Cloud Security Alliance (CSA)

    Organização que define e fomenta práticas de segurança em nuvem. Fornecem orientações organizadas em quatorze domínios separados em conceitos, governança e operação. Os domínios são:

Domain 1: Conceitos e arquiteturas de computação em nuvem

    O domínio de conceito. O mais fundamental. Fornece uma estrutura (framework) pra entender a computação em nuvem, com definições, termos e descrições das arquiteturas envolvidas. É menos didático e mais prático.

    As técnicas chaves pra criar uma nuvem são:

• ABSTRAÇÃO: O provedor abstrai os recursos da infraestrutura física pra criar o pool de recursos. O cliente nem sabe o que tá por trás do que ele tá usando, ele só usa como um recurso, não entende como é implementado.
• ORQUESTRAÇÃO: O provedor usa a orquestração pra coordenar a montagem e entrega do pool de recursos pros clientes. Ele diz "esse recursos vai pra esse cara, esse outro vai pra esse" e o recurso pra um não atrapalha o oferecimento do recurso pra outro graças a segregação.
• SEGREGAÇÃO: Deixa o provedor dividir os recursos pra diferentes grupos. Sem que haja interferência sob esses grupos.
• ISOLAMENTO: Garante que um grupo não possa ver ou mudar os ativos uns dos outros.

    Segregação + isolamento = multilocação. Não se aplica só a empresas diferentes (empresa X não pode ver o que empresa Y tem), dentro de uma empresa pode ter multilocação entre cada grupo de usuário (cozinheiro não pode ver o que zelador tem).

Arquitetura de referência

    Organiza os pontos de corte nos modelos de serviço. Um modelo que descreve os principais papéis, componentes e interações em um ambiente de nuvem. Divide em camadas como funciona um serviço de nuvem e mostra como os 3 modelos de serviço se relacionam com essas camadas.

    Essas divisões não são rígidas, e podem se sobrepor dependendo do provedor e do modelo de uso. Acima delas todas estão os dados.

Arquitetura funcional

    Significa "eu olho e tento explicar como as coisas funcionam" segundo o professor. É uma empresa que tenta ensinar como as coisas funcionam, e elas funcionam baseadas em 4 camadas:

1. INFRAESTRUTURA: Funcionalmente falando, tem os principais componentes de um sistema de computação: computação, rede e armazenamento. Os serviços. Partes móveis. Funcionam como base sob qual o resto é construído.
2. METAESTRUTURA: Estão os mecanismos que fornecem a interface entre a camada dos componentes físicos e as camadas das aplicações, onde está toda a lógica do serviço. Uma amalgama que liga a infraestrutura a camada de aplicações.
3. APLIESTRUTURA: Uma contração entre os aplicativos na nuvem e os serviços usados pra construí-los. Como os recursos PaaS, serviço de IA, notificação, e todos de mais alto nível de abstração no geral.
4. INFOESTRUTURA: Camada de dados e informação. Banco de dados, armazenamento de arquivos. É onde fica seus dados e suas informações.

Processo

    Eu sou um cliente querendo contratar um modelo de segurança de nuvem. A CSA recomenda:

• CSA Enterprise Architecture
• CSA Cloud Controls Matrix
• NIST – Cloud Computing Security Reference Architecture (NIST Special Publication 500-299);
• ISO/IEC FDIS 27017 – Information technology – Security techniques – Code of pratice for information security controls based on ISO/IEC 270002 for cloud services.

    Como eu estruturo minhas ações até tudo estar com a segurança perfeita e gerenciada? Com esses 7 passos. Obviamente, no ponto de vista da SEGURANÇA, é o que a CSA fomenta.

1. Identificar os requisitos de segurança e conformidade necessários pro meu negócio e quaisquer controles existentes.
2. Selecionar o provedor de nuvem, serviços e modelos de implantação. (Quero IaaS, quero esse provedor, etc.)
3. Definir a arquitetura (Vou contratar um VPS com essas características, um outro com essas outras, uma base de dados gerenciada, coisa do tipo. Definir como teu negócio vai ser implantado na nuvem.)
4. Avaliar os controles de segurança. Pra cada camada da pilha de arquitetura tu vê qual mecanismo de segurança tem que colocar lá.
5. Identificar lacunas de controle.
6. Projetar e implementar controles pra preencher as lacunas. (Colocar os controles avaliados pra funcionar. Ver até que ponto o provedor ou você é responsável pela segurança.)
7. Gerenciar as mudanças ao longo do tempo.

    Isso tudo ai foi só um domínio. É o mais importante, por isso foi o mais longo, os outros são menores e mais simples. Agora vamos aos próximos, divididos em governança e operação.

Domain 2: Governança e gestão de risco corporativo

    Governança. Gestão de riscos mais pelo viés de uma empresa. A empresa tem que gerir os riscos dela. Avaliar riscos adequadamente, ver como leis e limites internacionais podem afetar esses problemas, precedência legal pra caso de violação de acordos, etc.

Domain 3: Questões legais, contratos e descoberta eletrônica

    Governança. Se preocupa com possíveis problemas legais no uso da computação em nuvem.

Domain 4: Gestão de conformidade e auditoria.

    Governança. Implantou o seu serviço e deixou tudo conforme? Esse domínio vai regularmente fazer testes e acompanhar essa conformidade pra ver se tá realmente tudo nos conformes.

Domain 5: Governança da informação.

    Governança. Se preocupa com a governança dos dados que são colocados na nuvem. Tem controles e credenciais específicos pra acessar os dados.

Domain 6: Plano de gestão e continuidade do negócio

    Operação. Bem operacional. Se preocupa com a proteção do plano gestão e de todas as interfaces administrativas pra acessar a nuvem, incluindo consoles da web e APIs.

Domain 7: Segurança da infraestrutura

    Operação. Se preocupa com os fundamentos pra se operar seguramente. Desde o controle de acesso físico (quem entra na sala, quem liga o cabo) até o lógico.

Domain 8: Virtualização e contêiners

    Operação. Se preocupa com os aspectos de segurança que cobrem a camada de tecnologia associada a virtualização e a conteinerização. Segurança dos hipervisores, contêiners e redes de software. Fundamental pra implementar a segurança na nuvem.

Domain 9: Resposta a incidentes

    Operação. Se preocupa com a detecção, resposta, notificação e remediação de incidentes de formas apropriadas. Se algo rolou, tem que fazer isso tudo aí.

Domain 10: Segurança de aplicativos

    Operação. Protege os softwares e aplicativos executados e implantados na nuvem. Diz se é apropriado migrar ou projetar um aplicativo pra ser executado na nuvem e qual tipo de plataforma é mais apropriada.

Domain 11: Segurança e criptografia de dados

    Operação. Implementa mecanismos de segurança e criptografia de dados e toda garantia de gerenciamento de chaves. Considerando a escalabilidade dos serviços e aplicativos que rodam na nuvem.

Domain 12: Gerenciamento de identidade, direitos e acesso

    Operação. Basicamente controle de acesso. IAM, que identifica quem está acessando.

Domain 13: Segurança como serviço

    Operação. SECaaS. Contrato o serviço de segurança já pronto pra mim e com poucas configurações já faço ele funcionar.

Domain 14: Tecnologias relacionadas

    Operação. Se preocupa com as tecnologias estabelecidas e emergentes. Coisas que vão surgindo e tendo os atributos de segurança já incorporada nelas, como Big Data, Internet das Coisas, computação móvel, etc.

Segurança da computação em nuvem

    Segurança é importante pra empresa. Antigamente você tinha que lidar com tudo, hoje em dia, pode só contratar um serviço e nuvem e eles gerenciam tudo. A empresa foca só em seu negócio.

    Cloud security = nuvem segura. Os mesmos princípios da Segurança da Informação devem ser adaptados e aplicados aqui.

Gestão de vulnerabilidades: on premise vs em nuvem

• Segurança física: Antes, a própria empresa cuidava disso, agora, é responsabilidade do provedor.
• Onde está localizado o dado: No on premise, a empresa tinha total controle e todos os equipamentos em suas instalações. Na nuvem ,os dados estão em qualquer canto do mundo onde o provedor tenha seus equipamentos. Dependendo do modelo de implantação, talvez a empresa ainda tenha um nível de controle, sim.
• Gestão de vulnerabilidades: Normalmente, o provedor cuida de tudo. Dependendo do modelo de serviço, a empresa cuida junto.
• Respostas a incidentes: Antes a empresa era responsável. Hoje em dia é compartilhada entre provedor e empresa, cada um atua em esferas de ações.
• Cumprimento de regulações normativas e leis: Novamente, responsabilidade dos dois.

    Empresas com muitos dados sensíveis são relutantes a migrar pra nuvem com receio de segurança. Por isso, provedores de serviço investem mais e mais em segurança e na proteção de seus datacenters, pra gerar confiança.

Cumprimento de regulações normativas e legais

    A responsabilidade não é binária. Dependendo do modelo de serviço, a maior responsabilidade pode ser ou do cliente ou do provedor.

    A CSA é uma organização com objetivo de promover a segurança em nuvem. Ela sabe qual modelo pede mais responsabilidade que o outro. Vamos ver o nível de responsabilidade em cada modelo (IaaS, PaaS e SaaS) e usando o modelo de implantação "nuvem pública".

    PROVEDOR < SaaS - PaaS - IaaS > CLIENTE

    Ou seja:

• SaaS: O provedor é responsável pela maioria da segurança. O cliente é responsável por proteger seu login contra phishing e engenharia social.
• PaaS: O provedor é responsável pelos softwares e os sistemas operacionais da plataforma. Qualquer código e dados feitos pelo usuário na plataforma é responsabilidade do próprio. O provedor cuida das camadas abaixo da virtualização, não se preocupa com a segurança do que é executado nas máquinas virtuais.
• IaaS: O provedor é responsável pela infraestrutura e recursos básicos, como central de dados, armazenamento, etc. O resto é responsabilidade do usuário. O usuário é responsável por tudo acima do sistema operacional.

    Então, resumidamente. Saas < PaaS < IaaS

Serviços em nuvem

1. MÁQUINAS VIRTUAIS: Serviço básico em IaaS. O serviço mais comum e básico é a computação, engloba desde as VMs bancos de dados gerenciados, até contêiners e serveless computing.
1. Passo a passo pra usar uma VM na nuvem:
1. Escolhe o tipo de máquina. O tamanho, o quanto de memória ela vai ter. Um PC mais leve ou um superpotente?
2. Escolhe o SO. Windows? Linux?
3. Configura o armazenamento, usando discos virtuais se quiser mais espaço, se conectando com sistemas de arquivos compartilhados.
4. Definir a rede e suas configurações. Quem pode acessar? 
5. Configurar permissões de acesso. Realmente quem pode acessar cada arquivo.
6. Instalar os aplicativos que você vai usar.
7. Ligar tudo e usar.
8. Agora você é responsável por ela e vai manter ela e atualizar ela.
2. BASE DE DADOS GERENCIADA: Se o cliente só quer um banco de dados funcional, sem se preocupar com os detalhes técnicos da infraestrutura. Ao invés do cliente criar uma máquina virtual e instalar tudo sozinho, ele pode usar uma solução pronta, onde a maior parte da responsabilidade é do próprio provedor de nuvem. Mesmo assim, o cliente ainda tem que:
1. Escolher o tipo de banco
2. Escolher o sistema
3. Definir o tamanho da máquina que vai rodar o banco
4. Ver se precisa de alta disponibilidade
5. Configurar segurança de rede e acesso
6. Ativar logs, backups e conectar o app ao banco
1. As vantagens desse modelo são:
1. O provedor cuida da manutenção, atualizações e segurança
2. Backups e criptografia já vem incluídos
3. Monitoramento e auditoria também são oferecidos pelo serviço

Serviço de rede

    Além dos serviços tradicionais, tem DNS, CDN, VPN, WAF e proteção contra DDoS. Na rede da nuvem, o provedor cuida da camada física e o cliente gerencia a camada virtual que conecta servidores, armazenamento e banco de dados.

• SERVIÇOS:

1. DNS: Traduz nomes de host em IPs, oferece vários tipos de registros e balanceamento de carga.
2. CDN: Entrega conteúdo armazenado em cachê em vários locais próximos ao cliente, aumentando a velocidade e ajudando a mitigar ataques DDoS.
3. VPN: Cria túneis seguros e criptografados para acesso remoto, geralmente usando autenticação multifator.
4. WAF: É um firewall focado em proteger aplicações web contra ataques HTTP/HTTPS.
5. PROTEÇÃO CONTRA DDOS: Feita com recursos escaláveis e balanceamento de carga pra manter a disponibilidade dos serviços.

    A Amazon usa o AWS Shield, que no modo avançado funciona junto com o Route53 (DNS), CloudFront (CDN) e Elastic Load Balancing (ELB) para proteger contra ataques DDoS. A Microsoft (Azure) oferece o Azure DDoS Protection, que em modo avançado se integra com ferramentas como gateway e WAF para defesa reforçada. E a Google (Google Cloud) usa o Google Cloud Armor Standard para proteção básica e o Managed Protection Plus, que é integrado a outros serviços pra proteção avançada contra DDoS.

Serviço de monitoramento e auditoria

    Monitora tudo, desde login (sucessos e falhas) e ações tomadas (quem fez o que, quando, e qual foi o resultado final com sucessos ou falhas). O registro disso é chamado trilha de auditoria. É armazenado num repositório central de logs.

    Sistemas de geração de alertas configurados pra disparar só em situações específicas (por exemplo, quando um administrador faz login com sucesso no console) fazem parte dos serviços de monitoramento e auditoria.

    Todos os serviços vistos nesse tema tem que enviar logs pra um serviço centralizado. E tem que se fazer uma análise de risco pra decidir quais eventos registrar, pois armazenar muitos logs custa muito e nem sempre compensa.

    Uma classe de produto chamada Security Information and Event Management (SIEM) são usadas pra monitoramento avançado, elas correlacionam eventos de vários serviços ao mesmo tempo e só disparam alertas quando a combinação desses eventos indica um risco real, evitando alertas falsos e reduzindo o uso desnecessário de recursos.

Arquitetura de Computação em Nuvem

    Computação em nuvem é um serviço. Todo serviço deve ser tratado sob dois pontos de vista: arquitetura e implementação.

    A arquitetura descreve as características e funções do serviço, e apresenta os elementos que deixaram o desenvolvedor desenvolvê-lo e implementá-lo. A implementação constrói o serviço com base na arquitetura.

    A arquitetura da nuvem deve mostrar suas funções, como seus elementos estão organizados e como fazer coisas na nuvem. Deve mostrar coisas tipo: disponibilidade pra todos os usuários ao redor do mundo, provedores de serviços, canais de comunicação entre usuários e provedores, etc.

    Resumidamente, a arquitetura de computação em nuvem são vários componentes que no fim formam o cloud computing. É a base de tudo, e ela permite que empresas criem e gerenciem aplicativos e serviços eficazmente. 

    Ela tem 3 camadas principais:

1. De serviço: servidores virtuais, físicos ou híbridos
2. De armazenamento: sistemas de arquivo, banco de dados e outros tipos de armazenamento
3. De rede: serviços de conectividade, segurança, gerenciamento de apps

    A arquitetura em nuvem também pode incluir ferramentas de automação, monitoramento e gerenciamento de configuração (pra ajudar os administradores a gerenciar a infraestrutura) e podem incluir serviços de plataforma, de computação, de armazenamento, de redes, etc.

Componentes da infraestrutura de nuvem

• Hardware do servidor: a parte física básica do servidor.
• Virtualização: permite acesso remoto aos serviços via internet.
• Modelos de serviço: tem vários, como SaaS, PaaS e IaaS, por exemplo.
• Gerenciamento de nuvem: gerencia os recursos da nuvem.
• Redes em nuvem: fornece conectividade em tempo real, de qualquer lugar.
• Segurança em nuvem: garante a segurança da nuvem.

    Quando estamos fazendo a arquitetura de uma nuvem, dividimos os componentes em dois grupos.

• FRONT END: O lado do usuário. A interface que o usuário usa pra acessar a nuvem. Os elementos que o usuário pode usar, sejam eles elementos físicos (dispositivos) ou lógicos (browser da web). Varia de acordo com o usuário e o serviço, mas é normalmente sempre bem parecido.
• BACK END: O lado interno, por trás das câmeras. A interface da própria nuvem (podendo ser, genericamente, até entendido como a própria nuvem). Fornece o serviço aos usuários. Tem componentes de software, hardware e gestão. Varia conforme os modelos de serviço. Tem seus próprios componentes importantes de lembrar:
• Aplicação: é a porta de entrada. Recebe pedidos do usuário.
• Serviços: executa as tarefas da nuvem.
• Cloud runtime: é o ambiente onde os serviços rodam, com uso de virtualização. Ele tem a função de fazer várias execuções em paralelo acontecerem no mesmo servidor.
• Armazenamento: armazenam os dados em um servidor remoto acessado pela Internet. Os servidores tem HDs, SSDs e até o Optane (dispositivo da Intel) ou o NAS (equipamento robusto pra armazenar grandes volumes de dados. Local ou remoto).
• Infraestrutura
• Gerenciamento
• Segurança

    A Internet é o meio que conecta o front end e o back end. A nuvem só funciona quando os dois se conectam.

Infraestruturas em datacenters

    Datacenters são onde os servidores e dispositivos de armazenamento de empresas que lidam com armazenamento de dados ficam. Interligados com redes de alto desempenho. São a base da computação de nuvem.

    As redes (back end) usam switches, roteadores, firewalls, e softwares de rede pra conectar os servidores da nuvem com os dispositivos de armazenamento, sistemas de gestão e segurança.

    O provedor pode oferecer o serviço IaaS, que inclui implementar e manter a rede do usuário. O IaaS usa os recursos dos datacenters (servidores, redes, armazenamento) pra oferecer infraestrutura sob demanda ao usuário

Organização lógica dos datacenters

    Além do físico (hardware) visto acima. Também tem vários softwares que ajudam na gerencia da computação em nuvem.

    Como os serviços de gerenciamento, que permitem que os recursos sejam gerenciados de acordo com as necessidades do usuário final. Nos servidores tem VÁRIAS VMs ativas compartilhando recursos toda hora, então, o software de gerenciamento é essencial pra alocar o recurso certo a cada tarefa.

    Serviço de segurança também é importante pra deixar só gente autorizada acessar dados. Assim, tarefas importantes não são interrompidas, pois o servidor está protegido de ataque e invasões.

Camadas de servidores

    Servidores físicos ou virtuais que hospedam serviços, aplicativos e dados pros usuários. Também são usados pra armazenar e gerenciar dados, como arquivos, backups e imagens.

    Devem ser monitorados e gerenciados, backup deve ser feito, patches de segurança devem ser aplicados, etc. A administração de um desses é complexa e os administradores de um servidor tem que se familiarizar com as ferramentas de administração de servidor, como:

1. Servidores de gerenciamento: configura e monitora servidores e dispositivos de rede.
2. Gerenciadores de configuração: gerencia as configurações e os aplicativos de um servidor.
3. Monitoramento de servidores: monitora o servidor
4. Ferramentas de automatização de tarefas: automatiza coisas como backup e restaurações.
5. Soluções de segurança: protege o ambiente do servidor.

    Tem que gerenciar os usuários com direitos de acesso e tem que gerenciar as regras de segurança também. Também precisa de uma documentação detalhada sobre as configurações do servidor, pra se alguma alteração rolar, ela ser facilmente rastreada e lidada.

Serviços em nuvem

    Os componentes principais da nuvem são os hardwares de processamento e armazenamento, geralmente constituídos por um conjunto de servidores chamados de datacenter.

    Serviços de nuvem são serviços de TI (hardware e software) hospedados em ambientes virtuais acessados pela internet. O provedor de recursos (back end), disponibiliza os serviços. Abaixo, exemplos de serviços:

1. Armazenamento: Pode armazenar e acessar arquivos e dados onde você estiver.
1. Normalmente se divide em 3 categorias: file storage, object storage e block storage.
2. Uma categoria mais moderna desse serviço é a CSI (Container Storage Interface) 
3. Estão sujeitos as seguintes ameaças: acesso não autorizado, vazamento, exfiltração e perda de dados. Mas usam se técnicas pra aumentar a segurança, técnicas como:
1. Lista de controle de acesso
2. Gerenciamento de acesso e identidade
3. Criptografia
4. Auditoria (registros de logs de acesso, mostra quem, quando e o que fizeram)
5. Backups
4. File storage: O armazenamento de arquivos, similar ao NAS, permite montar volumes em sistemas operacionais pra guardar e acessar arquivos via protocolos como NFS e SMB/CIFS. Suporta o acesso simultâneo por várias VMs,  controle de permissões e expansão automática do sistema de arquivos sem impacto para o usuário.
5. Object storage: São usados pra guardar dados em formas de arquivos, são organizados em buckets (estruturas parecidas com diretórios). O acesso é feito por API, linha de comando ou interfaces específicas, geralmente usando o protocolo HTTPS. Não são indicados pra armazenar sistemas operacionais ou banco de dados. 
6. Block storage: Deixa o cliente montar e formatar volumes com sistemas de arquivos pra armazenar arquivos, bancos de dados e sistemas operacionais completos.
2. Computação: Computação em escalas variadas, desde servidores virtuais até clusters de computadores.
3. Infraestrutura: Pode acessar servidores e serviços de rede (como VPNs ou firewalls).
4. Plataforma: Pode criar, implantar e gerenciar aplicativos num ambiente baseado em nuvem
5. Análise: Pode processar, analisar e gerenciar grandes quantidades de dados.
6. Desenvolvimento: Pode criar aplicativos baseados na nuvem por meio de uma interface de programação de aplicativos (API)

Serviço de compartilhamento

    Alguns serviços de nuvem permitem compartilhar arquivos e pastas pela rede usando protocolos específicos. Os principais são: CIFS (Common Internet File System) e NFS (Network File System - RFC 7530)

    Como os servidores ficam longe do usuário, esses protocolos ajudam a manter o acesso rápido e eficiente aos dados. A infraestrutura da nuvem é baseada em servidores potentes com processadores como Intel Xeon ou AMD Opteron, além de muita memória RAM rápida pra garantir alto desempenho.

Mais

    Servidores também empregam as GPUs (Graphic Processing Unit) que chamamos de placas de vídeo, que são empregadas em servidores de alto desempenho pra aumentar a capacidade de processamento.

    Além de GPUs, alguns provedores também podem usar coisas específicas, tipo o Google Tensor Processing Unit, que é feito especialmente pra Google Cloud Platform.

Arquitetura de solução em nuvem

Solução IaaS

Exemplos do IaaS e benefícios:

• ELASTICIDADE: Aumenta/diminui recursos conforme a necessidade. Você pode licenciar os recursos quando precisar e retirá-los quando não precisar mais. Só paga por recursos quando estiverem sendo usados.
• BALANCEAMENTO DE CARGA: Distribui o tráfego entre servidores. Garante desempenho e disponibilidade. Evita sobrecarga e falhas.
• ALTA DISPONIBILIDADE: Garante o tempo de funcionamento máximo dos serviços fornecidos. Usando medidas como:
• Replicação de dados: Ter várias copias dos mesmos dados. Se o sistema falhar em um lugar, os dados ainda estarão em outro lugar.
• Uso de redundância: Novamente, duplicar serviços, materiais e equipamentos.
• Monitoramento contínuo
• Atualizações frequentes
• Balanceamento de carga
• CENÁRIOS MULTICLOUD: Dá pra usar vários provedores de serviços de nuvem em um único ambiente. Baseada em ferramentas de orquestração de nuvem, como o Kubernetes ou Openstack.
• CLOUD HÍBRIDO: Feita pra aproveitar os benefícios da nuvem pública e privada num único ambiente. Normalmente, uma combinação de infraestrutura local (servidores físicos) e serviços de nuvem. Usando o melhor dos dois mundos.

Edge computing

    Uma abordagem de computação de borda. Permite que os dados sejam processados e armazenados localmente (na borda de rede), em vez de forma remota (na nuvem). Diminui a latência e o uso de banda, aumenta a confiabilidade da conexão, desempenho, segurança e escalabilidade. Ideal pra aplicativos que exigem resposta imediata.

    Diferença entre ele e a Internet das Coisas:

• Internet das Coisas (IoT): Os dispositivos pegam dados, mandam pra nuvem, onde ficam armazenados, e são analisados por sistemas mais potentes.
• Edge computing (computação de borda): Em vez de mandar tudo pra nuvem, os dispositivos já processam os dados localmente, perto de onde eles são coletados. O que der pra resolver ali, eles resolvem, e só mandam pra nuvem o que for realmente necessário. Economizando Internet, respondendo mais rápido, e funcionando melhor em lugares com conexão ruim.

    Por exemplo, um sensor de segurança. Com edge computing, ele decide ali mesmo se detectou algo relevante (uma pessoa) ou só um gato. Se for um gato, ele nem manda pra nuvem. Se for algo sério, ai sim, ele manda o alerta.

    Você usa o edge computing quando:

1. Precisar de uma resposta rápida e não dá tempo de esperar a nuvem processar.
2. Em dispositivos inteligentes ou IoT, como:
1. Câmeras com reconhecimento facial em tempo real.
2. Aplicativos que usam localização ao vivo.
3. Pra evitar sobrecarregar a Internet (menos dados enviados = economia de banda)
4. Quando decisões precisam ser tomadas no local, sem depender de servidores distantes

    Antes de usar edge computing, alguns fatores devem ser considerados, como: largura de banda de internet, energia, tamanho da infraestrutura, capacidade de processamento, tipo de serviço da sua empresa, custo de implantação, a rede existente, facilidade de achar profissionais especializados pra manutenção, etc.

Edge computing e serveless

    Serverless já foi explicado anteriormente. O provedor que cuida e gerencia os servidores e a infraestrutura.

    Numa rede altamente distribuída (rede onde os dados estão espalhados por vários lugares diferentes), como no edge computing, seria difícil gerenciar toda a infraestrutura, então, juntar serveless + edge resolve muita coisa! O processamento é local, reduz o custo e tempo de desenvolvimento, as empresas podem focar só no código e suas aplicações e tem alta performance.

Migração para nuvem

    Migrar pra nuvem é complicado, mas é indispensável pra ter sucesso na era digital.

Quando migrar?

1. Quando sua infraestrutura está ultrapassada e não é mais suficiente pra suas necessidades.
2. Quando você precisa aumentar a capacidade de processamento ou armazenamento rapidamente.
3. Quando você precisa acessar recursos em qualquer lugar.
4. Quando você precisa economizar dinheiro, já que elimina muitos custos como aquisição de hardware e licenciamento de software.
5. Quando você precisa de mais segurança. Oferece grande segurança de dados, quando o provedor é bom, claro.

Estratégias de migração

    Eram os 5Rs, agora já são os 7Rs.

1. REHOST (RE-HOSPEDAR OU LIFT AND SHIFT): Mover aplicativos e dados pra nuvem sem mudar nada.
1. Rápido e aproveita a infraestrutura da nuvem. É bom usar quando a aplicação já funciona bem e não precisa de alterações
2. REPLATFORM (REPLATAFORMA): Faz pequenas mudanças na aplicação pra que ela funcione melhor na nuvem (como trocar banco de dados, ou o sistema operacional, por exemplo) emulando aplicações através de VMs.
1. Adapta sem reconstruir. É bom usar quando pequenas melhorias já resolvem. É a mais indicada pra sistemas legados (antigos).
3. REPURCHASE (RECOMPRA OU DROP AND SHOP): Substituir o sistema atual por uma solução pronta de nuvem (SaaS) que tem os mesmos recursos.
1. Economiza tempo e manutenção. Se você sabe que tem uma solução SaaS que atende bem sua necessidade, é uma boa usar.
4. REFACTOR/RE-ARCHITECT (REFATORAR/REARQUITETAR): É reconstruir o sistema do zero, usando as tecnologias da nuvem.
1. É bom de usar quando se quer modernizar a aplicação completamente. Tem alta escalabilidade e performance.
5. RETIRE (APOSENTAR): Desativar sistemas ou aplicações que não são mais úteis.
1. Reduz custos e focam nos sistemas que importam mesmo. É bom usar quando tem sistemas obsoletos ou redundantes.
6. RETAIN (RETER/REVISIT): Manter alguns sistemas fora da nuvem por enquanto.
1. Evita migrar o que não precisa ser migrado. É bom fazer isso por motivos de conformidade, performance local ou se o sistema ainda é recente
7. RELOCATE (REALOCAÇÃO): Mover a infraestrutura INTEIRA pra nuvem sem mudar nada, inclusive mantendo ferramentas e processos.
1. É fácil pra equipes que já usam a virtualização. E é boa de usar quando se quer migrar rapidamente sem envolvimento dos desenvolvedores.

Computação em Nuvem

Computação em nuvem

    É o fornecimento de recursos de TI através da Internet. Em vez de usar hardware e software locais pra salvar dados, se usa um servidor remoto e acessa os dados pela Internet. Os serviços são normalmente pagos baseados em uso, mas tem grátis também. Por exemplo, o e-mail do Gmail é mantido nos servidores da Google, não no seu hardware. 

    A ideia principal é baixar menos programas em seu PC, tudo seria feito na Internet e hospedados em nuvem. Poupa espaço no PC do usuário. Podemos dizer que é a evolução do utility computing.

    Em redes antigas, diagramas usavam desenhos de nuvem pra mostrar algo fora do alcance das empresas, mas que conectava as redes. A empresa só tinha saber que a nuvem conectava tudo. Falamos "tá na nuvem" porque não sabemos em que computador(es) realmente estão os dados. Simplesmente usamos.

    Resumidamente, a definição de computação em nuvem (cloud computing) é: armazenar, gerenciar e processar dados em nuvem ao invés de seu PC. Servidores, armazenamento, bancos de dados, apps, tudo na Internet.

Vantagens:

• ECONOMIA: Não tem que investir em hardware, software ou infraestrutura. Só pagar pelos serviços que vai usar, talvez algo extra se precisar de recursos adicionais, e depois parar de pagar se não for mais usar.
• ESCALABILIDADE: Upgrades e downgrades são fáceis de fazer. Adicionando facilmente CPUs, memórias ou servidores a mais que funcionarão juntos. Crescer conforme a demanda.
• ELASTICIDADE: Dá pra facilmente adaptar recursos computacionais ao quanto você precisar.
• Por exemplo, tem muita gente no seu site? Aumenta os recursos. O tráfego voltou ao normal? Pode diminuir os recursos.
• Elasticidade é escalabilidade em tempo real.
• ATUALIZAÇÃO CONSTANTE: É constante e automática. Os provedores do serviço de nuvem que são responsáveis por isso, não a sua empresa.
• IMPLANTAÇÃO RÁPIDA: Serviços podem ser efetivados rapidamente quando normalmente teria que se planejar tudo, instalar, construir ambientes, etc.
• ACESSO GLOBAL: Disponíveis 24/7. Dá pra entrar em qualquer canto com Internet.
• DISPONIBILIDADE: Oferecem serviços de backup de dados, recuperação de desastre e replicação de dados. Dados ficam sempre disponíveis.
• SEGURANÇA: O provedor é quem lida com a segurança, física ou lógica.

Desvantagens:

    É uma tecnologia recente com muitos benefícios, mas também tem suas desvantagens. Que eu espero que sejam resolvidas logo, porque, mano, nuvem é muito irado. Eu fico de boas fazendo meu bagulho e os outros caras cuidam de tudo, muito legal.

• PERDA DE CONTROLE: Seus dados estão nas mãos do provedor. Você depende dele em caso de problemas de software ou hardware.
• INSTABILIDADE DE USO: Se o provedor sofrer algum ataque, falta de energia ou perda de Internet, é um problema pra você também.
• SEGURANÇA: É uma vantagem e também uma desvantagem. Mais e mais ataques tem sido direcionados aos provedores de nuvem, aumentando risco de perdas.

Principais provedores de computação em nuvem

    Bem simples e rápido.

1. Amazon Web Services (AWS): É a líder de mercado. A plataforma da Amazon
2. Microsoft Azure: É a plataforma da Microsoft
3. Google Cloud Platform: É a plataforma da Google
4. IBM Cloud: É a plataforma da IBM
5. Oracle Cloud: É uma plataforma de nuvem e só

Evolução histórica

• Existe desde 1950
• Máquinas eram muito caras e empresas só tinham 1 ou 2.
• Funcionários acessavam o mainframe remotamente ou em terminais locais ligados a ele.
• Só em 1960 que computação em nuvem começou a tomar forma
• John McCarthy discutiu o uso compartilhado de um PC por 2 ou mais usuários. Chamou isso de "utility computing".
• Joseph Carl e equipe ajudaram a desenvolver a ARPANET.
• Primeira rede que dava pra compartilhar dados entre PCs que não tavam no mesmo lugar físico.
• A conexão devia ser feita em qualquer lugar e qualquer horário.
• Ficou sem update por um tempo, depois, por 1990, empresas de telecomunicações passaram a criar redes virtuais.
• Ou seja, o acesso compartilhado a mesma infraestrutura física.
• Nos anos 2000, cloud computing começa a ser fornecida comercialmente e a ser popularizada.
• Empresas e indivíduos alugam computadores virtuais e usam aplicativos em nuvem.
• Em 2007 a Netflix lança seu serviço de streaming de vídeo usando a nuvem pra transmitir filmes pro PC de vários assinantes.
• Hoje em dia, muitas pessoas e empresas usam serviços em nuvem e computação em nuvem.

Cinco características essenciais

1. AUTOATENDIMENTO SOB DEMANDA: Pode acessar os recursos sem interação humana entre o usuário e o provedor.
2. AMPLO ACESSO A REDE: Tem que ter infraestrutura de rede o suficiente pra se conectar a vários dispositivos continuamente e dar todos seus recursos a eles sem problemas.
3. AGRUPAMENTO DE RECURSOS: O provedor junta muitos computadores e recursos num lugar só pra dividir entre várias pessoas. Cada pessoa usa sua parte sem precisar saber onde ou como isso é guardado, só precisa usar o que foi dado pra ela.
4. ELASTICIDADE DINÂMICA: Amplia e reduz a liberação de recursos conforme necessário, automática ou manualmente. Se tiver muito trabalho e demanda, recursos aumentam. Se tiver menos, recursos abaixam.
5. SERVIÇO MENSURÁVEL: Mede exatamente quais recursos estão e não estão sendo usados. Esses dados são mandados pro cliente e ele paga o que ele usou.

Camadas e atores na computação em nuvem

Camadas

• CAMADA DE APLICAÇÃO: Os programas, prontos pro usuário usar.
• CAMADA DE PLATAFORMA: O lugar que pode ser usado pra criar e rodar os programas.
• CAMADA DE INFRAESTRUTURA: A camada mais baixa. Serviços de armazenamento e rede, servidores, sistemas de armazenamento e roteadores.

Atores

• PROVEDORES DE SERVIÇO: Os que desenvolvem e disponibilizam o serviço.
• PROVEDORES DE ESTRUTURA: Geralmente chamado de "infraestrutura de nuvem". Fazem a estrutura onde os serviços vão ser instalados.
• USUÁRIOS DA NUVEM: Quem usa o serviço.

Três modelos de serviço

    Ela distribui recursos na forma de serviços, e aqui são os 3 modelos principais:

• INFRAESTRUTURA COMO SERVIÇO (IaaS): Recursos de computação fornecidos na nuvem. HDs, sistemas de armazenamento e gerenciamento de dados e backup, serviços de redes, máquinas virtuais, servidores virtuais, instâncias de servidor, ferramentas em balanceamento de carga.
• O usuário é responsável por gerenciar tudo. O provedor de serviço só mantem a infraestrutura da central de dados que tá hospedando as máquinas virtuais dele.
• Usuário: Dados, Aplicações, Sistema Operacional
• Provedor: Virtualização, Servidores, Armazenadores, Rede, Física
• Considerado a base prática pra computação na nuvem.
• Exemplos: Amazon EC2, Azure Virtual Machine, Google Compute Engine
• PLATAFORMA COMO SERVIÇO (PaaS): Hardwares e softwares na nuvem. O usuário tem a plataforma na nuvem pra fazer o que quiser. Entrega mais coisas prontas, pro usuário só focar no código e dados.
• O provedor é mais responsável, tem que dar todos os recursos pro usuário fazer seus aplicativos. Agora, o código e dos dados gerados pelo aplicativo são de responsabilidade do usuário.
• Usuário: Dados, Aplicações
• Provedor: Sistema Operacional, Virtualização, Servidores, Armazenadores, Rede, Física
• Exemplos: AWS Elastic Beanstalk, Azure Web Apps, Google App Engine
• SOFTWARE COMO SERVIÇO (SaaS): O usuário pode usar os aplicativos baseados em nuvem, como o e-mail, armazenamento, etc.
• O usuário só precisa se conectar e usar os aplicativos. O provedor de serviços tem a maior responsabilidade e gerencia tudo, desde o hardware até o aplicativo.
• Usuário: Dados
• Provedor: Aplicações, Sistema Operacional, Virtualização, Servidores, Armazenadores, Rede, Física
• Exemplos: Dropbox, Microsoft Office 365, Google Workspaces, Salesforce CRM, SAP Success Factors, Oracle Cloud HCM
• ON PREMISES: Esse é um extra. É só o próprio usuário que faz tudo, e todas as responsabilidades são dele. É local.

    Pense neles como uma festa de aniversário:

• No SaaS, você contrata um salão de festa com TUDO incluso. Só pagar e aparecer no dia da festa.
• No PaaS, você contrata o salão de festas com as funcionalidades de LÁ inclusas. Mas contrata qualquer coisa de fora (fotógrafos, estilistas, etc.) por si próprio.
• No IaaS, você só contrata o lugar. Todos os serviços, você que contrata.
• No on premises, a festa é em casa e você contrata e organiza absolutamente tudo.

    Tem alguns outros modelos como DraaS (Recuperação de desastres como serviço), CaaS (Comunicação como serviço), FaaS (Função como serviço), DbaaS (Banco de dados como serviço), MaaS (Malware como serviço), etc...

Modelos de implantação de nuvem

    Modelos que definem o local onde os dados ficam e como os usuários interagem com eles.

• PÚBLICA: O que o povo conhece simplesmente como "a nuvem". Acessíveis em toda a Internet. Empresas disponibilizam o recurso de nuvem e tá feito. Você paga pelo número de recursos que usa.
• VANTAGENS:
• Mais barata.
• Fácil de usar toda hora.
• Boa escalabilidade. Já que a divisão dos recursos entre clientes é feita de forma dinâmica.
• Não chega ao nível de uma privada, mas continua sendo incrivelmente boa de performance.
• DESVANTAGENS:
• Segurança. Descuido de OUTRA empresa pode gerar um ataque ao servidor, que pode abrir uma brecha pro sistema de cada cliente.
• Pode ser segura, depende das práticas do provedor.
• Controle feito por terceiros, você não é o proprietário. Tá tudo na mão do provedor.
• Talvez tenham requisitos legais que a nuvem publica não cumpram, pois está num lugar com leis diferentes do lugar que você mora.
• PRIVADA: Ficam em ambientes restritos, só certas pessoas podem entrar. Feitas pra um usuário ou uma empresa só. Boa pra segurança, a maioria é on premise.
• VANTAGENS:
• Já que é privada, é só sua. Disponibilidade alta.
• Pode customizar a infraestrutura como quiser, colocando exatamente o que precisar pra eficiência e produtividade.
• Uma relação mais próxima garante que a provedora saiba mais da sua empresa e resolva dúvidas em menos tempo.
• Na questão de segurança, é o contrário da pública.
• DESVANTAGENS:
• Inicialmente vai custar caro, tem que comprar o hardware todo, instalar e configurar.
• Vai ter que contratar sue equipe própria de profissionais de TI, e isso custa caro.
• HÍBRIDA: Duas ou mais nuvens juntas, sejam elas privadas ou públicas. Se quiser, pode por dados cruciais na nuvem privada e outros dados na nuvem pública. Aproveita o melhor das duas.
• COMUNITÁRIA: Nuvem compartilhada por várias empresas que tem interesses em comum. Pode ser administrada tanto pela própria empresa ou por terceiros, e pode ser tanto on premises quando off premises. Meio que uma nuvem pública, só que mais exclusiva. Os custos são divididos entra os usuários.
• DISTRIBUIDA: Os servidores da nuvem podem estar espalhados em todo lugar, mas todos ainda fazem parte da mesma nuvem e de um só provedor.

On premise VS em nuvem

On premise

1. O servidor principal é físico, instalado na empresa. Pra acessar, os PCs da empresa tem que estar conectados, configurados e interligados a ele.
2. A capacidade de armazenamento é inicialmente um valor específico. Se precisar de mais, tem que ter uma equipe de TIC pra instalar mais softwares e hardwares.
3. Não é flexível, limita a capacidade de escalonamento.
4. Mais custos de investimento inicial e manutenção.
5. A gestão é normalmente mais complexa.

Em nuvem

1. Dados e serviços estão guardados no servidor do provedor de nuvem. Dá pra entrar no servidor remotamente pela plataforma, online. Só ter internet e fazer o login com senha.
2. Ao contratar os recursos de provedor de nuvem. Pode aumentar ou diminuir o espaço consumido numa boa. Mais flexível e barato.
3. Altamente escalável e flexível. Com serviços on demand.
4. Mais barata a longo prazo. Com custo de manutenção reduzido.
5. Fornece maior facilidade de gerenciamento.

Recursos da computação em nuvem

Virtualização

    Em um PC só, dá pra ter máquinas virtuais. Computadores de mentira, simulados dentro de outro computador. Tudo em um só servidor. Com sistemas operacionais e recursos diferentes. Um usuário tá usando Windows, mas precisa de um software que só tem no Linux. Ele usa a virtualização pra executar qualquer sistema.

    A computação em nuvem usa a virtualização pra disponibilizar recursos pela Internet. É o uso prático e escalável da virtualização pra entregar serviços sob demanda, sem se preocupar com o hardware físico.

    Pra isso, você baixa um software chamado "hypervisor" que cria máquinas virtuais. Geralmente tem dois tipos de hypervisores.

• Tipo 1 / bare metal / stand alone: São executados diretamente no hardware. Mais usado pra virtualização de servidores.
• Oferece alto desempenho e maior controle de entrada e saída.
• O sistema operacional das máquinas virtuais tem que ser adaptado pra esse tipo de ambiente.
• Tipo 2 / hosted / hospedados: Usados como um software. Um aplicativo instalado que nem um programa normal, tipo o VirtualBox.
• O usuário consegue usar o sistema normalmente enquanto roda a máquina virtual.
• Funciona em mais tipos de computadores, mas com menos desempenho do que o tipo 1.

    Esses dois hypervisores estão relacionados a dois modos de virtualização: paravirtualização e virtualização completa.

• Virtualização completa: O hypervisor finge ser o PC inteiro. A máquina virtual acredita que está em um hardware real. O SO não precisa ser modificado, pois acha que está em um computador normal. Mais fácil de usar, mas um pouco mais lento pois o hypervisor precisa emular tudo.
• Paravirtualização: Não finge ser completamente o hardware. O SO sabe que está em uma máquina virtual. Ele é adaptado pra funcionar nesse ambiente e é mais rápida pois colabora com o hypervisor.

Conteinerização

    Virtualiza apenas certas coisas, não a máquina virtual inteira. Por exemplo, ele virtualiza somente um aplicativo e suas dependências, e não o Linux inteiro pra você acessar o aplicativo. Tudo executado em um único host de controle, um mecanismo de contêiner. 

    Consone menos recursos e é mais simples. Uma versão enxuta de uma VM padrão. Evolução da máquina virtual.

    Ele é mais portável (dá pra fazer um aplicativo num contêiner localmente, depois passar pra produção com um orquestrador (serviço de conteinerização) e executar centenas de instâncias do contêiner.), tem espaço reduzido, e é mais rápido.

    Essa tecnologia existe desde os anos 70. Em 2008, surgiu o conceito de "cloud container". Assim, vários sistemas isolados são usados em um único host.

    Docker e Kubernetes são exemplos de projetos de serviços pra implantação e gerenciamento de contêiners. 

Computação sem servidor e provedor de serviços de aplicação

    Também conhecido como função como serviço (FaaS). Você importa um código do provedor, seleciona o interpretador e a quantidade de CPU e memória necessárias pra rodar a função e define o gatilho pra invocar a função. Ele é orientado a eventos.

    Faz todo o trabalho de infraestrutura e só cobra pelo código executado. Uma evolução da nuvem. Os códigos são totalmente executados e gerenciados por um provedor.

    Agora, ele ainda requer servidores, mas o servidor passa a ser responsabilidade da plataforma de nuvem. O provedor escreve o código e a nuvem executa quando necessário.

    Você só paga pelo que usar, tem baixo custo. O código é menos complexo, mais escalável e flexível. Os três principais fornecedores serverless são a Amazon AWS, Microsoft Azure e Google Cloud.

ASP

    Qualquer negócio que forneça acesso a aplicativo ou serviço pela Internet. É normalmente confundido com o SaaS, mas com o SaaS, vários clientes compartilham a mesma instância do software, e com o ASP, cada cliente tem sua versão do software.

    Webmails e armazenamento de documentos e planilhas no Google Docs são exemplos de ASP gratuitos.

Grid e utility computing

Grid computing

    Computação em grade. Uma tecnologia que agrupa vários computadores (ou servidores) pra trabalhar em conjunto como se fossem uma única grande máquina, com o objetivo de resolver tarefas complexas ou de alto desempenho.

    Uma de suas características é a possibilidade de explorar recursos, como ciclos de CPU, espaço em disco, conexões de rede, equipamentos científicos, etc.

    Outra é a capacidade de processamento paralelo. Por exemplo, programação paralela, pode ser dividida em partes menores que podem então ser processadas independentemente. Cada uma dessas partes pode ser executada em uma máquina distinta no grid, fazendo tudo mais rápido.

    Por último, confiabilidade, se algo falhar num parte do grid, o resto continua de boa.

    Normalmente confundido com cluster, mas: no cluster, tem um só gerenciador de recursos. No grid, cada nó tem seu gerenciador.

Utility computing

    Você contrata recursos de computação (tipo processamento, armazenamento ou software) quando precisar, usa pelo tempo que precisar, e paga só pelo que usar. Depois, se não precisar mais, pode parar de usar sem problema. A cobrança é proporcional ao consumo.

    Suas características são a escalabilidade (se precisar, só contratar e usar), o preço sob demanda (é eficaz, pois é pago por uso), e seus serviços padronizados (oferece um tipo de catálogo de serviços já prontos, como se fosse um menu. O cliente escolhe o que quer usar e cada serviço tem regras claras de uso, chamadas de controle de nível de serviço).

Gestão de Continuidade do Negócio

    Depois de estudar isso, eu oficialmente ODEIO listas. TEM LISTA DEMAIS!

    Se um desastre acontecer, podemos usar o PCN (Plano de Continuidade de Negócios) pra empresa continuar ativa. No PCN, ajuda a nos planejar se nós nos perguntarmos:

1. O que fazer se tiver perda de dados?
2. Como lidar com um desastre natural?
3. Como mitigar variações significantes de despesas?
4. Como reduzir possíveis prejuízos de ataques cibernéticos?
5. Como garantir contratos cumpridos mesmo com desastres?
6. Como reunir todos pra resolver problemas?

    Toda empresa tem um negócio, separado em 4 pilares:

1. UNIDADE: Os setores/áreas da empresa. Também chamados de centros de custo.
2. PROCESSOS: Literalmente o processo de fazer um produto ou serviço.
3. COMPONENTES: Unidade + processo. Mostra quais áreas e atividades são mais importantes e devem ser protegidas em caso de falhas.
4. ATIVOS: São tudo de valor na empresa. Tangíveis e intangíveis. De acordo com William Alevate, se dividem em 7 tipos:
1. TI: Sistemas, redes, PCs
2. NÃO TI: Móveis, ar condicionados, catracas, etc
3. PROVEDORES E PARCEIROS: Empresas que prestam serviços
4. INFRAESTRUTURA INTERNA: Prédios, salas, estrutura física
5. INFRAESTRUTURA EXTERNA: Locais fora da empresa usados nos processos
6. INSUMOS: Materiais necessários (papel, parafusos, etc)
7. RH: Pessoas, funcionários

    O PCN é complexo, mas importante. Se prevenir custa menos do que perder tudo em desastres. O PCN é constituído dos seguintes planos:

1. PLANO DE CONTINGÊNCIA (EMERGÊNCIA): Analisa cenários desastrosos e define ações imediatas pra manter as atividades mais importantes funcionando.
2. PLANO DE ADMINISTRAÇÃO DE CRISES (PAC): As partes importantes já tão funcionando (graças ao plano de contingência), e o PAC diz quem faz o quê pra administrar a crise e controlar os danos.
3. PLANO DE RECUPERAÇÃO DE DESASTRES (PRD): Planejam como voltar ao normal depois de controlar o desastre. Dentro dele, dois indicadores são importantes:
1. PONTO DE RECUPERAÇÃO (RPO): Quantidade máxima de dados que a empresa está disposta a perder.
2. TEMPO DE RECUPERAÇÃO (RTO): Quanto tempo esperar pra voltar as atividades.
4. PLANO DE CONTINUIDADE OPERACIONAL (PCO): Planejam como manter os recursos principais funcionando mesmo com o desastre.

    Assim como tudo em SI, tem que ser atualizado e revisado regularmente pra evitar falhas.

Termos PCN

1. RISCO: Chance de uma ameaça acontecer.
2. SERVIÇO: Atividade que gera valor pro cliente.
3. DISPONIBILIDADE: Um serviço poder fazer sua função sempre que for requisitado.
4. DESASTRE: Evento imprevisível que causa grandes perdas.
5. PRÁTICA DE GERENCIAMENTO DE CONTINUIDADE DE SERVIÇO: Ações pra manter os serviços funcionando em caso de desastre.
6. PLANOS DE RECUPERAÇÃO DE DESASTRE: Planos pra voltar ao normal depois de um desastre.
7. ANÁLISE DE IMPACTO NO NEGÓCIO: Identifica as principais funções do negócio e suas dependências.
8. GARANTIA: Expectativa que um serviço funcione como prometido.
9. AVALIAÇÃO DE RISCO: Identificar, analisar e medir riscos.
10. PRÁTICA DE GERENCIAMENTO DE RISCO: Analisar, compreender e tratar riscos eficazmente.

Desenvolvendo o PCN

Ciclo PDCA

    Também conhecido como ciclo de Deming. Um modelo de gestão que você escreve seu processo ideal e metas ideais e ele te ajuda a seguir esse plano.

• PLANEJAR: Definir objetivos. Descrever métodos e condições pra implementar os processos ou planos. 
• EXECUTAR: Executar os planos e coletar dados necessários.
• CHECAR: Ver periodicamente se tá tudo indo bem. Investigar anomalias se houver.
• AGIR: Se tiver algo fora do esperado, tomar medidas corretivas.

    O modelo é simples e da pra incluir todo mundo nele. Abaixo, um exemplo dele em ação:

1. Mapeamento de negócios (Planejar): Analisar tudo do negócio
2. Análise de impacto (Planejar): Descobrir pontos fracos e prever desastres
3. Definição de estratégias (Planejar): Com base na análise, definir soluções
4. Documentação de planos (Executar): Registra o PCN e suas etapas
5. Testes e simulações (Checar/Agir): Testar planos, treinar equipes e corrigir falhas

    O PCN pode precisar de ajustes em caso de:

1. O teste de estratégias pode ter sido ineficaz
2. Pode ter problemas nas estratégias no geral
3. Algumas funções podem precisar de esclarecimentos
4. Membros podem ter mudado de função
5. Coisas como novos equipamentos, abertura de nova filial, realocação de operações podem modificar processos

Politica de Gestão de Continuidade de Negócios (PGCN)

    PGCN e PCN não são o mesmo. A PGCN é mais abrangente e serve como base pra desenvolver planos como o PCN. Ela é a política geral que diz como a continuidade deve ser tratada na empresa. A PGCN define os responsáveis por cada ação e descrição das ações de garantia de continuidade.

    Na descrição da PGCN, tem que dizer:

• Objetivos (definem o que é o PCN)
• Escopo (abrangência da continuidade)
• Papeis de responsabilidades

    E tem que considerar:

• Recursos
• Políticas de apoio, princípios e guias
• Normas e leis

Benefícios de aplicar a PGCN

1. Vai saber dos impactos e consequências antes mesmo de um desastre rolar
2. Reduz o risco de perder dinheiro
3. Se um desastre rolar, a empresa volta aos negócios rapidamente
4. Preserva a imagem da empresa pois é mais confiável de continuar funcionando
5. Cumpre as obrigações legais
6. Minimiza efeitos de interrupções na empresa

ITIL - Information Technology Infrastructure Library

    Conjunto de praticas pra gerenciar serviços de TI. Pode ser integrado com outras já existentes em uma empresa. Trabalha com 5 processos.

1. Estratégia de serviço: Decide o que oferecer e por quê
2. Design de serviço: Planeja como o serviço vai funcionar
3. Transição de serviço: Prepara e testa o serviço antes de entrar em produção
4. Operação de serviço: Garante que tudo funcione bem no dia a dia
5. Melhoria contínua de serviço: Analisa erros e melhora o serviço com base em feedback e dados. Usa o ciclo PDCA.

    Vamos focar no 2. Design de serviço, pois um de seus subprocessos é o Gerenciamento de Continuidade de Serviços de Tecnologia da Informação (GCSTI) que é o próximo tópico.

Continuidade de Serviços de Tecnologia da Informação (GCSTI)

    Gerencia riscos que possam afetar serviços de TI, garantindo que a pessoa possa sempre fornecer os níveis mínimos de qualidade preestabelecidos.

    Traz benefícios prevenindo perdas em acidentes. Em caso de desastres, os serviços de TI podem voltar a operar mais rápido.

    Pra uma empresa implementar o GCSTI, precisa:

• Identificar os serviços e ativos
• Identificar riscos e ameaças
• Desenvolver planos de contingencia
• Documentar planos de recuperação

Mas é um processo complexo, pode ter desafios:

• Criar planos pros serviços de TI continuarem mesmo se a empresa não tiver um plano de continuidade geral pode ser difícil.
• Fazer a área de negócios da empresa seguirem as boas práticas de TI com a orientação do time de TI também.

Gestão de Risco

    Riscos que podem ocorrer em empresas:

1. Erro humano
2. Espionagem
3. Roubo físico
4. Phishing
5. Botnets
6. Ataques DDoS
7. Ransomware
8. Etc.

    Pra lidar com riscos, temos que aprender gestão de riscos.

Pilares da segurança da informação

    CID: Confidencialidade, Integridade e Disponibilidade

Ativos

    Coisas de valor da empresa. Toda empresa tem:

1. Ativos de informação
2. Ativos de software
3. Ativos físicos
4. Serviços
5. Pessoas
6. Intangíveis

Sistema de gestão de risco (SGR)

    Procedimentos pra gerenciar riscos.

Sistema de Gestão de Segurança da Informação (SGSI) - Termos e definições.

1. Controle: Medida de proteção concretizada.
2. Ameaça: Física ou lógica. Algo que pode causar dano a empresa.
3. Vulnerabilidade: Fragilidade de um ativo que pode ser explorada por ameaças.
4. Análise de vulnerabilidades: Análise de falhas num sistema.
5. Avaliação de vulnerabilidades: A partir da análise, mede o quanto a vulnerabilidade é perigosa.
6. Evento de segurança da informação: Ocorrência notável que talvez ou não gere um acidente.
7. Incidente de segurança de informação: Evento indesejado que ameaça a empresa.
8. Risco: Probabilidade + impacto de ameaça explorar uma vulnerabilidade.
9. Impacto: Mudança não desejável nos objetivos de negócios.
10. Escopo de ativos: Conjunto de ativos protegidos no sistema de segurança.
11. Parte envolvida: Pessoas com algum papel no SGSI.
12. Parte interessada: Grupo com interesse em uma empresa.

Risco a segurança da informação

    Abaixo, um exemplo de gestão de riscos. A organização XPTO tem um servidor com um banco de dados. Elementos analisados serão:

• Escopo de ativos: Servidor de banco de dados.
• Vulnerabilidades identificadas: Falha no software que pode ser explorada devido a outra no SO.
• Ameaça: Malware codificado para explorar vulnerabilidades e roubar dados.
• Medidas de controle adotadas: Instalação de antivírus.
• Medidas de controle não adotadas: Atualização de SO e software.
• Possível incidente de segurança da informação: Malware chega por e-mail para um usuário, que executa o arquivo anexado.
• Impactos: Roubo de dados sensíveis e prejuízo financeiro.
• Risco: Risco extremo.

    A XPTO analisou a ameaça, um malware. Uma vez percebido, o risco passa pelo critério de risco, a empesa vê se ele é tolerável ou não, e vê se ele vai ser tratado ou não. A XPTO classificou seu risco como extremo. A solução que pensaram foi atualizar o sistema operacional e seu software. Depois disso, o risco será monitorado para evitar futuras vulnerabilidades. após o tratamento, sobram os riscos residuais, que são pequenos, mas ainda devem ser monitorados.

Gestão de risco

    É o processo que identifica e trata riscos e ameaças ao três pilares CID. Pra ter sucesso, tem que ser contínuo. A ISO 27005 (Gestão de riscos e segurança da informação) e a ISO 31000 (Gestão de riscos - princípio de diretrizes) são normas relacionadas a gestão de risco.

Etapas de gestão de risco

1. Estabelecimento do contexto

    Primeiro, se escreve uma lista e resumo dos objetivos organizacionais da empresa pra todos saberem como ela funciona e por que ela quer a GSI. Na análise tem que botar:

• Propósito principal da organização
• Negócio
• Missão
• Visão de futuros
• Valores
• Estrutura organizacional
• Organograma
• Estratégias
• Produtos
• Parceiros
• Terceiros
• Instalações
• Funcionários

    Com isso, a empresa vê quais riscos são toleráveis e quais devem ser tratados. 

2. Análise de riscos

    A análise/avaliação de riscos se divide em:

1. IDENTIFICAÇÃO DE RISCOS: Mapeiam e acham os riscos. Fazem uma lista detalhada sobre os riscos, com possíveis causas e consequências de cada um deles.
2. ESTIMATIVA DE RISCOS: Calcula níveis de risco, a probabilidade e seu impacto, e ainda as medidas de controle que existem pra impedir um risco. Com isso sobra o risco residual, eles checam quais devem ser tratados com prioridade e quais não.
1.  Conforme os exemplos a seguir:
   
   
   
   
   

   

   
   
   
   
3. AVALIAÇÃO DE RISCOS: Define como tratar os riscos. Do lado de cada um, é informada a forma de tratamento: Aceitar, Mitigar, Transferir ou Evitar o risco.
1.  Conforme essa imagem:
   
   
   

3. Tratamento de risco

    Tem que ver como cada risco vai ser tratado (mitigado, transferido, aceito, etc.) com medidas específicas, prazos e responsáveis (gestores do risco). Depois se determinar as ações pra reduzir os riscos e aplicam elas, considerando custos e eficácia.

    Deve se perguntar:

1. O que deve ser protegido?
2. A que custo?
3. De quem proteger?
4. Com que riscos?

    Proteções não garantem segurança total, mas ajudam a mitigar riscos. Os tipos dessas medidas são:

• PREVENTIVA: Evita que incidentes ocorram.
• DESENCORAJADORA: Desencoraja a prática de ações.
• MONITORADORA: Monitora o estado e o funcionamento.
• CORRETIVA: Corrige falhas existentes.
• RECUPERADORA: Repara danos causados por incidentes.
• REATIVA: Reage a determinados incidentes.
• DETECTORA: Detecta a ocorrência de incidentes.
• LIMITADORA: Diminui os danos causados.

4. Aceitação do risco residual

    Se o risco residual for pequeno, dá pra aceitar. Agora, tem que se responsabilizar por ele e ficar de olho.

5. Comunicação do risco

    O tomador de decisão deve informar os outros sobre os riscos pra ter um consenso de como eles devem ser administrados.

6. Monitoramento e análise critica

    Vê se o plano foi seguido direitinho e vê se precisa de ajustes. Verifica:

• Se os objetivos tão certos.
• Se os riscos  tão sendo controlados direito.
• Se os níveis de risco foram calculados direito.
• Se precisa atualizar algo.

Governança, risco e compliance

    A GRC é uma ferramenta que a GR compõe. GRC significa:

1. Governança: Governança corporativa. Garante que o controle da gestão seja tão importante quando as própria gestão.
2. Risco: Gestão de riscos. Cuida do que deu ou pode dar errado.
3. Compliance: Significa conformidade. Garante o seguimento das leis.

    Abaixo, algumas informações que consegui tirar depois de ler um estudo de caso sobre como uma empresa de energia aplica a GRC na área de TI:

• A empresa avalia a maturidade da GRC em TI em 5 dimensões: G-TI, gR-TI, C-TI, GRC-TI e GRC/GRC-TI.
• A Governança de TI (G-TI) tem alta maturidade, é bem estruturada, com liderança clara e foco em valor para o negócio.
• O Gerenciamento de Riscos de TI (gR-TI) também é considerado maduro, usa software de apoio e segue princípios da ISO 27005.
• O Compliance de TI (C-TI) está integrado ao gerenciamento de riscos, mas é menos formalizado, então tem maturidade média.
• A integração entre G-TI, gR-TI e C-TI (GRC-TI) é média: processos e pessoas estão bem integrados, mas a tecnologia ainda é um ponto fraco.
• A integração da GRC corporativa com a GRC da TI (GRC/GRC-TI) também é média; falta uma ferramenta centralizada e há baixa automação.
• O estudo mostra que, mesmo com boas práticas, a falta de integração tecnológica prejudica a maturidade geral da GRC-TI.

Criptografia e Certificado Digital

    Bandidos podem se fingir de pessoas que você conhece e aplicar golpes. Isso já é um problema pro cidadão comum, que perde dinheiro pensando que o bandido é na verdade um parente que tá pedindo uma transferência, mas em uma EMPRESA, o escopo do problema é MUITO MAIOR. Precisamos de soluções. Duas delas, são os algoritmos de criptografia e o certificado digital.

Criptografia

    Já falei muito dela em posts passados, vou anotar aqui só coisas novas. Isso abaixo, quase tudo eu só copiei e colei o que eu escrevi anteriormente, o prof só tá repetindo, qualquer coisa nova eu edito e arrumo.

    Criptografia é transformar uma informação legível em algo que parece aleatório e ilegível, e vice-versa, se tiver a chave. Só gente com a chave tem acesso às informações criptografadas.

Tipos de criptografia

• SIMÉTRICA: A chave de criptografar e descriptografar é a mesma. Menos complexa. Mais rápida, menos segura. Quer privacidade e segurança? Use ela. Só quem tem a mesma chave pode ler a mensagem. Criada pra criptografar coisas rapidamente.
• Algoritmos de criptografia simétrica: AES, RC4, 3DES, IDEA, Blowfish, Twofish, etc.
• ASSIMÉTRICA: Pra mais segurança ainda, esse modo usa DUAS chaves. Uma pra cifrar e outra pra decifrar. Essas chaves são privadas (sob posse do usuário) e públicas (disponível num servidor confiável). Mais complexa. Menos rápida, mais segura. Quer trocar chaves com segurança? Use ela. Ela permite enviar chaves com segurança. Criada pra consertar o problema de troca de chaves na chave simétrica.
• Algoritmos de criptografia assimétrica são: RSA, DSA
• FUNÇÃO HASH: Simplesmente recebe um dado, faz uma função matemática, e gera uma criptografia. Só descriptografa quem souber descriptografar hash. Tem complexidade média. Menos rápida, mais segura. Quer garantir a integridade dos dados? Use funções de hash. Qualquer mudança na mensagem, muda o hash, então dá pra saber se algo foi alterado. Criada pra ter mais segurança.
• Algoritmos de função Hash: MD5 e SHA.

Certificado digital

    Garante que pessoas e empresas são realmente oficiais. Ele também é usado para assinar documentos digitalmente. Pra arrumar um certificado digital é um grande processo com uma Autoridade Certificadora. No momento que você faz a instalação do certificado eles te veem e tiram foto sua MESMO! É físico! Depois da instalação, você é responsável pelo uso do seu certificado. Tá dizendo que você está usando ele e SÓ VOCÊ tem acesso a ele.

    Um certificado digital deve ter:

1. Nome
2. Chave pública do sujeito (usada pra descriptografar mensagens e assinaturas digitais)
3. Número de série (pra identificar EXATAMENTE o certificado)
4. Data de validade
5. Assinatura digital da Autoridade Certificadora
6. Qualquer outra informação relevante

    O banco tem um certificado digital pra mostrar que realmente é o banco oficial pro cliente. O cliente tem seu certificado digital pra mostrar que é ele mesmo.