Janeiro de 2013

Relatrio da indstria

Protegendo a nuvem para entidades

governamentais
Um resumo dos problemas de segurana na nuvem enfrentados pelas
organizaes governamentais e as tecnologias da Intel para oferecer
segurana para a nuvem do governo.

Por que ler este documento?

Este relatrio uma sntese dos benefcios e dos desafios segurana

das infraestruturas baseadas na nuvem para agncias e organizaes
governamentais, com uma introduo s tecnologias da Intel voltadas
a fortalecer a nuvem destas instituies. Este relatrio:
Analisa como o modelo de computao na nuvem pode reduzir
os custos operativos das agncias governamentais e melhorar a
prestao de servios aos cidados e outros eleitores.
Examina problemas reais de segurana, regulao e satisfao
que diminuram o ritmo em que o governo faz implementaes na
nuvem.
Descreve como a criptografia de dados pode ajudar a proteger
dados pessoais confidenciais quando entram e saem da nuvem.
Explica como a autenticao baseada no hardware pode validar a
identidade e o acesso nuvem de entidades governamentais para
ajudar a garantir que s usurios autorizados tenham acesso.
Examina como os gateways de servio oferecem pontos de
aplicao API no permetro da rede para reduzir o risco de
ataques cometidos dentro dos contedos contra organizaes
governamentais.
Analisa como as plataformas virtualizadas podem ser mais
seguras com uma base de hardware confivel que ajude a
garantir a integridade do sistema e a fincar as bases para oferecer
computao confivel em ambientes dinmicos.

Janeiro de 2013

Relatrio da indstria

Protegendo a nuvem para

entidades governamentais
Um resumo dos problemas de segurana na nuvem enfrentados
pelas organizaes governamentais e as tecnologias da Intel para
oferecer segurana para a nuvem do governo.

Nigel Ballard, Diretor de Marketing Federal, Intel

Amricas
Kevin Fiftal, Diretor Civil Federal,
Intel Amricas

Contedo

3 Protegendo a nuvem para entidades

governamentais
3 Benefcios da computao em nuvem para o
governo

4 Melhor prestao de servios

governamentais
5 Preocupaes a respeito da segurana da
computao em nuvem e se cumpre as
normas governamentais.

6 Os ambientes em nuvem apresentam uma

srie de desafios segurana
8 Proteger a nuvem governamental com foco
integral na segurana
11 Concluso

Protegendo a nuvem para entidades

governamentais
A computao em nuvem apresenta um modelo novo para melhorar a prestao de servios governamentais e aumentar a
agilidade comercial das agncias, permitindo que elas operem com uma maior eficincia e rentabilidade. Em fevereiro de 2011,
o Governo dos Estados Unidos publicou a Estratgia Federal de Computao em Nuvem1, que descrita como uma profunda
mudana econmica e tcnica com um grande potencial para reduzir os custos dos sistemas governamentais da Tecnologia da
Informao (TI) ao mesmo tempo em que melhora a capacidade da TI e estimula a inovao em solues de TI.
Entretanto o governo opera em um mbito regulado onde a computao em nuvem tem preocupaes reais sobre a privacidade,
a segurana, o acesso e o cumprimento das normas vigentes. As agncias governamentais precisam de uma plataforma integral
que possa potencializar a gerao de servios e iniciativas do setor pblico e, ao mesmo tempo, oferecer segurana e satisfao,
como tambm proteo de dados e infraestrutura para cumprir com as normas regulatrias.
Este documento descreve os benefcios que os ambientes de computao em nuvem podem oferecer s entidades governamentais
e analisa as consideraes de segurana e satisfao que devem contemplar as infraestruturas de TI do governo. Analisa como a
segurana na nuvem fortalecida com as tecnologias da Intel que facilitam a segurana dos dados, a autenticao de identidades e
solicitaes de acesso s organizaes governamentais e aumentam a confiana e a satisfao em todo o mbito da nuvem.

Benefcios da computao
em nuvem para o governo
Os governos esto atravessando uma enorme mudana e
reformas. As agncias e organizaes so pressionadas para
oferecerem melhores servios enquanto reduzem os custos.
Como o novo mantra fazer mais com menos, as instituies
governamentais tm que encontrar formas mais eficientes e
efetivas para tratar as necessidades dos cidados.
A computao em nuvem pode ajudar a resolver alguns
destes desafios. A eficincia e a economia de custos
possibilitados pela computao em nuvem ajudam
diretamente a reduzir os gastos dos operativos das
instituies governamentais.

Intel IT Center

O total de potenciais economias graas modernizao

de infraestruturas de computao antigas no governo
surpreendente. O Departamento de Defesa dos Estados
Unidos estima que s com a consolidao do centro de
dados dentro da sua agncia economize cerca de US$ 680
milhes em 2015. US$ 58 milhes seriam provenientes
apenas da economia em eletricidade (a partir de uma melhor
administrao da energia disponvel nos computadores
atuais).2
A agilidade oferecida pelos recursos flexveis e por demanda baseados
na nuvem tambm pode ajudar a se ter uma nova gerao de
servios e iniciativas que possibilitem s agncias a responderem mais
rpido e de forma criativa s necessidades do pblico que atendem.

Relatrio da indstria | Protegendo a nuvem para entidades governamentais

Melhor prestao de servios

governamentais
Os recursos de computao flexveis e altamente escalveis
previstos pelo contexto da computao em nuvem permitem
uma implementao mais rpida e simples do governo
eletrnico e iniciativas de autogesto cidad para melhorar o
fluxo da informao. As solues baseadas na nuvem esto
disponveis para expandir os servios e o acesso aos dados
com mais segurana a:
Outras agncias e departamentos.
Governos estatais e locais.
Organizaes externas onde o governo tem o papel de
superviso, incluindo ateno mdica e finanas.
O pblico em geral.
As infraestruturas na nuvem tambm podem oferecer
s agncias governamentais uma gesto melhorada
da informao, com armazenamento centralizado de
dados e redes de alta velocidade; permitindo uma maior
produtividade, um melhor suporte aos servios do governo
e uma melhora no compartilhamento e colaborao de
dados.
Uma infraestrutura de computao escalvel, eficiente e gil.
Os benefcios de TI bsicos da computao em nuvem (mais
disponibilidade, mais eficincia, autogesto por demanda e
agilidade da TI) oferecem inmeras vantagens s agncias

Intel IT Center

governamentais.
As infraestruturas mais disponveis na nuvem so escalveis
segundo a necessidade e oferecem o poder da computao
para qualquer tipo de carga de trabalho. Os servios so
prestados com acesso seguro da rede de banda larga
a dispositivos autenticados ou atravs de portais de
autogesto. Alm disso, a redundncia e a recuperao de
desastres so partes dos ambientes de nuvem, fornecendo
garantia de recuperao de falhas para informao sensvel.
As infraestruturas baseadas na nuvem tambm so mais
eficientes que os centros de dados tradicionais e cortam
custos atravs da consolidao de servidores, reduo da
administrao da TI, desempenho melhorado da rede e maior
economia de energia.
A agilidade das infraestruturas na nuvem demonstrada
pela capacidade de prestar servios em questo de
horas, diferentemente de prazos de entrega que levam
dias e semanas como as operaes dos centros de dados
tradicionais. Esta agilidade particularmente importante
para as organizaes governamentais que costumam
enfrentar mbitos de reformas em tempos de incertezas
econmicas, permitindo-lhes atender a necessidade de
evoluir rapidamente tanto nos processos de negcio quanto
no projeto do fluxo de trabalho sem incorrer em gastos
significativos de capital e infraestrutura.

Relatrio da indstria | Protegendo a nuvem para entidades governamentais

Preocupaes a respeito da segurana

da computao em nuvem e se cumpre
as normas governamentais
Enquanto a computao na nuvem promete benefcios importantes para a infraestrutura de TI, preocupaes vlidas quanto
a segurana e o cumprimento das normas desaceleram a implementao da nuvem em muitas agncias governamentais,
particularmente aquelas que lidam com dados classificados e protegidos. As infraestruturas na nuvem para agncias
governamentais devem cumprir com as normas e pautas regulatrias, incluindo:

Diretiva Presidencial de Segurana Interna 12 para Padres

de Identidade Comuns para Funcionrios Federais e
Empreiteiras (HSPD 12) um padro obrigatrio de
formas seguras e confiveis de identificao emitidas pelo
governo federal para seus funcionrios e empreiteiras a fim
de melhorar a segurana, reduzir a fraude de identidade
e proteger a privacidade pessoal. O Padro Federal de
Processamento de Informao (FIPS, em ingls) 201,

intitulado Verificao de Identidade Pessoal (PIV, em ingls)

de funcionrios e empreiteiros, foi desenvolvido para
cumprir com os requerimentos da HSPD 12.
Programa Federal de Administrao de Risco e Autorizao
(FedRAMP, sigla em ingls) um administrador de risco para
todo o governo focado na padronizao de autorizaes e
em servios de monitoramento contnuo da segurana para
os sistemas de computao na nuvem destinados ao uso de
vrias agncias governamentais.
Administrao Federal de Credenciais de Identidade e
Acesso (ICAM federal, sigla em ingls) uma iniciativa
federal para unificar as identidades digitais, as credenciais
de autenticao e o controle de acesso em um s foco de
administrao integral.

4 nveis de proteo da identidade

(no confivel a plenamente confivel)

Pessoa, no pessoas

Possibilitar a confiana
e a interoperabilidade
Interno para
a comunidade
federal (IEE)

Com outros
governos
(G2G)

Tipos de credenciais

- Dentro das agncias

- Entre agncias

- Estado
- Local
- Tribal
- Scios aliados

Com organizaes
externas
(G2B)

- Indstria
- Instituies financeiras
- Provedores de ateno
mdica

Com o povo
norteamericano
(G2B)

- Contribuintes
- Bolsistas
- Beneficirios mdicos
/ de Medicaid

Credenciais PIV

Piv
Credenciais
interoperveis
Solues
abertas:
-OpenID
-iCard
-SAML
-WSFed
-Etc.

Acesso lgico, acesso fsico

Estratgia Nacional para Identidades Confiveis no

Ciberespao (NSTIC, sigla em ingls) que define um
ambiente online onde as pessoas, organizaes, servios
e dispositivos podem confiar entre si porque as fontes
que fazem a autorizao estabelecem e autenticam suas
identidades digitais.

O ICAM federal fornece uma arquitetura integral para oferecer confiana e interoperabilidade nas
transaes digitais dentro do governo federal dos Estados Unidos e seus constituintes, incluindo tipos de
credenciais requeridas para acesso.

Intel IT Center

Relatrio da indstria | Protegendo a nuvem para entidades governamentais

O Instituto Nacional de Padres e Tecnologia (NIST, por sua sigla em ingls) trabalha juntamente com a indstria para desenvolver
e aplicar tecnologias, medidas e padres. O NIST do Departamento de Comrcio dos Estados Unidos publicou um rascunho de um
plano de rota para impulsionar a adoo da computao em nuvem por parte das agncias federais, oferecer suporte ao setor privado,
melhorar a informao disponvel para os tomadores de decises e facilitar o desenvolvimento contnuo do modelo de computao na
nuvem. Como parte da estratgia federal de computao em nuvem, atribuiu-se ao NIST um papel central na definio e promoo
de padres, e para a colaborao com os CIOs das agncias governamentais dos Estados Unidos, especialistas do setor privado e
organismos internacionais a fim de identificar e chegar a um consenso sobre a tecnologia e as prioridades de padronizao.3
Este rascunho foi projetado para respaldar a adoo segura e efetiva do modelo de computao em nuvem por parte de agncias federais
com o objetivo de reduzir custos e melhorar os servios. Define os requerimentos de alta prioridade para padres, pautas oficiais e
desenvolvimentos tecnolgicos que devem ser cumpridos para que as agncias acelerem a migrao dos sistemas de TI existentes para o
modelo de computao em nuvem. O consultor snior de computao em nuvem Dawn Leaf Dawn Leaf comenta: Uma contribuio chave
do esforo do plano de rota o enfoque nas conversaes para alcanar um entendimento claro entre o governo e o setor privado, sobretudo
nos passos tcnicos especficos (padres, pautas e solues tecnolgicas) necessrios para mover a TI federal do seu atual estado de nuvem
precoce para uma adoo completa da nuvem, tal como concebido na Estratgia Federal de Computao em Nuvem dos Estados Unidos.

Os ambientes em nuvem apresentam

uma srie de desafios segurana
Administrao de identidade e acesso. possvel que
os marcos existentes de identificao e autenticao da
organizao no sejam estendidos nuvem, e se forem
baseados em combinaes nicas de usurio/senha para
aplicativos individuais podem representar um link dbil na
cadeia de segurana. Na nuvem, a administrao da identidade
fundamental para manter a segurana, a visibilidade e o
controle centralizado de identidades e acessos por parte da TI.

Cumprir com as normas e bases federais. As leis, normas

e regulamentaes federais requerem um entrelaamento
complexo de mandatos de segurana e privacidade, fazendo
desse cumprimento um assunto potencialmente crtico
para a computao em nuvem. Para poder cumprir com as
estritas leis de privacidade de dados, as infraestruturas da
nuvem deveriam ser auditveis em caractersticas como a
encriptao, controles de segurana e geolocalizao.

Proteo de dados. Os dados armazenados na nuvem

geralmente residem em um ambiente com vrios inquilinos,
compartilhando um espao do servidor virtualizado com dados
de outros clientes do provedor da nuvem. As organizaes
governamentais que sobem dados importantes e regulamentados
nuvem devem se certificar de que esses dados estejam
controlados e seguros. Um dos riscos inerentes ao ambiente com
vrios inquilinos e dos recursos de computao compartilhados
em infraestruturas de nuvem a potencial falha dos mecanismos
de isolamento que servem para separar a memria, o
armazenamento e o roteamento entre os inquilinos.

Confiana. Nas infraestruturas da nuvem, as organizaes

governamentais renunciam ao controle direto de muitos
aspectos da segurana, depositando uma enorme carga de
confiana no provedor da nuvem. Assim, o papel do provedor
crtico na resposta ante incidentes, incluindo anlises de
ataques, conteno, conservao de dados, resoluo e
continuidade do servio. Para as organizaes governamentais
altamente regulamentadas pr-requisito implementar
ferramentas de administrao de dados que deem visibilidade
em toda a nuvem para garantir o cumprimento das polticas
acordadas.

Intel IT Center

Relatrio da indstria | Protegendo a nuvem para entidades governamentais

Os profissionais de TI do governo revelam habilidades que aumentariam a confiana na nuvem privada*

Criar fronteiras de dados para restringir fisicamente as cargas de trabalho

76%

Garantir que a infraestrutura da nuvem esteja livre de malware

65%

Garantir que os pacotes da rede no estejam comprometidos

47%

Desenvolver formas de medir os nveis de confiana das mquinas virtuais

47%

*Anlise ampliada de dados de Whats Holding Back the Cloud? pesquisa da Intel sobre o aumento de confiana dos profissionais de TI na segurana da nuvem.

Arquitetura segura. Para os delinquentes cibernticos, as

infraestruturas da nuvem virtualizada oferecem um campo
potencial de ataque maior, inclusive, que os centros de
dados tradicionais. Os ataques violentos que usam malware
e rootkits podem infectar os componentes do sistema na
nuvem, tais como hipervisores, BIOS e sistemas operativos , e
se propagar em todo o ambiente.
Proteger uma nuvem governamental de um malware requer
uma administrao de identidades e APIs no edge para
garantir que s os usurios autorizados possam ter acesso,
alm do estabelecimento de bases confiveis para assegurar
a integridade do sistema.
Acesso mvil. O uso de dispositivos mveis para estender
os servios governamentais oferece benefcios claros
para o pessoal e pblico igualmente. Entretanto, aceder a
dados confidenciais em dispositivos mveis no seguros
tem o risco de roubo ou perda de dados e o consequente
incumprimento da regulao. O aumento de trabalhadores
mveis e dispositivos mveis no governo est impulsionando
a necessidade de contar com solues de administrao de
dispositivos e ambientes de API regulados que ofeream uma
transmisso segura de dados e solues em todas as redes
banda larga, protegendo os dispositivos contra violaes de
dados e acessos no autorizados.

Intel IT Center

O NIST publicou um rascunho de pautas que

lista as tecnologias de segurana base que os
dispositivos mveis devem ter para proteger a
informao. Nas empresas e no governo cada
vez mais so usados smartphones, tablets e
outros dispositivos mveis pessoais ou dados
pela organizao. A meta do NIST ao publicar
essas novas pautas acelerar os esforos da
indstria para implementar estas tecnologias para
dispositivos mveis mais cyber-seguros.
As pautas sobre segurana baseadas no
hardware de dispositivos mveis definem os
componentes fundamentais de segurana e as
capacidades necessrias para habilitar um uso
mais seguro dos produtos.

Relatrio da indstria | Protegendo a nuvem para entidades governamentais

Proteger a nuvem governamental

com foco integral na segurana
As tecnologias atuais podem reduzir muitos dos riscos
de segurana previamente associados com ambientes
na nuvem. As tecnologias de segurana com hardware
otimizado pela Intel oferecem capacidades resistentes a
falsificaes para proteger melhor as identidades, os dados
e a infraestrutura da nuvem. As solues que usam estas
capacidades podem fortalecer a proteo de identidades,
incentivar a encriptao generalizada para proteger melhor
os dados, medir a integridade da plataforma e fazer com que
as polticas de segurana sejam respeitadas para cumprir os
requerimentos.
Proteger dados em movimento e em repouso. Proteger
os dados confidenciais e regulamentados uma
responsabilidade fundamental do governo e a melhor forma
para proteger os dados, seja quando esto em repouso ou
quando so subidos e baixados na nuvem, a encriptao
que torna os dados inutilizveis se forem comprometidos.
Tambm exige conexes seguras de comunicao que
bloqueiam o acesso ao navegador e fazem a encriptao do
contedo quando este transferido pela rede ou na nuvem.
A encriptao de dados baseada no Advanced Encryption
Standard (AES) depende dos algoritmos de computao
intensiva que podem ter um impacto no desempenho da
rede, particularmente quando usada de forma generalizada
para proteger volumes massivos de informao que subida
e baixada na nuvem. As solues tradicionais de encriptao
podem criar bloqueios nos logaritmos computacionais devido
sobrecarga de desempenho, nesse caso no seria o ideal
para proteger o trfico de dados na nuvem.
A Intel tem trabalhado para diminuir estas faltas de
desempenho. A Advanced Encryption Standard New
Instructions de Intel (Intel AES-NI), integrada nos

Intel IT Center

processadores Intel Xeon, processadores Intel Core vPro

e nos processadores Intel Core selecionados4, melhoram
o rendimento ao acelerar a execuo dos algoritmos de
encriptao em at 10 vezes5-6. A Intel AES-NI oferece
proteo de dados mais rpida e acessvel fazendo com que a
encriptao generalizada seja um padro nas redes da nuvem
onde antes no era possvel.
Os protocolos de segurana do navegador Transport Layer
Security (TLS) e Secure Sockets Layer (SSL) so usados
para garantir comunicaes seguras sobre redes, inclusive
a Internet, e so utilizados amplamente para a navegao
web segura (HTTPS), e-mail, mensagem instantnea e
VoIP. Estes protocolos so crticos para a computao
segura na nuvem e evitam que algum contedo no
detectado manipule ou espie o contedo quando este for
transferido.
Entretanto, os protocolos tradicionais SSL e TLS incluem
duas fases com computao intensiva: incio de sesso
e transferncia de dados massivos. A Intel fez duas
contribuies ao protocolo de fonte aberta amplamente
usado OpenSSL* que melhora em muito o desempenho
durante estas fases. Uma a funo da livraria que acelera
o login e a segunda permite a execuo simultnea de
encriptao e autenticao de dados massivos. Qualquer
software que tenha incorporado o OpenSSL pode
aproveitar automaticamente destas melhorias da Intel.
Ao acelerar a encriptao de dados, garantir o login
e a transferncia massiva de dados, as organizaes
governamentais podem aproveitar melhor os recursos da
rede e implementar a proteo generalizada desde e para a
nuvem sem comprometer o desempenho computacional.

Relatrio da indstria | Protegendo a nuvem para entidades governamentais

Acesso mais seguro nuvem. Para tornar realidade s

vantagens da computao em nuvem, e ao mesmo tempo
respeitar os estritos requerimentos de segurana de dados
e cumprimento regulatrio preciso fortalecer a plataforma
subjacente incluindo hardware, software e metodologias
de processos. Tornar seguras tanto as plataformas dos
servidores quanto a dos clientes, proteger as infraestruturas
da nuvem e administrar as identidades e pontos de controle
de acesso no edge garante que s os usurios autorizados
possam ingressar nuvem. Como os ataques de malware vo
alm do software e apontam plataforma, as organizaes
enfrentam novos riscos desde rootkits e outros ataques a um
baixo nvel que podem infectar os componentes do sistema,
tais como hipervisores e BIOS, e se disseminar rapidamente
por todo o ambiente da nuvem.
Proteger a identidade. A proteo de uma plataforma na
nuvem comea com a administrao dos acessos. A Identity
Protection Technology de Intel (Intel IPT), que se encontra
nos processadores Intel Core vPro, cria uma autenticao
baseada em hardware e resistente a falsificaes, provendo
s organizaes governamentais uma forma simples para
validar que somente funcionrios legtimos ou usurios
autorizados estejam se conectando desde um dispositivo
confivel. A Intel IPT oferece a gerao de tokens integrada no
hardware, eliminando a necessidade (e o custo) de um token
fsico separado. Tambm verifica transaes e protege contra
malwares.7
Estabelecer a segurana para as APIS na fronteira. As
interfaces de Programao de Aplicaes (APIs, em ingls) so
fundamentais para expor os aplicativos da nuvem a terceiros e a
servios mveis. Reduzir o risco de ataques dentro do contedo
nos aplicativos acedidos na nuvem e proteger as infraestruturas
do sistema no edge requer uma gesto de API controlada e
compatvel, particularmente na camada do gateway onde
realizada a aplicao de polticas de segurana e a organizao
e integrao de servios na nuvem. O Intel Expressway Service
Gateway (Intel ESG)8 um software que oferece pontos de
reforo no edge para autenticar as solicitaes da API com os
sistemas existentes de administrao de identidades e acessos
existentes na organizao. Os gateways de servio oferecem

Intel IT Center

uma forma centralizada para que os equipamentos de TI e de

desenvolvedores colaborem na poltica de segurana na nuvem
e sua aplicao, e oferecem segurana baseada em padres para
controles consistentes na API em toda a organizao.
Garantir que a infraestrutura na nuvem seja mais segura
e auditvel. A computao em nuvem, com seus recursos
dinmicos e dependncia da virtualizao, estende o
permetro da organizao do governo alm do centro de
dados tradicional e com a adio de hipervisores e ambientes
com vrios inquilinos, cria um campo de ataque maior para
o malware e outros ataques. As ameaas contra esse alvo
maior incluem no s ataques de malware no aplicativo, mas
tambm ataques contra componentes em um nvel mais
baixo na prpria plataforma.
Alm disso, a menor visibilidade nas infraestruturas da
nuvem tambm dificulta a verificao dos aplicativos e dos
dados, se estes so seguros e se cumprem com as leis e
regulamentaes.
A Intel Trusted Execution Technology (Intel TXT), que est
presente nos processadores Intel Xeon, pode ajudar as
organizaes governamentais a reduzir os riscos segurana
e as complicaes de cumprimento das regulaes derivadas
de plataformas de computao virtualizadas.9 A Intel TXT
estabelece uma plataforma mais segura sobre a base de um
hardware confivel no chipset e CPU. Esta base confivel
ajuda a garantir a integridade do sistema provendo uma
base slida onde se pode desenvolver plataformas virtuais
mais seguras e grupos de computao confiveis, reduzindo
significativamente os riscos de segurana derivados de
usar uma infraestrutura na nuvem virtualizada ao limitar as
cargas de trabalho importantes aos grupos de computao
confiveis.
A Intel TXT mede os componentes da plataforma, tais
como BIOS e hipervisor em seu estado bem conhecido.
Estas medidas de confiana so armazenadas no hardware
e so comparadas com as medidas do incio realizadas
durante as sequncias de incio posteriores. Se as medidas
no correspondem, a Intel TXT pode bloquear o incio da
plataforma, diminuindo os ataques na inicializao.

Relatrio da indstria | Protegendo a nuvem para entidades governamentais

A Intel TXT habilita as seguintes caractersticas:

Lanamento verificado. Usando uma base de hardware
confivel e medidas criptogrficas, a Intel TXT possibilita
um ambiente seguro para iniciar mquinas virtuais (VMs),
tambm interage com as ferramentas de governana, riscos
e cumprimento de normas para informar sobre o estado de
incio verificado das VMs, a fim de melhorar os detalhes e
visibilidade da infraestrutura subjacente.

Proteo de dados. O risco de eliminao dos dados

de forma no segura ou incompleta aumenta o risco de
segurana da migrao de dados a partir de mquinas
virtuais e na reutilizao do hardware na nuvem. A Intel
TXT anula a memria durante o fechamento do ambiente
para diminuir a espionagem das memrias ou ataque de
reinicializao.

Migrao ao vivo baseada em polticas. Para cargas de

trabalho importantes, as organizaes podem aplicar
polticas tais como: as VMs s devem ser migradas entre os
hosts que tenham superado com xito um incio verificado.

Cumprimento auditvel. Para as organizaes

governamentais, respeitar os padres e o cumprimento
das normas requer muito tempo, esforo e oramento.
As regulamentaes esto sempre exigindo reforos de
segurana e podem criar requerimentos de auditoria, com a
necessidade de compreender, documentar e informar o que
est acontecendo no ambiente da nuvem para verificar que
sejam estabelecidas, monitoradas e certificadas as polticas
de segurana. Cada vez mais a Intel TXT utilizada por
solues de software que administram o controle, o risco e o
cumprimento das infraestruturas virtualizadas baseando-se
em diferentes requerimentos de marcos de segurana.

Execuo protegida. Para a informao altamente

importante ou protegida, a Intel TXT permite que os
aplicativos sejam executados em ambientes isolados
em recursos dedicados e administrados pela plataforma
subjacente.
Entrada protegida. Atravs do uso de chaves criptogrficas,
a Intel TXT protege as comunicaes entre os dispositivos
de entrada (como mouse e teclado) e os ambientes de
execuo para cuidar que os dados no sejam observados
nem comprometidos por processos de softwares no
autorizados.
Como a Intel TXT protege
um ambiente de servidores
virtuais

10

Intel IT Center

Provisionamento:
bons valores conhecidos
para o BIOS e Hipervisor
providos pela TPM

Ao iniciar,
incio medido do
BIOS, correspondncia
de resultados?

Correspondncia
de incio medido
do Hipervisor?

O grupo de computao confivel forma as bases para

criar confiana em todos os ambientes dinmicos. Quando
polticas similares so agrupadas, os grupos de computao
confiveis de servidores virtualizados podem ser validados
por entidades externas com base em assinaturas conhecidas
e confiveis. A Intel TXT pode estabelecer e verificar a
observncia dos padres de proteo e controle de dados,
habilitando a criao de relatrios baseados no hardware
confivel da plataforma, tanto local quanto remotamente,
melhorando assim a capacidade de auditar o ambiente da
nuvem.

Se no tem correspondncia,
a ao da poltica aplicada,
indica estado no confivel
Se h correspondncia,
a ao da poltica aplicada,
indica estado confivel

Se no tem correspondncia,
a ao da poltica aplicada,
indica estado no confivel
Se h correspondncia,
a ao da poltica aplicada,
indica estado confivel

Relatrio da indstria | Protegendo a nuvem para entidades governamentais

Concluso
As tecnologias da Intel ajudam as organizaes
governamentais a obter os benefcios da computao em
nuvem desenvolvendo uma base integral para um ambiente
virtual mais seguro. A Intel fornece as ferramentas para ajudar
a administrar os desafios de segurana mais importantes
para a nuvem governamental (proteo de dados e
infraestrutura e cumprimento das normas) com tecnologias
que promovem uma encriptao de dados generalizada,
oferecem transferncia de dados mais segura e incorporam
uma maior segurana aos esforos de cumprimento.
O conjunto integral de tecnologias e solues de segurana
da Intel cobrem modelos de implementao na nuvem de
ponta a ponta, mas estes s so uma parte dos esforos
da Intel para assegurar a nuvem. A Intel est trabalhando
para desenvolver melhores prticas, padres, projetos,
consideraes de implementao e modelos de governana
para acelerar a adoo da nuvem por parte das entidades
do governo. O Intel Cloud Builders fornece arquiteturas de
referncia de segurana comprovadas junto com scios da
Intel para facilitar a implementao. O programa Intel Cloud
Finder pode identificar os provedores de servios na nuvem
que cumprem com os requerimentos especficos.

A Intel tambm est participando, com scios e alianaschave da indstria do mundo todo, para acelerar as normas
de segurana na nuvem e as solues interoperveis, ao
trabalhar com organizaes da indstria como:

Open Data Center Alliance (OCDA)

Cloud Security Alliance (CSA)

Trusted Computing Group (TCG)

Na medida em que as organizaes governamentais procuram

integrar seus dados e estruturas de negcios na nuvem com
maior segurana, a Intel continua impulsionando tecnologias
de segurana atravs do hardware melhorado e solues de
software que incrementam a proteo de identidades, dados e
infraestrutura na nuvem. Estas inovaes vo aumentar ainda
mais a confiana na nuvem do governo graas a metodologias
cada vez mais slidas para administrar, monitorar e reforar as
polticas de segurana e permitir uma auditoria automatizada
dos ambientes na nuvem para cumprir os requerimentos.

Para mais informao sobre segurana na nuvem,

visite intel.com/cloudsecurity.
Para mais informao no seu idioma, visite
DialogoTI.intel.com.

1 Federal Cloud Computing Strategy

2 InformationWeek Government: Cloud in Action
3

U.S. Government Cloud Computing Technology Roadmaps, Verso 1.0 (Publicao Especial da NIST 500-293)

4 As novas instrues AES-NI Intel requerem um sistema de computador com processador habilitado para AES-NI e um software no Intel para executar as instrues na sequncia
correta. O AES-NI est disponvel nos processadores Intel Xeon, Intel Core i5-600 Desktop Processor Series, Intel Core i7-600 Mobile Processor Series e Intel Core i5-500
Mobile Processor Series. Consulte a disponibilidade com o revendedor ou fabricante do seu sistema. Para mais informaes, acesse: http://www.intel.com/content/www/us/en/
architecture-and-technology/ advanced-encryption-standard--aes-/data-protection-aes-generaltechnology.html.
5 Fonte: as provas com Oracle Database Enterprise Edition 11.2.0.2 com Transparent Data Encryption (TDE) AES-256 mostram uma velocidade 10 vezes
superior ao insertar 1 milho de filas 30 vezes em uma tabela vazia no processador Intel Xeon X5680 (3.33 GHz, 36 MB RAM) usando rotinas do Intel IPP em
comparao com o processador Intel Xeon X5560 (2.93 GHz, 36 MB RAM) sem Intel IPP.
6 O software e as cargas de trabalho utilizados em testes de desempenho podem ter sido otimizados somente para desempenho em microprocessadores da Intel. Os
testes de desempenho, como SYSmark* e MobileMark*, so medidos com a utilizao de sistemas de computao, componentes, software, operaes e funes
especficos. Qualquer alterao nesses fatores pode fazer com que os resultados variem. Voc deve consultar outras informaes e testes de desempenho para
ajud-lo a avaliar suas compras, incluindo o desempenho do produto quando combinado com outros produtos.
7 Nenhum sistema pode garantir segurana absoluta em todas as condies. Requer um sistema habilitado para a Tecnologia de Proteo da Identidade Intel,
incluindo um chipset habilitado para processador Intel Core de 2 gerao ou superior, firmware, software e site participante. Consulte o fabricante do seu
PC. A Intel no se responsabiliza por dados perdidos e/ou roubados nem por nenhum outro prejuzo decorrente. Para mais informaes, visite o site: http://
www.intel.com/content/www/us/en/architecture-and-technology/identity-protection/identity-protection- technology-general.html.
8 Requer um servidor Intel Xeon Multi-Core com 4GB RAM (16GB Recomendado); recomendado para uso em Red Hat* AS4/A5 (32 ou 64-bit), SUSE Linux
Enterprise* 10 (32 ou 64-bit), Oracle* Enterprise Linux, Solaris* 10, Microsoft* Windows 2003 Server (32 ou 64-bit), VMWare* ESX, Windows* 2008 R2
9 Nenhum sistema pode garantir segurana absoluta em todas as condies. A Tecnologia Intel Trusted Execution (Intel TXT) requer um computador habilitado para
a Tecnologia Intel Virtualization, um processador habilitado para a Intel TXT, chipset, BIOS, Authenticated Code Modules (Mdulos de Cdigo Autenticados) e um
ambiente MLE (Ambiente Lanado Medido) compatvel com a Intel TXT. A Intel TXT tambm requer um sistema com uma TPM v1.s. Para mais informaes, visite:
www.intel.com/go/inteltxt.

11

Intel IT Center

Relatrio da indstria | Protegendo a nuvem para entidades governamentais

Compartilhe com seus colegas

Este artigo apenas para fins informativos. ESTE DOCUMENTO FORNECIDO NO ESTADO EM QUE SE ENCONTRA
SEM QUAISQUER GARANTIAS, INCLUINDO QUALQUER GARANTIA DE COMERCIABILIDADE, NO VIOLAO,
ADEQUAO A QUALQUER FIM ESPECFICO, OU QUALQUER GARANTIA PROVENIENTE DE QUALQUER PROPOSTA,
ESPECIFICAO OU AMOSTRA. A Intel se isenta de toda e qualquer responsabilidade, incluindo a responsabilidade
por violao de quaisquer direitos de propriedade, relacionados ao uso desta informao. Nenhuma licena, explcita
ou implcita, por embargo ou outra forma, a quaisquer direitos de propriedade intelectual concedida por meio deste
instrumento.
2013 Intel Corporation. Todos os direitos reservados. Intel e o logo Intel so marcas comerciais da Intel
Corporation nos Estados Unidos e/ou em outros pases.
*Outros nomes e marcas podem ser propriedade de outras empresas.