Christine Burns, da Network World/US

• Tweet

Algum dia, os fornecedores de segurança em nuvem e provedores de serviços de cloud vão convencer empresas que é seguro mover dados confidenciais e aplicativos de missão crítica a partir da nuvem privada para a nuvem pública. Infelizmente, esse dia ainda não chegou.

Profissionais de segurança, consultores e analistas entrevistados pela Network World dizem que fornecedores de segurança em cloud e prestadores de serviços em nuvem têm um longo caminho a percorrer antes que as companhias sejam capazes de encontrar uma zona de conforto na nuvem pública, ou mesmo na implementação de cloud híbrida.

Quando perguntados sobre previsões de quando empresas estarão dispostas a migrar dados não sensíveis para a nuvem pública e adotar mais serviços na modalidade software as a service (SaaS) de empresas como Salesforce.com para a execução de aplicativos de negócios críticos, as respostas variaram de seis meses a dois anos.

Então, o que está impedindo a adoção da nuvem pública? A resposta ainda está relacionada à segurança na nuvem pública, envolvendo os seguintes pontos:

• Preocupações sobre como proteger os canais de comunicação dentro de redes virtuais multi-tenant.
• Incertezas sobre como o número de dispositivos móveis heterogêneos vai ser seguramente apoiado na nuvem.
• Um caminho inconsistente para ampliar a identidade e os mecanismos existentes de controle de acesso usado na empresa para a nuvem.
• Perguntas sobre como modelos de confiança de criptografia e tokenization precisam ser alterados para proteger adequadamente os dados confidenciais armazenados na nuvem pública.

Essas questões técnicas são agravadas pelo fato de que os provedores de nuvem pública são notoriamente relutantes em fornecer bons níveis de visibilidade de práticas de segurança. Para uma empresa, não ter visão adequada da postura de segurança do provedor de nuvem pode gerar impedimentos nos processos de auditoria necessários e verificações de conformidade.

Mas todos os entrevistados pela reportagem estão confiantes de que a segurança da nuvem pública, eventualmente, irá atingir o nível que as empresas atualmente esperam em suas redes privadas.

Gargalos crescem
A nuvem pública corresponde à infância, diz Jacob Braun, presidente e COO da Digital Media Waka, provedor de serviços gerenciados de segurança e de consultoria localizado em Massachusetts.

"Diria até que é mais como um adolescente talentoso que recentemente mudou-se para um novo bairro. Ele lida com as situações de forma diferente dos demais. As pessoas ficam intrigadas porque é uma figura imprevisível", compara Braun. De acordo com Braun, basta um pouco mais de tempo e as pessoas vão se reder à sua popularidade.

Analistas, consultores e clientes dizem que são incentivados por anúncios de produtos de fornecedores seniores de segurança, bem como de start-ups que abordam muitos dos gargalos de proteção observados na nuvem.

Os clientes estão conscientes de que essa conversa é extensa. "Os administradores de segurança tratam das questões de segurança no momento pós-implementação", diz Gary Loveland, principal analista da PricewaterhouseCoopers.

Com essas experiências na bagagem, as empresas de TI estão trabalhando as questões de segurança da nuvem pública de maneira pró-ativa. "Antes de migrarem estão realizado perguntas que vão pressionar os fornecedores para prover uma nuvem com os controles corretos para os negócios”, aponta Loveland.

De acordo com estudo publicado no final de julho pelo Derek Brink Group, intitulado “Segurança e Cloud: melhores práticas" (em tradução livre), quase metade das 110 empresas de TI entrevistadas disseram que estão adquirindo abordagem que envolve colocar os prestadores de serviços em nuvem contra a parede para que eles implementem fortes práticas de segurança.

"A confiança na nuvem por parte das empresas usuárias é bastante limitada no momento", opina Jon Oltsik, principal analista da Enterprise Strategy Group. Mas que a desconfiança não reflete, necessariamente, qualquer evidência sólida de que a segurança na nuvem pública é ruim, acrescenta.

Por exemplo, Oltsik diz que a Amazon "está colocando em prática ações incríveis para construir a segurança da infraestrutura [EC2], para adquirir todas as certificações adequadas e contratação de pessoal de segurança” e conta com mais de 500 controles de segurança para possibilitar conforto para os clientes corporativos.

De acordo com Simon Crosby, ex-CTO da Citrix e fundador da Bromium, start-up que está desenhando produtos que usam virtualização para clientes móveis, os medos legais e de conformidade são remanescentes de como a computação foi feita há dez anos.

As estruturas de nuvem pública em construção hoje são mais capazes de resistir a ataques do que qualquer rede privada, afirma Crosby.

"Se você me disser para construir uma aplicação segura, que será executada 24 horas por dia, sete dias semana em todo o mundo sem correr risco de roubo de dados gostaria de construir algo como o Netflix, que roda na nuvem pública da Amazon", diz Crosby. "Há 30 bilhões de objetos nessa loja. Vá em frente e tente encontrar minhas informações lá. Ela é tão distribuída que pode resistir a ataques DDoS de todos os tipos de fontes anônimas”, desafia.

Pesquisa recente conduzida por Phil Hochmuth, gerente do programa de produtos de segurança da consultoria IDC, mostra que os usuários não são tão otimistas sobre esse ponto. Quando perguntados se eles achavam que a arquitetura de um provedor de nuvem poderia ser mais segura do que seus ambientes internos, apenas um terço das 500 organizações pesquisadas disse que sim.

No entanto, entre aquelas que já partiram para implementações de cloud pública ou híbrida, mais da metade concordou que os fornecedores oferecem melhor segurança do que suas respectivas equipes de TI.

Richard Rees, gerente de serviços de consultoria de nuvem da EMC, sugere que há algumas cargas de trabalho de negócios que podem ser aprimoradas quando migradas para a nuvem. As mensagens, por exemplo. Essa modalidade está presente em 30% das 250 companhias pesquisadas e em quase um quarto das pequenas e médias empresas ouvidas.

"Os administradores de segurança têm lutado por anos para lidar com questões como assinatura digital automática na modalidade público/privada, chave de criptografia para e-mail seguro etc", diz Rees. Os parâmetros de segurança são implementados na nuvem por profissionais de TI que os entendem completamente. E são ativados por padrão na nuvem pública, porque é mais econômico para um provedor gerenciar de forma consistente um perfil de usuário altamente seguro em toda a base de clientes.

Larry Campbell, vice-presidente de Gestão de Informação e Tecnologia da DAI, empresa internacional de desenvolvimento de projetos, diz que companhia em que atua primeiro construiu uma nuvem privada para compreender melhor as questões que envolvem a computação virtualizada. E, então, neste ano completou uma mudança para a nuvem pública, usando vários provedores.

A DAI trabalha com NaviSite para executar bancos de dados Oracle na nuvem e, recentemente, recorreu à VirtuStream para hospedar os drives compartilhados de dados, executar um portal SharePoint e gerenciar os serviços de mensagens.

Antes de contratar esses provedores, Campbell diz que foi capaz de certificar-se de práticas segurança deles para que estivessem alinhadas aos padrões da DAI. "Somos uma empresa de médio porte que não tem um orçamento de TI enorme. Os provedores de nuvem pública têm melhor conhecimento e entendimento de questões de segurança na nuvem do que temos dentro da empresa", observa Campbell.

A prova está na auditoria
Os clientes querem ter a certeza de que existem controles para proteger suas cargas de trabalho de ataques e querem ainda ser capazes de ver as informações sobre os controles. "Mas esse nível de detalhe está fora do âmbito dos modelos da maioria dos provedores de nuvem pública”, avalia Oltsik.

Provedores de cloud pública têm sido pressionados para revelar detalhes sobre as práticas de segurança por duas razões. Primeiro: eles não querem divulgar as práticas de segurança que lhes dão uma vantagem competitiva e, segundo, eles não querem arriscar e expor vetores a ataques.

É claro que alguns provedores mostram dasboards sobre os serviços executados em nuvem. Mas, de acordo com Beth Cohen, arquiteta sênior de nuvem da Cloud Technology Partners, a maioria não está fornecendo informações suficientes sobre a segurança. Beth acha que é pouco provável que a indústria vai observar melhoria nessa área.

Ela acredita que é mais provável que os fornecedores de cloud continuem a recorrer a grupos de certificação de terceiros como SAS 70, ISO 2077 e DSS PCI. Eles podem obter a certificação sem ter de divulgar publicamente como estão entregando suas atividades de segurança, avalia.

Tim Brown, arquiteto-chefe da área de Segurança para Clientes da CA Technologies, concorda. "Se há um provedor de serviços em nuvem que passou todos os testes [de ganhar a certificação reconhecida publicamente], será muito mais rápido para um cliente recorrer a um fornecedor aprovado do que perseguir a certificação”, diz. "Mas certamente não estamos nesse ponto ainda", completa Brown.

A questão permanece. Quantos provedores de serviços em nuvem estão dispostos a divulgar as informações?

John Ambra, diretor de serviços técnicos da Modulo, provedor de serviços de gestão de risco sediado em Atlanta, trabalha com grandes empresas para avaliar os riscos envolvidos com a aquisição de produtos e serviços para implementação da nuvem, tanto em casa quanto fora.

O número de clientes pressionando os grandes provedores de nuvem pública para assumir algumas das responsabilidades por violações de segurança ainda é muito pequena, afirma Michael Berman, CTO da Catbird Networks, companhia de segurança virtual em Scotts Valley, na Califórnia. A Catbird trabalha ao lado de clientes corporativos para garantir segurança em nuvens privadas e é parceiro da Amazon na área de nuvem pública.

"A Amazon está investindo pesado para entregar largura de banda e armazenamento, enquanto não assume nenhuma responsabilidade pelos dados sensíveis armazenados lá", diz Berman.

• Tweet

Fechar

Já Sou Cadastrado

Email:  

Senha:

Entrar

Esqueceu sua senha ou ainda não recebeu o email de confirmação? Clique aqui

Precisa de Ajuda? Clique aqui

Quero me Cadastrar

Ao se registrar você ganha acesso a:

• Newsletters especializadas
• Comentários de notícias
• Comentários em blogs
• Promoções exclusivas do Computerwold

É grátis e leva apenas um minuto!

Cadastrar

Fechar

Atenção, veja os erros abaixo:

Título


Comentário:

Adicionar Comentário