Segurança na Nuvem: Conformidades e Riscos

221 visualizações

Publicada em

Trabalho apresentado na disciplina de Segurança da Informação no curso de Tecnologia em Análise e Desenvolvimento de Sistemas do Instituto Federal de São Paulo.

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
221
No SlideShare
0
A partir de incorporações
0
Número de incorporações
4
Ações
Compartilhamentos
0
Downloads
8
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Segurança na Nuvem: Conformidades e Riscos

  1. 1. SEGURANÇA NA NUVEM: Conformidades e Riscos Rodrigo Felipe Betussi
  2. 2. Tópicos  Computação em Nuvem... O que é?  Definição segundo o NIST  Introdução à Segurança em Computação em Nuvem  Desafios  Dois Exemplos de Problemas  Devo ou não ir para a NUVEM?!  Conformidades  Modelo para Gestão de Risco  Riscos Inerentes dos Modelos de Serviços  Conclusão
  3. 3. Computação em Nuvem... O que é ???
  4. 4. Definição segundo o NIST (National Institute of Standards and Technology) Computação em nuvem é um modelo para habilitar o acesso por rede ubíquo, conveniente e sob demanda a um conjunto compartilhado de recursos de computação (como redes, servidores, armazenamento, aplicações e serviços) que possam ser rapidamente provisionados e liberados com o mínimo de esforço de gerenciamento ou interação com o provedor de serviços.
  5. 5. ... 23,1% das empresas brasileiras estão implantando ou já implantaram soluções na NUVEM
  6. 6. E por que migrar para a NUVEM? Como fica a SEGURANÇA?
  7. 7. Para se chegar à resposta, devemos pensar no que efetivamente muda ao mover o e-mail corporativo ou o ERP que operam localmente e colocá-los em uma empresa especializada em computação em nuvem. As mudanças são muitas e positivas. Uma empresa competente tem condições de oferecer vantagens e funcionalidades que seriam inviáveis financeiramente a uma empresa cujo foco não é infraestrutura e serviços de TI. Os custos com investimento, manutenção em infraestrutura e uma equipe especializada são altos.
  8. 8. Introdução à Segurança em Computação em Nuvem A decisão da migração dos dados de uma empresa para a nuvem é o momento crucial para o administrador. A segurança de suas informações, com a qualidade que estas estarão sendo armazenadas. Em uma pesquisa realizada pelo IDC (International Data Corporation) com 244 executivos de TI, procurou-se investigar qual o aspecto mais preocupante quando do uso de serviços de computação em nuvens. Os resultados mostraram que 74,5% das pessoas entrevistadas preocupam-se com a SEGURANÇA!
  9. 9. Desafios O modelo de Computação em Nuvem traz uma série de desafios de segurança que devem ser analisados por todos os envolvidos. A falta de entendimento e atenção às questões de segurança pode trazer reflexos negativos para as empresas.
  10. 10. Dois Exemplos de Problemas na NUVEM AWS (Amazon Web Services): Em Abril de 2011, a falha do serviço afetou a grande maioria dos sites que utilizavam da sua infraestrutura, localizada na costa leste dos Estados Unidos. Entre os afetados estão sites famosos: QUORA, REDDIT, FOURSQUARE e EVERYBLOCK. EVERNOTE: Em Fevereiro de 2013, um problema de segurança associado à computação em nuvem foi o vazamento das senhas. O impacto foi percebido pelos 50 milhões de usuários registrados no serviço, que tiveram que trocar sua senha.
  11. 11. Devo ou não ir para a NUVEM?! Tais problemas apresentados, porém, não são provas de que o modelo de computação em nuvem seja inerentemente inseguro. As ameaças de segurança são inerentes a ambientes online, independentemente da adoção ou não do modelo de computação em nuvem.
  12. 12. Conformidades Os requisitos de conformidade com diferentes níveis de serviço, disponibilidade, transparência e auditoria. Esta categoria subdivide-se em:  Nível de Serviço ou Service Level Agreements (SLA): estabelece políticas relacionadas a requisitos de disponibilidade de serviço e dos dados, procedimentos de segurança a serem adotados e possíveis relações com requisitos legais;  Disponibilidade: interrupções no fornecimento do serviço não são exclusivas de serviços da nuvem, porém a dependência entre serviços torna esse problema ainda mais grave;
  13. 13. Conformidades  Auditoria: as análises de segurança e disponibilidade de serviço são baseadas em políticas de auditoria preestabelecidas. Métodos transparentes e eficazes são necessários para avaliar as condições de serviço, e normalmente são requisitos contratuais básicos;  Conformidade de serviço: trata de problemas relacionados às obrigações contratuais estabelecidas para um serviço e seus usuários.
  14. 14. Gestão de Risco na Nuvem Um modelo de gestão de riscos para utilização de serviços da Nuvem para funções críticas do negócio deve incluir:  Identificação e a avaliação dos ativos;  Análise de ameaças e vulnerabilidades e mensuração do impacto potencial nos ativos (risco e cenários de incidente);  Análise das probabilidades de ocorrência de determinados eventos em um cenário de implantação da nuvem;  Determinação dos níveis de gestão de risco aprovados, seus critérios de aceitação;  Desenvolvimento de Planos de Tratamentos de Riscos, com múltiplas opções (controle, evitar, transferir, aceitar). Os resultados do plano de tratamento de riscos devem ser parte integrante dos acordos de serviço (SLA).
  15. 15. Riscos Inerentes dos Modelos de Serviços na Nuvem MODELO DE SERVIÇO Infrastructure as a Service (IaaS) Platform as a Service (PaaS) Software as a Service (SaaS) CARACTERISTICA DE RISCO Neste modelo de serviço o consumidor não administra ou controla a infraestrutura da nuvem subjacente, mas tem controle sobre os sistemas operacionais, armazenamento de aplicativos implantados, e os componentes de rede selecionados. Neste modelo de serviço o consumidor não administra ou controla os recursos de infraestrutura da nuvem subjacente, tais como componente de rede, servidores, sistemas operacionais, ou armazenamento. Porém o consumidor tem controle sobre os aplicativos utilizados na hospedagem de aplicativos e nas configurações de ambientes. Neste modelo de serviço o consumidor não administra ou controla a infraestrutura subjacente da nuvem. O que inclui componentes de rede, servidores, sistemas operacionais, armazenamento ou capacidade de aplicação individual. A possível exceção relaciona-se a algumas configurações específicas do usuário e de algumas configuração de aplicativos. RISCO Médio Alto Muito Alto
  16. 16. Conclusão Atualmente entidades como o Open Cloud Manifesto, Computing Use Cases Group e o Cloud Security Alliance trabalham no desenvolvimento de padrões de segurança para computação em nuvem, levando essas pesquisas para um grande número de áreas, incluindo auditoria, aplicativos, criptografia, governança, segurança de rede, gerenciamento de risco, armazenamento e virtualização. Segundo especialistas o primeiro passo é identificar as diferenças entre a segurança local e a segurança na nuvem e examinar quais padrões existentes combinam com as operações em nuvem. No final, eles esperam chegar a padrões que permitam que as empresas possam integrar, seguramente, serviços de computação em nuvem de diferentes fornecedores e ter a garantia de que seus dados ficarão seguros na nuvem.
  17. 17. Dúvidas?
  18. 18. Referências  http://www.egov.ufsc.br/portal/sites/default/files/a_seguranca_de_dados_n a_computacao_em_nuvens_nas.pdf  http://www.revistas.usp.br/revusp/article/viewFile/61683/64572  http://www.infobrasil.inf.br/userfiles/26-05-S5-1-68740- Seguranca%20em%20Cloud.pdf  https://chapters.cloudsecurityalliance.org/brazil/2014/01/08/presidente-da- csabr-explica-sobre-seguranca-em-nuvem/  http://computerworld.com.br/cloud-e-mais-seguro-que-premises-defende- aws  http://convergecom.com.br/tiinside/seguranca/artigos- seguranca/05/02/2014/seguranca-na-computacao-em-nuvem-entenda-sopa- de-letrinhas/

×