Fog Computing - Falhas e Riscos da Computação em Nuvem

3.873 visualizações

Publicada em

Cloud Security presentation presented at Vale Security Conference

Publicada em: Tecnologia
0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
3.873
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
1.303
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Fog Computing - Falhas e Riscos da Computação em Nuvem

  1. 1. Fog Computing As falhas e riscos da Computação em Nuvem Anchises M. G. de Paula iDefense Intelligence Analyst adepaula@verisign.com1
  2. 2. #FAIL Mar. 13, 2010! Apr. 29, 2011! Car Crash Triggers Amazon Amazon cloud outage was Power Outage! triggered by configuration By Datacenter Knowledge! error! Amazonʼs EC2 cloud computing By Computerworld! service suffered its fourth power Amazon has released a detailed outage in a week on Tuesday, with postmortem and mea culpa about the some customers in its US East Region partial outage of its cloud services losing service for about an hour. The platform last week and identified the incident was triggered when a vehicle culprit: A configuration error made crashed into a utility pole near one of during a network upgrade. ! the companyʼs data centers, and a During this configuration change, a transfer switch failed to properly traffic shift "was executed 
 manage the 
 incorrectly," Amazon said (…).! shift from utility power to the 
 facilityʼs generators.!2
  3. 3. #FAIL Mesmo estando na Nuvem, seu site pode evaporar ? Picture source: sxc.hu!3
  4. 4. Agenda •  Overview - Cloud Computing fonte: sxc.hu! •  Conhecendo os riscos de Cloud Computing •  Novos riscos na Nuvem4
  5. 5. Overview de Cloud Computing5
  6. 6. Overview 20/1/10! •  Cloud Computing se Cloud Computing for tornou um termo popular Business and Society! em TI e negócios by Brad Smith, The Huffington Post! (…)! According to a recent survey conducted by Microsoft, more than 90 percent of Americans are using some form of cloud computing; nearly all of us are connected to the cloud. ! 6!6
  7. 7. O que é Cloud Computing? “A style of computing where massively scalable IT- enabled capabilities are provided "as a service" to external customers using Internet technologies… … where the consumers of the services need only care about what the service does for them, not how it is implemented” Gartner! fonte: sxc.hu!7
  8. 8. Overview •  Cloud Computing representa uma mistura e evolução de várias 2008! tecnologias Cloud Computing! Software as a Service! 1990! Utility Computing! Grid Computing!fonte: Oxford ! 8!8
  9. 9. Overview Fonte: iDefense!9
  10. 10. Overview •  Três categorias básicas de Cloud Computing: •  Infrastructure as a Service (IaaS) •  Platform as a Service (PaaS) •  Software as a Service (SaaS) 10!10
  11. 11. Overview §  Três categorias básicas de Cloud Computing:! Cliente! – Infrastructure as a Service (IaaS)! S ! E ! G U – Platform as a Service (PaaS)! R A N Ç A – Software as a Service (SaaS)! Provedor! 11!11
  12. 12. Conhecendo os Riscos de Cloud Computing12
  13. 13. Cloud Computing é seguro? •  Depende... •  Seguro comparado com o que? •  Precisamos de um contexto fonte: sxc.hu!13
  14. 14. Computação em Nuvem Computação em nuvem é um termo em evolução •  Preocupação com segurança crescendo conforme surgem necessidades e incidentes específicos. fonte: infosuck.org!14
  15. 15. Estratégia para Análise de Riscos •  Identificar o ativo para implantação na nuvem •  Entender as necessidades e os riscos •  Mapear o ativo com o modelo de implantação •  Avaliar os modelos de serviços e fornecedores •  Selecionar estratégias de mitigação fonte: sxc.hu! 15!15
  16. 16. Riscos de Cloud Computing •  Cloud Computing herda vários riscos associados às tecnologias que utiliza •  Conjunto específico de atributos que tornam a análise de riscos mais complexa •  Novos paradigmas •  Detalhes obscuros do CSP fonte: sxc.hu!16
  17. 17. Riscos Tradicionais “Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”! 17!17
  18. 18. Riscos Tradicionais “Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”! •  Riscos : •  Terceiros •  Perda de governança •  Aderência Regulatória •  Acesso privilegiado •  Usuário interno malicioso •  Acesso físico ao ambiente 18!18
  19. 19. Riscos Tradicionais “Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”! •  Riscos : •  Novas vulnerabilidades e gestão de atualizações •  Acesso privilegiado •  Comprometimento da administração •  Exaustão dos recursos 19!19
  20. 20. Riscos Tradicionais “Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”! •  Riscos: •  Novas vulnerabilidades •  Acesso privilegiado •  Segregação de dados •  Roubo de dados •  Recuperação 20!20
  21. 21. Riscos Tradicionais “Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”! •  Riscos: •  Disponibilidade •  Performance •  Interceptação de dados •  DDoS 21!21
  22. 22. Novos riscos na Nuvem22
  23. 23. Novos paradigmas de segurança •  “Nuvem” significa perder parte do controle •  Sem controles físicos •  Repensar a segurança de perímetro •  Sem time de segurança dedicado •  Foco na estratégia de segurança fonte: sxc.hu!23
  24. 24. Riscos •  Proteção dos dados •  Práticas de gestão de dados do Cloud Provider •  Múltiplas transferências de dados •  Interceptação dos dados •  Em trânsito •  Intra-nuvem Fonte: iDefense! 24!24
  25. 25. Riscos •  Proteção dos dados •  Práticas de gestão de dados do Cloud Provider •  Múltiplas transferências de dados •  Interceptação dos dados •  Segregação dos dados •  Remoção insegura ou incompleta Fonte: iDefense! 25!25
  26. 26. Mitigação •  Proteção dos dados •  Práticas de gestão de dados do Cloud Provider •  Múltiplas transferências de dados •  Interceptação dos dados •  Segregação dos dados •  Remoção insegura ou incompleta •  Mitigação •  Criptografia de dados •  Criptografia da comunicação •  Avaliar os procedimentos do CSP •  Auditoria e SLA Fonte: iDefense! 26!26
  27. 27. Riscos •  Localização física dos dados •  Localização e aspectos regulatórios •  Regiões voláteis representam maior risco •  Governos hostis / sem ética e risco de exposição dos dados 27!27
  28. 28. Mitigação •  Localização física dos dados •  Localização e aspectos regulatórios •  Regiões voláteis representam maior risco •  Governos hostis / sem ética e risco de exposição dos dados •  Mitigação •  Identificar a localização dos dados •  Escolha CSPs que garantam a localização dos dados •  Evite CSPs com data centers em países hostis •  Use CSPs baseados no mesmo país 28!28
  29. 29. Riscos •  Disponibilidade •  Exige conectividade constante •  Perda de dados e risco de downtime •  Ataques DDoS globais Fonte: iDefense! 29!29
  30. 30. Riscos •  Disponibilidade •  Exige conectividade constante •  Perda de dados e risco de downtime •  Ataques DDoS globais 06/05/10! US Treasury site hit by attack on cloud host! Finextra.com! A US Treasury Web site has been suspended after its cloud computing host was hacked, redirecting users to a malicious site in the Ukraine. ! Fonte: iDefense! 30!30
  31. 31. Mitigação •  Mitigação •  Conhecer a infraestrutura do CSP’s •  Investimento na conexão Internet local •  Evitar pontos de falha •  Private clouds •  Service-level agreements (SLAs) com os CSPs •  Assuma pelo menos uma falha. Qual o impacto? Fonte: iDefense! 31!31
  32. 32. Riscos •  Portabilidade da Nuvem e Apr. 30, 2009! “Lock-in” Cloud Computing •  Não existem padrões para Forerunner Facing formato de dados, Bankruptcy! ferramentas e interfaces Eweek Europe! Cassatt, the infrastructure management •  Como garantir portabilidade software company started by BEA dos dados, aplicações e Systems founder Bill Coleman, is running out of money.! serviços? •  Alta dependência do CSP A! B! 32!32
  33. 33. Open Cloud Manifesto Principles of an Open Cloud! 1.  Cloud providers must … ensure that the challenges to cloud adoption … are addressed through open collaboration and the appropriate use of standards. 2.  Cloud providers must not use their market position to lock customers … 3.  Cloud providers must use and adopt existing standards wherever appropriate... 4.  When new standards … are needed, … avoid creating too many standards. 5.  Any community effort around the open cloud should be driven by customer needs... Source: www.opencloudmanifesto.org!33
  34. 34. Riscos •  Aspectos Legais •  Leis no local do CSP •  Leis e regulamentações conflitantes •  Compliance do CSP •  Contrato com terceiros •  Falha de compliance: riscos legais 34!34
  35. 35. Mitigação •  Aspectos Legais •  Leis no local do CSP •  Leis e regulamentações conflitantes •  Compliance do CSP •  Contrato com terceiros •  Falha de compliance: riscos legais •  Mitigação FISMA ! •  Conheça suas obrigações HIPAA ! SOX! •  Conheça as obrigações do CSP PCI ! •  Contratos e SLA SAS 70 Audits! 35!35
  36. 36. Riscos •  Suporte Investigativo •  Forense na “nuvem”? •  Múltiplos clientes, logs agregados •  Capacidade de resposta a incidentes •  Dependência do CSP para dados forenses e investigação 36!36
  37. 37. Mitigação •  Suporte Investigativo •  Forense na “nuvem”? •  Múltiplos clientes, logs agregados •  Capacidade de resposta a incidentes •  Dependência do CSP para dados forenses e investigação •  Mitigação •  Definir políticas e procedimentos com o CSP •  Evite CSPs que não participem de uma investigação 37!37
  38. 38. Conclusão38
  39. 39. Conclusão •  Segurança na “nuvem” não é muito diferente das necessidades “pré-nuvem” •  Cloud computing é fundamentalmente sobre cedendo controle •  Controles de segurança x Vantagens para o negócio •  Segurança do CSP versus necessidade de segurança fonte: sxc.hu!39
  40. 40. Segurança de Cloud Computing •  Análise de Riscos é fundamental •  Compare os Provedores de Cloud •  Faça auditoria e “due diligence” •  Adote estratégias de mitigação Fonte: vidadeprogramador.com.br!40
  41. 41. Previsão do Tempo •  Muitas nuvens a frente •  Sujeito a chuvas e trovoadas esporádicas •  Tenha sempre um guarda-chuva próximo fonte: Wikimedia Commons!41
  42. 42. Referências •  Cloud Security Alliance (CSA) http://www.cloudsecurityalliance.org •  Cloud Security Alliance – Capítulo Brasil https://chapters.cloudsecurityalliance.org/brazil42
  43. 43. Referências •  “Security Guidance for Critical Areas of Focus in Cloud Computing” http://www.cloudsecurityalliance.org/guidance/csaguide.pdf •  “Top Threats to Cloud Computing V1.0” http://www.cloudsecurityalliance.org/topthreats.html •  “CSA Cloud Controls Matrix V1.2” http://cloudsecurityalliance.org/cm.html 43!43
  44. 44. Referências •  NIST Cloud Computing Project http://csrc.nist.gov/groups/SNS/cloud-computing/index.html •  Relatório da ENISA “Cloud Computing: Benefits, risks and recommendations for information security http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk- assessment •  iDefense Topical Research Paper: “Cloud Computing” 44!44
  45. 45. Thank You© 2011 VeriSign, Inc. All rights reserved. VERISIGN and other trademarks, service marks, and designsare registered or unregistered trademarks of VeriSign, Inc. and its subsidiaries in the United States andin foreign countries. All other trademarks are property of their respective owners.

×