Vale Security Conference - 2011 - 15 - Anchises de Paula

1,018 views
965 views

Published on

Vale Security Conference - 2011
Domingo - 15ª Palestra
Palestrante : Anchises de Paula
Palestra : FOG Computing - Quando Cloud Computing #FAIL
Twitter (Anchises de Paula) : https://twitter.com/#!/anchisesbr
Slide (SlideShare) : http://www.slideshare.net/valesecconf/anchises

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,018
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
12
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Vale Security Conference - 2011 - 15 - Anchises de Paula

  1. 1. Fog Computing As falhas e riscos da Computação em Nuvem Anchises M. G. de Paula iDefense Intelligence Analyst adepaula@verisign.com1 Verisign Confidential Verisign Confidential
  2. 2. #FAIL Mar. 13, 2010! Apr. 29, 2011! Car Crash Triggers Amazon Amazon cloud outage was Power Outage! triggered by configuration By Datacenter Knowledge! error! Amazonʼs EC2 cloud computing By Computerworld! service suffered its fourth power Amazon has released a detailed outage in a week on Tuesday, with postmortem and mea culpa about the some customers in its US East Region partial outage of its cloud services losing service for about an hour. The platform last week and identified the incident was triggered when a vehicle culprit: A configuration error made crashed into a utility pole near one of during a network upgrade. ! the companyʼs data centers, and a During this configuration change, a transfer switch failed to properly traffic shift "was executed 
 manage the 
 incorrectly," Amazon said (…).! shift from utility power to the 
 facilityʼs generators.!2 Verisign Confidential
  3. 3. #FAIL Mesmo estando na Nuvem, seu site pode evaporar ? Picture source: sxc.hu!3 Verisign Confidential
  4. 4. Agenda •  Overview - Cloud Computing fonte: sxc.hu! •  Conhecendo os riscos de Cloud Computing •  Novos riscos na Nuvem4 Verisign Confidential
  5. 5. Overview de Cloud Computing55! Verisign Confidential Verisign Confidential
  6. 6. Overview 20/1/10! •  Cloud Computing se Cloud Computing for tornou um termo popular Business and Society! em TI e negócios by Brad Smith, The Huffington Post! (…)! According to a recent survey conducted by Microsoft, more than 90 percent of Americans are using some form of cloud computing; nearly all of us are connected to the cloud. !6 6! Verisign Confidential
  7. 7. O que é Cloud Computing? “A style of computing where massively scalable IT- enabled capabilities are provided "as a service" to external customers using Internet technologies… … where the consumers of the services need only care about what the service does for them, not how it is implemented” Gartner! fonte: sxc.hu!7 Verisign Confidential
  8. 8. Overview •  Cloud Computing representa uma mistura e evolução de várias 2008! tecnologias Cloud Computing! Software as a Service! 1990! Utility Computing! Grid Computing!fonte: Oxford !8 8! Verisign Confidential
  9. 9. Overview Fonte: iDefense!9 Verisign Confidential
  10. 10. Overview •  Três categorias básicas de Cloud Computing: •  Infrastructure as a Service (IaaS) •  Platform as a Service (PaaS) •  Software as a Service (SaaS) 10!10 Verisign Confidential
  11. 11. Overview §  Três categorias básicas de Cloud Computing:! Cliente! – Infrastructure as a Service (IaaS)! S ! E ! G U – Platform as a Service (PaaS)! R A N Ç A – Software as a Service (SaaS)! Provedor! 11!11 Verisign Confidential
  12. 12. Conhecendo os Riscos de Cloud Computing1212! Verisign Confidential Verisign Confidential
  13. 13. Cloud Computing é seguro? •  Depende... •  Seguro comparado com o que? •  Precisamos de um contexto fonte: sxc.hu!13 Verisign Confidential
  14. 14. Computação em Nuvem Computação em nuvem é um termo em evolução •  Preocupação com segurança crescendo conforme surgem necessidades e incidentes específicos. fonte: infosuck.org!14 Verisign Confidential
  15. 15. Estratégia para Análise de Riscos •  Identificar o ativo para implantação na nuvem •  Entender as necessidades e os riscos •  Mapear o ativo com o modelo de implantação •  Avaliar os modelos de serviços e fornecedores •  Selecionar estratégias de mitigação fonte: sxc.hu! 15!15 Verisign Confidential
  16. 16. Riscos de Cloud Computing •  Cloud Computing herda vários riscos associados às tecnologias que utiliza •  Conjunto específico de atributos que tornam a análise de riscos mais complexa •  Novos paradigmas •  Detalhes obscuros do CSP fonte: sxc.hu!16 Verisign Confidential
  17. 17. Riscos Tradicionais “Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”! 17!17 Verisign Confidential
  18. 18. Riscos Tradicionais “Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”! •  Riscos : •  Terceiros •  Perda de governança •  Aderência Regulatória •  Acesso privilegiado •  Usuário interno malicioso •  Acesso físico ao ambiente 18!18 Verisign Confidential
  19. 19. Riscos Tradicionais “Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”! •  Riscos : •  Novas vulnerabilidades e gestão de atualizações •  Acesso privilegiado •  Comprometimento da administração •  Exaustão dos recursos 19!19 Verisign Confidential
  20. 20. Riscos Tradicionais “Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”! •  Riscos: •  Novas vulnerabilidades •  Acesso privilegiado •  Segregação de dados •  Roubo de dados •  Recuperação 20!20 Verisign Confidential
  21. 21. Riscos Tradicionais “Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”! •  Riscos: •  Disponibilidade •  Performance •  Interceptação de dados •  DDoS 21!21 Verisign Confidential
  22. 22. Novos riscos na Nuvem2222! Verisign Confidential Verisign Confidential
  23. 23. Novos paradigmas de segurança •  “Nuvem” significa perder parte do controle •  Sem controles físicos •  Repensar a segurança de perímetro •  Sem time de segurança dedicado •  Foco na estratégia de segurança fonte: sxc.hu!23 Verisign Confidential
  24. 24. Riscos •  Proteção dos dados •  Práticas de gestão de dados do Cloud Provider •  Múltiplas transferências de dados •  Interceptação dos dados •  Em trânsito •  Intra-nuvem Fonte: iDefense! 24!24 Verisign Confidential
  25. 25. Riscos •  Proteção dos dados •  Práticas de gestão de dados do Cloud Provider •  Múltiplas transferências de dados •  Interceptação dos dados •  Segregação dos dados •  Remoção insegura ou incompleta Fonte: iDefense! 25!25 Verisign Confidential
  26. 26. Mitigação •  Proteção dos dados •  Práticas de gestão de dados do Cloud Provider •  Múltiplas transferências de dados •  Interceptação dos dados •  Segregação dos dados •  Remoção insegura ou incompleta •  Mitigação •  Criptografia de dados •  Criptografia da comunicação •  Avaliar os procedimentos do CSP •  Auditoria e SLA Fonte: iDefense! 26!26 Verisign Confidential
  27. 27. Riscos •  Localização física dos dados •  Localização e aspectos regulatórios •  Regiões voláteis representam maior risco •  Governos hostis / sem ética e risco de exposição dos dados 27!27 Verisign Confidential
  28. 28. Mitigação •  Localização física dos dados •  Localização e aspectos regulatórios •  Regiões voláteis representam maior risco •  Governos hostis / sem ética e risco de exposição dos dados •  Mitigação •  Identificar a localização dos dados •  Escolha CSPs que garantam a localização dos dados •  Evite CSPs com data centers em países hostis •  Use CSPs baseados no mesmo país 28!28 Verisign Confidential
  29. 29. Riscos •  Disponibilidade •  Exige conectividade constante •  Perda de dados e risco de downtime •  Ataques DDoS globais Fonte: iDefense! 29!29 Verisign Confidential
  30. 30. Riscos •  Disponibilidade •  Exige conectividade constante •  Perda de dados e risco de downtime •  Ataques DDoS globais 06/05/10! US Treasury site hit by attack on cloud host! Finextra.com! A US Treasury Web site has been suspended after its cloud computing host was hacked, redirecting users to a malicious site in the Ukraine. ! Fonte: iDefense! 30!30 Verisign Confidential
  31. 31. Mitigação •  Mitigação •  Conhecer a infraestrutura do CSP’s •  Investimento na conexão Internet local •  Evitar pontos de falha •  Private clouds •  Service-level agreements (SLAs) com os CSPs •  Assuma pelo menos uma falha. Qual o impacto? Fonte: iDefense! 31!31 Verisign Confidential
  32. 32. Riscos •  Portabilidade da Nuvem e Apr. 30, 2009! “Lock-in” Cloud Computing •  Não existem padrões para Forerunner Facing formato de dados, Bankruptcy! ferramentas e interfaces Eweek Europe! Cassatt, the infrastructure management •  Como garantir portabilidade software company started by BEA dos dados, aplicações e Systems founder Bill Coleman, is running out of money.! serviços? •  Alta dependência do CSP A! B! 32!32 Verisign Confidential
  33. 33. Open Cloud Manifesto Principles of an Open Cloud! 1.  Cloud providers must … ensure that the challenges to cloud adoption … are addressed through open collaboration and the appropriate use of standards. 2.  Cloud providers must not use their market position to lock customers … 3.  Cloud providers must use and adopt existing standards wherever appropriate... 4.  When new standards … are needed, … avoid creating too many standards. 5.  Any community effort around the open cloud should be driven by customer needs... Source: www.opencloudmanifesto.org!33 Verisign Confidential
  34. 34. Riscos •  Aspectos Legais •  Leis no local do CSP •  Leis e regulamentações conflitantes •  Compliance do CSP •  Contrato com terceiros •  Falha de compliance: riscos legais 34!34 Verisign Confidential
  35. 35. Mitigação •  Aspectos Legais •  Leis no local do CSP •  Leis e regulamentações conflitantes •  Compliance do CSP •  Contrato com terceiros •  Falha de compliance: riscos legais •  Mitigação FISMA ! •  Conheça suas obrigações HIPAA ! SOX! •  Conheça as obrigações do CSP PCI ! •  Contratos e SLA SAS 70 Audits! 35!35 Verisign Confidential
  36. 36. Riscos •  Suporte Investigativo •  Forense na “nuvem”? •  Múltiplos clientes, logs agregados •  Capacidade de resposta a incidentes •  Dependência do CSP para dados forenses e investigação 36!36 Verisign Confidential
  37. 37. Mitigação •  Suporte Investigativo •  Forense na “nuvem”? •  Múltiplos clientes, logs agregados •  Capacidade de resposta a incidentes •  Dependência do CSP para dados forenses e investigação •  Mitigação •  Definir políticas e procedimentos com o CSP •  Evite CSPs que não participem de uma investigação 37!37 Verisign Confidential
  38. 38. Conclusão3838! Verisign Confidential Verisign Confidential
  39. 39. Conclusão •  Segurança na “nuvem” não é muito diferente das necessidades “pré-nuvem” •  Cloud computing é fundamentalmente sobre cedendo controle •  Controles de segurança x Vantagens para o negócio •  Segurança do CSP versus necessidade de segurança fonte: sxc.hu!39 Verisign Confidential
  40. 40. Segurança de Cloud Computing •  Análise de Riscos é fundamental •  Compare os Provedores de Cloud •  Faça auditoria e “due diligence” •  Adote estratégias de mitigação Fonte: vidadeprogramador.com.br!40 Verisign Confidential
  41. 41. Previsão do Tempo •  Muitas nuvens a frente •  Sujeito a chuvas e trovoadas esporádicas •  Tenha sempre um guarda-chuva próximo fonte: Wikimedia Commons!41 Verisign Confidential
  42. 42. Referências •  Cloud Security Alliance (CSA) http://www.cloudsecurityalliance.org •  Cloud Security Alliance – Capítulo Brasil https://chapters.cloudsecurityalliance.org/brazil42 Verisign Confidential
  43. 43. Referências •  “Security Guidance for Critical Areas of Focus in Cloud Computing” http://www.cloudsecurityalliance.org/guidance/csaguide.pdf •  “Top Threats to Cloud Computing V1.0” http://www.cloudsecurityalliance.org/topthreats.html •  “CSA Cloud Controls Matrix V1.2” http://cloudsecurityalliance.org/cm.html 43!43 Verisign Confidential
  44. 44. Referências •  NIST Cloud Computing Project http://csrc.nist.gov/groups/SNS/cloud-computing/index.html •  Relatório da ENISA “Cloud Computing: Benefits, risks and recommendations for information security http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk- assessment •  iDefense Topical Research Paper: “Cloud Computing” 44!44 Verisign Confidential
  45. 45. Thank You© 2011 VeriSign, Inc. All rights reserved. VERISIGN and other trademarks, service marks, and designsare registered or unregistered trademarks of VeriSign, Inc. and its subsidiaries in the United States andin foreign countries. All other trademarks are property of their respective owners. Verisign Confidential

×