O Governo Federal publicou em 30 de agosto de 2021 a Instrução Normativa número 5, que dispõe sobre os requisitos mínimos de segurança da informação para utilização de soluções de computação em nuvem pelos órgãos e pelas entidades da administração pública federal e divide as diretrizes entre responsabilidades dos órgãos públicos, dos provedores de nuvem e dos cloud brokers.
No capítulo VI são dispostas as orientações para os cloud brokers onde se destacam dois artigos muito importantes:
Art. 21. Orientação pela contratação de dois ou mais provedores de serviço de nuvem.
Art. 22. O uso de plataforma de gestão multinuvem para realizar procedimentos de provisionamento e orquestração do ambiente, é necessário que a ferramenta atenda, no mínimo, 17 requisitos.
Abaixo destacamos estes 17 requisitos, listados no artigo 22, e como a O3S, especialista em soluções multinuvem, atende integralmente todos os itens com a plataforma Morpheus Data e outras soluções integradas em seu portfólio:
I-a) Uso de um único portal integrado de provisionamento para o usuário final;
I-b) Utilização de modelos de provisionamento;
I-c) automação segura de provisionamento simultâneo e utilização, no que couber, ferramentas de código aberto e interoperáveis;
I-d) fluxos de trabalho de orquestração baseada em eventos; e
I-e) soluções seguras integradas de criação de infraestrutura por código - IaC;
II-a) relatórios de monitoramento de desempenho de recursos na nuvem;
II-b) coleta e monitoramento de registros; e
II-c) procedimentos de monitoramento de alertas;
III-a) inventário de recursos na nuvem;
III-b) procedimentos de segurança para configuração de recursos na plataforma de gestão multinuvem; e
III-c) detecção de recursos sem etiqueta; e
IV-a) mecanismos de single sign-on e de autenticação multifator das plataformas em nuvem;
IV-b) gerenciamento seguro de usuários e de grupos de usuários;
IV-c) gerenciamento de segurança dos recursos;
IV-d) notificações de eventos de alerta multicanal;
IV-e) gerenciamento de identidade e acesso - IAM; e
IV-f) registros de atividade da plataforma em nuvem.
Seguem abaixo os 17 pontos comentados e com exemplos:
I-a) Uso de um único portal integrado de provisionamento para o usuário final;
A Morpheus disponibiliza um portal único integrado com todas as soluções e com uma interface simples, intuitiva, de fácil operação, responsiva, operando muito bem em mobile e tablets e em Português. Todas as funções de Operações, Provisionamento, Infraestrutura, Backups, Logs, Monitoramento, Administração e muito mais ocorrem em um único portal.
A Morpheus tem integração nativa com mais de 100 soluções e nuvens, todas disponíveis de forma fácil através da interface integrada.
I-b) Utilização de modelos de provisionamento;
A Morpheus disponibiliza a construção de Blueprints com código nativo Morpheus, com Terraform, Kubernetes, Helm, CloudFormation e ARM. Há um vasto catálogo de Blueprints já disponível que inclue ActiveMQ, Alibaba Cloud, Amazon Linux 2, Apache Http Server, Microsoft Azure, CentOS, Debian, Amazon AWS, Elastic, Grails, HAProxy, Huawei Cloud, Java, MEMCACHED, NGINX, NodeJS, OpenSUSE, Oracle Public Cloud, Oracle Linux, Php, RabbitMQ, Rails, Redis, Rocky Linux, Ubuntu, Windows, Windows Server e muito mais.
I-c) automação segura de provisionamento simultâneo e utilização, no que couber, ferramentas de código aberto e interoperáveis;
Além das ferramentas anteriormente citadas a Morpheus ainda disponibiliza a construção de qualquer tipo de automação através da criação de tarefas com várias linguagens de código aberto e interoperáveis, tais como Ansible , Ansible Tower Job, Chef, Email, Groovy, HTTP, Javascript, jRuby, Library, Powershell, Puppet, Python, Shell, vRealize e outros.
No exemplo abaixo vemos a capacidade de provisionamento simultâneo de 1.000 instâncias conforme determinado Blueprint.
I-d) fluxos de trabalho de orquestração baseada em eventos; e
A plataforma permite criar qualquer fluxo de trabalho de orquestração com a concatenação de diferentes tarefas, compostas por diferentes linguagens ou APIs e baseadas em eventos, jobs ou até com diferentes opções de escolha do usuário através de combos pré-definidos ou trazidos de bases de dados ou APIs.
I-e) soluções seguras integradas de criação de infraestrutura por código - IaaC;
A Morpheus permite o uso de Terraform, Kubernetes, Helm, CloudFormation, ARM, Ansible , Ansible Tower Job, Chef, Email, Groovy, HTTP, Javascript, jRuby, Library, Powershell, Puppet, Python, Shell, vRealize. É possível ainda integrar com repositórios de código tais como Git, GitHub e na camada de integração contínua contar com Jenkins, HashiCorp Packer, JFrog e Gradle.
II-a) relatórios de monitoramento de desempenho de recursos na nuvem;
Através de uma única interface a plataforma trás relatórios e dashboards de monitoramento de CPU, Memória, Armazenamento, IOPS, Rede, Status, Backups, Disponibilidade, Tempo de Resposta, Logs, Histórico e Custos.
II-b) coleta e monitoramento de registros; e
A plataforma permite controlar logs em nível geral ou em nível das instâncias, trazendo dashboards de controle, busca e filtros avançados por período e nível.
II-c) procedimentos de monitoramento de alertas;
O monitoramento de alertas pode ser implementado nativamente na plataforma para Web Checks, Máquinas Virtuais, Socket , SNMP , Riak , Redis, Rabbit MQ, Push API, Postgres, MySQL, Mongo, Microsoft SQL Server, Elastic Search, Docker, Cloud Foundry e muito mais.
O monitoramento apresenta um dashboard com as condições presentes de status, disponibilidade, tempo de resposta e incidentes abertos.
Cada aplicação/recurso monitorado tem seu dashboard específico para acompanhamento e controle.
III-a) inventário de recursos na nuvem;
A plataforma trás diferentes visões e níveis de inventários, em tempo real, com dashboards e painéis e também através de relatórios.
III-b) procedimentos de segurança para configuração de recursos na plataforma de gestão multinuvem; e
A plataforma possibilita a gestão de procedimentos de segurança em vários aspectos diferentes. Há todo o aspecto de configuração de isolamento lógico e financeiro em diferentes camadas, com tenants, grupos, funções e usuários, que será explorado em um dos tópicos a seguir.
A plataforma permite ainda a gestão de Chaves, Certificados SSL, possui o Cypher, um Cofre de Senhas nativo permitindo que usuários possam desenvolver e criar automações mas sem ter acesso direto a chaves/senhas de bancos e APIs, permite configuração de rotinas de proteção de dados com backups e a configuração de dezenas de políticas de controle, governança e segurança.
III-c) detecção de recursos sem etiqueta; e
A plataforma permite a detecção e gestão de recursos sem etiqueta de 4 formas. É possível gerar relatórios, é possível criar a detecção e correção automática através de fluxos de trabalho, é possível definir políticas de tag e por fim é possível ter a visão analítica de custos através de tags.
IV-a) mecanismos de single sign-on e de autenticação multifator das plataformas em nuvem;
A plataforma habilita a configuração de fontes de identidade por tenant, suportando Microsoft Active Directory, LDAP, SAML SSO, JumpCloud, Okta, OneLogin, Azure AD SAML SSO, Custom External SSO, Custom IAM API. A autenticação multifator também pode ser configurada.
IV-b) gerenciamento seguro de usuários e de grupos de usuários;
A plataforma permite de forma simples e segura a criação e gerenciamento de usuários e grupos.
IV-c) gerenciamento de segurança dos recursos;
A plataforma possibilita o gerenciamento de segurança dos recursos através de configuração de isolamento lógico e financeiro em diferentes camadas, com tenants, grupos, funções e usuários, integração com fontes de identidade, controle de logs, gestão de Chaves, Certificados SSL, possui o Cypher, um Cofre de Senhas nativo permitindo que usuários possam desenvolver e criar automações mas sem ter acesso direto a chaves/senhas de bancos e APIs, permite a gestão de credenciais de acesso SSH e Windoes, permite configuração de rotinas de proteção de dados com backups e a configuração de dezenas de políticas de controle, governança e segurança.
IV-d) notificações de eventos de alerta multicanal;
A plataforma permite a configuração de várias regras de alerta com notificação multicanal.
IV-e) gerenciamento de identidade e acesso - IAM; e
A plataforma habilita a configuração de fontes de identidade por tenant, suportando Microsoft Active Directory, LDAP, SAML SSO, JumpCloud, Okta, OneLogin, Azure AD SAML SSO, Custom External SSO, Custom IAM API. A autenticação multifator também pode ser configurada.
IV-f) registros de atividade da plataforma em nuvem.
A plataforma trás visão completa das atividades em relatórios e dashboards.
Como demonstrado acima, a plataforma atende todos os aspectos da Instrução normativa 05 e vai muito além. A O3S é especialista, distribuidora e integradora de soluções multinuvem e da plataforma Morpheus. Entre em contato e peça uma demonstração.
info@morpheusdata.com.br