O cloud é seguro?

Tenho visto esse questionamento feito com frequência na mídia, em blogs, em fóruns, no Twitter e gostaria de endereçar algumas dessas preocupações nesse post.

Primeiro, o que é cloud?

Antes de falar da segurança do cloud, gostaria de comentar sobre o uso do termo cloud. Já vi em alguns dos textos referenciados acima o termo cloud sendo usado como sinônimo de infra-estrutura virtualizada, ou seja, virtualização de servidores, armazenamento de dados, elementos de rede. É o que denominamos aqui na Locaweb como Cloud Computing. Caso você tenha dúvidas sobre esse tipo de serviço, recomendo assistir ao vídeo abaixo:

Também já li textos que consideram aplicações web como o Email Marketing, as soluções de Comércio Eletrônico, o PABX Virtual e até mesmo o Mobimail da Locaweb como sendo aplicações que rodam na nuvem, ou como “cloud computing”, como fica bem claro nesse artigo da Read Write Web Brasil, [update] escrito por Alexandre Ribenboim [/update], que tem por primeiro parágrafo:

O uso das ferramentas em nuvem (#cloud computing, software as a service #saas) é cada vez mais comum nas empresas, principalmente, as pequenas e médias que têm severas restrições financeiras para investir em equipamentos e software, pagar para desenvolver ou customizar sistemas e, ainda, arcar com as despesas mensais de manutenção de tudo isto: upgrades de hardware e software, suporte de TI, infraestrutura de segurança e monitoramento 24×7, entre outros.

Nós aqui na Locaweb chamamos esse tipo de cloud ou aplicação web de SaaS (Software as a Service). Para uma explicação mais detalhada sobre SaaS, recomendo esse artigo da Wikipedia.

E afinal, o cloud é seguro?

Um provedor de cloud, quer seja de cloud computing, quer seja de SaaS tem equipes dedicadas à segurança dos sistemas, o que é uma raridade fora das empresas de TI. Quantas empresas que não têm TI como seu core business têm um serviço de monitoração 24 horas? Ou até mesmo nas empresas que têm TI como core business, quantas tem monitoração 24 horas?Técnicos dedicados ao projeto e à manutenção de infra-estrutura de TI? Geradores e redundância de equipamentos? Backup dos dados? Backup da aplicação? É a segurança de ter os dados e o serviço de TI sempre disponível.

No caso mais específico de SaaS, além da garantia de disponibilidade da infra-estrutura onde a aplicação reside, não podemos esquecer da segurança na gestão do acesso à aplicação. Nas aplicações SaaS, assim como em qualquer aplicação que resida dentro de uma empresa, por exemplo um CRM ou uma folha de pagamento, existe o controle de acesso que normalmente é feito por meio de um usuário e senha. E o fato de a aplicação SaaS não estar dentro da empresa gera mais algumas preocupações em relação à segurança.

Vamos falar sobre essas questões abaixo:

  • Usuário e senha: da mesma forma que dados de acesso são sensíveis para aplicações que ficam dentro da empresa, também o são para aplicações que ficam na nuvem. É necessário usar senhas fortes, misturando maiúsculas, minúsculas e números. Se possível, é bom usar caracteres especiais. Como essa aplicação não está dentro da sua empresa, muito provavelmente o cadastro de usuários não está ligado ao cadastro de logins de sua empresa. Por esse motivo é importante ter especial atenção ao processo de desligamento de funcionários para garantir que nesse processo esteja previsto remover ou desabilitar o acesso desse funcionário à aplicação SaaS. Outro ponto importante a ser lembrado é que o fato de a aplicação estar na internet faz com que outras pessoas que não sejam os funcionários de sua empresa possam tentar acessar a aplicação. Mais uma razão para caprichar na definição das senhas e não descuidar da política de desligamento de funcionários.
  • Compartilhamento de infra-estrutura: normalmente nos provedores de aplicações SaaS a infra-estrutura (servidores, bancos de dados, storage, etc.) são compartilhados entre mais de um cliente. É isso que permite preços tão acessíveis se comparados com o custo de instalar e manter a aplicação dentro da empresa. Aqui a preocupação deve ser com a qualidade de desenvolvimento da aplicação SaaS. Ela tem que ser desenvolvida com o conceito em mente de isolamento completo entre dados de clientes. Imagine que sua empresa é cliente do serviço de email de um provedor e, num belo dia, ao abrir sua caixa postal, você vê mensagens que deveriam ser de outra caixa postal. Aqui a dica é pesquisar por referências sobre esse provedor de aplicações SaaS que você estiver pensando em contratar. Procure falar com clientes e ex-clientes para conhecer sua satisfação com o serviço prestado.
  • Tráfego de informações sensíveis: outra preocupação muito comum é se é possível ver os dados que são trafegados pela internet quando seus funcionários acessam a aplicação SaaS. Se a aplicação não estiver usando SSL/TSL, comum em sites de internet banking, lojas virtuais e e-brookers, os dados que serão trafegados pela internet poderão ser vistos por pessoas mal intencionadas com o conhecimento necessário para fazer isso. Apesar da preocupação que isso gera, é importante sempre ponderar sobre qual é a importância de os dados trafegados não poderem ser vistos por ninguém. Se os dados não forem sigilosos, não há necessidade de se preocupar com esse tema. Por outro lado, se há essa preocupação e real necessidade de sigilo no tráfego das informações, o recomendado é procurar um provedor de serviços SaaS que forneça acesso à aplicação via SSL/TSL.

O que te preocupa em relação à segurança de cloud?

Gostaríamos de ouvir de você, qual a sua preocupação em relação à segurança de cloud, quer seja cloud computing, quer seja SaaS. Mande sua dúvida, preocupação ou consideração em um comentário abaixo para podermos iniciar uma conversa sobre esse tema tão relevante para todos nós.

 

Confira como sobreviver na nuvem : Guia de Cloud Computing

Exibir ComentáriosOcultar Comentários

17 Comments

  • Geraldo
    Posted 26/04/2010 at 08:39 0Likes

    Bom dia, gostaria primeiramente antes de começar um dialogo sobre o assunto saber o fator que difere CLOUD COMPUTING de SAAS?

    Obrigado

  • Alexandre Ribenboim
    Posted 26/04/2010 at 08:53 0Likes

    Caros amigos da Locaweb,
    Como vocês utilizaram um parágrafo do meu post no RWW acima, gostaria de ver meu nome associado ao parágrafo, como uma forma de creditá-lo ao autor e não ao blog no qual o parágrafo/artigo apareceu.
    Agradeço pela citação.
    Um abraço,
    Alexandre.

  • Joca
    Posted 26/04/2010 at 11:44 0Likes

    Geraldo,

    Aqui na Locaweb consideramos como Cloud Computing os serviços de infra-estrutura virtualizada, ou seja, virtualização de servidores, armazenamento de dados, elementos de rede. É um serviço voltado para pessoas mais técnicas.

    Já SaaS são aplicações que rodam na nuvem como Email, Lojas Virtuais, Email Marketing, PABX Virtual entre outras.

    Tenho visto esse uso também nos EUA. Por outro lado, aqui no Brasil vejo várias pessoas usando Cloud Computing como sinônimo de SaaS.

    []s,
    Joca.

  • Joca
    Posted 26/04/2010 at 11:46 0Likes

    Alexandre,

    Claro! Acabo de fazer um update no artigo.

    []s,
    Joca.

  • Diego Gomes
    Posted 26/04/2010 at 16:03 0Likes

    Olá Pessoal. Obrigado por citarem o RWW por aqui. Acompanho os blogs da Locaweb a bastante tempo e acho que vocês mandam muito bem.

    Grande Abraço,

  • Joca
    Posted 26/04/2010 at 19:43 0Likes

    Obrigado, Diego!

    Tb acompanhamos a RWW e a RWW Brasil e gostamos bastante.

    []s,
    Joca.

  • Kadu
    Posted 03/05/2010 at 13:35 0Likes

    Ola

    Qual o contato para saber sobre a possibilidade de vocês darem uma palestra sobre Cloud na Faculdade que trabalho?

  • Joca
    Posted 03/05/2010 at 15:35 0Likes

    Oi Kadu,

    Vou direcionar o seu contato para a pessoa responsável.

    []s,
    Joca.

  • Ricardo
    Posted 07/05/2010 at 19:59 0Likes

    Prezados,

    Gostaria de entender porque o cloud tem tantos problemas de disponibilidade de serviço?

    Não é aceitavel para uma empresa que precisa estar 24×7 na web ter uma indisponibilidade tão grande de serviço. Gostaria de saber se este tipo de problema vai persistir ou se alguma ação esta sendo tomada para garantir mais disponibilidade?

    Abaixo um relatório de abril de todas as indisponibilidades de servico, não é demasiadamente alto?

    Cloud Computing Alguns servidores indisponíveis
    28/04 – 10:20h

    Cloud Computing – Alguns servidores indisponíveis.
    26/04 – 19:00h

    Cloud Gerenciado pela Locaweb – Possível instabilidade
    26/04 – 02:05h

    Instabilidade Rede
    24/04 – 11:00 h

    Cloud Computing – Alguns servidores indisponíveis
    20/04 – 07:10h

    Cloud Computing- Alguns Servidores Indisponíveis
    19/04 – 19:30h

    Instabilidade Rede
    19/04 12:13h:

    Cloud Computing- Alguns Servidores Indisponíveis
    17/04 – 11:52h

    Cloud Computing – Alguns servidores indisponíveis
    17/04 – 04:05h

    Cloud Computing – Alguns servidores indisponíveis
    15/04 – 09:00h

    Cloud Computing – Alguns servidores indisponíveis
    14/04 – 23:20h

    Cloud Computing – Alguns servidores indisponíveis
    14/04 – 21:00h

    Instabilidade Rede
    12/04 – 23:15h

    Alguns servidores Cloud Computing Gerenciados pelo cliente indisponíveis
    09/04 – 00:30h

    Cloud Computing – Servidores Windows e Linux gerenciados pela Locaweb ou pelo Cliente
    06/04 – 15:45h

    Instabilidade Rede
    06/04 – 14:00h:

    Cloud Computing – Servidores Windows e Linux gerenciados pelo Locaweb ou pelo Cliente
    05/04 – 18:10h

    Instabilidade Rede
    05/04 – 20:34h:

    Cloud Computing – Servidores Windows com Gerenciamento pela Locaweb
    04/04 – 03:20h

  • Rafael Rosa
    Posted 12/05/2010 at 20:07 0Likes

    Olá Ricardo,

    Nosso status blog é atualizado sempre que encontramos algum problema que acreditamos ser importante informar, para que tenhamos uma relação transparente com nossos clientes. Nossa estrutura é muito grande, temos centenas de servidores e milhares de máquinas virtuais, e mesmo que um problema afete apenas uma pequena parte delas, nós atualizamos o status blog com essa informação, o que causa esses avisos.

    Além disso, devemos ter em mente que serviços de informática dependem de equipamentos físicos, e por vezes eles falham. Nossa estrutura é montada de forma a impedir que a quebra de uma máquina não afete toda a estrutura, e que tenhamos tempo para corrigir os problemas sem afetar a disponibilidade do serviço. Isso se reflete no nosso SLA (service level agreement) de 99,9%, ou seja, sua máquina estará funcionando e disponível 99,9% do tempo e se isso não acontecer iremos dar descontos na sua fatura para recompensá-lo, conforme as regras da cláusula 19 do contrato de prestação de serviços.

    Por fim, gostaria de ressaltar que temos equipes inteiras dedicadas à manutenção e melhoria da nossa infraestrutura e serviços, nosso objetivo é oferecer serviços tão bons que vocês nunca terão de se preocupar com sua infraestrutura, apenas com seu negócio.

    Espero ter esclarecido a questão da disponibilidade do cloud e o funcionamento do status blog. Se tiver dúvidas, por favor, entre em contato, estamos à disposição.

    Atenciosamente,
    Rafael Rosa
    Locaweb – Cloud Computing

  • Trackback: Blog Oficial da Locaweb » Blog Archive » O cloud é seguro?
  • Pedro Puppim
    Posted 18/05/2010 at 15:29 0Likes

    Estamos a 3 meses utilizando um Cloud Locaweb, e apesar de algumas instabilidades em alguns dias o serviço está agradando. No meu caso utilizamos o gerenciamento pela Locaweb, pagamos um valor consideravel e recebemos o mesmo suporte que os clientes de hospedagem gostaria que isso fosse revisto.

  • Joca
    Posted 18/05/2010 at 20:45 0Likes

    Olá Pedro,

    Bom saber que vc está gostando do Cloud Locaweb.

    O que vc gostaria que fosse revisto, o preço ou o suporte?

    []s,
    Joca.

  • Janio
    Posted 19/06/2010 at 12:53 0Likes

    Olá !
    Tenho interesse em criar uma loja virtual !
    Peço por gentileza que me mandem por e-mail. links de lojas virtuais que usam os serviços Locaweb !
    Agradeço a atenção
    Adm. Jânio F R Soares

  • Joaquim Torres
    Posted 21/07/2010 at 16:04 0Likes

    Olá Jânio,

    Vou direcionar seu pedido para o pessoal responsável.

    []s,
    Joca.

  • Roberto Santoro
    Posted 22/07/2010 at 13:46 0Likes

    Atualmente eu possuo duas duvidas referentes a estrutura da Locaweb e gostaria que alguem pudesse responde-las:

    1-) Qual o tipo de equipamento de segurança (Firewall em software ou hardware) a Locaweb possui para garantir a segurança dos servidores do Dedicated Cloud e do Private Cloud ?

    2-) Qual o motivo pelo qual a Locaweb ainda não disponibilizou um Painel de Controle para que os clientes do Private Cloud pudesse administrar seus servidores ?

    Obrigado,

    Roberto Santoro.

  • Rodrigo Hortenciano
    Posted 29/07/2010 at 21:02 0Likes

    Olá Roberto!

    Respondendo à suas perguntas relacionadas ao Cloud e nossa infraestrutura:

    1- Sobre nossa infraestrutura, temos um conteúdo completo em -> http://www.locaweb.com.br/sobre-locaweb/infraestrutura.html.

    2- Sobre termos um painel para o private cloud, estamos reestruturando nossa plataforma de cloud e isso inclui um novo painel e mais facilidade para criarmos private clouds que poderão ser gerenciadas mais facilmente pelos nossos clientes, no momento ainda sem previsão.
    A nova plataforma deve ir ao ar no segundo semestre para a cloud pública e depois disso, trabalharemos sobre ter clouds privadas com painel.

    Atenciosamente,

Comments are closed.