Em 2011, nas muitas palestras e eventos que participei, quase sempre ouvia o questionamento quanto à segurança e disponibilidade das nuvens públicas. As eventuais falhas que aparecem em nuvens públicas se espalham com muita rapidez com, na minha opinião, excessiva publicidade, pela mídia. Um “cloud data center” é uma infraestrutura complexa, com muita tecnologia envolvida e com alto grau de resiliência. Mas, embora nada seja completamente imune a falhas, com certeza ele será bem mais seguro e confiável que a imensa maioria dos data centers que vemos espalhados pelo Brasil…
Colocar sua empresa em uma nuvem pública não significa que você vai se omitir das questões de segurança e privacidade. A escolha do provedor é fundamental. Existem provedores focados em usuários finais e empresas muito pequenas, que sofrem menos em termos financeiros e operacionais quando eventualmente seus sistemas saem do ar, e aqueles focados em usuários corporativos, que sabem que um sistema indisponível pode significar milhões de reais em prejuízo. Portanto, existem provedores e provedores…
Para usar uma nuvem pública, é sempre bom ser cauteloso e fazer uma “due diligence” para se assegurar que o provedor adota práticas de segurança e disponibilidade adequadas. Uma boa fonte de pesquisas e estudos sobre o assunto, bem como certificações de resiliência de data centers pode ser visto no Uptime Intitute. Em tempo no Brasil é http://uptimeinstitute.com/uptime-institute-brasil. Sugiro também ler a autópsia da queda do data center da Amazon, em Dublin, na Irlanda no ano passado, clicando aqui. É importante saber que sempre pode existir uma falha.
Assim, analise as práticas adotadas pelo provedor, o grau de transparência de informações que ele passa e os serviços de recuperação de falhas que ele oferece. Valide se ele adota práticas profissionais como ITIL e se está aderente às regras de segurança ISO/IEC 27001:2005. Uma boa fonte de suporte é a Cloud Security Alliance e seu GRC Stack (Governance, Risk Management and Compliance), que contém vários documentos que ajudam a uma empresa avaliar seu provedor de nuvem pública. Recomendo também, como apoio nesta avaliação, acessar a página do CAMM (Common Assurance Maturity Model) e estudar os seus papers.
Além disso, arquitete seus sistemas para explorar as potencialidades das nuvens públicas e crie condições de resiliência próprias. Isto significa que você não deve simplesmente transferir de olhos fechados seus aplicativos on-premise para a nuvem. Adicione a este processo as práticas de segurança e recuperação adequadas para operar na cloud computing. Não esqueça de avaliar cuidadosamente as cláusulas contratuais quanto a estes aspectos. Na prática, a responsabilidade pela gestão dos riscos é compartilhada entre o provedor da nuvem e os seus clientes.