Risco em Projetos Cloud Computing           Alfredo Santos
Alfredo Santos• Formado em:   – Ciências da Computação   – Gestão de Empresas   – Gestão de TI• Autor de livros de Seguran...
Cloud Computing - Inevitável
Como o negócio vê Cloud      Computing
Risco em Projetos CloudComputing
Tipos de Cloud            IaaS           CloudPaaS                    SaaS
Tipos de Cloud - IaaS• IaaS (Infraestrutura como serviço) - Onde a  infraestrutura básica é oferecida pelo  provedor e os ...
Tipos de Cloud - PaaS• PaaS (Plataforma como serviço) - Onde o  contratante entra com a solução de aplicação  e os demais ...
Tipos de Cloud - SaaS• SaaS (Software como serviço) - Onde toda  solução é responsabilidade do provedor de  serviços, o qu...
Como se previnir para diminuir o risco?
Estabelecer em contrato os SLAsincluindo os casos de incidentes de             segurançaÉ muito importante um detalhamento...
Fornecer o desenho da arquitetura          de segurançaO fornecedor deve alinhar com você (e detalhar em contrato) aarquit...
Possuir proteções especializadas de perímetro, como por exemplo,    IPS e Firewall de aplicação.Segurança tecnológica não ...
Possuir proteções especializadas de perímetro, como por exemplo,    IPS e Firewall de aplicação.Se for uma solução de e-ma...
Possuir proteções especializadas de perímetro, como por exemplo,    IPS e Firewall de aplicação.Se for uma solução de apli...
Possuir firewall de rede segregando todas  as redes, separando inclusive usuários  operadores do ambiente de servidores.Ag...
Segregação de função dentro do provedor, onde por exemplo, quem atua dentro do  datacenter não é a mesma pessoa que       ...
Permitir Análises de Vulnerabilidade e              Ethical HackingO provedor de solução na nuvem deverá permitir em contr...
Permitir acesso ao log do ambiente e                  sistemasAlinhar com o provedor quais serão os mecanismos para acesso...
Permitir o uso de ferramentas de         correlação e retenção de logO provedor deve permitir o uso de coletores de log pa...
Ter um focal de segurança para atender o   contratante durante toda vigência do                  contratoO provedor deve p...
Realizar uma gestão de vulnerabilidades,      ameaças e riscos alinhada com o                contratante.Basicamente o cic...
Compartilhar a politica de continuidade de  negócios e plano de recuperação de                desastresO recomendado neste...
Ter a certificação SAS70 ou similarSAS70 e certificações novas similares são certificações voltadaspara datacenter e não n...
Detalhar em contrato o processo de           termino de atividadesBasicamente se resume em detalhar no contrato como serát...
Detalhar em contrato o processo de             descarte de dadosEm contrato devem ser estabelecidos os métodos utilizados ...
Detalhar em contrato o processo de        respostas a demandas legaisUm provedor de serviços na nuvem, eventualmente pode ...
Detalhar em contrato o processo de          backup e guarda de fitasOutro item importante que deve ser claramente detalhad...
Detalhar o quanto o ambiente/infraestrutura é compartilhado           com outros clientesEste ponto precisa ser claramente...
Segurança por obscuridade
Detalhar o quanto o ambiente/infraestrutura é compartilhado           com outros clientesInfraestrutura (Firewall, rede, s...
Informar como gerenciam o controle de        vazamento de informaçãoSua informação está em um local sem seu controle e ope...
Detalhar procedimentos em casos de               ataques DDOSDetalhar em contrato como funciona a prevenção a DDOS (Casoex...
Identificar onde ficará o datacenter ou osdatacenters da solução para atender ou se  preocupar com particularidades legais...
Demonstrar o processo de gestão de          chaves criptográficasEsta é uma das partes mais importantes de segurança emcom...
Controle de acessoImagine que sua aplicação está fora agora da sua empresa. Comofica a questão de gestão de usuários (Cria...
Controle de acessoBasicamente federação consiste em uma base de usuáriosconfiar em bases externas. Ou seja, a aplicação na...
Controle de acessoOutra preocupação em relação a controle de acesso é o uso deautenticação forte, pois considerando que o ...
Permissão de auditorias externasApós o fornecedor prometer os diversos itens acima, é chegada ahora de considerarem em con...
Checklist
Próximos SlideShares
Carregando em…5
×

Risco em projetos cloud computing

1.025 visualizações

Publicada em

Risco em projetos cloud computing

Publicada em: Tecnologia
0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
1.025
No SlideShare
0
A partir de incorporações
0
Número de incorporações
1
Ações
Compartilhamentos
0
Downloads
24
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Risco em projetos cloud computing

  1. 1. Risco em Projetos Cloud Computing Alfredo Santos
  2. 2. Alfredo Santos• Formado em: – Ciências da Computação – Gestão de Empresas – Gestão de TI• Autor de livros de Segurança e Arquitetura de Sistemas• Certificado em Cobit e ISO 27002• Email: alfredo.luiz@gmail.com• Linkedin: http://www.linkedin.com/profile/view?id=871673• Site: www.alfredosantos.com.br
  3. 3. Cloud Computing - Inevitável
  4. 4. Como o negócio vê Cloud Computing
  5. 5. Risco em Projetos CloudComputing
  6. 6. Tipos de Cloud IaaS CloudPaaS SaaS
  7. 7. Tipos de Cloud - IaaS• IaaS (Infraestrutura como serviço) - Onde a infraestrutura básica é oferecida pelo provedor e os demais componentes e aplicativo são de responsabilidade do contratante.
  8. 8. Tipos de Cloud - PaaS• PaaS (Plataforma como serviço) - Onde o contratante entra com a solução de aplicação e os demais serviços são responsabilidades do provedor de serviços.
  9. 9. Tipos de Cloud - SaaS• SaaS (Software como serviço) - Onde toda solução é responsabilidade do provedor de serviços, o que não diminui a responsabilidade do dono da informação.
  10. 10. Como se previnir para diminuir o risco?
  11. 11. Estabelecer em contrato os SLAsincluindo os casos de incidentes de segurançaÉ muito importante um detalhamento forte de SLA nos contratospois o controle sai totalmente do time interno de TI e Segurança.Qualquer indisponibilidade de infraestrutura, ataques denegação de serviço, vulnerabilidades e outros incidentes desegurança, se não estiverem bem estabelecidos em contrato,não poderão ter o devido tratamento em tempo hábil,impedindo penalidades e multas.
  12. 12. Fornecer o desenho da arquitetura de segurançaO fornecedor deve alinhar com você (e detalhar em contrato) aarquitetura de segurança empregada no ambiente dele. Ele nãonecessariamente deve informar o fabricante, mas deve garantirque possui por exemplo:● Firewall segregando ambientes (Internet, Operação, dados decartões, etc.).● Antivírus● Soluções de detecção de intrusão
  13. 13. Possuir proteções especializadas de perímetro, como por exemplo, IPS e Firewall de aplicação.Segurança tecnológica não se resume a Firewall. É necessárioque seu parceiro de negócio que está disponibilizando assoluções na nuvem, esteja preparado para proteger o perímetrode forma mais efetiva.
  14. 14. Possuir proteções especializadas de perímetro, como por exemplo, IPS e Firewall de aplicação.Se for uma solução de e-mail na nuvem:● Antivírus● AntiSpam● Controle de vazamento de informação● Possibilidade de se criar regras específicas de bloqueio,incluindo anexos.● Monitoração dos e-mails
  15. 15. Possuir proteções especializadas de perímetro, como por exemplo, IPS e Firewall de aplicação.Se for uma solução de aplicativo na nuvem:● Ferramenta de detecção de intrusão (IPS)● Firewall de aplicação● Firewall de nova geração● Ferramenta de mitigação de ataques DDOS● Controle de vazamento de informação● Correlação de logs
  16. 16. Possuir firewall de rede segregando todas as redes, separando inclusive usuários operadores do ambiente de servidores.Agora um ponto de atenção em relação ao tradicional firewall éo correto posicionamento dele, sendo que é importanteposicionar segregando além do perímetro:● Servidores de aplicação x Base de dados geral● Bases de dados x dados de cartão de crédito● Ambiente de operação x ambiente de servidores
  17. 17. Segregação de função dentro do provedor, onde por exemplo, quem atua dentro do datacenter não é a mesma pessoa que opera o sistema.O objetivo deste ponto é garantir que uma pessoa com acessodireto a um equipamento não tenha acesso lógico ao mesmo,isso minimiza problemas diversos, como por exemplo, a pessoaconectar um HD externo e copiar informação privilegiada, ouacessar diretamente um servidor e manipular arquivos deconfiguração do mesmo.
  18. 18. Permitir Análises de Vulnerabilidade e Ethical HackingO provedor de solução na nuvem deverá permitir em contratoque sejam feitas análises de vulnerabilidade e Ethical Hackingem cima do ambiente, devidamente agendados visando garantirdisponibilidade do ambiente.Este tipo de análise poderá ser feita por uma empresa terceiracontratada pelo fornecedor, mas desde que seja reconhecida acredibilidade por você contratante.
  19. 19. Permitir acesso ao log do ambiente e sistemasAlinhar com o provedor quais serão os mecanismos para acessoa log do ambiente. É necessário ter visão de toda rastreabilidadede administração de usuários e perfis de acesso, incluindocriação, alteração, exclusão, troca de senha, além de registros dequem realizou determinadas transações criticas. Isso pode serdisponibilizado por um portal por exemplo.
  20. 20. Permitir o uso de ferramentas de correlação e retenção de logO provedor deve permitir o uso de coletores de log para enviopara ferramentas de correlação e retenção de log que ficamdentro de sua empresa (on premises).Depois disso, fica a cargo do correlacionador cruzar este log comoutros logs para identificar ameaças de segurança.
  21. 21. Ter um focal de segurança para atender o contratante durante toda vigência do contratoO provedor deve possuir uma pessoa que seja a ponte deaspectos de segurança com o cliente final. Esta pessoa é aresponsável por gerenciar as demandas e problemas que possamvir a acontecer com segurança. Esta pessoa também éresponsável por organizar os relatórios de segurança para ocontratante.
  22. 22. Realizar uma gestão de vulnerabilidades, ameaças e riscos alinhada com o contratante.Basicamente o ciclo de gestão de vulnerabilidades, ameaças eriscos deve ser alinhado com a área de segurança da informaçãodo contratante para que a empresa contratante tenha controledos riscos de segurança sem ficar “no escuro”.Este é o ponto mais complicado, pois os fornecedores não sesentem confortáveis em compartilhar isso, então o item anteriorde Análise de Vulnerabilidades e Ethical Hacking é fundamentalpara suprir parte de eventuais deficiências deste item.
  23. 23. Compartilhar a politica de continuidade de negócios e plano de recuperação de desastresO recomendado neste caso é uma apresentação de como ofornecedor gerencia estes pontos e SLAs voltados paracontinuidade de negócio estabelecidos em contrato.
  24. 24. Ter a certificação SAS70 ou similarSAS70 e certificações novas similares são certificações voltadaspara datacenter e não necessariamente para soluções na nuvem.Então considerem que este tipo de certificação é obrigatóriopara um datacenter, mas não suficiente para não checar osdemais itens de computação na nuvem.
  25. 25. Detalhar em contrato o processo de termino de atividadesBasicamente se resume em detalhar no contrato como serátratada a informação no caso de fim de contratação do serviçona nuvem.Deve ser considerada a questão de exportação e entrega dainformação e destruição de backups e rastros de dados queficariam no provedor.
  26. 26. Detalhar em contrato o processo de descarte de dadosEm contrato devem ser estabelecidos os métodos utilizados paradescarte de dados considerando storage de servidores e fitas debackup relacionadas a seu negócio.
  27. 27. Detalhar em contrato o processo de respostas a demandas legaisUm provedor de serviços na nuvem, eventualmente pode sofreruma demanda legal de entrega de informações (Isso pode variarmuito de acordo com as leis de cada pais).É necessário estabelecer um processo de comunicação para ocontratante nos casos de demanda legal, onde o mesmo deveser avisado, no caso da necessidade de entrega de ativos deinformação.
  28. 28. Detalhar em contrato o processo de backup e guarda de fitasOutro item importante que deve ser claramente detalhado emcontrato.A frequência de backup (diário, mensal e anual por exemplo)deve ser acordada e colocada no contrato e a guarda do backupdeve ficar em local seguro, externo a empresa do provedor.
  29. 29. Detalhar o quanto o ambiente/infraestrutura é compartilhado com outros clientesEste ponto precisa ser claramente estabelecido entre as partes eclaramente documentado em contrato.Existem diversas possibilidades de segregação que podemocorrer em um ambiente de solução na nuvem.
  30. 30. Segurança por obscuridade
  31. 31. Detalhar o quanto o ambiente/infraestrutura é compartilhado com outros clientesInfraestrutura (Firewall, rede, servidores web) compartilhados edados em servidores separados.Infraestrutura e dados em ambientes compartilhadosDados segregados em lógica de programação (pior caso), onde ocódigo do programa define o que vai exibir para cada cliente.
  32. 32. Informar como gerenciam o controle de vazamento de informaçãoSua informação está em um local sem seu controle e operadopor outras pessoas. É necessário entender (E sempre colocar emcontrato) como o vazamento de informação é gerenciado pelacontratada.Pode ser um ambiente muito restrito, onde os operadores nãoacessam internet ou mídias removíveis (USB, CD, DVD, etc.) ouum ambiente com solução de DLP instalada.
  33. 33. Detalhar procedimentos em casos de ataques DDOSDetalhar em contrato como funciona a prevenção a DDOS (Casoexista) e como funciona o procedimento de comunicação para ocontratante.
  34. 34. Identificar onde ficará o datacenter ou osdatacenters da solução para atender ou se preocupar com particularidades legais locaisBasicamente é importante constar em contrato a localização dosdatacenters onde ficarão os dados da solução em nuvem, poisisso influenciará a questão de atendimento a demandas legaisque podem variar de acordo com o pais.
  35. 35. Demonstrar o processo de gestão de chaves criptográficasEsta é uma das partes mais importantes de segurança emcomputação na nuvem pois é decisiva em relação àconfidencialidade de dados.O mais correto é que os dados sejam criptografados e que aschaves de criptografia fiquem em poder do contratante, poiscaso fiquem em poder do contratado, existe um risco maior deque alguém roube ou utilize as mesmas.
  36. 36. Controle de acessoImagine que sua aplicação está fora agora da sua empresa. Comofica a questão de gestão de usuários (Criação, Exclusão,Alteração) e perfis de acesso?Um caminho é a gestão por meio da interface fornecida pelocontratado, outro meio, é a utilização de um recurso conhecidocomo federação.
  37. 37. Controle de acessoBasicamente federação consiste em uma base de usuáriosconfiar em bases externas. Ou seja, a aplicação na nuvem podeconsultar um usuário dentro da sua empresa na sua base derede por exemplo.Isso te dá uma série de vantagens, como por exemplo, ter ocontrole dos usuários mais próximos, facilidade para bloquearum usuário, senha única, etc.
  38. 38. Controle de acessoOutra preocupação em relação a controle de acesso é o uso deautenticação forte, pois considerando que o serviço ficará maisexposto na internet, o ideal é que o usuário utilize algo mais,além do par tradicional, usuário e senha. Neste caso,recomendo:● Token físico● Cartão de senhas● Biometria● Senha por SMS
  39. 39. Permissão de auditorias externasApós o fornecedor prometer os diversos itens acima, é chegada ahora de considerarem em contrato que você contratante poderealizar visitas de auditorias periódicas para comprovar oandamento dos compromissos de contrato relacionados àsegurança.Para isto ser mais efetivo, sugiro o uso de um checklist. Estechecklist pode ser utilizado para o momento de contratação epara estas auditorias periódicas.
  40. 40. Checklist

×