ConteúdoBenefícios na adoção de Computação em Nuvem Show Economia com a computação em nuvem Benefícios específicos para Governo Governo Brasileiro Governo Americano Governo Inglês Adoção de Nuvem sob o ponto de vista da Alta Administração Riscos envolvendo Serviços em Nuvem Computacional Em uma pesquisa com CIO’s (Chief Information Officer) de organizações em todo o mundo, realizada pela RightScale (Scale 2016) e em que 95% dos respondentes são usuários de nuvem, verificou-se que 71% preferem a utilização de nuvem híbrida, 6% nuvem privada e 18% nuvem pública. Utilizar ambos os recursos de Nuvem é uma das formas de não se tornar totalmente refém da tecnologia, seja ela de caráter pública ou privada, que exige também capacidade técnica, desafio maior com a segurança e infraestrutura disponível. No Brasil, Medeiros & Souza Neto no artigo “Uso da Computação em Nuvem no Setor Público: um Estudo de Caso com Gestores de TI do Estado do Rio Grande do Norte e do Governo Federal” realizaram uma pesquisa no estado do Rio Grande do Norte (RN) e no governo federal com o intuito de verificar quais fatores influenciam na utilização da CN na esfera pública, ressaltando então dois fatores que são a necessidade de regulamentação desse serviço com uma governança superior, normas e procedimentos, juntamente com a capacitação dos profissionais que atuam com Cloud. A ausência de capacitação técnica para utilização da computação em nuvem por parte da área de TI foi um dos aspectos identificados como limitações para o seu uso no ambiente governamental na pesquisa de Medeiros (Link Medeiros, 2014). É interessante notar que a falta de capacitação não é um item de destaque nos estudos sobre as limitações no uso da computação em nuvem, mas se apresenta como aspecto considerado relevante na utilização pelo governo. A variável que trata do nível de conhecimento dos servidores indicou baixo conhecimento sobre o tema, fato este que se repete em relação a estudos anteriores sobre o tema no ambiente governamental. Medeiros no artigo “Computação em nuvem no governo: caminhos para a formação de uma agenda governamental” (Link Medeiros, 2014) identificou o mesmo problema 50% dos respondentes concordam que há resistências quanto à adoção da computação em nuvem no governo. A saída para minimizar esta resistência também identificada em Medeiros é o investimento em capacitação dos profissionais de TI. Benefícios na adoção de Computação em NuvemPara a IDC, como consta no Acórdão 1739/2015 – Plenário (Acórdão TCU 1739/2015), os principais benefícios no uso de serviços em nuvem computacional são:
Para o Cloud Standards Customer Council – CSCC, no documento “Practical Guide to Cloud Computing Version 3.0 – CSCC, 2017”, em essência, os seis principais benefícios da computação em nuvem podem ser resumidos da seguinte forma:
A ISACA apontas vantagens desse serviço na publicação:
Segundo o TCU, no Acórdão 1739/2015, a ENISA (European Network and Information Security Agency), analisou os ganhos de escala que também refletem na área de segurança: Segurança e os benefícios de escala: de forma simples, todos os tipos de medidas de segurança são mais baratos quando implementados em larga escala. Portanto, um mesmo valor de investimento em segurança permite adquirir uma melhor proteção. Isso inclui todos os tipos de medidas defensivas, tais como filtragem, gerenciamento de atualizações, o hardening das instâncias de máquinas virtuais e hypervisors etc. Outros benefícios de escala incluem: multiplicidade de localizações, redes de borda (conteúdo entregue ou processado mais perto de seu destino), menor tempo de resposta em incidentes e gerenciamento de ameaças. (tradução livre) Como a segurança é um dos elementos diferenciadores de mercado, os principais fornecedores de nuvem competem com propostas abrangentes e robustas de segurança, possivelmente superando o padrão de segurança em data centers próprios dos clientes, que possuem menos recursos disponíveis de segurança a serem amortizados sobre uma menor base de usuários. Dentre essas vantagens de segurança na nuvem, destacam-se:
Economia com a computação em nuvemA ISACA em “IT Governance and the Cloud: Principles and Practice for Governing Adoption of Cloud Computing – ISACA, 2011”, esclarece que para entender os perfis de risco e recompensa dos serviços em nuvem, é importante entender a economia por trás deles. Essencialmente, os provedores de nuvem são capazes de fornecer serviços de maneira menos dispendiosa do que nos modelos tradicionais de serviços de TI, devido a dois fatores principais:
A Figura 1 mostra como essas reduções de custos podem auxiliar uma empresa que passa periodicamente por altos e baixos e tem alta imprevisibilidade em sua demanda por serviços de TI. O diferencial de custo potencial entre os dois modelos é ainda maior quando mais camadas da pilha de TI são transferidas para a nuvem. Por exemplo, para Software como Serviço (SaaS), onde as camadas de software, plataforma e infraestrutura são agrupadas em um único serviço de nuvem, a economia é potencialmente maior do que com Infraestrutura como Serviço (IaaS), onde somente camadas de hardware (por exemplo, armazenamento, CPU, rede) são fornecidos. Isso ocorre porque a eficiência aumenta à medida que mais e mais componentes são padronizados e agrupados. Assim como na analogia do transporte, nenhuma abordagem (TI tradicional ou computação em nuvem) será sempre superior à outra. A computação em nuvem introduziu opções adicionais para a entrega de serviços de TI. Para muitas empresas, uma abordagem ideal que aproveite o melhor dos dois modelos permitirá uma compensação melhorada entre risco e recompensa. A figura 2 mostra como isso pode ocorrer. Além disso, com o passar do tempo, os provedores de nuvem pretendem criar economias de custo ainda maiores à medida que capturam maior participação de mercado e capitalizam as economias de escala. A ACM, em “A View of Cloud Computing – ACM, 2010”, descreve três casos de uso particularmente interessantes que favorecem a computação em nuvem em relação à hospedagem local. Um primeiro caso é quando a demanda por um serviço varia com o tempo. Por exemplo, dotar recursos de um data center para o pico de carga que deve suportar alguns dias por mês leva à subutilização em outros momentos. Em vez disso, a computação em nuvem permite que uma organização pague por hora pelos recursos de infraestrutura requeridos, potencialmente levando a relevante economia de custo, mesmo se a taxa por hora para alugar uma máquina de um provedor de nuvem for maior do que a taxa de possuir um. Um segundo caso é quando a demanda é desconhecida antecipadamente. Por exemplo, uma startup da Web precisará suportar um aumento na demanda quando ela se tornar popular, seguida por uma redução quando alguns visitantes desistirem. Por fim, as organizações que realizam “batch analytics” podem usar a “associação de custos” da computação em nuvem para concluir as computações com mais rapidez: usar 1.000 máquinas EC2 por uma hora custa o mesmo que usar uma máquina por 1.000 horas. Embora o apelo econômico da computação em nuvem seja frequentemente descrito como “conversão de despesas de capital em despesas operacionais” (CapEx para OpEx), acreditamos que a frase “pay as you go” capte mais diretamente o benefício econômico para o comprador. As horas adquiridas via computação em nuvem podem ser distribuídas de maneira não uniforme no tempo (por exemplo, usar 100 horas de servidor hoje e nenhuma hora de servidor amanhã, e ainda pagar apenas por 100); na comunidade de rede, essa forma de vender largura de banda já é conhecida como precificação baseada no uso. Além disso, a ausência de despesas de capital antecipadas permite que o capital seja redirecionado para o investimento do core business. Portanto, mesmo se o preço pay-as-you-go da Amazon fosse mais caro do que comprar e depreciar um servidor comparável no mesmo período, argumentamos que o custo é superado pelos benefícios econômicos de elasticidade e transferência de risco extremamente importantes da computação em nuvem, especialmente os riscos de superprovisionamento de infraestrutura (subutilização) e subprovisionamento de infraestrutura (saturação). Nós começamos com elasticidade. A principal observação é que a capacidade da computação em nuvem de adicionar ou remover recursos com precisão (um servidor por vez com o EC2) e com um lead time de minutos em vez de semanas permite que os recursos correspondentes sejam carregados com mais atenção. As estimativas do mundo real da utilização média de servidores em data centers variam de 5% a 20%. Benefícios específicos para GovernoGoverno BrasileiroO TCU, por meio do Acórdão 1739/2015-Plenário, identifica outros benefícios, mais específicas para atividades relacionadas a governo:
Segundo declarações do Prof. Breno Costa, os fatores que motivaram a adoção de Nuvem pelo TCU em 2017, foram:
Também declara o Prof. Breno que os desafios enfrentados na implantação e uso da Nuvem no TCU, foram:
Governo AmericanoNo âmbito do Governo Americano, Vivek Kundra, U.S. Chief Information Officer, no documento “Federal Cloud Computing Strategy, Vivek Kundra, 2011”, enaltece que a adoção de serviços em nuvem computacional é uma mudança fundamental na TI: A computação em nuvem permite que os sistemas de TI sejam escalonáveis e elásticos. Os usuários finais não têm necessidade de determinar seus requisitos de recursos de computação de forma precisa antecipadamente. Em vez disso, eles fornecem recursos de computação conforme necessário, sob demanda. Usando serviços de computação em nuvem, uma agência federal não precisa possuir uma infraestrutura de data center para lançar um recurso que atenda a milhões de usuários. Assevera o CIO do Governo Americano, que a computação em nuvem pode melhorar significativamente a TI do setor público, considerando que várias agências governamentais americanas estão adotando tecnologias de nuvem e estão obtendo benefícios consideráveis. Cita como exemplo o NASA Nebula que, por meio de uma nuvem comunitária, dá aos pesquisadores acesso a serviços de TI de forma relativamente barata em minutos. Antes de adotar essa abordagem, levaria meses para que os pesquisadores adquirissem e configurassem recursos de TI equivalentes, além de uma supervisão de gerenciamento significativa para monitorar e atualizar sistemas. Acrescente, ainda, que a aplicação de tecnologias de nuvem em todo o governo federal pode gerar enormes benefícios em eficiência, agilidade e inovação. Esses benefícios são descritos a seguir (“Federal Cloud Computing Strategy”, 2011, Vivek Kundra). Melhorias na eficiência vão transferir recursos para atividades de maior valor No ano fiscal de 2010, aproximadamente trinta centavos de cada dólar investido em TI federal foram gastos em infraestrutura de data center. Infelizmente, apenas uma fração desse investimento oferece impacto real e mensurável para os cidadãos americanos. Ao usar o modelo de computação em nuvem para serviços de TI, poderemos reduzir os gastos com infraestrutura de data center em aproximadamente 30% (o que contribui para os gastos estimados em US$ 20 bilhões em TI que poderiam ser migrados para soluções de computação em nuvem). Melhorias de eficiência semelhantes serão observadas em aplicativos de software e suporte ao usuário final. Essas economias podem ser usadas para aumentar a capacidade ou ser reinvestidas em missões de agências, incluindo serviços voltados para os cidadãos e inventando e implantando novas inovações. A computação em nuvem pode permitir que as organizações de TI simplifiquem, já que não precisam mais manter ambientes tecnológicos complexos e heterogêneos. O foco mudará da própria tecnologia para as principais competências e missão da agência. Ativos serão melhor utilizados Nos setores público e privado, os investimentos em infraestrutura de data center não são utilizados em todo o seu potencial. Por exemplo, de acordo com uma pesquisa recente, muitas agências não estão utilizando totalmente sua capacidade de armazenamento disponível e estão utilizando menos de 30% de sua capacidade de servidor disponível. A baixa utilização não é necessariamente uma consequência da má gestão, mas, em vez disso, um resultado da necessidade de assegurar que haja capacidade de reserva para atender à demanda periódica ou inesperada de funções-chave. Com a computação em nuvem, os recursos de infraestrutura de TI são agrupados e compartilhados em um grande número de aplicativos e organizações. A computação em nuvem pode complementar os esforços de consolidação do data center ao transferir cargas de trabalho e aplicativos para infraestruturas pertencentes e operadas por terceiros. A capacidade pode ser provisionada para atender à demanda de pico em um grupo de aplicativos, em vez de em um único aplicativo. Quando a demanda é agregada dessa maneira e gerenciada adequadamente, os altos e baixos da demanda se atenuam, proporcionando um perfil de demanda mais consistente e gerenciável. À medida que a utilização é aprimorada, mais valor é derivado dos ativos existentes, reduzindo a necessidade de aumentar continuamente a capacidade. Menos máquinas significam menos gastos com hardware, software e manutenção de operações, imóveis e consumo de energia. A agregação de demanda reduzirá a duplicação A mudança para a computação em nuvem pode ajudar a mitigar os problemas fragmentados de silo de dados, aplicativos e infraestrutura
associados aos modelos organizacionais e de financiamento federados, concentrando-se nos serviços de TI como um utilitário. Os serviços de TI se tornam candidatos para aquisição e gerenciamento mais econômicos, semelhante ao modelo usado atualmente para edifícios e serviços públicos. A consolidação do data center pode ser acelerada Em fevereiro de 2010, foi lançada a “Iniciativa de Consolidação do Data Center Federal” (FDCCI) para consolidar o ambiente de data center fragmentado do Governo Federal. Por meio da FDCCI, as agências formularam planos detalhados de consolidação e roteiros técnicos para eliminar um mínimo de 800 data centers até 2015. A computação em nuvem pode acelerar os esforços de consolidação do data center reduzindo o número de aplicativos hospedados em data centers pertencentes ao governo. Para aqueles que continuam sendo de propriedade e operados diretamente por agências federais (por exemplo, implementando nuvens IaaS privadas), os ambientes serão mais interoperáveis e portáteis, o que diminuirá os custos de consolidação e integração do data center porque reduz a heterogeneidade e complexidade desnecessárias no ambiente da TI. A TI será mais simples e mais produtiva A computação em nuvem também fornece um benefício de produtividade indireta para todos os serviços dependentes de TI. Por exemplo, será necessário menos esforço para se levantar e desenvolver ambientes de teste de software, permitindo que as equipes de desenvolvimento de aplicativos se integrem e testem frequentemente em ambientes representativos de produção por uma fração do custo de fornecer essa infraestrutura separadamente. Melhorias na agilidade tornarão os serviços mais responsivos O impacto da computação em nuvem será muito mais do que econômico. A computação em nuvem também permitirá que as agências melhorem os serviços e respondam às mudanças nas necessidades e regulamentações com muito mais rapidez. Com a infraestrutura tradicional, a confiabilidade do serviço de TI depende fortemente da capacidade de uma organização de prever a demanda de serviço, o que nem sempre é possível. Por exemplo, o sistema de TI usado no Sistema de Franquia de Carro e Desconto (CARS, mais conhecido como “Cash-for-Clunkers”) teve inúmeras falhas porque a carga era consideravelmente maior do que o sistema poderia suportar. Patrocinador do “Cash-for-Clunkers”, a National Highway Traffic Safety Administration (NHTSA) antecipou uma demanda de 250.000 transações em um período de quatro meses, mas em apenas 90 dias o sistema CARS processou aproximadamente 690.000 transações. Três dias após as primeiras inscrições de revendedores, o sistema ficou sobrecarregado, causando inúmeras interrupções e indisponibilidades nos serviços. A computação em nuvem permitirá que as agências escalem rapidamente para atender à demanda imprevisível, minimizando assim as interrupções similares. Os serviços serão mais escalonáveis Com um pool maior de recursos, os serviços em nuvem individuais provavelmente não encontrarão restrições de capacidade. Como resultado, serviços governamentais como o “Cash-for-Clunkers” poderiam aumentar mais rapidamente a capacidade e evitar interrupções no serviço. A partir dos acordos e a governança de nível de serviço apropriados para assegurar que a capacidade geral seja atendida, a computação em nuvem tornará os investimentos de TI do governo menos sensíveis à incerteza nas previsões de demanda para programas individuais, que frequentemente emergem rapidamente em resposta às necessidades dos programas nacionais que não podem ser previstos nas fases iniciais do ciclo do orçamento federal. Melhorias na inovação aumentarão rapidamente a eficácia do serviço A computação em nuvem não se limita a tornar nossos serviços de TI mais eficientes e ágeis, mas também servirá como um facilitador para a inovação. A computação em nuvem permite que o governo federal use seus investimentos em TI de maneira mais inovadora e adote mais facilmente as inovações do setor privado. A computação em nuvem também ajudará nossos serviços de TI a aproveitar as tecnologias de ponta, incluindo dispositivos como tablets e smartphones. A inovação em TI transformou a modo como o setor privado opera e revolucionou a eficiência, a conveniência e a eficácia com que atende seus clientes. Em nossas vidas cotidianas, podemos rastrear o status de uma remessa; pedir uma pizza ou um par de sapatos; fazer reservas de viagens, hotéis e restaurantes; e colaborar com amigos e colegas – tudo on-line, a qualquer hora e em qualquer lugar. No entanto, quando se trata de lidar com o governo federal, muitas vezes precisamos ficar na fila, segurar o telefone ou enviar um formulário em papel. Por muitas razões, como políticas e outras restrições, o Governo Federal não inovou tão rapidamente quanto o setor privado e, consequentemente, perdeu muitos dos benefícios oferecidos por meio da TI. Incentivar a cultura empreendedora, reduzindo o risco Os projetos baseados em nuvem podem ser concebidos, desenvolvidos e testados com investimentos iniciais menores do que os investimentos tradicionais em TI. Em vez de criar laboriosamente a capacidade do data center para suportar um novo ambiente de desenvolvimento, a capacidade pode ser provisionada em pequenos incrementos por meio de tecnologias de computação em nuvem. Depois que o pequeno investimento inicial é feito, o projeto pode ser avaliado para obtenção de investimento adicional ou cancelamento. Projetos que sejam promissores podem obter sugestões valiosas por meio do processo de avaliação. Projetos menos promissores podem ser cancelados com perdas mínimas. Essa abordagem de “início pequeno” reduz coletivamente o risco associado ao desenvolvimento de novos aplicativos. A redução do tamanho mínimo de investimento necessário também proporcionará um ambiente de desenvolvimento mais experimental no qual a inovação pode florescer. Em 2012, as agências do governo americano também compartilharam sete desafios comuns que enfrentaram ao transferir serviços para a computação em nuvem. Os sete desafios incluíram:
Governo InglêsA programa inglês para adoção de Serviços em Nuvem é chamado de G-Cloud e envolve o uso de recursos compartilhados, infraestrutura, software e informações que serão fornecidos a uma variedade de dispositivos de usuários finais, por exemplo, laptops, telefones inteligentes etc, como um utilitário – em um pagamento por uso, através de uma conexão de rede – em muitos casos, a internet; isso será apoiado por novos modelos de entrega e fornecimento. Ele será dinamicamente escalável, ágil e fácil de entrar e sair do serviço. O G-Cloud não é uma entidade única; é um programa contínuo e interativo de trabalho que permitirá o uso de uma variedade de serviços em nuvem e mudanças na forma como adquirimos e operamos as TICs em todo o setor público. Ao adotar a computação em nuvem, o governo poderá explorar e compartilhar mais facilmente produtos e serviços de TIC como commodities. Isso permite a migração de aplicativos e soluções de TIC customizadas de alto custo para serviços intercambiáveis e de baixo custo, onde a qualidade e o custo são direcionados pelo mercado. Significa mudar a cultura do governo para adotar e adaptar-se às soluções oferecidas pelo mercado e não criar abordagens desnecessárias sob medida. A visão é que o governo adote vigorosamente a política Cloud First para a nuvem pública (considerar o provimento em nuvem pública como primeira opção), embora isso não seja possível em todos os casos. A simples compra de tecnologia em nuvem, por si só, não economiza mais dinheiro. O maior valor será ganho pelo Governo, mudando a forma como compramos e operamos as nossas TIC. A computação em nuvem é uma maneira de acessar e usar os serviços de TIC de forma flexível e ágil, comprando apenas os serviços necessários quando eles são necessários – devemos fazê-lo uma vez, fazê-lo bem e depois reutilizá-lo, reutilizá-lo, reutilizá-lo. Para isso, enfrentamos desafios em aquisições, transição e arranjos operacionais. Ao adotar essa visão, o governo deve garantir que o serviço de nuvem ainda forneça um nível aceitável de mitigação de riscos de segurança e permita que as organizações governamentais demonstrem que estão cumprindo suas obrigações legais e estatutárias no que se refere à informação. O uso das tecnologias de computação em nuvem pelo governo para seus requisitos de TIC permite que a prestação desses serviços passe de um desenvolvimento dedicado dispendioso muitas vezes duplicado para a melhor adequação que o mercado oferece, equilibrando funcionalidade, níveis de serviço e custo. Isso funciona de forma mais eficaz quando existe um mercado maduro para um determinado serviço, de modo que o negócio possa se adaptar para utilizar a solução de commodity de maneira rápida e fácil. A base da abordagem do governo será a otimização da nossa infraestrutura de data center, que tradicionalmente tem sido extremamente ineficiente. Maximizar a utilização permitirá racionalizar e consolidar a propriedade do data center e levar a custos significativos, acomodação e economia de energia. Para o governo, os benefícios serão:
Também o desenvolvimento do mercado deve ser benéfico para os pequenos, médios e emergentes fornecedores, bem como para o governo, se quiser prosperar e melhorar o alcance e a qualidade dos serviços disponíveis. A mudança de soluções personalizadas para commodities para fornecedores significa:
Apesar dos benefícios atrativos, uma série de barreiras está inibindo a adoção dos serviços de computação em nuvem, que na maioria das organizações do setor público permanecem com menos de 5% da área ocupada pelas TIC. Embora os riscos inerentes possam ser gerenciados, no curto prazo, investimentos significativos em habilidades, processos, ferramentas e tecnologia são pré-requisitos para fazê-lo com eficiência. Para muitas organizações que usam serviços de TIC, o nível de investimento necessário será muitas vezes proibitivo.
Adoção de Nuvem sob o ponto de vista da Alta AdministraçãoA ISACA no artigo “Governança da nuvem: Perguntas que os conselhos diretores precisam fazer – ISACA, 2013”, relaciona algumas perguntas que a Alta Administração das organizações deveriam fazer antes de autorizar a adoção de Serviços em Nuvem Computacional. No mesmo artigo a ISACA apresenta as respostas a essas perguntas colocando os benefícios e riscos da adoção desses serviços. As equipes de gerenciamento possuem um plano para a computação em nuvem? Eles pesaram os custos de valor e oportunidade? O risco da adoção da nuvem pode ser inconsequente quando comparado com a oportunidade perdida de transformar a empresa com a utilização efetiva e estratégica da computação em nuvem. A perda pode ser particularmente grande quando empresas competitivas assumem várias etapas para aquelas mesmas oportunidades. A partir de uma perspectiva estratégica, a computação em nuvem pode ser um veículo para:
Como os atuais planos de computação na nuvem apoiam a missão da empresa? Os serviços na nuvem devem apoiar os esforços em alcançar os objetivos de negócios, que são derivados das necessidades das partes interessadas (conforme analisadas pela equipe de liderança). As iniciativas na nuvem deveriam ter uma ligação clara e rastreável com a estratégia da empresa de forma que o valor esperado dos serviços na nuvem sejam definidos, aceitos e mensurados de modo claro. Esta ligação também auxilia a definir a prioridade atribuída às iniciativas na nuvem e apoia o desenvolvimento de métricas para medir os resultados em comparação com as expectativas. O alinhamento entre os objetivos da nuvem e os objetivos da empresa é crucial para os efetivos gerenciamento de riscos e contenção de gastos. Os benefícios potenciais dos serviços na nuvem podem ser atraentes, mas com a recompensa surgem também os riscos. A empresa deve decidir se um risco em potencial está dentro dos limites aceitáveis. As equipes executivas avaliaram sistematicamente a prontidão organizacional? Pontos de pressão são detectados quando:
Avaliar a prontidão da empresa na antecipação da adoção dos serviços em nuvem evita a necessidade para mudanças de cultura, habilidades ou processos depois do ocorrido para excluir pontos de pressão não previstos. Uma avaliação de prontidão sistemática pode auxiliar o gerenciamento na identificação de custos e riscos adicionais que deveriam ser levados em consideração no processo de decisões. Esta avaliação de prontidão deve incluir o seguinte:
As equipes de gerenciamento consideraram quais são os investimentos atuais que podem ser perdidos em seus planejamentos de computação na nuvem? A computação em nuvem pode não ser uma adaptação imediata e perfeita com o portfólio de tecnologia da empresa. A adoção de um serviço em nuvem pode, por exemplo, tornar desnecessários investimentos de tecnologia já implementados que ainda não alcançaram sua data de finalização planejada. A decisão sobre quando e como realizar esta perda deve ser considerada cuidadosamente. Áreas a serem consideradas incluem:
As equipes de gerenciamento possuem estratégias para medir e rastrear o valor de retorno da computação em nuvem em comparação com os riscos? Antes de decidir adotar a computação em nuvem, o conselho deve atribuir às equipes de gerenciamento, a tarefa de assegurar que os mecanismos de emissão de relatórios apropriados estejam estabelecidos para medir valor e risco em comparação com as metas da empresa. Riscos envolvendo Serviços em Nuvem ComputacionalDada a complexidade das transformações advindas da adoção de serviços em nuvem, identificam-se vários riscos associados. Várias entidades debruçaram-se nesses riscos e suas abordagens de mitigação. Outras vezes relacionam as oportunidades de melhoria à adoção de novos paradigmas baseados em nuvem computacional. A ISACA, por meio do artigo “Computação em nuvem: benefícios para o negócio com perspectivas de segurança, governança e qualidade”, de 2009, cita alguns exemplos dos riscos da computação em nuvem para empresas. Embora publicado há 9 anos, alguns dos itens continuam válidos no atual cenário nacional:
Como forma de gerenciamento desses riscos a ISACA recomenda que ao firmar acordo com um provedor de serviços de nuvem, a empresa deve fazer um inventário de seus ativos de informação e garantir que os dados sejam devidamente classificados e rotulados. Isso ajudará a determinar o que deve ser especificado na elaboração de um acordo de nível de serviço (SLA, Service Level Agreement), de qualquer necessidade de criptografia de dados a serem transmitidos ou armazenados, além de controles adicionais de informações confidenciais ou de alto valor para a organização. Assim como o vínculo que define o relacionamento entre a empresa e o provedor do sistema de nuvem, o SLA é uma das ferramentas mais eficazes que a empresa pode usar para garantir a proteção adequada das informações confiadas ao sistema de nuvem. O SLA será a ferramenta onde os clientes poderão especificar se os frameworks de controle serão utilizados e descrever a expectativa de uma auditoria externa de terceiros. Expectativas claras quanto ao manuseio, utilização, armazenamento e disponibilidade de informações devem ser descritas no SLA. Além disso, os requisitos para a continuidade dos negócios e a recuperação de desastres (discutido anteriormente) deverão ser comunicados no acordo. A proteção das informações evoluirá como o resultado de um acordo SLA abrangente, apoiado em um processo de garantia igualmente forte, seguro e abrangente. A estruturação de um SLA completo e detalhado que inclui direitos específicos de auditoria ajudará a empresa no gerenciamento de suas informações, uma vez que elas saem da organização e são transportadas, armazenadas ou processadas no sistema de nuvem. A ACM – Association for Computing Machinery, no artigo “A View of Cloud Computing – ACM, 2010”, publicou 10 (dez) obstáculos e oportunidades envolvendo nuvem computacional. Dos quais transcrevemos aqueles que ainda são preocupações atuais: Continuidade de Negócios e Disponibilidade de Serviço As organizações se preocupam se os serviços de computação de utilitários terão disponibilidade adequada, e isso faz com que alguns
desconfiem da computação em nuvem. Ironicamente, os produtos SaaS existentes estabeleceram um alto padrão a esse respeito. A Pesquisa do Google tem a reputação de ser altamente disponível, a ponto de até mesmo uma pequena interrupção ser detectada pelas principais fontes de notícias. Embora eles não o tenham feito, os fornecedores de nuvem podem oferecer técnicas especializadas de hardware e software para oferecer maior confiabilidade, presumivelmente a um preço alto. Essa confiabilidade poderia então ser vendida aos usuários como um acordo de nível de serviço. A comunidade de computação de alta disponibilidade há muito tempo segue o mantra “nenhum ponto único de falha”, mas o gerenciamento de um serviço de computação em nuvem por uma única empresa é, de fato, um ponto único de falha. Mesmo que a empresa tenha vários data centers em diferentes regiões geográficas usando diferentes provedores de rede, ela pode ter sistemas comuns de infraestrutura e contabilidade de software, ou a empresa pode até sair do mercado. Os grandes clientes relutam em migrar para a computação em nuvem sem uma estratégia de continuidade de negócios para tais situações. Acreditamos que a melhor chance para pilhas independentes de software é que elas sejam fornecidas por diferentes empresas, pois tem sido difícil para uma empresa justificar a criação e manutenção de duas pilhas em nome da confiabilidade do software. Assim como os grandes provedores de serviços de Internet usam vários provedores de rede para que as falhas de uma única empresa não os tirem do ar, acreditamos que a única solução plausível para uma disponibilidade muito alta sejam múltiplos provedores de computação em nuvem. Confidencialidade de Dados / Auditoria Apesar de a maioria das empresas terceirizar a folha de pagamento e muitas empresas usarem serviços externos de e-mail para manter informações sigilosas, a segurança é uma das objeções mais citadas à computação em nuvem; analistas e empresas céticas perguntam “quem confiaria em seus dados essenciais em algum outro lugar?” Os usuários de nuvem enfrentam ameaças de segurança tanto de fora quanto de dentro da nuvem. Muitas das questões de segurança envolvidas na proteção de nuvens contra ameaças externas são semelhantes àquelas já enfrentadas por grandes data centers. Na nuvem, no entanto, essa responsabilidade é dividida entre potencialmente muitas partes, incluindo o usuário da nuvem, o fornecedor da nuvem e quaisquer fornecedores de terceiros dos quais os usuários dependem para configurações ou software sensíveis à segurança. O usuário da nuvem é responsável pela segurança em nível de aplicativo. O provedor de nuvem é responsável pela segurança física e, provavelmente, pela aplicação de políticas de firewall externas. A segurança para camadas intermediárias da pilha de software é compartilhada entre o usuário e o operador; quanto menor o nível de abstração exposto ao usuário, maior a responsabilidade com ele. Embora a computação em nuvem possa facilitar a segurança externa, ela representa o novo problema de segurança interna. Os provedores de nuvem devem se proteger contra os ataques de roubo ou negação de serviço pelos usuários. Os usuários precisam ser protegidos uns dos outros. O principal mecanismo de segurança nas nuvens de hoje é a virtualização. É uma defesa poderosa e protege contra a maioria das tentativas dos usuários de atacarem uns aos outros ou à infraestrutura de nuvem subjacente. No entanto, nem todos os recursos são virtualizados e nem todos os ambientes de virtualização estão livres de bugs. Sabe-se que o software de virtualização contém bugs que permitem que o código virtualizado “solte-se” até certo ponto. A virtualização de rede incorreta pode permitir o acesso do código do usuário a partes sensíveis da infraestrutura do provedor ou aos recursos de outros usuários. Esses desafios, no entanto, são semelhantes aos envolvidos no gerenciamento de grandes data centers não em nuvem, nos quais diferentes aplicativos precisam ser protegidos uns dos outros. Qualquer grande serviço de Internet precisará garantir que uma única falha de segurança não comprometa todo o resto. Uma última preocupação de segurança é proteger o usuário da nuvem contra o provedor. O provedor, por definição, controlará a “camada inferior” da pilha de software, o que efetivamente contorna a maioria das técnicas de segurança conhecidas. Sem melhorias radicais na tecnologia de segurança, esperamos que os usuários usem contratos e tribunais, em vez de engenharia de segurança inteligente, para proteger contra a má conduta do provedor. A única exceção importante é o risco de perda inadvertida de dados. É difícil imaginar a Amazon espionando o conteúdo da memória da máquina virtual; É fácil imaginar um disco rígido sendo descartado sem ser limpo ou um erro de permissão que torna os dados visíveis de maneira imprópria. Esse também é um problema em contextos não em nuvem. A defesa padrão, a criptografia em nível de usuário, também é eficiente na nuvem. Isso já é comum para dados de alto valor fora da nuvem, e as ferramentas e a especialização estão prontamente disponíveis. Essa abordagem foi usada com sucesso pela TC3, uma empresa de assistência médica com acesso a registros confidenciais de pacientes e solicitações de assistência médica, ao transferir seu aplicativo compatível com HIPAA para a AWS. Da mesma forma, a capacidade de auditoria poderia ser incluída como uma camada adicional além do alcance do sistema operacional convidado virtualizado, fornecendo recursos comprovadamente mais seguros do que aqueles incorporados nos próprios aplicativos e centralizando as responsabilidades de software relacionadas à confidencialidade e auditabilidade em uma única camada lógica. Esse novo recurso reforça a perspectiva da computação em nuvem de mudar nosso foco de hardware específico para os recursos virtualizados que estão sendo fornecidos. Gargalos de Transferência de Dados Os aplicativos continuam se tornando mais intensivos em dados. Se assumirmos que os aplicativos podem ser “separados” ao longo dos limites das nuvens, isso pode complicar o posicionamento e o transporte de dados. De US$ 80 a US$ 150 por terabyte transferido, esses custos podem aumentar rapidamente, tornando os custos de transferência de dados um problema importante. Os usuários de nuvem e os provedores de nuvem precisam pensar nas implicações da localização e do tráfego em todos os níveis do sistema, se quiserem minimizar os custos. Esse tipo de raciocínio pode ser visto no desenvolvimento da Amazon de seu novo serviço de cloudfront. Uma oportunidade para superar o alto custo das transferências pela Internet é enviar os discos. Jim Gray descobriu que a maneira mais barata de enviar muitos dados é distribuir discos ou mesmo computadores inteiros. Embora isso não aborde todos os casos de uso, ele lida com o caso de grandes transferências ponto-a-ponto tolerantes a atraso, como a importação de grandes conjuntos de dados. Por exemplo, a AWS há algum tempo começou a oferecer esse serviço, chamado Import/Export, para transferência de até 16TB, posteriormente extendido por outro serviço – Snowball – adequado para transferências maiores. Imprevisibilidade do desempenho Nossa experiência é
que várias máquinas virtuais (VMs) podem compartilhar CPUs e memória principal, surpreendentemente bem em computação em nuvem, mas o compartilhamento de rede e de E/S de disco é mais problemático. Como resultado, diferentes instâncias do EC2 variam mais em seu desempenho de E/S do que no desempenho da memória principal. Medimos 75 instâncias do EC2 executando o benchmark de memória STREAM. A largura de banda média é de 1.355Mbytes/segundo, com um desvio padrão entre instâncias de apenas
52MBytes/seg, menor que ou cerca de 4% da média. Também medimos a largura de banda média do disco para 75 instâncias do EC2, cada uma gravando arquivos de 1 GB no disco local. A largura de banda média da gravação em disco é de quase 55Mbytes por segundo, com um desvio padrão entre instâncias de pouco mais de 9MBytes/s, ou cerca de 16% da média. Isso demonstra o problema de interferência de E/S entre máquinas virtuais. Uma oportunidade é melhorar arquiteturas e sistemas operacionais para
virtualizar eficientemente interrupções e canais de E/S. Observe que os mainframes e sistemas operacionais da IBM superaram amplamente esses problemas nos anos 80, portanto, temos exemplos bem-sucedidos dos quais aprender. Outro obstáculo à imprevisibilidade diz respeito ao agendamento de máquinas virtuais para algumas classes de programas de processamento em lote, especificamente para computação de alto desempenho. Como a computação de alto desempenho (HPC) é usada para justificar compras governamentais de centros de supercomputadores de US$ 100 milhões com 10.000 a 1.000.000 processadores, há muitas tarefas com paralelismo que podem se beneficiar da computação elástica. Hoje, muitas dessas tarefas são executadas em pequenos grupos, que geralmente são mal utilizados. Pode haver uma economia significativa na execução dessas tarefas em grandes clusters na nuvem. A associatividade de custo significa que não há penalidade de custo por usar 20 vezes mais computação para 1/20 do tempo. As aplicações potenciais que poderiam se beneficiar incluem aquelas com retorno financeiro potencial muito alto – análise financeira, exploração de petróleo, animação de filmes – que valorizariam uma aceleração de 20x mesmo se houvesse um prêmio de custo. O obstáculo para atrair HPC não é o uso de clusters; hoje a maioria da computação paralela é feita em grandes clusters usando a interface de passagem de mensagens MPI. O problema é que muitos aplicativos HPC precisam garantir que todos os encadeamentos de um programa estejam sendo executados simultaneamente, e as máquinas virtuais e os sistemas operacionais atuais não fornecem uma maneira visível para o programador para garantir isso. Assim, a oportunidade de superar esse obstáculo é oferecer algo como “gang scheduling” para a computação em nuvem. A relativamente apertada coordenação de timing esperada no escalonamento tradicional de gang scheduling pode ser um desafio a ser alcançado em um ambiente de computação em nuvem, devido à imprevisibilidade do desempenho que acabamos de descrever. |