A crescente popularização da Computação em Nuvem resulta na necessidade de normatização e padronização da qualidade e segurança dessa nova tecnologia. É imperativo que as empresas, antes de celebrar qualquer contrato a respeito de tal serviço, conheçam as regras tecnológicas e científicas, bem como os seus direitos e deveres legais. Nesta apresentação, discutirremos a necessidade de normas técnicas e regras jurídicas para apoiar as empresas no processo de contratação de serviços baseados na nuvem. Também apresentamos as principais iniciativas e projetos existentes nesta frente. Palestra criada por Anchises Moraes, André Serralheiro e pelo Dr. Walter Capanema, membros do capítulo Brasil da Cloud Security Alliance (CSA).
4. 4
O que é a computação em nuvem (1)
fonte: sxc.hu
“Cloud computing is a model for enabling
ubiquitous, convenient, on-demand network access
to a shared pool of configurable computing
resources (e.g., networks, servers, storage,
applications, and services) that can be rapidly
provisioned and released with minimal
management effort or service provider interaction.”
In“NIST Cloud Computing Standards Roadmap - Special Publication 500‐291”
5. 5
O que é a computação em nuvem (2)
fonte: sxc.huIn “Security Guidance for Critical Areas of Focus in Cloud Computing v3”
7. 7
–Associação sem fins lucrativos
–Reúne pessoas físicas e empresas
– Oficializada em dezembro de 2008
– +35mil membros, +130 membros corporativos
– Presente em 23 países através de 30 Chapters
locais (setembro/2012)
CloudSecurity Alliance (CSA)
8. 8
“Promover a utilização
das melhorespráticas
para fornecer garantia
de segurança dentro de
CloudComputing, e
oferecer educação
sobre os usos de Cloud
Computing para ajudar
a proteger todas as
outras formas de
computação.”
Missão
Picturesource:sxc.hu
9. 9
• Segundo Chapter oficial
da CSA
– Oficializadoem 27 de
Maio de 2010
• Segue Missão e
Objetivos da CSA Global
– Promover a
Segurançaem Cloud
Computing
– Promoverpesquisas e
iniciativaslocais
CSA Brasil
10. 10
• Certificação“Certificate
of Cloud Security
Knowledge (CCSK)”
– Exame online
– Custode USD $295.
• Treinamento
– CCSK training
– PCI Cloud training
– GRC Stack training
Educação
https://cloudsecurityalliance.org/education
https://ccsk.cloudsecurityalliance.org
12. 12
“Este documento destaca algumas das motivações mais
comumente apontadas como justificativas para a adoção de
Computação em Nuvem, bem como alguns dos aspectos a serem
considerados quanto a cada uma destas motivações. Com este
documento a CSA Brazil Chapter pretende contribuir com gestores
e tomadores de decisão quanto à decisão sobre a adoção de
Computação em Nuvem em suas organizações.”
– Uelinton Santos, Luiz Augusto Amelotti, Filipe Villar, Eduardo
Fedorowicz
Iniciativade pesquisa: White Paper - Adoção de
computação em Nuvem e suas motivações
https://chapters.cloudsecurityalliance.org/brazil/2012/08/17/white-
paper-adocao-de-computacao-em-nuvem-e-suas-motivacoes/
14. 14
Contrato de prestação de
serviçosemqueumaempre
sa/pessoafísica
(PROVEDOR) permite o
uso de
seusrecursoscomputacion
ais
(rede, servidores,
espaçoem disco,
aplicações) por um
CLIENTE.
Conceito
fonte: sxc.hu
20. 20
Responsabilidade Civil:
Código Civil
fonte: sxc.hu
"Art. 927. Aqueleque, poratoilícito (arts. 186 e
187), causardano a outrem, fica obrigado a repará-
lo.
Parágrafoúnico. Haveráobrigação de reparar o
dano, independentemente de culpa,
noscasosespecificadosem lei, ouquando a
atividadenormalmentedesenvolvidapeloautor do
danoimplicar, porsuanatureza, riscoparaosdireitos
de outrem."
21. 21
Responsabilidade Civil:
Código de Defesa do Consumidor
fonte: sxc.hu
"Art. 14. O fornecedor de serviçosresponde,
independentemente da existência de culpa,
pelareparação dos
danoscausadosaosconsumidorespordefeitosrelativ
osàprestação dos serviços,
bemcomoporinformaçõesinsuficientesouinadequa
dassobresuafruição e riscos".
25. 25
Se o provedor não fizer a
suspensão preventiva
Responde solidariamente
com o autor da ofensa
25
Responsabilidade Civil:
ProblemaJurisprudencial
26. 26
ProblemasPráticos:
Extinção Unilateral no Contrato
“Se vocêdeixar de cumpriroua Apple
suspeitarquevocêdeixou de
cumprirquaisquerdisposiçõesdesteContrato, a Apple, a
seuexclusivocritério, semaviso a você, poderá: (i)
rescindir o presenteContrato e/ousuaConta, e
vocêpermaneceráresponsávelportodososmontantesdevi
dos sob suaContaaté e incluindo a data da rescisão e/ou
(ii) revogar a licença do software, e/ou (iii) impedir o
acessoaoServiço iTunes (ouqualquer parte dele).”
27. 27
ProblemasPráticos:
Exclusão de Responsabilidade
"You, and not Dropbox, are responsible for
maintaining and protecting all of your stuff.
Dropbox will not be liable for any loss or
corruption of your stuff, or for any costs or
expenses associated with backing up or restoring
any of your stuff”.
31. 31
• Leis de Privacidade de
Dados
• Padronização de ofertas
de Cloud Computing
• Padronização da
Segurançaem Cloud
Computing
– “Trusted Cloud”
– Assessement& Audit
IniciativasRegulatóriasGlobais
fonte: sxc.hu
32. 32
IniciativasRegulatóriasGlobais
fonte: sxc.hu
• ISO/IEC working drafts
– ISO/IEC 27017 – Guidelines
on information security
controls for the use of
cloud computing services
based on ISO/IEC 27002
– ISO/IEC 27018 - Code of
practice for data protection
controls for public cloud
computing services
33. 33
• PL 5344/2013,
deputadoRuyCarneiro
(PSDB-PB)
– Relaçõesentre usuários e
empresasfornecedoras
– Responsabilidadepelos
dados
– “Neutralidadetecnológic
ae de rede”
IniciativasRegulatórias no Brasil
fonte: sxc.hu
34. 34
– Registro gratuito e de acesso público dos controles
de segurança de diversos provedores de Cloud
Computing;
– Relatórios de auto-avaliação sobre compliance
com as melhores práticas publicadas pela CSA;
– Ajuda os usuários a avaliarem a segurança dos
provedores de Cloud.
Iniciativade pesquisa: CSA Security, Trust &
Assurance Registry (STAR)
https://cloudsecurityalliance.org/star/
35. 35
• Muitasnuvens a frente
• Sujeito a chuvas e
trovoadasesporádicas
• Tenhasempre um
guarda-chuvapróximo
Previsão do Tempo
fonte: Wikimedia Commons
36. 36
• Anchises de Paula – anchisesbr@gmail.com
• André Serralheiro - serralheiro@gmail.com
• Walter Capanema - contato@waltercapanema.com.br
• Cloud Security Alliance
https://www.cloudsecurityalliance.org
• Cloud Security Alliance
https://chapters.cloudsecurityalliance.org/brazil
• Twitter - @csabr
• Fan Page - https://www.facebook.com/CSA.CapituloBrasil
Contato
Sumário: A crescentepopularização do conceito de Cloud Computing e suaadoçãopelasempresasresultananecessidade de normatização epadronização da qualidade e segurançadessa nova tecnologia. Éimperativoque as empresas, antes de celebrarqualquercontrato arespeito de talserviço, conheçam as regrastecnológicas e científicas,bemcomoosseusdireitos e devereslegais.Nestaapresentação, pretendemosdiscutir a necessidade de seestabeleceremnormastécnicas/científicas e regrasjurídicasparaapoiaras empresas no processo de contratação de serviçosbaseadosnanuvem,assimcomoapresentar as principaisiniciativas e projetosexistentesnestafrente.
Source: “NIST Cloud Computing Standards Roadmap - Special Publication 500‐291”
Essential Characteristics: On-demand self-service. A consumer can unilaterally provision computing capabilities, such as server time and network storage, as needed automatically without requiring human interaction with each service’s provider. Broad network access. Capabilities are available over the network and accessed through standard mechanisms that promote use by heterogeneous thin or thick client platforms (e.g., mobile phones, laptops, and personal digital assistants [PDAs]). Resource pooling. The provider’s computing resources are pooled to serve multiple consumers using a multi-tenant model, with different physical and virtual resources dynamically assigned and reassigned according to consumer demand. There is a sense of location independence in that the customer generally has no control or knowledge over the exact location of the provided resources but may be able to specify location at a higher level of abstraction (e.g., country, state, or datacenter). Examples of resources include storage, processing, memory, network bandwidth, and virtual machines. Rapid elasticity. Capabilities can be rapidly and elastically provisioned, in some cases automatically, to quickly scale out and rapidly released to quickly scale in. To the consumer, the capabilities available for provisioning often appear to be unlimited and can be purchased in any quantity at any time. Measured Service. Cloud systems automatically control and optimize resource use by leveraging a metering capability at some level of abstraction appropriate to the type of service (e.g., storage, processing, bandwidth, and active user accounts). Resource usage can be monitored, controlled, and reported, providing transparency for both the provider and consumer of the utilized service. Service Models: Cloud Software as a Service (SaaS). The capability provided to the consumer is to use the provider’s applications running on a cloud infrastructure. The applications are accessible from various client devices through a thin client interface such as a Web browser (e.g., Web-based email). The consumer does not manage or control the underlying cloud infrastructure including network, servers, operating systems, storage, or even individual application capabilities, with the possible exception of limited userspecific application configuration settings. Cloud Platform as a Service (PaaS). The capability provided to the consumer is to deploy onto the cloud infrastructure consumer-created or acquired applications created using programming languages and tools supported by the provider. The consumer does not manage or control the underlying cloud infrastructure including network, servers, operating systems, or storage, but has control over the deployed applications and possibly application hosting environment configurations. Cloud Infrastructure as a Service (IaaS). The capability provided to the consumer is to provision processing, storage, networks, and other fundamental computing resources where the consumer is able to deploy and run arbitrary software, which can include operating systems and applications. The consumer does not manage or control the underlying cloud infrastructure but has control over operating systems, storage, deployed applications, and possibly limited control of select networking components (e.g., host firewalls).Deployment Models: Private cloud. The cloud infrastructure is operated solely for an organization. It may be managed by the organization or a third party and may exist on premise or off premise. Community cloud. The cloud infrastructure is shared by several organizations and supports a specific community that has shared concerns (e.g., mission, security requirements, policy, and compliance considerations). It may be managed by the organizations or a third party and may exist on premise or off premise. Public cloud. The cloud infrastructure is made available to the general public or a large industry group and is owned by an organization selling cloud services. Hybrid cloud. The cloud infrastructure is a composition of two or more clouds (private, community, or public) that remain unique entities but are bound together by standardized or proprietary technology that enables data and application portability (e.g., cloud bursting for load balancing between clouds).
O Objetivo principal do capítulobrasileiroépromover o conhecimentoemSegurançapara Cloud Computing, através da divulgação das iniciativas da CSA (incluindo a tradução do material produzidopela CSA ) e promoveriniciativaslocais e a produção de conteúdo original, comopesquisas e artigos.
A CSA fornece a Certificação “Certificate of Cloud Security Knowledge (CCSK)”baseadanosrelatórios "Security Guidance for Critical Areas of Focus in Cloud Computing, V3” da CSA e "Cloud Computing: Benefits, Risks and Recommendations for Information Security" da ENISA (European Network and Information Security Agency)O Exameéfeito online. Maisinformaçõesem https://ccsk.cloudsecurityalliance.org
Neste slide estãolistadas as diversasiniciativas de pesquisaexistentesatualmente (Setembro/2012) na CSA.Osprincipaisdestaquessão:CSA Security Guidance, uma das iniciativaspioneiras no mercado de desenvolver um guiaespecíficosobresegurançaem Cloud Computing, queestáautalementenaterceiraedição. Cometarqueexisteumainiciativa de tradução do guiaparaportugues.Projeto STAR da CSA, que visa criar um baseline e um self-assessement p/ osprovedores de cloud, e tambémmencionar o surgimento da norma ISO.Participação com ABNT naconstrução da norma ISO…
mas da omissão do provedor de acesso, uma vez notificado pela vítima
Até que tenha tempo hábil para apreciar a veracidade das alegações, e confirmando-as, exclua definitivamente o perfil ou, tendo-as por infundadas, restabeleça seu livre acesso.O provedor não pode postergar por prazo indeterminado a análise.
Picture source: http://sxc.hu
Fonte da imagem: http://www.sxc.huStandard Cloud offeringsStandard security procedures
Fonte da imagem: http://www.sxc.hu09/04/2013: Projeto de Lei n. 5344/2013, peloDeputadoRuyCarneiro (PSDB-PB), que: "Dispõesobrediretrizesgeraisenormaspara a promoção, desenvolvimentoeexploraçãodaatividade de computaçãoemnuvem no País”http://www.camara.gov.br/proposicoesWeb/fichadetramitacao?idProposicao=570970
The Cloud Security Alliance (CSA) announces the launch of a new initiative to encourage transparency of security practices within cloud providers. The CSA Security, Trust & Assurance Registry (STAR) is a free, publicly accessible registry that documents the security controls provided by various cloud computing offerings, thereby helping users assess the security of cloud providers they currently use or are considering contracting with.CSA STAR is open to all cloud providers, and allows them to submit self assessment reports that document compliance to CSA published best practices. The searchable registry will allow potential cloud customers to review the security practices of providers, accelerating their due diligence and leading to higher quality procurement experiences. CSA STAR represents a major leap forward in industry transparency, encouraging providers to make security capabilities a market differentiator.CSA STAR will be online in Q4 of 2011. Cloud providers can submit two different types of reports to indicate their compliance with CSA best practices:The Consensus Assessments Initiative Questionnaire (CAIQ), which provides industry-accepted ways to document what security controls exist in IaaS, PaaS, and SaaS offerings. The questionnaire (CAIQ) provides a set of over 140 questions a cloud consumer and cloud auditor may wish to ask of a cloud provider. Providers may opt to submit a completed Consensus Assessments Initiative Questionnaire.The Cloud Controls Matrix (CCM), which provides a controls framework that gives detailed understanding of security concepts and principles that are aligned to the Cloud Security Alliance guidance in 13 domains. As a framework, the CSA CCM provides organizations with the needed structure, detail and clarity relating to information security tailored to the cloud industry. Providers may choose to submit a report documenting compliance with Cloud Controls Matrix.
Fonte da imagem: http://commons.wikimedia.org/wiki/File:NWS-IMET-deployed.jpg