Objetivo é melhorar a compreensão dos parâmetros de proteção na nuvem e dos potenciais indicadores e métodos que podem ser utilizados para medi-la durante a prestação dos serviços.
Os usuários precisam questionar melhor os fornecedores de cloud sobre os pontos mais delicados da gestão de disponibilidade e de vulnerabilidade dos serviços antes da assinatura dos contratos, prega o guia de boas práticas recém lançado pela Agência Europeia para a Segurança da Informação (ENISA). O documento será apresentado em detalhes na SecureCloud 2012, conferência europeia que aborda segurança na nuvem.
O objetivo da ENISA é melhorar a compreensão do setor público para a segurança dos serviços em nuvem e os potenciais indicadores e métodos que podem ser utilizados durante a prestação de serviços, segundo os autores. E também tornar os usuários capazes monitorar e verificar de forma contínua, ao longo do ciclo de vida de um contrato de nuvem, se todos os requisitos de segurança estão contemplados.
No entender dos autores do guia, a avaliação dos contratos de aquisição e de gestão para serviços de cloud é uma tarefa cada vez mais importante para as equipes de TI. “As organizações começaram a mudar de sistemas internos para a terceirização e utilização de serviços em nuvem. Assim, as capacidades e o foco da equipe de TI têm de mudar”, diz Marnix Dekker, coautor do relatório.
“É preciso ter a certeza de que a solução a ser contratada se encaixa nas necessidades de segurança”, refere Dekker.
Até agora, muito do foco tem sido na garantia de que as medidas de segurança adequadas estão funcionando, mas não tanto na forma como devem funcionar a partir do momento em que o cloud computing estiverem efetivamente em uso, de acordo com Dekker.
Quando se trata de disponibilidade de serviço – o que não é apenas um requisito de segurança, mas um requisito de negócio – as pessoas ainda têm problemas para especificar como deve ser definida e reportada.
“O que se vê frequentemente é uma afirmação muito genérica de que como o serviço deve ser instalado e deve funcionar, sem pensar em que funções devem ser instaladas”, diz.
O serviço pode demorar 15 minutos para enviar um e-mail, mas o prestador de serviços em nuvem pode dizer que o serviço não está “fora do ar”, de acordo com Dekker. É por isso que é importante pensar para lá do serviço estar disponível e de como isso deve ser medido, segundo ele.
A resposta a incidentes, que pode estar relacionada com a disponibilidade e a segurança, também é importante.
“É difícil escrever no contrato o quão rapidamente os incidentes devem ser resolvidos, até porque eles podem ser muito complicados de solucionar. Mas para os usuários é importante obter dados sobre o quão rápido os incidentes foram ou não resolvidos”, disse Dekker.
“Quando os usuários conhecem melhor as implicações da migração para a nuvem e fazem as perguntas certas, os melhores fornecedores de cloud são capazes respondê-las a contento, tornando a segurança melhor”, pondera Dekker.
O guia fornece uma descrição detalhada de cada parâmetro de segurança que deve estar coberto no contrato, o que medir e como. Os parâmetros são:
1. Disponibilidade do serviço
- Que funções devem ser cobertas pelo monitoramento de disponibilidade?
- Como definir quando um sistema está indisponível.
- Como a disponibilidade é medida (por exemplo, relatórios de usuários, solicitações de amostras).
2. Resposta a incidentes
- Definição dos tempos de resposta mínimos.
- Classificação da gravidade dos incidentes.
- Capacidades de Incidentes de gestão em vigor para os sistemas de controle do cliente.
3. Serviço de elasticidade e tolerância de carga
- Que testes de elasticidade são realizados (testes de ruptura etc).
4. Gestão de dados de ciclo de vida
- Monitoramento de back-up de operações e testes. Por exemplo, idade da maioria dos dados restaurados.
- Exportação de resultados de teste: por exemplo, verificação de integridade e analisar de acordo com formatos bem definidos.
- Testes independentes de disponibilidade e desempenho de back-ups.
5. Conformidade técnica e gerenciamento de vulnerabilidades
- Definição de um conjunto de opções de configuração relacionadas à segurança.
- Atualizações de software e patches a serem aplicadas.
- Procedimentos para descoberta de vulnerabilidades e relatórios, incluindo por um confiável de terceiros.
6. Gestão da mudança
- Períodos de mudanças críticas para a configuração do sistema.
- Notificação.
- Disparadores implementados para eventos críticos, tais como perda de status de certificação (por exemplo, ISO), mudanças significativas nos processos de segurança (por exemplo, comprimentos de chave).
7. Isolamento de dados
- Tipos de isolamento dos dados monitorados. Por exemplo, memória, dados em repouso, eliminação segura.
- Como definir critérios para uma falha no isolamento de desempenho.
- Como dados e desempenho de isolamento serão testados de forma independente.
8. Entrar gestão e análise forense
- Os logs são testados freqüentemente para a disponibilidade?
- Controles cruzados com os clientes do próprio evento de log-sistemas (logs por exemplo, firewall).
- Há registros de eventos relevantes nos sistemas sob seu controle?
Nenhum comentário:
Postar um comentário
deixe aqui seu comentário