Oportunidades e Riscos de Segurançana Computação na Nuvem    + Segurança no PaS Microsoft Windows Azure                   ...
Resumo•    Definição genérica da Nuvem•    O futuro presente•    Paradgima computacional•    Modelos de negócio•    Possív...
Definição genérica da NuvemHabilitar convenientemente, por demanda, o acesso pela redeao ambiente compartilhado de recurso...
O futuro presente• Plataforma dominante no mínimo para as próximas duas décadas• Reconstruindo a TI (as profissões e a seg...
Paradigma Computactional     Paradigma da Computação Comum vs Nuvem• Compartilhamento de recursos vs Independência de  loc...
Possíveis estratégias na nova Era• Pequenas empresas usam SaaS públicas e nuvens públicas,  reduzindo custo e minimizar o ...
E como definir segurança?• Porquê comumente tendemos à prescrição de ISOs, conjunto  de melhores práticas e começamos esta...
E como definir segurança?            2008/20098
E como definir segurança?            2009/20109
E como definir segurança?• É realmente sobre comportamento da infraestrutura  como um todo:     – como a nuvem entrega a a...
Tempestade nas nuvens• A Internet é falha nos principais fundamentos de  segurança dos protocolos necessários para protege...
Impacto da Nuvem nas Organizações• Econômico     – Permite o alto crescimento computacional     – Habilita novos modelos d...
Impacto na Segurança de Informação     Todo sistema de segurança violado se pensava que era infalível• Provedores afirmam ...
Impacto na Segurança de Informação          Mais de 24h de “Downtime”14
Impacto na Segurança de Informação     Estudo de Provedores de CN – Ponemon Institute• “A maioria dos fornecedores de CN p...
Cenário Idealista vs Real“Economizar e alcançar eficiência, alavancando a virtualizaçãoe centralizando aplicações, armazen...
Sobrepondo risco sobre riscoMover para um ambiente virtual para reduzir custo nos introduza um novo risco sobreposto ao me...
Sobrepondo risco sobre risco• Segurança na nuvem vem sido exarcebado pela vantagem  econômica, que acabam aderindo em prim...
Impacto na Segurança de Informação                      Voltando aos principios básicos• Um dos aspetos principais para ma...
Consideraçoes de Segurança       PaS com Windows Azure20
Segurança do Azure PaS           Arquitetura21
Segurança do Azure PaSModelo RBAC – Role Based Access Control22
Segurança do Azure PaS     Proteção em profundidade23
Segurança do Azure PaS     Hypervisor – Separação de Previlégios24
Segurança do Azure PaS        Controle de Acess25
Segurança do Azure PaS     Armazenamento e Redundância26
Segurança do Azure PaS     Gerenciamento de Identidades27
Segurança do Azure PaS     Security Development Lifecycle(SDL)28
Segurança do Azure PaS         Datacenter Seguro29
Segurança do Azure PaS       Localização dos dados30
Riscos da Computação na Nuvem     Leis locais e a jurisdição onde o dado é armazenado• Possivelmente mais pressionado do q...
Riscos da Computação na Nuvem     Leis locais e a jurisdição onde o dado é armazenado• Enquanto nas leis nos EUA como a ‘U...
Analisando Riscos da NuvemCN é um sistema altamente complexo que pode ser reduzido empremissas simples e podem ser replica...
Analisando Riscos da Nuvem                             Vantagens• Separando dados públicos no armazenamento externo na  nu...
Analisando Riscos da Nuvem                               Desafios• Confiabilidade nos fornecedores de serviços e modelos d...
Analisando Riscos da Nuvem                           Ameaças•    Usuários maliciosos internos•    Perda de dados•    Roubo...
Analisando Riscos da Nuvem Componentes Relevantes(Alvo) para Segurança na CN• Provedores de Serviços• Serviços de Armaneza...
Analisando Riscos da Nuvem                 Provedores de Serviços• Vantagens     – Rápida reconstrução de Serviços     – H...
Analisando Riscos da Nuvem          Serviços de Armazenamento de Dados• Vantagens     –   Dispersão e fragmentação de dado...
Analisando Riscos da Nuvem                Infraestrutura de Processamento• Vantagens     – Habilidade em assegurar o siste...
Analisando Riscos da Nuvem                     Suporte dos Serviços• Vantagens     – Controles de segurança por demanda (e...
Analisando Riscos da Nuvem               Rede e Segurança de Perímetro• Vantagens     – Proteção distribuída de um DDOS   ...
Arquitetura   Modelos          Riscos         Focus em Avaliação                          Específico NuvemSAAS          Pu...
Arquitetura   Modelos          Riscos         Focus em Avaliação                          Específico NuvemSAAS          Pu...
Arquitetura   Modelos          Riscos         Focus em Avaliação                          Específico NuvemSAAS          Pu...
"As tecnologias mais profundas e duradouras sãoaquelas que desaparecem. Elas dissipam-se nas coisasdo dia a dia até tornar...
Upcoming SlideShare
Loading in …5
×

Oportunidades e Riscos de Segurança na Computação na Nuvem

2,321 views

Published on

Cássio Quaresma
Oportunidades e Riscos de Segurança na Computação na Nuvem
PUC-RS InteropDay 2011 - www.interopbrasil.com.br

Video
http://www.livestream.com/interopday/video?clipId=pla_80311584-13b8-495b-ba72-c46106191afa&utm_source=lslibrary&utm_medium=ui-thumb
Início: 2:26:12 Fim: 3:13:01

Published in: Technology
  • Be the first to comment

Oportunidades e Riscos de Segurança na Computação na Nuvem

  1. 1. Oportunidades e Riscos de Segurançana Computação na Nuvem + Segurança no PaS Microsoft Windows Azure Cássio Quaresma cassio.quaresma@gmail.com
  2. 2. Resumo• Definição genérica da Nuvem• O futuro presente• Paradgima computacional• Modelos de negócio• Possíveis estratégias na nova Era• E como definir segurança?• Tempestade nas nuvens• Impacto nas Organizações• Impacto na TI e na Segurança da Informação• Entendo os riscos da Computação na Nuvem• Analizando Riscos da Nuvem• 2 Agora nas Nuvens…e depois? 2
  3. 3. Definição genérica da NuvemHabilitar convenientemente, por demanda, o acesso pela redeao ambiente compartilhado de recursos que podem serautomaticamente fornecidos e disponibilizados com o mínimoesforço gerencial ou interação do provedor de serviços oumesmo configuração: – Recursos computacionais – Redes – Servidores – Armazenamento – Aplicações – Serviços 3
  4. 4. O futuro presente• Plataforma dominante no mínimo para as próximas duas décadas• Reconstruindo a TI (as profissões e a segurança de TI)• Maior mudança radical na história da computação continua: – “computar” como utilidade• Mas quanto mais e mais informações das empresas e indivíduos armazenados na nuvem, surgem preocupações e questionamentos quanto à segurança deste novo ambiente complexo e em constante transformação 4
  5. 5. Paradigma Computactional Paradigma da Computação Comum vs Nuvem• Compartilhamento de recursos vs Independência de localização• Maior automação vs menor recurso(“erro”) Humano• Padrões abertos vs Padrões fechados• Gerenciamento de TI vs Maior foco em inovação tecnológica 5
  6. 6. Possíveis estratégias na nova Era• Pequenas empresas usam SaaS públicas e nuvens públicas, reduzindo custo e minimizar o crescimento de data centers• Grandes empresas podem disponibilizar nuvens privadas• Grandes empresas podem usar nuvens de infraestrutura (IaaS) hibridas para alavancar redes internas e nuvens públicas• Nuvens públicas podem adoptar padrões abertos com o fim de padronizar a competitividade em infraestrutura híbrida na nuvem 6
  7. 7. E como definir segurança?• Porquê comumente tendemos à prescrição de ISOs, conjunto de melhores práticas e começamos esta discussão com checklists absolutos como ISO27001, PCI, OSX, HIPPA e outras?• Com o conceito fluído como a CN isso simplesmente não é nem um pouco fácil ou trivial• Não existe um único modelo, ou não existe uma única arquitetura que nos permite definir como CN de forma rígida e absoluta 7
  8. 8. E como definir segurança? 2008/20098
  9. 9. E como definir segurança? 2009/20109
  10. 10. E como definir segurança?• É realmente sobre comportamento da infraestrutura como um todo: – como a nuvem entrega a aplicação – aplicação orientada ao serviço, isso é o que importa• A “lado bom” é que podemos definir esse comportamento: – Tanto o comportamento de uma infraestrutura de aplicação no ambiente de computação como um todo; – Quanto categorizando ou classificando a informação dentro dos seus diferentes modelos10
  11. 11. Tempestade nas nuvens• A Internet é falha nos principais fundamentos de segurança dos protocolos necessários para proteger a Internet como ela é• Mas sem segurança implementada nas tecnologias adjacentes que suportam a CN, os modelos de negócios estão vulneráveis ao colapso• Construindo um castelo de cartas e modelando negócios em cima de uma fundação fraca, as organizações estão se arriscando demais e procurando problemas num futuro próximo11
  12. 12. Impacto da Nuvem nas Organizações• Econômico – Permite o alto crescimento computacional – Habilita novos modelos de negócio• Regulamentação – Conformidade – Auditoria• Profissionais de TI & Segurança de TI – Conjunto de conhecimentos e habilidades exigem a adaptação entre provedores de serviços e clientes12
  13. 13. Impacto na Segurança de Informação Todo sistema de segurança violado se pensava que era infalível• Provedores afirmam que seus sistemas são mais robustos, e reafirmam que na nuvem a segurança é mais apertada do que na maioria das organizações• Mas pelo simples facto que todo o sistema de segurança, posteriormente violado, anteriormente se pensava que era infalível• Provedores de serviços se deparam com questões de segurança similares ao atual ambiente das organizações,• Analistas advertem que a CN está se tornando atrativo ao crime cibernético – Michael Calce afirma “colocar toda a informação da organização numa única caixa na nuvem somente vai tornar muito mais fácil para os hackers”13 – Risco de um único ponto de falha (“Single point of Failure”)
  14. 14. Impacto na Segurança de Informação Mais de 24h de “Downtime”14
  15. 15. Impacto na Segurança de Informação Estudo de Provedores de CN – Ponemon Institute• “A maioria dos fornecedores de CN pesquisados…não acreditam que seus produtos ou serviços protegem suficientemente dados confidenciais ou sensíveis de seus clientes”• “Apenas 23 % nos EUA e 35 % na UE, os provedores de serviços concordam plenamente que os líderes de TI de suas organizações estão preocupados com a segurança dos recursos computacionais disponibilizados aos seus clientes.”• Em outras palavras, na maioria dos provedores de serviços, não admitem que a segurança seja de sua responsabilidade.15
  16. 16. Cenário Idealista vs Real“Economizar e alcançar eficiência, alavancando a virtualizaçãoe centralizando aplicações, armazenamento e plataformas quepermite pagar somente pelos recursos usados, escalável emum único sistema ou rede.” Sonho de consumo de qualquer gerente/diretor de TI VS“Falta de conhecimento adia o uso da ‘nuvem’” Jornal do Comércio, 30/11/2011Pesquisa da Symantec sobre utilização de cloud foi realizada com 5,3 mil organizações mundiais16
  17. 17. Sobrepondo risco sobre riscoMover para um ambiente virtual para reduzir custo nos introduza um novo risco sobreposto ao mesmo risco já existente:• Onde o meu dado está armazenado?• A nuvem da Microsoft são seguras?• Quem pode ver o meu dado?• Quem me garante que os dados da minha empresa estão sendo acessados e protegidos conforme as regras?• O que acontece se...17
  18. 18. Sobrepondo risco sobre risco• Segurança na nuvem vem sido exarcebado pela vantagem econômica, que acabam aderindo em primeiro lugar ao modelo da CN e somente depois pensar na segurança• Estão tentando sobrecarregar quanto mais aplicações possíveis em seus próprios servidores, e que independentemente do que eles façam no seu próprio ambiente ou mesmo “empurrando” as aplicações para a nuvem, que o resultado final é exatamente o mesmo• Cada vez mais é comum, a segurança ser sacrificada para reduzir custos18
  19. 19. Impacto na Segurança de Informação Voltando aos principios básicos• Um dos aspetos principais para manter a nuvem segura para todos os usuários é necessário aderir aos principios básicos de segurança aplicados no mundo não virtualizado• É imperativo que usuários façam o básico e essencial somente: – Suportar a execução de regras minimizando previlégios administrativos – Focar na sinergia entre o fornecedor e atualizações de patch/fix• Enquanto muitos fornecedores de serviços na nuvem e virtualização disponibilizam a sua capacidade de gerenciamento de patches: – A empresa precisa ficar atenta que a necessidade de gerenciar patches é somente quanto ao fornecedor de componentes de software – O cliente continua sendo o responsável por manter suas máquinas virtuais/gadgets/clientes/usuários e senhas/terceiros atualizadas19
  20. 20. Consideraçoes de Segurança PaS com Windows Azure20
  21. 21. Segurança do Azure PaS Arquitetura21
  22. 22. Segurança do Azure PaSModelo RBAC – Role Based Access Control22
  23. 23. Segurança do Azure PaS Proteção em profundidade23
  24. 24. Segurança do Azure PaS Hypervisor – Separação de Previlégios24
  25. 25. Segurança do Azure PaS Controle de Acess25
  26. 26. Segurança do Azure PaS Armazenamento e Redundância26
  27. 27. Segurança do Azure PaS Gerenciamento de Identidades27
  28. 28. Segurança do Azure PaS Security Development Lifecycle(SDL)28
  29. 29. Segurança do Azure PaS Datacenter Seguro29
  30. 30. Segurança do Azure PaS Localização dos dados30
  31. 31. Riscos da Computação na Nuvem Leis locais e a jurisdição onde o dado é armazenado• Possivelmente mais pressionado do que na criação da padronização da nuvem, é a nova fronteira que surge quanto a questões de jurisdição de privacidade e criminalidade• Dados que pode estar “seguros” em um país, mas podem não estar seguros de forma adequada quanto a regulamentação e proteção de privacidade e seu uso.• Na maioria dos casos os usuários nem sabem exatamente onde seus dados estão armazenados31
  32. 32. Riscos da Computação na Nuvem Leis locais e a jurisdição onde o dado é armazenado• Enquanto nas leis nos EUA como a ‘US Patriot Act’ investe no governo e outras agências com poderes virtuais limitados de acessar informações incluindo dados pertencentes a qualquer organização• A preocupação da UE acredita que as leis de privacidade praticadas nos EUA levaram à criação de “US Safe Harbor Privacy Principles”, que tem o intuito de prover ás organizações da UE a capacidade de armazenamento de dados em um grau de isolamento das leis de EUA• “O Brasil tem mais de 20 projetos de lei que tocam no assunto privacidade [...] são textos direcionados a segmentos específicos como cartão de crédito, celulares, spam e até na troca de documentos eletrônicos [...] mesmo se aprovadas, não atendem à necessidade de ter uma regra básica que regula a privacidade.” Marcel Leonardi, professor da Faculdade Getúlio Vargas32
  33. 33. Analisando Riscos da NuvemCN é um sistema altamente complexo que pode ser reduzido empremissas simples e podem ser replicadas centenas de vezes ecomumente em diferentes unidades/modelos funcionaisSegurança na CN é um problema possível de ser gerenciado – Existem ambas vantagens e desafiosO CEO da Intel, Andy Grove, comentou: – “…somente paranóicos sobreviveram na nuvem…”33
  34. 34. Analisando Riscos da Nuvem Vantagens• Separando dados públicos no armazenamento externo na nuvem reduz a exposição de dados internos sensíveis• CN homogénea torna questões de segurança como auditoria e testes mais simples• CN habilita a automação de gestão de segurança• Redundância e Recuparação de Desastres – Agilidade na Recuperação de dados – Menor “Downtime” – Resiliência na disponibilidade34
  35. 35. Analisando Riscos da Nuvem Desafios• Confiabilidade nos fornecedores de serviços e modelos de segurança implementados por terceiros• Incapacidade do cliente em confirmar às constatações da auditoria pela prestadora de serviços• Obter suporte investigativo ou perícia forense• Administração e responsabilidade indireta do gerenciamento• Implementações proprietárias não podem ser detalhadamente examinadas•35 Perda de controle físico
  36. 36. Analisando Riscos da Nuvem Ameaças• Usuários maliciosos internos• Perda de dados• Roubo de informação• Quebra de confidencialidade• Hijacking de contas de usuários ou serviços• Abuso ou uso inaproriado• APIS e Interfaces inseguras• Compartilhamento e integração de tecnologias complexas• Perfil de Risco DesconhecidoCloud Security Alliance – Top Threats to Cloud Computing36
  37. 37. Analisando Riscos da Nuvem Componentes Relevantes(Alvo) para Segurança na CN• Provedores de Serviços• Serviços de Armanezamento de Dados• Infraestrutura de Processamento• Suporte aos Serviços• Rede e Perímetro de Segurança• Elementos Elásticos: Armazenamento, Processamento, Processamento e Redes Virtuais37
  38. 38. Analisando Riscos da Nuvem Provedores de Serviços• Vantagens – Rápida reconstrução de Serviços – Habilita disponibilidade • Disponibilisado em múltiplos data centers / instâncias – Capacidade avançadas de Honey Net• Desafios – Impacto e comprometimento do provedor de serviços da forma adequada e contratada38
  39. 39. Analisando Riscos da Nuvem Serviços de Armazenamento de Dados• Vantagens – Dispersão e fragmentação de dados – Replicação automatizada – Disponibilidade de dados por locais (ex, por país) – Criptografia em armazenamento e em trânsito – Retenção automatizada de dados• Desafios – Gerenciamento isolado / multitenacidade de dados – Controle de armazenamento • ”Single point of failure” – Exposição de dados a leis de privacidade e governos extrangeiros39
  40. 40. Analisando Riscos da Nuvem Infraestrutura de Processamento• Vantagens – Habilidade em assegurar o sistema primário e recriar “imagens” automaticamente de forma segura e confiável• Desafios – Multitenacidade de aplicações – Confiança nos “hypervisors” – Isolamento de processos públicos/privados – Desenvolvimento e testes (“sandboxes”)40
  41. 41. Analisando Riscos da Nuvem Suporte dos Serviços• Vantagens – Controles de segurança por demanda (ex, autenticação, logs, firewalls, proxy de aplicações.)• Desafios – Risco adicional, aplicações de clientes vs terceiros – Necessita certificação/entidades/acreditação como aplicações separadas – Atualização de códigos41
  42. 42. Analisando Riscos da Nuvem Rede e Segurança de Perímetro• Vantagens – Proteção distribuída de um DDOS – Capacidade em VLAN – Perímetro de segurança (IDS, firewall, autenticação, etc)• Desafios – Zonas virtuais com integração de aplicações móveis e interação com inúmeros “gadgets” – Diferentes aplicativos disponíveis no mercado, desenvolvidos pelo próprio fornecedor ou terceiros42
  43. 43. Arquitetura Modelos Riscos Focus em Avaliação Específico NuvemSAAS Public Viabilidade de Estratégia Estratégicos Técnicos Comparar Provedores Legais Private ConformidadePAAS Influência da Gerenciador de Nuvem Fornecedores ›SLAs Indisponibilidade ›Guias Community ›Melhores Práticas Controle de Acessos Pessoal Testes de Garantia ›CERT ›PCIIAAS Hybrid Gerenciamento 43
  44. 44. Arquitetura Modelos Riscos Focus em Avaliação Específico NuvemSAAS Public Viabilidade de Estratégia Estratégicos Técnicos Comparar Provedores Legais Private ConformidadePAAS Influência da Gerenciador de Nuvem Fornecedores ›SLAs Indisponibilidade ›Guias Community ›Melhores Práticas Controle de Acessos Pessoal Testes de Garantia ›CERT ›PCIIAAS Hybrid Gerenciamento 44
  45. 45. Arquitetura Modelos Riscos Focus em Avaliação Específico NuvemSAAS Public Viabilidade de Estratégia Estratégicos Técnicos Comparar Provedores Legais PrivateMais de 480,000 combinações de risco! ConformidadePAAS Influência da Gerenciador de Nuvem Fornecedores ›SLAs Indisponibilidade ›Guias Community ›Melhores Práticas Controle de Acessos Pessoal Testes de Garantia ›CERT ›PCIIAAS Hybrid Gerenciamento 45
  46. 46. "As tecnologias mais profundas e duradouras sãoaquelas que desaparecem. Elas dissipam-se nas coisasdo dia a dia até tornarem-se indistingüíveis.“ Mark Weiser Dúvidas?Muito obrigado!Cássio Quaresmacassio.quaresma@gmail.com46

×