UNIVERSIDADE FEDERAL DE MINAS GERAIS DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO ESPECIALIZAÇÃO EM INFORMÁTICA - ÁREA DE CONCENTRAÇÃO: GESTÃO DE TECNOLOGIA DA INFORMAÇÃO DANILO ALMEIDA PAIVA Relatório da Disciplina de Computação em Nuvem Brasília 2018 Resumo O presente trabalho está dividido em duas partes: (1ª) visa a registrar a descrição da arquitetura de uma aplicação real (wordpress com tainacan) e a sua precificação (estimada) em nuvem utilizando-se dos valores dos grandes provedores; (2ª) elucidando os principais aspectos de segurança que devem ser considerados ao mover uma aplicação para a nuvem. Palavras-chave: Precificação de arquitetura de aplicação em nuvem. Aspectos de Segurança ao mover aplicações para a nuvem. Sumário 1 1.1 1.2 1.3 2 3 Wordpress . . . . . . . . . . . . . . . . A arquitetura típica da aplicação . . . Elasticidade da aplicação . . . . . . . . Precificação nos grandes provedores zon, Microsoft) para um mês . . . . . . . . . . . . de . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . nuvem (Google, . . . . . . . . . . . . . . . . . . . . . . Ama. . . . 3 3 4 5 Aspectos de Segurança que devem ser considerados ao mover Aplicações para a Nuvem . . . . . . . . . . . . . . . . . . . . . 7 Bibliografia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 3 1 Wordpress WordPress é um sistema livre e aberto de gestão de conteúdo para internet (Content Management System - CMS), baseado em PHP com banco de dados MySQL, executado em um servidor interpretador, voltado principalmente para a criação de páginas eletrônicas (sites) e blogs online. O sistema é adotado por aqueles que queiram sites com maior personalização e recursos diferenciais, pois possui grande capacidade de extensão através de plugins, temas e programação PHP (WIKIPEDIA, 2018). O CMS Wordpress é utilizado no setor público para a criação de sites de informação, e notícias tais como o da Universidade de São Paulo (USP) e alguns sites do Ministério da Cultura. No Instituto Brasileiro de Museus (IBRAM), órgão do qual este Analista em Tecnologia da Informação faz parte, o Wordpress é utilizado como plataforma base do plugin Tainacan - ferramenta que vem sendo utilizada para o armazenamento de acervos culturais dos museus. Estima-se que esse Gerenciador de Conteúdo está por trás de 30% dos sites na Internet (YOGH BLOG, 2018). A escolha do Wordpress como aplicação para este trabalho está relacionada com os seguintes fatores: (1) é ferramenta utilizada no setor público; (2) a finalidade da ferramenta (geralmente a publicação de notícias, de conteúdo informacional institucional ou de acervo digital) está condizente com o tipo de dado elegível para ser hospedado em nuvem, em conformidade com o que é discutido no tópico “Aspectos de Segurança que devem ser considerados ao mover Aplicações para a Nuvem“. (3) já existem calculadoras para serviço em núvem que, com base nos elementos principais da arquitetura facilitam a precificação. 1.1 A arquitetura típica da aplicação O Wordpress, para uma instalação padrão possui uma das arquiteturas mais simples, conforme FIGURA 1. Capítulo 1. Wordpress 4 Figura 1 – Arquitetura padrão para sistemas de Gestão de Conteúdo No IBRAM, as máquinas virtuais possuem uma configuração padrão de processador de 2.9 GHz com 4 núcleos e 4 GB de memória RAM. Os servidores físicos já estão virtualizados e configurados em cluster, desta forma em caso de indisponibilidade de um dos servidores físicos, a VM é executada nos outros servidores do cluster. Não existe alta disponibilidade para a VM em si. Caso a VM apresente problemas, eles devem ser investigados. Estima-se que com o uso do Wordpress/Tainacan, sejam utilizados um espaço de armazenamento de 40 Terabytes de informação, considerando backup; com base em dados de acesso, estima-se um acesso mensal ao serviço de 70.000 acessos/mês (considerando cenário pessimista). Atualmente, só existem 2 Máquinas Virtuais associadas ao Wordpress/Tainacan: • Uma com os servidores Apache e PHP e a instalação do Wordpress. • Uma com o Banco de Dados. Os dados são armazenados na VM que contém a aplicação: é assim que o Wordpress habitualmente funciona. O Banco apenas armazena os apontamentos para os arquivos que estão na VM da aplicação. Já existe previsão para a disponibilização de uma LUN (virtualização do armazenamento em storage) a ser utilizada pela VM da aplicação, para o crescimento dessa VM. 1.2 Elasticidade da aplicação Para o crescimento da aplicação deve-se considerar: Capítulo 1. Wordpress 5 • Instância de Balanceamento de Carga Virtual; • Pelo menos duas VMs com o servidor de aplicação para alta disponibilidade; • Armazenamento virtualizado em storage de alta performance redimensionável. 1.3 Precificação nos grandes provedores de nuvem (Google, Amazon, Microsoft) para um mês Foram utilizados para precificação, de forma simplificada, os seguintes elemen- tos: • 3 máquinas virtuais (1 para Banco de Dados, 2 para aplicação) considerando a configuração padrão do IBRAM - de acordo com o mínimo de processamento x memória oferecidos pelos provedores de serviço. • espaço de armazenamento persistente de 40 terabytes (de preferência SSD); • Os diferentes elementos (de hardware) presentes nas três plataformas (padrões disponibilizados aos usuários) inviabilizam a comparação de preços de forma direta. Até porque é o primeiro uso deste aluno nos serviços de precificação de nuvem. Outros elementos devem ser considerados. Ex.: uso de banda de rede. Os preços registrados abaixo foram apensados como forma de exercício à mensuração. Figura 2 – Precificação mensal - Google Cloud Plataform (https://cloud.google.com/products/calculator/) Capítulo 1. Wordpress 6 Figura 3 – Precificação mensal - AWS (Amazon) https://calculator.s3.amazonaws.com/index.html Figura 4 – Precificação mensal - Azure (Microsoft) https://azure.microsoft.com/pt-br/pricing/calculator/ 7 2 Aspectos de Segurança que devem ser considerados ao mover Aplicações para a Nuvem Em artigo escrito em 2010, já era lançado um holofote para a questão da segurança na adoção da nuvem: dos vários motivos para a adoção dessa tecnologia por empresas e indivíduos a maioria estava ligada com a questão da economia (diminuição de custos) e conveniência (na administração de recursos de hardware) e não para melhorar a segurança (FARRAR, 2010). Também era discutida a incerteza de quem estava ao certo gerenciando os equipamentos que continham os dados; as garantias em relação às proteções aos dados eram opacas. Nesse período, começavam a ser mapeados novos requisitos (inclusive de segurança) para aplicações em nuvem. Já se faziam previsões em relação a criticidade da dependência de serviços à uma infraestrutura terceira quando do caso em 2009 do Ma.gnolia - serviço de armazenamento e compartilhamento de bookmarks que perdeu vários registros de dados após um crash do banco. Ainda nesse período um ataque de malware afetou o serviço do Gmail do Google sugerindo que estava surgindo uma outra geração mais sofisticada de ataques - até especializados para o ambiente da nuvem principalmente em decorrência da concentração de informação de usuários em poucos servidores (“muitos ovos em uma cesta”). Riscos. Ao se falar na adoção de serviços em nuvem deve-se falar em riscos: o vazamento de dados sensíveis; a violação de controles regulatórios; os ataques por malware; as interfaces hackeadas; a perda de dados permanentes; os abusos dos serviços da nuvem; as ameaças internas; o sequestro de contas (HACKERNOON.COM, 2017). Os possíveis riscos envolvendo a aplicação em questão devem ser tratados: prevenidos (evitados), transferidos, mitigados ou aceitos. Existem algumas práticas já conhecidas para mitigar e evitar alguns dos riscos citados. Em relação à perda de dados permanente, é sugerido que existam backups da aplicação em outras plataformas de nuvem (que utilizam infraestruturas diferentes da de produção) ou localmente (quando isso for possível). Neste caso, é importante conhecer o tempo de retenção de backup necessário à aplicação. A privacidade na nuvem é algo ainda sem completas garantias, portanto para se evitar o vazamento/roubo de informações sensíveis (senhas, informações financeiras, patentes), é importante considerar não transferí-las para a nuvem; também, observar a utilização de serviços de armazenamento em nuvem com criptografia. Isso garante que para se ter acesso aos dados, eles deverão ser desencriptados. Até mesmo os provedores de serviço e administradores não terão acesso ao dado real; isso mitiga as ameças internas. Antes de se fazer uploads de dados para a nuvem é importante também criptografar esses dados, mesmo que as ferramentas de upload para nuvem já o façam. A instalação de um antivirus local também é muito importante para se evitar Capítulo 2. Aspectos de Segurança que devem ser considerados ao mover Aplicações para a Nuvem8 vulnerabilidades causadas por vírus no acesso aos serviços da nuvem. O uso de senhas fortes evita que o acesso aos serviços da nuvem ou os dados lá armazenados sejam hackeados. É interessante também a contratação de um “hacker-ético“ para se testar a confiabilidade da plataforma, da segurança de acesso e dos dados, pois esse profissional pode descobrir brechas que podem ser exploradas por usuários com má intenção. No que tange a serviços e dados de governo, a Norma Complementar (NC) nº 14, do Departamento de Segurança da Informação e Comunicações da Presidência da República foi escrita com o objetivo de estabelecer princípios, diretrizes e responsabilidades relacionados à Segurança da Informação (SI) para o tratamento da informação em ambiente de Computação em Nuvem, nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta (GSIPR, 2018). Ela foi escrita de forma a dar orientações/princípios em nível tático/operacional sobre tópicos em segurança da informação até mesmo citados no Marco Civil (que possui aspecto mais amplo) (AQUIM, 2018). A NC nº 14 define com base em classificação/tratamento de informação (informação sem restrição de acesso, sigilosa, classificada, acesso restrito, restrição de acesso previsto em legislação vigente, documento preparatório - utilizado como fundamento para a tomada de decisão ou ato administrativo, informação pessoal relativa à intimidade, vida privada, honra e imagem) a possibilidade dos dados serem hospedados na nuvem ou não. Com base no tratamento da informação, existe a prevalência dos direitos e garantias fundamentais no tratamento das informações pessoais, à observação às diretrizes da Política de Segurança de Informação e Comunicações (POSIC) do órgão em vigor, às diretrizes de Gestão de Riscos de Segurança da Informação e Comunicações (CRSIC); às diretrizes relativas à Gestão de Continuidade dos dados, nos aspectos relacionados à Segurança da Informação e Comunicações (SIC). A NC nº também imputa à Alta Administração a responsabilidade pela segurança das informações tratadas no ambiente da nuvem, assim como o Gestor de Segurança da Informação e Comunicação do órgão é responsável pelas ações de implementação da gestão de risco das informações tratadas em ambiente de computação em nuvem (GSIPR, 2018). É enfatizada a importância da hospedagem dos dados em território brasileiro por questões como: disponibilidade dos dados do Estado, soberania da legislação brasileira. Outra consideração importante relacionada à NC nº 14 diz respeito à países como os EUA em que protocolos legais fazem com que haja uma facilitação na obtenção de dados das empresas registradas nesses países pelos respectivos Governos por questões criminais ou relacionadas à outras investigações (ou Segurança Nacional). No caso das tecnologias em nuvem essa ação é inclusive facilitada e pode 11 3 Bibliografia • FARRAR, Lara. How safe is cloud computing? 2010. Disponível em: http://e dition.cnn.com/2010/TECH/03/12/cloud.computing.security/index.html. Acesso em: 07 de dezembro de 2018. • HACKERNOON.COM. 7 Effective Tips to Secure Your Data in the Cloud. 2017. Disponível em: https://hackernoon.com/7-effective-tips-to-secure-your-dat a-in-the-cloud-820bfe438d2. Acesso em: 07 de dezembro de 2018. • COSTA, Lucas dos Santos Costa; MEDEIROS, Marcos Fernando Machado. Políticas públicas brasileiras de computação em nuvem: análise documental dos relatórios do global cloud computing scorecard. 2017. Disponível em: https://www.publicacoesacademicas.uniceub.br/RBPP/article/download/4 945/3665. Acesso em: 08 de dezembro de 2018. • CHAVES, Sidney. A questão dos riscos em ambientes de Computação em Nuvem. 2011. Disponível em: http://www.teses.usp.br/teses/disponiveis/12/1 2139/tde-01022012-183255/publico/SidneyChavesVC.pdf. Acesso em: 09 de dezembro de 2018. • Gabinete de Segurança Institucional da Presidência da República (GSIPR). Norma Complementar 14. 2018. Disponível em: http://dsic.planalto.gov.br/arq uivos/documentos-pdf/NC_14_R01.pdf. Acesso em: 09 de dezembro de 2018. • AQUIM, Tatiane. Governo reforça exigência por data center nacional para dados de órgãos públicos. 2018. Disponível em: http://www.datacenterdynami cs.com.br/focus/archive/2018/04/governo-refor%C3%A7a-exig%C3%AAncia-po r-data-center-nacional-para-dados-de-%C3%B3rg%C3%A3os-p%C3%BAblic. Acesso Voc êpr ec i s arc ompr ares s edoc ument opar ar emoveramar c ad' água. em: 09 de dezembro de 2018. Doc umen t os de1 0pági nass ãogr at ui t os . • WIKIPEDIA. Wordpress. 2018. Disponível em: https://pt.wikipedia.org/wiki/Word Youneedt obuy t hi sdo c ume t odezembro r emovet h ew at er mar k. Press#cite_note-3. Acesso em: 10nt de de 2018. 1 0pagedoc ument sar ef r ee. • Yogh Blog. WordPress – 30% dos sites da internet são feitos com WordPress. 2018. Disponível em: https://www.yogh.com.br/blog/wordpress-30-dos-sites-da-i nternet-sao-feitos-com-wordpress/. Acesso em: 01 de novembro de 2018.