tornaria-se
inviável, pelo fator financeiro, uma vez que o custo de aquisição de equipamentos com tais
tecnologias é alto. As configurações dos servidores de aplicação são:
• 4 Processadores: CPU: Intel(R) Xeon(R) CPU – E5320 @ 1.86GHz
• 64 GB de memória RAM
• 300 GB de disco
• 4 Interfaces de Rede GigabitEthernet
As configurações dos servidores de armazenamento são as mesmas dos servidores de
aplicação, mas diferem-se no tamanho do disco e na quantidade de memória, elas são:
• 4 Processadores: CPU: Intel(R) Xeon(R) CPU – E5320 @ 1.86GHz
• 32 GB de memória RAM
• 1 TB de disco
• 4 Interfaces de Rede GigabitEthernet
4.7 SUMÁRIO DO CAPÍTULO
Neste capítulo o objetivo foi descrever a proposta do projeto de implantação de
computação em nuvem privada para a PRODAP, contemplando que tecnologias, ferramentas
e recursos computacionais serão necessários para a implementação do ambiente. Descreveu-se
ainda as fases que se iniciam desde o planejamento da proposta até a de implantação. Ainda,
foi apresentado o método de avaliação a ser utilizado na proposta, para validar a
implementação do cenário, tal avaliação enfatiza o processo de análise e avaliação de riscos e
análise de aderência a conformidades de segurança da informação. Assim, definiu-se todo o
planejamento e como será avaliado no processo de implantação do ambiente de nuvem
53 Disponível em: <http://www.fibrechannel.org>
68
privada da PRODAP que será tratado no capítulo seguinte.
69
CAPÍTULO 5 IMPLEMENTAÇÃO DE SOLUÇÃO DE NUVEM PRIVADA PARA A PRODAP
5.1 DESCRIÇÃO DO CENÁRIO DE NUVEM PRIVADA PARA A PRODAP
O cenário implementado de nuvem privada para a PRODAP é contemplado com
ferramentas livres e tecnologias de padrões abertos, estas já discutidas no Capítulo 4. O
cenário é provido com a ferramenta XCP, que se utiliza da virtualização e outras tecnologias
como DMC (Dynamic Memory Control). Esta tecnologia é um fator importante para o
processo de oferta de serviços na nuvem, fazendo-se assim o cliente ter a visão de recursos
altamente escaláveis (VERAS, 2012).
Para criar toda a infraestrutura de nuvem privada, esta proverá a oferta de
infraestruturas virtualizadas e softwares, os quais são os mais requisitados pelos clientes da
PRODAP.
A garantia de monitoração da disponibilidade dos serviços da nuvem utiliza a
ferramenta Zabbix para gerenciar recursos do ambiente como: processamento, capacidade de
disco, disponibilidade dos serviços, memória, tráfego de rede, número de conexões nas
aplicações providas. Essa ferramenta utiliza o protocolo SNMP e agentes próprios para
monitorar e gerenciar os recursos, garantindo assim uma gerência por parte da PRODAP e
pelos clientes em monitorar o status de SLA dos serviços ofertados na nuvem privada.
Para gerenciar a parte de armazenamento na nuvem é utilizada a ferramenta FreeNAS,
que é desenvolvida na plataforma do sistema operacional FreeBSD54 e utilizada para
administrar e gerenciar storages.
Na automatização do processo de gerência de configuração do ambiente de nuvem é
utilizada a ferramenta puppet, que automatiza o processo de configuração das VMs, e é
através dela que se pode trabalhar provisionamento, automatização, gerência de mudanças,
manipulação de configurações, além disto, e consequentemente foi possível iniciar também
um processo de documentação dos ambientes envolvidos, além do planejamento de
mudanças.
5.2 DESCRIÇÃO DO CENÁRIO IMPLANTADO
O ambiente do cenário implementado é ilustrado na Figura 4.3, este cenário apresenta
54 Disponível em: <http://www.freebsd.org>
70
a topologia da nuvem privada da PRODAP que terá como foco principal atender às
necessidades computacionais das secretarias do Governo do Estado do Amapá.
A atividade inicial no processo de implementação foi o da apresentação de justificativa
técnica e organizacional para a alta gestão da PRODAP, apresentando que benefício à nuvem
privada traria para a TI do Estado do Amapá, comparado com a infraestrutura antes existente
e problemática. Em seguida, iniciou-se o processo de levantamento de dados das necessidades
de infraestrutura e softwares que atenderia à demanda dos clientes da PRODAP (as
secretarias), após essa fase projetou-se o ambiente tecnológico necessário para criar a nuvem,
nesse caso adotou-se a escolha de ferramental em software livre por motivos já expostos no
trabalho. A Figura 5.1 ilustra o fluxo de atividades utilizadas no processo de criação da nuvem
privada da PRODAP.
Figura 5.1: Processo de implantação da nuvem privada da PRODAP.
As etapas realizadas para a implantação da nuvem privada da PRODAP são
contempladas com diversas atividades, estas estão descritas a seguir:
1. Instalar e configurar XCP nas máquinas servidoras: Esta atividade definiu a
instalação e configuração do ambiente de virtualização utilizando o sistema em
software livre XCP. Esse ambiente foi a base de infraestrutura do ambiente de
computação em nuvem privada da PRODAP. A atividade foi realizada em duas
máquinas, pois uma será a produção e a outra a backup, caso haja uma paralisação
da máquina de produção a máquina backup assume a produção do ambiente. Com
71
esta etapa foi definida uma rotina de backup do ambiente no período da noite de
forma diária, pois este momento é o menos oneroso para a produtividade da
empresa. A Figura 5.2 ilustra o ambiente de administração do ambiente de
virtualização.
Figura 5.2: Ferramenta de administração das VMs na nuvem privada da PRODAP.
Na Figura 5.2 é mostrado o ambiente de virtualização para gerenciar as máquinas
virtuais criadas no XCP, essa interface de administração é conhecida como xencenter.
Nesse ambiente é possível administrar todas as máquinas virtuais e ainda monitorar o
consumo de recurso de cada uma.
2. Instalar e configurar FreeNAS como storage: Nesta atividade foi instalado e
configurado o sistema aberto FreeNAS para se criar o storage em NFS para
armazenar as VMs que serão criadas no XCP.
3. Instalar e configurar as VMs hospedeiras: Foi realizada nesta atividade a criação
das máquinas virtuais no ambiente de nuvem do XCP e hospedadas por NFS no
storage do FreeNAS.
4. Instalar e configurar softwares nas VMs: Nesta etapa realizou-se a instalação de
diversos sistemas operacionais, dentre eles: Debian GNU/Linux 7.0, FreeBSD 9.1,
Windows 2008 Server (legado do PRODAP). Após a instalação dos sistemas
citados, foram realizadas a instalação e configuração de softwares utilizados ou
demandados dos clientes da PRODAP, os mais utilizados são: joomla, wordpress,
tomcat, LAMP, ruby on rails. Esses softwares foram criados para ofertar a nuvem
72
como SaaS para os clientes da PRODAP. Neste sentido, outras demandas mais
específicas ocorrem caracterizando-se como demanda de ambientes de IaaS, neste
caso a necessidade é de infraestrutura e não de software, como exemplo é a
necessidade de uma secretaria solicitar a disponibilização de uma máquina virtual
com uma capacidade específica de processamento, memória e disco para sua
necessidade.
5. Instalar e configurar zabbix server: Foi criada nesta atividade uma VM para
instalar e configurar a aplicação em software livre de gerenciamento de redes
zabbix. Nesta etapa realizou-se toda a configuração dos recursos que deveriam ser
gerenciados nas máquinas virtuais hospedeiras que estavam na estrutura da nuvem.
Ainda foi realizada a configuração de níveis de SLA conforme o acordado com os
clientes e a PRODAP. E por fim, foram criados usuários de acesso à ferramenta
Web para monitorarem e gerenciarem seus recursos e SLA dentro da nuvem da
PRODAP.
6. Instalar e configurar puppet server: Nesta atividade foi criada uma máquina
virtual para instalar e configurar a ferramenta puppet server, ferramenta esta para
realizar procedimentos de configurações das máquinas hospedeiras na nuvem. Esta
atividade tornou-se necessária em razão do grande número de VMs criadas no
ambiente, o que tornaria totalmente oneroso o processo de configuração como uma
atualização de sistema operacional realizado máquina por máquina. Utilizando a
ferramenta puppet foi possível realizar um processo de configuração e atualização
mais automatizada. A Figura 5.3 ilustra um exemplo de funcionalidade utilizado no
ambiente de nuvem do puppet server nas VMs com puppet clientes.
Figura 5.3: Exemplo de parâmetros de configuração no puppet server.
Nesta imagem é ilustrado um exemplo de configuração do puppet server, definindo
parâmetros de configuração que serão configurados em todas VMs que possuem o
73
agente zabbix instalado. A Figura 5.3 apresenta o que deverá ser configurado nos
clientes de forma recursiva, ou seja, as configurações que estão disponíveis dentro
do diretório /root/zabbix-agent/conf.d armazenado no servidor puppet e
redirecionado para o diretório dos clientes em /etc/zabbix/conf.d.
7. Instalar e configurar os agentes SNMP ou agentes zabbix: Nesta atividade foi
realizada a instalação do cliente zabbix nas máquinas virtuais que utilizam o
sistema operacional GNU/Linux e Windows e nas que utilizam o FreeBSD foi
instalado o cliente SNMP. Isso permite o monitoramento dos recursos das VMs
hospedeiras pelo servidor zabbix server.
8. Instalar e configurar agentes puppet nas VMs: Foram realizadas nesta atividade
a instalação e configuração dos agentes da ferramenta puppet para que as
mudanças ou configurações definidas no servidor puppet server tenham efeito nas
máquinas hospedeiras dentro da nuvem.
9. Definir SLA dos serviços e informar aos clientes: Foram definidos nesta
atividade os SLAs dos serviços ofertadas e hospedados na nuvem da PRODAP, que
disponibilizam para os seus clientes, as secretarias do Estado do Amapá. O SLA foi
definido conforme a estrutura existente da PRODAP, e posteriormente foi realizada
a comunicação desses SLAs e informado como os clientes (geralmente chefes de
informáticas das secretarias) poderiam monitorar; esse monitoramento era
realizado por credenciais de acesso da ferramenta zabbix.
10. Criar documentação do ambiente: Nesta atividade foi realizada toda
documentação de novos procedimentos do trabalho de administração da nova
estrutura em nuvem privada da PRODAP ofertada para as secretarias.
5.3 RESULTADOS OBTIDOS COM A IMPLANTAÇÃO DO CENÁRIO DE NUVEM
PRIVADA PARA PRODAP
A implantação de nuvem privada da PRODAP agregou diversas vantagens, tanto para
a equipe técnica que administra o ambiente como para os clientes que utilizam os serviços da
nuvem. Dentre alguns valores que a infraestrutura de nuvem trouxe para a PRODAP foram:
1. Diminuição de tempo em atendimentos: Com a nova estrutura de nuvem, a
disponibilização de um ambiente IaaS ou SaaS é rápido e simples. Antes, uma
demanda de montar uma estrutura com LAMP para um cliente demorava em torno
de 2 dias. Com o ambiente em nuvem, essa demanda é realizada em apenas 30
minutos (tempo máximo para instanciar uma nova VM disponibilizada como IaaS
74
ou SaaS).
2. Melhor administração do ambiente por parte da equipe técnica da PRODAP:
No novo ambiente de nuvem, a administração do ambiente se tornou mais simples,
já que todo ambiente está integrado e centralizado, possibilitando a equipe técnica
da PRODAP realizar um monitoramento e administração de forma mais eficaz e
em menos tempo.
3. Padronização da infraestrutura: Com a implantação do ambiente de nuvem,
todos os dados estão centralizados, assim estão dentro de um padrão da
infraestrutura da nuvem que se utiliza da virtualização.
4. Atendimento às demandas dos clientes da PRODAP: A nova estrutura da
PRODAP agora consegue atender às necessidades e demandas das secretarias, pois
possui infraestrutura para ofertar os serviços, e como há a otimização de recursos
com a técnica de virtualização, ficou mais fácil gerenciar os recursos
computacionais do cenário de provedor de serviços da PRODAP. Diferentemente
de como ocorria anteriormente, que era necessário implementar toda estrutura
física, agora tudo ocorre de forma virtual, processo esse que é transparente para os
clientes.
5. Melhor gerenciamento de recursos do ambiente: Com a nuvem privada
utilizando a virtualização, os recursos computacionais agora são gerenciados e
remanejados conforme a demanda e necessidade da PRODAP e seus clientes.
Como apresentado na Seção 3.2, o cenário utilizado no estudo utilizava-se de 10
máquinas físicas, o qual tinha o consumo total dos recursos: 27 processadores; 160
GB (Giga Bytes) de RAM e 3.3 TB (Tera Bytes) de armazenamento. Com a adoção
da proposta, permitiu-se ofertar os mesmos serviços disponibilizados anteriormente
com menos recursos como apresentado na Seção 4.6, que apresenta os recursos
computacionais utilizados na proposta deste trabalho e ainda permitiu-se instanciar
mais máquinas com a capacidade proposta.
6. Redução de consumo de energia com servidores: Na utilização da virtualização
houve uma redução no número de máquinas físicas, assim ocasionando uma
redução no consumo de energia do parque computacional. Houve redução do
consumo de energia com a adoção da proposta. As informações de consumo da
proposta são: Potência da fonte – 850 Watt; Número de fontes – 16 quantidades; e
Tempo de funcionamento em horas – 24 horas. Os consumos foram:
• Consumo diário
75
o 750 x 16 = 12.000
o 12.000 x 24 = 288.000 W/dia
o 288.000 / 1000 = 288 Kw/dia
• Consumo mensal
o 288 x 30 = 8.640 Kw/mês
O resultado de consumo de energia acima ilustra uma redução de consumo de
energia do cenário da PRODAP antes da proposta, o qual foi calculado e
apresentado na Seção 3.2. Outro fator vantajoso é que o cenário implantado agora
nas máquinas servidoras possui 4 fontes de alimentação aumentando assim a
redundância dos equipamentos, diferentemente do cenário legado que utilizava-se
de apenas 1 ou 2 fontes de alimentação de energia.
7. Redução de custos com equipamentos: Antes da implantação do cenário de
computação em nuvem com a virtualização, existia um ambiente com mais de 20
máquinas físicas e nem todas com redundância de dados. Atualmente, o cenário
virtualizou praticamente 80% das máquinas físicas, e encontra-se com 4 (quatro)
máquinas específicas para a virtualização, assim virtualizando mais de 30
máquinas virtuais. A Tabela 6 apresenta alguns parâmetros de redução de custos
com a implantação do ambiente de nuvem privada com virtualização.
Cenário Custo com garantia
de equipamentos Custos com a aquisição
de equipamentos Custo total da solução
Legado R$ 65.000,00 R$ 320.000,00 R$ 385.000,00
UnsderCloud55 Aluguel mensal R$ 3.000,00
Amazon Cloud (EC2)56
Aluguel mensal R$ 4.320,00
Nuvem Privada Proposta
R$ 16.000,00 R$ 190.000,00 R$ 206.000,00
Tabela 6: Comparação de custos para os cenários da PRODAP.
O custo somado de aquisição das 20 (vinte) máquinas utilizadas na infraestrutura
legada da PRODAP era em torno de R$ 320.000,00 (trezentos e vinte mil reais).
Para a aquisição da solução proposta neste trabalho foram investidos R$
190.000,00 (cento e noventa mil reais), ou seja, o valor do investimento da
proposta corresponde a 60,8% do custo anteriormente utilizado na estrutura legada.
Outro fator que se constitui na redução de custos foi com contrato de garantia de
55 Disponível em: <http://www.under.com.br/cloud> 56 Disponível em: < http://aws.amazon.com/pt/ec2/pricing>
76
manutenção, antes se pagava um custo anual de R$ 65.000,00 (sessenta e cinco mil
reais), atualmente esse custo diminui para R$ 16.000,00 (dezesseis mil reais). A
tabela acima também apresenta o investimento de adoção de dois provedores de
computação em nuvem pública, esse valor mensurado foi pensando-se apenas para
suportar o cenário legado da PRODAP. Se precisasse de mais máquina, o valor
seria aumentado consequentemente. Assim, se pode mensurar valores para a
adoção da PRODAP do provedor UnderCloud para hospedar a estrutura de suas 10
máquinas físicas, em um ano teria o investimento R$ 36.000,00 (trinta e seis mil
reais), caso se utilizasse o provedor Amazon o investimento seria R$ 51.840,00
(cinquenta e um mil, oitocentos e quarenta reais). Aparentemente um valor não tão
significativo, mas com o crescimento do cenário esse valor poderia se tornar algo
não atrativo. Pode-se, por exemplo, mensurar o valor para 30 máquinas
(quantitativo este de máquinas instanciadas na proposta deste trabalho), o valor
subiria para um investimento anual no provedor UnderCloud para R$ 108.000,00
(cento e oito mil reais) e no Amazon para R$ 155.520,00 (cento e cinquenta e
cinco mil, quinhentos e vinte mil reais).
8. Padronização de utilização de email como SaaS: Com a nova estrutura de
nuvem privada, foi hospedado e ofertado como SaaS na nuvem da PRODAP o
serviço de email corporativo, no qual qualquer secretaria pode solicitar, e ter a
administração e gerência de suas contas de email, aplicando suas políticas de uso,
de forma customizada conforme suas necessidades. O serviço utilizado é o QMAIL
como MTA, integrado com outras aplicações de código aberto, com
funcionalidades como: para antivírus, antispam e uma interface de gerência web
denominada “BSDAPPS”, essa interface não foi desenvolvida pela PRODAP e foi
terceirizada por uma empresa externa, a FreeBSD Brasil – Ltda57. A Figura 5.4
ilustra a interface de gerência da solução em SaaS de email corporativo.
57 Disponível em: <http://www.freebsdbrasil.com.br
77
Figura 5.4: Interface de gerência de email na solução de SaaS da PRODAP e de uso do Governo.
9. Otimização de recursos computacionais: Na nova infraestrutura de nuvem, o
ambiente virtualizado usa apenas 60% de sua capacidade total de recursos
computacionais, em seus horários de maior consumo requisitado pelas secretarias.
Assim, pode-se afirmar que o cenário é escalável e possui capacidade para atender
futuras demandas.
10. Melhor credibilidade no serviço: Nesta nova estrutura, o número de requisições
de pedidos de novos serviços solicitados pelas secretarias aumentou, uma vez, que
com a solução de nuvem, o cenário agora comporta a demanda e necessidade das
secretarias, tornando-se um ambiente com maior credibilidade para hospedagem de
serviços, onde o cenário tratou os quesitos de demanda e segurança da informação.
5.3.1 Resolução dos problemas da PRODAP
Após a implantação do cenário proposto neste estudo, foram solucionados ou
minimizados todos os problemas com o modelo de oferta de serviços de TI da PRODAP
descritos na Seção 3.2. A Tabela 7 apresenta a solução adotada e implantada para solução de
cada problema.
78
ID Problema Solução
1 Não otimização de recursos - A adoção da virtualização com a ferramenta XCP,
possibilitou um melhor dimensionamento de recursos computacionais na infraestrutura.
2 Problemas com versões de aplicações
de teste e produção
- Com a criação de ambientes virtuais com a virtualização utilizando-se a XCP, garantem-se ambientes
de desenvolvimento, teste e produção com a mesma configuração.
- Com a adoção da ferramenta de automatização de configuração puppet server, agora é possível de uma
forma muito mais automatizada realizar configurações em várias máquinas ao mesmo tempo, garantindo assim a
integridade dos dados.
3 Não atendimento de necessidades de
requisições de softwares demandados das secretarias
- Com o ambiente otimizado e utilizando o ambiente de nuvem, pode-se disponibilizar Infraestrutura ou Software
como serviço conforme a necessidade das secretarias.
4 Demora no processo de implementação de
ambiente para produção sob demanda
- Com o ambiente de nuvem implantada utilizando como base a virtualização, o processo de criação de uma VM é
relativamente rápido e simples.
5 Gerenciamento não centralizado dos
servidores
- Com o ambiente todo em nuvem virtualizado, hoje se pode gerenciar de forma mais eficaz, uma vez que todas
as VMs estão centralizadas em uma máquina física.
6 Probabilidade de risco maior em caso
de incidentes de segurança física
- Com a adoção de redundância de servidores física e logicamente, em caso de paralisação de um servidor
físico a outra máquina backup assume todos os serviços.
7 Dificuldade de garantir a disponibilidade
com redundância dos servidores
- Com a adoção de nuvem e centralização dos serviços em VMs, agora é muito mais simples garantir a
redundância dos servidores, já que o número de máquinas físicas é bem menor que antes.
8 Gerenciamento do ambiente mais
complexo
- Com o ambiente centralizado, torna-se menos oneroso o processo de administração do ambiente, outro fator que
agregou para a administração do novo ambiente (nuvem), foi a implantação da ferramenta zabbix para gerenciar
todos os recursos computacionais da nuvem.
9 Maior dificuldade para escalabilidade
de recursos computacionais
- Com a otimização dos recursos computacionais, agora se pode projetar e planejar o crescimento do ambiente de
forma mais precisa.
10 Maior dificuldade em deixar o ambiente computacional em conformidade com
normas de segurança
- Para o processo de implantação de nuvem privada para a Prodap foram usadas como referência, melhores
práticas e normas que regem a segurança da informação, como, NIST, CSA, ISO 27002. Conformidades essas no
ambiente legado não utilizadas.
Tabela 7: Solução adotada para solucionar problemas da PRODAP.
A Tabela 7 apresentou as soluções adotadas na implantação da proposta de
computação em nuvem privada para a PRODAP, proposta com a finalidade de solucionar os
problemas reportados no Capítulo 3.
5.3.2 Conformidades com segurança da informação e computação em nuvem
79
O cenário implantado de nuvem privada da PRODAP, além de garantir alguns
benefícios já citados neste trabalho, está em conformidade com as melhores práticas de
mercado. As Tabelas 8, 9 e 10 ilustram os processos das documentações regulatórias, como,
características essenciais das melhores práticas do NIST (2011), melhores práticas da CSA
(2011) e ISO_2 (2005), que a PRODAP tem conformidade respectivamente.
ID Características essenciais Evidência implantada na organização Evidência na organização
antes da implantação
1 Amplo Acesso à Rede - Os serviços são disponibilizados através da
Intranet e pela Internet da PRODAP. SIM
2 Rápida Elasticidade
- Uma vez feito o pedido formalizado de aumento de recursos computacionais na nuvem, rapidamente é liberado e não são definidos limites de recursos,
assim, causa a impressão de “ilimitados”.
NÃO
3 Serviços Mensuráveis
- Com a adoção da ferramenta de gerenciamento de recursos zabbix, as secretarias conseguem
monitorar o consumo de seus recursos disponibilizados na nuvem.
NÃO
4 Auto-Serviço sob demanda
- Caso haja demanda de mais recursos computacionais, basta a secretaria formalizar o pedido através de email ou ofício para que seja
atendida.
NÃO
5 Pool de Recursos - Com a implantação do cenário de nuvem privada, as necessidades das secretarias agora são atendidas
conforme a demanda delas. NÃO
Tabela 8: Características essenciais do NIST implantadas em nuvem da PRODAP.
A Tabela 8 ilustrou as conformidades das características essenciais do NIST aderidas
no processo de implantação de nuvem privada na PRODAP, e ainda apresentou que
características a PRODAP tinha ou não antes da implantação.
80
Seção do CSA v3.0
Atividade do CSA v3.0
Evidência implantada na organização
Evidência na organização antes
da implantação
Seção I Arquitetura de
Nuvem. - Implantação do cenário centralizado utilizando a
virtualização e hospedando SaaS na nuvem privada NÃO
Seção II
Gerenciamento de Auditoria e
Conformidade.
- Com a implantação da nuvem privada e hospedagem dos serviços, foram criados os SLAs e criado um documento
que define as responsabilidades do provedor e dos clientes.
- Em caso de descoberta por parte do provedor em algum serviço hospedado, como exemplo email, esteja fora das
políticas definidas, o provedor poderá auditar as contas de email das secretarias.
NÃO
Segurança dos Dados e
Gerenciamento da Informação
- Com a centralização dos dados na nuvem privada da PRODAP, todos os acessos são monitorados por
elementos de segurança de redes de computadores, como: Firewall, IDS (Intrusion Detection System), proxy.
PARCIAL
Interoperabilidade e Portabilidade
- Com a centralização dos dados na nuvem, permitiu-se a integração de vários ambientes, atualmente podem-se integrar diversos sistemas em diversas plataformas.
PARCIAL
Seção III
Segurança Tradicional,
Continuidade de Negócios e
Recuperação de Desastres.
- Com a centralização dos dados na nuvem, permitiu-se de forma mais simples implantar mecanismos de segurança computacional, ainda foi possível garantir a contingência dos dados com a redundância do ambiente. Esse ambiente contingenciado poderia ser reaplicado para um ambiente
hospedado em outra localização física.
NÃO
Respostas a Incidentes.
- Com a implantação do software zabbix foi possível gerenciar qualquer evento que esteja em operação nas
VMs, nesse sentido a equipe técnica da PRODAP pode identificar de forma mais assertiva um incidente antes de
ocorrer um problema.
PARCIAL
Virtualização.
- Toda a criação da infraestrutura da nuvem privada da PRODAP foi realizada com a técnica de virtualização dos
servidores que consequentemente hospedaram os softwares com um serviço.
NÃO
Tabela 9: Atividades do CSAv3.0 implantadas na nuvem da PRODAP.
A Tabela 9, apresentou os grupos de seções de atividades do CSAv3.0 que a PRODAP
está em conformidade em seu cenário computacional. Essas atividades, antes da implantação
da nuvem privada, não eram contempladas em sua maior parte no ambiente computacional.
81
Seção da ISO/IEC
27002
Categoria da ISO/IEC 27002
Evidência implantada na organização
Evidência na organização
antes da implantação
Seção III - Gestão de Ativos
3.1 Responsabilidades pelos ativos
- Na solicitação dos serviços são informadas as responsabilidades das partes (provedor e clientes). - Com o novo ambiente de nuvem e as ferramentas
implantadas permitiu-se realizar inventário dos ativos hospedados.
NÃO
Seção VI - Gerenciamento das Operações e Comunicações
6.1 Procedimentos e responsabilidades
operacionais
- Com o novo ambiente criado desde a fase inicial foram criados procedimentos operacionais para
entendimento e definição de responsabilidades para a equipe.
NÃO
6.3 Planejamento e aceitação dos sistemas
- Planejar a capacidade de sistemas antes da hospedagem.
- Definir critérios para atualização de softwares hospedados na nuvem.
PARCIAL
6.5 Cópias de segurança
- Com a virtualização na nuvem, a realização de cópias de segurança das VMs se tornou algo mais
flexível. NÃO
6.6 Gerenciamentos da segurança em redes
- Gerenciar a rede com elementos de segurança como: Firewall, IDS, proxy e outros.
SIM
6.9 Comércio eletrônico
- Definir uma ferramenta padrão de uso e gerência de email dentro da estrutura governamental hospedada na
nuvem. PARCIAL
6.10 Monitoramento - Monitorar os acessos dos usuários.
- Registrar logs de eventos, seja de acessos, de falhas, de desempenho.
PARCIAL
Seção VII - Controle de
acesso
7.2 Registro de usuário
- Registrar por meio de autenticação o acesso dos usuários.
PARCIAL
7.3 Responsabilidades dos usuários
- Cada usuário que se utiliza dos serviços hospedados na nuvem, tem responsabilidades.
NÃO
7.4 Controles de acesso à rede
- O acesso à rede dos serviços hospedados na nuvem é controlado por meio de autenticação.
PARCIAL
Seção VIII - Aquisição,
desenvolvimento e manutenção de sistemas de informação.
8.5 Segurança em processo de desenvolvimento e de suporte
- O ambiente de nuvem prover diversos ambientes e eles são segregados, ambiente como:
desenvolvimento, teste/homologação e produção. NÃO
8.6 Gestão de vulnerabilidades técnicas
- Nos serviços hospedados na nuvem são realizados testes de vulnerabilidades de redes e aplicações com a
finalidade de detecção e correção posteriormente. NÃO
Seção IX - Gestão de
incidentes de segurança da informação
9.1 Notificação de fragilidade e eventos de segurança da informação
- No ambiente, se houver a detecção de fragilidades de segurança, os clientes são informados por email ou por
telefone sobre o cenário.
NÃO
Seção X - Gestão de continuidade
de negócio
10.1 Aspectos da gestão de continuidade do negócio, relativos à segurança da informação.
- Com o novo cenário implantado de nuvem privada, foi possível pensar-se em projeto de plano de
continuidade de negócio, mas no momento encontra-se implantado apenas o plano de contingência de dados que é uma atividade do plano de negócio.
NÃO
Seção XI - Conformidade
11.2 Conformidade com normas e políticas de segurança da informação e conformidade técnica
- O novo ambiente está em conformidade com políticas internas da PRODAP e com melhores práticas de segurança e computação em nuvem.
NÃO
Tabela 10: Atividades da ISO/IEC 27002 implantadas na nuvem da PRODAP.
82
A Tabela 10 apresentou as atividades da norma ISO/IEC 27002, que a PRODAP está
em conformidade após a implantação da nuvem privada em seu cenário computacional. Esta
conformidade traz um diferencial para a PRODAP, pois mostra a preocupação da organização
em adequar seus processos operacionais de TI com melhores práticas e normas internacionais
que relacionam computação em nuvem e segurança da informação. Isso acaba sendo um fator
determinante para reter os clientes da PRODAP na utilização dos serviços disponibilizados
por ela, diferentemente do cenário legado, onde muitas secretarias investiam em criar suas
próprias infraestruturas de TI, mesmo sem recursos necessários para uma implantação ideal as
suas necessidades. Na mesma tabela, foi apresentada também a aderência ou não da PRODAP
nos processos implantados na proposta, neste caso, boa parte dos processos não eram aderidos
pela organização, trazendo assim preocupações referentes à administração e segurança do
cenário.
5.3.3 Tratamento dos riscos mapeados no ambiente convencional da PRODAP
Como apresentado na Tabela 5, que ilustrou o processo de análise e avaliação de risco
referente ao cenário antes da implantação da proposta de nuvem para a PRODAP, esses dados
tabulados nortearam a realização da fase de tratamento de risco, a qual é ilustrada na Tabela
11.
83
ID Ativo
Risco Antes do
Tratamento de risco
Solução de Tratamento de Risco
Risco Após o
Tratamento de risco
1 Otimização de Recursos Computacionais
MÉDIO (8)
- Adoção de técnica de virtualização utilizando a ferramenta XCP para criar a infraestrutura de nuvem privada para otimização de recursos computacionais ofertados para as secretarias.
BAIXO (4)
2 Garantia de Versionamento de ambientes
MÉDIO (12)
- Criação de ambiente de teste e desenvolvimento em ambiente virtualizado no XCP igual ao ambiente de produção. - Utilização da ferramenta puppet server para gerenciar as configurações das máquinas virtuais.
BAIXO (6)
3 Atendimento às necessidades das Secretarias
BAIXO (4) - Utilização da virtualização na nuvem privada para otimizar recursos computacionais e atender as demandas das secretarias.
BAIXO (2)
4
Demora no Processo de
Implementação de ambiente
de Produção
MÉDIO (8) - Utilização da virtualização na nuvem privada para otimizar recursos computacionais e atender às demandas das secretarias.
BAIXO (2)
5 Gerenciamento descentralizado
MÉDIO (12) - Utilização da nuvem privada para centralizar todos os serviços nas VMs apenas nas máquinas físicas que foram utilizadas na proposta.
BAIXO (6)
6 Segurança Física BAIXO (6)
- Adoção de duas máquinas físicas para a solução de nuvem para oferta de serviços, sendo uma de produção e a outra de backup, em caso de queda ou queima da máquina principal a máquina backup assume o controle.
BAIXO (3)
7 Garantir a
Disponibilidade BAIXO (6)
- Utilização de solução de redundância e replicação de dados da máquina de produção para a máquina Backup, essa replicação é configurada de forma automatizada nas ferramentas XCP e FreeNAS, onde a replicação é feita duas vezes no dia. Sendo uma no intervalo do almoço (12h às 14h) e a outra às 19h.
BAIXO (3)
8 Gerenciamento
complexo MÉDIO (8)
- Centralização dos dados na nuvem com a ferramenta XCP e a adoção da ferramenta puppet server para garantir a integridade das configurações em todas as VMs.
BAIXO (3)
9 Dificuldade para
escalabilidade BAIXO (2)
- Utilização da virtualização na nuvem privada para otimizar recursos computacionais e atender as demandas das secretarias.
BAIXO (1)
10
Dificuldade em realizar
conformidade com segurança da informação
MÉDIO (8)
- A implantação do cenário de nuvem privada da PRODAP foi planejada a utilizar em conformidade com melhores práticas e normas de segurança da informação como NIST, CSA e ISO 27002.
BAIXO (2)
Tabela 11: Tratamento do risco na PRODAP.
A Tabela 11 apresentou as soluções adotadas para tratar os riscos identificados no
84
cenário da PRODAP antes da implantação da proposta deste trabalho. Estas soluções trataram
especificamente as vulnerabilidades identificadas anteriormente mostradas na Tabela 5, e
posteriormente foi recalculado o risco do ambiente após a implantação da nuvem, se comparar
o risco antes e após a implantação da proposta, percebemos uma redução substancial dos
riscos no cenário, isso, torna-se extremamente estratégico para uma empresa pública como a
PRODAP, que lida com dados governamentais de diversas outras secretarias do governo do
Estado do Amapá.
5.4 DISCUSSÃO DOS RESULTADOS
Os resultados deste trabalho apresentam diversas vantagens agregadas para a empresa
PRODAP e as secretarias atendidas por ela, tais como: otimização de recursos, atendimento
de necessidades conforme as demandas das secretarias, permitir as secretarias gerenciarem
seus próprios recursos disponíveis na nuvem, garantir maior segurança da informação no
ambiente, aumento de credibilidade da PRODAP. Estes resultados obtidos na proposta deste
trabalho expõem vantagens previstas com a adoção de cenários de computação em nuvem que
utilizem a técnica de virtualização como infraestrutura base para criar o ambiente de oferta de
serviços. Jackson (2011) apresenta de forma explícita algumas das vantagens apresentadas
neste trabalho, como por exemplo, a redução de consumo de energia, mitigação de risco com
segurança da informação, inovação tecnológica com a adoção de nuvem.
A solução apresentada ilustra valor agregado para a PRODAP no modelo de oferta de
serviços de TI para os clientes, uma vez que o novo cenário, agora escalável pode atender a
demanda das necessidades de serviços de TI. Neste cenário de nuvem privada aplicada à
empresa pública, alguns desses agregados já estão sendo implantados no âmbito
governamental na esfera federal, especificamente para serviços SaaS (INFO, 2013).
A proposta deste trabalho apresentou uma metodologia a ser utilizada para criação de
uma infraestrutura de computação em nuvem privada em uma empresa de processamento de
dados, ofertando serviços de TI em seu ambiente. A proposta utilizou ferramental em software
livre, trazendo redução de custos para o processo de implementação, e justificando a adoção
da solução, além de agregar outras vantagens, como mitigação de riscos de segurança,
padronização de modelo de oferta de serviços, garantia de SLA para as os clientes usuários
dos serviços hospedados na nuvem.
Na solução da proposta deste trabalho, observou-se uma redução substancial referente
ao quantitativo de máquinas utilizadas para ofertar os serviços de TI das secretarias,
85
apresentou ainda a oportunidade de escalar os serviços ofertados conforme a demanda e por
fim aderir à conformidade de segurança da informação. O trabalho de Portella (2010)
apresenta outros resultados substanciais no que tange à redução de custos com consumo de
energia, resultados os quais foram apresentados também neste trabalho, como a redução do
consumo de energia e diminuição na quantidade de máquinas físicas. Os resultados desse
trabalho apresentaram não apenas a vantagem de se utilizar o cenário de computação nuvem
privada, mas sim de se planejar um processo de mudança de cenário pensando em
conformidade de normas e melhores práticas do mercado, e por fim, permitiu-se realizar um
mapeamento de análise e avaliação de riscos e mitigá-los na fase de tratamento utilizando
uma abordagem adaptada de (RAMOS, 2006) e regulamentada em (ISO_3, 2011).
No que tange à redução de riscos de segurança da informação, a proposta deste
trabalho apresentou resultados que ilustram a redução de riscos de segurança com a adoção de
computação em nuvem comparado com um ambiente que utiliza um modelo de oferta de
serviços tradicionais, modelo apresentado no Capítulo 3, refere-se à empresa PRODAP, esta
foi utilizada como estudo de caso para validar a proposta deste estudo. O trabalho apresentou
como a adoção de nuvem pode ser utilizada para mitigar riscos de segurança da informação
em ambientes computacionais. Observou-se que a média de redução de riscos após a
implementação da proposta desta pesquisa foi de 60%, como ilustrado na Tabela 11,
comparado ao cenário tradicional de oferta de serviços de TI da PRODAP.
Outro fator motivador que a proposta agregou para a PRODAP após sua implantação
foi a aderência a melhores práticas e documentações que regem a segurança da informação e
segurança em computação em nuvem, isso se torna primordial na empresa pública, pois esta
armazena e trata informações que necessitam de tratamento atencioso no quesito de segurança
da informação, já que são dados estratégicos das secretarias de governo. Assim, a proposta se
preocupou em garantir conformidades com as melhores práticas do mercado e normas de
segurança da informação, como, NIST (2011), CSA (2011) e ISO_2 (2005).
Outros fatores que trouxeram impactos positivos com a adoção de nuvem privada para
a PRODAP foram redução de custos, menos consumo de energia, mais agilidade no
atendimento das demandas das secretarias, garantia de SLA, atendimento de demandas de
recursos e softwares conforme necessidade das secretarias, segurança com redundância dos
dados, e outras vantagens já apresentadas ao longo deste trabalho. Isso mostra o quanto se
torna vantajoso a aderência de cenário de nuvem privada para uma empresa pública que usa
um modelo de provedor de serviços de TI como a PRODAP.
86
5.5 SUMÁRIO DO CAPÍTULO
Neste capítulo foi contextualizado o processo de implantação de um cenário de
computação em nuvem privada para uma empresa pública de Processamento de Dados
Estadual. Neste sentido, foram descritos os valores agregados da implementação da
infraestrutura de nuvem para a PRODAP e seus clientes.
Por fim, a partir do ambiente implantado baseado em nuvem privada, foram
apresentados os resultados positivos e impactos de adoção, como redução de custos, melhor
administração e gerenciamento da infraestrutura, mitigação de riscos de segurança da
informação, de conformidade com processos de normas e melhores práticas de segurança em
computação em nuvem. Adoção esta que atendeu às demandas dos clientes da PRODAP.
87
CAPÍTULO 6 CONCLUSÃO E TRABALHOS FUTUROS
Visando atender aos objetivos específicos detalhados no primeiro capítulo, esta
dissertação buscou expandir os horizontes da pesquisa sobre computação em nuvem, e
mostrar ainda que impactos positivos à implantação de uma nuvem privada podem trazer para
uma empresa governamental estadual em um modelo de provedor de serviços aderente às
conformidades de segurança da informação, oportunizando mitigar preocupações de
segurança computacional.
Neste sentido, a dissertação apresentou aspectos qualitativos e quantitativos os quais
ilustram que benefícios uma organização de processamento de dados pública pode ter com a
utilização de nuvem privada, benefícios esses como redução de custos, melhora de
gerenciamento dos dados, padronização da infraestrutura computacional e documentação de
processos e procedimentos utilizados na gerência do cenário.
A proposta abordou apenas a utilização de serviços na nuvem privada, não abordando
nuvem pública ou híbrida. Isso ocorre por algumas regulamentações que tratam requisitos de
segurança no armazenamento de dados, que deve ser realizado internamente pela organização.
Sobretudo, já existem empresas públicas utilizando soluções híbridas e inclusive as soluções
ferramentais de computação em nuvem já contemplam o tratamento de dados privado e
público.
A proposta deste trabalho visou ampliar as discussões sobre vantagens de implantação
de nuvem privada, utilizando a técnica de virtualização em organizações públicas, servindo
como cenário para redução de custos operacionais e gerenciais. O trabalho apresentou os
passos e soluções ferramentais necessário para a criação de um ambiente de nuvem privada
utilizando software livre; Apresentou os benefícios que o cenário de nuvem privada agregou
para os clientes que utilizam os serviços hospedados na PRODAP, dentre eles gerenciamento
de recursos, definição de SLA, gerenciamento de mudanças, mitigação de riscos e redução de
custos. A proposta ainda contemplou em sua análise de impacto na adoção do cenário de
nuvem, a avaliação de redução de consumo de energia, proposta validada como expõe o
trabalho de Portella (2010), que avalia a redução de consumo de energia com a utilização da
tecnologia de virtualização, tecnologia esta proposta nesta pesquisa.
Outro fato que é importante salientar concerne à solução utilizada para criar o
88
ambiente de nuvem privada com a técnica de virtualização, a solução foi a XCP. Necessita-se,
no entanto, ler a documentação oficial disponível no site do projeto, pois a mesma por padrão
vem com alguns problemas de customização, com exemplo, o template padrão de tamanho
alocado de memória por máquina virtual. Assim, para solucionar este problema, existe um
procedimento a ser realizado, descrito no site do projeto.
Este trabalho apresentou também os benefícios obtidos com a implantação da solução
em nuvem privada para a PRODAP, comparado ao modelo anteriormente utilizado para oferta
de serviços pela empresa pública. Além de todo cenário estar aderente às documentações de
melhores práticas de segurança da informação e segurança em computação em nuvem como
(NIST, 2011), (ISO_2, 2005) e (CSA, 2011). Possibilitando ainda a implementação realizar a
mitigação de riscos no que tange à segurança da informação no processo de tratamento do
risco, reduzindo assim a possibilidade de incidentes de segurança ocorrem no ambiente de
oferta de serviços da PRODAP.
Para validar a proposta deste trabalho referente à mitigação de risco, foi adotada a
metodologia avaliativa de análise e avaliação de riscos, metodologia essa adaptada de
(RAMOS, 2006) e ainda regulamentada como norma em (ISO_3, 2011). Após a análise foi
realizado o tratamento do risco e avaliado o quanto foi mitigado de risco com a adoção da
proposta de nuvem.
O trabalho contribuiu para que empresas no segmento público possam melhorar a
oferta de seus serviços utilizando um cenário de nuvem privada em sua própria infraestrutura,
e garantindo a segurança dos dados nesse cenário. O trabalho ainda contribui academicamente
apresentando passos utilizados para uma proposta de implementação em nuvem privada
utilizando ferramental em software livre e avaliando o risco utilizando técnicas de análise e
avaliação de risco qualitativa. Outro fator agregador é que a proposta deste trabalho
contemplou a visão de garantir a segurança da informação na nuvem conforme é fomentado
atualmente em instruções normativas pelo Governo Federal do Brasil.
Oportunidades futuras de pesquisa incluem o desenvolvimento de um framework e
software web para que os clientes possam ter a autonomia de criarem e personalizarem a
criação de sua infraestrutura ou escolha de softwares dentro da nuvem privada da PRODAP.
Assim, teria-se um processo menos oneroso e daria-se mais autonomia para os clientes, não
necessitando solicitar a PRODAP criar o cenário necessário da secretaria. Outro ponto que
pode ser avaliado em trabalhos futuros, seria avaliar o processo de armazenamento de dados
na nuvem privada da PRODAP. Hoje, a secretaria tem que solicitar formalmente a PRODAP a
89
necessidade e demanda de seu cenário para ser criado. E por fim, apesar de ter sido apenas
comentado no decorrer do trabalho, seria interessante desenvolver uma proposta de avaliar a
redução do consumo de energia em uma proposta de adoção em nuvem.
90
REFERÊNCIAS ANDRADE, Hilson G. V. (2013). Estudo de viabilidade de um serviço de Cloud Storage, utilizando recursos ociosos, por uma Operadora de Telecomunicações. Dissertação de Mestrado Profissional. CIN/UFPE.
ARMBRUST, M.; FOX, A.; GRIFFITH, R.; JOSEPH, A. D.; KATZ, R.; KONWINSKI, A.; LEE, G.; PATTERSON, D.; RABKIN, A.; STOICA, I.; ZAHARIA, M. (2009). Above the Clouds: A Berkeley View of Cloud Computing. EECS Department, University of California, Berkeley. Disponível em: <http://www.eecs.berkeley.edu/Pubs/TechRpts/2009/EECS-2009-28.pdf>. Acesso em 16/08/2012.
BUYYA, R.; YEO, C.; VENUGOPAL, S. (2008). Market-Oriented Cloud Computing: Vision, Hype, and Reality for Delivering IT Services as Computing Utilities. 10th IEEE International Conference on High Performance Computing and Communications, 5-13.
CAMPOS, André. (2007). Sistema de Segurança da Informação: Controlando os Riscos 2 edição. Visual Books. Santa Catarina.
CERT, Centro de Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. (2012). Estatísticas dos Incidentes Reportados ao CERT.br. Disponível em: <http://www.cert.br/stats/incidentes/#2012>. Acesso em 22/11/2012.
CSA, Cloud Security Alliance. (2011). Security Guidance for Critical Areas of Focus in Cloud Computing V3.0. Disponível em: <https://downloads.cloudsecurityalliance.org/initiatives/guidance/csaguide.v3.0.pdf>. Acesso em 20/06/2012.
CSA_1, Cloud Security Alliance. (2013). The Notorious Nine: Cloud Computing Top Threats in 2013 V1.0. Disponível em: <https://cloudsecurityalliance.org/download/the-notorious-nine-cloud-computing-top-threats-in-2013/>. Acesso em 05/03/2013.
DATAPREV. (2013). Computação em Nuvem no Governo Federal. Disponível em <http://portal.dataprev.gov.br/tag/computacao-em-nuvem>. Acesso em 03/01/2013.
DELL. (2012). A História e o Futuro da Computação em Nuvem. Disponível em: <http://www.dell.com/learn/br/pt/brbsdt1/sb360/social_cloud?c=br&l=pt&s=bsd&cs=brbsdt1&delphi:gr=true>. Aceso em 20/11/2012.
DD, Datacenter Dynamics. (2013). Computação em nuvem deve crescer 74,3% nos próximos três anos. Disponível em <www.datacenterdynamics.com.br/focus/archive/2013/03/computação-em-nuvem-deve-crescer-743-nos-próximos-três-anos>. Acesso em 03/08/2013.
DIDONÉ, D. (2011). Computação em Nuvem: Desafios e Oportunidades para a Forense Computacional. Dissertação de Mestrado. CIN/UFPE.
DSIC. (2013). Diretrizes para a utilização de tecnologias de computação em nuvem. Disponível em: <http://dsic.planalto.gov.br/legislacaodsic/51>. Acesso em 03/01/2013.
ENISA, European Network and Information Security Agency. (2009). Cloud Computing Information Assurance Framework. Disponível em: <http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-information-assurance-framework/at_download/fullReport>. Acesso em 20/11/2012.
FARMER, D.; VENEMA, W. (2007). Perícia forense computacional. Pearson Prentice Hall. São Paulo.
91
FARREL, Adrian. (2005). A Internet e seus Protocolos. Campus. São Paulo.
FERNANDO, N. et al. (2013). Mobile Cloud Computing: A Survey. Journal Future Generation Computer Systems. Volume 29, Issue 1. Pages 85-106.
FNDC. (2013). Rede Nacional de Pesquisa terá tecnologia baseada na computação em nuvem. Dísponível em: <http://www.fndc.org.br/clipping/rede-nacional-de-pesquisa-tera-tecnologia-baseada-na-computacao-em-nuvem-928191>. Acesso em 12/09/2013.
GARTNER, Inc. (2010). Gartner Says Worldwide Cloud Services Market to Surpass $68 Billion in 2010. Disponível em: <http://www.gartner.com/it/page.jsp?id=1389313>. Acesso em 22/04/2012.
GELLMAN, R. (2009). Privacy in the Clouds: Risks to Privacy and Confidentiality from Cloud Computing. World Privacy Forum. Disponível em: <http://www.worldprivacyforum.org/pdf/WPF_Cloud_Privacy_Report.pdf>. Acesso em 04/04/2012.
GROSMANN, D. et al. (2011). Estudo comparativo sobre o uso do VMware e Xen Server na virtualização de Servidores. ERCEMAPI. Disponível em: <http://www.die.ufpi.br/ercemapi2011/artigos/ST3_17.pdf>. Acesso em 01/08/2013.
HARRIS, J. G.; ALTER, A. E. (2010). Cloudrise: Rewards and Risks at the Dawn of Cloud Computing. Accenture, Institute for High Performance. Research Report. Disponível em: <http://www.accenture.com/us-en/Pages/insight-cloud-computing-rewards-risks-summary.aspx>. Acesso em 20/09/2012.
HOFMANN, P.; WOODS, D. (2010). Cloud computing: the limits of public clouds for business applications. IEEE Internet Computing, New York, v. 14, n. 6, p. 90-95.
HUNT, Graig. (2004). Linux Servidores de Redes. Ciência Moderna. São Paulo.
INFO. (2013). Governo brasileiro ganha sistema de computação em nuvem. Disponível em: <http://info.abril.com.br/noticias/it-solutions/2013/08/governo-brasileiro-ganha-sistema-de-computacao-em-nuvem.shtml>. Acesso em 10/09/2013.
ISACA, Information System Audit and Control Association. (2011). Objectives Sample for Cloud Computing: Controls and Assurance in the Cloud. Disponível em: <http://www.isaca.org/Knowledge-Center/Research/Documents/ITCO_Cloud_SAMPLE_E-book_20July2011.pdf>
ISO_1, International Organization for Standardization. (2005). Information technology – Security techniques – Information security management systems – Requirements. ISO/IEC 27001:2005. Disponível em: <http://www.abntcatalogo.com.br/norma.aspx?ID=17494>. Acesso em 08/07/2012.
ISO_2, International Organization for Standardization. (2005). Information technology – Security techniques – Code of practice for information security management. ISO/IEC 27002:2005. Disponível em: <http://www.abntcatalogo.com.br/norma.aspx?ID=11549>. Acesso em 08/07/2012.
ISO_3, International Organization for Standardization. (2011). Information technology – Security techniques – Information security risk management. ISO/IEC 27005:2011. Disponível em: <http://www.abntcatalogo.com.br/norma.aspx?ID=87158>. Acesso em 08/07/2012.
92
JACKSON, Kevin L. (2011). The Economic Benefit of Cloud Computing. GM, Cloud Services. Executive Summary. Disponível em: < http://www.njvc.com/form/download-request/NJVC_The_Economic_Benefit_of_Cloud_Computing.pdf/>. Acesso em: 10/01/2013.
KUROSE, James F.; ROSS, Keith W. (2011). Redes de Computadores e a Internet 5ª Edição. Pearson. São Paulo.
LOWE, William J. (2008). VMware Infrastructure 3 para Leigos. Alta Books. Rio de Janeiro.
MARIN, Paulo S. (2011). Data Centers Desvendando cada passo: conceitos, projeto, infraestrutura física e eficiência energética. Erica. São Paulo.
MARINS, C. E. (2009). Desafios da informática forense no cenário de Cloud Computing. Proceedings of the Fourth International Conference of Computer Science. p. 78-85. ISSN 1980-1114. ABEAT (Ed.). Natal, RN, Brazil.
MARSTON, S. et al. (2011). Cloud Computing – The business perspective. Decision Support Systems, V. 51, p. 176-189. doi:10.1016/j.dss.2010.12.006.
MATHEWS, Jeanna N. et al. (2009). Executando o Xen: Um Guia Prático para a Arte da Virtualização. Alta Books. Rio de Janeiro.
MELL, P., GRANCE, T. (2011). The NIST Definition of Cloud Computing. National Institute of Standards and Technology (NIST), Computer Security Division, Information Technology Laboratory.
MENASCÉ, Daniel A.; ALMEIDA, Virgilio A. F. (2005). Planejamento de Capacidade para Serviços na Web. Campus. São Paulo.
MERIAT, Vitor. (2011). Arquitetura de Modelos de Serviços em Computação em Nuvem. Disponível em: <http://vitormeriat.wordpress.com/2011/07/08/modelos-de-serviona-nuvem-iaas-paas-e-saas/>. Acesso em 10/10/2012.
MOHAMED, A. (2009). A History of Cloud Computing. ComputerWeekly.com. Disponível em: <http://www.computerweekly.com/feature/A-history-of-cloud-computing>. Acesso em 12/04/2012.
NAKAMURA, Emilio T.; GEUS, Paulo L. (2007). Segurança de Rede em Ambientes Corporativos. Novatec. São Paulo.
NIST. (2011). SP 800-145 – The NIST Definition of Cloud Computing. Disponível em: <http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf>
NIST_800-61. (2012). SP 800-61 Rev. 2 – Computer Security Incident Handling Guide. Disponível em: <http://csrc.nist.gov/publications/nistpubs/800-61rev2/SP800-61rev2.pdf>
NIST_800-144. SP 800-144 – Guidelines on Security and Privacy in Public Cloud Computing. 2011. Disponível em: <http://csrc.nist.gov/publications/nistpubs/800-144/SP800-144.pdf>
NIST_800-146. SP 800-146 – Cloud Computing Synopsis and Recommendations. 2012. Disponível em: <http://csrc.nist.gov/publications/nistpubs/800-146/sp800-146.pdf>
OPEN CLOUD MANIFESTO. (2012). Cloud Computing Use Cases. Cloud Computing Use Case Discussion Group. Versão 4. Disponível em: <http://opencloudmanifesto.org/Cloud_Computing_Use_Cases_Whitepaper-4_0.pdf>. Acesso em 04/04/2012.
93
OPENCROWD. Cloud Taxonomy, Landscape, Evolution. Disponível em: <http://www.opencrowd.com/assets/images/views/views_cloud-tax-lrg.png>. Acesso em 17/03/2012.
OWASP, Open Web Application Security Project. (2013). Projects Handbook 2013. Disponível em: <https://www.owasp.org/images/6/6a/OWASP_Projects_Handbook_2013.pdf>. Acesso em 15/03/2013.
OWASP_CLOUD. (2010). OWASP Cloud – Top 10 Security Risks. Disponível em <https://www.owasp.org/images/4/47/Cloud-Top10-Security-Risks.pdf>. Acesso em 20/10/2012.
PITANGA, Marcos. (2008). Construindo Supercomputadores com Linux 3 edição. Brasport. Rio de Janeiro.
PMBOK, Project Management Body of Knowledge. (2008). Disponível em: <http://www.pmi.org/PMBOK-Guide-and-Standards.aspx>.
PORTELLA, Carlos Rafael S.; VASCONCELOS, Átila B. (2010). Redução do Consumo de Energia Utilizando Virtualização. Faculdade de Informática – Centro Universitário Ritter dos Reis [UNIRITTER].
QUEIROZ, Claudemir.; et al. (2010). Investigação e Perícia Forense Computacional. Brasport. Rio de Janeiro.
RAMOS, Anderson.; et al. (2006). Security Officer 1: Guia Oficial para Formação de Gestores em Segurança da Informação. Zouk. São Paulo.
RIBEIRO, Bruno; ALBURQUERQUE, Ricardo. (2002). Segurança no Desenvolvimento de Software. Campus. São Paulo.
RIBEIRO, Robériton Luís O. (2011). Gerenciamento de Projetos com Prince2. Brasport. Rios de Janeiro.
RUSCHEL, Henrique; et al. (2010). Computação em Nuvem. Especialização em Redes e Segurança de Sistemas. Pontifícia Universidade Católica do Paraná. Disponível em: <http://www.ppgia.pucpr.br/~jamhour/RSS/TCCRSS08B/Welton%20Costa%20da%20Mota%20-%20Artigo.pdf>. Acesso em: 13/01/2013.
SAMPAIO, et al. (2010). Uni4Cloud – Uma Abordagem para Implantação de Aplicações sobre Múltiplas Nuvens de Infra-Estrutura. VIII Workshop em Clouds, Grids e Aplicações. SBRC – Simpósio Brasileiro de Redes de Computadores. Rio grande do Sul. SANTOS, et al. (2010). Computação em nuvem: Conceitos e Perspectivas. Especialização em Gestão da Tecnologia da Informação. IETEC – Instituto de Educação Tecnológica. Belo Horizonte.
SDL, Secure Development Lifecycle. (2011). Simplified Implementation of the Microsoft SDL. Disponível em: <http://download.microsoft.com/download/F/7/D/F7D6B14F-0149-4FE8-A00F-0B9858404D85/Simplified%20Implementation%20of%20the%20SDL.doc>. Acesso em 05/02/2013.
SPLUH, Security Programming for Linux and Unix Howto. (2003). Disponível em: <http://www.tldp.org/HOWTO/pdf/Secure-Programs-HOWTO.pdf>. Acesso em 15/01/2013.
SPSM, Secure Programming Standard Methodology Manual. (2002). Disponível em: <http://www.isecom.org/mirror/spsmm.0.5.1.en.pdf>. Acesso em 20/01/2013.
94
SILVA, Carlo M. R.; et al. (2013). Security Threats in Cloud Computing Models: Domains and Proposals. CLOUD 2013, v. 6, p. x, 2013.
SILVA, Carlo M. Revoredo; Silva, José Lutiano C.; RODRIGUES, R. Batista; GARCIA, Vinicius Cardoso ; NASCIMENTO, Leando Marques. (2013). Systematic Mapping Study On Security Threats In Cloud Computing. International Journal of Computer Science and Information Security, v. 11, p. 1-10, 2013.
VAQUERO, L. M. et al. (2009). A Break in the Clouds: Towards a Cloud Definition. ACM – SIGCOMM, Computer Comunication Review, V. 39, I. 1, p. 50-55.
VAQUERO, L. M. et al. (2011). Locking the sky: A survey on IaaS cloud security. Springer Journal Computer. V. 91, I. 1, p. 93-118.
VARGAS, R. Vargas. (2009). Gerenciamento de Projetos 7ª Edição. Brasport. Rio de Janeiro.
VELTE, Anthony T. et al. (2010). Computação em Nuvem: Uma Abordagem Prática. Alta Books. Rio de Janeiro.
VERAS, Manoel. (2009). Datacenter – Componente Central da Infraestrutura de TI. Brasport. Rio de Janeiro.
VERAS, Manoel. (2011). Virtualização – Componente Central do Datacenter. Brasport. Rio de Janeiro.
VERAS, Manoel. (2012). Cloud Computing – Nova Arquitetura da TI. Brasport. Rio de Janeiro.
VERDI, F. L. (2010). Novas Arquiteturas de Data Center para Cloud Computing. 28th Brazilian Symposium on Computer Networks – SBRC, Gramado, Brazil.
VIEIRA, Marconi F. (2003). Gerenciamento de Projetos de Tecnologia da Informação. Campus. São Paulo.
TAURION, Cezar. (2009). Computação em Nuvem: Transformando o mundo da Tecnologia da Informação. Brasport. Rio de Janeiro.
TCU. (2012). Boas Práticas de Segurança da Informação – 4 edição. Brasília. Disponível em: <http://portal2.tcu.gov.br/portal/pls/portal/docs/2511466.PDF>. Acesso em 10/07/2013.
WARDLEY, S.; GOYER, E.; BARCET, N. (2009). Ubuntu Enterprise Cloud Architecture. Disponível em: <http://www.canonical.com/sites/default/ files/active/Whitepaper-UbuntuEnterpriseCloudArchitecture-v1.pdf>. Acesso em 10/01/2012.
WU, L.; BUYYA, R. (2010). Service Level Agreement (SLA) in Utility Computing Systems. Technical Report CLOUDS-TR-2010-5, Cloud Computing and Distributed Systems Laboratory, The University of Melbourne, Australia.
