Sie sind auf Seite 1von 7

UNIVERSIDADE ESTADUAL DO MARANHÃO

CENTRO DE CIÊNCIAS TECNOLÓGICAS


CURSO DE ENGENHARIA DE COMPUTAÇÃO

ANÁLISE DE RISCO NTC CLOUD COMPUTING

São Luís – MA
2018

1
SUMÁRIO

1. CLOUD, IaaS E NUVEM PÚBLICA ......................................................................3


2. ANÁLISE DE RISCO..............................................................................................4
2.1.1.Análise de risco geral na Infraestrutura como Serviço (IaaS).............................5
3. ATIVOS E RISCOS………………………………….……………………...…….7

2
1. CLOUD, IaaS E NUVEM PÚBLICA

Nos últimos anos a oferta de serviços de Tecnologias de Informação (TI) em


infraestruturas, plataformas e aplicações na Cloud tem crescido de forma exponencial, como
resposta aos desafios dos mercados, sujeitas a variações extremas que requerem respostas
rápidas e flexíveis por parte das TI.
Os impactos na gestão e nas operações diárias das empresas são, no entanto, inúmeros:
Riscos de segurança, ameaças de exposição da privacidade dos dados sensíveis das empresas,
riscos de disponibilidade dos serviços ou riscos de conformidade com requisitos legais e
estatutários [Thor Olavsrud, 2012]. Alguns exemplos de falhas em larga escala são dos
serviços da Amazon, em 2011, as vulnerabilidades da Dropbox, que permitiram o acesso de
utilizadores aos dados de outros utilizadores sem autorização, riscos estimáveis, mas que são
uma barreira difícil de ultrapassar para as empresas, os Cloud Services Customer (CSC),
ponderem migrar os seus serviços de TI empresariais para um modelo de Cloud Computing.
Estes aspectos reforçam o argumento da necessidade destes riscos serem tratados e
controlados de modo a não interferirem no alinhamento estratégico do Cloud Computing com
os objetivos do negócio do cliente, o CSC.
O modelo de negócio da empresa é o Infrastructure as a Service (IaaS)
correspondente ao menor nível de abstração, uma vez que inclui apenas infraestrutura, como
instalações, hardware, storage e recursos de processamento. O IaaS ajuda a evitar gastos e
complexidade de comprar e gerenciar seus próprios servidores físicos e outras infraestruturas
do datacenter e cada recurso é oferecido como um componente de serviço separado e só pode
alugar um específico pelo tempo que precisar.
Por último, nuvem pública é definida como uma série de serviços de computação
oferecidos por terceiros à Internet pública, os quais são disponibilizados a qualquer pessoa
que queira utilizá-los ou comprá-los. Eles podem ser gratuitos ou vendidos sob demanda,
permitindo que os clientes paguem apenas pelo seu consumo de ciclos de CPU,
armazenamento ou largura de banda.

3
2. ANÁLISE DE RISCO

A NTC Cloud Computing é uma empresa de fornecimentos de serviço em nuvem


baseado na estrutura de IaaS(Infraestrutura como serviço) com enfoque em espaço de
armazenamento de dados para o cliente. A sua missão é:
● Prover serviços de armazenamento em nuvem
● Deter o equipamento e ser responsável pela sua manutenção
● Segurança e gerência dos dados do cliente

A nível da estrutura funcional, atualmente o organismo tem cerca de 70 colaboradores,


distribuídos nas mais diversas áreas, como RH, Gestão de TI, Sócios e etc.

Atual infraestrutura da NTC a nível de equipamentos informáticos e software é constituída


por:
● 5 servidores físicos em cada região nacional e cerca de 10 servidores virtuais
● 50 equipamentos de comunicações e segurança (Firewalls, Proxys, Switchs e Routers)
● Bases de dados, email, proxy, sharepoint, aplicação de suporte ao utilizador,
monitorização de servidores e comunicações, nuvem pública, VM’s..

4
2.1 Análise de risco geral na Infraestrutura como Serviço (IaaS)
São identificados e caracterizados alguns potenciais riscos geradores de eventos com
impacto negativo, classificados de acordo com a ameaça produzida ou seja o risco que
representam para a empresa cliente, os Cloud Services Customer (CSC). Estes riscos são
tipificados em Indisponibilidade da informação, Perda, Roubo, ou Divulgação de dados
sensíveis.
O modelo de serviço IaaS permite a um CSC usar determinada infraestrutura, que
pode ir desde as instalações para alojar equipamentos informáticos em ambiente perfeitamente
controlado, até aos equipamentos propriamente ditos, como servidores, processadores,
memória RAM, espaço para guardar informação (storage) e serviços de rede (switching e
networking). Destacamos alguns fatores de riscos do IaaS:
● Multitenancy e falha de isolamento – incorpora riscos de Roubo e/ou Divulgação -
um dos grandes benefícios da Cloud reside na possibilidade de partilha de recursos de
hardware e software por várias entidades (tenants). Neste ambiente multitenant é
fundamental que os recursos partilhados sejam totalmente isolados e protegidos de
forma que não haja divulgação de dados por outros tenants, por exemplo em situações
de realocação de recursos, sendo esse o risco que deve ser controlado e mitigado;
● Falta de visibilidade das medidas técnicas de segurança no local - inclui riscos de
Perda, Roubo, Indisponibilidade e/ou Divulgação - Responsabilidade da NTC fornecer
as capacidades contratadas, garantindo que não tenha falhas de segurança através de
uma adequada governação e política de segurança que vá de encontro às necessidades
do cliente;
● Ausência de Disaster Recovery Plan (DRP) e backup – inclui riscos de
Indisponibilidade e/ou Perda - este fator implica um alto grau de risco pelo que a NTC
deve assegurar estas medidas básicas preventivas alinhadas com as necessidades do
cliente;
● Segurança física – integra riscos de Roubo e/ou Divulgação - no modelo IaaS em que
os recursos são partilhados por várias entidades, é essencial que a NTC assegure
medidas de segurança física [ISO/IEC 27002:2013] que previnam o acesso não
autorizado ou a destruição de informação sensível ou vital; A segurança física diz
respeito às instalações dos servidores. Os cuidados envolvem manter a temperatura do
local em níveis baixos, possuir fonte de energia elétrica alternativa e permitir que

5
apenas funcionários autorizados frequentem o espaço onde estão instalados os
servidores, por isso a utilização de backups caso ocorra algo inesperado.
● Eliminação dos dados – inclui risco de Divulgação - o CSP deve garantir medidas
adequadas de destruição da informação depois de terminados os contratos, de forma a
evitar a recuperação e divulgação de informação crítica e sensível dos clientes;
● Infraestrutura Offshoring – integra riscos de Indisponibilidade, Perda, Roubo e/ou
Divulgação - a mudança para uma infraestrutura offshoring( Infraestrutura de baixo
custo) aumenta a possibilidade de ataques que poderão afetar os ativos no cloud da
organização. Normalmente estes ataques são perpetuados através das comunicações,
expondo tanto a “nuvem” como a infraestrutura interna da organização, tanto do cliente
como do CSP;
● Autenticidade do Cloud Service Provider – incorpora riscos de Indisponibilidade,
Perda, Roubo e/ou Divulgação - é da responsabilidade do cliente dos serviços de TI na
Cloud a verificação da autenticidade e credibilidade do CSP, nomeadamente quanto à
sua “saúde” financeira, rentabilidade dos últimos 3 anos, referências de mercado e
garantias de terceiros.

6
3. Ativos e riscos
É fundamental conhecer e analisar a infraestrutura da empresa para prevenir
problemas futuros que possam prejudicar a empresa, abaixo podemos analisar algumas tabelas
que detalham e falam de forma mais específica quais seriam os ativos, físicos e virtuais, da
NTC Cloud Computing, associando-os a suas respectivas características dentro da empresa,
suas vulnerabilidades e seus riscos.

Nome do
Categoria Ativo Relevância Confidencialidade Integridade
Equipamentos Roteador Muito Alta Alta Muito Alta
Equipamentos DataCenter Muito Alta Muito Alta Muito Alta
Serviço Web Firewall Baixa Muito Alta Muito Alta
Suporte No-Break Muito Alta Baixa Baixa
Suporte Gestão de TI Muito Alta Alta Alta
Equipamentos CFTV Muito Alta Médio Médio
Cabeamento Servidores Alta Muito Alta Muito Alta
Serviço Web Backup Baixa Muito Alta Muito Alta
Serviço Web Storages Alta Alta Muito Alta
Tabela 1. Ativos e suas características dentro da empresa

Ativo Tipo de Ameaça Ameaça Aplicável Vulnerabilidade


Roteador Ameaça à Disponibilidade Ataque DDoS Portas Abertas
Danificação de
DataCenter Ameaça à Disponibilidade Equipamentos Fenômenos Naturais
Firewall Ameaça à Integridade Hacking Malwares
No-Break Ameaça à Disponibilidade Queda de energia Falta de Gerador
Funcionários mal
Gestão de TI Ameaça à Disponibilidade Má uso de equipamentos treinados
Comprometimento de
Servidores Ameaça à Integridade dados Fácil acesso ao servidor
Tabela 2. Ativos e suas vulnerabilidades

Das könnte Ihnen auch gefallen