O sucesso da carga de trabalho na nuvem pública requer liderança de TI

A TI deve mudar com os tempos e se adaptar à realidade que outras pessoas dentro da organização podem agora adquirir e provisionar recursos de nuvem sem a sua entrada.

Poucas inovações redefiniram a TI tanto quanto a nuvem pública. De acordo com a pesquisa do Enterprise Strategy Group, 85% das organizações de TI agora usam serviços de nuvem pública, usando IaaS ou software como serviço, e 81% dos usuários de infraestrutura de nuvem pública trabalham com mais de um provedor de serviços de nuvem. Multi-cloud é a nossa realidade moderna de TI. Em meio a essa adoção em massa de serviços de nuvem pública, um fenômeno interessante está ocorrendo: Dos usuários de IaaS, 41% trouxeram pelo menos uma carga de trabalho de nuvem pública para ser executada no local. Embora isso possa parecer uma acusação sobre o uso de serviços de nuvem pública, não é, muito pelo contrário.

Na ESG, conduzimos recentemente uma extensa investigação sobre as decisões que levaram a migração das cargas de trabalho de volta às instalações. Ao procurar insights sobre os fatores que influenciam e influenciam essas atividades de migração, um tema se destacou. Muitas vezes, no entusiasmo para se beneficiar da infraestrutura de nuvem pública, as empresas cometem cargas de trabalho em massa sem aplicar a devida diligência necessária. Só mais tarde eles identificam que alguns simplesmente não se encaixam. Além disso, o custo de mover as cargas de trabalho e os dados para frente e para trás se mostrou significativo na maioria dos casos.

O que podemos aprender com as organizações que mudaram prematuramente as cargas de trabalho para a nuvem, apenas para serem forçadas a movê-las de volta em uma data posterior? Bem, as incongruências entre as expectativas da nuvem e o desempenho real surgem por diversos motivos:

  • Os tomadores de decisão em nuvem geralmente não são tomadores de decisões de TI. Embora a TI desempenhe um papel na maioria das seleções de provedores de nuvem, ainda há um número significativo de empresas em que a TI é excluída do processo de decisão. Isso é um problema.
  • Os fatores que influenciam o sucesso da carga de trabalho da nuvem pública geralmente diferem daqueles historicamente usados ​​para orientar decisões locais. Historicamente, a TI tem sido um jogo de gerenciamento de agregados – garantindo desempenho de armazenamento, computação e entrega de rede, bem como capacidade e largura de banda necessárias em um nível de data center. A análise de carga de trabalho de nuvem pública individual é geralmente feita de forma aditiva. Em outras palavras, a infraestrutura atual tem capacidade suficiente para desempenho ou capacidade, ou devemos adicionar mais? Com o serviço de infraestrutura de nuvem pública oferecendo muito mais granularidade com a implantação de recursos do que nas instalações, as decisões devem ser tomadas com base na carga de trabalho por carga de trabalho. Características individuais de carga de trabalho, como desempenho e capacidade, desempenham um papel na determinação do custo-benefício da nuvem .
  • A nuvem introduz novas regras e interfaces. Um problema é a facilidade com que os usuários da infraestrutura em nuvem podem obter e provisionar recursos. Essa facilidade acelerou a adoção, mas também abriu os serviços em nuvem para divisões em organizações sem a necessidade de carga de trabalho – desempenho ou requisitos de sensibilidade de dados – experiência.

O que fazer?

A TI precisa assumir a liderança na nuvem. Para a maioria das empresas, esse já é o caso, mas a percepção de TI como inibidor de negócios persiste. Equipes de linha de negócios e desenvolvedores ainda ignoram a TI para usar os recursos da nuvem em uma porcentagem considerável de empresas. Embora a comunidade de TI geralmente se refira a essas atividadescomo TI , muitos usuários da nuvem vêem isso como um recurso, e não como um bug. Eles acreditam que estão atendendo aos melhores interesses da empresa, contornando a equipe de infraestrutura de TI lenta e desatualizada e os processos para um processo mais enxuto, mais rápido e mais ágil.

A reação dos tomadores de decisões de TI geralmente é que os negócios precisam mudar e a equipe de TI deve tomar decisões sobre tecnologia. A segunda parte dessa afirmação é precisa, mas a primeira parte simplesmente não funciona mais. A TI precisa mudar.

Veja como:

  • Entenda e gerencie a TI em um nível de carga de trabalho. Especificamente, a TI precisa indexar fortemente o desempenho dos aplicativos e os requisitos de sensibilidade dos dados. Esses dois pontos representam os problemas mais comuns com cargas de trabalho de nuvem pública e, muitas vezes, o motivo é que a análise necessária não foi feita antecipadamente.
  • Processos de arquiteto que não impedem o acesso à nuvem. Isso pode parecer contra-intuitivo, mas se a TI impedir ou atrasar o acesso à nuvem, o restante do negócio continuará a contornar a TI no caminho para a nuvem. Concentre-se no que importa. Isso varia de acordo com a carga de trabalho e a organização da nuvem pública, mas os requisitos de sensibilidade, conformidade e desempenho dos dados devem ter precedência.
  • Use ferramentas de provedores de nuvem para ajudar com as lacunas. Os provedores de nuvem reconhecem os obstáculos que as empresas enfrentam com serviços de nuvem e oferecem ferramentas para ajudar.

Como exemplo deste último ponto, no início deste ano, a AWS lançou um serviço chamado Zelkova , que emprega o raciocínio automatizado para analisar políticas de nuvem, compreendê-las e, em seguida, informar sobre suas consequências futuras. A Amazon deve ter notado algumas organizações lutando com a adoção apropriada de carga de trabalho na nuvem pública e construiu uma tecnologia para reduzir a complexidade e o trabalho de adivinhação envolvidos.

Um dos objetivos de Zelkova é melhorar a confiança nas configurações de segurança por meio do seu identificador público / não público. O AWS S3 explora a tecnologia Zelkova para verificar cada política de bucket e, em seguida, identificar se um usuário não autorizado pode ler ou gravar no bucket. Um bucket é marcado como Public quando Zelkova identifica solicitações públicas que podem acessar o bucket. Non-Public, entretanto, significa que Zelkova verificou que todos os pedidos públicos são negados.

Esta ferramenta oferece um serviço incrivelmente valioso, dada a escassez significativa de profissionais de TI de segurança cibernética. A nuvem introduz novos paradigmas quando se trata de segurança de dados, e qualquer ferramenta que simplifique esse processo reduz o risco envolvido no uso de um ecossistema de nuvem híbrida e sua carga nos negócios.

Estes são os dados da sua empresa, no entanto, e ferramentas como o Zelkova são apenas isso, ferramentas. Eles fornecem uma camada de proteção valiosa ao usar recursos de nuvem para uma carga de trabalho de nuvem pública, o que deve agilizar os processos de TI e garantir que a adoção da nuvem seja feita com rapidez e segurança. Essas ferramentas não substituem a due diligence interna. Em última análise, a TI deve levar os negócios para a nuvem e não permitir que os negócios passem por eles.

ClearSky Data POPs arrecada mais de US $ 20 milhões

A ClearSky Data marcou hoje um financiamento de US $ 20 milhões e uma parceria com a Equinix para expandir a cobertura de seus serviços de armazenamento gerenciado.

O novo investidor Pear Tree Partners participou da rodada de financiamento, com os investidores anteriores, General Catalyst, Highland Capital Partners e Polaris Partners. Outro investidor, descrito pela ClearSky como “um provedor de tecnologia líder de mercado”, também participou, mas pediu para não ser identificado. O financiamento eleva o total da ClearSky para US $ 59 milhões. ””

O ClearSky Data foi lançado no final de 2015 com um serviço gerenciado que usa dispositivos locais para dados quentes, seus data centers de Pontos de Presença (POP) para dados quentes e nuvens públicas para proteção de dados.

Desde então, o fornecedor expandiu suas ofertas de tecnologia. Em 2017, adicionou serviços  automatizados de backup e recuperação de desastres  . A ClearSky seguiu com um serviço NAS para dados de arquivos e suporte para armazenamento de objetos através do VMware Cloud na AWS este ano.

A fundadora e CEO da ClearSky, Ellen Rubin, disse que o financiamento, bem como a parceria Equinix, acelerará sua expansão dos locais de POP. A ClearSky tem sites POP em Boston, Nova York, Chicago e Ashburn, Virginia. Rubin disse que o objetivo é triplicar o total e cobrir todos os Estados Unidos no próximo ano.

“Nosso objetivo é expandir para o oeste”, disse ela.

A expansão geográfica é crucial porque o ClearSky Data armazena dados quentes no POP em um raio de 120 milhas dos locais dos clientes.

Rubin disse que a ClearSky tem cerca de 35 funcionários e espera dobrar a equipe de vendas, marketing e suporte ao cliente com o financiamento.

“Estamos procurando maneiras de ser mais acessíveis e em mais lugares em pouco tempo”, disse ela.

O negócio da Equinix também ajudará na expansão da ClearSky. A ClearSky usa datacenters da Equinix para seus sites POP Ashburn e Chicago, mas agora integrará sua tecnologia em  datacenters globais interconectados da Platform Equinix .

“Fomos clientes da Equinix. Este é um nível mais profundo de integração ”, disse Rubin. “Eles sentem e nos sentimos que os clientes corporativos estão procurando ter mais serviços que criem um bom equilíbrio do que está acontecendo no data center do cliente ou na borda. A conectividade do data center para a borda ainda é difícil. Somos uma camada de gerenciamento de dados e os dados são sempre difíceis ”.

Rubin disse que a receita da ClearSky no primeiro semestre de 2018 dobrou a receita do ano todo de 2017. Ela espera que a receita no segundo semestre de 2108 também aumente pelo menos o dobro da receita de 2017. Ela não diz quantos clientes a ClearSky tem, mas o provedor lista os parceiros HealthCare, Massachusetts General Hospital, Nuance Communications e Unitas Global como clientes.

Rubin disse que algumas dessas empresas usam o ClearSky para todas as suas necessidades de backup e recuperação de desastres, enquanto algumas grandes organizações transformam cargas de trabalho específicas na inicialização do armazenamento em nuvem.

Modelo de entrega de serviço em nuvem muda de 3 para 2

A AWS, o Microsoft Azure e o Google Cloud não são as únicas opções de entrega de serviços em nuvem. Há muitas alternativas a serem consideradas ao mover a computação ou o armazenamento para a nuvem.

A Amazon Web Services, o Microsoft Azure e o Google Cloud podem liderar o mercado de nuvem, mas a bateria da concorrência está ficando cada vez mais barulhenta em relação às alternativas de nicho e aos novos concorrentes.


Outros provedores públicos incluem o Alibaba Cloud, a Virtustream, da Dell Technologies, a Bluemix, a Iron Mountain, a Oracle e a Rackspace, da IBM. Enquanto isso, as opções de armazenamento a frio de baixo custo da startup Wasabi Technologies atraíram tanto interesse do ponto de partida, a empresa fechou temporariamente sua oferta de teste. Provedores regionais incluem Backblaze, CenturyLink, Joyent e NTT Communications. Provedores gerenciados e integradores de sistemas, como o Atmosfera e os principais sistemas de informações, também estão promovendo o modelo de fornecimento de serviços em nuvem. Por fim, os fornecedores de software tradicionais estão criando nuvens para suportar exclusivamente seus aplicativos específicos.

Quando se trata de alternativas de armazenamento em nuvem para os três grandes no modelo de fornecimento de serviços em nuvem e no mercado de computação, há muitas opções para mencionar aqui. Em vez disso, este artigo fornecerá aos profissionais de TI uma compreensão de como vários serviços oferecem alternativas viáveis ​​para a AWS, o Azure e o Google Cloud, os tipos de fornecedores disponíveis e o que procurar nesses serviços em nuvem.

Como vencer os três grandes

Vários anos atrás, muitas grandes empresas de análise previram que o mercado de nuvem seria uma batalha de três vias entre a Amazon, a Microsoft e o Google. Enquanto esses três continuam a ser os líderes de mercado e de reconhecimento de nomes , eles não estão de forma alguma sozinhos. A segunda camada de provedores de nuvem oferece preços muito competitivos e, ao mesmo tempo, oferece um serviço melhor.

Do ponto de vista tecnológico, a maioria desses provedores de nuvem de segunda linha tem arquiteturas de armazenamento semelhantes às de seus concorrentes maiores. Eles usam um modelo de armazenamento de objetos que utiliza hardware e software de commodity para fornecer armazenamento de capacidade. Enquanto as três grandes equipes de implantação de desenvolvedores de armazenamento, os provedores de segundo nível normalmente usam software de prateleira, o que economiza no pagamento de equipes de doutorados. Os três grandes compram seu hardware a preços melhores do que os provedores de nuvem de segundo nível, mas a realidade é que o hardware é um mercado tão competitivo que o delta de compra entre um pequeno e grande comprador é relativamente pequeno.


Do ponto de vista do modelo de negócios, a maioria dos provedores de segundo nível concentra-se em uma capacidade ou oferta de produto específica. Por exemplo, muitos desenvolveram uma reputação no mercado de armazenamento de dados de backup, enquanto outros se especializam em armazenamento de arquivos. Há também provedores de nuvem de segundo nível que se especializam em setores específicos, como saúde, governo ou mercados financeiros. O foco e a especialização permitem que eles forneçam um modelo de entrega de serviços em nuvem mais abrangente, reduzindo, em última análise, o tempo que um cliente leva para a nuvem.

Tipos de provedores de segundo nível

Normalmente, existem três tipos de provedores de nuvem de segundo nível. O primeiro tipo, o provedor específico, geralmente é um desenvolvedor de software que decidiu oferecer um modelo de entrega de serviços em nuvem para seus clientes. Em vez de usar um dos provedores de mega-nuvem, eles criam uma nuvem adequada ao seu uso específico. Essas empresas geralmente acreditam que, controlando todas as variáveis, o software e a nuvem, elas podem oferecer aos clientes uma melhor experiência e – mais do que provável – melhores preços. Os exemplos mais comuns da nuvem específica são os exemplos de proteção de dados e recuperação de desastres como um serviço (DRaaS).. Empresas como Acronis, Backblaze, Datto e Unitrends oferecem backup em nuvem ou DR. A vantagem desse tipo de modelo de entrega de serviços em nuvem é tornar a conectividade em nuvem tão perfeita quanto se pode encontrar.

O outro tipo de fornecedor de nuvem de segunda camada é o provedor de nuvem de serviço completo. Como o provedor criado especificamente, esses fornecedores tendem a se concentrar em um determinado segmento de mercado, mas oferecem suporte a uma variedade de softwares em vez de apenas um. De muitas maneiras, eles são a versão atual de um revendedor de armazenamento, permitindo que os clientes selecionem ou permaneçam com o produto de software de sua escolha enquanto fornecem infraestrutura e suporte de back-end. Esses provedores facilitam a “habilitação de nuvem” de aplicativos existentes, para que os clientes não precisem reiniciar tudo novamente com aplicativos nativos da nuvem. Embora a maioria também se concentre em casos de uso de backup, DR e arquivamento, há um crescente contingente de empresas nesse espaço – como Iland, Iron Mountain e KeepItSafe – que fornecem funcionalidade de desktop como serviço.

O tipo final de provedor de nuvem de segunda linha vai frente a frente contra os três grandes, fornecendo serviços “brutos” semelhantes, como capacidade e computação sob demanda. Pode parecer que esses provedores assumem o risco mais significativo, competindo diretamente com os provedores de mega-nuvem; No entanto, a realidade é que muitos deles são muito bem sucedidos. O modelo de fornecimento de serviços em nuvem e o software de estrutura de computação necessários para competir pelos clientes estão prontamente disponíveis na prateleira. Além disso, esses provedores podem ter outras vantagens, como proximidade com o cliente ou limites nos quais eles replicam dados.

O primeiro passo para selecionar o fornecedor certo é que uma empresa avalie suas habilidades na nuvem. Quanto mais tempo ou habilidade ele tiver para desenvolver essas habilidades, mais atraentes os provedores de mega-nuvem se tornam. Quanto menos habilidades uma organização tiver e mais difícil for por tempo, mais prováveis ​​são os provedores de segunda linha. A seleção de um tipo de provedor depende muito dessas habilidades em nuvem, além do nível de flexibilidade desejado. Se uma organização prefere seu conjunto de software atual, um provedor de serviço completo pode ajudar na habilitação da nuvem. Se não tiver uma preferência, os provedores desenvolvidos especificamente podem oferecer a melhor experiência em nuvem pronta para uso .


Razões para usar uma nuvem específica

O principal motivo para selecionar um provedor de nuvem específico é afetado tanto pelo “objetivo” da nuvem de uma organização quanto pelo próprio provedor de nuvem. Os provedores de nuvem criados para uso específico fornecem soluções prontas como DRaaS, backup na nuvem e arquivamento em nuvem. Como parte disso, eles fornecem seu próprio software e nuvem. A inclusão de todos os componentes necessários deve proporcionar uma experiência mais perfeita, mas uma organização precisa usar o software do provedor e se sentir confiante em sua nuvem.

Se uma empresa está procurando uma mudança na proteção de dados ou software de arquivamento ou quer adicionar novos recursos como o DRaaS, então um provedor construído para esse propósito pode fazer sentido. Se quiser manter seu software atual, usar um provedor de nuvem específico ou ter a opção de migrar para outro provedor no futuro, uma nuvem específica pode não fazer sentido.

Razões para usar uma nuvem de serviço completo

Similar em muitos aspectos ao propósito-construído, o provedor de serviço completo oferece uma nuvem turnkey, suporte completo e tende a se especializar em um tipo particular de uso. Os provedores de serviços completos são diferentes, pois também suportam uma ampla variedade de softwares locais. Há uma chance muito maior de um provedor de serviço completo suportar o conjunto de software atual de um cliente do que com um provedor específico, e a nuvem de serviço completo permite que as empresas aproveitem a experiência em nuvem do provedor em vez de forçá-lo a aprender tudo sobre seus próprios.

A nuvem de serviço completo faz sentido para aqueles que desejam manter investimentos monetários e de conhecimento em seus softwares atuais. É ideal para organizações que gostam do que têm e simplesmente querem estender os aplicativos atuais para a nuvem . O software que move dados para a nuvem é do cliente.

Uma nota de cautela: embora a mudança de um provedor de serviço completo para um novo seja possível, ele consome tempo e pode ser caro. Organizações que consideram uma nuvem de serviço completo devem se certificar de que estão muito confortáveis ​​com a segurança de dados e serviços disponíveis com o provedor, bem como com sua viabilidade a longo prazo.

armazenamento em nuvem pública

O armazenamento em nuvem pública, também chamado de  armazenamento como serviçoou armazenamento online, é um modelo de serviço que fornece armazenamento dedados   com pagamento por uso, semelhante à forma como um utilitário público, como o fornecimento de eletricidade ou gás, cobra pelos serviços.

O uso de armazenamento em nuvem pública é geralmente cobrado em uma base por gigabyte -por-mês. Em muitos casos, também há cobranças pela transferência de dados para dentro ou para fora do recurso de armazenamento em nuvem, portanto, é provável que a transferência de dados e as cobranças de acesso aumentem o custo dos serviços de armazenamento em nuvem. 

O preço do armazenamento em nuvem pública geralmente é escalonado de maneira semelhante ao modo como o armazenamento costuma ser escalonado pelo nível de serviço nos datacenters corporativos. Por exemplo, o Microsoft Azureoferece vários serviços de armazenamento em nuvem, incluindo armazenamento de arquivos, armazenamento de blobs de blocos ( objetos ) e armazenamento de dados , entre outras ofertas. Da mesma forma, entre os produtos de armazenamento na nuvem do Google estão o armazenamento em bloco para máquinas virtuais, armazenamento de arquivos de alto desempenho e armazenamento de objetos. O preço desses serviços varia, geralmente com base no desempenho dos sistemas de armazenamento e na rapidez com que os dados podem ser acessados.

Alguns serviços têm taxas excepcionalmente baixas baseadas em capacidade, como a taxa minúscula de US $ 0,004 por GB por mês do Amazon S3 Glacier para armazenamento em arquivamento. A desvantagem é o tempo que leva para acessar e baixar seus dados do Glacier com planos de recuperação que vão de alguns minutos a várias horas e até 12 horas. O custo de recuperação de dados dependerá da rapidez com que você precisa acessar seus dados.

Benefícios do Publick Cloud vs. Armazenamento Instalado Localmente

O modelo pay-per-use do serviço de armazenamento em nuvem permite que as empresas paguem somente pela capacidade de armazenamento real que consomem, em contraste com a compra e instalação de um sistema de armazenamento e o pagamento de uma quantidade definida de capacidade, seja ela usada ou não. A maioria dos sistemas de armazenamento instalados raramente é totalmente utilizada porque, como a quantidade de capacidade de unidade usada em um sistema aumenta, o desempenho normalmente diminui.  

Além de poder aumentar ou diminuir a quantidade de capacidade de armazenamento de dados com os ajustes correspondentes aos custos, a natureza sob demanda do armazenamento em nuvem torna-o prontamente disponível para lidar facilmente com as condições de pico que podem ocorrer conforme o esperado ou sem aviso prévio. empresas.

Outra vantagem importante do uso de uma  nuvem pública  para armazenamento é que o provedor é responsável por criar e manter a infraestrutura de armazenamento e seus custos associados, incluindo  energia ,  refrigeração  e suporte técnico e manutenção. Esses custos contínuos são, com frequência, as despesas operacionais mais onerosas para os data centers, portanto, evitar esses encargos pode ser muito atraente para algumas empresas, especialmente para organizações de médio ou pequeno porte.

Algumas desvantagens do armazenamento em nuvem pública

Existem algumas desvantagens de usar o armazenamento em nuvem pública. Por exemplo, uma empresa pode ser avessa a transferir o controle de seus dados para um provedor de serviços, especialmente se a empresa estiver sujeita a restrições regulatórias relacionadas à maneira como eles lidam com os dados de seus clientes. Alguns provedores de serviços de armazenamento em nuvem tentam lidar com essas preocupações de custódia de dados buscando e obtendo certas certificações de conformidade para regulamentações como HIPAA e GDPR.

O provedor de armazenamento público é responsável por manter e proteger os dados de seus clientes sobre sua   infraestrutura de multilocação e garantir que permaneça seguro durante a transferência de e para suas instalações. No entanto, se o provedor sofrer uma interrupção, seus dados podem não estar acessíveis pela duração. Se o provedor sofrer uma falha catastrófica, há sempre o risco de que os dados sejam perdidos. Deve-se notar, no entanto, que a maioria dos provedores de serviços de armazenamento em nuvem armazena dados em vários locais, de modo que, embora o acesso aos dados possa ser prejudicado por algum tempo, ele geralmente será recuperável.

Outra preocupação com o armazenamento em nuvem pública é o bloqueio de fornecedores devido à falta de padrões formais de armazenamento em nuvem. Tradicionalmente, era difícil mover dados de um provedor de armazenamento em nuvem para outro sem primeiro restaurar os dados de volta ao data center e enviá-los ao novo provedor de armazenamento em nuvem. Esse processo ainda não é necessariamente rotineiro ou trivial, mas a necessidade de as empresas manterem dados em várias nuvens ajudou a gerar uma nova categoria de software e serviços. Esses novos produtos facilitam muito a movimentação de dados da nuvem para a nuvem. 

Como uma empresa se conecta com seu serviço de armazenamento em nuvem pública também pode ser um problema. A maioria dos serviços de armazenamento em nuvem pública suporta uma variedade de métodos de acesso, com acesso pela Internet geralmente o menos caro. Mas se uma empresa requer acesso mais rápido ou mais seguro, as alternativas variam de VPNs a várias classes de linhas dedicadas ou linhas privadas. O custo do acesso à linha alugada pode ser considerável.

Usos do armazenamento em nuvem pública

Os primeiros usos do armazenamento em nuvem pública geralmente eram para proteção de dados – backups de dados diários de rotina para recuperações operacionais e recuperação de desastres. O uso do armazenamento em nuvem pública para proteção de dados pode gerar economias substanciais em relação à necessidade de manter um recurso remoto para uso como um repositório de dados secundário. Isso representa um uso muito econômico do armazenamento em nuvem pública para proteção de dados, bem como o arquivamento de dados de aplicativos não essenciais e de email.  


Outra aplicação inicial de armazenamento em nuvem pública foi para dados de arquivamento. As empresas tendem a reter grandes quantidades de dados raramente acessados. Manter esses dados no data center pode exigir a manutenção de sistemas de armazenamento de alta capacidade, que podem ser muito caros, especialmente para dados que não estão sendo usados ​​ativamente. O armazenamento em nuvem pode ser uma solução ideal, pois oferece ampla capacidade a um custo relativamente razoável.  

Inicialmente, o armazenamento em nuvem pública não era visto como uma alternativa viável ao armazenamento interno para aplicativos de negócios críticos das empresas, mas agora todos os principais provedores de serviços de armazenamento em nuvem – e muitos dos serviços regionais ou menores – agora oferecem uma ampla variedade de serviços. desenvolvimento de aplicativos e hospedagem de produtos. Isso significa que um aplicativo agora pode se sentar ao lado de seus dados hospedados por uma nuvem serviço e porque os dados e o aplicativo são locais, o desempenho é geralmente aceitável.

A maioria das empresas ainda mantém sistemas de armazenamento em seus data centers, além de usar armazenamento em nuvem pública. Esses ambientes híbridos geralmente oferecem o melhor dos dois mundos – armazenamento local que pode ser protegido internamente e pode fornecer níveis de desempenho exigidos em conjunto com o armazenamento em nuvem, que oferece capacidade ilimitada e custos mais baixos.

Usuários do SoftNAS Cloud obtêm correção de segurança para vulnerabilidade

A SoftNAS diz que um componente de servidor da Web e balanceador de carga adicionado para reforçar a segurança do seu Cloud NAS na verdade poderia permitir acesso não autorizado à interface de administração da web.

Os clientes do SoftNAS Cloud NAS precisam instalar uma correção de segurança para corrigir uma vulnerabilidade que uma empresa de segurança descobriu nas versões 4.2.0 e 4.2.1 do produto de armazenamento definido por software.


A Digital Defense, uma empresa de segurança sediada em San Antonio, notificou o SoftNAS em janeiro que um invasor poderia obter acesso à interface de administração web sem credenciais de usuário válidas e adicionar usuários ou executar comandos arbitrários. O SoftNAS emitiu uma correção de segurança com sua atualização do produto 4.2.2 em 12 de março.

Jeff Russo, vice-presidente sênior de produtos da SoftNAS, com sede em Houston, disse que a empresa não classificaria a atualização de segurança como crítica. Ele disse que os clientes só são vulneráveis ​​se expuserem as portas do SoftNAS StorageCenter diretamente à Internet, não seguindo as melhores práticas .

Mas Marc Staimer, presidente da Dragon Slayer Consulting em Beaverton, Oregon, pediu aos clientes que instalem a atualização o mais rápido possível, porque os maus atores poderiam tentar explorar a vulnerabilidade depois que a Digital Defense e a SoftNAS divulgaram esta semana.

“Toda vez que um patch sai, eles sabem que as pessoas tendem a não implementar os patches rapidamente”, disse Staimer. “Isso significa que muitas implementações são vulneráveis, e elas vão atrás disso”.

Segunda vulnerabilidade desde julho

Empresas de segurança marcaram a SoftNAS duas vezes por vulnerabilidades em menos de um ano. Em julho passado, o Core Security – agora parte da HelpSystems, baseada em Eden Prairie, Minnesota – identificou uma vulnerabilidade de injeção de comando nas versões do SoftNAS Cloud anteriores à 4.0.3. O Core Security disse que a vulnerabilidade no console de administração da web pode permitir que um invasor não autenticado execute comandos arbitrários com permissões de root.


Russo disse que, embora as duas vulnerabilidades tenham afetado o console de administração da web, elas eram de natureza diferente. Ele disse que a vulnerabilidade mais recente está relacionada a um servidor web NGINX de código aberto e umcomponente de balanceamento de carga que o SoftNAS recentemente adicionou. Curiosamente, ele disse, uma razão pela qual o SoftNAS adicionou o componente NGINX foi para melhorar a segurança.

“Foi essencialmente um erro com a maneira como foi integrado”, disse Russo. “Não é algo que teria sido facilmente detectado pela maioria das pessoas. Acontece que a Defesa Digital tem um grande conhecimento sobre o componente NGINX e foi capaz de identificar esse problema.”

A Digital Defense disse que o arquivo de configuração padrão do SoftNAS Cloud NGINX tem uma verificação para verificar o status de um cookie de usuário. Se a verificação não estiver definida, o usuário será redirecionado para a página de login. Um valor arbitrário poderia ser fornecido para o cookie acessar a interface da web sem credenciais de usuário válidas, de acordo com a Digital Defense.

Vulnerabilidade potencialmente séria

“Sentimos que é bastante sério, porque não há muitos fatores mitigantes”, disse Mike Cotton, vice-presidente de pesquisa e desenvolvimento da Digital Defense. “Se você puder enviar um pacote de ping no dispositivo ou acessar a interface de administração pela rede, poderá explorá-lo.”

Cotton disse que o código de gerenciamento de sessão do SoftNAS Cloud não estava verificando a existência de uma sessão válida, mas apenas verificando, através do cookie, que qualquer chave de sessão existia. Isso forneceu uma maneira de obter acesso de administrador remoto sem credenciais.

Os clientes devem fazer login em sua conta da plataforma AWS ou Microsoft Azure para iniciar uma nova instância do SoftNAS Cloud. As melhores práticas pedem para acessar o SoftNAS através de uma conexão de rede virtual privada com a rede virtual onde a instância do SoftNAS Cloud mora, disse John Yeazell, diretor de garantia de qualidade da SoftNAS.

Uma vez conectado, disse Yeazell, um cliente apontaria um navegador para a instância do SoftNAS, ou máquina virtual, por meio de uma sessão HTTPS para gerenciá-lo. Os usuários acessam, configuram e gerenciam o dispositivo virtual por meio da interface de usuário do SoftNAS, StorageCenter ou da interface de linha de comando – não por meio do AWS ou do Azure.

“Se os usuários finais escolherem tornar o appliance acessível através de uma porta pública, eles devem seguir as melhores práticas da plataforma para bloquear” a conexão IP, disse Yeazell.

Russo disse que o SoftNAS trabalhou com o Digital Defense na correção de segurança e que nenhum cliente relatou explorações ou violações relacionadas às vulnerabilidades descobertas pelo Núcleo de Segurança e Defesa Digital. O SoftNAS corrigiu a vulnerabilidade de julho em sua versão do produto 4.0.3. A atualização 4.2.2 que o SoftNAS lançou em 12 de março corrige as versões do produto 4.2.0 e 4.2.1 que estão disponíveis desde 15 de novembro.

A Digital Defense notificou a SoftNAS sobre a vulnerabilidade em janeiro, mantendo sua possibilidade de divulgação responsável, e publicou suas descobertas assim que o patch se tornou disponível. A Digital Defense expôs vulnerabilidades de outros fornecedores no passado, incluindo uma para a Dell EMC no ano passado .

O modelo de negócios da Digital Defense é realizar testes de avaliação e penetração de vulnerabilidades, geralmente para clientes de setores regulamentados, como serviços financeiros. Cotton disse que a equipe de pesquisa da empresa geralmente dá uma boa olhada nos dispositivos de backup e NAS e sinaliza o SoftNAS como um dispositivo que eles estavam vendo e queriam checar.

Algodão estima-se que não mais de 100 dos cerca de 4.000 clientes da Digital Defense usam o SoftNAS Cloud, e ele não tem conhecimento de nenhum cliente que tenha sofrido um efeito adverso relacionado à vulnerabilidade.

Atualização disruptiva

A atualização do SoftNAS Cloud 4.2.2 requer uma reinicialização, portanto os clientes devem planejar a interrupção, disse Yeazell. Os clientes com uma configuração de alta disponibilidade podem manter o tempo de atividade, disse ele, mas as melhores práticas de infraestrutura de TI recomendam que os usuários planejem uma janela de manutenção.


A SoftNAS afirma cerca de 300 clientes conhecidos e 7.000 implementações. Mas não tem informações de contagem ou contato para os usuários que adquirem o software através dos mercados da AWS e do Azure, de acordo com Yolande Yip, diretor de marketing da empresa.

Yip disse que o único mecanismo para notificar ou alertar os clientes sobre vulnerabilidades de segurança ou atualizações de produtos é o e-mail gerado pela AWS enviado aos assinantes atuais em nome do SoftNAS. Essas comunicações passam pelo processo de aprovação da AWS, e a SoftNAS não está a par de identificar informações ou o número de mensagens de e-mail, disse ela.

Os clientes do SoftNAS também têm a opção de verificar manualmente as atualizações abrindo “configurações” por meio da interface do usuário e clicando em “atualizações de software”. O assistente mostra a versão que o cliente está executando e a última versão disponível.

Staimer disse que toda empresa de software tem a responsabilidade de saber quem usa seus produtos, para que possa informá-los sobre vulnerabilidades de segurança e outros problemas que requerem sua atenção. Ele disse que mais provedores de computação e armazenamento baseados em nuvem estão adicionando autenticação multifatorial – como mensagens de texto para telefones celulares e biometria – para impedir o acesso não autorizado.

“Todo produto tem vulnerabilidades. É como a empresa lida com eles que importa”, disse Staimer.

Yeazell disse que o SoftNAS oferece uma opção de dupla autenticação, onde o usuário primeiro se autentica com o SoftNAS e depois autentica usando credenciais do Google ou do Facebook. Ele disse que opções de autenticação multifator mais rigorosas estão no roteiro do produto.