Docsity
Docsity

Prepare-se para as provas
Prepare-se para as provas

Estude fácil! Tem muito documento disponível na Docsity


Ganhe pontos para baixar
Ganhe pontos para baixar

Ganhe pontos ajudando outros esrudantes ou compre um plano Premium


Guias e Dicas
Guias e Dicas


Segurança em Computação em Nuvem: Desafios e Estratégias, Notas de estudo de Língua Portuguesa

Este white paper aborda as principais questões de segurança em computação em nuvem, enfatizando a garantia de informações e fornecendo estratégias para avaliar provedores de serviços e desenvolver aplicativos seguros na nuvem. O documento também discute as próximas etapas para computação em nuvem segura.

Tipologia: Notas de estudo

2012

Compartilhado em 04/07/2012

manoel-anjos-5
manoel-anjos-5 🇧🇷

1 documento

1 / 11

Toggle sidebar

Esta página não é visível na pré-visualização

Não perca as partes importantes!

bg1
Introdução
A Internet, frequentemente representada por
uma nuvem nos diagramas de arquitetura,
mudou a vida das pessoas e das empresas. Este
white paper destaca questões de segurança
evidentes em computação em nuvem, com foco
especial na garantia de informações, e fornece
estratégias a serem adotadas ao avaliar
provedores de serviço de computação em
nuvem e ao projetar, desenvolver e implantar
aplicativos que irão operar na nuvem. Também
fornece orientações sobre quais deverão ser os
próximos passos para computação em nuvem
com segurança.
O que é computação em nuvem?
Computação em nuvem é um dos tópicos mais
discutidos dentro das empresas, de acordo com
o estudo GISWS (Global Information Security
Workforce Study) de 2011 do (ISC)
2
, realizado
pela Frost & Sullivan. Mas o que é computação
em nuvem? Será uma ilusão de tranquilidade em
computação ou o presságio de uma tempestade
perfeita que se aproxima? Como o paradigma da
computação em nuvem ainda está evoluindo,
uma definição comum continua sendo um
trabalho em andamento. A definição mais aceita
atualmente para computação em nuvem é aquela
desenvolvida pelo NIST (National Institute of
Standards and Technology): Computação em
nuvem – Um modelo para possibilitar acesso
via rede conveniente e sob demanda a um
conjunto de recursos de informática
configuráveis (por exemplo, redes,
servidores, armazenamento, aplicativos e
serviços) que podem ser rapidamente
provisionados e liberados com um mínimo de
esforço de administração ou interação com
o provedor de serviços.
Arquitetura e modelo de serviço
A arquitetura da computação em nuvem é
primariamente uma arquitetura multiusuário (ou
multi-tenant) baseada em serviços. Tem um
front-end de consumidor distinto e um back-end
de provedor que fornece serviços a diversos
consumidores (também referidos como clientes
dos usuários), conforme mostrado na figura I.
Muitas vezes, o front-end é baseado
simplesmente em um navegador.
"Os três modelos de serviço de computação em
nuvem são IaaS, PaaS e SaaS"
Figura 1. Arquitetura multiusuário de computação em nuvem
[Legenda:]
Nuvem /Usuário 1/ Usuário 2/ Usuário 3
pf3
pf4
pf5
pf8
pf9
pfa

Pré-visualização parcial do texto

Baixe Segurança em Computação em Nuvem: Desafios e Estratégias e outras Notas de estudo em PDF para Língua Portuguesa, somente na Docsity!

Introdução

A Internet, frequentemente representada por uma nuvem nos diagramas de arquitetura, mudou a vida das pessoas e das empresas. Este white paper destaca questões de segurança evidentes em computação em nuvem, com foco especial na garantia de informações, e fornece estratégias a serem adotadas ao avaliar provedores de serviço de computação em nuvem e ao projetar, desenvolver e implantar aplicativos que irão operar na nuvem. Também fornece orientações sobre quais deverão ser os próximos passos para computação em nuvem com segurança.

O que é computação em nuvem?

Computação em nuvem é um dos tópicos mais discutidos dentro das empresas, de acordo com o estudo GISWS ( Global Information Security Workforce Study ) de 2011 do (ISC)^2 , realizado pela Frost & Sullivan. Mas o que é computação em nuvem? Será uma ilusão de tranquilidade em computação ou o presságio de uma tempestade perfeita que se aproxima? Como o paradigma da computação em nuvem ainda está evoluindo, uma definição comum continua sendo um trabalho em andamento. A definição mais aceita

atualmente para computação em nuvem é aquela desenvolvida pelo NIST ( National Institute of Standards and Technology ): Computação em nuvem – Um modelo para possibilitar acesso via rede conveniente e sob demanda a um conjunto de recursos de informática configuráveis (por exemplo, redes, servidores, armazenamento, aplicativos e serviços) que podem ser rapidamente provisionados e liberados com um mínimo de esforço de administração ou interação com o provedor de serviços.

Arquitetura e modelo de serviço

A arquitetura da computação em nuvem é primariamente uma arquitetura multiusuário (ou multi-tenant ) baseada em serviços. Tem um front-end de consumidor distinto e um back-end de provedor que fornece serviços a diversos consumidores (também referidos como clientes dos usuários), conforme mostrado na figura I. Muitas vezes, o front-end é baseado simplesmente em um navegador.

"Os três modelos de serviço de computação em

nuvem são IaaS, PaaS e SaaS"

Figura 1. Arquitetura multiusuário de computação em nuvem

[Legenda:] Nuvem /Usuário 1/ Usuário 2/ Usuário 3

Há três modelos de serviço principais que são prevalecentes em computação em nuvem. Tais modelos incluem o Software as a Service (SaaS), no qual os aplicativos de software são fornecidos pela nuvem, o Platform as a Service (PaaS), no qual a nuvem fornece os recursos de hardware, como máquinas virtuais que podem ser carregadas com os sistemas operacionais e softwares do usuário, e o Infrastructure as a Service (IaaS), no qual os componentes de infraestrutura são fornecidos pela nuvem.

Tipos de nuvens

Os tipos principais de nuvens são os seguintes: pública, privada, comunidade ou híbrida. Em uma nuvem pública, o provedor vende seus serviços a múltiplos clientes ou usuários independentes. O cliente fica completamente à mercê do provedor para guardar seus dados, aplicativos e sistemas, e tem pouco ou nenhum controle sobre as atividades de garantia. Por outro lado, uma nuvem privada é uma nuvem dedicada na qual o provedor fornece os serviços de nuvem no lugar do cliente. Na maioria dos casos, a empresa do cliente é também o provedor de serviços de nuvem. Em uma rede privada, o cliente tem controle máximo sobre as atividades de garantia. Uma nuvem tipo comunidade é mais ou menos um modelo intermediário. Esse tipo tem as vantagens e riscos de ambas as nuvens, pública e privada. Assim como na rede pública, há múltiplos usuários, mas, por outro lado, os usuários são entidades relacionadas. Em outras palavras, os clientes possuem necessidades em comum e as atividades de garantia são baseadas nos requisitos do cliente. Finalmente, existe a nuvem híbrida. Uma nuvem híbrida combina dois ou mais modelos de implantação. Os mecanismos e controles de garantia podem ser mais granulares. Por exemplo, informações sensíveis e proprietárias podem ser armazenadas na nuvem privada, enquanto os projetos relacionados à indústria do cliente podem ser armazenados e servidos por uma nuvem tipo comunidade.

Por que computação em nuvem?

Antes da adoção da computação em nuvem, as empresas compravam e eram "proprietárias" de seus servidores físicos e da infraestrutura e dos sistemas de tecnologia da informação (TI). Agora, com a computação em nuvem, as empresas podem "alugar" a infraestrutura, plataforma e aplicativos (como serviços) e pagar somente por aquilo que necessitam e usam. Essa característica de "alugar conforme a necessidade" (sob demanda, ad-hoc ou elástica)

faz com que a computação em nuvem fique muito parecida com os serviços públicos no setor de energia elétrica. Também torna a computação em nuvem muito atraente para as empresas do ponto de vista de custo. Em vez de alocar um orçamento de gastos de capital (CapEx), os recursos financeiros podem ser administrados de forma mais granular e provisionados para uso como gastos operacionais (OpEx). Além da economia de custos, a computação em nuvem também traz consigo a interoperabilidade entre sistemas e aplicativos heterogêneos, pois as funcionalidades de negócios são abstraídas e expostas usando APIs ( application programming interfaces ), permitindo que as nuvens funcionem em conjunto. A computação em nuvem também proporciona portabilidade, pois a carga de trabalho pode ser distribuída; independência de dispositivos, pois os usuários enxergam aplicativos e não dispositivos de informática; fluidez e economia de escala, pois os recursos de informática podem ser dinamicamente provisionados; medição do uso; computação em qualquer lugar; e integridade de versões.

Inevitabilidade da nuvem

Enquanto muitas empresas ainda contemplam a adoção da nuvem para suas necessidades de informática, muitas outras já o fizeram. O estudo GISWS do (ISC)^2 mostra que 50% dos profissionais de segurança da informação pesquisados informaram que possuem nuvens privadas implementadas e que mais de 40% informaram que estavam usando o modelo SaaS. A questão não é se , mas quando sua empresa começará a usar a computação em nuvem para suprir suas necessidades. Isso é porque a computação em nuvem traz consigo as vantagens mencionadas acima. Mas traz também os riscos associados. Assim como a palavra chinesa para "oportunidade" pode ser usada também para "crise", a computação em nuvem, considerada como um facilitador para criar uma organização de informática potente, escalável e sob demanda, também pode ser vista como uma fonte de crises no que se refere às garantias (segurança) para os usuários. Uma coisa é certa, a computação na nuvem é inevitável. A pergunta que ainda precisa ser respondida é: "Sua empresa estará posicionada para fazer negócios na nuvem com segurança?"

"Computação em nuvem: oportunidade ou

ameaça?"

preciso estimar e planejar necessidades adicionais de armazenagem. A chave de criptografia utilizada também precisa ser protegida. E para aproveitar o poder de estabilidade da nuvem, os aplicativos que operam nela precisam ser ágeis do ponto de vista da criptografia. Em outras palavras, os aplicativos precisam ser projetados de forma que a troca de chaves de criptografia e a substituição dos algoritmos mais fracos sejam significativamente fáceis de fazer. As chaves não devem ser codificadas dentro da própria API, mas, em vez disso, fornecidas a partir de uma fonte que seja configurável e segura. Para facilitar a migração dentro da nuvem, as considerações sobre o armazenamento de dados também devem ser um fator nos metadados do segmento de rede e dos aplicativos. O segmento de rede deve ter dispositivos perimetrais que controlem as informações, como firewall (virtual), switch, roteador e metadados de balanceamento de carga. Os metadados de cada aplicativo dentro de um segmento de rede também precisam ser gravados. Essa hierarquia de metadados deve ser mantida e periodicamente revisada quanto à precisão contextual, pois os aplicativos podem ser movidos para dentro ou para fora da nuvem em um determinado segmento de rede.

Perda de dados ou prevenção de

vazamentos

Quando a infraestrutura e os sistemas são provisionados dinamicamente, é possível que ocorra um vazamento dos dados que residem no conjunto de recursos compartilhados para entidades que tenha acesso aos mesmos componentes da infraestrutura. Um elemento de garantia de confidencialidade é a capacidade de descartar os dados com segurança. Nas nuvens que possuem meios de armazenamento que não sejam controlados pelo usuário, é crucial a verificação dos mecanismos de descarte de dados de forma que não haja remanescentes. Como a desmagnetização do fluxo e a destruição física (fragmentação) dos dados "sem utilidade" não são opções viáveis no modelo de computação em nuvem, pois os meios de

armazenamento precisam ser provisionados novamente, é preciso recorrer à forma mais frágil de descarte de dados que existe, ou seja, é preciso sobrescrever os dados (ou formatar). Essa forma, mesmo provendo o menor nível possível de garantia, é uma solução prática para a nuvem.

Controles de acesso

Depois da garantia de confidencialidade, a questão de segurança mais importante no modelo de computação em nuvem é o controle de acesso. Isso é particularmente importante quando os aplicativos e dados estão em uma nuvem pública. Quando diversos usuários são suportados por uma nuvem, o escopo de qualquer brecha de segurança não fica restrito a um único usuário.

"Aplicativos conectados na nuvem podem

permitir conexões indesejadas e acessos não

autorizados."

A abertura de um aplicativo em uma nuvem compartilhada poderia resultar na abertura de outras aplicações que usam o mesmo conjunto de recursos na mesma nuvem. Aplicativos conectados na nuvem podem permitir conexões indesejadas e acessos não autorizados. Quando os dados e sistemas são armazenados em ambientes compartilhados, o controle de acesso, a privacidade e a separação dos dados se torna uma questão crucial. O provedor deverá mostrar evidências da implementação do modelo de ausência de conflito de interesses do tipo Muralha da China da Brewer & Nash, o qual prescreve que os dados de um usuário devem ficar fora do alcance de indivíduos que poderiam ser considerados concorrentes, conforme mostrado na figura 3. Devem ser implementadas listas adequadas de controle de acesso (ACLs) para restringir o acesso às informações em tais situações. Os sistemas precisam ser fortalecidos para que não fiquem suscetíveis a exploração. Soluções do tipo Single Sign On (SSO) na nuvem podem ser o elo fraco do sistema se não forem projetadas com a segurança em mente.

Figura 3. Modelo de segurança tipo Muralha da China na nuvem

[Legenda:] Nuvem Concorrentes Dados do usuário 1 Muralha da China Dados do usuário 2 Usuário 1

Suscetibilidade a ataques

As ameaças cibernéticas observadas no modelo de computação em nuvem não são diferentes daquelas no modo tradicional. Tanto da perspectiva de programação como da perspectiva do provedor, o foco em segurança é necessário. A publicação da Cloud Security Alliance intitulada " Top Threats to Cloud Computing " (Principais Ameaças à Computação em Nuvem) menciona sete ameaças principais. Essas ameaças incluem o uso abusivo e nefasto de recursos de informática, usando técnicas de cracking e malware, interfaces de programação não seguras de aplicativos, pessoas internas mal-intencionadas, vulnerabilidades de tecnologia compartilhada, como exploração de virtualizações do hypervisor e explosão da nuvem caracterizada pela incapacidade de lidar com demandas de pico, perda / vazamentos de dados, sequestro de contas, serviços e tráfego, e um perfil de risco desconhecido do provedor decorrente de uma falta geral de transparência dos mecanismos, processos e procedimentos do provedor. Como a nuvem permite o anonimato, os agentes ameaçadores, incluindo pessoas internas mal-intencionadas, podem realizar suas atividades nefastas com relativa impunidade. A detecção de alterações não autorizadas em infraestruturas, plataformas e softwares que não

sejam de propriedade ou não estejam sob o controle do proprietário dos dados é uma desafio importante. O modelo de computação em nuvem também pode se mostrar muito lucrativo para invasores que desejam realizar ataques do tipo man-in-the-middle (MITM ou homem no meio). Quando o software é desenvolvido como um serviço, este é geralmente executado através da abstração e encapsulamento das funcionalidades de negócios em serviços baseados no contrato que ficam expostos por meio de APIs que podem ser descobertas e invocadas. Tal exposição pode levar a ataques de varredura e enumeração onde um invasor pode invocar APIs restritas. Senhas mais fortes que não sejam fáceis de adivinhar ou suscetíveis a ataques de força bruta pelo dicionário podem ser fortalecidas usando uma política de identificação e autenticação implementável. Tokens de sessão e de usuário usados para personificação e delegação precisam ser protegidos quando forem transmitidos usando transporte seguro (SSL/TLS) e mecanismos de proteção na camada de rede (IPSec) para garantir a confidencialidade dos dados em trânsito e mitigar os ataques de sequestro e MITM. É essencial que se entenda a cadeia de dependência das APIs para garantir que não sejam usadas aquelas que permitem autenticação de texto simples, controle de acesso inflexível e monitoração e auditoria limitadas. Outro aspecto a ser considerado é que as APIs

segurança, aliviando as preocupações de segurança e privacidade dos consumidores durante a operação da nuvem. O insight dos mecanismos internos e do perfil de risco dos processos e aplicativos do provedor de nuvem é necessário para garantir a governança necessária de TI e demonstrar as devidas providências. Em nenhum caso a solução de nuvem deve ser uma caixa preta, mas sim uma casa de vidro para que o consumidor possa realizar exames periódicos. O gerenciamento de conformidade inclui a validação das alegações de garantia do provedor de nuvem. Embora os contratos possam ser indicadores das devidas providências, nem sempre demonstram os devidos cuidados. As atividades de validação e verificação que garantem que o provedor de nuvem esteja seguindo as práticas de segurança e as estratégias de gerenciamento de risco alegadas vinculam os devidos cuidados às devidas providências.

"Em nenhum caso a solução de nuvem deve ser

uma caixa preta."

Criminalística cibernética na

nuvem

A elasticidade da nuvem, na qual os usuários pagam somente por aquilo que precisam sob demanda, impõe desafios a um investigador de criminalística cibernética, pois recursos como espaço de disco e memória que são alocados para uma organização agora podem desaparecer ou ser sobrescritos amanhã ou, pior ainda, ser alocados para outra pessoa (potencialmente incluindo o concorrente). Adicionalmente, a falta de entendimento da infraestrutura subjacente no modelo IaaS torna mais difícil a coleta de evidências pelo investigador em caso de brecha. Com limites de propriedade indefinidos, a coleta de evidências físicas usando ferramentas de criminalística estáticas e ao vivo de ambientes virtuais é um desafio. A criminalística cibernética deve levar em conta os controles, como firewalls, registros de conteúdo e de eventos e IDSs, seja do lado do usuário ou do lado do provedor. A visualização da localização dos dados físicos e lógicos se torna uma necessidade na criminalística cibernética da nuvem.

Questões de segurança de pessoal

Quando se fala de computação em nuvem, assim como em qualquer tendência ou modelo tecnológico, o sucesso depende das pessoas. Controles administrativos, como triagem de

antecedentes e verificações são absolutamente necessários, pois os fornecedores de nuvem frequentemente usam terceiros para prover infraestrutura, plataformas e aplicativos. Esses terceiros podem potencialmente empregar pessoas sem verificar adequadamente seus antecedentes. Como é improvável que você vá realizar verificações de antecedentes de pessoal terceirizado, é preciso solicitar evidências de garantia de que o provedor de nuvem atende a critérios estritos e padrões de auditoria detalhada, como o SAS70.

"Ensino e treinamento são essenciais para o

sucesso de qualquer estratégia de segurança de

computação em nuvem."

Ensino e treinamento são essenciais para o sucesso de qualquer estratégia de segurança de computação em nuvem. De acordo com o estudo GISWS do (ISC)^2 , a computação em nuvem ilustra uma lacuna importante entre a implementação da tecnologia e as habilidades necessárias para prover segurança. Mais de 70% dos profissionais que participaram do estudo falaram sobre a necessidade de novas habilidades, não apenas avanços incrementais, para garantir adequadamente as tecnologias baseadas em nuvem. As averiguações desse estudo também indicam que as habilidades que os profissionais dizem ser necessárias para a computação em nuvem são diferentes das habilidades da segurança tradicional e que um entendimento detalhado da computação em nuvem e das tecnologias associadas seria desejável, seguido de uma demanda por habilidades especializadas na negociação do contrato.

Para onde ir a partir daqui?

O próximo passo para garantir a segurança da computação em nuvem no futuro é a padronização da nuvem. Até que os padrões amadureçam, o processo SAJACC ( Standards Acceleration Jumpstarting Adoption of Cloud Computing ) desenvolvido pelo NIST poderá ajudar a testar os requisitos de sistema da nuvem. Alguns dos padrões emergentes de nuvem incluem o Open Cloud Manifesto , o Open Virtualization Format , o Open Cloud Computing Interface , e o Trusted Cloud. O Open Cloud Manifesto é um conjunto de princípios que tem o objetivo de garantir a interoperabilidade das nuvens. É apoiado por mais de 300 fornecedores que proporcionam um alto grau de transparência em suas operações. A especificação Open Virtualization Forma t que é

proposta pelo Distributed Management Task Force tem o objetivo de simplificar a virtualização fazendo com que os fornecedores combinem os formatos de metadados das máquinas virtuais. O Open Cloud Computing Interface proposto pelo Open Grid Forum tem o objetivo de criar interfaces de programação de aplicativos padronizadas para sistemas de infraestrutura de nuvens. O Trusted Cloud é um conjunto de padrões de computação em nuvem da Cloud Security Alliance. A Cloud Security Alliance tem uma abordagem holística da segurança da nuvem. Essa entidade revisou a Cloud Controls Matrix (CCM) que provê princípios fundamentais de segurança para

orientação de fornecedores de nuvens. A CCM pode ser usada pelos clientes para avaliar o risco de segurança global de um provedor de serviços de nuvem. É abrangente e tem uma abordagem baseada em risco para avaliar ameaças e vulnerabilidades na nuvem, levando em conta também os requisitos do negócio para segurança da informação. A CCM tem o objetivo de fornecer um critério e uma estrutura comuns para avaliar os provedores de serviço de nuvem. Como uma observação final, é importante reconhecer que é necessário ter uma parceria entre o governo e o setor privado para resolver o problema de segurança na nuvem.

Tabela 1. Preocupações, ameaças e controles de segurança em computação em nuvem

Segurança na computação em nuvem

Preocupação Ameaça Controle

Segurança de dados Divulgação para sistemas ou pessoas não autorizadas

Proteção criptográfica como criptografia ou hashing de dados sensíveis / privados Aplicativos ágeis do ponto de vista criptográfico (do inglês Cryptographically agile applications ) Perda de dados / prevenção de vazamentos

Perda / vazamento de dados e remanência de dados

Descarte seguro de dados Sobrescrita (formatação) das mídias de armazenamento Classificação e rotulagem de dados Tecnologias de prevenção de perda / vazamento de dados (DLP) Controles de acesso Acessos não autorizados Listas de controle de acesso (ACLs) Fortalecimento tipo Muralha da China (do inglês China Wall) Abuso e uso nefasto de recursos de informática

Cracking Malware

Mecanismos mais fortes de autenticação Transmissões seguras (tunelamento) Infraestrutura, plataformas e aplicativos reforçados APIs não seguras e proprietárias

Autenticação em texto simples Controle de acesso inflexível Monitoramento e auditoria limitados Vinculação ao fornecedor

Entender a cadeia de dependência das APIs Desaprovar APIs não seguras Realização de exercícios de ROI para APIs proprietárias Vulnerabilidades de tecnologia compartilhada

Exploração de hypervisor Explosão da nuvem

Área de escape e fortalecimento Planejamento de recursos e provisionamento Defesa profunda Sequestro de contas, serviços e tráfego

Divulgação para sistemas ou pessoas não autorizadas

Gerenciamento de sessões Transmissões seguras (tunelamento) Perfil de risco do provedor desconhecido

Mecanismos internos do provedor Processos e procedimentos são uma caixa preta

Avaliar o perfil de risco do provedor periodicamente Verificar e validar as alegações de controle de garantia do provedor

informação. Mais informações estão disponíveis em www.isc2.org.

Sobre o autor

Mano Paul, CSSLP, CISSP, AMBCI, MCAD, MCSD, Network+, ECSA é o CEO e presidente da Express Certifications and SecuRisk Solutions, grupo de empresas especializadas em treinamento profissional, certificação, produtos de segurança e consultoria de segurança. Sua experiência em segurança inclui o projeto e desenvolvimento de programas de segurança de software da conformidade à codificação, gerenciamento de riscos de segurança de aplicativos, estratégia e administração de segurança e apresentação de sessões, treinamentos e outras atividades educacionais de conscientização sobre segurança. Atualmente está escrevendo o Guia Oficial da (ISC)^2 para

certificação CSSLP, é co-autor do manual Information Security Management (Gerenciamento de Segurança da Informação), escreve periodicamente para revistas de certificação, desenvolvimento de software e segurança e tem contribuído com diversos tópicos da rede Microsoft Solutions Developer Network. Apresentou-se em diversas conferências nacionais e internacionais de segurança e é orador convidado e membro do conselho do CSI ( Computer Security Institute ), Catalyst (Burton Group), TRISC ( Texas Regional Infrastructure Security Conference ), SC World Congress e conferências de segurança de aplicativos OWASP ( Open Web Application Security Project ). Pode ser encontrado pelos e-mails [email protected] ou [email protected].

Referências

− Definição de computação em nuvem do Instituto Nacional de Normas e Tecnologia (NIST). − Estudo Global Information Security Workforce de 2011 do (ISC)^2 − 8 a^ Pesquisa global Anual de Segurança da Informação, CIO − Clash of the Clouds, Kim S. Nash. Revista CIO. Maio de 2010 − Revista CSO, novembro de 2010. Security Questions for Big Clouds - Gregory Machler − Clearer Definition, New Metrics for Cloud Security. CSO, janeiro de 2010. Ariel Silverstone − Cloud Assurance Still Missing. Allan Carey − Cloud Computing for the Federal Community. Hannah Wald. Informativo do Information Assurance Technology Analysis Center (IATAC). Volume 13 número 2. Primavera de 2010. − Establishing Trust in Cloud Computing. Dr. Bret Michael e Dr. George Dinolt. Informativo do Information Assurance Technology Analysis Center (IATAC). Volume 13 número 2. Primavera de 2010. − Turbulence in the Clouds. Peter Fretty. InfoSecurity Professional. Número 12. Pp 8-11. − Cyber Forensics in the Cloud. Scott Zimmerman e Dominick Glavach. Informativo do Information Assurance Technology Analysis Center (IATAC). Volume 14 número 1. Inverno de 2011. − Top Threats to Cloud Computing, versão 1.0. Cloud Security Alliance.