Pesquisa avalia segurança na nuvem computacional com uso de métricas

Lançadas em 2009, dando início a uma nova era na Tecnologia da Informação (TI), as nuvens computacionais oferecem serviços de processamento, armazenamento de dados, banco de dados, e-mails, e outros que podem ser acessados em qualquer lugar do mundo, a qualquer instante, desde que haja uma oferta do serviço de conexão de internet. Mas quais as garantias de segurança nestes serviços?

A pesquisa “Gerenciamento de Nuvem Computacional usando critérios de segurança”, desenvolvida pelo professor Carlos Alberto da Silva, da Faculdade de Computação (Facom), responde esta questão de como melhorar a confiabilidade na nuvem computacional, por meio de utilização de métricas de segurança.

Uma nuvem computacional é um serviço provido por um terceiro, que depende de uma internet de boa velocidade para ser utilizada. Quando o usuário transfere seus dados pessoais ou da sua empresa para uma nuvem, a principal preocupação neste processo é identificar o nível de segurança que proverá o serviço contratado pelo terceiro em relação aos seus dados ou informações transferidas.

Baseados nesses critérios de segurança, o usuário precisa analisar criteriosamente as ofertas do serviço, que devem estar especificados por meio de políticas de segurança. “Esses sistemas em nuvem são complexos, grandes, e essas políticas de segurança que os terceiros oferecem nem sempre seguem a um padrão internacional, tais informações desiguais geram confusão para os usuários e a empresa no processo de escolha e contratação”, explica o professor.

O National Institute of Standards and Technology (NIST) é o órgão que mais colabora com as definições das normas, regulamentos, sugestões, políticas de seguranças, critérios de segurança, estruturas de segurança, tudo centrado para o ambiente de nuvem. Em 2015, o Instituto soltou uma versão rascunho do documento que serviu de consulta aos provedores de serviços na nuvem, identificando quais critérios de segurança deveriam ser inseridos e gerenciados pelos Acordos de Nível de Serviço, conhecidos como Service Level Agreement (SLA).

Essa versão rascunho ouviu as empresas e pesquisadores que utilizam métricas de segurança como parâmetros para medir o nível de segurança oferecido pelos provedores de serviços em nuvem – que é exatamente medir e apresentar um número como o nível de segurança aferido para tal serviço que está sendo oferecido.

Ou seja, questões como: Quanto tempo é atualizado um serviço de banco de dados (horas, dias, meses, anos)? Qual o número de incidentes de segurança registrados para o serviço de banco de dados ? Qual o tempo de reparo do banco de dados em caso de incidentes (horas, dias, meses, anos)? Quando tempo o serviço contratado ficou indisponível (horas, dias, meses, anos)? e outras medidas (métricas) de eficiência, desempenho, segurança, etc.

“Se o usuário contrata um serviço, e no SLA está especificado como o serviço será provido, tal documento pode utilizar métricas como parâmetros de contrato para aferir a qualidade dos serviços providos, assim como, os critérios de segurança podem ser especificados para administrar e gerenciar melhor os serviços da nuvem, mostrando se o provedor está cumprindo o contrato ou não, e no caso de não cumprimentos das cláusulas quais as “punições” ou “compensações” que o SLA especifica”, expõe o pesquisador.

Essas métricas, quando especificadas em Security-SLA (Acordo de Nível de Serviço de Segurança), seriam uma forma de exigir a contrapartida dos provedores de serviços na nuvem, em relação ao nível de segurança prometido. Em abril de 2018, foi publicado o documento oficial do NIST (NIST.SP.500-307) que irá orientar os provedores de serviços em nuvem a utilizarem métricas de desempenho, eficiência, manutenção, etc., para aferir os níveis de qualidades dos serviços e, consequentemente, comparar a qualidades dos provedores entre si para que um usuário possa escolher qual provedor melhor atende às suas necessidades.

Como utilizar a métrica

A métrica é um valor medido em ambientes baseados nos parâmetro de medição, e é preciso saber converter a métrica básica em uma complexa. “A minha tese de doutorado descreve exatamente tal processo para métricas de segurança e como utilizá-las de uma forma que realmente expresse qual o melhor provedor, qual o melhor serviço, e se este provedor está realmente preocupado com segurança. As métricas existem para proteger o indivíduo, ou uma empresa”.

A pesquisa gerou cerca de 500 métricas de segurança, desempenho, disponibilidades, eficiência, etc., e foram implementadas por volta de 230 para provar que a metodologia funciona. “Testei, mostrei as fórmulas e montei uma escala de zero (não confiável) a quatro (confiável) para classificar o nível de serviços dos provedores. Fazendo essas relações, chegamos a conclusão de que quatro é um excelente provedor, e zero é preocupante. A maioria dos provedores de serviços na nuvem estão entre um e dois”, diz.

As empresas que prestam serviços de nuvem computacional ainda não possuem os mesmos portifólios de métricas, os mesmos parâmetros para métricas implementadas e devem levar ao menos três anos, segundo o pesquisador, para se enquadrarem em todas as regras do NIST. Só assim será possível fazer uma real comparação entre os serviços providos e a segurança aferida.

Banco de dados, site hospedado e provedor de e-mail são serviços distintos, mas a infraestrutura de servidores, redes, todos estes hardwares e softwares são iguais, o que permitirá fazer comparações entre as métricas aferidas entre eles.  “Hoje as empresas não conseguem prestar contas porque ainda não há um padrão entre as métricas”, afirma Carlos Alberto.

O professor lembra que a tecnologia de nuvens computacionais ainda é muito nova, o que representa pouco tempo para uma tecnologia estar complementa definida e sólida, ou padronizada no mercado. As tecnologias de Bancos de Dados e Sistemas Operacionais, por exemplos, levaram cerca de 30 anos para se consolidarem.

“O NIST está definindo boas práticas e especificando normas de comportamentos para os usuários e para os provedores de serviços na nuvem. A tendência é de que os provedores desses serviços se enquadrem nestas normas. Mas nunca se alcançará o nível máximo em segurança porque sempre vai haver hackers, ataques, vulnerabilidades e ameaças na rede mundial de computadores. Na medida em que se protege, o outro avança para burlar o sistema também”.

Tendência

Não há como negar que a nuvem veio para tomar conta do mercado. Uma empresa com uma matriz e três filiais, por exemplo, gastaria anualmente com dois servidores e softwares cerca de R$ 100 mil, enquanto se contratasse um serviço na nuvem gastaria aproximadamente R$ 10 mil, ou seja, apenas 10% do custo atual.

Dessa forma, a tendência é de que as empresas não tenham mais em suas sedes um CPD, mas terceirizem definitivamente todo o processamento, armazenamento de dado e conexão.

Além disso, garante o professor, existe o fator produtividade, já que quando se está na nuvem tudo está atualizado na última versão de segurança, de estrutura de rede, sistemas operacionais, banco de dados, em comparação com uma empresa que investe direto nestas estruturas de hardware e software.

“Consequentemente, quando se pega uma empresa que desenvolve software, como Google, ou Microsoft, quando padroniza e utiliza as nuvens, o seu ambiente de desenvolvimento do software pode obter uma aceleração em mais ou menos 70%. Na nuvem, a configuração é padrão, mas o principal fator limitante do serviço é a internet, que precisa ser muito boa”, completa o pesquisador.

No ano passado, o professor deu início a uma nova pesquisa de segurança computacional que abrange métricas para qualquer ambiente computacional, como mobiles (celular, tablet), carros autônomos, internet das coisas, entre outros. A pesquisa está inserida em cinco Trabalhos de Conclusão de Curso (TCC) e cinco de iniciação científica.

A utilização de métricas de seguranças permitirá comparações de questões de politicas de seguranças aplicadas, de desempenho, de eficiência, de disponibilidade para os serviços oferecidos na nuvem pelos provedores, e é possível calcular o retorno de investimentos em segurança usando métricas de segurança, entre outras possibilidades.

Paula Pimenta