Tuesday, July 2, 2013

Mapeamento da Norma Forense ISO/IEC 27037 para a Computacao em Nuvem


A Cloud Security Alliance (CSA) publicou recentemente um documento interessante que mapeia a Norma ISO/IEC 27037 - "Information technology — Security techniques — Guidelines for identification, collection, acquisition, and preservation of digital evidence" para a Computação em Nuvem.

 A óbvia falta de maturidade dos processos relacionadas à identificação, obtenção, preservação e análise de dados que podem ser encontrados em ambientes virtualizados e inclui informações relevantes para clientes destes serviços, como o que deve estar previsto em SLAs.

Esta preparação pode ser crucial ao tratar incidentes de segurança, vazamentos de informação e suporte tecnológico a litígios envolvendo arquivos presentes em ambientes virtualizados próprios e de terceiros (na nuvem "privada" ou "pública").

Em contratos de Software as a Service (SAAS) são recomendados os seguintes SLOs (Service Level Objectives):

a. Webserver logs
b. Application server logs
c. Database logs
d. Guest operating system logs
e. Host access logs
f. Virtualization platform logs and SaaS portal logs
g. Network captures
h. Billing records

Em contratos de Platform as a Servie (PAAS) são recomendados os seguintes SLOs:

a. Webserver logs
b. Application server logs (see SaaS)
c. Guest operating system logs
d. Host access logs
e. Virtualization platform logs
f. Network captures
g. Billing records
h. Management portal logs

Em contratos de Infrastructure as a Service (IAAS) são recomendados os seguintes SLOs:

a. Cloud or network provider perimeter network logs
b. Logs from DNS servers
c. Virtual machine monitor (VMM) logs
d. Host operating system logs
e. API logs
f. Management portal logs
g. Packet captures
h. Billing records

São discutidas também as questões de responsabilidade de Resposta a Incidentes (é totalmente do cliente, compartilhada, apenas do prestador de serviço) nos diferentes serviços na nuvem contratados pelo cliente. Este tipo de decisão deve ser feita tempestivamente - e de preferência constar no contrato e nos SLAs com o fornecedor.

O documento apresenta também um quadro comparativo a partir de vários itens da ISO IEC 27037, considerando ambientes na Nuvem - imperdível.

O documento pode ser baixado diretamente do site da CSA  (PDF).
at

1 comment:

  1. mborba7/02/2013 1:05 AM

    Gostaria de trabalhar numa empresa em que os assuntos fossem discutidos dessa forma, com a profundidade que eles merecem.
    Grato pelo belo texto!
    -Marlon.

    ReplyDelete