Académique Documents
Professionnel Documents
Culture Documents
para
Traduzido por
Introdução
Partindo da primeira versão do nosso guia, foi tomada a decisão de separar o guia
básico dos domínios principais de pesquisa. Cada domínio de pesquisa está sendo
lançado em seu próprio white paper. Estes white papers e uas agendasde lançamento
estão hospedadas em:
http://www.cloudsecurityalliance.org/guidance/domains/
Sumário
Introdução ..................................................................................................................... 3
Prefácio .......................................................................................................................... 5
Carta dos Editores ......................................................................................................... 9
Nota Editorial Sobre Risco: Decidindo O Que, Quando e Como Mover Para a
Nuvem .......................................................................................................................... 11
Seção I. Arquitetura da Nuvem .................................................................................. 14
Domínio 1: Framework da Arquitetura de Computação em Nuvem ........................... 15
Seção II. Governança na Nuvem................................................................................. 33
Domínio 2: Governança e Gestão de Risco Corporativo............................................. 34
Domínio 3: Aspectos Legais e Electronic Discovery .................................................. 39
Domínio 4: Conformidade e Auditoria ....................................................................... 41
Domínio 5: Gerenciamento do Ciclo de Vida das Informações .................................. 44
Domínio 6: Portabilidade e Interoperabilidade ........................................................... 50
Seção III. Operando na Nuvem................................................................................... 53
Domínio 7: Segurança Tradicional, Continuidade de Negócios e Recuperação de
Desastres ................................................................................................................... 54
Domínio 8: Operações e Data center ......................................................................... 56
Domínio 9: Resposta a Incidente, Notificação e Remediação ..................................... 59
Domínio 10: Segurança de Aplicações ....................................................................... 62
Domínio 11: Criptografia e Gerenciamento de Chaves............................................... 65
Domínio 12: Gerenciamento de Identidade e Acesso. ................................................ 68
Domínio 13 - Virtualização ....................................................................................... 73
Referencias .................................................................................................................. 75
Bem vindo à segunda versão do “Guia de Segurança para Áreas Critícas Focado
em Computação em Nuvem” da Cloud Security Alliance. Como a marcha da Cloud
Security Alliance continua, temos novas oportunidades e novos desafios de segurança.
Nós humildemente esperamos fornecer a vocês instruções e inspiração para suportar as
necessidades do seu negócio enquanto gerenciam novos riscos.
Embora a Cloud Security Alliance seja mais conhecida por este guia, ao longo dos
próximos meses você verá uma ampla variedade de atividades, incluíndo capítulos
internacionais, parcerias, novas pesquisas e atividades orientadas a promover nossa
missão. Você pode acompanhar nossas atividades em www.cloudsecurityalliance.org.
Por favor, continue engajado neste assunto, trabalhando conosco para completarmos essa
importante missão.
Atenciosamente,
Jerry Archer
Alan Boehme
Dave Cullinane
Paul Kurtz
Nils Puhlmann
Jim Reavis
Colaboradores
Adrian Seccombe Jeffrey Ritter
Alex Hutton Jens Laundrup
Alexander Meisel Jesus Luna Garcia
Alexander Windel Jim Arlen
Anish Mohammed Jim Hietala
Anthony Licciardi Joe Cupano
Anton Chuvakin Joe McDonald
Aradhna Chetal Joe Stein
Arthur J. Hedge III Joe Wallace
Beau Monday Joel Weise
Beth Cohen John Arnold
Bikram Barman Jon Callas
Brian O’Higgins Joseph Stein
Carlo Espiritu Justin Foster
Christofer Hoff Kathleen Lossau
Colin Watson Karen Worstell
David Jackson Lee Newcombe
David Lingenfelter Luis Morales
David Mortman M S Prasad
David Sherry Michael Johnson
David Tyson Michael Reiter
Dennis Hurst Michael Sutton
Don Blumenthal Mike Kavis
Dov Yoran Nadeem Bukhari
Erick Dahan Pam Fusco
Erik Peterson Patrick Sullivan
Ernie Hayden Peter Gregory
Francoise Gilbert Peter McLaughlin
Geir Arild Engh-Hellesvik Philip Cox
Georg Hess Ralph Broom
Gerhard Eschelbeck Randolph Barr
Girish Bhat Rich Mogull
Glenn Brunette Richard Austin
Greg Kane Richard Zhao
Greg Tipps Sarabjeet Chugh
Hadass Harel Scott Giordano
James Tiller Scott Matsumoto
Jean Pawluk Scott Morrison
Jeff Reich Sean Catlett
Jeff Spivey Sergio Loureiro
Editores
Hernan Armbruster
Thiago Bordini
Colaboradores
Alessandro Trombini Leonardo Goldim
Alexandre Pupo Luís Felipe Féres Santos
Anchises Moraes Marcelo Carvalho
Denyson Machado Marcelo Pinheiro
Dino Amaral Masaishi Yoshikawa
Eder Alvares Pereira de Souza Miguel Macedo
Filipe Villar Milton Ferreira
Gabriel Negreira Barbosa Nelson Novaes Neto
Gilberto Sudré Olympio Rennó Ribeiro Jr
Guilherme Bitencourt Rafael B. Brinhosa
Guilherme Ostrock Raphael Sanches
Hernan Armbruster Reginaldo Sarraf
Jaime Orts Y Lugo Ricardo Makino
Jimmy Cury Roney Médice
Jordan M. Bonagura Uélinton Santos
Julio Graziano Pontes
Carta dos Editores
É difícil de acreditar que há curtos sete meses, nós juntamos um grupo diversificado de
profissionais de todos os cantos do setor de tecnologia para publicar o primeiro “Guia de
Segurança para Áreas Críticas em Computação em Nuvem”. Desde seu lançamento, essa
publicação tem excedido nossas expectativas continuamente ao ajudar organizações ao redor do
mundo na tomada de decisão quanto a se, quando e como elas devem adotar os serviços e a
tecnologia de Computação em Nuvem. Mas ao longo destes sete meses nosso conhecimento e a
tecnologia de Computação em Nuvem têm evoluído em um grau surpreendente. Essa segunda
versão tem o objetivo de fornecer novos conhecimentos e uma maior profundidade para apoiar
essas decisões desafiadoras.
Adotar Computação em Nuvem é uma decisão complexa envolvendo inúmeros fatores. Nossa
expectativa é que o guia contido neste trabalho ajude você a entender melhor quais perguntas
fazer, as melhores práticas recomendadas e as armadilhas a serem evitadas. Através do nosso foco
nas questões centrais da segurança em Computação em Nuvem, nós tentamos trazer uma maior
transparência para um panorama complicado, que é frequentemente preenchido com informações
incompletas. Nosso foco nos 15 domínios originais (agora consolidados em 13) serve para
especificar e contextualizar a discussão sobre segurança em Computação em Nuvem: habilitando-
nos a ir além das generalizações brutas e entregar recomendações mais objetivas e perspicazes.
Em nossa jornada, temos sido procurados por uma crescente lista de organizações do setor,
corporações e profissionais que acreditam na nossa missão de desenvolver e promover as
melhores práticas para garantir a segurança na Computação em Nuvem. Suas perspectivas e
conhecimentos tem sido essenciais na criação de um trabalho sensato e imparcial que continua
servindo como uma excelente base sobre a qual podemos continuar trabalhando.
Computação em Nuvem é ainda um panorama em rápida evolução, que nos obriga a permanecer
atualizados ou ficamos para trás. Nesta publicação da segunda versão do nosso guia, nós partimos
da experiência e especialização coletiva da nossa grande e diversificada comunidade de
voluntários para criar um trabalho mais completo com maiores detalhes e precisão. Ainda assim,
nós não devemos estar satisfeitos. Como profissionais de segurança tem feito por anos, nós
devemos continuar a evoluir nossos processos, métodos e técnicas à luz das oportunidades que a
Computação em Nuvem trás para nosso setor. Essa evolução é essencial para nosso sucesso a
longo prazo conforme encontramos novos modos para aperfeiçoar a eficácia e eficiência da nossa
capacidade de execução de monitoramento de segurança.
Computação em nuvem não é necessariamente mais ou menos segura que o seu ambiente atual.
Assim como qualquer nova tecnologia, ela cria novos riscos e novas oportunidades. Em alguns
casos, migrar para nuvem prevê uma oportunidade de reestruturas aplicações antigas e
infraestrutura para adequar ou exceder requisitos modernos de segurança. Às vezes o risco de
mover dados confidenciais e aplicações para uma infraestrutura emergente pode estar além da sua
tolerância. Nosso objetivo neste guia não é dizer exatamente o que, onde ou como você deve
migrar para nuvem, mas fornecer a você recomendações práticas e questões básicas para fazer
uma migração mais segura possível, em seus termos.
Finalmente, em nome da Cloud Security Alliance e do Editorial Working Group, nós gostaríamos
de agradecer a cada voluntário por todo seu tempo e esforço que foi colocado no
desenvolvimento deste novo documento. Estávamos sempre insipirados pela dedicação das
equipes em ampliar e aperfeiçoar suas respectivas áreas e acreditamos que seus esforços
Como sempre, estamos ansiosos para ouvir seu feedback sobre essa atualização do guia. Se você
achou este guia útil ou gostaria de ver ele melhorado, por favor, considere associar-se a Cloud
Security Alliance como um membro ou colaborador.
Glenn Brunette
Rich Mogull
Editores
Com tantas opções diferentes de implantação de nuvem – incluindo o modelo de serviço SPI
(Software as a Service, Platform as a Service ou Infrastructure as a Service, explicados com
maiores detalhes no Domínio 1), implantações públicas vs privadas, hospedagem interna vs
externa e várias permutações híbridas – nenhuma lista de controles de segurança pode cobrir
todas as cirscunstâncias. Como em qualquer área da segurança, organizações devem adotar uma
abordagem baseada em riscos para migrar para nuvem e selecionar as opções de segurança. A
seguir está um framework simples para ajudar a avaliar inicialmente os riscos e informar as
decisões de segurança.
Este processo não é um framework completo de avaliação de riscos, nem uma metodologia para
determinar todos os requisitos de segurança. É um método rápido para avaliar sua tolerância em
mover um ativo para vários modelos de Computação em Nuvem.
1. Dados
2. Aplicações/Funções/Processamento
Com a Computação em Nuvem nossos dados e aplicações não precisam estar no mesmo local e
podemos até mudar apenas partes de funções para a nuvem. Por exemplo, podemos hospedar
nossa aplicação e dados no nosso próprio data center, enquanto ainda terceirizamos uma parte de
sua funcionalidade para a nuvem através do modelo Platform as a Service.
O primeiro passo ao avaliar um risco na nuvem é determinar exatamente que dado ou função está
sendo considerado mover para a nuvem. Isto deve incluir potenciais utilizações do ativo uma vez
que este seja migrado para a nuvem para considerar o aumento do escopo. Volumes de dados e de
transações são frequentemente maiores que o esperado.
Avalie o Ativo
O próximo passo é determinar qual importância do dado ou função para a organização. Você não
precisa realizar uma avaliação detalhada a menos que sua organização possua um processo para
Agora nós devemos entender a importância do ativo. Nosso próximo passo é determinar qual
modelo de implantação será mais confortável adotar. Antes de começarmos a buscar por
potenciais provedores, nós devemos saber se nós podemos aceitar os riscos implícitos aos vários
modelos (privado, público, comunitário ou hibrido) e aos modos de hospedagem (interno, externo
ou combinado).
Para cada ativo, determine se você está disposto a aceitar as seguintes opções:
1. Público.
2. Privado, interno/dentro da organização.
3. Privado, externo (incluindo infraestrutura dedicada ou compartilhada).
4. Comunitário, levando em conta o local da hospedagem, provedor de serviço em
potencial e identificar outros membros da comunidade.
5. Hibrido. Para avaliar efetivamente o potencial de implantação hibrida, você deve ter
em mente pelo menos uma estrutura aproximada de onde os componentes, funções e
dados serão hospedados.
Neste estágio você deve ter uma boa idéia do seu nível de conforto na transição para a nuvem e
qual modelo e local de implantação adequados para seus requisitos de segurança e riscos.
Neste passo o foco é no grau de controle que você terá em cada camada de SPI para implementar
qualquer gerenciamento de riscos necessário. Se você estiver avaliando uma oferta específica,
neste ponto você pode mudar para uma avaliação de riscos completa.
Seu foco será no nível de controle que você tem que implementar para mitigar os riscos nas
diferentes camadas de SPI. Se você já possui requisitos especificos (ex.: para manipulação de
dados regulamentados) você pode incluir nesta avaliação.
Se você está analisando uma opção específica de implementação, mapeie o fluxo de dados entre
sua organização, o serviço de nuvem e qualquer cliente/outros pontos de acesso. Enquanto a
maioria destes passos for de alto nível, antes de tomar a decisão final é absolutamente necessário
entender se e como os dados podem se mover para dentro e fora da nuvem.
Se você ainda tem que decidir em uma oferta em especial, você vai querer esboçar um rascunho
do fluxo de dados para qualquer opção da sua lista de aceitação. Isto é para garantir que quando
você tomar sua decisão final, você será capaz de identificar pontos de exposição aos riscos.
Conclusões
Agora você deve entender a importância do que você está considerando mover para a nuvem, sua
tolerância ao risco (pelo menos em alto nível) e que combinações de modelos de implantações e
serviços são aceitáveis. Você também terá uma idéia aproximada dos potenciais pontos de
exposição das informações e operações sensíveis.
Este conjunto deve dar a você contexto suficiente para avaliar qualquer outro controle de
segurança neste guia. Para ativos menos valiosos você não precisa ter o mesmo nível de controles
de segurança e pode pular muitas das recomendações – como inspeções locais, facilidade de
descoberta e esquemas complexos de criptografia. Um ativo valioso e regulamentado implicará
em requisitos de auditoria e retenção de dados. Para outros ativos valiosos e não sujeitos a
restrições de regulamentações, você pode focar mais em controles técnicos de segurança.
Devido ao nosso espaço limitado, bem como a profundidade a quantidade de material para cobrir,
este documento contém listas extensivas de recomendações de segurança. Nem todas as
implantações de nuvem precisam de todos os controles de risco e segurança possíveis.
Empregando um pouco de tempo antecipadamente em uma avaliação da sua tolerância ao risco e
potenciais exposições proporcionará o contexto que você precisa para escolher a melhor opção
para sua organização e implementação.
A seção final deste domínio fornece uma introdução resumida para cada um dos demais domínios
do guia.
Sob a perspectiva da arquitetura, há muita confusão em torno de como a nuvem é tanto similar e
diferente dos modelos computacionais existentes, e como estas similaridades e diferenças
impactam nas abordagens organizacionais, operacionais, e tecnológicas para as práticas de
segurança da informação e de redes.
As chaves para entender como a arquitetura da nuvem impacta a arquitetura de segurança são
baseados em uma nomenclatura comum e concisa, associada com uma taxonomia consistente de
ofertas de como os serviços e arquiteturas de serviços na nuvem podem ser interpretadas,
mapeadas para um modelo de controles compensatórios de segurança e operacionais, frameworks
de análise e gerenciamento de risco, e de acordo com padrões de conformidade.
A versão anterior do guia da Cloud Security Alliance utilizava definições que foram escritas antes
da publicação de trabalho dos cientistas do U.S. National Institute of Standards and Technology
(NIST) e seus esforços em definir Computação em Nuvem.
A publicação do NIST é geralmente bem aceita, e nós a escolhemos para estarmos alinhados com
a definição de trabalho do NIST para Computação em Nuvem (versão 15 no momento em que
este texto foi criado) trazendo assim coerência e consenso no uso de uma linguagem comum, de
forma que podemos focar em casos de uso e não em aspectos semânticos.
É importante notar que este guia tem a intenção de ser usado amplamente e aplicável para
organizações globalmente. Enquanto o NIST é uma entidade governamental americana, a seleção
deste modelo de referência não deveria ser interpretada de forma a sugerir a exclusão de outros
pontos de vista ou de outras regiões geográficas.
O NIST define Computação em Nuvem descrevendo cinco características essenciais, três modelos
de serviço e quatro modelos de implementação. Eles estão sumarizados visualmente na figura 1 e
explicados em detalhes a seguir.
Os serviços na nuvem apresentam cinco características essenciais que demonstram suas relações e
diferenças das abordagens tradicionais de computação:
É importante reconhecer que os serviços em nuvem são geralmente, mas nem sempre, utilizados
em conjunto com, e habilitado por tecnologias de virtualização. Não existe requisito, no entanto,
que relaciona a abstração de recursos com as tecnologias de virtualização e no caso de muitas
ofertas, a virtualização por ambientes de sistemas operacionais ou hypervisors não são utilizadas.
Além do mais, deveria ser notado que a característica de multilocatário não é considerada
essencial pelo NIST, mas é geralmente discutido como se fosse. Favor se referir à seção sobre
“multilocatário” abaixo, apresentada após a descrição de implantação do modelo em nuvem, para
maiores detalhes.
A entrega de serviços de nuvem é dividida entre três modelos de arquitetura e várias combinações
derivadas. As três classificações fundamentais são geralmente referidas como “Modelo SPI”,
onde “SPI” significa Software, Plataforma e Infraestrutura (como um Serviço), respectivamente –
definidos, portanto como:
Independente do modelo de serviço utilizado (SaaS, PaaS ou IaaS) existem quatro modelos de
implantação de serviços de nuvem, com variações para atender a requisitos específicos:
Multilocatário
Embora esta não seja uma característica essencial da Computação em Nuvem no modelo do
NIST, a CSA identificou a multilocação como um elemento importante da nuvem.
Figura 2 - Multilocatário
A PaaS trabalha em cima da IaaS e acrescenta uma camada adicional de integração com
frameworks de desenvolvimento de aplicativos, recursos de middleware e funções como banco de
dados, mensagens e filas, o que permite aos desenvolvedores criarem aplicativos para a
plataforma cujas linguagens de programação e ferramentas são suportadas pela pilha.
O SaaS por sua vez, é construído sobre as pilhas IaaS e PaaS logo abaixo, e fornece um ambiente
operacional autocontido usado para entregar todos os recursos do usuário, incluindo o conteúdo, a
sua apresentação, a(s) aplicação(ções) e as capacidades de gestão.
Consequentemente deve ficar claro que existem importantes compensações de cada modelo em
termos das funcionalidades integradas, complexidade versus abertura (extensibilidade), e
segurança. As compensações entre os três modelos de implantação da nuvem incluem:
Uma conclusão fundamental sobre a arquitetura de segurança é que quanto mais baixo na pilha o
prestador de serviços de nuvem parar, mais recursos de segurança e gestão os consumidores terão
a responsabilidade de implementar e gerenciar por si próprios.
No caso do SaaS, isso significa que os níveis de serviço, segurança, governança, conformidade, e
as expectativas de responsabilidade do prestador de serviço estão estipuladas, gerenciadas e
exigidas contratualmente. No caso de PaaS ou IaaS é de responsabilidade dos administradores de
sistema do cliente gerenciar eficazmente o mesmo, com alguma compensação esperada pelo
fornecedor ao proteger a plataforma e componentes de infraestrutura subjacentes que garantam o
básico em termos de disponibilidade e segurança dos serviços. Deve ficar claro em qualquer caso
que se pode atribuir / transferir a responsabilidade, mas não necessariamente a responsabilidade
final.
Apesar de uma ampla revisão do crescente conjunto de soluções de Computação em Nuvem estar
fora do escopo deste documento, a taxotomia do OpenCrowd Cloud Solutions na figura abaixo
fornece um excelente ponto de partida. A taxonomia OpenCrowd demonstra os crescentes grupos
de soluções disponíveis hoje em cada um dos modelos previamente definidos.
Note que o CSA não endossa especificamente nenhuma das soluções ou as empresas exibidas
abaixo, mas fornece o diagrama para demonstrar a diversidade de ofertas disponíveis hoje.
Para uma excelente visão geral dos muitos casos de uso da Computação em Nuvem, o Cloud
Computing Use Case Group elaborou um trabalho colaborativo para descrever e definir os casos
comuns e demonstrar os benefícios da nuvem, com o objetivo de “... reunir consumidores de
nuvem e fornecedores de nuvem para definir os casos de uso frequentes para a Computação em
Nuvem... e destacar os recursos e as necessidades que precisam ser padronizados em um
ambiente de nuvem para garantir a interoperabilidade, facilidade de integração e portabilidade.”
O modelo de referência de segurança em nuvem aborda as relações entre essas classes e as coloca
no contexto das preocupações e controles de segurança relevantes. Para organizações e indivíduos
que terão contato com a Computação em Nuvem pela primeira vez, é importante observar os
pontos abaixo para evitar potenciais armadilhas e confusões:
Isto não é sugerir que a localização dentro ou fora da empresa de um ativo, um recurso ou uma
informação não afete a condição de segurança e de risco de uma organização porque elas são
afetadas – mas para ressaltar que esse risco também depende de:
Um ambiente LAMP implantado no AWS EC2 da Amazon, por exemplo, seria classificado como
uma solução pública, fora do ambiente da empresa (off-premise) e IaaS gerenciada por terceiros,
mesmo se as instâncias, aplicações e dados contidos dentro dela fossem gerenciados pelo
consumidor ou por um terceirizado. Um ambiente de aplicação personalizado servindo múltiplas
unidades de negócio, implantado no Eucalyptus sob o controle, o gerenciamento e o domínio da
corporação poderia ser descrito como uma solução SaaS privada, dentro da empresa (on-premise)
e autogerenciada. Ambos os exemplos utilizam as capacidades de dimensionamento elástico e de
autoatendimento da nuvem.
O Cloud Cube Model também destaca os desafios em entender e mapear os modelos de nuvem
para frameworks e padrões de controle como a ISO/IEC 27002, que fornece “…uma série de
orientações e princípios gerais para a iniciar, implementar, manter e melhorar o gerenciamento da
segurança da informação dentro de uma organização.”
A seção 6.2 da ISO/IEC 27002, sobre objetivos de controle para “Parceiros Externos,” declara:
“…a segurança das informações e das instalações de processamento de informações da
organização não deve ser reduzida em função da introdução de produtos ou serviços de parceiros
externos...”
Da mesma forma, as diferenças nos métodos e na responsabilidade por proteger os três modelos
de serviço de nuvem significam que os clientes dos mesmos são confrontados com um esforço
desafiador. A menos que os provedores de nuvem possam divulgar facilmente seus controles de
segurança e o alcance da implementação dos mesmos para o cliente, e o cliente saiba quais
controles são necessários para manter a segurança de suas informações, existe um enorme
potencial para decisões equivocadas e resultados negativos.
Uma vez que a análise de gap esteja completa, baseada nos requisitos de qualquer
regulamentação ou pela exigência de conformidade, torna-se muito mais fácil determinar o que
precisa ser feito para que ela sirva de base para um framework de avaliação de riscos; isto, por
sua vez, ajuda a determinar como os gaps e, em última análise, os riscos devem ser tratados:
aceitando-os, transferindo-os ou mitigando-os.
É importante notar que o uso de Computação em Nuvem como um modelo operacional não prevê
e nem previne a obtenção de conformidade automaticamente. A habilidade para atender qualquer
requisito é um resultado direto dos modelos de serviço e de implantação utilizados e do desenho,
da implantação e do gerenciamento dos recursos definidos no escopo.
Para uma excelente visão geral dos frameworks de controle que fornecem bons exemplos do
framework genérico de controle mencionado acima, veja o conjunto de documentos sobre padrões
de arquitetura de segurança do Open Security Architecture Group, ou a versão 3 do catálogo de
controles de segurança recomendados número 800-53 (Recommended Security Controls for
Federal Information Systems and Organizations) do NIST, que é sempre útil e foi atualizado
recentemente.
Para a maioria, controles de segurança de Computação em Nuvem não são diferentes dos
controles de segurança para qualquer ambiente de TI. No entanto, em função dos modelos de
A Computação em Nuvem envolve a lenta perda de controle ao mesmo tempo em que mantemos
a responsabilidade, mesmo se a responsabilidade operacional recair sobre um ou mais terceiros.
O contrário é verdadeiro para a oferta SaaS de gestão de recursos de clientes (customer resource
management, ou CRM) da Salesforce.com. Como toda a “pilha” é fornecida pela Salesforce.com,
o provedor não é apenas responsável pelos controles de segurança física e ambiental, mas
também deve abordar os controles de segurança na infraestrutura, nas aplicações e nos dados. Isso
alivia muito da responsabilidade direta do consumidor pela operação.
A figura abaixo ilustra estas questões: em ambientes SaaS, os controles de segurança e de seus
escopos são negociados em contratos de serviços: os níveis de serviço, privacidade e
conformidade são todos assuntos a serem tratados legalmente em contratos. Em uma oferta IaaS,
enquanto a responsabilidade de proteger a infraestrutura básica e camadas de abstração pertence
ao provedor, o restante da pilha é de responsabilidade do consumidor. PaaS oferece um equilíbrio
em algum lugar no meio, onde garantir a própria plataforma cai sobre o provedor, mas a
segurança das aplicações desenvolvidas para a plataforma e a tarefa de desenvolvê-las de forma
segura pertencem ambas ao consumidor.
Entender o impacto dessas diferenças entre os modelos de serviço e como eles são implementados
é fundamental para a gestão do posicionamento de uma organização frente ao risco.
Os outros doze domínios, que incluem as demais áreas de preocupação para a Computação em
Nuvem destacadas pelo guia da CSA são ajustados para abordar tanto os pontos estratégicos e
táticos críticos de segurança dentro de um ambiente em nuvem e, podem ser aplicados a qualquer
combinação de serviços e de modelos de implantação da nuvem.
Domínios de Governança
Domínio O Guia trata de…
A capacidade de uma organização para
governar e medir o risco empresarial
introduzido pela Computação em Nuvem. Ítens
como a precedência legal em caso de violação
Governança e Gestão de Riscos Corporativos
de acordo, a capacidade de organizações
usuárias para avaliar adequadamente o risco de
um provedor de nuvem, a responsabilidade para
proteger dados sensíveis quando o usuário e o
Domínios Operacionais
Como a Computação em Nuvem afeta os
processos e procedimentos operacionais
atualmente usados para implementar a
segurança, continuidade de negócios e
recuperação de desastres. O foco é discutir e
Segurança Tradicional, Continuidade de analisar os possíveis riscos da Computação em
Negócios e Recuperação de Desastres Nuvem, na esperança de aumentar o diálogo e
debate sobre a grande procura de melhores
modelos de gestão de riscos corporativos. Além
disso, a seção aborda sobre como ajudar as
pessoas a identificar onde a Computação em
Nuvem pode ajudar a diminuir certos riscos de
Resumo
Esta visão geral da arquitetura, juntamente com as doze outras áreas de foco crítico, vai
proporcionar ao leitor uma base sólida para a avaliação, operacionalização, gerenciamento e
governança da segurança em ambientes de Computação em Nuvem.
Colaboradores da Versão Original: Glenn Brunette, Phil Cox, Carlo Espiritu, Christofer Hoff,
Mike Kavis, Sitaraman Lakshminarayanan, Kathleen Lossau, Erik Peterson, Scott Matsumoto,
Adrian Seccombe, Vern Williams, Richard Zhou
Recomendações de Governança
Assim como em qualquer novo processo de negócios, é importante seguir as melhores práticas de
gerenciamento de riscos. As práticas devem ser proporcionais às especificações dos serviços em
nuvem, que podem variar de processamento inócuo de dados e tráfego de rede até processos de
negócios de missão crítica lidando com informação altamente sensível. Uma discussão completa
do gerenciamento de riscos corporativos e gerenciamento de risco da informação está além do
escopo deste guia, mas aqui há algumas recomendações específicas da Nuvem que você pode
incorporar em seus processos de gerenciamento de riscos existentes.
O serviço, e não somente o fornecedor deve ser o alvo de uma avaliação de risco. O uso
de serviços na nuvem, os serviços especificos e modelos de desenvolvimento para
serem utilizados devem ser coerentes com os objetivos de gerenciamento de riscos da
organização assim como também com os objetivos do negócio.
Clientes de serviços na nuvem devem questionar se seu sua gestão definiu a níveis de
tolerância a riscos com relação aos serviços na nuvem e aceita qualquer risco residual
inerente à utilização de serviços em nuvem.
Quando utilizado SaaS (Software como serviço), a maior parte da informação deve ser
fornecida pelo provedor do serviço. Organizações devem estruturar processos de coleta
de informações analiticas nas obrigações contratuais do serviço SaaS.
Colaboradores da Versão Original: Jim Arlen, Don Blumenthal, Nadeem Bukhari, Alex
Hutton, Michael Johnson, M S Prasad, Patrick Sullivan
Diversas leis e regulamentos de conformidade nos Estados Unidos e da União Européia imputam
responsabilidade a subcontratados ou exigem que as entidades empresariais sejam
contratualmente responsáveis por eles.
Recomendações
Clientes e provedores da nuvem devem estar mutuamente cientes dos respectivos papéis e
responsabilidades relacionados à Eletronic Discovery, incluindo atividades como litígio,
investigações, prover o testemunho de perito, etc.
Dados sob a custódia dos provedores de serviços de nuvem devem receber proteção
equivalente a que teriam se estivessem nas mãos de seu proprietário original ou
custodiante.
Como custodiante dos dados pessoais de seus funcionários ou clientes, bem como de
outros ativos de propriedade intelectual da instituição, uma empresa que utiliza serviços
de Computação em Nuvem deve assegurar que ele mantém a posse de seus dados em seu
formato original e autêntico.
Diversas questões de segurança, tais como suspeitas de violação de dados, devem ser
abordadas através de disposições específicas do contrato de prestação de serviço, que
esclarecem as respectivas obrigações do provedor de serviços de nuvem e do cliente.
Colaboradores da Versão Original: Tanya Forsheit, Scott Giordano, Francoise Gilbert, David
Jackson, Peter McLaughlin, Jean Pawluk, Jeffrey Ritter
Dos diversos regulamentos que tangem à tecnologia da informação e que as organizações devem
cumprir, poucos foram escritos levando a Computação em Nuvem em consideração. Auditores e
avaliadores podem não estar familiarizados com a mesma ou com um determinado serviço de
nuvem em particular. Sendo esse o caso, cabe ao cliente de Computação em Nuvem entender:
Recomendações
Colaboradores da Versão Original: Nadeem Bukhari, Anton Chuvakin, Peter Gregory, Jim
Hietala, Greg Kane, Patrick Sullivan
Localização dos dados. Deve-se ter certeza que os dados, incluindo todas as suas cópias e
backups, estejam armazenados somente em localizações geográficas permitidas por contrato, SLA
e/ou regulação. Por exemplo, uso de armazenamento tal como exigido pela União Europeia para
Mescla de dados com outros clientes da nuvem. Dados – especialmente dados classificados
/sensíveis – não devem ser mesclados com dados de outros clientes sem controles de
compensação enquanto em uso, armazenados ou em trânsito. A mistura ou mescla de dados será
um desafio quando as preocupações quanto à segurança de dados e à geolocalização aumentam.
Descoberta de dados. Como o sistema legal continua focando a descoberta eletrônica de dados,
provedores de serviço de Computação em Nuvem e proprietários de dados necessitarão focar em
descoberta de dados, assegurando às autoridades legais e regulatórias que todos os dados
requisitados tenham sido obtidos. Em um ambiente de Computação em Nuvem esta questão é
extremamente difícil de ser respondida e exigirá controles administrativos, técnicos e legais
quando requerido.
Recomendações
O provedor de serviço de nuvem deverá assegurar ao proprietário dos dados que eles
proveem divulgação de todas as suas informações (full disclosure) (também conhecida
como “transparência”) relativas às práticas e procedimentos de segurança de acordo com
o estabelecido em seus SLAs.
Em alguns casos, uma intimação ou citação de e-discovery pode ser interposta contra o
provedor de serviços de Computação em Nuvem. Neste caso, quando o provedor possuir
custódia dos dados do cliente, o provedor de serviços de Computação em Nuvem deverá
ser forçado a informar ao proprietário dos dados que o provedor de serviços de
Computação em Nuvem será obrigado a divulgar a informação do proprietário dos dados.
Negocie penalidades pagas pelo provedor de serviço de nuvem para violação de dados
para garantir que isso seja levado a sério. Se viável, clientes deverão buscar
ressarcimento de todos os custos por violações como parte de seus contratos com
provedor. Se inviável, clientes deverão explorar outros meios de transferência de risco
tais como seguro para recuperação de perdas por violação.
Execute testes regulares de backup e recuperação para assegurar que a segregação lógica
e os controles são efetivos.
Algumas de nossas recomendações gerais, assim como outros controles específicos, são listadas
dentro do contexto de cada fase do ciclo de vida. Por favor, tenha em mente que dependendo do
modelo de serviço de Computação em Nuvem (SaaS, PaaS ou IaaS), algumas recomendações
necessitarão ser implementadas pelo cliente e outras deverão ser implementadas pelo provedor de
serviço de nuvem.
Crie
Identifique capacidades disponíveis de identificação e classificação de dados.
Armazene
Identifique controles de acesso disponíveis nos ambientes de sistemas de
arquivos, DBMS, sistemas de gestão de documentos, etc.
Uso
Monitoramento de sistemas e aplicações via correlação de logs e/ou ferramentas
baseadas em agentes
Lógica de aplicações
Compartilhamento
Monitoramento de sistemas e aplicações via correlação de logs e/ou ferramentas
baseadas em agentes
Lógica de aplicações
Armazenamento
Criptografia, como aplicada em fitas de backup e outros sistemas de
armazenamento de alta capacidade.
Descarte
Crypto-shredding: Descarte de todos os dados principais relacionados à
informações criptografadas
Colaboradores da Versão Original: Richard Austin, Ernie Hayden, Geir Arild Engh-
Hellesvik, Wing Ko, Sergio Loureiro, Jesus Luna Garcia, Rich Mogull, Jeff Reich
Com o Software como um Serviço (SaaS), o cliente da nuvem, por definição, substitui os novos
softwares pelos antigos. Portanto, o foco não está na portabilidade das aplicações, mas em
preservar ou melhorar as funcionalidades de segurança providas pela aplicação legada e conseguir
uma migração dos dados bem sucedida.
Com a Plataforma como um Serviço (PaaS), a expectativa é que algum grau de modificação na
aplicação seja necessário para atingir a portabilidade. O foco é minimizar a quantidade de
recodificação da aplicação, enquanto os controles de segurança são mantidos ou melhorados,
juntamente com uma migração dos dados bem sucedida.
Com a Infraestrutura como um Serviço (IaaS), o foco e a expectativa é que ambas, aplicações e
dados, sejam capazes de serem migrados e executados em um novo provedor de nuvem.
Recomendações
Entender como imagens de máquinas virtuais podem ser capturadas e portadas para o
novo provedor de nuvem que pode utilizar uma tecnologia diferente de virtualização.
Entender quais práticas são utilizadas para garantir uma desalocação apropriada das
imagens depois que uma aplicação é portada de um provedor de nuvem.
Entender quais ferramentas estão disponíveis para a transmissão segura dos dados, para
backup e para restauração.
Compreender como serviços básicos como monitoramento, logs e auditoria podem ser
transferidos para o novo provedor.
Entender as funções de controle fornecidas pelo provedor de nuvem antigo e como será
feita a transferência para o novo provedor.
Entender como testes são completados antes e depois da migração, para verificar se os
serviços ou aplicações estão operando corretamente. Garantir que a responsabilidade de
testar, de ambos, provedor e usuário, são bem conhecidas e documentadas.
Executar extrações de dados e backups regulares para formatos que possam ser
utilizados fora do provedor de SaaS.
Compreender que todas as ferramentas personalizadas terão que ser recodificadas ou, o
novo provedor deve fornecer novas ferramentas.
Recomendações
Tenha em mente que a centralização dos dados significa que o risco de fraude interna
partindo de dentro do provedor de serviços de nuvem é uma preocupação significativa.
Os provedores devem ter uma segregação robusta das responsabilidades das funções,
verificar os antecedentes dos funcionários, exigir / aplicar acordos de não-divulgação de
dados para os seus funcionários e limitar o acesso às informações dos clientes aos
funcionários na medida do que for absolutamente necessário para a execução de suas
funções.
Os clientes devem efetuar inspeções aos locais das instalações de seu provedor de
nuvem sempre que possível.
Clientes precisam confirmar que o provedor tem uma política de Plano de Continuidade
de Negócios aprovada pelo conselho de administração do provedor.
Clientes devem verificar se o provedor tem algum recurso on-line dedicado à segurança
e BCP, onde a visão geral do programa e as fichas técnicas estejam disponíveis para
consulta.
Colaboradores da Versão Original: Randolph Barr, Luis Morales, Jeff Spivey, David Tyson
Ao tomar a decisão de mover toda ou parte das operações de TI para a nuvem, é útil
primeiramente entender como um provedor de nuvem implementou as “Cinco Principais
Características da Computação em Nuvem” do Domínio 1 e como essa arquitetura e
infraestrutura tecnológica afeta a sua habilidade de satisfazer os acordos de nível de serviço e de
endereçar preocupações com a segurança. A tecnologia específica da arquitetura tecnológica do
provedor pode ser uma combinação de produtos de TI e outros serviços de nuvem como, por
exemplo, se aproveitar vantajosamente do serviço de armazenamento IaaS de outro provedor.
Por último, compreenda como o provedor de nuvem lida com a democratização e dinamismo dos
recursos para melhor prever os níveis apropriados de disponibilidade do sistema e de desempenho
Recomendações
É imperativo que uma organização, considerando a compra de serviços de nuvem, sejam eles de
qualquer tipo, esteja totalmente ciente do tipo exato de serviços que serão contratados e do que
não está incluso. Abaixo está um sumário de informações que precisam ser revisadas como parte
do processo de seleção do vendedor e questões adicionais para ajudar a qualificar os provedores e
comparar melhor os seus serviços com as necessidades da organização.
Ainda que as arquiteturas tecnológicas dos provedores de nuvem variem, todos eles
devem poder demonstrar divisão compreensiva de sistemas, redes, gerenciamento,
provisão e pessoal.
Suporte técnico ou central de serviço são frequentemente uma janela pela qual o cliente
pode ver as operações do provedor. Para obter uma experiência de suporte suave e
uniforme para seus usuários finais, é essencial assegurar que os processos,
procedimentos, ferramentas e horário de suporte do provedor são compatíveis com as
suas.
Colaboradores da Versão Original: John Arnold, Richard Austin, Ralph Broom, Beth Cohen,
Wing Ko, Hadass Harel, David Lingenfelter, Beau Monday, Lee Newcombe, Jeff Reich,
Tajeshwar Singh, Alexander Windel, Richard Zhao.
Colaboradores da Versão Original: Eder Alvares Pereira de Souza, Olympio Rennó Ribeiro Jr,
Raphael Sanches
Qualquer dado classificado como privado para efeito regulatório em relação a roubo de
informações deve ser sempre criptografado para reduzir as consequências de um
incidente de roubo de dado. Clientes devem estipular os requisitos de criptografia
contratualmente, conforme Domínio 11.
Colaboradores da Versão Original: John Arnold, Richard Austin, Ralph Broom, Beth Cohen,
Wing Ko, Hadass Harel, David Lingenfelter, Beau Monday, Lee Newcombe, Jeff Reich,
Tajeshwar Singh, Alexander Windel, Richard Zhao
Computação em Nuvem é um desafio particular para aplicações através das camadas de Software
como um Serviço (SaaS), Platforma como um Serviço (PaaS) e Infraestrutura como um
Serviço(IaaS). Aplicações de software baseadas em nuvem requerem um rigor de design
semelhante a aplicações que residem em uma DMZ clássica. Isto inclui uma profunda análise
inicial cobrindo todos os tradicionais aspectos de confidencialidade, integridade e disponibilidade
do gerenciamento da informação.
Aplicações em ambientes de nuvem irão tanto impactar como serem impactadas pelos seguintes
aspectos principais:
Recomendações
IaaS, PaaS e SaaS criam diferentes limites de confiança para o ciclo de vida de
desenvolvimento de software; que devem ser contabilizados durante o desenvolvimento,
testes e implantação de aplicações em produção.
As melhores práticas disponíveis para fortificar sistemas host dentro de DMZs devem ser
aplicadas para máquinas virtuais. Limitar os serviços disponíveis somente aqueles
necessários para suportar a pilha da aplicação é apropriado.
Proteger a comunicação inter-host deve ser uma regra; não pode haver nenhuma
suposição de um canal seguro entre hosts, quer esteja em um data center comum ou ainda
em um mesmo dispositivo de hardware.
Atenção deve ser dada para como os atores maliciosos irão reagir às novas arquiteturas de
aplicações de nuvem, que obscurecem componentes de aplicações de seus exames
minuciosos. Hackers tendem a atacar códigos visíveis, incluindo, mas não limitado ao
código que está rodando no contexto do usuário. Eles são suscetíveis a atacar
infraestruturas e realizar extensos testes em caixa-preta.
Colaboradores da Versão Original: John Arnold, Warren Axelrod, Aradhna Chetal, Justin
Foster, Arthur J. Hedge III, Georg Hess, Dennis Hurst, Jesus Luna Garcia, Scott Matsumoto,
Alexander Meisel, Anish Mohammed, Scott Morrison, Joe Stein, Michael Sutton, James Tiller,
Joe Wallace, Colin Watson
Ambientes de nuvem são compartilhados com muitos locatários e provedores de serviços têm
acesso privilegiado aos dados que estão nesses ambientes. Portanto, os dados confidenciais
hospedados em uma nuvem devem ser protegidos através de uma combinação de controles de
acesso (ver Domínio 12), responsabilidade contratual (ver Domínios 2, 3 e 4) e criptografia, que
descrevemos nesta seção. Destes três pontos, a criptografia oferece os benefícios da mínima
confiança no provedor de serviços de nuvem e da independência em casos de detecção de falhas
operacionais.
Além desses usos comuns de criptografia, a possiblidade de ataques exóticos contra provedores
de nuvem também justifica uma maior exploração de meios para criptografar dados dinâmicos,
incluindo dados residentes em memória.
Gerenciamento de Chaves
Repositórios seguros de chaves. Repositórios de chaves devem ser protegidos assim como
qualquer outro dado sensível. Eles devem ser protegidos no armazenamento, no trânsito e nos
backups. O armazenamento impróprio de chaves pode levar ao comprometimento de todos os
dados cifrados.
Acesso aos repositórios de chaves. O acesso a repositórios de chaves deve ser limitado às
entidades que necessitem especificamente de chaves individuais. Devem existir ainda políticas
que utilizem separação de papeis regendo os repositórios de chaves, para auxiliar o controle de
acessos; uma entidade que utiliza uma dada chave não deve ser a mesma entidade que a
armazena.
Backup e recuperação de chaves. Perda de chaves inevitavelmente significa perda dos dados
que as mesmas protegem. Enquanto isso é uma forma efetiva para destruir dados, a perda
acidental de chaves que protegem dados críticos fundamentais de organizações seria devastadora
para um negócio; então, soluções seguras de backup e recuperação devem ser implementadas.
Recomendações
Colaboradores da Versão Original: John Arnold, Girish Bhat, Jon Callas, Sergio Loureiro, Jean
Pawluk, Michael Reiter, Joel Weise
Colaboradores da Versão Brasileira: Dino Amaral, Eder Alvares Pereira de Souza, Gabriel
Negreira Barbosa, Jimmy Cury, Jordan M. Bonagura, Julio Graziano Pontes, Raphael Sanches
Os clientes devem usar conectores padrão fornecidos pelos provedores de nuvem como
uma medida prática, preferencialmente construídos no esquema SPML. Se seu provedor
de nuvem não oferece SPML, você deverá solicitá-lo.
Autenticação – Recomendações
Provedores de SaaS e PaaS fornecem tipicamente duas opções: serviços próprios de autenticação
para suas aplicações ou plataformas, ou delegar a autenticação às empresas.
√ Autenticação para usuários individuais agindo por conta própria. As empresas devem
considerar usar autenticação centrada em usuário como do Google, Yahoo, OpenID, Live ID, etc.,
para permitir o uso de um conjunto único de credenciais válido para múltiplos sites.
√ Qualquer provedor de SaaS que requeira métodos proprietários para delegar a autenticação (ex.
manipulação de confiança por meio de um cookie criptografado compartilhado ou outros meios)
deve ser cuidadosamente avaliado com uma análise de segurança adequada, antes de continuar. A
preferência geral deve ser para o uso de padrões abertos.
√ Para o pessoal de TI, estabelecer uma VPN dedicada será uma opção melhor, já que se pode
aproveitar sistemas e processos existentes.
√ Algumas possíveis soluções incluem a criação de um túnel da VPN dedicado para a rede
corporativa ou da federação. Um túnel da VPN dedicado funciona melhor quando a aplicação usa
√ Em casos onde um túnel VPN dedicado não é factível, as aplicações devem ser desenhadas para
aceitar os pedidos de autenticação em vários formatos (SAML, Federação-WS, etc), combinadas
com criptografia padrão de rede como SSL. Esta abordagem permite às organizações implantar
SSO federados não apenas dentro da empresa, mas também para aplicações na nuvem.
√ OpenID é outra opção quando a aplicação é direcionada para além dos usuários corporativos.
Contudo, pelo fato do controle das credenciais do OpenID estar fora da empresa, os privilégios de
acesso fornecido a estes usuários deve ser limitado.
√ Qualquer serviço local de autenticação implementado pelo provedor de serviços de nuvem deve
estar em conformidade com o OATH. Com uma solução com suporte a OATH, as empresas
podem evitar ficar presas a credenciais de autenticação fornecidas por um fabricante.
√ Os provedores de nuvem devem considerar o suporte a várias opções de autenticação forte, tais
como senhas de um único uso (OTP), biometria, certificados digitais e Kerberos. Isto oferecerá
outra opção às empresas de usar sua infraestrutura existente.
Recomendações de Federação
√ As empresas que buscam por um provedor de nuvem devem verificar se o provedor suporta ao
menos um dos padrões proeminentes (SAML e Federação-WS). SAML está despontando como um
padrão de federação amplamente suportado e é utilizado pelos principais provedores de SaaS e
PaaS. Suporte a múltiplos padrões permite um alto grau de flexibilidade.
√ Os provedores de nuvem devem ter flexibilidade para aceitar os formatos padrão de federação
de diferentes provedores de identidade. Contudo, as maiorias dos provedores de serviços de
nuvem, na época deste documento, só suportavam um único padrão, ex. SAML 1.1 ou SAML 2.0.
Os provedores de serviços de nuvem que desejam suportar múltiplos formatos de token de
federação devem considerar a implementação de algum tipo de gateway de federação.
√ As organizações podem avaliar SSO Público Federado versus SSO Privado Federado. SSO
Público Federado é baseado em padrões como SAML e Federação-WS com o provedor de serviços
√ As organizações podem optar por gateways de federação para externalizar sua implementação,
de forma a gerenciar a emissão e verificação de tokens. Usando este método, as organizações
delegam a emissão de vários tipos de token para o gateway da federação, que então manipula a
tradução de tokens de um formato para outro.
Ao selecionar ou revisar a adequação das soluções de controle de acesso para serviços de nuvem
existem muitos aspectos que implicam considerar o seguinte:
Recomendação de IDaaS
Identity as a Service (IDaaS) deve seguir as mesmas boas práticas que uma implementação
interna que o IAM utiliza, além de considerações adicionais para privacidade, integridade e
auditoria.
√ Para os usuários corporativos internos, tutores devem revisar as opções dos provedores de
serviço de nuvem para oferecer acesso seguro, seja através de uma VPN direta ou através de um
padrão da indústria como o SAML e autenticação forte. A redução de custos advinda do uso da
nuvem necessita ser balanceada contra as medidas de mitigação dos riscos para endereçar as
√ Para os clientes de IaaS, imagens de terceiros usadas para iniciar os servidores virtuais precisam
ser analisadas para verificar a autenticidade do usuário e da imagem. Uma revisão do suporte
fornecido para o gerenciamento do ciclo de vida da imagem deve verificar os mesmos princípios
do software instalado em sua rede interna.
Recomendações
Sistemas operacionais virtualizados devem ser protegidos por tecnologia de terceiros para
fornecer controles de segurança em camadas e reduzir a dependência unicamente sobre o
provedor de plataforma.
Ter um mecanismo de relatórios que forneça evidências de isolação e emita alertas caso
ocorra uma violação.
Colaboradores da Versão Original: Bikram Barman, Girish Bhat, Sarabjeet Chugh, Philip Cox,
Joe Cupano, Srijith K. Nair, Lee Newcombe, Brian O’Higgins.
Amazon web services blog: Introducing amazon virtual private cloud (vpc), Amazon, August
2009. http://aws.typepad.com/aws/2009/08/introducing-amazon-virtual-private-cloud-vpc.html
Balanced Scorecard for Information Security Introduction”, Published: March 06, 2007,
http://technet.microsoft.com/en-us/library/bb821240.aspx
BITS Kalculator and BITS Financial Services Shared Assessments Program (third party provider
assessment methodology)
Business case for a comprehensive approach to identity and access management, May 2009
https://wiki.caudit.edu.au/confluence/display/CTSCIdMWG/Business+case
Business Software Alliance, Information Security Governance: Towards a Framework for Action
Centers for Medicare and Medicaid Services Information Security Risk Assessment Methodology
Cloud Computing is on the Up, but what are the Security Issues?, Mather, Tim, Secure
Computing Magazine (UK), March 2, 2009.
Cloud Cube Model: Selecting Cloud Formations for Secure Collaboration, Jericho Forum, V 1.0,
April 2009
Cloud Security and Privacy – An Enterprise perspective on Risks and Compliance from O’Reilly
- http://oreilly.com/catalog/9780596802776/ -
Common Configuration Scoring System (CCSS): Metrics for Software Security Configuration
Vulnerabilities (DRAFT), 2009. http://csrc.nist.gov/publications/drafts/nistir-7502/Draft-
NISTIR-7502.pdf
Contracting for Certified Information Security: Model Contract Terms and Analysis (published
by the Internet Security Alliance and available at www.cqdiscovery.com)
Contracting for Information Security: Model Contract Terms (published by the Internet Security
Alliance and available at www.cqdiscovery.com)
CVSS A Complete Guide to the Common Vulnerability Scoring System, Version 2.0, 2007
Online Available: http://www.first.org/cvss/cvss-guide.html
Data Privacy Clarification Could Lead to Greater Confidence in Cloud Computing, Raywood,
Dan, Secure Computing Magazine (UK), March 9, 2009.
Does Every Cloud Have a Silver Compliance Lining?, Tom McHale, July 21, 2009 Online
Available: http://blog.ca-grc.com/2009/07/does-every-cloud-have-a-silver-Compliance-lining/
ENISA - http://www.enisa.europa.eu/
Few Good Information Security Metrics, By Scott Berinato, July 2005 Online Available:
http://www.csoonline.com/article/220462/A_Few_Good_Information_Security_Metrics
GSA to launch online storefront for cloud computing services, August 2009.
http://www.nextgov.com/nextgov/ng_20090715_3532.php
Hey, You, Get Off of My Cloud: Exploring Information Leakage in Third-Party Compute Clouds,
T. Ristenpart, et al,
http://blog.odysen.com/2009/06/security-and-identity-as-service-idaas.html
http://blogs.forrester.com/srm/2007/08/two-faces-of-id.html
http://blogs.intel.com/research/2008/10/httpseverywhere_encrypting_the.php
http://code.google.com/apis/accounts/docs/AuthForWebApps.html
http://code.google.com/apis/accounts/docs/OpenID.html
http://csrc.nist.gov/groups/SNS/cloud-computing/index.html
http://csrc.nist.gov/publications/nistpubs/800-53-Rev3/sp800-53-rev3-final-errata.pdf
http://csrc.nist.gov/publications/PubsSPs.html
http://en.wikipedia.org/wiki/Statement_on_Auditing_Standards_No._70:_Service_Organizations
http://www.aspeninstitute.org/publications/identity-age-cloud-computing-next-generation-
internets-impact-business-governance-socia
http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=kmip
http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml
http://www.sas70.com
https://siswg.net/index.php?option=com_docman&task=cat_view&gid=21&Itemid=99999999
Information Security Governance: A Call to Action, National Cyber Security Summit Task Force,
Corporate Governance Task Force Report, April 2004.
Information Security Law: Emerging Standard for Corporate Compliance, Thomas Smedinghoff,
(ITGP 2008).
ISACA, IT Governance Institute, Control Objectives for Information and related Technology
(CobiT), 4.1
ISO/IEC 19011:2002 Guidelines for quality and/or environmental management systems auditing
IT Governance Institute, Information Security Governance: Guidance for Boards of Directors and
Executive Management, 2nd Edition, 2006
ITGI Enterprise Risk: Identify Govern and Manage IT Risk—The Risk IT Framework, Exposure
Draft version 0.1 February 2009.
Justify Identity Management Investment with Metrics, by Roberta J. Witty, Kris Brittain and Ant
Allan, 23 Feb 2004. Gartner Research ID number TG-22-1617.
Managing Assurance, Security and Trust for Services. Online. Available: http://www.master-
fp7.eu/
OATH- http://www.openauthentication.org
OCTAVE-S Implementation Guide, Christopher Alberts, Audrey Dorofee, James Stevens, Carol
Woody, Version 1, 2005
OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of
Security
OpenCrowd - http://www.opencrowd.com/views/cloud.php
OpenID – http://openid.net
ORCM Overcoming Risk And Compliance Myopia, August 2006 Online Available:
http://logic.stanford.edu/POEM/externalpapers/grcdoc.pdf
Princeton Startup Lawyer, “Company Formation-Fiduciary Duties (the basics)”, June 17, 2009,
http://princetonstartuplawyer.wordpress.com/2009/06/17/company-formation-fiduciary-duties-
the-basics/
Sailing in Dangerous Waters: A Director’s Guide to Data Governance, E. Michael Power &
Roland L. Trope, (American Bar Association, 2005).
SAML- http://www.oasis-open.org/specs/index.php#saml
Security Guidance for Critical Areas of Focus in Cloud Computing, Version 1, by Cloud Security
Alliance, April 2009
Service Level Agreements: Managing Cost and Quality in Service Relationships, Hiles, A.
(1993), London:Chapman & Hall
SNIA Encryption of Data At Rest: A Step-by-Step Checklist
http://www.snia.org/forums/ssif/knowledge_center/white_papers/forums/ssif/knowledge_center/
white_papers/Encryption-Steps-Checklist_v3.060830.pdf
Storage Security Best Current Practices (BCPs)” by the Security Technical Working Group of
SNIA
The Darker Side of Cloud Computing, by Matthew D. Sarrel, PC Mag.com, February 1, 2009
The Institute of Internal Auditors, Critical Infrastructure Assurance Project, “Information Security
Governance: What Directors Need to Know”, 2001
United States General Accounting Office, Information Security Risk Assessment Practices of
Leading Organizations, 1999.
Where We’re Headed: New Developments and Trends in the Law of Information Security,
Thomas J. Smedinghoff, Privacy and Data Security Law Journal, January 2007, pps. 103-138
WS-Federation : http://docs.oasis-open.org/wsfed/federation/v1.2/os/ws-federation-1.2-spec-
os.html