Your SlideShare is downloading. ×
  • Like
Segurança, gestão e sustentabilidade para cloud computing
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Segurança, gestão e sustentabilidade para cloud computing

  • 497 views
Published

Esta apresentação descreve a nossa experiência com uma nuvem privada, e discute o projeto e a implementação de um Private Cloud Monitoring System (PCMONS) e sua aplicação através de um estudo de caso …

Esta apresentação descreve a nossa experiência com uma nuvem privada, e discute o projeto e a implementação de um Private Cloud Monitoring System (PCMONS) e sua aplicação através de um estudo de caso para a arquitetura proposta. O objetivo desta apresentação é também fornecer gerenciamento de identidade, com base na federação digital de identidade, com autenticação e autorização de mecanismos de acesso a controle em ambientes de computação em nuvem. Green cloud computing visa uma transformação infra-estrutura que combina flexibilidade, qualidade dos serviços e energia reduzida utilização. Esta apresentação também introduz o modelo de gestão do sistema, análises de comportamento do sistema, descreve os princípios de operação e apresenta um caso de estudo de cenário e alguns resultados de nuvens verdes.

Published in Education
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
497
On SlideShare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
30
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Segurança naComputação emNuvem LRG – Laboratório de Redes e Gerência Carla Merkle Westphall carlamw@inf.ufsc.br Carlos Becker Westphall westphal@inf.ufsc.br
  • 2. 2Roteiro• Ambiente• Ameaças• Desafios
  • 3. 3Segurança CID – confidencialidade, integridade, disponibilidade Ameaças – condições ou eventos que forneçam potencial de violação de segurança Vulnerabilidade – falha ou característica indevida que pode ser explorada Ataque – conjunto de ações feitas por entidade não autorizada visando violações de segurança
  • 4. 4Computação em nuvemHardware e Software entregues:• Sob demanda na forma de auto-atendimento• Independente de dispositivo e de localizaçãoRecursos necessários• Compartilhados• Dinamicamente escaláveis• Alocados rapidamente e liberados com interação mínima com o provedor de serviço• Virtualizados Usuários pagam pelo serviço usado
  • 5. 5
  • 6. 6http://cloudtaxonomy.opencrowd.com/taxonomy/
  • 7. 7Tecnologias usadas• Aplicações e serviços Web• Virtualização• Criptografia
  • 8. 8 Segurança e economia• Em larga escala implementar segurança é mais barato (filtros, gerenciamento de patches, proteção de máquinas virtuais)• Grandes provedores de cloud podem contratar especialistas• Atualizações são mais rápidas em ambientes homogêneos para responder aos incidentes• Imagens padrão de VMs e softwares podem ser atualizados com configurações de segurança e patches “Mesmo valor de investimentos em segurança compra uma proteção melhor"
  • 9. 9 Defesas de ambientes de nuvem podem ser mais robustas, escaláveis e ter uma relação custo-benefício melhor, mas…....a concentração grande de recursos e dados são um alvo mais atraente para atacantes
  • 10. 10Ameaças• Desvio de sessão (session hijacking): o atacante consegue se apoderar de uma sessão HTTP válida para obter acesso não autorizado
  • 11. 11Ameaças• Fuga da virtualização: o atacante consegue sair do ambiente virtualizado e obter acesso à máquina física
  • 12. 12 Ameaças• Criptografia insegura e obsoleta: ▫ avanços na criptoanálise, protocolos e algoritmos antes considerados seguros passam a ser obsoletos e vulneráveis ▫ gerenciamento e armazenamento de muitas chaves, hardware não é fixo, difícil ter HSM• Amazon S3 (serviço de storage) usa 256-bit Advanced Encryption Standard (AES-256)
  • 13. 13Ameaças• Acesso não autorizado à interface de gerência: com o auto-atendimento o gerenciamento de clouds geralmente é feito em uma interface web, sendo mais fácil para um atacante obter acesso não autorizado
  • 14. 14Ameaças• Vulnerabilidades do IP: acesso via Internet, rede não confiável, IP possui problemas de segurança (scanning IaaS proibido)• Vulnerabilidades de recuperação de dados: devido a realocação de recursos é possível que um usuário tenha acesso a recursos de armazenamento e memória previamente utilizados que ainda podem conter dados
  • 15. 15Ameaças• Injeção de código malicioso: ▫ injeção de SQL – comando SQL é adicionado ou substitui dados fornecidos pelo usuário que são interpretados (e executados) ▫ Cross-Site Scripting - permite a execução de códigos (scripts) no browser do lado do cliente
  • 16. 16 SQL Injection – Ilustração "SELECT * FROM Conta :: Contas Conta accounts WHERE Knowledge Mgmt Communication Administration Legacy Systems Bus. FunctionsApplication Layer Human Resrcs E-Commerce Transactions Web Services SKU: acct=‘’ OR Directories Accounts Conta:5424-6066-2134-4334 Databases Finance HTTP Billing HTTP SQL DB Table Conta:4128-7574-3921-0192 response  1=1--’" request query Conta:5424-9383-2039-4029 APPLICATION    Conta:4128-0004-1234-0293  ATTACK  Custom Code 1. Aplicação apresenta um formulário para o atacante 2. Atacante envia um ataque nos dados do formulário App Server 3. Aplicação encaminha o ataque Web Server para o BD em uma consulta SQL Hardened OS 4. Banco de dados executa aNetwork Layer consulta contendo o ataque e envia resultados cifrados de volta para a Firewall Firewall aplicação 5. Aplicação decifra dados como normais e envia resultados para o usuário OWASP - 2010
  • 17. 17Cross-Site Scripting - Ilustração 1 Atacante envia uma armadilha – atualize o meu perfil Aplicação com vulnerabilidade Atacante envia um XSS armazenada script malicioso em uma página web que armazena os dados no Communication Bus. Functions Administration servidor E-Commerce Transactions Knowledge 2 Vítima viu página – viu o perfil do atacante Accounts Finance Mgmt Custom Code Script executa no browser da vítima com acesso completo ao DOM e cookies 3 Script envia silenciosamente o cookie de sessão da vítima para o atacante OWASP - 2010
  • 18. 18Ameaças• Uso nefasto e abusivo (Iaas, PaaS): poder computacional, rede e armazenamentos ilimitados são usados por usuário cadastrado. Usuário pode ser spammer, distribuir código malicioso ou outro criminoso. É só ter cartão de crédito ! Crack de senhas e chaves, disparo de ataques, DDOS (X-DoS, H-DoS), comando e controle de botnet (Zeus botnet)
  • 19. 19
  • 20. 20Ameaças• Interfaces e APIs inseguras (Iaas, PaaS, SaaS) Acesso anônimo e ou tokens ou senha reusáveis, autenticação ou transmissão de dados sem criptografia, autorização imprópria, monitoramento e log limitados, dependências de APIs e serviços desconhecidas
  • 21. 21Ainda...• Usuários não conseguem monitorar a segurança de seus recursos na nuvem• Possibilidade de auditoria da segurança insuficiente• Não existem padrões de medidas específicas para cloud• A computação nas nuvens separa os componentes de sua localização e isso cria questões de segurança que resultam desta falta de perímetro
  • 22. 22
  • 23. 23
  • 24. 24Cloud Security Alliance• Domínios de governança• Domínios operacionais 1. Segurança tradicional, planos de continuidade e recuperação de desastres 2. Operações dos datacenters 3. Tratamento de incidentes 4. Segurança das aplicações 5. Criptografia e gerenciamento de chaves 6. Gerenciamento de identidades e de acesso 7. Virtualização 8. Segurança como serviço
  • 25. 25Desafios - Criptografia• Criptografia forte• Gerenciamento de chaves escalável ▫ uma única chave por usuário? ▫ uma única chave para todos os usuários? ▫ múltiplas chaves para o mesmo usuário?• Usuários e provedores devem cifrar todos os dados em trânsito e também dados estáticos
  • 26. 26Desafios - Multi-tenancy• Diferentes quanto a segurança, SLA, governança, políticas
  • 27. 27Desafios – Aplicações e IAM• Segurança de aplicações (IaaS, PaaS, SaaS)• Gerenciamento de Identidades e de Acesso (Identity and Access Management) ▫ Proliferação de identidades ▫ Autenticação única (Single Sign On) ▫ Federação de identidades ▫ Privacidade do usuário ▫ Controle de acesso
  • 28. 28Tecnologias• SAML, XACML• XML-Encryption, XML-Signature• WS (Web Services) Security ▫ WS-Trust ▫ WS-Policy ▫ ...• OpenID, Google, Shibboleth, ...
  • 29. 29Amazon EC2 http://aws.amazon.com/security/• PCI DSS (Payment Card Industry Data Security Standard) Level 1• ISO 27001• FISMA (Federal Information Security Management Act) Moderate• HIPAA (Health Insurance Portability and Accountability Act)• SAS 70 (Statement on Auditing Standards) Type II
  • 30. 30Amazon EC2 http://aws.amazon.com/security/• Segurança física e operacional• Criptografia no sistema de arquivos• Uso do SSL (https)• Gerência de chaves: usuário cuida• Gerenciamento de Identidades e de Acesso ▫ Criar e gerenciar usuários ▫ Identidades federadas ▫ Credenciais para autorização ▫ APIs de programação
  • 31. 31Pesquisas• Muito trabalho a ser feito• Vários assuntos de pesquisa• No LRG: ▫ Gerenciamento de identidade e acesso na computação em nuvem ▫ Dissertações de mestrado no PPGCC ▫ TCC ▫ Bolsas Pibic/CNPq
  • 32. 32Referências• Grobauer, B.; Walloschek, T.; Stocker, E. (2011) "Understanding Cloud Computing Vulnerabilities," Security & Privacy, IEEE , vol.9, no.2, pp.50-57, March-April 2011.• Chaves, S.; Westphal, C. B.; Westphall, C. M.; Gerônimo, G. A. “Customer Security Concerns in Cloud Computing,” ICN 2011, pp. 7- 11, 2011.• Gonzalez, N.; Miers, C.; Redigolo, F.; Carvalho, T.; Simplicio, M.; Naslund, M.; Pourzandi, M.; , "A Quantitative Analysis of Current Security Concerns and Solutions for Cloud Computing,“ IEEE CloudCom, pp.231-238, 2011.• CSA (2011). Security Guidance for Critical Areas of Focus in Cloud Computing – v3.0. Cloud Security Alliance. https://cloudsecurityalliance.org/• CSA (2010). Top Threats to Cloud Computing V1.0.• CSA BR - https://chapters.cloudsecurityalliance.org/brazil/
  • 33. 33Obrigada!