Oito passos para escolher um fornecedor de cloud computing


As corporações interessadas em adotar serviços de segurança baseados em cloud computing que dependem de auditorias talvez tenham um caminho complicado pela frente. Os auditores se baseiam em padrões para avaliar os projetos. Contudo, no modelo de computação em nuvem nem sempre existe uma padronização, explica o vice-presidente da empresa de serviços de segurança Savvis, Chris Richter. “As principais restrições estão ligadas ao fato de [na computação em nuvem] não existir políticas claras para a infraestrutura”, aponta Richter.

Como as regras só deverão surgir com o passar do tempo, só resta um caminho para as organizações interessadas em contratar serviços em cloud: tomar muito cuidado com os dados que enviam para o provedor e garantir que as informações sujeitas às regras de conformidade sejam tratadas dentro dos padrões exigidos.

“Os auditores querem enxergar a nuvem profundamente e isso é algo que alguns fornecedores simplesmente não permitem”, diz o vice-presidente. Ele ressalta que faz parte do modelo de negócios dos provedores esse sigilo em relação à arquitetura, políticas, estrutura virtual, entre outros requisitos. “Se a auditoria não consegue enxergar o fluxo dos dados, a segmentação das VLANs (redes privadas virtuais) e a metodologia de particionamento dos dados, ela não aprovará a infraestrutura”, conclui Richer.

Outro complicador é a questão de identidade e de gerenciamento do acesso. Mais especificamente, os auditores querem saber como os dados são manipulados, com o intuito de evitar o acesso de usuários não autorizados. E o mais alarmante nesse sentido está no fato de que o vice-presidente da Savvis admite que não conhece um fornecedor que possua uma metodologia realmente eficiente para a gestão de identidade e acesso à nuvem.

Uma alternativa para beneficiar-se da redução de custos e facilidade de gestão prometida pela cloud computing, mas sem descuidar de informações sensíveis, é adotar o modelo de nuvem privada. “Isso permite manter um bom nível de controle sobre os dados, as aplicações e a infraestrutura”, detalha Ritcher.

Por fim, o executivo destaca que, em qualquer modelo de computação em nuvem, a equipe de TI não pode abrir mão da responsabilidade de proteger os dados.

Em outras palavras, a organização pode terceirizar serviços, plataforma, segurança ou infraestrutura, mas deve manter dentro da empresa o controle sobre os ambientes. E como forma de ajudar as empresas a evitar qualquer surpresa com a cloud computing, Ritcher indica oito passos para a migração para esse modelo:

1 – Avalie profundamente cada aplicação. “Algumas delas estão enraizadas no sistema da corporação e a nuvem nunca atingirá o grau necessário de conformidade e segurança”, destaca Richter.

2 – Classifique os dados e determine tudo o que é dado e processo sensível. Essa etapa desponta como um passo essencial para não errar na definição do tipo de nuvem que será escolhida.

3 – Determine o tipo de nuvem que melhor se enquadra na corporação. As opções variam de software como serviço, plataforma como serviço ou infraestrutura como serviço.

4 – Escolha o modelo de oferta. Pode ser nuvem privada, nuvem auto-gerenciada, gerenciada, nuvem pública terceirizada, nuvem pública corporativa ou nuvem híbrida.

5 – Especifique uma arquitetura para a plataforma. Isso deve incluir especificações para computação, armazenamento, backup, roteamento de rede, virtualização e hardware dedicado.

6 – Especifique cuidadosamente todos os serviços de segurança. Se para adquirir infraestrutura ou software isso já é importante, os que pretendem contratar segurança como serviço devem ter todos os requisitos bem descritos. Isso inclui firewalls, detecção de intrusos, gerenciamento de identidade, prevenção a perda de dados, criptografia, buscas por vulnerabilidade, entre outros.

7 – Confira cuidadosamente todas as políticas do fornecedor de cloud computing para verificar se tudo está enquadrado nos requerimentos da empresa. “Esse fator varia absurdamente em diferentes fornecedores”, afirma Richter.

8 – Analise bem o provedor de serviço. A avaliação deve levar em conta se ele está geograficamente disperso, se os usuários podem realizar atribuição de recursos de forma autônoma e se o fornecedor tem capacidade suficiente para atender a um crescimento do negócio. Avalie também se o provedor tem metodologia documentada para monitorar o tráfego de todos os seus usuários, evitando os ataques de negação de serviço que ocorrem sem intenção; quais são os acordos de nível de serviços (SLAs); e a estabilidade financeira da companhia.

Por Tim Greene, Network World (EUA)

Anúncios
Esta entrada foi publicada em Cloud Computing, Management. ligação permanente.

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s