O cloud é seguro?

em Produtos, Tecnologia.

Tenho visto esse questionamento feito com frequência na mídia, em blogs, em fóruns, no Twitter e gostaria de endereçar algumas dessas preocupações nesse post.

Primeiro, o que é cloud?

Antes de falar da segurança do cloud, gostaria de comentar sobre o uso do termo cloud. Já vi em alguns dos textos referenciados acima o termo cloud sendo usado como sinônimo de infra-estrutura virtualizada, ou seja, virtualização de servidores, armazenamento de dados, elementos de rede. É o que denominamos aqui na Locaweb como Cloud Computing. Caso você tenha dúvidas sobre esse tipo de serviço, recomendo assistir ao vídeo abaixo:

Também já li textos que consideram aplicações web como o Email Marketing, as soluções de Comércio Eletrônico, o PABX Virtual e até mesmo o Mobimail da Locaweb como sendo aplicações que rodam na nuvem, ou como “cloud computing”, como fica bem claro nesse artigo da Read Write Web Brasil, [update] escrito por Alexandre Ribenboim [/update], que tem por primeiro parágrafo:

O uso das ferramentas em nuvem (#cloud computing, software as a service #saas) é cada vez mais comum nas empresas, principalmente, as pequenas e médias que têm severas restrições financeiras para investir em equipamentos e software, pagar para desenvolver ou customizar sistemas e, ainda, arcar com as despesas mensais de manutenção de tudo isto: upgrades de hardware e software, suporte de TI, infraestrutura de segurança e monitoramento 24×7, entre outros.

Nós aqui na Locaweb chamamos esse tipo de cloud ou aplicação web de SaaS (Software as a Service). Para uma explicação mais detalhada sobre SaaS, recomendo esse artigo da Wikipedia.

E afinal, o cloud é seguro?

Um provedor de cloud, quer seja de cloud computing, quer seja de SaaS tem equipes dedicadas à segurança dos sistemas, o que é uma raridade fora das empresas de TI. Quantas empresas que não têm TI como seu core business têm um serviço de monitoração 24 horas? Ou até mesmo nas empresas que têm TI como core business, quantas tem monitoração 24 horas?Técnicos dedicados ao projeto e à manutenção de infra-estrutura de TI? Geradores e redundância de equipamentos? Backup dos dados? Backup da aplicação? É a segurança de ter os dados e o serviço de TI sempre disponível.

No caso mais específico de SaaS, além da garantia de disponibilidade da infra-estrutura onde a aplicação reside, não podemos esquecer da segurança na gestão do acesso à aplicação. Nas aplicações SaaS, assim como em qualquer aplicação que resida dentro de uma empresa, por exemplo um CRM ou uma folha de pagamento, existe o controle de acesso que normalmente é feito por meio de um usuário e senha. E o fato de a aplicação SaaS não estar dentro da empresa gera mais algumas preocupações em relação à segurança.

Vamos falar sobre essas questões abaixo:

  • Usuário e senha: da mesma forma que dados de acesso são sensíveis para aplicações que ficam dentro da empresa, também o são para aplicações que ficam na nuvem. É necessário usar senhas fortes, misturando maiúsculas, minúsculas e números. Se possível, é bom usar caracteres especiais. Como essa aplicação não está dentro da sua empresa, muito provavelmente o cadastro de usuários não está ligado ao cadastro de logins de sua empresa. Por esse motivo é importante ter especial atenção ao processo de desligamento de funcionários para garantir que nesse processo esteja previsto remover ou desabilitar o acesso desse funcionário à aplicação SaaS. Outro ponto importante a ser lembrado é que o fato de a aplicação estar na internet faz com que outras pessoas que não sejam os funcionários de sua empresa possam tentar acessar a aplicação. Mais uma razão para caprichar na definição das senhas e não descuidar da política de desligamento de funcionários.
  • Compartilhamento de infra-estrutura: normalmente nos provedores de aplicações SaaS a infra-estrutura (servidores, bancos de dados, storage, etc.) são compartilhados entre mais de um cliente. É isso que permite preços tão acessíveis se comparados com o custo de instalar e manter a aplicação dentro da empresa. Aqui a preocupação deve ser com a qualidade de desenvolvimento da aplicação SaaS. Ela tem que ser desenvolvida com o conceito em mente de isolamento completo entre dados de clientes. Imagine que sua empresa é cliente do serviço de email de um provedor e, num belo dia, ao abrir sua caixa postal, você vê mensagens que deveriam ser de outra caixa postal. Aqui a dica é pesquisar por referências sobre esse provedor de aplicações SaaS que você estiver pensando em contratar. Procure falar com clientes e ex-clientes para conhecer sua satisfação com o serviço prestado.
  • Tráfego de informações sensíveis: outra preocupação muito comum é se é possível ver os dados que são trafegados pela internet quando seus funcionários acessam a aplicação SaaS. Se a aplicação não estiver usando SSL/TSL, comum em sites de internet banking, lojas virtuais e e-brookers, os dados que serão trafegados pela internet poderão ser vistos por pessoas mal intencionadas com o conhecimento necessário para fazer isso. Apesar da preocupação que isso gera, é importante sempre ponderar sobre qual é a importância de os dados trafegados não poderem ser vistos por ninguém. Se os dados não forem sigilosos, não há necessidade de se preocupar com esse tema. Por outro lado, se há essa preocupação e real necessidade de sigilo no tráfego das informações, o recomendado é procurar um provedor de serviços SaaS que forneça acesso à aplicação via SSL/TSL.

O que te preocupa em relação à segurança de cloud?

Gostaríamos de ouvir de você, qual a sua preocupação em relação à segurança de cloud, quer seja cloud computing, quer seja SaaS. Mande sua dúvida, preocupação ou consideração em um comentário abaixo para podermos iniciar uma conversa sobre esse tema tão relevante para todos nós.