Cloud Computing - Conceitos e Riscos

2.826 visualizações

Publicada em

Overview of Cloud Computing concepts and major areas of risks, by Cloud Security Alliance Brazil

0 comentários
2 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
2.826
No SlideShare
0
A partir de incorporações
0
Número de incorporações
4
Ações
Compartilhamentos
0
Downloads
101
Comentários
0
Gostaram
2
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Cloud Computing - Conceitos e Riscos

  1. 1. Computação  em  Nuvem   Oportunidades  e  Riscos  de  Segurança  Anchises  M.  G.  De  Paula  Membro,  CSA  Brasil   1  
  2. 2. Agenda  –   O  que  é  Computação  em  Nuvem  –   Oportunidades  de  Segurança  –   Principais  categorias  de  Riscos  – Sete  principais  ameaças  –   Cloud  Security  Alliance   2  
  3. 3. CLOUD  COMPUTING  O  que  é  Computação  em  Nuvem   3  
  4. 4. Computação  em  Nuvem  Computação  em  nuvem  é  um  termo  em  evolução     –   Separa  as  aplicações  e  os  recursos  de  informação  de  sua   infraestrutura  básica,  e  os  mecanismos  uMlizados  para   entregá-­‐los.   –   Uso  de  uma  coleção  de  serviços,  aplicações,  informação   e  infraestrutura  composta  por  pools  de  recursos   computacionais,  de  rede,  de  informação  e  de   armazenamento.   –   Estes  componentes  podem  ser  rapidamente   organizados,  provisionados,  implementados,  desaMvados,   e  escalados  para  cima  ou  para  baixo,  provendo  um  modelo   de  alocação  e  consumo  baseado  na  demanda  de  recursos.     4  
  5. 5. Computação  em  Nuvem  Vantagens   –   Realça  a  colaboração,   agilidade,  escalabilidade  e   disponibilidade   – Potencial  para  redução  de   custos  através  de   computação  eficiente  e   oMmizada   –   Eficiência  de  custos  pelas   economias  de  escala,   reuMlização  e  padronização   fonte:  sxc.hu     5  
  6. 6. Computação  em  Nuvem   6  
  7. 7. Computação  em  Nuvem  Modelos  de  Referência   –   Relações  e  dependências  entre   os  modelos  de  Computação  em   Nuvem     –   CaracterísMcas  são  herdadas   –   Também  são  herdadas  as   questões  de  segurança  da   informação  e  o  risco   7  
  8. 8. SEGURANÇA  Oportunidades  de  Segurança   8  
  9. 9. Considerações  de  Segurança       –   Computação  em  Nuvem  não  é  mais  ou  menos  segura   –   Os  controles  de  segurança  para  Computação  em  Nuvem   não  são  diferentes  dos  controles  de  segurança  para   qualquer  ambiente  de  TI.     9  
  10. 10. Segurança  da  Computação  em  Nuvem   Modelo  de  Referência  de  Segurança  em  Nuvem   –   A  forma  como  os  serviços  de  nuvem  são  implantados     versus  onde  eles  são  fornecidos   –   A  maneira  como  os  serviços  de  nuvem  são  consumidos   –   Reperimetrização  e  erosão  de  fronteiras  de  confiança     –   Cloud  Cube  Model   •   ofertas  de  nuvem  disponíveis     •   quatro  critérios/dimensões   10  
  11. 11. Segurança  da  Computação  em  Nuvem   Mapeando  o  Modelo  de  Nuvem  para  o  Modelo  de   Controles  de  Segurança  &  Conformidade   11  
  12. 12. Segurança  da  Computação  em  Nuvem     Cliente   Infrastructure  as  a  Service  (IaaS)   S     E   G     U   Pladorm  as  a  Service  (PaaS)   R   A     N     Ç   A   Soeware  as  a  Service  (SaaS)     Provedor   12  
  13. 13. RISCOS  Riscos  na  adoção  da  Computação  em  Nuvem   13  
  14. 14. Riscos  de  Segurança       –   Computação  em  Nuvem  cria  novos  riscos  e  novas   oportunidades   –   Oportunidade  de  reestruturar  aplicações  anMgas   14  
  15. 15. Análise  de  Riscos       –   IdenMficar  o  aMvo  para  implantação  na  nuvem   –   Avaliar  o  aMvo   –   Mapear  o  aMvo  com  modelo  de  implantação   –   Avaliar  potenciais  modelos  de  serviços   –   Esboçar  o  potencial  fluxo  de  dados   15  
  16. 16. Riscos  de  Computação  em  Nuvem  Security  Guidance  for  CriMcal  Areas  of  Focus  in  Cloud  CompuMng  v.  2.1   –   Referência  para  análise  dos  riscos          hip://www.cloudsecurityalliance.org/guidance/csaguide.pdf    Top  Threats  to  Cloud  CompuMng  V1.0   –   Sete  principais  riscos            hip://www.cloudsecurityalliance.org/topthreats.html     16  
  17. 17. Security  Guidance    13  Domínios    03  Macro  Seções:     –   Arquitetura   –   Governança   –   Operações   17  
  18. 18. Security  Guidance:   Governança  e  Gestão  de  Riscos  Corpora@vos     –   Seção:  Governança   –   Compreende  na  capacidade  de  uma  organização  para   governar  e  medir  o  risco  empresarial  introduzido  pela   Computação  em  Nuvem   –   Responsabilidade  para  proteger  dados  sensíveis  no  caso   de  provedor  e  usuário  falhar   –   Como  essas  questões  são  afetadas  por  fronteiras   internacionais   18  
  19. 19. Security  Guidance:   Aspectos  Legais  e  Electronic  Discovery     –   Seção:  Governança   –   Compreende  nos  problemas  legais  em  potencial  ao  se   uMlizar  Computação  em  Nuvem   –   Requisitos  de  proteção  da  informação   –   Requisitos  regulatórios   –   Leis  internacionais   19  
  20. 20. Security  Guidance:   Conformidade  e  Auditoria     –   Seção:  Governança   –   Compreende  na  manutenção  e  comprovação  de   conformidade  ao  se  fazer  uso  da  Computação  em  Nuvem   –   Como  a  Computação  em  Nuvem  afeta  o  cumprimento   de  políMcas  de  segurança  interna  e  diversos  requisitos  de   conformidade  (regulatórios,  legislaMvos,  entre  outros)   –   Orientações  para  comprovar  a  conformidade  no  caso  de   auditoria   20  
  21. 21. Security  Guidance:   Gerenciamento  do  Ciclo  de  Vida  das  Informações     –   Seção:  Governança   –   Compreende  no  gereciamento  dos  dados  que  são   colocados  na  Nuvem   –   Controles  compensatórios  para  lidar  com  a  perda  de   controle  lsico   –   Responsável  pela  confidencialidade,  integridade  e   disponibilidade   21  
  22. 22. Security  Guidance:   Portabilidade  e  Interoperabilidade     –   Seção:  Governança   –   Compreende  na  habilidade  de  mover  dados  e/ou   serviços  de  um  provedor  para  outro  ou  totalmente  de   volta  para  a  empresa   –   Interoperabilidade  entre  fornecedores   22  
  23. 23. Security  Guidance:  Segurança  Tradicional,  Cont.  de  Negócios  e  Rec.  Desastres     –   Seção:  Operações   –   Descreve  como  a  Computação  em  Nuvem  afeta  os   processos  e  procedimentos  operacionais  usados   atualmente  em  BCP  e  DRP   –   Aborda  sobre  como  ajudar  a  idenMficar  onde  a   Computação  em  Nuvem  pode  ajudar  a  diminuir  certos   riscos,  ou  implica  em  aumento  dos  riscos   23  
  24. 24. Security  Guidance:   Operações  e  Data  Center     –   Seção:  Operações   –   Descreve  como  avaliar  a  arquitetura  e  a  operação  de  um   fornecedor  de  Data  Center   –   Focado  principalmente  em  ajudar  a  idenMficar   caracterísMcas  de  data  centers  que  podem  ser  prejudiciais   e  as  fundamentais  para  estabilidade  a  longo  prazo   24  
  25. 25. Security  Guidance:   Resposta  a  Incidente,  No@ficação  e  Remediação     –   Seção:  Operações   –   Aborda  a  correta  e  adequada  detecção  de  incidentes,   resposta,  noMficação  e  correção   –   Aborda  itens  tanto  no  nível  de  prestadores  de  serviços  e   consumidores   –   Forense  computacional   –   Ajudar  a  compreender  as  diferenças  na  abordagem  do   sistema  de  gestão  de  incidentes  atual   25  
  26. 26. Security  Guidance:   Segurança  de  Aplicações     –   Seção:  Operações   –   Descreve  modos  de  proteger  a  aplicação  que  está  sendo   executada  ou  desenvolvida  na  nuvem   –   É  apropriado  migrar  ou  projetar  uma  aplicação  na   nuvem?   –   Qual  melhor  modelo  (SaaS,  PaaS  ou  IaaS)  ?   26  
  27. 27. Security  Guidance:   Criptografia  e  Gerenciamento  de  Chaves     –   Seção:  Operações   –   DiscuMr  por  que  é  necessário   –   IdenMficar  questões  que  surgem  com  a  uMlização,  seja   para  proteger  o  acesso  aos  recursos  ou  para  proteger  os   dados   27  
  28. 28. Security  Guidance:   Gerenciamento  de  Iden@dade  e  Acesso     –   Seção:  Operações   –   Foco  em  questões  encontradas  quando  se  estende  a   idenMdade  de  uma  organização  para  Nuvem   –   Fornece  insights  para  avaliar  a  capacidade  da   organização  para  realizar  a  gestão  de  idenMdade  e  acesso   baseados  na  Nuvem   28  
  29. 29. Security  Guidance:   Virtualização     –   Seção:  Operações   –   Descreve  o  uso  da  Virtualização  em  Computação  em   Nuvem   –   Aborda  riscos  associados  com  mulMlocação   –   Isolamento  de  VMs   –   Vulnerabilidades  em  Hypervisor   –   Foca  nas  questões  de  segurança  em  torno  do  sistema/ hardware  de  virtualização   29  
  30. 30. PRINCIPAIS  AMEAÇAS  Sete  principais  ameaças  na  adoção  da  Computação  em  Nuvem   30  
  31. 31. Principais  Riscos  Para  Computação  em   Nuvem   Abuso  e  uso  Malicioso  de  Computação  em  Nuvem   – Qualquer  pessoa  com  um  cartão  de  crédito  válido  pode   se  registrar  e  usar  os  serviços  em  nuvem   •   Spammers,  autores  de  códigos  maliciosos  e  criminosos   •   Uso  anônimo  e  impune   –   Usos  maliciosos   •   Quebra  de  senhas   •   Realizar  ataques  (ex:  DDoS)   •   Hospedar  dados  maliciosos   CSA  Guidance:   •   Controle  de  botnets   Domínios  8  e  9   IaaS   PaaS   SaaS   31  
  32. 32. Principais  Riscos  Para  Computação  em   Nuvem   Interfaces  e  APIs  Inseguras   – Segurança  e  disponibilidade  dos  serviços  na  nuvem  são   dependentes  das  interfaces  e  APIs  de  gerenciamento   –   Falhas  acidentais  ou  mal  intencionadas   –   Complexidade   •   Serviços  desconhecidos   –   Controle  de  acesso   •   Acessos  anônonimos   •   Senhas  e  dados  trafegados  em  aberto   CSA  Guidance:   Domínio  10   IaaS   PaaS   SaaS   32  
  33. 33. Principais  Riscos  Para  Computação  em   Nuvem   Usuários  Internos  Maliciosos   –   Ameaça  amplificada   •   Convergência  de  serviços  e  usuários   •   Falta  de  transparência  do  provedor   •   Funcionários  do  provedor   •   Baixo  risco  de  detecção   –   Potenciais  ameaças   •   Concorrentes   •   Espionagem   CSA  Guidance:   •   Hackers     Domínios  2  e  7   IaaS   PaaS   SaaS   33  
  34. 34. Principais  Riscos  Para  Computação  em   Nuvem   Uso  de  Tecnologias  de  ComparMlhamento   –   Forte  isolamento  em  ambientes  mulM-­‐locatários   –   Falhas  no  sistema  de  controle  (hypervisor)   •   Sistemas  virtuais  podem  ter  acesso  ao  sistema  hospedeiro   •   Falha  nos  controles  e  isolamento   –   Clientes  não  devem  ter  acesso  a  dados  de  outros   clientes   •   Dados  atuais  ou  residuais   •   Tráfego  de  rede   CSA  Guidance:     Domínios  8  e  13   IaaS   PaaS   SaaS   34  
  35. 35. Principais  Riscos  Para  Computação  em   Nuvem   Perda  ou  Vazamento  de  Dados   –   Pode  ser  devastados  para  uma  empresa   –   Arquitetura  e  ambiente  da  Nuvem  aumenta  os  riscos   •   Falha  nos  controles  de  autenMcação,  autorização  e  auditoria   (AAA)   •   Falhas  operacionais   •   Persistência  e  remanescência  dos  dados   •   Jurisdição   •   Disponibilidade  do  provedor   CSA  Guidance:   Domínios  5,  11  e  12   IaaS   PaaS   SaaS   35  
  36. 36. Principais  Riscos  Para  Computação  em   Nuvem   Sequestro  de  Serviço  ou  de  Conta   –   Roubo  de  credenciais   •   Phishing,  fraude  ou  exploração  de  falhas   –   Acesso  indevido  a  Nuvem   •   Acessar  dados  e  transações   •   Manipulação  dos  dados   •   Redirecionar  usuários  para  outros  sites   CSA  Guidance:   Domínios  2,  9  e  12   IaaS   PaaS   SaaS   36  
  37. 37. Principais  Riscos  Para  Computação  em   Nuvem   Riscos  Desconhecidos   –   Na  Computação  em  Nuvem,  as  empresas  abrem  mão  da   gestão  do  hardware  e  do  soeware  para  focar  no  negócio   •   Segurança  por  obscuridade  e  baixo  esforço   •   Perde  controles  de  segurança   –   Detalhes  de  operação  e  compliance  do  fornecedor   •   Versão  de  soeware  e  atualização  de  código   •   Com  quem  você  comparMlha  a  infra-­‐estrutura   •   TentaMvas  de  ataque   CSA  Guidance:   •   Guarda  de  logs   Domínios  2,  3,  8  e  9   IaaS   PaaS   SaaS   37  
  38. 38. CLOUD  SECURITY  ALLIANCE  Apresentação  CSA  Brasil   38  
  39. 39. CSA:   Overview    –   Associação  sem  fins  lucraMvos  –   Idealizada  durante  o  ISSA  CISO  Forum  em  Novembro  de  2008  –   Oficializada  em  Dezembro  de  2008  –   Primeiro  Whitepaper  na  RSA  Conference  em  2009  –   +12mil  Membros  –   Presente  em  06  países  através  de  Chapters  locais   39  
  40. 40. CSA:   Missão  To   promote   the   use   of   best  pracMces   for   providing  security   assurance   within  Cloud   CompuMng,   and  provide   educaMon   on   the  uses  of  Cloud  CompuMng  to  help   secure   all   other   forms  of  compuMng.   fonte:  sxc.hu   40  
  41. 41. CSA:   Obje@vos  –    Promote   a   common   level   of   understanding   between   the  consumers   and   providers   of   cloud   compuMng   regarding   the  necessary  security  requirements  and  aiestaMon  of  assurance  –    Promote  independent  research  into  best  pracMces  for  cloud  compuMng  security  –    Launch  awareness  campaigns  and  educaMonal  programs  on  the   appropriate   uses   of   cloud   compuMng   and   cloud   security  soluMons  –    Create   consensus   lists   of   issues   and   guidance   for   cloud  security  assurance   41  
  42. 42. CSA  Brasil:   Overview    –   Segundo  Chapter  oficial  da  CSA  –   Oficializado  em  27  de  Maio  de  2010  –   97  Membros  –   Board:  Leonardo  Goldim;  Anchises  Moraes,  Jaime  OrMs  y  Lugo,  Jordan  Bonagura,  Olympio  Renno  –   Segue  Missão  e  ObjeMvos  da  CSA  Global   42  
  43. 43. Projetos   CCSK  –   Voltada  para  profissionais  –   Disponível  desde  01  de  Setembro  –   Realizada  online  –   US$  295,  até  31  de  Dezembro  US$  195  –   Baseada  no  Guia  de  Boas  PráMcas  da  CSA  e  nos  estudos  da  Enisa  sobre  gestão  de  riscos  na  Nuvem  –   CCSK  Study  Guide  –   Relacionada  a  versão  do  Guia,  não  expira  –   4  profissionais  no  Brasil   43  
  44. 44. Como  se  Associar   CSA  /  CSA  Brasil  Pessoa  Física   –   ParMcipação  no  grupo  do  LinkedIN   –   ParMcipação  nas  listas  de  discussões  dos  projetos   (csabrasil  –  Yahoo  Grupos)   –   Sem  custo  Pessoa  Jurídica   –   Contato  diretamente  com  a  CSA   –   Taxa  anual   44  
  45. 45. Referências   •  NIST  Cloud  CompuMng  Project    hUp://csrc.nist.gov/groups/SNS/cloud-­‐compu@ng/index.html   •  Relatório  da  ENISA     “Cloud  CompuMng:  Benefits,  risks     and  recommendaMons  for  informaMon  security”   hUp://www.enisa.europa.eu/act/rm/files/deliverables/cloud-­‐ compu@ng-­‐risk-­‐assessment  45   45  
  46. 46. Referências   •  “CSA  Cloud  Controls  Matrix  V1”   –  Lançado  em  27  de  Abril  27,  2010   –  hip://www.cloudsecurityalliance.org/cm.html    46   46  
  47. 47. Obrigado  Anchises  M.  G.  de  Paula   Membro  da  CSA  Brasil   anchisesbr@gmail.com   hip://br.cloudsecurityalliance.org   hip://www.cloudsecurityalliance.org   47  

×