O objetivo deste texto é fornecer aos nossos clientes uma visão geral da solução utilizada pela Implanta Informática para hospedar os sistemas Implanta.NET. Esse serviço é denominado Microsoft Azure e dispõe da tecnologia mais avançada em termos de hospedagem de serviços de TI em nível mundial, além de ter a chancela da maior empresa de tecnologia e produtividade do mundo, a Microsoft.

Para hospedar as soluções Implanta.NET utilizamos o Microsoft Azure, um serviço de nuvem, no modelo de Infraestrutura como serviço, ou IaaS. Neste cenário administramos uma coleção de servidores (máquinas virtuais) onde são hospedadas todas as aplicações WEB, os bancos de dados e a estrutura de serviços de rede, dns, armazenamento, etc. em um datacenter localizado no estado de São Paulo, denominado pela Microsoft como LATAM.

O Microsoft Azure foi criado com a premissa de que, para controlar os dados de seus clientes na nuvem, é necessário ter visibilidade total e transparente de tais dados, sobretudo onde eles estão armazenados. Você também deve saber, por meio de políticas e procedimentos indicados claramente, como a Provedora (Microsoft) ajuda a proteger seus dados e de seus clientes, quem possui a permissão de acessá-los e em quais circunstâncias. Tudo isso, com a garantia de Auditorias e Certificações independentes que atestam o cumprimento das normas definidas.

 A plataforma Azure é suportada por uma rede crescente de datacenters gerenciados pela Microsoft, que possui décadas de experiência na administração de serviços, tais como Bing, Office 365 e outlook.com.

O Azure está disponível em 140 países, incluindo a China, e dá suporte a 10 idiomas e 24 moedas, tudo apoiado em US$ 15 bilhões de investimento da Microsoft em infraestrutura de datacenter global.

O Azure está investindo continuamente nas últimas tecnologias de infraestrutura, com um foco em alta disponibilidade, excelência operacional, eficácia dos custos, sustentabilidade ambiental e uma experiência online confiável para clientes e parceiros em todo o mundo.

Sabemos que algumas organizações ainda estão cautelosas com a nuvem. É por isso que a Microsoft fez um compromisso para proteção e privacidade de seus dados, e se tornou o primeiro provedor de nuvem reconhecido pelas autoridades de proteção de dados da União Europeia, pelo compromisso com as rigorosas leis de privacidade da UE. A Microsoft também foi o primeiro grande provedor de nuvem a adotar o novo padrão de privacidade de nuvem internacional, ISO 27018. Além disso, lançaram o Azure Government, uma versão autônoma do Azure projetada para atender as exigência rigorosas de conformidades das agências públicas do EUA.

Tais iniciativas demonstram que a Microsoft tem a segurança e a privacidade como prioridades a cada passo, desde o desenvolvimento do código até a resposta a incidentes.

A Microsoft projeta seus softwares visando a segurança desde o princípio, seguindo uma abordagem conhecida como Security Development Lifecycle (SDL). Este processo de desenvolvimento, obrigatório em toda a empresa, insere requisitos de segurança em todo o ciclo de vida do software, desde o planejamento até a implantação.

Para ajudar a garantir que as atividades operacionais sigam as mesmas prioridades de segurança, também desenvolveram diretrizes rígidas de segurança dispostas no processo OSA (Garantia de Segurança Operacional).

A Microsoft aproveitou sua experiência de décadas na criação de softwares de proteção corporativa e na execução de alguns dos maiores serviços online do mundo a fim de criar tecnologias e práticas de segurança robustas. Elas ajudam a garantir que a infraestrutura do Azure seja resistente a ataques, protegendo o acesso do usuário ao ambiente do Azure e ajudando a manter os dados do cliente seguros por meio de comunicações criptografadas e pelo gerenciamento de ameaças e práticas de atenuação, incluindo testes de penetração regulares.

No controle de acesso dos usuários ao ambiente, o Azure gerencia e controla sua identidade através do Active Directory do Azure e habilita a autenticação multifator para um acesso ainda mais seguro.

Sobre criptografia de comunicações e processos de operação, para os dados em trânsito o Azure usa protocolos de transporte padrão da indústria entre os dispositivos do usuário e os datacenters da Microsoft, bem como dentro dos próprios datacenters. Para dados em repouso, o Azure oferece uma ampla gama de recursos de criptografia até AES-256, oferecendo a flexibilidade de escolher a solução que melhor atende às suas necessidades.

Na proteção de redes o Azure fornece a infraestrutura necessária para conectar máquinas virtuais com segurança umas às outras e para conectar datacenters locais às VMs do Azure. O Azure bloqueia tráfego não autorizado para datacenters da Microsoft ou dentro deles, usando diversas tecnologias. A Rede Virtual do Azure estende-se à sua rede local para a nuvem por meio de VPN site a site.

Para proteger contra ameaças online o Azure oferece o Microsoft Antimalware para serviços de nuvem e máquinas virtuais, e também emprega detecção de intrusão, prevenção de ataques DDoS (ataque de negação de serviço distribuído), testes de penetração regulares e ferramentas de análises de dados e aprendizado de máquina para ajudar a atenuar as ameaças contra sua plataforma.

O Microsoft Azure oferece SLAs de nível empresarial com disponibilidade acima de 99% sobre serviços, suporte técnico 24×7 e monitoramento 24 horas da integridade dos serviços. Isto significa que os Servidores estarão disponíveis neste nível de disponibilidade.

As manutenções programadas pela Microsoft são agendadas com antecedência e repassamos a informação aos nossos clientes através de alertas nos sistemas, sobretudo quando há previsão de indisponibilidade temporária dos serviços. Excepcionalmente podem ocorrer manutenções em horário comercial, porém somente caso sejam atualizações críticas que ameacem a segurança ou a integridade dos serviços.

A disponibilidade dos sistemas Implanta.NET acompanha o percentual previsto para os servidores citado anteriormente, descontadas as manutenções programadas pela equipe da Implanta Informática para atualizações de versões e manutenções de bancos de dados. As atualizações programadas de versões (releases mensais) ocorrem no dia 15 de cada mês, fora do horário comercial.

As manutenções programadas pela Implanta Informática são agendadas com antecedência e repassamos a informação aos nossos clientes através de alertas nos sistemas, sobretudo se houver previsão de indisponibilidade temporária dos serviços. Excepcionalmente podem ocorrer atualizações e/ou manutenções emergenciais, sobretudo corretivas, durante o expediente. Porém, somente nos casos de extrema necessidade, que ameacem a segurança ou a integridade dos dados.

O ponto chave de um processo de backup está diretamente associado à disponibilidade e segurança dos dados. Partindo desta premissa, foi estabelecida uma rotina de backup e armazenamento dos dados como descrito a seguir:

Horário	Segunda	Terça	Quarta	Quita	Sexta	Sábado	Domingo
00:00	Log	Log	Log	Log	Log	Log	Log
04:00	Log	Log	Log	Log	Log	Log	Log
08:00	Log	Log	Log	Log	Log	Log	Log
12:00	Log	Log	Log	Log	Log	Log	Log
16:00	Log	Log	Log	Log	Log	Log	Log
20:00	Log	Log	Log	Log	Log	Log	Log
22:00	Dif	Dif	Dif	Dif	Dif	Full	Dif

As siglas utilizadas acima possuem a seguinte definição:

·        FULL: É uma cópia completa do banco de dados;

·        DIF: Diferencial, representa a diferença entre o último backup FULL e o estado atual do banco dados;

·        LOG: Contém todos os comandos de alteração de dados e/ou estrutura do banco dados.

O acesso aos artefatos gerados no processo de backup é extremamente restrito, onde os mesmos são armazenados em estrutura geograficamente redundante por trinta dias, possibilitando, em caso de necessidade, a restauração de backup para qualquer data/hora no período citado.

Todo o processo de backup é automatizado, porem acompanhado diariamente pela equipe responsável.

Todo processo de backup, tem por finalidade garantir a recuperação dos dados em caso de falha (Sistema operacional, Hardware, Humana, etc.). Com o intuído de minimizar o risco de falha executamos de forma preventiva rotinas de manutenção semanal em nossos servidores de backup de dados, para proporcionar um funcionamento continuo e ininterrupto dos serviços contratados.

 Para complementar o processo de manutenção executamos diversas rotinas, também automatizadas e semanalmente, em cada banco de dados de forma individual as quais buscam proporcionar o acesso aos dados da forma mais otimizada possível, para isso temos como prática:

·        Verificação de integridade.

·        Reorganização dos índices de dados.

·        Reorganização das páginas de dado.

·        Otimização de estatísticas.

A equipe responsável monitora o resultado do processo de manutenção e, quando necessário, realiza interversões manuais.

O processo de manutenção não gera indisponibilidade, exceto quando previamente agendada e acordado junto aos usuários do sistema. Estes processos podem degradar a performance do sistema durante sua execução. Para minimizar a percepção dos usuários estes procedimentos são executados na madrugada de sábado para domingo, logo após a conclusão do backup FULL.

Serviços de nuvem pública multilocatários como o do Microsoft Azure levam a questões complexas de privacidade, com a confiança ocupando o topo da lista. Ao investir em um serviço de nuvem, é necessário confiar que a privacidade das suas informações será protegida e que seus dados somente serão usados de maneiras dentro das suas expectativas.

 Por mais de 20 anos, a Microsoft tem sido uma líder na criação de soluções online robustas desenvolvidas para proteger a privacidade dos seus clientes. Hoje, a infraestrutura de nuvem da Microsoft dá suporte a mais de um bilhão de clientes em todo o mundo. O próprio Azure tem mais de 240 milhões de contas de usuário, em empresas e organizações localizadas em 127 países, que confiam seus dados cruciais à Microsoft.

Esta experiência rendeu a base para desenvolver políticas de privacidade líderes na indústria, programas de conformidade e medidas de segurança que foram aplicadas em todo o ecossistema de computação em nuvem do Azure. Essa experiente abordagem da privacidade e proteção dos dados baseia-se no compromisso de conceder às organizações o controle sobre a coleta, uso e distribuição das suas informações.

 Um dos exemplos desta transparência é a Política de Privacidade dos Serviços Online da Microsoft, que descreve a política e as práticas de privacidade específicas que cobrem os dados dos nossos clientes no Azure.

 Outro sinal do compromisso da Microsoft com a privacidade dos dados de seus clientes é a adoção do primeiro código internacional de práticas de privacidade na nuvem, o ISO/IEC 27018, e foi o primeiro grande provedor de nuvem a demonstrar tal iniciativa.

Com o Azure, os dados do cliente pertencem a ele, ou seja, todos os dados, incluindo software ou arquivos de texto, som, vídeo ou imagens, que são fornecidos à Microsoft podem ser acessados a qualquer momento pelo próprio, e por qualquer razão, sem assistência da Microsoft. Além disso, teremos total controle sobre onde eles serão armazenados e como serão acessados e excluídos.

 Em caso de solicitações governamentais e legais de acesso aos dados de um cliente, incluindo para fins de segurança nacional, será necessário seguir o processo jurídico aplicável, o que significa que a Microsoft precisará receber um mandado judicial ou uma intimação para conceder informações da conta. Neste caso a Microsoft notificará imediatamente o cliente e fornecerá uma cópia da solicitação, a menos que seja legalmente proibida de fazer isso.

O Microsoft Azure cumpre uma ampla gama de normas de conformidade internacionais e específicas da indústria, como ISO 27001, HIPAA, FedRAMP, SOC 1 e SOC 2, bem como normas específicas de certos países como o IRAP da Austrália, o G-Cloud do Reino Unido e o MTCS de Cingapura.

Auditorias independentes rigorosas, tais como as realizadas pelo British Standards Institute, confirmam a adesão do Azure aos rígidos controles de segurança exigidos por tais normas. Como parte do compromisso com a transparência, o cliente pode confirmar a implementação de tais controles de segurança e solicitar os resultados das auditorias de empresas de certificação independentes.

Quando a Microsoft verifica que seus serviços atendem às normas de conformidade e demonstram como alcança a conformidade, isso facilita para que seus clientes garantam também a conformidade das infraestruturas, processos e aplicativos que executam no Azure.

O Windows Azure é uma plataforma flexível que suporta várias linguagens de programação e que se integra com ambientes locais às organizações. 

Uma das suas grandes características é que a plataforma permite escalabilidade dinâmica, ou seja, se um determinado Web Site estiver sobrecarregado, pode-se provisionar servidores adicionais, ou recursos adicionais aos existentes, sem necessidade de qualquer instalação nos mesmos, e quando a carga diminuir, proceder a sua liberação.

Essa flexibilidade nos garante a escalabilidade necessária ao nosso modelo negócio. Por exemplo, neste cenário se identificarmos que estamos próximos de utilizar nossa capacidade total de hardware podemos dispor de mais recursos (novos servidores ou ampliação dos atuais) em questão de minutos. Isso nos garante grande tempestividade na resolução desse tipo de incidente ou mesmo no atendimento a alguma necessidade específica de determinado cliente, mesmo que seja temporária.

Atualmente, nosso parque conta com diversos pares de servidores de produção onde estão hospedadas as soluções .NET por categoria de clientes. Cada par conta com um Servidor responsável pelas aplicações WEB (IIS) e um Servidor para hospedagem do banco de dados (SQL SERVER). O dimensionamento destes servidores foi planejado para operar entre 40% e 50% de sua capacidade total em horário de expediente, visando garantir a resposta nas caso ocorram picos de utilização. Em outras palavras, se nosso monitoramento acusa que são necessários 4GB de memória RAM para um determinado Servidor, provisionamos entre 8GB e 10GB para garantir a operação caso haja uma demanda superior em algum momento do dia.

O monitoramento da utilização é constante para garantir que a operação esteja sempre dentro dos parâmetros previstos e aumentamos os recursos provisionados sempre que é identificada a necessidade.

O banco de dados dos sistemas Implanta Informática de cada cliente é sua propriedade, portanto, em caso de rescisão contratual forneceremos em um prazo de 72 horas (ou conforme cláusula contratual específica) um backup completo dos dados para restauração em seu ambiente.

Não fornecemos o diagrama de entidade x relacionamento completo das tabelas do banco de dados por ser propriedade intelectual da Empresa, mas não nos furtaremos em auxiliar o Cliente no entendimento da lógica para extração das informações caso seja necessário.

O acesso aos dados para consulta ou manipulação por aplicações de terceiros, ou desenvolvidas pelo próprio Cliente, deve ser realizado exclusivamente através de serviços (webservices) para garantir a integridade dos dados dos sistemas Implanta, bem como o bom funcionamento das aplicações em suas futuras evoluções.

O licenciamento dos softwares necessários ao funcionamento das aplicações .NET da Implanta Informática hospedadas no Microsoft Azure, tais como: Windows Server, SQL SERVER, etc. é responsabilidade da nossa empresa e nossos Clientes não devem se preocupar com essa questão.

No entanto, ressaltamos que o licenciamento e a atualização dos softwares é responsabilidade de nossa equipe e, sempre que necessário, é realizada em janelas de manutenção programada fora do horário de expediente comercial. Nestes casos, nossos Clientes são alertados previamente pelo sistema a respeito dos horários de indisponibilidade das aplicações.

Esperamos que este documento seja esclarecedor a respeito das tecnologias empregadas pela Implanta Informática para garantir a qualidade na prestação dos serviços aos nossos clientes.

Considerando a extensão do assunto, seguem abaixo alguns links complementares que podem esclarecer aspectos mais técnicos, bem como detalhar de forma mais profunda a estrutura e os recursos oferecidos pelo Microsoft AZURE. Pedimos desculpas pelo emprego do idioma inglês, mas os vídeos mais representativos, bem como grande parte da documentação dessa plataforma não foram traduzidos para o português.