Fazer login no IT Mídia Redefinir senha
Bem-vindo de volta,
Digite seu e-mail e clique em enviar
Ainda não tem uma conta? Cadastre-se
Logo ITMidia
Logo ComputerWorld
Logo PCWorld
Logo CIO
Logo ITForum
Salvar em Nova pasta de favoritos

+

Criar pasta
Últimos favoritos Ver todos
Últimas notícias do conteúdo : Ver todos
Cinco questões a considerar sobre segurança em SaaS
Cinco questões a considerar sobre segurança em SaaS
Home > Inovação

Cinco questões a considerar sobre segurança em SaaS

Com o crescente uso do modelo em aplicações críticas, as atenções se voltam para a robustez e a blindagem no tráfego de dados na rede.

John Brodkin - Networkworld/EUA

12/12/2010 às 20h27

Foto:

Junto com o interesse pelo modelo SaaS (Software as a Service, ou Software como Serviço, em tradução
livre do inglês), cresce também a preocupação referente à segurança. Se, antes, o custo da adoção dessa plataforma liderava a lista de
questões, agora, com o crescente uso de SaaS para dar conta de aplicações críticas, as atenções se voltam para a robustez e a blindagem
no tráfego de dados na rede, entre a nuvem e as estações de trabalho. São hoje os maiores motivos de desconforto entre os clientes.

“A segurança é o item mais apontado como motivador da reticência das corporações na hora de migrar para esse modelo de cloud
computing”, afirmou a analista de pesquisas da Forrester Liz Herbert, em um recente artigo sobre a adoção do modelo SaaS.

Existe uma lista considerável de itens a considerar antes de partir para esse modelo, eis cinco deles:

1. A gestão de identidade na nuvem
precisa amadurecer

Chenxi Wang, da equipe de analistas
da Forrester, avalia que faltam
recursos sofisticados aos provedores
de serviço na nuvem quando chega
a hora de integrar sua plataforma
e os serviços de verificação de
identidades posicionados atrás dos
firewalls da rede corporativa. Wang
diz existirem aplicativos baseados em
tecnologias proprietárias capazes de gerir
as políticas de acesso à nuvem com base em
um login único. Entre esses fornecedores a
analista cita a Ping Identity e a Symplified.

Em geral, avalia Wang, “ainda existe
muito espaço para esse segmento evoluir”.
“A Google, por exemplo, usa um Secure
Data Connector que estabelece uma
conexão criptografada entre os dados do
cliente e a plataforma de aplicativos da
organização provedora. Do lado do cliente,
os administradores podem escolher quais
funcionários têm acesso aos recursos do
Google Apps. Um sistema semelhante é
usado pela Salesforce.com”, diz a analista.
Tal conjunto de soluções, contudo,
pode ser de difícil aplicação por parte das
empresas que utilizam diversos serviços
SaaS, e teriam de configurar um jeito de
blindar cada uma delas com base em
ferramentas de segurança distintas. “A
vantagem em usar as ferramentas de
terceiros é sua adaptabilidade a diversas
plataformas”, explica Wang.

“Infelizmente, a evolução do SaaS se deu
em ritmo mais acelerado que o necessário
para formar um conjunto de padrões para
a indústria”, informa a Cloud Securitiy Alliance, organização sem fins lucrativos
voltada para a disseminação de melhores
práticas no segmento de cloud computing.
Mais especificamente, a CSA se refere
à limitação das opções disponíveis para
soluções de suporte limitadas aos modelos
de perfil de usuários e SPML (Service
Provisioning Markup Language), ambos
ainda muito restritos.

2. Padrões de nuvem pouco robustos

Um dos primeiros argumentos que
qualquer vendedor de provedores
de solução na nuvem vai apresentar
é ter certificados de auditoria SAS
70. Desenvolvido com a finalidade
de comprovar o controle dos
provedores sobre os dados, o SAS 70
não foi desenvolvido com vistas à cloud
computing. Mesmo assim, tornouse
padrão pela ausência de padrões
específicos para a nuvem.

De acordo com analistas, o padrão
ISO 27001, oriundo de especificações
de segurança publicados pela ISO
- International Organization for
Standartization (organização internacional
para padronização), sediada na Suíça,
mostra características de superioridade em
relação ao SAS70.

O padrão ISO 27001 foi adotado pela
Microsoft em seus data centers, e a
Amazon, provedora de serviços de cloud
computing, está a caminho de adotá-lo
também.

“Ele não é perfeito [o ISO 27001], mas
é um passo na direção certa”, diz Neil
MacDonald , analista da Gartner. “É o
melhor padrão que existe atualmente, o que
não basta”, completa.

3. Mistério

Provedores de cloud computing
afirmam ser capazes de operar
de modo mais seguro que clientes
comuns. Dizem, ainda, haver um
engano generalizado com relação
à segurança de SaaS. Por trás da
desconfiança dos clientes está o mistério
que envolve as estratégias de segurança
adotadas pelos provedores.

Recentemente, analistas do Bourton
Group do Gartner acusaram o CTO da
Amazon, Werner Vogels, de não ser
transparente suficiente com relação aos
procedimentos de segurança internos da
organização. Os analistas sugerem que
clientes desconfiem ao máximo e contem
com altos riscos, quando o provedor insiste
em esconder os padrões e tecnologias
envolvidos na segurança do serviço.
“Se o provedor faltar com transparência,
isso aumenta nossa desconfiança”, diz
MacDonald. “Não contribui em nada para
o aumento da nossa credibilidade em seus
serviços.”

Na avaliação de MacDonald, a Microsoft
fez um bom trabalho ao especificar
publicamente seus padrões de segurança.
Cabe aos clientes serem agressivos e insistir
em serem informados acerca dos esquemas
de segurança usados nos data centers e
sobre a política de segregação de dados
em sistemas usados por múltiplos clientes.

4. Acesso móvel é conveniente,
mas perigoso

Um dos grandes pontos
positivos do modelo SaaS está na
versatilidade do acesso via internet.
Onde houver conectividade à rede,
os sistemas podem ser acessados.
Mas, além de trazer comunidade e alta
disponibilidade, essa característica
traz à tona também vários riscos. A
proliferação de laptops e de smartphones
impõe aos administradores de TI uma série
de desafios relacionados à segurança dos
pontos de acesso.

“O SaaS é acessível a partir de qualquer
lugar”, diz o vice-presidente sênior de
serviços hospedados da Symantec, Rowan
Trollope. “Eu posso usar o Gmail para gerir
minha conta de emails, o que possibilita
a um funcionário acessar a conta a partir
de um PC não seguro em uma lan house
qualquer. Essa é uma vantagem e uma
desvantagem, ao mesmo tempo”, diz. A
máquina usada para acessar os dados não
é necessariamente um ponto de conexão
seguro, e os dados também se encontram
fora da clausura física e lógica de sua
organização.

De acordo com Trollope, é mais seguro
manter os dados armazenados em
servidores locais do que na nuvem; sejam
esses dados emails ou documentos.

MacDonald adverte que empresas
clientes de SaaS devem implementar
políticas de conectividade. Uma solução
a ser explorada em conjunto por clientes
e provedores é restringir o acesso a
determinados endereços IP, fazendo os
usuários passar por uma VPN para se
conectar.

A forma de conexão também pode ser
fortalecida usando aplicativos de gateway
fornecidos pela Blue Coat ou pela Cisco.
Esses aplicativos negociam os termos da
conexão entre cliente e servidor.

5. Incerteza sobre localização dos dados

Regulamentações como a Federal
Information Security Management
Act (Fisma) exigem que clientes
mantenham dados confidenciais
em servidores localizados
dentro dos Estados Unidos, por
exemplo. Apesar de essa exigência ser
algo relativamente fácil de cumprir,
nem sempre os provedores de cloud
computing estão dispostos a dar essa
garantia. A Google conseguiu receber a
certificação da Fisma, o que não é o padrão,
no caso, para todas as empresas privadas
nos EUA.

A questão não se limita a empresas
norte-americanas. Se você estiver na Suíça,
essa exigência não passa de uma lei. O
provedor que não puder garantir que os
dados estejam no país (na Suíça), está fora
da lista de possíveis prestadores de serviço.

E, mesmo que os dados estejam no
país, os clientes devem poder verificar a
localização das informações para virem de
encontro às requisições da regulamentação.
Por esse motivo, a EMC afirma desenvolver
uma tecnologia capaz de rastrear a
localização geográfica de máquinas virtuais
no ambiente da computação em nuvem.
Essa tecnologia não deverá estar disponível
no mercado antes do início de 2011,
além de requerer integração entre EMC,
VMware e de produtos da Intel. No Brasil,
legislações semelhantes atingem sobretudo
as instituições financeiras.

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail
Vai um cookie?

A IT Mídia usa cookies para personalizar conteúdo e anúncios, para melhorar sua experiência em nosso site. Ao continuar, você aceitará o uso. Para mais detalhes veja nossa Política de Privacidade.

Este anúncio desaparecerá em:

Ir para o site