.
Na semana passada, fui convidado a fazer uma apresentação no IBM Tivoli User Group sobre Identity & Access Management In The Cloud para funcionários da IBM, Parceiros de Negócios IBM e clientes de produtos IBM Tivoli Security. Logo percebi que meu primeiro problema seria definir a Nuvem. Nem todos com quem falei antes da apresentação sabiam o que era a Nuvem!
Então, o que é a nuvem?
A Nuvem parece ser um termo muito utilizado nos dias de hoje e para muitas pessoas representa apenas tudo o que acontece na Internet. Outros, no entanto, são um pouco mais rigorosos com sua definição:
“Para mim, a computação em nuvem é uma extensão comercial da computação utilitária que permite a implantação escalável, elástica e altamente disponível de aplicativos de software, minimizando o nível de interação detalhada com a própria pilha de tecnologia subjacente.”“Computação na torneira – você obtém o que deseja literalmente de uma tomada na parede.”
“A computação em nuvem é apenas um datacenter virtual.”
A Wikipedia, naturalmente, tem sua própria definição.
A computação em nuvem é o desenvolvimento baseado na Internet e o uso de tecnologia de computador. Em conceito, é uma mudança de paradigma em que os detalhes são abstraídos dos usuários que não precisam mais de conhecimento, experiência ou controle sobre a infraestrutura de tecnologia “na nuvem” que os suporta.
Claro, existem diferentes níveis de computação que um provedor na nuvem pode oferecer. O uso de um aplicativo de software específico (por exemplo, Google Docs) é apenas uma dessas ofertas. Outra seria semelhante a uma plataforma de desenvolvimento de software (pense no Google App Engine, Microsoft Azure e force.com da Salesforce). Depois, é claro, há os serviços de infraestrutura bruta – servidores provisionados “on-tap” para uso do usuário final (por exemplo, Amazon Ec2).
Provavelmente somos todos usuários de serviços em nuvem, se pensarmos bem. Uma rápida olhada dentro do meu cofre de senhas seguras revela quase 300 combinações diferentes de ID de usuário e senha para serviços na rede, incluindo:
- Blogueiro
- documentos Google
- Gmail
- Screenr
- ChartGo
O modelo empresarial
Embora seja fácil ver como o uso pessoal de aplicativos em nuvem cresceu nos últimos anos, pode ser mais uma surpresa saber como a empresa está adotando o uso da nuvem.
De acordo com a EDL Consulting, 38% das empresas usarão um serviço de e-mail baseado em SaaS até dezembro de 2010. A Incisive Media informa que 12% das empresas de serviços financeiros já adotaram SaaS, principalmente nas áreas de CRM, ERP e RH. E nossos amigos do Gartner calculam que um terço de TODOS os novos softwares serão entregues através do modelo SaaS até 2010.
Meu palpite? O SaaS já está acontecendo na empresa. Está aqui e está aqui para ficar.
Com qualquer mudança no modelo operacional da empresa, haverá implicações – algumas reais e, igualmente críticas, algumas percebidas.
Na categoria Riscos Percebidos, colocaria riscos como perda de controle; armazenamento de dados críticos de negócios na nuvem; confiabilidade do provedor de nuvem; longevidade do provedor de nuvem. Claro, estes são apenas riscos percebidos. Quem pode dizer que armazenar dados críticos de negócios na nuvem é menos arriscado do que armazenar no próprio data center da empresa? Pode haver diferentes vetores de ataque que precisam ser mitigados, mas isso não significa que os dados sejam menos seguros, não é? E quem disse que a empresa tem que perder o controle!
Os riscos reais, no entanto, incluem coisas como a proliferação de identidades de funcionários em vários provedores; conformidade com as políticas da empresa; os novos vetores de ataque (já descritos); gerenciamento de privacidade; o impacto legislativo dos locais de armazenamento de dados; e, claro, gerenciamento de usuários!
Padrões de nuvem
Como acontece com qualquer nova metodologia de entrega de TI, uma série de “padrões” parece aparecer. Isso é ótimo desde que haja ampla adoção dos padrões e os grandes fornecedores possam estabelecer um padrão específico. Obrigado meu Deus por:
- O Manifesto da Nuvem Aberta (http://www.opencloudmanifesto.org/)
- A Aliança de Segurança em Nuvem (http://www.cloudsecurityalliance.org/)
Esses caras, pelo menos, estão tentando resolver a questão dos padrões e estou particularmente satisfeito em ver o Domínio 13 da CSA em Gerenciamento de Identidade e Acesso insistindo no uso de SAML, WS-Federation e Liberty ID-FF.
Controle de acesso
E nesse ponto, os vários provedores de nuvem devem ser parabenizados pela adoção da federação de segurança. A Security Assertion Markup Language (SAML) existe há mais de 6 anos e é uma excelente maneira de fornecer uma solução Single Sign On em todo o firewall corporativo. O OpenID, de acordo com Kim Cameron, agora é suportado por 50.000 sites e 500 milhões de pessoas têm um OpenID (mesmo que a maioria não perceba!)
O problema, historicamente, tem sido o problema da propriedade da identidade. Todos os principais provedores querem ser o Provedor de Identidade na “federação” e as Partes Confiáveis eram poucas e distantes entre si. Felizmente, houve uma mudança acentuada nessa postura nos últimos 12 meses (como os números de Kim Cameron apoiam).
Depois, há os “corretores”. Essas empresas projetadas para tornar o processo de “federação” muito menos doloroso. A ideia é que uma autenticação única para o corretor permita um acesso mais amplo à comunidade SaaS.
O Simplified e o Ping Identity parecem ser os líderes de pensamento neste espaço e sua sinopse de marketing é abrangente e impressionante. Eles certamente marcam as caixas marcadas como “Velocidade para o mercado” e “Usabilidade”, mas, novamente, esses riscos percebidos podem ser problemáticos para a empresa cautelosa. A questão “Keys To The Kingdom” levanta sua cabeça feia mais uma vez!
Gerenciamento de identidade
O SPML está para o gerenciamento de identidades como o SAML está para o gerenciamento de acesso. Certo? Bem, quase. A Service Provisioning Markup Language (SPML) foi ratificada pela primeira vez em outubro de 2003 com a v2.0 ratificada em abril de 2006. Meu palpite? Precisamos de mais uma rodada de ratificações! Vamos examinar as evidências. Quem está usando atualmente? Uma pesquisa no Google retorna muito pouco. O Google Apps usa APIs proprietárias. O Salesforce usa APIs proprietárias. Zoho usa APIs proprietárias. Qual é o sentido de um padrão se ninguém o usa?
Auditoria de conformidade
Aparentemente, quarenta vezes mais informações serão geradas em 2009 do que em 2008 E o “universo digital” será dez vezes maior em 2011 do que em 2006! São números impressionantes, não são? E a maior parte desses dados será bastante desestruturada – como este blog ou meus tweets!
A necessidade de auditar as informações que colocamos no universo digital é maior do que nunca, mas não há uma abordagem baseada em padrões para Compliance e Auditoria na Nuvem!
Os Provedores de Serviços são os atuais guardiões do processo de Conformidade e Auditoria e provavelmente continuarão a fazê-lo por enquanto. Na verdade, os Provedores de Serviços são muito bons nisso, pois já precisam cumprir muitos regulamentos diferentes em muitas jurisdições legislativas diferentes. Normalmente, no entanto, eles apresentam painéis de conformidade e auditoria adaptados apenas para mercados verticais.
É compreensível, eu acho, que para um serviço multi-tenancy haverá complicações separando dados relevantes para a verificação de conformidade corporativa.
Movendo-se para a nuvem
Existem provedores por aí que afirmam ser capazes de fornecer um Gerenciamento de Identidade como Serviço (IDaaS) que parece ótimo, não é? Eliminar toda a dor de entregar uma solução de IdM corporativa robusta? Na prática, no entanto, funciona bem para empresas que operam exclusivamente na nuvem. Essas soluções já entendem os requisitos de provisionamento das grandes operadoras de SaaS. O que eles não podem fazer tão bem, porém, é o provisionamento de volta em nossos sistemas corporativos! Não é suficiente supor que uma empresa executa tudo de sua instância do Active Directory, afinal. Além disso, temos que lembrar que usar um IDaaS é como dar as “Chaves para o Reino”. Lembre-se de nossos riscos percebidos?
Uma alternativa é mover a solução corporativa de IdM para a nuvem. Instalações existentes do IBM Tivoli Identity Manager ou Sun Identity Manager ou {insira seu fornecedor favorito aqui} O Identity Manager pode ser movido para a nuvem usando o modelo IaaS – Amazon EC2. O investimento em soluções existentes seria mantido com o benefício adicional de escalabilidade, flexibilidade e redução de custos. Este é um modelo que pode ser adotado facilmente? Certamente, desde que a empresa em questão consiga entender a noção de em movimento as “Chaves para o Reino” além de seu firewall.
Conclusão
A próxima geração de usuários já está ciente da web – SaaS está aqui para ficar – e o SSO está finalmente ao nosso alcance, com apenas um punhado de grandes players se arrastando quando se trata de implementar padrões como SAML v2.0. Também foi intrigante jogar com o Chrome OS na semana passada (embora uma versão de protótipo inicial). Integrar o login da área de trabalho com a web apenas torna as coisas ainda mais complicadas (no estilo do Google, é claro).
O provisionamento (seja just-in-time ou pré-preenchido) ainda é o ponto problemático. Ninguém parece estar usando SPML e APIs proprietárias são abundantes. Acertar isso será fundamental para a adoção em massa de soluções SaaS.
Embora o provisionamento seja o ponto problemático atual, no entanto, Governança, Risco e Conformidade serão o próximo item importante da agenda. A falta de padrões e a proliferação de soluções pontuais certamente começarão a doer. Aqui, porém, estou sem ideias… por enquanto. Parece-me que há uma oportunidade para um líder de pensamento neste espaço!
.
