Análise Comparativa do Catálogo de Boas Práticas com Contratações de Com-

CONTRATAÇÕES DE COMPUTAÇÃO EM NUVEM EM ÓRGÃOS PÚBLICOS 72

operacional dos serviços e aplicações, além de identificar os problemas de forma bastante ágil. Para o sistema PEN os dados das métricas serão mantidos por um período de um mês, possibilitando a visualização através de um relatório todos os dados e históricos de alteração daquele período.

O monitoramento e gerenciamento são um dos principais assuntos a serem tratados quando existem grandes infraestruturas de Datacenters e não poderia ser diferente em ambientes de Computação em Nuvem. Com a proposta deste catálogo espera-se monitorar os principais recursos de TI que forem utilizados pelo sistema PEN de uma forma bem detalhada, com a possibilidade de tomadas de decisões mais bem sucedidas e que estejam focadas principalmente nos problemas evidenciados nas métricas de monitoramento.

O Catálogo de Boas Práticas se finaliza com esta seção de monitoramento e gerencia- mento dos serviços de Computação em Nuvem que fazem parte da proposta de implantação do sistema PEN nos órgãos da APF. A próxima seção vai fazer uma análise comparativa do escopo de abrangência do catálogo com alguns editais de contratações de Computação em Nuvem em órgãos públicos.

4.4

Análise Comparativa do Catálogo de Boas Práticas com

Contratações de Computação em Nuvem em Órgãos Públi-

cos

Nesta seção foi realizada a busca de editais que contenham termos de referência de contratações de serviços de Computação em Nuvem. A busca foi realizada por meio do portal de compras do Governo Federal conhecido como Comprasnet6. Nessa busca foram escolhidos os três órgãos públicos que vão fazer parte da análise comparativa com o catálogo proposto.

Como forma de validar a capacidade técnica proposta no Catálogo de Boas Práticas será demonstrada uma tabela com a análise comparativa do catálogo com os três editais de contratação de serviços de Computação em Nuvem em órgãos públicos. Os itens que foram analisados são descritos como uma síntese dos critérios técnicos encontrados no termo de referência de cada um desses editais. Os editais de contratações foram postados no repositório digital doGITHUB(2016) e fazem parte dos seguintes órgãos públicos:

 USP - Universidade de São Paulo  PGR - Procuradoria Geral da República

 FINEP - Empresa Pública Financiadora de Estudos e Projetos do Governo

A Tabela4.7demonstra quais foram os critérios que foram analisados com a marcação de atende ou não atende em cada um dos três órgãos públicos e também para o Catálogo:

4.4. ANÁLISE COMPARATIVA DO CATÁLOGO DE BOAS PRÁTICAS COM

CONTRATAÇÕES DE COMPUTAÇÃO EM NUVEM EM ÓRGÃOS PÚBLICOS 73

Critério Analisado USP PGR FINEP CATÁLOGO

Cerficação ISO 27001 X X

Cerficação TIER 2 X X

Certificação SOC 2 X

Certificação ISO 9001 X

Solução de Firewall X X X X

Detecção de Ataques WEB X

Comunicação de dados por meio de VPN X X X X

Gerenciamento de identidades integrada

a Comunidade Acadêmica Federada (RNP) X X

Registro de Operações (logs de auditoria) X X

Níveis de controle de acesso aos dados

de acordo com perfil do usuário X

Ambientes de Hypervisors com suporte

a atualizações X X X X

Integração de Ambientes Virtualizados

com fibra óptica X X

Ambiente tolerante a falhas e com alta

disponibilidade X X X

Possuir Site Backup em local remoto X X X

Atualização de firmware de equipamentos X X X Treinamento avançado do ambiente

virtualizado X X X

Homologação do ambiente de produção X X X

Possuir Níveis de Acordo de Serviço

SLAs X X X X

Suporte Técnico ON SITE 24 X 7 X X X

Classificação de chamados técnicos

baseado em níveis de severidade X X X

Aplicação de penalidades baseadas no

SLA X X X X

Sistema ONLINE para consulta dos

status dos chamados técnicos X X X

Equação de bilhetagem básica baseada

no consumo dos recursos computacionais X X

Gestão financeira do Domínio/Conta

baseado no consumo dos recursos X X

Monitoramento de logs das máquinas

virtuais X

Monitoramento dos recursos

computacionais das máquinas virtuais X X X X

Definição de alertas dos recursos

computacionais automatizados X

Sistema ONLINE com os gráficos e

estatísticas do ambiente em nuvem X

4.4. ANÁLISE COMPARATIVA DO CATÁLOGO DE BOAS PRÁTICAS COM

CONTRATAÇÕES DE COMPUTAÇÃO EM NUVEM EM ÓRGÃOS PÚBLICOS 74

Em um primeiro momento foi analisada a importância das certificações que são relevantes para as contratações de serviços de Computação em Nuvem. A certificaçãoISO 27001 é a padronização que trata sobre as normas internacionais de segurança da informação, contribuindo com um conjunto de requisitos, processos e controles para mitigar os riscos de segurança em uma organização. A ISO 27001 garante que:

 Os riscos e ameaças do negócio sejam gerenciados e avaliados de forma detalhada;  Os processos relacionados à segurança física sejam aplicados de forma consistente

com o acesso totalmente restrito;

 Auditorias sejam realizadas periodicamente em cada local, incluindo os testes de segurança, bem como o planejamento e monitoramento do local;

 Seja disponibilizada uma descrição detalhada da metodologia de análise/avaliação dos riscos de segurança da informação;

Esta é um certificação de grande relevância para os provedores de Computação em Nuvem, pois a segurança da informação é uma das principais preocupações da área de negócio, onde a informação é o bem mais valioso a ser resguardado em uma organização. Esse critério da ISO 27001 foi abordado no edital daFINEPe no catálogo como sendo um item obrigatório a ser cumprido em contratações de Computação em Nuvem. Esta certificação vai garantir uma maior credibilidade e confiabilidade em relação ao cumprimento das normas internacionais de segurança da informação em órgãos públicos por parte dos provedores.

Já os órgãosUSPePGRnão se preocuparam em detalhar a obrigatoriedade da certifi- cação ISO 27001 por parte dos provedores de Computação em Nuvem. A falta deste critério pode vir a prejudicar consideravelmente os serviços prestados pelos provedores em relação aos processos e requisitos de segurança da informação que são impostos pela legislação Brasileira. Além disso uma falha na segurança da informação pode colocar em risco a credibilidade das informações prestadas pelos diversos órgãos públicos pertencentes a APF.

O padrão de classificação TIER 2 é o responsável por descrever os requisitos mínimos necessários em uma infraestrutura de Datacenter, onde todos os equipamentos que fazem parte do Datacenter e da operadora de telecomunicações terão que ter módulos redundantes com no mínimo de N+1. A redundância será aplicada a equipamentos como roteadores, ar condicionados, fontes de energia, UPS, Nobreaks, grupo gerador, switchs, servidores, dentre outros. Este item é de extrema importância para garantir a alta disponibilidade dos equipamentos em grandes infraestruturas de Computação em Nuvem.

Somente o órgão FINEP e o catálogo detalharam a necessidade da obrigatoriedade da certificação TIER 2. Esse item assegura uma infraestrutura de TI mais confiável com a correta operação dos equipamentos de Datacenter, além de minimizar os riscos de downtime quando ocorrer falha em outro equipamento com as mesmas características. Este critério e de

4.4. ANÁLISE COMPARATIVA DO CATÁLOGO DE BOAS PRÁTICAS COM

CONTRATAÇÕES DE COMPUTAÇÃO EM NUVEM EM ÓRGÃOS PÚBLICOS 75

grande importância para se conseguir a alta disponibilidade nos Datacenters que fazem parte dos provedores de Computação em Nuvem.

Os órgãos USP e PGR não especificaram em seus termos de referência o atendimento ao padrão de classificação TIER 2. Este detalhe pode influenciar de forma negativa na qualidade dos serviços prestados pelos provedores de Computação em Nuvem, pois eles podem oferecer Datacentersque não possuem equipamentos em redundância e, em caso de falha em um dos equipamentos, os sistemas e aplicações podem ficar comprometidos com a demora na substituição dos itens afetados, e assim prejudicar consideravelmente os sistemas e aplicações que dizem respeito a área de negócio.

O padrão SOC 2 é o responsável pela auditoria e emissão dos relatórios sobre os controles em organizações de serviços relevantes para segurança como: disponibilidade, integridade do processamento, confidencialidade e privacidade dos dados que são destinados ao uso pelas partes interessadas da área de negócios. Esses relatórios são utilizados para que se obtenha um completa compreensão da organização de serviços e seus controles internos. Os relatórios são compostos por itens como:

 Supervisão da organização;

 Programa de gerenciamento de fornecedores;

 Processos internos de governança corporativa e gerenciamento de riscos;  Supervisão regulamentar;

Em relação ao padrão SOC 2 somente o catálogo identificou a necessidade de atendi- mento aos padrões de auditoria. Os relatórios disponibilizados pela auditoria no SOC 2 são muito importantes para que o gerenciamento e supervisão dos equipamentos disponibilizados em uma infraestrutura de Datacenter em provedores de Computação em Nuvem estejam realmente alinhados com todas as estratégias que são planejadas pela área de negócio, fazendo com que as propostas da governança corporativa sejam seguidas a risca pelos provedores de nuvem. Neste ponto os três órgãos deixaram a desejar, pois podem correr o risco de que os processos internos que estão sendo executados na prática não estejam alinhados com a real necessidade planejada pela área de negócios, prejudicando assim os principais objetivos institucionais.

A norma ISO 9001 é um sistema de gestão de qualidade que tem o propósito de desen- volver padrões de "melhoria contínua" para serem utilizadas em todos os países do mundo. Seu principal objetivo é manter um portfólio de serviços que permitam uma constante melhoria de desempenho devido a sua implementação. São vários os benefícios que podem ser conseguidos com a gestão de qualidade adotados na ISO 9001, dentre esses podemos citar alguns principais:

 Um melhor desempenho operacional;

4.4. ANÁLISE COMPARATIVA DO CATÁLOGO DE BOAS PRÁTICAS COM

CONTRATAÇÕES DE COMPUTAÇÃO EM NUVEM EM ÓRGÃOS PÚBLICOS 76

 Ampliar as oportunidades de negócios ao demonstrar conformidade com o sistema;  Maneiras mais eficientes de trabalhar para economizar tempo, dinheiro e recursos; No critério relacionado a certificação ISO 9001 somente o catálogo se preocupou em definir a obrigatoriedade de atender aos padrões exigidos no sistema de gestão de qualidade da ISO 9001. Como este é um padrão internacional que se preocupa constantemente na melhoria da gestão de qualidade com o objetivo de adotar processos mais eficientes na forma de trabalhar, fica evidente a importância de se realizar práticas de melhorias na gestão por parte dos provedores de Computação em Nuvem. Com o atendimento aos padrões de qualidade relacionados na ISO 9001 os resultados esperados em órgãos públicos no consumo de serviços de Computação em Nuvem podem refletir em vantagens como a economia de dinheiro, tempo e recursos.

Os órgãos FINEP, PGR e USP não definiram em seus editais de contratação a obrigação da certificação do sistema de gestão de qualidade com a ISO 9001 aos provedores de Computação em Nuvem. Esse detalhe pode impactar negativamente na melhoria do desempenho operacional, além de reduzir as oportunidades de crescimento da área de negócio. Sem a aplicabilidade da ISO 9001 não será possível adotar processos que sejam mais eficientes na prestação de serviços por parte dos provedores de Computação em Nuvem. O não cumprimento desta ISO também pode ocasionar uma deficiência na gestão dos recursos de TI, impossibilitando assim uma possível redução de custos aos órgãos públicos.

Outro critério analisado foi em relação à detecção de ataques do tipo WEB por parte dos provedores de Computação em Nuvem. Apesar de todos os três órgãos apresentarem soluções de firewall em seus termos de referência, somente o catálogo descreveu a obrigatoriedade da detecção de ataques WEB, como os relacionados a seguir:

 Violações do protocoloHTTP;  SQLInjection;

 Cross-Site Scripting (XSS);  Buffer Overflow;

 OS Command Execution;  Remote Code Inclusion;

 Server Side Includes (SSI) Injection;

 Scanners de vulnerabilidade Web e Crawlers;  Worms e Web Shell Backdoors;

4.4. ANÁLISE COMPARATIVA DO CATÁLOGO DE BOAS PRÁTICAS COM

CONTRATAÇÕES DE COMPUTAÇÃO EM NUVEM EM ÓRGÃOS PÚBLICOS 77

Esses ataques podem afetar diretamente na prestação dos serviços disponibilizados pelos provedores de Computação em Nuvem. A detecção destes tipos de ataque é bastante relevante para a construção das regras de firewall a serem aplicadas e também para a prevenção no caso de ocorrências de novos ataques com as mesmas características. A detecção dos ataques também pode ser uma forma de se programar para antecipar novos tipos de ataques, tomando as decisões baseadas nos registros de ataques que já ocorreram.

Diante desta realidade que demonstra a fragilidade dos órgãos FINEP, PGR e USP em relação a detecção de ataques do tipo WEB fica evidente alguns dos principais motivos que podem vir a comprometer a parte relacionada à segurança da informação dos serviços de Computação em Nuvem prestados aos órgãos públicos. A falta da detecção destes ataques pode prejudicar consideravelmente a usabilidade e a confiabilidade dos serviços e aplicações de TI hospedados em provedores de Computação em Nuvem.

O próximo passo foi analisar o critério de gerenciamento de identidades integrada a comunidade acadêmica7 federada da RNP. As instituições que fazem parte da CAFetem a possibilidade de atuar como provedoras de serviços (SP) e provedoras de identidades (idP). A CAFe possibilita que cada usuário tenha uma conta única em sua instituição de origem, válida para todos os serviços oferecidos à federação, eliminando a necessidade de múltiplas senhas de acesso e processos de cadastramento. A RNP é a responsável pela gestão do serviço e por manter o repositório centralizado com dados sobre integrantes da federação.

Somente o órgão USP e o catálogo se preocuparam em apresentar esse importante detalhe técnico em seus documentos de contratação. Esse serviço é extremamente necessário para a padronização e segurança do serviço de autenticação centralizada de vários tipos de serviços que são prestados aos órgãos públicos da APF. Com o mesmo login de rede o usuário pode autenticar-se em vários tipos de serviços, inclusive no próprio sistema de PEN proposto neste trabalho, eliminando assim um sistema de autenticação heterogêneo e com várias senhas a serem lembradas e/ou armazenadas.

Os órgãos FINEP e PGR correm o risco de não usufruírem deste tipo de serviço prestado pela RNP, ficando impossibilitados de serem seus próprios provedores de identidades e serviços. A falta desta especificação pode ocasionar a necessidade do desenvolvimento de sistemas e aplicações que serão responsáveis por prestar este tipo de serviço de autenticação. Com está demanda extra pode-se gerar mais gastos com pessoal e infraestrutura de TI que seriam até então desnecessárias com o uso da CAFe.

Em paralelo ao serviço de gerenciamento de identidades foi analisado o serviço de controle de acesso aos dados que serão armazenados em provedores de Computação em Nuvem de acordo com o perfil do usuário. Somente o catálogo se preocupou em detalhar esse item em sua proposta de contratação. Essa especificação técnica garante que cada usuário ou grupo de usuários tenham somente as permissões necessárias de acordo com o perfil atribuído pela alta gestão dos órgãos pertencentes a APF. O perfil será atribuído de acordo com as seguintes

4.4. ANÁLISE COMPARATIVA DO CATÁLOGO DE BOAS PRÁTICAS COM

CONTRATAÇÕES DE COMPUTAÇÃO EM NUVEM EM ÓRGÃOS PÚBLICOS 78

permissões:

 Create: Permite a criação e atualização de novos arquivos digitais.  Store: Permite o armazenamento dos arquivos digitais.

 Use: Permite a visualização, processamento e utilização dos arquivos por algum tipo de aplicação.

 Share: Permite o compartilhamento dos dados entre os usuários, clientes, ou par- ceiros.

 Archive: Permite o armazenamento dos arquivos a longo prazo.

 Destroy: Permite a destruição permanente utilizando de algum meio físico ou digital. Por meio desta funcionalidade um usuário ou grupo de usuários somente vai poder criar, alterar, compartilhar, armazenar, arquivar ou destruir um arquivo digital se essa permissão for atribuída ao mesmo. É muito importante para a parte de gestão de segurança da informação atribuir níveis de acesso aos dados armazenados em provedores de Computação em Nuvem justamente para evitar acessos indevidos ou desnecessários. Nesse critério os órgãos FINEP, PGR e USP falharam com a falta de detalhamento nos termos de referência. Esse detalhe pode ocasionar grandes falhas de segurança nos arquivos digitais que são armazenados em provedores de nuvem, pois um mesmo usuário poderá ter acesso a vários tipos de arquivos confidenciais ou até mesmo destruí-los sem a permissão dos responsáveis pela alta gestão dos órgãos da APF.

Na análise relacionada ao ambiente de virtualização foi verificado se os editais contem- plavam a obrigatoriedade do ambiente ser tolerante a falhas e com alta disponibilidade. Nesse critério os dois órgãos FINEP e PGR, como também o catálogo, indicaram em seus termos de referência que é necessário que o ambiente de Computação em Nuvem fosse preparado para disponibilizar essas duas características.

A alta disponibilidade é um recurso que monitora continuamente todos os servidores pertencentes a um cluster no Datacenter para que quando ocorrer a falha em um desses servidores as máquinas virtuais e aplicações são automaticamente migradas para outro servidor pertencente ao cluster com o mínimo de tempo de inatividade. De acordo com o datasheet8da VMware a alta disponibilidade pode apresentar as seguintes vantagens:

 Minimizar o tempo de inatividade e a interrupção dos serviços de TI, eliminando também a necessidade de hardware dedicado em standby e instalação de software adicional;

 Fornecer alta disponibilidade uniforme em todo o ambiente de TI virtualizado, sem o custo ou a complexidade das soluções de failover associadas a sistemas operacionais ou aplicativos específicos;

4.4. ANÁLISE COMPARATIVA DO CATÁLOGO DE BOAS PRÁTICAS COM

CONTRATAÇÕES DE COMPUTAÇÃO EM NUVEM EM ÓRGÃOS PÚBLICOS 79

Já no recurso de tolerância a falhas é feita uma cópia idêntica da máquina virtual que está em produção, sendo que a segunda fica totalmente sincronizada com a primeira máquina virtual e, em caso de falha da máquina em produção automaticamente a segunda assume sem nenhum tipo de downtime, ou seja, a máquina réplica assume a função da principal sem nenhum tempo de inatividade ou interrupção.

Os recursos de alta disponibilidade e tolerância a falhas são indicados para sistemas de missão critica, onde não é permitido nenhum tipo de falha ou interrupção dos serviços. Diante destas características fica evidente a necessidade de se utilizar esses recursos nos ambientes de sistemas e aplicações de TI da APF, onde todos os sistemas tem que ficar disponíveis nas 24 horas do dia e nos 7 dias da semana. Apenas o órgão USP não detalhou a necessidade desses recursos em seu termo de referência, e a principal consequência ocasionada por esse descuido pode ser refletido em longos períodos de indisponibilidade dos serviços e aplicações de TI prestados pelos órgãos públicos.

Outro detalhe importante que foi analisado está relacionado ao treinamento avançado do ambiente virtualizado e com a homologação do ambiente de produção. Todos os três órgãos FINEP, PGR e USP se preocuparam em definir que é necessário o treinamento da equipe de TI e também a homologação do ambiente de produção. Já o catálogo demonstrou uma falha quanto a esses critérios por não especificar a importância desses itens em sua documentação.

Existem diversas maneiras de se gerenciar um ambiente virtualizado, onde as ferramentas que dão suporte a essa tecnologia estão sempre sofrendo novas atualizações, adicionando mais opções de configuração, novas tendências e, ao mesmo tempo, tornando outras ferramentas ultrapassadas. Portanto, é imprescindível que a equipe de TI esteja apta para lidar com as novidades tecnológicas e tendências, e para realizar tal tarefa é necessário o investimento em capacitação e treinamento da equipe para se ter o domínio das ferramentas mais modernas, proporcionando melhores resultados e soluções inovadoras.

Diante deste cenário fica bem claro a vantagem que os órgãos FINEP, PGR e USP