Introdução

As aplicações desenvolvidas e hospedadas em servidores remotos já são uma realidade. Observamos a migração de alguns serviços de datacenters dedicados para aplicações em “nuvem” (cloud computing).

Há muitas razões para o uso de cloud computing entre elas:

-       Economia no custo de suporte

-       Diminuição de custos de hardware e software

-       Atualização de serviços e soluções mais simples

-       Liberação de espaço (máquinas) na área de TI

-       Modelo SaaS (“Software As A Service”)

Existem muitos provedores de serviços e infraestrutura para cloud computing. Os esforços da Microsoft (Windows azure, por exemplo), da HP e do Google são os mais conhecidos. Alem destes, temos serviços como o WebService da Amazon (http://aws.amazon.com/) , slicehost e linode (http://www.linode.com/).

Aqui na NUMEN IT, por exemplo, desenvolvemos alguns serviços totalmente na nuvem (cloud). E, muitas vezes, o gestores de TI questionam: mas, e a segurança dessas aplicações?

Para responder a esta questão, temos que considerar dois aspectos importantes dessa nova forma de oferecer aplicações:

1 – Arquitetura da solução: Ao contratar ou adquirir um sistema completamente hospedado na nuvem, é importante que saibamos a arquitetura dessa solução.

Figura: Arquitetura de uma aplicação em nuvem (“cloud Computing”). Fonte: (How stuff works)

É importante notar que a arquitetura em Cloud Computing é semelhante à arquitetura que teríamos na infra-estrutura da empresa – apenas se transfere a arquitetura das aplicações para o datacenter. O acesso, o armazenamento e o processamento estão na nuvem. Por um lado, a nuvem simplifica a estrutura de TI ao transferir essa estrutura para outra empresa.

Existe o que se chama de “front end” que é a interface do cliente com o serviço da nuvem. Pode ser um browser (Firefox, Internet Explorer ou outros) ou os computadores (rede) de acesso aos aplicativos na nuvem. Dentro da nuvem, ou seja, do datacenter remoto, existem os clusters para armazenagem (storage), os servidores de aplicação e a rede de computadores com as aplicações.

O sistema é administrado por um servidor central e os componentes ligados em rede respondem a protocolos no middleware.

A virtualização facilita a supervisão dos servidores e aplicações ou seja, em lugar que criar problemas de segurança, apresenta soluções para a questão. De acordo com Gary Anthes, em seu artigo “Security in the Cloud” (Communications of the ACM, November 2010, página 16) a HP está desenvolvendo soluções de segurança para a nuvem baseadas em “células como serviço” (Cell as Service). Nestas estruturas é possível fazer certos tipos de monitoramento que não são possíveis em um parque de máquinas “tradicionais”. Por exemplo, é possível monitorar atividade da CPU, padrões de I/O, observar modelos anteriores de comportamento e verificar a possibilidade de certos eventos ocorrerem. Esses monitoramentos são feitos por meio de agentes em Máquinas vitrtuais (VM’s) que permitem fazer clones dos VM’s de máquinas em operação para análise posterior. Este gerenciamento tem seus desafios intrínsecos e os laboratórios da HP estão desenvolvendo ferramentas analíticas para tal.

De outro lado, a divisão de pesquisa da IBM (IBM Research) desenvolveu uma abordagem chamada “virtual machine instrospection”. Nessa abordagem, é colocada uma VM protegida ou segura na mesma máquina “física” na qual está rodando as VM’s do tipo guest. Um grande vantagem citado no artigo de Gary Anthes por Matthias Schunter, pesquisador do laboratório de pesquisas da IBM em Zurique, é que o uso das VM como para varredura de vírus é muito bom “… pois não há dispositivos para saber que a VM está sendo varrida contra vírus”, nas palavras de Matthias.

Ainda assim, há desafios de segurança que só podem ser endereçado com máquinas dedicadas para as VM’s, o que pode ser uma solução cara para o cliente final, dependendo da solução utilizada.

2 – A segurança  das aplicações – Encriptação

A encriptação causa um overhead significativo no tráfego das aplicações em rede. Alguns estudos estão sendo conduzidos para manipular dados encriptados.

É possível ter mecanismos de encriptação e desencriptação entre o usuário (empresa) e a nuvem.

Existem, ainda, questões de cunho legal – qual empresa é responsável, legalmente, em casos de disputas sobre a informação guardada na nuvem? E se for movida uma ação contra o provedor da nuvem acerca dos dados da sua empresa?

Conclusão

O desenvolvimento de sistemas completos na nuvem é uma tendência muito forte na qual grandes players como Microsoft, Google, IBM e HP estão apostando. Dessa forma, parece ser uma tendência irreversível para os próximos anos.

Sendo assim, nossos consultores da NUMEN IT concluem que a arquitetura, a segurança e o TCO (Total Cost of Ownership) justificam o uso das aplicações em nuvem. Deve ser discutido à exaustão entre cliente e desenvolvedores de sistemas, o SLA, os níveis de segurança e as medidas de restauração de serviços em caso de interrupção.

O modelo de desenvolvimento de sistemas em nuvem impõe desafios que não são novos ao mundo de TI.

Referências:

Anthes, G. Security in the Cloud. Communications of the ACM, Nov., 2010.

How Cloud Computing Works, site:http://communication.howstuffworks.com/cloud-computing1.htm) acesso em novembro, 2010.

Brian Hayes. 2008. Cloud computing. Communications of the ACM 51, 7 (July 2008), 9-11