• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
CSABR - Cloud Computing: Entendendo os Riscos no Horizonte 20110718 IDETI
 

CSABR - Cloud Computing: Entendendo os Riscos no Horizonte 20110718 IDETI

on

  • 578 views

Present

Present

Statistics

Views

Total Views
578
Views on SlideShare
578
Embed Views
0

Actions

Likes
0
Downloads
14
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

CC Attribution-ShareAlike LicenseCC Attribution-ShareAlike License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    CSABR - Cloud Computing: Entendendo os Riscos no Horizonte 20110718 IDETI CSABR - Cloud Computing: Entendendo os Riscos no Horizonte 20110718 IDETI Presentation Transcript

    • Computação  em  Nuvem   Entendendo  os  Riscos  no  Horizonte  Anchises  M.  G.  De  Paula  Diretor,  CSA  Brasil  Analista  de  Inteligência,  Verisign   1  
    • Agenda  –   Porque  segurança  em  Computação  em  Nuvem?  –   Principais  Riscos  –   Principais  ameaças   2  
    • CLOUD  COMPUTING  SECURITY    Porque  segurança  em  Computação  em  Nuvem?   3  
    • Computação  em  Nuvem  Computação  em  nuvem  é  um  conceito  em  evolução     –   Preocupação  com  segurança  crescendo     –   Necessidades  e  incidentes  específicos.     fonte:  infosuck.org   4  
    • Cloud  Compu3ng  é  seguro?  •  Depende...  •  Seguro     comparado  com     o  que?   –  Precisamos  de   um  contexto   fonte:  sxc.hu   5  
    • Considerações  de  Segurança     –   Computação  em  Nuvem   não  é  mais  ou  menos  segura   –   Os  controles  de  segurança   para  Computação  em  Nuvem   não  são  diferentes  dos   controles  de  segurança  para   qualquer  ambiente  de  TI.       fonte:  sxc.hu   6  
    • Computação  em  Nuvem  Modelo  de  Referência   –   Relações  e  dependências  entre   os  modelos  de  Computação  em   Nuvem     –   CaracterísXcas  são  herdadas   –   Também  são  herdadas  as   questões  de  segurança  da   informação  e  o  risco   fonte:  CSA   7  
    • Segurança  da  Computação  em  Nuvem   Provedor   S   E   G   U   R   A   N   Ç   A   fonte:  CSA   Cliente   8  
    • Como  integrar  a  segurança   fonte:  CSA   9  
    • Estratégia  para  Análise  de  Riscos  •  IdenXficar  o  aXvo  para   implantação  na  nuvem  •  Entender  as   necessidades  e  os  riscos  •  Mapear  o  aXvo  com  o   modelo  de  implantação  •  Avaliar  os  modelos  de   serviços  e  fornecedores  •  Selecionar  estratégias   de  miXgação   fonte:  sxc.hu   10  
    • Segurança  da  Computação  em  Nuvem   Mapear  o  Modelo  de  Nuvem  para  o  Modelo  de   Controles  de  Segurança  &  Conformidade   fonte:  CSA   11  
    • NOVOS  RISCOS  Riscos  na  adoção  da  Computação  em  Nuvem   12  
    • Riscos  de  Cloud  Compu3ng   2/22/10   El  68%  de  los  CIO  europeos   considera  la  seguridad  como  el  •  Computação  em  Nuvem   principal  inconveniente  del   cria  novos  riscos  e  novas   cloud  compuEng   by  Segu.info   oportunidades   Según  un  informe  de  Colt  entre   responsables  de  TI  de  13  países   europeos,  el  68%  de  los  encuestados   cree  que  la  seguridad  es  la  principal   barrera  para  la  adopción  de  servicios   cloud  compuEng,  cifra  que  en     España  alcanza  el  79%.   13  
    • Riscos  de  Cloud  Compu3ng  •  Cloud  CompuXng  herda   vários  riscos  associados   às  tecnologias  que  uXliza  •  Conjunto  específico  de   atributos  que  tornam  a   análise  de  riscos  mais   complexa   –  Novos  paradigmas   –  Detalhes  obscuros  do  CSP   14  
    • Principais  Riscos  na  Nuvem   “Guia  de  Segurança  para  Áreas  CríXcas  Focado  em        Computação  em  Nuvem  V2.1”   Seção  I.     •  Domínio  1:  Framework  da  Arquitetura  de  Computação  em  Nuvem   Arquitetura     •  Domínio  2:  Governança  e  Gestão  de  Risco  CorporaXvo   da  Nuvem     •  Domínio  3:  Aspectos  Legais  e  Electronic  Discovery   Seção  II.     •  Domínio  4:  Conformidade  e  Auditoria   Governança  na     •  Domínio  5:  Gerenciamento  do  Ciclo  de  Vida  das  Informações   Nuvem   •  Domínio  6:  Portabilidade  e  Interoperabilidade   •  Domínio  7:  Segurança  Tradicional,  ConXnuidade     de  Negócios  e  Recuperação  de  Desastres   •  Domínio  8:  Operações  e  Data  center     •  Domínio  9:  Resposta  a  Incidente,  NoXficação  e  Remediação   Seção  III.     •  Domínio  10:  Segurança  de  Aplicações   Operando  na     •  Domínio  11:  Criptografia  e  Gerenciamento  de  Chaves   Nuvem   •  Domínio  12:  Gerenciamento  de  IdenXdade  e  Acesso   •  Domínio  13  -­‐  Virtualização  15   15  
    • Governança  e  Gestão  de  Riscos   Corpora3vos  •  Como  governar  e  medir   Novos  riscos?   o  risco  introduzido  pela   Computação  em  Nuvem    •  Responsabilidade  para   Alguns  provedores  restringem   proteger  dados   avaliações  de  vulnerabilidades   sensíveis  caso  o   ou  testes  de  invasão   provedor  ou  usuário     falharem   Disponibilidade  limitada  dos  •  Como  essas  questões   logs  de  auditoria  e  do   são  afetadas  por   fronteiras  internacionais   monitoramento  de  aXvidades.   16  
    • Aspectos  Legais  e  Electronic  Discovery   •  Problemas  legais  em   Novos  riscos?   potencial  ao  se     uXlizar  Computação   Onde  o  provedor  de  serviços   em  Nuvem   de  nuvem  irá  hospedar  os   •  Requisitos  de   dados?   proteção  da     informação   •  Conformidade  com  leis   locais     •  Requisitos   •  Ex:  Restrição  do  fluxo  de   regulatórios   dados  além  das  fronteiras,   •  Leis  internacionais   leis  sobre  privacidade,  etc   17  
    • Conformidade  e  Auditoria  •  Manutenção  e   Novos  riscos?   comprovação  de   conformidade  ao  usar     a  Computação  em   Direito  de  Auditar   Nuvem    •  Como  a  Computação   em  Nuvem  afeta  o   Processos  para  coletar  e   cumprimento  de   armazenar  evidências  de   políXcas  de  segurança   conformidade   interna  e  requisitos  de   conformidade  •  Como  comprovar  a   conformidade   18  
    • Gerenciamento  do  Ciclo  de  Vida  das   Informações  •  Gerenciamento  dos   Novos  riscos?   Acesso     intra-­‐nuvem   dados  colocados  na     Nuvem    •  Confidencialidade,   integridade  e   disponibilidade  •  Controles   compensatórios  para   lidar  com  a  perda  de   MúlEplas   controle  lsico   transferências   de  dados   Término   fonte:  CSA   dos  serviços   19  
    • Portabilidade  e  Interoperabilidade  •  Habilidade  de  mover   Novos  riscos?   dados  e/ou  serviços     de  um  provedor  para   “Lock-­‐in”   outro  ou  totalmente   Falta  de  padrões  de   de  volta  para  a   interoperabilidade     empresa   Ambientes  proprietários  •  Interoperabilidade   A   entre  fornecedores   B   20  
    • Segurança  Tradicional,  Cont.  de  Negócios  e  Recuperação  de  Desastres   •  Como  a  Computação  em   Novos  riscos?   Nuvem  afeta  os   processos  e     procedimentos   Ritmo  acelerado  de  mudanças   operacionais  de   Falta  de  transparência     segurança,  BCP  e  DRP   Controle  e  monitoração   •  A  Computação  em   cononua  dos  provedores  de   Nuvem  pode  ajudar  a   nuvem   diminuir  certos  riscos,  ou   •  Ciclos  mais  frequentes  de   implica  em  aumento  dos   monitoração  e  auditoria   riscos   21  
    • Operações  e  Data  Center  •  Como  avaliar  a   Novos  riscos?   arquitetura  e  a   operação  de  um     fornecedor  de  Data   Capacidades  reais  dos   Center   provedores  •  CaracterísXcas  de     Mar.  13,  2010   Data  Centers  que   podem  ser  prejudiciais     Amazon  cloud  outage  was   triggered  by  configuraEon  error   e  as  fundamentais   By  Computerworld   Amazon  has  released  a  detailed  postmortem   para  estabilidade  a   and  mea  culpa  about  the  parEal  outage  of  its   longo  prazo   cloud  services  pla_orm  last  week  and   idenEfied  the  culprit:  A  configuraEon  error   made  during  a  network  upgrade.     22  
    • Resposta  a  Incidente,  No3ficação  e   Remediação  •  Detecção  de   Novos  riscos?   incidentes,  resposta,     noXficação  e   Dependência  do  CSP  para   correção   resposta  a  incidentes  e  •  Aborda  prestadores   invesXgação   de  serviços  e   •  MúlXplos  clientes,  logs   agregados   consumidores    •  Forense   Forense  na  “nuvem”?   computacional     23  
    • Segurança  de  Aplicações  •  Modos  de  proteger  a   Novos  riscos?   aplicação  sendo     executada  ou   desenvolvida  na   Nova  Arquitetura  de   nuvem   Segurança  da  Aplicação  •  É  apropriado  migrar     ou  projetar  uma   Dependências   aplicação  na  nuvem?    •  Qual  melhor  modelo   (SaaS,  PaaS  ou  IaaS)  ?   Comunicação  inter-­‐hosts     24  
    • Criptografia  e  Gerenciamento  de   Chaves  •  DiscuXr  por  que   Novos  riscos?   criptografia  é     necessária   Comunicação  inter-­‐hosts   Dados  em  repouso  •  Proteger  o  acesso  aos   •  Em  disco  ou  em  banco  de   dados  de  produção   recursos  ou  proteger   Dados  em  backup     os  dados   25  
    • Gerenciamento  de  Iden3dade  e  Acesso   •  Foco  em  riscos   Novos  riscos?   quando  se  estende  a     idenXdade  de  uma   Gerenciamento  de  IdenXdade   organização  para   e  Acesso   Nuvem   •  Como  estender  os   processos  e  práXcas  aos   •  Avaliar  a  capacidade   serviços  de  nuvem   da  organização  para   •  Controlar  e  auditar  o  acesso   realizar  a  gestão  de   ao  serviço  de  nuvem   idenXdade  e  acesso   •  AutenXcação  forte   baseados  na  Nuvem   26  
    • Virtualização  •  Questões  de   Novos  riscos?   segurança  em  torno   do  sistema/hardware     de  virtualização  em   Comunicação  entre  hardware,   Computação  em   e  não  através  de  rede   Nuvem    •  Aborda  riscos   associados  com   ComparXmentalização  e   mulXlocação   elevação  do  nível  de  segurança  •  Isolamento  de  VMs   em  sistemas  virtuais  •  Vulnerabilidades  em     Hypervisor   Centralização  dos  dados   27  
    • PRINCIPAIS  AMEAÇAS  Sete  principais  ameaças  na  adoção  da  Computação  em  Nuvem   28  
    • Principais  Riscos  Para  Computação  em   Nuvem   1-­‐  Abuso  e  uso  Malicioso  de  Computação  em  Nuvem   –   Qualquer  pessoa  com  um  cartão  de  crédito  válido  pode   se  registrar  e  usar  os  serviços  em  nuvem   •   Spammers,  autores  de  códigos  maliciosos  e  criminosos   •   Uso  anônimo  e  impune   –   Usos  maliciosos   •   Quebra  de  senhas   •   Realizar  ataques  (ex:  DDoS)   •   Hospedar  dados  maliciosos   CSA  Guidance:   •   Controle  de  botnets   Domínios  8  e  9   IaaS   PaaS   SaaS   29  
    • Principais  Riscos  Para  Computação  em   Nuvem   2-­‐  Interfaces  e  APIs  Inseguras   –   Segurança  e  disponibilidade  dos  serviços  na  nuvem  são   dependentes  das  interfaces  e  APIs  de  gerenciamento   –   Falhas  acidentais  ou  mal  intencionadas   –   Complexidade   •   Serviços  desconhecidos   –   Controle  de  acesso   •   Acessos  anônonimos   •   Senhas  e  dados  trafegados  em  aberto   CSA  Guidance:   Domínio  10   IaaS   PaaS   SaaS   30  
    • Principais  Riscos  Para  Computação  em   Nuvem   3-­‐  Usuários  Internos  Maliciosos   –   Ameaça  amplificada   •   Convergência  de  serviços  e  usuários   •   Falta  de  transparência  do  provedor   •   Funcionários  do  provedor   •   Baixo  risco  de  detecção   –   Potenciais  ameaças   •   Concorrentes   •   Espionagem   CSA  Guidance:   •   Hackers     Domínios  2  e  7   IaaS   PaaS   SaaS   31  
    • Principais  Riscos  Para  Computação  em   Nuvem   4-­‐  Uso  de  Tecnologias  de  ComparXlhamento   –   Forte  isolamento  em  ambientes  mulX-­‐locatários   –   Falhas  no  sistema  de  controle  (hypervisor)   •   Sistemas  virtuais  podem  ter  acesso  ao  sistema  hospedeiro   •   Falha  nos  controles  e  isolamento   –   Clientes  não  devem  ter  acesso  a  dados  de  outros   clientes   •   Dados  atuais  ou  residuais   •   Tráfego  de  rede   CSA  Guidance:     Domínios  8  e  13   IaaS   PaaS   SaaS   32  
    • Principais  Riscos  Para  Computação  em   Nuvem   5-­‐  Perda  ou  Vazamento  de  Dados   –   Pode  ser  devastador  para  uma  empresa   –   Arquitetura  e  ambiente  da  Nuvem  aumentam  os  riscos   •   Falha  nos  controles  de  autenXcação,  autorização  e  auditoria   (AAA)   •   Falhas  operacionais   •   Persistência  e  remanescência  dos  dados   •   Jurisdição   •   Disponibilidade  do  provedor   CSA  Guidance:   Domínios  5,  11  e  12   IaaS   PaaS   SaaS   33  
    • Principais  Riscos  Para  Computação  em   Nuvem   6-­‐  Sequestro  de  Serviço  ou  de  Conta   –   Roubo  de  credenciais   •   Phishing,  fraude  ou  exploração  de  falhas   –   Acesso  indevido  a  Nuvem   •   Acessar  dados  e  transações   •   Manipulação  dos  dados   •   Redirecionar  usuários  para  outros  sites   CSA  Guidance:   Domínios  2,  9  e  12   IaaS   PaaS   SaaS   34  
    • Principais  Riscos  Para  Computação  em   Nuvem   7-­‐  Riscos  Desconhecidos   –   Na  Computação  em  Nuvem,  as  empresas  abrem  mão  da   gestão  do  hardware  e  do  soxware  para  focar  no  negócio   •   Segurança  por  obscuridade  e  baixo  esforço   •   Perde  controles  de  segurança   –   Detalhes  de  operação  e  compliance  do  fornecedor   •   Versão  de  soxware  e  atualização  de  código   •   Com  quem  você  comparXlha  a  infra-­‐estrutura   •   TentaXvas  de  ataque   CSA  Guidance:   •   Guarda  de  logs   Domínios  2,  3,  8  e  9   IaaS   PaaS   SaaS   35  
    • CONCLUSÕES   36  
    • Segurança  de  Cloud  Compu3ng  •  Análise  de  riscos  é   fundamental  •  Segurança  na  “nuvem”   não  é  muito  diferente   das  necessidades   “pré-­‐nuvem”   fonte:  sxc.hu   37  
    • Previsão  do  Tempo  •  Muitas  nuvens  a  frente    •  Sujeito  a  chuvas  e   trovoadas  esporádicas  •  Tenha  sempre  um   guarda-­‐chuva  guardado     fonte:  Wikimedia  Commons   38  
    • Referências   •  NIST  Cloud  CompuXng  Project    hPp://csrc.nist.gov/groups/SNS/cloud-­‐compu3ng/index.html   •  “Cloud  CompuXng:  Benefits,  risks     and  recommendaXons  for  informaXon  security”   hPp://www.enisa.europa.eu/act/rm/files/deliverables/cloud-­‐ compu3ng-­‐risk-­‐assessment  39   39  
    • Referências  Security  Guidance  for  CriXcal  Areas  of  Focus    in  Cloud  CompuXng  v.  2.1   –   Referência  para  análise  dos  riscos          hzp://www.cloudsecurityalliance.org/guidance/csaguide.pdf    Top  Threats  to  Cloud  CompuXng  V1.0   –   Sete  principais  riscos            hzp://www.cloudsecurityalliance.org/topthreats.html     40  
    • Referências   •  “CSA  Cloud  Controls  Matrix  V1”   –  Lançado  em  27  de  Abril  27,  2010   –  hzp://www.cloudsecurityalliance.org/cm.html    41   41  
    • Obrigado         Anchises  M.  G.  de  Paula   Membro  da  CSA  Brasil   anchisesbr@gmail.com   twizer.com/anchisesbr   twizer.com/csabr  hzps://chapters.cloudsecurityalliance.org/brazil   hzp://www.cloudsecurityalliance.org   42  
    • Sobre  a  Cloud  Security  Alliance    –   Associação  sem  fins  lucraXvos  –   Oficializada  em  Dezembro  de  2008  –   +12mil  Membros  –   Presente  em  vários  países  através  de  Chapters  locais   43  
    • CSA:  Missão  To   promote   the   use   of   best  pracXces   for   providing  security   assurance   within  Cloud   CompuXng,   and  provide   educaXon   on   the  uses  of  Cloud  CompuXng  to  help   secure   all   other   forms  of  compuXng.   fonte:  sxc.hu   44  
    • CSA  Brasil:   Overview    –   Segundo  Chapter  oficial  da  CSA  –   Oficializado  em  27  de  Maio  de  2010  –   Mais  de  100  membros  –   Board:  Leonardo  Goldim;  Anchises  Moraes,  Jaime  OrXs  y  Lugo,  Jordan  Bonagura,  Olympio  Renno  –   Segue  Missão  e  ObjeXvos  da  CSA  Global   45