COMPUTAÇÃO EM NUVEM: A SEGURANÇA DA INFORMAÇÃO EM AMBIENTES NA NUVEM E EM REDES FÍSICAS CLOUD COMPUTING: INFORMATION SECURITY IN CLOUD ENVIRONMENTS AND PHYSICAL NETWORKS

COMPUTAÇÃO EM NUVEM: A SEGURANÇA DA INFORMAÇÃO EM AMBIENTES NA NUVEM E EM REDES FÍSICAS ISSN: 2447-5580 CLOUD COMPUTING: INFORMATION SECURITY IN CLOUD ENVIRONMENTS AND PHYSICAL NETWORKS Adan Lucio Pereira1, Elton Wagner Machado da Penha2, Nazur Amorim Gomes3, Rodrigo Randow de Freitas4 1 Graduado em Engenharia de Computação. UFES, 2013. Centro Universitário Norte do Espírito Santo - CEUNES. São Mateus, ES. E-mail: adanlucio@gmail.com 2 Bacharel em Ciência da Computação. Faculdade Pitágoras, 2010. Unidade Teixeira de Freitas, BA – Brasil. E-mail: ewmachado@gmail.com 3 Graduando em Engenharia de Computação. UFES. Centro Universitário Norte do Espírito Santo - CEUNES. São Mateus, ES. E-mail: nazuragomes@hotmail.com 4 Doutor em Aquicultura, FURG, 2011. Centro Universitário Norte do Espírito Santo CEUNES. São Mateus, ES. E-mail: rodrigo.r.freitas@ufes.br Recebido em: 09-03-2016 - Aprovado em: 19-05-2016 - Disponibilizado em: 15-07-2016 RESUMO: O Artigo aborda o tema Cloud Computing, ou seja, Computação em Nuvem, cujo objetivo principal deste estudo é a Segurança da Informação em Ambientes na Nuvem em comparação às Redes Físicas. O modelo de computação analisado pode ser definido como um conjunto de recursos computacionais disponibilizados na rede que consiste na abstração da infraestrutura de Hardware e também na virtualização de software. As implementações de novas tecnologias e avanço da infraestrutura de rede trazem à tona muitos pontos a serem discutidos. De acordo com a literatura, à medida que os dados alocados na nuvem, muitas dúvidas entram em questão. Até que ponto as informações estão mais vulneráveis na Cloud que nas redes físicas? Até que ponto as corporações podem confiar em migrar dados para a nuvem? Quais dados poderão ser migrados? Quais pontos devem ser considerados antes de fazer a migração? Independentemente das questões levantadas concluímos que é importante que os critérios de acessos sejam estabelecidos e que as garantias do cumprimento dos princípios de segurança sejam respeitadas. Fato que os sistemas em nuvem estão crescendo consideravelmente a medida que as tecnologias se desenvolvem e com isso surgem novos desafios. PALAVRAS-CHAVE: Tecnologia da informação, Computação em nuvem, segurança ABSTRACT: The article talks about Cloud Computing, ie, Computação em Nuvem, which theme focuses on Information Security in Cloud Environments compared to Physical Networks. The analysis of this computing model can be defined as a set of computational resources available on the network that is the abstraction of the hardware infrastructure and also in the virtualization software. The implementation of new technologies and advancement of network infrastructure bring up many points to be discussed. According to the literature, as many important data are allocated in the cloud, many doubts come into question. To what extent the information is more vulnerable in the Cloud that the physical networks? The extent to which corporations can trust migrate data to the cloud? What data can be migrated? What points should be considered before making the migration? Regardless of the issues raised, we conclude that it is important that the access criteria are established and that the guarantees of compliance with the safety principles are respected. Fact that cloud systems are considerably growing as technologies develop and thus new challenges come up with. KEYWORDS: Information technology, Cloud computing, Security Brazilian Journal of Production Engineering, São Mateus, Vol. 2, N.º 1 (Julho). p. 12-27 (2016). Editora CEUNES/DETEC. Disponível em: http://periodicos.ufes.br/BJPE 13 PEREIRA, A.L; PENHA, E.W.M; GOMES, N.A & FREITAS, R.R. (2016). Computação em nuvem: a segurança da informação em ambientes na nuvem e em redes físicas. Brazilian Journal of Production Engineering (BJPE). 2 (1): 12-27. ISSN : 2447-5580. PageTools (PHP) e Servlets facilitaram a criação de 1 INTRODUÇÃO O aumento do volume de informações e o surgimento de novos tipos de dados provocou a necessidade do desenvolvimento de novas tecnologias com maior capacidade de processamento, maior capacidade de armazenamento, menor custo e menores dimensões físicas. Com a expansão e aperfeiçoamentos dessas Websites mais dinâmicos e de e-commerce. Consequentemente, em 2004, com o surgimento das redes de relacionamento e com o compartilhamento de informações onde a interatividade se tornava o ingrediente principal, iniciava-se a Web 2.0 (CARMONA e HEXSEL, 2005; ALMANN et al., 2009). sistemas A Web 2.0 unificou todas as ferramentas já existentes computacionais passaram a fazer parte da vida das para mudar a forma como se era utilizada usa a Web. pessoas e das empresas mudando significativamente a A ideia principal consistia em fazer com que os usuários forma de se trabalhar e se comunicar (PEREIRA e da grande rede interagissem diretamente com a APPEL, 2013). tecnologia ajudando a melhorá-la e fazendo com que tecnologias Como durante consequência o tempo, desse esses desenvolvimento tecnológico contínuo, nasceu o termo denominado gradualmente ela satisfaça às expectativas do usuário (ARGOLLO et. al., 2010). Tecnologia da Informação e Comunicação (TIC), Assim, a web passou a ser vista como uma plataforma definida que pode ser definida como o conjunto de provedora de serviços e sistemas. Como exemplos, técnicas e recursos tecnológicos que, em conjunto, existem softwares e ferramentas disponibilizadas na desempenham atividades na indústria, comércio, setor Web em que não há necessidade de uma instalação da de investimentos e na educação (ANDRADE, 2006). ferramenta no computador. Vale ressaltar que não é Nesse novo ambiente, as organizações têm buscado um uso cada vez mais intenso e amplo da Tecnologia de Informação, vista como uma ferramenta diretamente ligada a estratégia competitiva e à sobrevivência das organizações. Assim, o aprimoramento de hardwares e uma nova tecnologia, mas sim um modelo que reutiliza as tecnologias já existentes para dar um novo foco à Web mudando a sua forma de utilização e o comportamento do usuário, como aconteceu com as redes de relacionamentos (CALHEIROS, 2009). softwares garante a operacionalização da comunicação Essa constante evolução, trouxe consigo novas áreas e dos processos decorrentes em meios virtuais. É de pesquisa e novas tecnologias, como a Computação importante ressaltar que a popularização da internet em nuvens por exemplo. O conceito da computação em teve grande influência na potencialização do uso das nuvens TICs em diversos campos (ALBERTIN, A. e ALBERTIN, desenvolvimento R., 2008). distribuídos. Entretanto, o conceito de Computação em Inserindo-se nesse contexto, as organizações enxergaram o potencial da internet e então novos sistemas de comunicação e informação foram criados, formando uma verdadeira rede de comunicação em massa. Novas tecnologias como Active Server Pages (ASP), Java Server Pages (JSP), Personal Home começou a ser virtualização discutido e dos com o sistemas Nuvem gera grande confusão, já que este não se trata de uma nova tecnologia, mas sim da evolução natural e convergência de várias tecnologias e conceitos. Entre eles o Utility Computing (comercializar sistemas computacionais como serviços), o Grid Computing, o Web 2.0, o Services Oriented Architecture (SOA) e o Brazilian Journal of Production Engineering, São Mateus, Vol. 2, N.º 1 (Julho). p. 12-27 (2016). Editora CEUNES/DETEC. Disponível em: http://periodicos.ufes.br/BJPE 14 modelo de software como serviço (Software as a uma delas, em um único hardware (FOROUZAN, 2008; Services) (LOPES, 2011; SOUSA et al., 2009; LI et al., 2015). TAURION, 2009; ZHANG et al., 2010; HASHEM et al., 2015). O processo de virtualização pode ser usado, por exemplo, para reduzir a dependência da máquina física Entretanto, com a convergência de diversos conceitos no modelo cliente-servidor. A ideia principal desse em um único, a computação em nuvens traz inúmeros ambiente virtualizado é armazenar em um servidor desafios quanto à segurança dos dados incorporados a remoto e central todos os dados e aplicações esses sistemas. As informações trafegadas nas redes, necessárias ao usuário. Dessa forma, cada usuário principalmente corporativas, possuem algum tipo de pode acessar esses dados de qualquer terminal na valor e devem ser resguardadas, exigindo assim um rede como se os dados estivessem armazenados nível de segurança eficiente nos sistemas que naquele computador e todos os processos e programas gerenciam a rede. Essas informações podem ser alvos também são executados nesse servidor central (TIGRE de diversos problemas de infraestrutura física ou de e NORONHA, 2013; DA SILVA et al., 2014). ataques virtuais. De modo geral, a segurança de recursos de informação possui três componentes primordiais (COLOURIUS, 2007): Duas das principais características presentes nas máquinas virtuais, flexibilidade e portabilidade, também tornam interessante o uso da virtualização em 1- Integridade de dados - que significa proteger contra alteração indevida ou danos; desktops. Essas aplicações possibilitam o desenvolvimento de produtos de software destinados a 2- Confidencialidade - que significa proteger os vários sistemas operacionais, sem a obrigação do uso dados contra a exposição a pessoas não de uma plataforma física para desenvolver e testar autorizadas; cada um deles. Dessa forma, as máquinas virtuais em 3- Disponibilidade - que significa proteger os desktops podem ser utilizadas para finalidades dados contra a interferência com os meios de experimentais sem qualquer comprometimento do acesso aos recursos. sistema operacional atual, ou então, para compor Inserindo-se neste contexto, fica evidente que a proteção desses dados é uma necessidade primordial, para que os recursos computacionais sejam utilizados plataformas distribuídas como clusters e grades computacionais (KUSIC et al., 2008; NGUYEN VAN et al., 2009). de forma segura, protegendo as empresas e indivíduos É possível apontar a segmentação ou particionamento, que necessitam do auxílio computacional para a agrupamento, aglomeração ou associação de recursos realização de suas atividades. computacionais, 2 VIRTUALIZAÇÃO E SISTEMAS DISTRIBUÍDOS A virtualização de um sistema de hardware consiste em rodar vários sistemas operacionais na mesma máquina. Isso é possível com o uso de aplicações muito específicas, que geram máquinas virtuais (Virtual Machines, ou VMs). As Maquinas virtuais emulam os componentes físicos de um PC, possibilitando que um sistema operacional diferente seja instalado em cada simulação/emulação, isolamento, substituição ou inclusão, hibridismo, como as correntes técnicas de virtualização atuais (PEIXOTO, 2012). Uma coleção de computadores independentes que se apresenta ao usuário como um sistema único e consistente é chamado de Sistema Distribuído. Porém, há uma necessidade de se manter tudo conectado onde a ideia principal é o compartilhamento de informações (TANENBAUM e WETHERALL, 2011). Brazilian Journal of Production Engineering, São Mateus, Vol. 2, N.º 1 (Julho). p. 12-27 (2016). Editora CEUNES/DETEC. Disponível em: http://periodicos.ufes.br/BJPE 15 Em paralelo, os sistemas distribuídos trabalham com somente para a entrada dos dados e para a exibição trocas de mensagens na rede, onde há um servidor e dos resultados após as aplicações remotas (SINGH et um cliente. O cliente requisita uma operação através de al., 2008; VERNEKAR e GAME, 2012; TORRES, 2014; um programa (processo) em qualquer computador da HASHEM et al., 2015). rede e o servidor recebe a requisição e o responde apropriadamente, aplicada as devidas restrições na rede. Para os usuários o maior benefício é o compartilhamento das informações como Bancos de Dados ou arquivos e documentos que precisam estar disponíveis a vários usuários da rede (TORRES, 2014). Os serviços implantados nesses sistemas são armazenados e processados em um ou mais servidores de data centers, acessados remotamente. Como esses serviços passam a ser executados nas máquinas dos data centers, a tarefa de manutenção do serviço é deslocada dos clientes, que estão pagando por esse serviço, para os gestores dos data centers, agora 3 COMPUTAÇÃO EM NUVEM O termo Computação em nuvem pode ser definido como um conjunto de uma grande rede de servidores interligados, sejam eles virtuais ou físicos, ou ainda denominados provedores de serviços (PEIXOTO, 2012; ROSS e KUROSE, 2013). A Figura 1 apresenta um sistema em nuvens. pode ser definido como sendo um conjunto de recursos computacionais disponibilizados na internet como um serviço (SOUSA et al, 2009). Empresas como a Amazon, VMware, Microsoft e Google já dispõe de serviços de computação em nuvem comumente utilizados, como o Gmail e o Youtube, além também do Google docs, que permite a edição de arquivos de texto, elaboração de slides e planilhas eletrônicas, permitindo assim a elaboração de documentos que podem ser acessados em qualquer lugar do mundo e a Figura 1 - Representação geral da computação em nuvem. (Figura elaborada pelos autores) qualquer hora (TAURION, 2009). Nas aplicações de sistemas de computação em A arquitetura de um sistema em nuvens é baseada em nuvens, das duas camadas, a front-end e a back-end. A Camada tecnologias e da infraestrutura de rede com o intuito de front-end funciona como uma interface para o usuário prover diversos recursos computacionais ao cliente, final acessar os serviços, possibilitando a entrada de (hardwares, e dados e posteriormente a conexão com a segunda softwares) como serviços que são acessados através camada, a back-end. Assim, a principal função da da internet e utilizam um modelo de tarifação camada back-end consiste em processar os serviços denominado de pay-per-use, ou seja, o valor cobrado provenientes da camada de interface (AMARANTE, corresponde ao tempo e/ou recurso do serviço 2013). Após a realização das tarefas na nuvem, o utilizado. Os clientes não necessitam de máquinas de resultado é enviado para o front-end. Existe, ainda, uma grande desempenho para obter os resultados das interface de gerenciamento, que serve para controlar o aplicações, como ocorreria se a aplicação fosse acesso aos recursos disponíveis na nuvem, de modo executada que um cliente não cause interferência na requisição de são implementados plataformas localmente. de os avanços desenvolvimento Consequentemente, a finalidade da máquina utilizada pelo cliente passa a ser Brazilian Journal of Production Engineering, São Mateus, Vol. 2, N.º 1 (Julho). p. 12-27 (2016). Editora CEUNES/DETEC. Disponível em: http://periodicos.ufes.br/BJPE 16 outro cliente e/ou acesso indevido de informações Como exemplo de um sistema SaaS pode-se citar o privadas (TORRES, 2014; BOTTA et al., 2016). Google Docs, um pacote de aplicativos do Google que Como exemplo tem-se as aplicações Onedrive (2016) e o Dropbox (2016). A camada front-end dessas funciona totalmente on-line diretamente no browser (ESPADAS et al., 2013; HAN et al., 2015). aplicações pode ser acessada através do navegador de A Figura 3 apresenta um modelo SaaS, em que, um internet, onde são mostrados todos os arquivos do provedor de serviços fornece um aplicativo ou um cliente. O back-end trata do armazenamento desses pedaço de software para conjunto de máquinas. arquivos em algum servidor e o processamento de requisições solicitadas pela camada front-end. A Figura 2 indica essas duas camadas inseridas no processo de acesso as nuvens. Figura 3 - Representação de um Serviço SaaS. (Figura elaborada pelos autores) Já no modelo Hardware como um Serviço (IaaS), os recursos de hardware (capacidade de processamento, armazenamento e comunicação de dados) são disponibilizados como serviço para o cliente. Para isso, o fornecimento desses recursos é usualmente feito em termos de máquinas virtuais. Quem disponibiliza essas aplicações recebe o nome de provedor de IaaS (BIJON Figura 2 - Arquitetura de um sistema de computação et al., 2015). A Amazon Web Services (AWS) é um em nuvem (Figura elaborada pelos autores) exemplo de plataforma que utiliza esse modelo. A Figura 4 apresenta um modelo IaaS. 3.1 SERVIÇOS NA COMPUTAÇÃO EM NUVEM Os modelos baseados na implementação em nuvem são classificados de acordo com os recursos fornecidos ao usuário e como eles serão utilizados. Estes modelos são classificados como Software-as-a-Service (SaaS), Infrastructure-as-a-Service Service (DaaS) e (IaaS), Database-as-a- Plataform-as-a-Service (PaaS) (PEIXOTO, 2012; AMARANTE, 2013). No modelo Software como Serviço (SaaS), ocorre o nível mais alto de abstração, ou seja, os usuários Figura 4 - Representação de um Serviço SaaS. (Figura elaborada pelos autores) acessam o serviço (aplicação) através da internet, Quando o recurso se trata do gerenciamento de banco geralmente por navegadores de internet, não sabendo de dados o modelo que se torna prestador desse onde realmente o aplicativo está sendo executado. serviço é o DaaS. Vale ressaltar que cada Banco de Dado adicional colocado em operação aumenta o custo Brazilian Journal of Production Engineering, São Mateus, Vol. 2, N.º 1 (Julho). p. 12-27 (2016). Editora CEUNES/DETEC. Disponível em: http://periodicos.ufes.br/BJPE 17 final do serviço, uma vez que, o aumento da quantidade o DaaS. Verifica-se que assim como as capacidades de bancos é diretamente proporcional ao aumento das são herdadas, também são herdadas as questões de atividades integração, segurança da informação e risco (BIJON et al., 2015). desempenho e disponibilidade (SEIBOLD e KEMPER, Um diagrama de referência, em forma de pilha, dos 2012; HUSSEIN e KHALID, 2016). A Figura 5 sistemas em nuvem, elaborado pela entidade Cloud apresenta um modelo DaaS. Security Alliance (2010) é apresentado na Figura 7 e de Gestão, segurança, determina a relação entre esses modelos citados. Figura 5 - Representação de um Serviço DaaS. (Figura elaborada pelos autores) Por fim, o quarto modelo, Plataforma como Serviço (PaaS), apresenta uma plataforma de desenvolvimento para os clientes finais. Nesse ambiente, o desenvolvedor não necessita se preocupar com o sobre hardware o qual está desenvolvendo e executando suas aplicações, terceirizando os serviços de desempenho necessários para rodar tais aplicações (LECHETA, 2015; CHARD et al., 2016). A Figura 6 apresenta um modelo PaaS, em que, um provedor de serviços permite que os clientes acessem uma plataforma computacional rodando sobre um sistema em nuvens. Figura 6 - Representação de um Serviço PaaS. (Figura elaborada pelos autores) O modelo IaaS é a base de todos os serviços de nuvem. Assim, o PaaS é construído com base na estrutura do IaaS e o SaaS construído com base no PaaS. Figura 7 - Modelos de Sistemas em Nuvem Fonte: Adaptado de (CSA, 2010) Geralmente o SaaS é implementado em conjunto com Brazilian Journal of Production Engineering, São Mateus, Vol. 2, N.º 1 (Julho). p. 12-27 (2016). Editora CEUNES/DETEC. Disponível em: http://periodicos.ufes.br/BJPE 18 É possível observar na Figura 7 que o modelo IaaS Na nuvem pública, do inglês Public Cloud, os serviços corresponde a todos os recursos da pilha de estão disponíveis a todos os clientes finais, de acordo infraestrutura desde as instalações até as plataformas com o modelo pay-per-use. Esses serviços geralmente de hardware em conjunto com as aplicações do com o são oferecidos por companhias que possuem grande DaaS, dados, metadados e conteúdo. Essa camada, quantidade de recursos e juntas compartilham os mais superior, inclui a capacidade de um sistema em serviços prestados, em troca de economia na abstrair (ou não) os recursos, bem como oferecer implementação final. Para esse modelo, não podem ser conectividade física e lógica às aplicações dos clientes. aplicadas O de gerenciamento de redes ou, ainda, técnicas de Programação e Aplicação, do Inglês Applications autenticação e autorização. Consequentemente, as Programming Interface - APIs, que permite a gestão e nuvens públicas possuem limites de customização outras formas de interação com a infraestrutura por relacionados justamente à segurança das informações parte dos usuários (BIJON et al., 2015). e políticas de acesso aos dados armazenados em serviço fornece ainda, uma Interface Em seguida está a segunda camada da pilha, Plataforma como integração dos Serviço, que acesso quanto ao locais desconhecidos (VÁSQUEZ-RAMÍREZ et al., 2016). Outro modelo comumente utilizado é a nuvem privada, para do inglês Private Cloud. Este modelo geralmente é mediação entre software e demais aplicações; funções implementado dentro do ambiente organizacional e faz para utilização de banco de dados; mensagens e filas. o uso de tecnologias de autenticação e autorização Tal modelo para permitir o acesso ao gerenciamento das redes e de permite com a de de desenvolvimento sistemas corresponde restrições aplicativos; que o frameworks recursos desenvolvedor crie aplicações para a plataforma cujas linguagens de as programação e ferramentas são suportadas pela pilha (CASTRO e SOUZA, 2011). (LECHETA, 2015). configurações dos provedores de serviços Para unificar os benefícios do modelo de nuvem pública Como terceira camada da pilha, o serviço SaaS por sua com a privada, o conceito de nuvem híbrida, do inglês vez, representa a pilha mais externa do conjunto de Hybrid Cloud, nasce para definir uma abordagem modelos em nuvens. Essa camada fornece um híbrida de dois ou mais modelos de nuvem. A ambiente operacional destinado ao cliente, com Combinação desses conceitos pode aperfeiçoar a recursos do usuário, incluindo o conteúdo, a sua escalabilidade sob demanda. Além disso, este modelo apresentação, as aplicações e as capacidades de é interessante pois quando uma Nuvem privada tem gestão e gerenciamento das informações armazenadas uma carga de trabalho alta, ela temporariamente no sistema (HAN et al., 2015). compartilha o uso de recursos públicos para garantir o 3.2 desempenho (AMARANTE, 2013). CRITÉRIOS DE ACESSO À NUVEM Além do modo como são implantados, os sistemas em nuvens precisam ser classificados quanto aos critérios de acesso à nuvem. Para isso as nuvens podem ser classificadas como pública, comunitária (PEIXOTO, 2012). privada, híbrida e Por fim, a infraestrutura de uma nuvem comunitária, do inglês Community Cloud, é destinada para o uso exclusivo de uma comunidade específica de clientes com objetivos semelhantes, podendo ser controlada, gerenciada e operada por uma ou mais organizações pertencentes a esse agrupamento de indivíduos (PEIXOTO, 2012). Brazilian Journal of Production Engineering, São Mateus, Vol. 2, N.º 1 (Julho). p. 12-27 (2016). Editora CEUNES/DETEC. Disponível em: http://periodicos.ufes.br/BJPE 19 4 SEGURANÇA DA INFORMAÇÃO EM AMBIENTES DE É possível notar, ao observar a Figura 8, que a maioria dos especialistas que responderam as pesquisas teme COMPUTAÇÃO EM NUVENS os riscos associados ao acesso não autorizado ou O desenvolvimento e implementação de aplicações em vazamento de informações, correspondendo a cerca nuvens do 50% no ano de 2013, um aumento de 1% em 2014, e desenvolvimento de técnicas para o tratamento seguro um decréscimo de 3% no ano de 2015. O segundo fator da maciça quantidade de recursos provenientes dos que mais preocupa os pesquisadores é a preocupação serviços prestados pelos provedores, tais como, e- com os próprios defeitos de segurança dessa mails, desenvolvimento de aplicativos personalizados tecnologia com 49% em 2013, redução de 1% em 2014, para os clientes, armazenamento de dados e gestão de chegando em 2015 com 43%. trouxe consigo a necessidade infraestrutura (TAURION, 2009). Outro fator que merece destaque é que 7 das 8 A definição de que a nuvem consiste em um conjunto respostas indicadas apresentam um percentual menor de informações providas de um ou mais clientes, pode de risco no ano de 2015 quando observado em relação caracterizá-la como sendo um alvo propício a ataques ao ano de 2013. Tal evolução pode estar diretamente por potenciais invasores. Essas ameaças podem afetar ligada com o amplo desenvolvimento e atenção que os diretamente as exigências da segurança da informação sistemas baseados em nuvens receberam nos últimos (disponibilidade, confidencialidade e integridade), e anos. consequentemente comprometer toda a nuvem (DIAS et al., 2012). Assim, todo serviço oferecido em rede deve atender aos A garantia do cumprimento dos princípios princípios que garantam a disponibilidade, de integridade e confidencialidade de dados. Os riscos segurança está diretamente ligada com o modelo de devem ser avaliados antes da implantação da nuvem e implantação contratado pelo cliente do sistema em quem migrar para este sistema deve ficar atento as nuvem. O modelo de nuvem privada por exemplo, devidas permite a restrição de acessos uma vez que se (KANDUKURI et al., 2009). encontra atrás do Firewall do cliente local, mantendo, dessa forma, controle do nível de serviço e aderência às regras de segurança do cliente final, e não do sistema contratado (CASTRO e SOUZA, 2011). orientações ao usar o produto final É de suma importância que seja identificado e avaliado os ativos suportados pela nuvem antes de da efetiva migração para o sistema. Ao realizar a migração é necessário se atentar para os riscos ao manipular Como este ambiente ainda está em processo de dados ou funções para a nuvem, e a organização deve amadurecimento muitas organizações ainda têm receio estar precavida para as piores eventualidades, como a sobre sua segurança. Tais especulações podem ser destruição ou má administração dos ativos (DAWOUD comprovadas com os resultados da pesquisa realizada et al., 2010). pela revista InformationWeek em 2013, 2014 e 2015, que buscou saber dos profissionais de segurança e tecnologia da informação, quais são as preocupações sobre os sistemas baseados em computação em nuvem (DAVIS, 2014; COBB, 2015). A Figura 8 indica as principais respostas dessa pesquisa. Os controles de segurança na nuvem não diferem dos controles de segurança de qualquer ambiente de T.I. No entanto, a computação em nuvem envolve uma lenta perda de controle uma vez que os quesitos de segurança podem ficar a cargo do provedor. À medida que a organização vai amadurecendo, o sistema de segurança também é ajustado (CSA, 2010). Brazilian Journal of Production Engineering, São Mateus, Vol. 2, N.º 1 (Julho). p. 12-27 (2016). Editora CEUNES/DETEC. Disponível em: http://periodicos.ufes.br/BJPE 20 CASTRO e SOUZA, 2011; AMARANTE, 2013; TORRES, 2014). 4.1 ÁREAS DE ATENÇÃO CRÍTICA Os riscos na área de Tecnologia da Informação estão presentes na nuvem e com isso padrões e estratégias podem ser traçadas para evitar ou combater esses problemas sob dois pontos de vista: dos Domínios de Governança ou sob os Domínios Operacionais (CSA, 2010). Os Domínios de Governança estão classificados na literatura como (MUSSON, 2009; CSA; GUO e SONG; MIRASHE e KALYANKAR, 2010; ISACA, 2011; VAN GREMBERGEN, 2013; OROZCO et al., 2015):  Governança e Gestão de Riscos Corporativos Uma das áreas de foco mais críticas da governança de tecnologia da informação na computação em nuvem. Alguns riscos inerentes à computação em nuvem devem ser considerados em um processo decisório que visa à adoção desse novo paradigma. Corresponde, ainda, a capacidade de uma organização para governar e medir o risco empresarial introduzido pela computação em nuvem. Itens como a precedência legal em caso de violação de acordo, a capacidade de Figura 8 - Riscos em Computação em Nuvens. Fonte - como as fronteiras internacionais podem afetar serviços flexíveis para atender a um determinado observados quando é efetuada a escolha sobre qual modelo será implementado na nuvem. Por exemplo, no SaaS, nível mais alto indicado na pilha (Figura 7), o consumidor contrata a segurança, enquanto no IaaS, o consumidor implementa a segurança (TAURION, 2009; avaliar quando o usuário e o provedor podem falhar e, reduzir custos para as empresas, ela procura oferecer para o consumidor. Esses requisitos podem ser para a responsabilidade para proteger dados sensíveis Como a computação em nuvem tem a intenção de pois a responsabilidade dos riscos passa a ser maior usuárias adequadamente o risco de um provedor de nuvem, Baseando em Davis (2014) e Cobb (2015) cliente e com isso a segurança fica mais comprometida, organizações  estas questões, são alguns dos itens discutidos; Aspectos Legais e Electronic Discovery - Este domínio compreende aos problemas legais em potencial quando se utiliza computação em nuvem:requisitos de proteção da informação e de sistemas informáticos, leis de divulgação de violações de segurança, os requisitos regulatórios, requisitos de privacidade, as leis internacionais, entre outros; Brazilian Journal of Production Engineering, São Mateus, Vol. 2, N.º 1 (Julho). p. 12-27 (2016). Editora CEUNES/DETEC. Disponível em: http://periodicos.ufes.br/BJPE   21 Gestão do Ciclo de Vida da Informação - Este  domínio inclui o gerenciamento de dados que são proteger o software ou aplicação que está sendo colocados da executada ou sendo desenvolvida na nuvem. Isto identificação e controle de dados, bem como inclui itens tais como, a necessidade de migrar ou controles compensatórios que podem ser usados projetar um aplicativo para ser executado na para lidar com a perda de controle físico ao mover nuvem, e em caso afirmativo, selecionar a um dado; plataforma em nuvem mais adequada (SaaS, na Portabilidade nuvem, e itens em torno Interoperabilidade Este - domínio compreende a habilidade de mover  problemas de identificação e/ou acesso aos chaves de acesso. Esse domínio permite analisar mesmos. quais são as questões que surgem na utilização, ISACA, 2011; VAN GREMBERGEN, 2013; OROZCO et al., 2015): tanto para proteger o acesso aos recursos, bem Segurança  como para proteger os dados; Virtualização - Dada a inviabilidade de hospedar cada serviço/aplicação em um servidor dedicado, ocasionado tanto pelo custo de manutenção e Tradicional, Continuidade de subutilização da infraestrutura, como pela negócios e Recuperação de desastres - necessidade de atender a característica de Domínio capaz de determinar como a computação elasticidade em nuvem afeta os processos e procedimentos computação nas nuvens, foi adotado um modelo operacionais atualmente usados para programar a baseado na tecnologia de virtualização. Assim, segurança, este domínio foca nas questões da segurança em continuidade de negócios e recuperação de desastres. O foco nesse domínio é discutir e analisar os possíveis riscos da computação em nuvem, na esperança de aumentar o diálogo e debate sobre a grande procura de melhores modelos de gestão de riscos corporativos; Operação do Data-center - Domínio que avalia a arquitetura e a operação de um fornecedor de  Gestão de criptografia e de chaves - Domínio para identificar o uso de criptografia e gestão das literatura como (MUSSON, 2009; CSA, 2010;  PaaS ou IaaS); dados/serviços de um provedor para outro, sem Já os Domínios Operacionais estão classificados na  Segurança de Aplicação - Domínio criado para Resposta a incidentes, notificação e correção A correta e adequada detecção de incidentes, a resposta, notificação e correção. Nesse sentido, para domínio, se faz necessário identificar os itens e/ou recursos que devem estar presentes tanto no nível dos prestadores e dos usuários para permitir tratamento computacionais; pelo paradigma de torno do sistema / hardware de virtualização. Segundo Castro e Souza (2011), os sistemas em nuvens, independente do domínio de análise envolvido, devem apresentar um modelo de gestão de risco que realize: 1) Identificação e a avaliação dos ativos relacionados à implementação dos sistemas em nuvens; 2) Descrição das ameaças e vulnerabilidades do datacenter; bom oferecida de incidentes e forenses impacto potencial nos ativos (risco e cenários de incidente) para cada tecnologia implantada; 3) Determinação das possíveis ocorrências inesperadas quanto à implantação da nuvem; 4) Desenvolvimento e implementação de Planos de Tratamentos de Riscos com múltiplas opções (controle, evitar, transferir, aceitar), determinando as medidas que devem ser tomadas em situações de contingência. Brazilian Journal of Production Engineering, São Mateus, Vol. 2, N.º 1 (Julho). p. 12-27 (2016). Editora CEUNES/DETEC. Disponível em: http://periodicos.ufes.br/BJPE 22 5 PRINCIPAIS AMEAÇAS E ATAQUES EM REDES DE COMPUTADORES O conceito de Rede de computadores pode ser definido como um grupo de computadores que estão conectados entre si e que possuem o objetivo de compartilhar informações e hardware através de um meio de transmissão em comum. Uma rede é composta de no mínimo, dois computadores. Adicionalmente, essas redes são ligadas por um sistema de comunicação que se constitui de um arranjo topológico interligando vários módulos através de enlaces físicos, que são os meios de transmissão, e de um conjunto de regras a fim de organizar a comunicação, que são os protocolos (FOROUZAN, 2008; TANENBAUM e redes de          WETHERALL, 2011). Nas  computadores, a segurança Gerenciamento do sistema de segurança das redes; Aplicação de políticas de segurança; Avaliação de riscos presentes nos sistemas de computação; Obtendo do preço adequado para os sistemas; Prevenção contra a violação de dados de invasores externos; Conscientização do usuário quanto à utilização do sistema; Controle de acesso do usuário aos sistemas e dados; Regulamentação e padronização dos requisitos do sistema; Obtenção de recursos e experiência profissional; Impedir o roubo de dados. da Adicionalmente, o trabalho realizado por Cobb (2015), informação é fundamental para manter as informações permite constatar que 58% dos especialistas em íntegras e confidenciais. As redes não podem ser Tecnologia da informação consideram o uso de simplesmente classificadas como seguras ou não dispositivos infectados na rede da corporação como seguras porque o termo não é absoluto quando o uma situação preocupante, seguido por 49% com a assunto são as ameaças nas redes de computadores preocupação dos usuários sendo vítimas de phishing (COMER, 2007). ou outros scams (são fraudes na Internet que visa As ameaças podem ser acidentais, quando não há adquirir credenciais de um usuário por engano), e por intenção humana de violação, ou intencionais quando último com a perda de dispositivos que portam ocorre uma ação maliciosa por parte do usuário. informações sigilosas. Algumas ameaças não resultam em perdas de Alguns setores estarão sempre mais informação (passivas) e outras alteram as informações vulneráveis que os outros. As organizações do do sistema (ativa) de forma intencional por meio de Governo, Personificação, Replays, Modificação, Cavalos de quantificaram as perdas resultantes das falhas de Troia, dentre outras (ROSS e KUROSE, 2013). segurança. As indústrias apontam seus próprios O trabalho realizado por Davis (2014) e replicado por funcionários como um dos principais responsáveis e o Cobb (2015) apresenta uma pesquisa com 1029 setor de comércio sofre com vazamento de dados e profissionais de segurança e tecnologia do negócio em acessos remotos indevidos (DAVIS, 2014; COBB, março de 2013, 536 em abril de 2014 e 435 em abril de 2015). 2015 relacionando os maiores desafios desses Contudo, pode se aplicar alguns mecanismos para profissionais com a segurança de redes e informações. reverter essa realidade. É possível, por exemplo, Após analisar o trabalho de Cobb e Davis as seguintes proteger uma rede de computador através de indicações representam os maiores desafios de Criptografias, Controle de Acesso, Integridade de por exemplo, são as que menos segurança de TI: Brazilian Journal of Production Engineering, São Mateus, Vol. 2, N.º 1 (Julho). p. 12-27 (2016). Editora CEUNES/DETEC. Disponível em: http://periodicos.ufes.br/BJPE 23 Dados, Segurança Física e Pessoal, e por fim contar políticas de segurança devem sofrer adaptações e há com um Hardware/Software de segurança. muito a se construir em cima do novo modelo. 6 DISCUSSÃO Assim, a gestão de riscos, nas redes físicas é realizada Ao estudar a literatura inerente à segurança em computação em nuvens, em comparação com as estruturas de rede tradicionais, é possível perceber que são muito semelhantes. O que irá diferir será a responsabilidade da segurança da informação que será passada para o provedor. pela organização em sua rede local e na nuvem devemse estabelecer requisitos contratuais adequadas e adotar as tecnologias capazes de coletar os dados necessários para informar as decisões de informação de risco. Por exemplo, (uso da informação, acesso, controles de segurança, localização, dentre outros). Sendo que em redes físicas, as organizações não têm Nas redes físicas existe um controle total da informação a Tecnologia da Informação como foco principal, isso por parte do prestador que a implementa, exigindo a implica em vulnerabilidade. Contudo, a computação em adoção de políticas de segurança e uso de técnicas e nuvem oferece, entre seus principais atrativos, uma ferramentas tradicionais na rede física. Na nuvem quem redução de custos com infraestrutura e com mão de realiza o controle total da informação é o provedor ou obra qualificada. há uma divisão das responsabilidades, onde o provedor e o contratante se responsabilizam pela segurança da informação. Assim, provedor também utiliza de políticas de segurança dentro de seu datacenter, a diferença é que essas políticas são aplicadas pelo provedor e não pelo cliente. No entanto, o contratante deve manter as boas práticas de segurança dentro de sua organização. Também, nas redes físicas, existe o risco de um De maneira geral, assim como nas redes físicas, o processo de implementação, instalação e configuração do ambiente de nuvem deve seguir boas práticas de segurança, sendo que após essa fase o ambiente deve ser monitorado visando detectar mudanças ou atividades não autorizadas pelo cliente final. 7 CONSIDERAÇÕES FINAIS funcionário violar a informação. Esse risco também está O aumento do uso de sistemas distribuídos, em presente nos sistemas em nuvens, com o agravante de especial o modelo de computação em nuvens, tem que não se conhece quem administra os dados. Já o motivado risco de ataques externos, tanto na nuvem quanto nas experimentais, desenvolvimento de novas tecnologias redes físicas são os mesmos. e metodologias de implantação de segurança em Ainda considerando o setor de Tecnologia da constantemente, pesquisas, trabalhos comunicação de dados de modo geral. Informação, nas redes físicas, ele pode não receber a À medida que essas tecnologias vão se desenvolvendo devida atenção pelo fato de não ser o foco da os sistemas em nuvens vão se tornando uma organização e isso implica vulnerabilidade. Já os necessidade cada vez maior. E com isso surgem novos provedores de nuvem trabalham exclusivamente com desafios. Assim, o presente trabalho mostrou que esse isso e possui todo aparato necessário para administrar novo paradigma de representação da comunicação e a segurança dos dados do cliente. Entretanto, já dados está cada vez mais inserido nas grandes existem nas redes físicas políticas de segurança empresas e nos dispositivos pessoais das pessoas. consolidadas, apesar da rede nunca estar totalmente segura. Fato diferente observado na nuvem, onde as Os sistemas em nuvens possuem potencial para reduzir as barreiras que a tecnologia da informação, impõe à inovação, o que pode ser visivelmente Brazilian Journal of Production Engineering, São Mateus, Vol. 2, N.º 1 (Julho). p. 12-27 (2016). Editora CEUNES/DETEC. Disponível em: http://periodicos.ufes.br/BJPE 24 observado quanto ao surgimento rápido de empresas comunicação. Ci. Inf., vol.35, no.1, pp.7-15, 2006, ISSN de alta representatividade que utilizam essa tecnologia 0100-1965. como YouTube e o Facebook. ARGOLLO, R. V. et al.: Web 2.0 como estruturante dos Ao adotar o sistema em nuvens, os clientes finais processos de produção e difusão científica em um podem aumentar ou reduzir o nível de utilização dos grupo de pesquisa: o TWIKI e o GEC. Perspect. ciência recursos computacionais de modo fácil e com inf., Belo Horizonte, v. 15, n. 1, p. 118-131, 2010, ISSN flexibilidade, 0100-1574. sem a necessidade da constante manutenção do sistema físico. E, ao tratar os possíveis riscos associados a esse sistema, a computação em nuvem torna possível novas classes de aplicações e disponibiliza serviços que antes não era possível com a utilização dos sistemas físicos e fixos provenientes da tecnologia da informação tradicional. Além de tratar os riscos provenientes do modelo tradicional, esses novos sistemas devem garantir a segurança de uma nova infraestrutura. Apesar da necessidade do alto investimento na proteção dos dados, seja em ambientes físicos ou na nuvem, é imprescindível investir em consciência humana, pois BIJON, K.; KRISHNAN, R.; SANDHU, R. Virtual resource orchestration constraints in cloud infrastructure as a service. In: Proceedings of the 5th ACM Conference on Data and Application Security and Privacy. ACM, p. 183-194, 2015. BOTTA, A.; DE DONATO, W.; PERSICO, V.; PESCAPÉ, A. Integration of cloud computing and internet of things: a survey. Future Generation Computer Systems, 56, 684-700, 2016. CALHEIROS, D. S. Utilização das tecnologias da informação e comunicação, no contexto da web 2.0, na prática docente na educação superior. 2009. 167f. são as pessoas que irão conduzir essas informações. Dissertação (Mestrado em Educação). Universidade REFERÊNCIAS BIBLIOGRÁFICAS Federal de Alagoas. 2009 ALBERTIN, A. L.; ALBERTIN, R. M. M. Benefícios do CARMONA, T.; HEXSEL, R. A. Universidade Redes: uso de tecnologia de informação para o desempenho Torne-se um especialista em redes de computador. empresarial. Rev. Adm. Pública, vol.42, n.2, pp. 275- São Paulo: Digerati Books, 2005. 302, 2008. CASTRO, R. C. C.; SOUSA, V. L. P. Segurança em ALMANN, A. L. et al. Planeta web 2.0: inteligencia Cloud Computing: Governança e Gerenciamento de colectiva o medios fast food. Rev. Caderno de Pesquisa Riscos de Segurança. In: III Congresso Tecnológico de vol.39, n.137, pp. 688-693, 2009. TI e Telecom InfoBrasil 2010, Anais Eletrônicos; AMARANTE, S. R. M. Utilizando o Problema de Fortaleza, Múltiplas Mochilas para Modelar o Problema de http://www.infobrasil.inf.br/userfiles/26-05-S5-1-68740- Alocação de Máquinas Virtuais em Computação nas Seguranca%20em%20Cloud.pdf> Acesso em janeiro Nuvens. 2013. 82f. Dissertação (Mestrado em Ciência de 2016. da Computação), Universidade Federal do Ceará, CHARD, K et al. Globus Nexus: A Platform-as-a- 2013. Service provider of research identity, profile, and group ANDRADE, S. C. Processo de inclusão digital em rede management. empresarial do segmento de Suprimentos industriais: Systems, 56, 571-583, 2016 utilização COBB, M. How Enterprises Are Attacking the IT de tecnologias de informação e Security CE, 2011. Future Challenge. Disponível Generation Revista em < Computer InformationWeek: Brazilian Journal of Production Engineering, São Mateus, Vol. 2, N.º 1 (Julho). p. 12-27 (2016). Editora CEUNES/DETEC. Disponível em: http://periodicos.ufes.br/BJPE 25 Connecting the Business Technology Community. over 2015. Generation Computer Systems, 29(1), 273-286, 2013. Disponível em < https://pages.cloudpassage.com/rs/857-FXQ- cloud computing infrastructures. Future FOROUZAN, B. A. Comunicação de Dados e Redes de 213/images/how-enterprises-are-attacking-the-it- Computadores. Editora McGraw Hill, 4° Ed., p. 1168, security-challenge.pdf> Acesso em Jan. 2016. 2008. COLOURIUS, G. Sistemas Distribuídos: Conceitos e Projetos. 1a Ed. Cidade: Bookman, 2007. GUO, Z., SONG, M. A governance model for cloud computing. Management and Service Science (MASS). COMER, D. E. Redes de Computadores e Internet. 4a 2010 International Conference on, IEEE, p.1-6, August, ed. Porto Alegre: Bookman, 2007. 2010. CSA (Cloud Security Alliance) - Security Guidance for HAN, J.; CHUNG, K.; KIM, G. Policy on literature Critical Areas of Focus in Cloud Computing V2.1 content based on software as service. Multimedia Tools Prepared by the Cloud Security Alliance December and Applications, v. 74, n. 20, p. 9087-9096, 2015. 2009. HASHEM, et. al. The rise of “big data” on cloud DA SILVA, et. al. A Privacy Maturity Model for Cloud computing: Storage issues. Information Systems, v. 47, p. 98-115, 2015. Services. In: 2014 IEEE International Conference on Cloud Computing (IEEE CLOUD), June 27 - July 2, 2014, Alaska, USA. Review and open research HUSSEIN, N. H.; KHALID, A. A survey of Cloud Computing Security challenges and DAVIS, M. A. Research: 2012 Strategic Security solutions. International Journal of Computer Science Survey. Revista InformationWeek: Connecting the and Information Security, v. 14, n. 1, p. 52, 2016. Business Technology Community. 2014. Disponível em < http://reports.informationweek.com/abstract/21/8815/s ecurity/research-2012-strategic-security-survey.html> DAWOUD, W.; POTSDAM, G.; TAKOUNA, I.; MEINEL, C. Infrastructure as a service security: Challenges and In: 7th controls and assurance in the cloud. Rolling Meadows: ISACA, 2011. KANDUKURI, B. R.; RAMAKRISHNA, P.; RAKSHIT, A. Acesso em Jan. 2016. solutions. ISACA. IT control objectives for cloud computing: International Conference Cloud Security Issues. IEEE International Conference On Services Computing, Pune, India, n., p.517-520, September 2009. on Informatics and Systems (INFOS), 2010. DIAS, J. M. F.; RODRIGUES, R; C. M. C.; PIRES, D. F. A Segurança de Dados na Computação em Nuvens nas Pequenas e Médias Empresas. Revista Eletrônica de Sistemas de Informação e Gestão Tecnológica. Vol. 02, pg 56- 59, 2012 KUSIC, D.; KEPHART, J. O.; HANSON, J. E.; KANDASAMY, N.; JIANG, G. Power and performance management of virtualized computing environments via lookahead control. In: Proceedings of the 2008 International Conference on Autonomic Computing, ICAC ’08, Washington, DC, USA: IEEE Computer Society, 2008, p. 3–12 (ICAC ’08). Disponível em DROPBOX. Dropbox, Acesso em Janeiro 2016. Disponível em: <https://www.dropbox.com/>. http://dx.doi.org/10.1109/ICAC.2008.31 LECHETA, R. R. Web Services RESTful: Aprenda a ESPADAS, J. et al. A tenant-based resource allocation criar web services RESTful em Java na nuvem do model for scaling Software-as-a-Service applications Google. São Paulo: Novatec Editora, 432p, 2015 Brazilian Journal of Production Engineering, São Mateus, Vol. 2, N.º 1 (Julho). p. 12-27 (2016). Editora CEUNES/DETEC. Disponível em: http://periodicos.ufes.br/BJPE 26 LI, W., ZHAO, Y., LU, S., E CHEN, D. Mechanisms and PEREIRA, A.L.; Appel, A.P.: Modeling and storing challenges on mobility-augmented service provisioning complex network with graph-tree. In: New Trends in for Databases mobile cloud computing. Communications Magazine, IEEE, v. 53, n. 3, p. 89-97, 2015. and Information Systems, Workshop Proceedings of the 16th East European Conference, LOPES, S. Aspectos arquiteturais na adoção de cloud computing. MundoJ, Curitiba, v. 8, n. 47, p. 20-23, maio ADBIS 2012, Pozna, Poland, September 17-21, pp. 305–315, (2013), DOI:10.1007/978-3-642-32518-2_29. ROSS, K. W.; KUROSE, J. Redes de Computadores e 2011. MIRASHE, S. P., KALYANKAR, N.V. Cloud computing. Journal of Computing, v. 2, n. 3, p.78-82, March, 2010. MUSSON, D. IT Governance: a critical review of the literature, Information technology governance and A Internet - Uma abordagem Top-Down. São Paulo: Person Addison Wesley - 6ª Ed., 2013. SEIBOLD, M.; KEMPER, A. Database as a Service. Datenbank-Spektrum, v. 12, n. 1, p. 59-62, 2012. service management: frameworks and adaptations. SINGH, A.; KORUPOLU, M.; MOHAPATRA, D. Server- Hershey, PA: IGI, 2009. storage virtualization: integration and load balancing in NGUYEN VAN, H.; DANG TRAN, F.; MENAUD, J.-M. Autonomic virtual resource management for service hosting platforms. In: Proceedings of the 2009 ICSE Workshop on Software Engineering Challenges of data centers. In: Proceedings of the 2008 ACM/IEEE conference on Supercomputing, SC ’08, Piscataway, NJ, USA: IEEE Press, 2008, p. 53:1–53:12 (SC ’08). Disponível em Cloud Computing, CLOUD ’09, Washington, DC, USA: http://dl.acm.org/citation.cfm?id=1413370.1413424 IEEE Computer Society, 2009, p. 1–8 (CLOUD ’09). SOUSA, F. R. C.; MOREIRA, L. O.; MACHADO, J. C. Disponível Computação em http://dx.doi.org/10.1109/CLOUD.2009.5071526 Disponível em: <https://onedrive.live.com/>. OROZCO, J.; TARHINI, A.; E TARHINI, T. A framework of IS/business alignment management practices to the design of IT nuvem: conceitos, tecnologias, aplicações e desafios. Anais da II Escola Regional de ONEDRIVE. Onedrive, Acesso em Janeiro 2016. improve em Governance Computação Ceará, Maranhão e Piauí (ERCEMAPI). 2009. Cap. 7, p. 150-175. TANENBAUM, A. S.; J. WETHERALL, D. Redes de computadores. Rio de Janeiro: Editora Pearson Education - Br, 5. Ed. 620p, 2011. architectures. International Journal of Business and TAURION, C. Cloud computing: computação em nuvem Management, 10(4), 1, 2015. transformando o mundo da tecnologia da informação. PANCHOLI, V. R.; PATEL, B. P. Enhancement of Cloud São Paulo: Brasport, 2009. 228 p. Computing Security with Secure Data Storage using TIGRE, P. B.; NORONHA, V. B. Do mainframe à AES. International Journal for Innovative Research in nuvem: inovações, estrutura industrial e modelos de Science and Technology, v. 2, n. 9, p. 18-21, 2016. negócios PEIXOTO, M. L. M. Oferecimento de QoS para computação em nuvens por meio de nas tecnologias da informação e da comunicação. Rev. Adm. (São Paulo), Mar 2013, vol.48, no.1, p.114-127, 2013. metaescalonamento. 2012. 179f. Tese (Doutorado em TORRES, G. Redes de Computadores. Editora: Ciências de Computação), Instituto de Ciências Novaterra, 2° Ed, p. 1040, 2014 Matemática e de Computação, Universidade de São Paulo, 2012. Brazilian Journal of Production Engineering, São Mateus, Vol. 2, N.º 1 (Julho). p. 12-27 (2016). Editora CEUNES/DETEC. Disponível em: http://periodicos.ufes.br/BJPE 27 VAN GREMBERGEN, W. Introduction to the Minitrack" IT Governance and its Mechanisms"-HICSS 2013. In: System Sciences (HICSS), 2013 46th Hawaii International Conference on. IEEE, p. 4394-4394, 2013. VÁSQUEZ-RAMÍREZ, et. al. An Open Cloud-Based Platform for Multi-device Educational Software Generation. In: Trends and Applications in Software Engineering. Springer International Publishing, p. 249258, 2016. VERNEKAR, S.; GAME, P. Component based resource allocation in cloud computing. In: Proceedings of the International Conference on Information Systems Design and Intelligent Applications 2012 (INDIA 2012) held in Visakhapatnam, India, p. 907–914, Springer, 2012. ZHANG, Q.; CHENG, L.; BOUTABA, R. Cloud computing: state-of-the-art and research challenges. Journal of Internet Services and Applications, London, v. 1, p. 7-18, May 2010. Disponível em: <http://it341.blog.com/files/2012/12/Cloud-computingstate-of-the-art-and-research-challenges.pdf>. Acesso em jan. 2016. Brazilian Journal of Production Engineering, São Mateus, Vol. 2, N.º 1 (Julho). p. 12-27 (2016). Editora CEUNES/DETEC. Disponível em: http://periodicos.ufes.br/BJPE