1. Associação de Usuários de Informática e T elecomunicações de Mato Grosso do Sul
Material disponível em: http://slideshare.net/ademarfreitas
2. Associação de Usuários de Informática e T elecomunicações de Mato Grosso do Sul
Ademar Freitas
ademarfreitas@vizionbr.com.br
@demafr
Founder e CTO – VIZION Gestão de Negócios Empresariais
Vice Presidente de Sistemas de Informação – SUCESUMS
Conselheiro Diretoria de Eventos StartupMS
Material disponível em: http://slideshare.net/ademarfreitas
3. Associação de Usuários de Informática e T elecomunicações de Mato Grosso do Sul
Curso
CLOUD COMPUTING
DIA 3
Gerenciamento e Segurança – Parte II
Implementando
Padrões e Melhores Práticas – Parte I
Material disponível em: http://slideshare.net/ademarfreitas
4. Associação de Usuários de Informática e T elecomunicações de Mato Grosso do Sul
GERENCIAMENTO E SEGURANÇA
EM CLOUD COMPUTING...
Ameaças de segurança são amplificadas pois espalham-se mais rapidamente em Cloud
Infraestrutra Cloud é maior, comparativamente aos métodos tradicionais;
A similaridade de componentes, procedimentos empregados por fornecedores de Cloud
aumentam a velocidade que os danos são causados;
Por isso, os fornecedores precisam adotar muito
mais itens de segurança
Material disponível em: http://slideshare.net/ademarfreitas
5. Associação de Usuários de Informática e T elecomunicações de Mato Grosso do Sul
GERENCIAMENTO E SEGURANÇA
Na Cloud, o fornecedor detêm o conteúdo, mas não é dono dele;
Em Cloud Pública, a preocupação é que pode acessar o conteúdo;
Ainda assim, Dados podem ser protegidos através de criptografia!
Material disponível em: http://slideshare.net/ademarfreitas
6. Associação de Usuários de Informática e T elecomunicações de Mato Grosso do Sul
GERENCIAMENTO E SEGURANÇA
Dados que ficam na “Mão” do fornecedor cloud e são de extrema importância:
Dados de identidade pessoal – e-mail, contatos telefonicos, endereços,
preferencias...
Detalhes de serviços e ações realizadas pelos clientes;
Dados proprietários de clientes – Imagens, arquivos pessoais...
Dados em repouso;
O fornecedor de cloud deve garantir que esses dados estarão seguros e não serão
divulgados;
Requer observância na legislação local;
Material disponível em: http://slideshare.net/ademarfreitas
7. Associação de Usuários de Informática e T elecomunicações de Mato Grosso do Sul
GERENCIAMENTO E SEGURANÇA
Ameças mais comuns
VM Theaft
Ou VM escape
Hyperjacking
Data Leakage
Denial of
Service
Material disponível em: http://slideshare.net/ademarfreitas
8. Associação de Usuários de Informática e T elecomunicações de Mato Grosso do Sul
GERENCIAMENTO E SEGURANÇA
Ameças mais comuns
VM Theaft ou VM escape
Falhas nos controles de acessos;
Falhas em permissões;
Como prevenir:
VM`s devem ser assinadas para rodar somente em um
determinado servidor;
Usar a combinação de gerenciamento de virtualização e de
armazenamento;
Material disponível em: http://slideshare.net/ademarfreitas
9. Associação de Usuários de Informática e T elecomunicações de Mato Grosso do Sul
GERENCIAMENTO E SEGURANÇA
Ameças mais comuns
Hyperjacking
Hackers podem rodar aplicativos não autorizados em que o sistema
operacional perceba;
O atacante pode controlar as interações entre as VM`s e o SO;
Formas comuns de segurança são ineficazes;
Mensurar ataques incluem:
Analisar desempenho de hardware;
Avaliar a integridade do emulador de VM's a nivel de hardware
para localizar o atacante;
Material disponível em: http://slideshare.net/ademarfreitas
10. Associação de Usuários de Informática e T elecomunicações de Mato Grosso do Sul
GERENCIAMENTO E SEGURANÇA
Ameças mais comuns
Data Leakage
Geralmente por engenharia social;
Ataques por Brute-Force;
Padrões de processamento de informação;
Requer políticas fortes de acesso, senhas, proteção física...
O resultado é o vazamento de senhas, listas...
Material disponível em: http://slideshare.net/ademarfreitas
11. Associação de Usuários de Informática e T elecomunicações de Mato Grosso do Sul
GERENCIAMENTO E SEGURANÇA
Ameças mais comuns
Hyperjacking
Tem a intenção unicamente de impedir que usuários acessem determinado
serviço;
O ataque envolve:
Forçar exaustivamente recursos de rede e aplicativos até que sejam
derrubados;
Explorar vulnerabilidades para atrapalhar a comunicação, ex.: resetar
conexões, corromper caminhos DNS...
Utiliza de “Zumbis” para realizar os ataques;
Algumas maneiras de prevenir são a utilização de filtros e limitações no
consumo de recursos;
Material disponível em: http://slideshare.net/ademarfreitas
12. Associação de Usuários de Informática e T elecomunicações de Mato Grosso do Sul
GERENCIAMENTO E SEGURANÇA
Mecanismos de Segurança a serem adotados
A Nivel Computacional
Segurança Física;
Segurança do Virtualizador;
Segurança de VM`s;
Criptografia;
Isomento;
Alterar os “padrões de fábrica”
Segurança do SO;
Manter serviços e programas atualizados;
Segurança do Aplicativo;
Material disponível em: http://slideshare.net/ademarfreitas
13. Associação de Usuários de Informática e T elecomunicações de Mato Grosso do Sul
GERENCIAMENTO E SEGURANÇA
Mecanismos de Segurança a serem adotados
A Nivel de Rede
Utilização de Firewalls;
Desmilitarized Zones;
Material disponível em: http://slideshare.net/ademarfreitas
14. Associação de Usuários de Informática e T elecomunicações de Mato Grosso do Sul
GERENCIAMENTO E SEGURANÇA
Mecanismos de Segurança a serem adotados
A Nivel de Dados
Utilização de Apis para transferencia de informações;
Criptografia para transferencia informações;
Isolamento de Bases de Dados para acesso local somente;
Material disponível em: http://slideshare.net/ademarfreitas
15. Associação de Usuários de Informática e T elecomunicações de Mato Grosso do Sul
IMPLEMENTANDO
Nuvem Pública
Definir o Tipo de serviço prestado;
Qual o serviço me atende?
Meu serviço é global?
Tenho necessidade de baixa latência?
Não é para todos os negócios!
Tenho necessidade de alta disponibilidade?
Meus dados podem ficar expostos obedecendo padrões de
privacidade de terceiros?
Esses dados são protegidos por leis de privacidades?
Tenho dificuldades de conexão de internet?
Material disponível em: http://slideshare.net/ademarfreitas
16. Associação de Usuários de Informática e T elecomunicações de Mato Grosso do Sul
IMPLEMENTANDO
Nuvem Pública – Situação do Brasil (2013)
Material disponível em: http://slideshare.net/ademarfreitas
17. Associação de Usuários de Informática e T elecomunicações de Mato Grosso do Sul
Material disponível em: http://slideshare.net/ademarfreitas
18. Associação de Usuários de Informática e T elecomunicações de Mato Grosso do Sul
http://cloudscorecard.bsa.org/2013/assets/PDFs/BSA_GlobalCloudScorecard2013.pdf
Material disponível em: http://slideshare.net/ademarfreitas
19. Associação de Usuários de Informática e T elecomunicações de Mato Grosso do Sul
IMPLEMENTANDO
Nuvem Privada
Ter em mente o “Custo” de uma
rede privada
Custo Operacional
Custo em Ativos;
Obedecer características
essenciais da nuvem (The NIST
Definition of Cloud Computing):
Sob demanda, selfservice; amplo acesso
aos recursos de rede;
implantação de novos
recursos; elasticidade;
serviços mensuraveis;
Material disponível em: http://slideshare.net/ademarfreitas
Global Foundation Services (GFS) Microsoft
20. Associação de Usuários de Informática e T elecomunicações de Mato Grosso do Sul
Euclyptus
OpenNebula
Nimbus
OpenStack
Material disponível em: http://slideshare.net/ademarfreitas
21. Associação de Usuários de Informática e T elecomunicações de Mato Grosso do Sul
Camada de hardware
instalações do datacenter e os sistemas mecânicos, bem como a estrutura de armazenamento, de
rede e de computação. Cada um desses elementos deve fornecer interfaces de gerenciamento que
permitam interagir com níveis superiores da arquitetura.
Camada de Virtualização
Permite usar as máquinas virtuais (VMs) e a rede com VLANs, e fornecer armazenamento por meio
de volumes compartilhados do cluster e discos virtuais. A camada de virtualização nos ajuda a atingir
várias das características essenciais do NIST, como pool de recursos e elasticidade.
Camada de Automação
Fornecem a interface entre os sistemas de gerenciamento superior e os recursos físicos e virtuais.
Camada de Gerenciamento
Utilizam as tecnologias da camada de automação para realizar tarefas de gerenciamento, como
controlar a conformidade de patches, implantar patches e verificar a instalação. A camada de
gerenciamento fornece automação de processo básico, mas geralmente é limitada a um aspecto do
ciclo de vida do gerenciamento do servidor (como implantação, aplicação de patch, monitoramento,
backup e assim por diante).
Camada de Orquestração
A camada de orquestração geralmente não é vista em ambientes de TI tradicionais, mas é crítica
para fornecer atributos de nuvem. A camada de orquestração vincula vários produtos, tecnologias e
processos para permitir um processo de automação de TI fim a fim.
Material disponível em: http://slideshare.net/ademarfreitas
22. Associação de Usuários de Informática e T elecomunicações de Mato Grosso do Sul
Open Source Cloud Controllers
Euclyptus
Open Nebula
Nimbus
OpenStack
O OpenStack é um conjunto de ferramentas
livres que possibilita a criacão de uma nuvem
̧
computacional IaaS, incluindo servicos de
̧
armazenamento de dados. Os maiores
contribuidores, para que o OpenStack
atingisse o grau de desenvolvimento atual,
foram a NASA e a empresa Rackspace.
O OpenStack é organizado em tres famílias
̂
de servicos: Compute Infrastructure (Nova),
̧
Storage Infrastructure (Swift) e Imaging
Service (Glance). Cada uma dessas famílias
possui um ou mais utilitários respon- sáveis
por desempenharem determinada funcão
̧
dentro da nuvem.
Material disponível em: http://slideshare.net/ademarfreitas
23. Associação de Usuários de Informática e T elecomunicações de Mato Grosso do Sul
NORMAS, PADRÕES E MELHORES PRÁTICAS
Busca fornecer uniformidade e portabilidade;
Organizações de padrões incluem:
Organização Internacional para Normatização (ISO/IEC);
NIST – National Institute of Standard and Technology - US Departament of
Commerce;
Organizações não Governamentais
OCC – Open Cloud Consortium
BSA – Business Software Alliance;
Material disponível em: http://slideshare.net/ademarfreitas
24. Associação de Usuários de Informática e T elecomunicações de Mato Grosso do Sul
Material disponível em: http://slideshare.net/ademarfreitas
25. Associação de Usuários de Informática e T elecomunicações de Mato Grosso do Sul
Material disponível em: http://slideshare.net/ademarfreitas
26. Associação de Usuários de Informática e T elecomunicações de Mato Grosso do Sul
NORMAS, PADRÕES E MELHORES PRÁTICAS
Busca fornecer uniformidade e portabilidade;
Organizações de padrões incluem:
Organização Internacional para Normatização (ISO/IEC);
NIST – National Institute of Standard and Technology - US Departament of
Commerce;
Organizações não Governamentais
OCC – Open Cloud Consortium
BSA – Business Software Alliance;
Material disponível em: http://slideshare.net/ademarfreitas
27. Associação de Usuários de Informática e T elecomunicações de Mato Grosso do Sul
NORMAS, PADRÕES E MELHORES PRÁTICAS
NORMAS
COBIT®, do inglês, Control Objectives for Information and related Technology, é um guia de
boas práticas apresentado como framework, teste dirigido para a gestão de tecnologia de informação (TI).1
Mantido pelo ISACA (Information Systems Audit and Control Association), possui uma série de recursos que
podem servir como um modelo de referência para gestão da TI, incluindo um sumário executivo, um
framework, objetivos de controle, mapas de auditoria, ferramentas para a sua implementação e
principalmente, um guia com técnicas de gerenciamento.1
ISO 38500
Estabelecer responsabilidades facilmente compreensíveis para a TI;
Planejar a TI para que ela ofereça o melhor suporte à organização;
Validar as aquisições de TI;
Garantir a melhor performance da TI sempre que necessário;
Garantir a conformidade da TI junto às regras formais;
Garantir que a utilização dos recursos de TI respeitem os fatores humanos.
Material disponível em: http://slideshare.net/ademarfreitas
28. Associação de Usuários de Informática e T elecomunicações de Mato Grosso do Sul
NORMAS, PADRÕES E MELHORES PRÁTICAS
BiSL® - Negócios
A estrutura do Business information Services Library (BiSL®) - desenvolvida pela ASL BiSL Foundation fornece instruções sobre a adoção de uma abordagem sistemática e profissional na gestão da informação
de negócios.
Enquanto a TI garante que a informação seja armazenada, processada e disponibilizada, a gestão efetiva
da informação de negócios garante a capacidade da organização de responder às necessidades
específicas do negócio.
ISO/IEC 20000 – Estratégico
ISO/IEC 27001 – Gerenciamento de Segurança
Aplication services Library – ASL® - Normas e boas práticas para
desenvolver e gerir aplicativos
IEEE - Instituto de Engenheiros Eletricistas e Eletrônicos
Melhores práticas internas – Por fornecedor:
http://d36cz9buwru1tt.cloudfront.net/pt/wp/AWS_Security_Best_Practices_01042011.pdf
Material disponível em: http://slideshare.net/ademarfreitas
29. Associação de Usuários de Informática e T elecomunicações de Mato Grosso do Sul
http://www.ibm.com/developerworks/cloud/
http://www.windowsazure.com/en-us/documentation/
http://awshub.com.br
http://aws.amazon.com/pt/activate/
Material disponível em: http://slideshare.net/ademarfreitas
30. Associação de Usuários de Informática e T elecomunicações de Mato Grosso do Sul
OBRIGADO!
Material disponível em: http://slideshare.net/ademarfreitas
Notas do Editor
Apresentação
Falar sobre o que vou explicar – conceitos, ideias, dicas