São apresentados abaixo um conjunto de Conceitos e Definições relacionados a Serviços de Computação em Nuvem, abordando aspectos de segurança e arquitetura.
Tabela de conteúdo |
Definições conceituais complementares
Referências: TCU – Tabela de Riscos e possíveis controles associados à contratação de Serviços em Nuvem Norma Complementar 14/IN01/DSIC/GSIPR Portaria Interministerial MP/MC/MD Nº 141 de 02/05/2014 STI – Boas práticas, orientações e vedações para contratação de Serviços de Computação em Nuvem
Definição | Descrição |
---|---|
Agente Responsável | Servidor público ocupante de cargo efetivo ou militar de carreira de órgão ou entidade da Administração Pública Federal, direta ou indireta, incumbido de implementar procedimentos relativos ao uso seguro de tecnologias de computação em nuvem; |
Armazenamento de dados | Serviço de depósito e arquivamento de informações em formato digital que utiliza componentes de computadores ou mídias de gravação capazes de manter os dados por um intervalo de tempo; |
Ativos de Informação | Os meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso; |
Auditoria | Processos e procedimentos sistemáticos de levantamento de evidências que tem como objetivo verificar se os serviços de redes de telecomunicações e de tecnologia da informação atendem aos requisitos especificados previamente em termo de referência ou projeto básico para fins de garantia da disponibilidade, integridade, confidencialidade, autenticidade das informações; |
Autenticidade | Propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade; |
Centro de processamento de dados | Ambiente que concentra e gerencia recursos computacionais para armazenamento e tratamento sistemático de dados; |
Comunicação de dados | É a transmissão, emissão ou recepção de dados ou informações de qualquer natureza por meios confinados, radiofrequência ou qualquer outro processo eletrônico ou eletromagnético ou ótico; |
Comunicação de dados militares operacionais | Comunicação de dados realizada em proveito de operações militares, executadas no âmbito do Sistema Militar de Comando e Controle – (SISMC²), conforme disciplinado pelo Ministério da Defesa para o preparo e o emprego das Forças Armadas, em especial os sistemas de controle de tráfego aéreo, de controle de tráfego marítimo, de defesa aeroespacial, de monitoramento de fronteiras e de proteção de infraestruturas críticas; |
Confidencialidade | Propriedade de que a informação não esteja disponível ou revelada a pessoa física, sistema, órgão ou entidade não autorizado e credenciado; |
Computação em Nuvem | Modelo computacional que permite acesso por demanda, e independente da localização, a um conjunto compartilhado de recursos configuráveis de computação (rede de computadores, servidores, armazenamento, aplicativos e serviços), provisionados com esforços mínimos de gestão ou interação com o provedor de serviços; |
Disponibilidade | Propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade; |
Elasticidade | Permite aumentar ou reduzir de forma simples e dinâmica, sem interrupções e em tempo de execução, a quantidade de recursos computacionais utilizados, suprindo, desta forma, momentos de picos de demanda; |
Fornecedor privado | Pessoa jurídica de direito privado que presta serviços de rede de telecomunicações ou de tecnologia da informação e que não integra a Administração Pública Federal direta ou indireta; |
Gestão de Segurança da Informação e Comunicações | Ações e métodos que visam à integração das atividades de gestão de riscos, gestão de continuidade do negócio, tratamento deincidentes, tratamento da informação, conformidade, credenciamento, segurança cibernética, segurança física, segurança lógica, segurança orgânica e segurança organizacional aos processos institucionais estratégicos, operacionais e táticos, não se limitando, portanto, à tecnologia da informação e comunicações; |
Incidente de segurança | Qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores; |
Integridade | Propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental; |
Modelo de Implementação | São os modelos de implementação da computação em nuvem em geral: Nuvem Própria, Nuvem Comunitária, Nuvem Pública e Nuvem Híbrida; |
Modelo de Serviço | São modelos de serviço da computação em nuvem, em geral: Software em Nuvem como um Serviço (Software as a Service – SaaS); em Nuvem como um Serviço (Plataform as a Service – PaaS); e Infraestrutura em Nuvem como um Serviço (Infrastructure as a Service – IaaS); |
Órgão ou entidade fornecedor | Órgão ou entidade da Administração Pública Federal, incluindo empresas públicas e sociedades de economia mista da União e suas subsidiárias, que forneça serviços de redes de telecomunicações e de tecnologia da informação para órgãos ou entidades contratantes; |
Órgão ou entidade contratante | Órgão ou entidade da Administração Pública Federal, que contrate serviços de redes de telecomunicações e de tecnologia da informação; |
Órgão gerenciador | Órgão responsável pelo estabelecimento, por meio de regulamentação específica, das regras, condições, parâmetros, preços e modelos de instrumentos de contratação que serão obrigatórios para os órgãos e entidades contratantes; |
Política de Segurança da Informação e Comunicações (POSIC) | Documento aprovado pela autoridade responsável do órgão ou entidade da APF, com o objetivo de fornecer diretrizes, critérios e suporte administrativo suficientes à implementação da segurança da informação e comunicações; |
Portabilidade | Capacidade que permite às aplicações e dados operarem em qualquer modelo de nuvem, ofertados por fornecedores distintos, sem a necessidade de reescrever códigos de aplicações, converter bancos de dados, alimentar os sistemas com informações dos usuários ou mesmo alterar características das aplicações |
Recuperação de dados | Processo de restauração, em sistemas computacionais, de dados digitais perdidos, excluídos, corrompidos ou inacessíveis por qualquer motivo; |
Rede própria | Conjunto de meios físicos, sistemas de telecomunicações e equipamentos de transmissão de dados, cuja posse, gestão, administração e responsabilidade pela operação sejam exclusivas do próprio órgão ou entidade da Administração Pública Federal; |
Segurança da Informação e Comunicações (SIC) | Ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação; |
Serviços de Redes de Telecomunicações | Provimento de serviços de telecomunicações, de tecnologia da informação, de valor adicionado e de infraestrutura para redes de comunicação de dados; |
Serviços de Tecnologia da Informação | Provimento de serviços de desenvolvimento, implantação, manutenção, armazenamento e recuperação de dados e operação de sistemas de informação, projeto de infraestrutura de redes de comunicação de dados, modelagem de processos e assessoramento técnico, necessários à gestão da segurança da informação e comunicações; |
Serviços de tecnologia da informação militares operacionais | Recursos de Tecnologia da Informação e Comunicações que integram o SISMC2 proporcionando ferramentas por intermédio das quais as informações são coletadas, monitoradas, armazenadas, processadas, fundidas, disseminadas, apresentadas e protegidas; |
Serviços de tecnologia da informação próprios | Conjunto de serviços de tecnologia da informação prestados por meio de plataformas desenvolvidas pelo próprio órgão ou entidade, cuja posse, gestão, administração e responsabilidade pela operação sejam exclusivas do próprio órgão ou entidade da Administração Pública Federal; |
Sistema Militar de Comando e Controle (SISMC²) | Conjunto de instalações, equipamentos, sistemas de informação, comunicações, doutrinas, procedimentos e pessoal essenciais para o comando e controle, visando atender ao preparo e ao emprego das Forças Armadas; e |
Software livre | Software cujo modelo de licença livre atende a liberdade para executar o programa, estudar como o programa funciona e adaptá-lo para as suas necessidades, redistribuir cópias do programa e aperfeiçoar o programa e liberar os seus aperfeiçoamentos sem restrição; |
Software público brasileiro | Software que adota um modelo de licença livre para o código-fonte, a proteção da identidade original entre o seu nome, marca, código-fonte, documentação e outros artefatos relacionados por meio do modelo de Licença Pública de Marca – LPM e é disponibilizado na Internet em ambiente virtual público, sendo tratado como um benefício para a sociedade, o mercado e o cidadão; |
Valor do Ativo de Informação | Valor, tangível e intangível, que reflete tanto a importância do ativo de informação para o alcance dos objetivos estratégicos de um órgão ou entidade da APF, quanto o quão cada ativo de informação é imprescindível aos interesses da sociedade e do Estado. |
Vulnerabilidade | Conjunto de fatores internos ou causa potencial de um incidente indesejado, que podem resultar em risco para um sistema ou organização, os quais podem ser evitados por uma ação interna de segurança da informação e comunicações. |
Computação em nuvem e virtualização
Os termos “computação em nuvem” e “virtualização” têm sido intrinsecamente associados e, muitas vezes, utilizados como sinônimos. Apesar de computação em nuvem não ser sinônimo de virtualização, atualmente as tecnologias de virtualização são as que sustentam qualquer forma de implantação de nuvem.
A arquitetura dos computadores servidores atuais foi inicialmente projetada para funcionar com apenas um sistema operacional e um aplicativo por vez. Como resultado, até mesmo data centers pequenos precisam utilizar muitos servidores, cada um operando com apenas parte pequena de sua capacidade de processamento. A tecnologia de virtualização resolve esse problema ao permitir a execução de vários sistemas operacionais e aplicativos em um mesmo computador servidor, possibilitando a utilização de sua capacidade total .
A virtualização isoladamente não provê todas as características definidas pelo NIST para a computação em nuvem, como o autoprovisionamento e a rápida elasticidade. Os usuários não podem, simplesmente, criar máquinas virtuais de acordo com suas necessidades sem interação com a área de TI. Apesar da flexibilidade associada à virtualização, os recursos disponíveis para provisionamento não podem ser alocados a qualquer hora e em qualquer volume.
Como a virtualização serve para tornar os ambientes computacionais independentes de hardware, um ambiente totalmente virtualizado é um primeiro passo na direção de se implantar uma nuvem, seja ela pública, privada ou híbrida. Apesar da virtualização de servidores ser a mais consolidada nas organizações, há que se pensar nela de maneira mais ampla, abrangendo outros ativos de TI, como armazenamento e rede.
Se uma instituição já conseguiu virtualizar todo seu parque computacional, a transição para uma nuvem privada se dará pela adição de uma camada de orquestração e de um catálogo de serviços, o que claramente irá requerer organização e planejamento minucioso.
Automação e Orquestração
Segundo a revista Information Week , “automação é a fundação sobre a qual se constrói a orquestração” (tradução livre). Trata-se de processos programados que automatizam tarefas repetitivas. Um exemplo de um processo que é facilmente automatizado é o provisionamento de servidores virtuais.
Já a orquestração utiliza a automação de processos como base. É um software que vincula vários produtos, tecnologias e processos para permitir a automação de TI fim a fim, cujo gerenciamento tipicamente ocorre por meio de um portal.
Há, no mercado, muitos fornecedores vendendo ferramentas de orquestração para provimento de nuvens privadas ou híbridas como se fossem soluções de computação em nuvem, mas que são, na verdade, soluções para provimento de infraestrutura para computação em nuvem.
Nuvem gerenciada
Além das classificações expostas anteriormente, ainda há o conceito de “nuvem gerenciada” (managed cloud). Trata-se de solução de computação em nuvem associada a serviços de gerenciamento e operação. Esta terminologia está em crescente uso pelos provedores de serviços de TI, apesar de não ser ainda difundida na literatura.
Os serviços de gerenciamento de nuvem adicionam itens de serviços ao que tradicionalmente é ofertado, como por exemplo: backups de dados, gerenciamento a nível de sistema operacional e aplicação, monitoramento e suporte técnico para sistemas operacionais e aplicações. Eles também alteram a fronteira de responsabilidades apresentada na Figura 4, aumentando as camadas gerenciadas pelo provedor, e, consequentemente, diminuindo o que é gerenciado pelo cliente ou consumidor.
Collocation e serviços gerenciados
A revista online Networkworld, em um artigo sobre serviços gerenciados de nuvem , afirma que (tradução livre): O movimento para se ter mais aspectos gerenciados do mercado de nuvem é natural. A nuvem cresceu a partir da indústria de serviços gerenciados, o qual, por sua vez, originou-se do mercado de collocation. As diferenças entre estas ofertas são pequenas, mas importantes:
1) Collocation: Os fornecedores de collocation provêm as instalações físicas do data center, a energia e o ar condicionado, mas a propriedade e a gerência da infraestrutura de TI são dos clientes;
2) Serviços Gerenciados: Os fornecedores provêm a infraestrutura inteira que é dedicada aos clientes individuais, os quais gerenciam desde o sistema operacional até a aplicação;
3) Nuvem: É uma forma ainda mais automatizada de serviços gerenciados, na qual clientes acessam recursos hospedados sob demanda através de um portal web ou uma API (Application Programming Interface);
4) Nuvem gerenciada: Adiciona uma nova camada ao topo de todos estes serviços, com os recursos de nuvem sendo gerenciados de maneira mais ativa e interventiva por parte do fornecedor.
Tanto os serviços de collocation quanto os serviços gerenciados não são serviços de computação em nuvem, pois não apresentam todas as características definidas pelo NIST.
XaaS
É frequente encontrar na internet outros tipos de serviço de computação em nuvem comercializados como XaaS (“Anything as a Service”, ou em português, “Tudo como Serviço”), onde a letra “X” da sigla pode ser trocada pela inicial do serviço sendo ofertado. Apesar do XaaS ser rotulado como mais uma estratégia de marketing, ele está aderente ao conceito de utilização de várias camadas de abstração – neste sentido, qualquer serviço específico pode fazer parte de uma nova categoria, e ainda assim, basear-se em serviços das camadas inferiores.
Um exemplo de XaaS é o DaaS, ou Desktop as a Service, descrito no site CloudTech . Em um serviço de desktop na nuvem, o provedor precisará disponibilizar de pelo menos duas camadas na nuvem:
1) servidores para rodar infraestrutura de desktop virtual de um provedor de IaaS, e os serviços de manutenção e atualização dos equipamentos associados;
2) um pacote de office, como o Microsoft Office 365 (SaaS).
Serão necessários, também, serviços de manutenção e aplicação de patches de sistema operacional, e um terminal de acesso. O provedor de DaaS será responsável por desenhar a solução, montá-la e gerenciá-la.
Classificação de data centers em Tiers de acordo com a norma TIA 942
A classificação Tier adotada em data centers foi desenvolvida pelo Uptime Institute, nos EUA, é usada desde 1995 e tem reconhecimento mundial. Os níveis de disponibilidade associados às classificações Tier foram determinados por meio de resultados de análises de disponibilidade de data centers reais.
Tier I
Data center básico que possui componentes internos não redundantes e uma rota de alimentação externa (energia e conexão de dados) não redundante servindo ao ambiente crítico. A infraestrutura Tier I inclui um espaço dedicado para os sistemas de TI; um sistema UPS (no-break) para lidar com falhas momentâneas no fornecimento de energia; um equipamento dedicado de refrigeração e um sistema gerador para proteger as funções de TI de falhas prolongadas no fornecimento de energia. A disponibilidade para o Tier I é de 99,671%.
Tier II
Data center Tier II possui componentes internos redundantes e uma rota de distribuição de alimentação externa (energia e conexão de dados) não redundante servindo ao ambiente crítico. Os componentes redundantes são: geradores, sistemas UPS (no-break), sistemas de refrigeração e tanques de combustível. Esses componentes podem ter seu funcionamento interrompido, seguindo um plano de manutenção, por exemplo, sem a necessidade de desligar qualquer um dos equipamentos críticos de TI. A disponibilidade para o Tier II é de 99,741%.
Tier III
Data center paralelamente sustentável que possui componentes de capacidade redundantes e múltiplas rotas independentes de distribuição (energia e conexão de dados) que servem o ambiente crítico. Apenas uma rota de distribuição é necessária para servir o ambiente crítico em qualquer momento. Qualquer componente nas rotas de distribuição pode ser interrompido sem impactar qualquer equipamento do ambiente crítico. A disponibilidade para o Tier III é de 99,982%.
Tier IV
Data center tolerante a falhas composto por vários sistemas fisicamente independentes e isolados, componentes redundantes e múltiplas rotas independentes de alimentação (energia e conexão de dados) ativas simultaneamente, servindo ao ambiente crítico. Sistemas complementares e rotas de distribuição devem estar fisicamente isolados um do outro (compartimentalizados) para prevenir qualquer tipo de incidente de impactar simultaneamente os sistemas ou as demais rotas de distribuição / alimentação. A disponibilidade para o Tier IV é de 99,99%.