Segurança e privacidade em computação em nuvem - uma visão geral

  • 412 views
Uploaded on

A Computação em Nuvem (CeN)- ou Cloud Computing - é a oferta de serviços de TI de maneira descentralizada. De maneira similar ao web-hosting, a computação em nuvem oferece aos seus usuários novas …

A Computação em Nuvem (CeN)- ou Cloud Computing - é a oferta de serviços de TI de maneira descentralizada. De maneira similar ao web-hosting, a computação em nuvem oferece aos seus usuários novas formas de usar os recursos de TI, podendo escalar sua aplicação ou ambiente de maneira simples, rápida e barata. Este é um novo modelo de serviço de TI que está se consolidando a cada dia que passa, definindo claramente um modelo de negócios característico.
Atualmente tem-se discutido muito a respeito dos aspectos de segurança envolvendo os serviços disponibilizados na nuvem. Porém é preciso fazer uma analise cuidadosa deste novo modelo, caracterizando as ameaças estritamente relacionadas à computação em nuvem e ameaças características das tecnologias que dão suporte a este modelo, diferenciando-as das ameaças tradicionais. Também é preciso analisar com cuidado o impacto que a exploração de ameaças tradicionais podem causar.
Este trabalho pretende fazer uma pesquisa bibliográfica e uma análise crítica das características únicas e do impacto de vulnerabilidades intrinsecas da computação em nuvem e de vulnerabilidades tradicionais na tríade da segurança da informação neste modelo de serviço.

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
412
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
15
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Segurança e privacidade em computação em nuvem Uma visão geral
  • 2. Segurança e privacidade em computação em nuvem Monografia em Sistemas de Informação Aluno: Luiz Augusto Amelotti Orientador: Prof. Dr. Antônio Alfredo Loureiro
  • 3. Agenda • Introdução ▫ Conceitos e Definições ▫ Motivação ▫ História • Objetivos • Metodologia • Análises
  • 4. Agenda • • • • Discussões Conclusões Trabalhos Futuros Perguntas
  • 5. Introdução Computação em Nuvem ▫ Nova maneira de prover recursos Não é uma nova tecnologia ▫ Evolução e união de conceitos e tecnologias
  • 6. Introdução Computação em Nuvem - definição ▫ ▫ ▫ ▫ ▫ Auto-serviço Acesso via rede Pool de recursos Elasticidade instantânea Medição de serviço
  • 7. Introdução Computação em Nuvem – modelos de serviço ▫ IaaS Amazon EC2, Rackspace CloudServer, Amazon S3 ▫ PaaS Google AppsEngine, Microsoft Azure ▫ SaaS LotusLive, BlueworksLive, Salesforce
  • 8. Introdução Computação em Nuvem – modelos de implantação ▫ ▫ ▫ ▫ Públicas Privadas Comunitárias Híbridas
  • 9. Introdução Segurança da Informação ▫ ▫ ▫ ▫ Confidencialidade Integridade Disponibilidade Privacidade
  • 10. Introdução Segurança da Informação ▫ Vulnerabilidade ▫ Ameaça ▫ Risco
  • 11. Introdução Processo de gestão dos riscos ▫ Definição do Contexto ▫ ▫ ▫ ▫ ▫ Análise dos Riscos Tratamento dos Riscos Aceitação dos Riscos Comunicação dos Riscos Monitoração
  • 12. Introdução Auditoria e Perícia ▫ Análise das atividades realizadas no sistema ▫ Análise das vulnerabilidades presentes ▫ Aquisição, preservação, identificação, extração, recuperação e análise de evidências ▫ Enquadramento das evidências dentro do formato jurídico
  • 13. Introdução Motivação ▫ Tendência de aumento com gastos em Computação em Nuvem ▫ Aumento das soluções baseadas em Computação em Nuvem ▫ Segurança é crítica para adoção de soluções baseadas em Computação em Nuvem
  • 14. Introdução História ▫ Computação em Nuvem Década de 60 – Utility Computing e o Multics Década de 80 – popularização do PC e Internet Década de 90 – Grid Computing e o compartilhamento de recursos Decadas de 90 e 2000 – Estouro da bolha .com e excesso de recursos disponíveis 2006 – Primeiros serviços de nuvem da Amazon
  • 15. Introdução História ▫ Segurança da Informação 1982 – primeiro programa na forma de vírus 1988 – vírus de Robert Morris derruba 10% da Internet 1995 – primeira norma/recomendação de segurança 2000 – ataque DDOS derrubou grandes portais 2010 – ataque do Stuxnet
  • 16. Introdução História 2010 – série de ataques ao Google e outras empresas americanas 2011 – nova série de ataques ao Google. Alvo são pessoas ligados ao governo 2011 – EUA elabora política de estado para cyberguerra 2011 – Série de ataques a redes militares dos EUA Ontem – possível ataque ao site da CIA
  • 17. Objetivos ▫ Identificar características únicas relacionadas à segurança em ambientes de Computação em Nuvem ▫ Avaliar técnicas que visam garantir a segurança e privacidade em ambientes de Computação em Nuvem ▫ Caracterizar e avaliar as principais ameaças à Computação em Nuvem
  • 18. Objetivos ▫ Avaliar técnicas de perícia forense e auditoria e suas aplicações em ambientes de Computação em Nuvem ▫ Propor documentação ▫ Subsidiar trabalhos futuros
  • 19. Objetivos Perguntas ▫ Quão disponíveis estarão os dados em uma nuvem pública? ▫ Existem riscos de quebra de privacidade? ▫ Que garantias existem que dados de uma empresa não serão vistos pela outra? ▫ Como fazer uma auditoria nos processos do provedor de nuvem? ▫ Como garantir integridade e confidencialidade de dados que estão em uma nuvem pública?
  • 20. Metodologia ▫ Pesquisa básica ▫ Revisão bibliográfica de artigos das principais conferências de segurança e computação em nuvem ▫ Revisão de artigos produzidos por grupos de pesquisa em computação em nuvem e segurança
  • 21. Metodologia ▫ Revisão de livros, publicações especializadas e demais literaturas relacionadas a segurança da informação, computação em nuvem, auditoria e perícia forense ▫ Avaliação de boas práticas e recomendações sobre segurança da informação e sua aplicação em ambientes de computação em nuvem
  • 22. Análises Características da Computação em Nuvem e tecnologias envolvidas ▫ ▫ ▫ ▫ ▫ Virtualização Computação distribuida Computação ubíqua Comunicação de dados Armazenamento
  • 23. Análises Principais ameaças para Computação em Nuvem ▫ ▫ ▫ ▫ ▫ ▫ ▫ Uso abusivo da Computação em Nuvem API’s inseguras Funcionários maliciosos nos provedores Vulnerabilidades nas tecnologias de suporte Vazamento de dados Seqüestro de contas, tráfego e sessões Risco desconhecido
  • 24. Análises Impactos da quebra de segurança ▫ Vazamento de informações confidenciais ▫ Comprometimento do resultado do processamento ▫ Perda de dados ▫ Indisponibilidade de serviços ▫ Aumento de custos e diminuição de credibilidade!
  • 25. Análises Alguns ataques específicos a ambientes de Computação em Nuvem ▫ Cloud Cartography Usado contra a Amazon ▫ Cloud Malware Injection ▫ Cloud War
  • 26. Análises Alguns ataques específicos a ambientes de Computação em Nuvem ▫ Uso de imagens maliciosas ▫ Comprometimento do hypervisor ▫ Comprometimento do processamento
  • 27. Análises Computação em Nuvem como plataforma para ataques ▫ ▫ ▫ ▫ ▫ Geração de hash-chains Quebra de senhas Botnets Imagens de VMs maliciosas Spam
  • 28. Análises Privacidade ▫ Dados estão armazenados em dispositivos sob controle de outros Quem tem acesso aos dados? A privacidade está legalmente garantida? Caso Wikileaks
  • 29. Análises Frameworks e boas práticas de segurança ▫ Praticas tradicionais não se aplicam a este ambiente Características muito diferentes ▫ Procedimentos padrão de segurança não garantem quase nada!
  • 30. Análises Redes de confiança ▫ Similar à estrutura dos certificados digitais ▫ Uma entidade confiável garante a reputação do provedor ▫ Deve-se confiar na entidade no topo da hierarquia
  • 31. Discussões ▫ Provedores ainda não garantem a segurança dos dados Política da Amazon ▫ Segurança dos dados e privacidade estão sujeitos às políticas e legislação vigentes nos países onde os dados/aplicações estão armazenados.
  • 32. Discussões ▫ Provedores podem ter infraestrutura distribuida geográficamente Ataques tradicionais às redes de dados e problemas legais ▫ Dificuldade em manter registros para auditoria e perícia e manter a privacidade dos usuários Provedor tem de manter dados de todos os clientes Mais um ativo para entrar no processo de gestão da segurança
  • 33. Discussões ▫ É necessário tornar os dados anônimos Foi possível “de-anonimizar” os dados de uma base do Netflix Existe um framework – Airavat – que tenta solucionar o problema Insere ruido na saida do processamento
  • 34. Conclusões ▫ Nuvem ainda não é totalmente segura ▫ É um novo modelo, com características diferentes ▫ Falta padronização/modelos de segurança aplicados à Nuvem ▫ Nova maneira de desenvolver software ▫ Sem um bom planejamento, não é o momento de mover dados/aplicações estratégicas para a nuvem Avaliar o Risco e o Impacto
  • 35. Conclusões ▫ Redes de confiança podem não ser solução suficiente Sistemas da Comodo foram invadidos diversas vezes ▫ Segurança dos dados e privacidade estão sujeitos às políticas e legislação vigentes nos países onde os dados/aplicações estão armazenados.
  • 36. Conclusões ▫ O usuário é o principal responsável pela disponibilidade de seus dados ▫ Os dados podem ficar indisponíveis como resultado de ataques ao provedor , às plataformas de execução ou como resultados de procedimentos de manutenção do ambiente ▫ Exitem riscos legais, além de usuários mal intencionados dentro das redes dos provedores de serviços
  • 37. Conclusões ▫ Existem também riscos de roubo de tráfego, comprometimento dos equipamentos e, no caso de IaaS, uso de imagens comprometidas ▫ Os provedores garantem o isolamento com medidas diversas. Mas ataques executados já mostraram ser possível comprometer essas medidas ▫ Empresas que concorrem com o provedor de serviços em algum negócio também correm risco
  • 38. Conclusões ▫ Há a dependência de dados disponibilizados e controlados pelo provedor para auditoria ▫ Ainda pode haver comprometimento no processamento dos dados ▫ É necessário uma padronização nos modelos de segurança, adaptados à realidade da Computação em Nuvem ▫ É preciso desenvolver frameworks e estabelecer boas práticas para a segurança na nuvem
  • 39. Trabalhos Futuros ▫ Análisar e avaliar frameworks já propostos ▫ Estudar e desenvolver framework de segurança ▫ Modelo de confiança e responsabilidade para imagens de VMs, softwares, plataformas, etc ▫ Estudar segurança em Computação em Nuvem usada por dispositivos móveis ▫ Estudar desenvolvimento de aplicações para nuvem, considerando a segurança como aspecto crítico
  • 40. Perguntas