Risco em projetos cloud computing
Upcoming SlideShare
Loading in...5
×
 

Risco em projetos cloud computing

on

  • 930 views

Risco em projetos cloud computing

Risco em projetos cloud computing

Statistics

Views

Total Views
930
Views on SlideShare
930
Embed Views
0

Actions

Likes
1
Downloads
18
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Risco em projetos cloud computing Risco em projetos cloud computing Presentation Transcript

  • Risco em Projetos Cloud Computing Alfredo Santos
  • Alfredo Santos• Formado em: – Ciências da Computação – Gestão de Empresas – Gestão de TI• Autor de livros de Segurança e Arquitetura de Sistemas• Certificado em Cobit e ISO 27002• Email: alfredo.luiz@gmail.com• Linkedin: http://www.linkedin.com/profile/view?id=871673• Site: www.alfredosantos.com.br
  • Cloud Computing - Inevitável View slide
  • Como o negócio vê Cloud Computing View slide
  • Risco em Projetos CloudComputing
  • Tipos de Cloud IaaS CloudPaaS SaaS
  • Tipos de Cloud - IaaS• IaaS (Infraestrutura como serviço) - Onde a infraestrutura básica é oferecida pelo provedor e os demais componentes e aplicativo são de responsabilidade do contratante.
  • Tipos de Cloud - PaaS• PaaS (Plataforma como serviço) - Onde o contratante entra com a solução de aplicação e os demais serviços são responsabilidades do provedor de serviços.
  • Tipos de Cloud - SaaS• SaaS (Software como serviço) - Onde toda solução é responsabilidade do provedor de serviços, o que não diminui a responsabilidade do dono da informação.
  • Como se previnir para diminuir o risco?
  • Estabelecer em contrato os SLAsincluindo os casos de incidentes de segurançaÉ muito importante um detalhamento forte de SLA nos contratospois o controle sai totalmente do time interno de TI e Segurança.Qualquer indisponibilidade de infraestrutura, ataques denegação de serviço, vulnerabilidades e outros incidentes desegurança, se não estiverem bem estabelecidos em contrato,não poderão ter o devido tratamento em tempo hábil,impedindo penalidades e multas.
  • Fornecer o desenho da arquitetura de segurançaO fornecedor deve alinhar com você (e detalhar em contrato) aarquitetura de segurança empregada no ambiente dele. Ele nãonecessariamente deve informar o fabricante, mas deve garantirque possui por exemplo:● Firewall segregando ambientes (Internet, Operação, dados decartões, etc.).● Antivírus● Soluções de detecção de intrusão
  • Possuir proteções especializadas de perímetro, como por exemplo, IPS e Firewall de aplicação.Segurança tecnológica não se resume a Firewall. É necessárioque seu parceiro de negócio que está disponibilizando assoluções na nuvem, esteja preparado para proteger o perímetrode forma mais efetiva.
  • Possuir proteções especializadas de perímetro, como por exemplo, IPS e Firewall de aplicação.Se for uma solução de e-mail na nuvem:● Antivírus● AntiSpam● Controle de vazamento de informação● Possibilidade de se criar regras específicas de bloqueio,incluindo anexos.● Monitoração dos e-mails
  • Possuir proteções especializadas de perímetro, como por exemplo, IPS e Firewall de aplicação.Se for uma solução de aplicativo na nuvem:● Ferramenta de detecção de intrusão (IPS)● Firewall de aplicação● Firewall de nova geração● Ferramenta de mitigação de ataques DDOS● Controle de vazamento de informação● Correlação de logs
  • Possuir firewall de rede segregando todas as redes, separando inclusive usuários operadores do ambiente de servidores.Agora um ponto de atenção em relação ao tradicional firewall éo correto posicionamento dele, sendo que é importanteposicionar segregando além do perímetro:● Servidores de aplicação x Base de dados geral● Bases de dados x dados de cartão de crédito● Ambiente de operação x ambiente de servidores
  • Segregação de função dentro do provedor, onde por exemplo, quem atua dentro do datacenter não é a mesma pessoa que opera o sistema.O objetivo deste ponto é garantir que uma pessoa com acessodireto a um equipamento não tenha acesso lógico ao mesmo,isso minimiza problemas diversos, como por exemplo, a pessoaconectar um HD externo e copiar informação privilegiada, ouacessar diretamente um servidor e manipular arquivos deconfiguração do mesmo.
  • Permitir Análises de Vulnerabilidade e Ethical HackingO provedor de solução na nuvem deverá permitir em contratoque sejam feitas análises de vulnerabilidade e Ethical Hackingem cima do ambiente, devidamente agendados visando garantirdisponibilidade do ambiente.Este tipo de análise poderá ser feita por uma empresa terceiracontratada pelo fornecedor, mas desde que seja reconhecida acredibilidade por você contratante.
  • Permitir acesso ao log do ambiente e sistemasAlinhar com o provedor quais serão os mecanismos para acessoa log do ambiente. É necessário ter visão de toda rastreabilidadede administração de usuários e perfis de acesso, incluindocriação, alteração, exclusão, troca de senha, além de registros dequem realizou determinadas transações criticas. Isso pode serdisponibilizado por um portal por exemplo.
  • Permitir o uso de ferramentas de correlação e retenção de logO provedor deve permitir o uso de coletores de log para enviopara ferramentas de correlação e retenção de log que ficamdentro de sua empresa (on premises).Depois disso, fica a cargo do correlacionador cruzar este log comoutros logs para identificar ameaças de segurança.
  • Ter um focal de segurança para atender o contratante durante toda vigência do contratoO provedor deve possuir uma pessoa que seja a ponte deaspectos de segurança com o cliente final. Esta pessoa é aresponsável por gerenciar as demandas e problemas que possamvir a acontecer com segurança. Esta pessoa também éresponsável por organizar os relatórios de segurança para ocontratante.
  • Realizar uma gestão de vulnerabilidades, ameaças e riscos alinhada com o contratante.Basicamente o ciclo de gestão de vulnerabilidades, ameaças eriscos deve ser alinhado com a área de segurança da informaçãodo contratante para que a empresa contratante tenha controledos riscos de segurança sem ficar “no escuro”.Este é o ponto mais complicado, pois os fornecedores não sesentem confortáveis em compartilhar isso, então o item anteriorde Análise de Vulnerabilidades e Ethical Hacking é fundamentalpara suprir parte de eventuais deficiências deste item.
  • Compartilhar a politica de continuidade de negócios e plano de recuperação de desastresO recomendado neste caso é uma apresentação de como ofornecedor gerencia estes pontos e SLAs voltados paracontinuidade de negócio estabelecidos em contrato.
  • Ter a certificação SAS70 ou similarSAS70 e certificações novas similares são certificações voltadaspara datacenter e não necessariamente para soluções na nuvem.Então considerem que este tipo de certificação é obrigatóriopara um datacenter, mas não suficiente para não checar osdemais itens de computação na nuvem.
  • Detalhar em contrato o processo de termino de atividadesBasicamente se resume em detalhar no contrato como serátratada a informação no caso de fim de contratação do serviçona nuvem.Deve ser considerada a questão de exportação e entrega dainformação e destruição de backups e rastros de dados queficariam no provedor.
  • Detalhar em contrato o processo de descarte de dadosEm contrato devem ser estabelecidos os métodos utilizados paradescarte de dados considerando storage de servidores e fitas debackup relacionadas a seu negócio.
  • Detalhar em contrato o processo de respostas a demandas legaisUm provedor de serviços na nuvem, eventualmente pode sofreruma demanda legal de entrega de informações (Isso pode variarmuito de acordo com as leis de cada pais).É necessário estabelecer um processo de comunicação para ocontratante nos casos de demanda legal, onde o mesmo deveser avisado, no caso da necessidade de entrega de ativos deinformação.
  • Detalhar em contrato o processo de backup e guarda de fitasOutro item importante que deve ser claramente detalhado emcontrato.A frequência de backup (diário, mensal e anual por exemplo)deve ser acordada e colocada no contrato e a guarda do backupdeve ficar em local seguro, externo a empresa do provedor.
  • Detalhar o quanto o ambiente/infraestrutura é compartilhado com outros clientesEste ponto precisa ser claramente estabelecido entre as partes eclaramente documentado em contrato.Existem diversas possibilidades de segregação que podemocorrer em um ambiente de solução na nuvem.
  • Segurança por obscuridade
  • Detalhar o quanto o ambiente/infraestrutura é compartilhado com outros clientesInfraestrutura (Firewall, rede, servidores web) compartilhados edados em servidores separados.Infraestrutura e dados em ambientes compartilhadosDados segregados em lógica de programação (pior caso), onde ocódigo do programa define o que vai exibir para cada cliente.
  • Informar como gerenciam o controle de vazamento de informaçãoSua informação está em um local sem seu controle e operadopor outras pessoas. É necessário entender (E sempre colocar emcontrato) como o vazamento de informação é gerenciado pelacontratada.Pode ser um ambiente muito restrito, onde os operadores nãoacessam internet ou mídias removíveis (USB, CD, DVD, etc.) ouum ambiente com solução de DLP instalada.
  • Detalhar procedimentos em casos de ataques DDOSDetalhar em contrato como funciona a prevenção a DDOS (Casoexista) e como funciona o procedimento de comunicação para ocontratante.
  • Identificar onde ficará o datacenter ou osdatacenters da solução para atender ou se preocupar com particularidades legais locaisBasicamente é importante constar em contrato a localização dosdatacenters onde ficarão os dados da solução em nuvem, poisisso influenciará a questão de atendimento a demandas legaisque podem variar de acordo com o pais.
  • Demonstrar o processo de gestão de chaves criptográficasEsta é uma das partes mais importantes de segurança emcomputação na nuvem pois é decisiva em relação àconfidencialidade de dados.O mais correto é que os dados sejam criptografados e que aschaves de criptografia fiquem em poder do contratante, poiscaso fiquem em poder do contratado, existe um risco maior deque alguém roube ou utilize as mesmas.
  • Controle de acessoImagine que sua aplicação está fora agora da sua empresa. Comofica a questão de gestão de usuários (Criação, Exclusão,Alteração) e perfis de acesso?Um caminho é a gestão por meio da interface fornecida pelocontratado, outro meio, é a utilização de um recurso conhecidocomo federação.
  • Controle de acessoBasicamente federação consiste em uma base de usuáriosconfiar em bases externas. Ou seja, a aplicação na nuvem podeconsultar um usuário dentro da sua empresa na sua base derede por exemplo.Isso te dá uma série de vantagens, como por exemplo, ter ocontrole dos usuários mais próximos, facilidade para bloquearum usuário, senha única, etc.
  • Controle de acessoOutra preocupação em relação a controle de acesso é o uso deautenticação forte, pois considerando que o serviço ficará maisexposto na internet, o ideal é que o usuário utilize algo mais,além do par tradicional, usuário e senha. Neste caso,recomendo:● Token físico● Cartão de senhas● Biometria● Senha por SMS
  • Permissão de auditorias externasApós o fornecedor prometer os diversos itens acima, é chegada ahora de considerarem em contrato que você contratante poderealizar visitas de auditorias periódicas para comprovar oandamento dos compromissos de contrato relacionados àsegurança.Para isto ser mais efetivo, sugiro o uso de um checklist. Estechecklist pode ser utilizado para o momento de contratação epara estas auditorias periódicas.
  • Checklist