Segurança e privacidade em computação em nuvem - uma visão geral

1.036 visualizações

Publicada em

A Computação em Nuvem (CeN)- ou Cloud Computing - é a oferta de serviços de TI de maneira descentralizada. De maneira similar ao web-hosting, a computação em nuvem oferece aos seus usuários novas formas de usar os recursos de TI, podendo escalar sua aplicação ou ambiente de maneira simples, rápida e barata. Este é um novo modelo de serviço de TI que está se consolidando a cada dia que passa, definindo claramente um modelo de negócios característico.
Atualmente tem-se discutido muito a respeito dos aspectos de segurança envolvendo os serviços disponibilizados na nuvem. Porém é preciso fazer uma analise cuidadosa deste novo modelo, caracterizando as ameaças estritamente relacionadas à computação em nuvem e ameaças características das tecnologias que dão suporte a este modelo, diferenciando-as das ameaças tradicionais. Também é preciso analisar com cuidado o impacto que a exploração de ameaças tradicionais podem causar.
Este trabalho pretende fazer uma pesquisa bibliográfica e uma análise crítica das características únicas e do impacto de vulnerabilidades intrinsecas da computação em nuvem e de vulnerabilidades tradicionais na tríade da segurança da informação neste modelo de serviço.

Publicada em: Tecnologia
  • Seja o primeiro a comentar

Segurança e privacidade em computação em nuvem - uma visão geral

  1. 1. Segurança e privacidade em computação em nuvem Uma visão geral
  2. 2. Segurança e privacidade em computação em nuvem Monografia em Sistemas de Informação Aluno: Luiz Augusto Amelotti Orientador: Prof. Dr. Antônio Alfredo Loureiro
  3. 3. Agenda • Introdução ▫ Conceitos e Definições ▫ Motivação ▫ História • Objetivos • Metodologia • Análises
  4. 4. Agenda • • • • Discussões Conclusões Trabalhos Futuros Perguntas
  5. 5. Introdução Computação em Nuvem ▫ Nova maneira de prover recursos Não é uma nova tecnologia ▫ Evolução e união de conceitos e tecnologias
  6. 6. Introdução Computação em Nuvem - definição ▫ ▫ ▫ ▫ ▫ Auto-serviço Acesso via rede Pool de recursos Elasticidade instantânea Medição de serviço
  7. 7. Introdução Computação em Nuvem – modelos de serviço ▫ IaaS Amazon EC2, Rackspace CloudServer, Amazon S3 ▫ PaaS Google AppsEngine, Microsoft Azure ▫ SaaS LotusLive, BlueworksLive, Salesforce
  8. 8. Introdução Computação em Nuvem – modelos de implantação ▫ ▫ ▫ ▫ Públicas Privadas Comunitárias Híbridas
  9. 9. Introdução Segurança da Informação ▫ ▫ ▫ ▫ Confidencialidade Integridade Disponibilidade Privacidade
  10. 10. Introdução Segurança da Informação ▫ Vulnerabilidade ▫ Ameaça ▫ Risco
  11. 11. Introdução Processo de gestão dos riscos ▫ Definição do Contexto ▫ ▫ ▫ ▫ ▫ Análise dos Riscos Tratamento dos Riscos Aceitação dos Riscos Comunicação dos Riscos Monitoração
  12. 12. Introdução Auditoria e Perícia ▫ Análise das atividades realizadas no sistema ▫ Análise das vulnerabilidades presentes ▫ Aquisição, preservação, identificação, extração, recuperação e análise de evidências ▫ Enquadramento das evidências dentro do formato jurídico
  13. 13. Introdução Motivação ▫ Tendência de aumento com gastos em Computação em Nuvem ▫ Aumento das soluções baseadas em Computação em Nuvem ▫ Segurança é crítica para adoção de soluções baseadas em Computação em Nuvem
  14. 14. Introdução História ▫ Computação em Nuvem Década de 60 – Utility Computing e o Multics Década de 80 – popularização do PC e Internet Década de 90 – Grid Computing e o compartilhamento de recursos Decadas de 90 e 2000 – Estouro da bolha .com e excesso de recursos disponíveis 2006 – Primeiros serviços de nuvem da Amazon
  15. 15. Introdução História ▫ Segurança da Informação 1982 – primeiro programa na forma de vírus 1988 – vírus de Robert Morris derruba 10% da Internet 1995 – primeira norma/recomendação de segurança 2000 – ataque DDOS derrubou grandes portais 2010 – ataque do Stuxnet
  16. 16. Introdução História 2010 – série de ataques ao Google e outras empresas americanas 2011 – nova série de ataques ao Google. Alvo são pessoas ligados ao governo 2011 – EUA elabora política de estado para cyberguerra 2011 – Série de ataques a redes militares dos EUA Ontem – possível ataque ao site da CIA
  17. 17. Objetivos ▫ Identificar características únicas relacionadas à segurança em ambientes de Computação em Nuvem ▫ Avaliar técnicas que visam garantir a segurança e privacidade em ambientes de Computação em Nuvem ▫ Caracterizar e avaliar as principais ameaças à Computação em Nuvem
  18. 18. Objetivos ▫ Avaliar técnicas de perícia forense e auditoria e suas aplicações em ambientes de Computação em Nuvem ▫ Propor documentação ▫ Subsidiar trabalhos futuros
  19. 19. Objetivos Perguntas ▫ Quão disponíveis estarão os dados em uma nuvem pública? ▫ Existem riscos de quebra de privacidade? ▫ Que garantias existem que dados de uma empresa não serão vistos pela outra? ▫ Como fazer uma auditoria nos processos do provedor de nuvem? ▫ Como garantir integridade e confidencialidade de dados que estão em uma nuvem pública?
  20. 20. Metodologia ▫ Pesquisa básica ▫ Revisão bibliográfica de artigos das principais conferências de segurança e computação em nuvem ▫ Revisão de artigos produzidos por grupos de pesquisa em computação em nuvem e segurança
  21. 21. Metodologia ▫ Revisão de livros, publicações especializadas e demais literaturas relacionadas a segurança da informação, computação em nuvem, auditoria e perícia forense ▫ Avaliação de boas práticas e recomendações sobre segurança da informação e sua aplicação em ambientes de computação em nuvem
  22. 22. Análises Características da Computação em Nuvem e tecnologias envolvidas ▫ ▫ ▫ ▫ ▫ Virtualização Computação distribuida Computação ubíqua Comunicação de dados Armazenamento
  23. 23. Análises Principais ameaças para Computação em Nuvem ▫ ▫ ▫ ▫ ▫ ▫ ▫ Uso abusivo da Computação em Nuvem API’s inseguras Funcionários maliciosos nos provedores Vulnerabilidades nas tecnologias de suporte Vazamento de dados Seqüestro de contas, tráfego e sessões Risco desconhecido
  24. 24. Análises Impactos da quebra de segurança ▫ Vazamento de informações confidenciais ▫ Comprometimento do resultado do processamento ▫ Perda de dados ▫ Indisponibilidade de serviços ▫ Aumento de custos e diminuição de credibilidade!
  25. 25. Análises Alguns ataques específicos a ambientes de Computação em Nuvem ▫ Cloud Cartography Usado contra a Amazon ▫ Cloud Malware Injection ▫ Cloud War
  26. 26. Análises Alguns ataques específicos a ambientes de Computação em Nuvem ▫ Uso de imagens maliciosas ▫ Comprometimento do hypervisor ▫ Comprometimento do processamento
  27. 27. Análises Computação em Nuvem como plataforma para ataques ▫ ▫ ▫ ▫ ▫ Geração de hash-chains Quebra de senhas Botnets Imagens de VMs maliciosas Spam
  28. 28. Análises Privacidade ▫ Dados estão armazenados em dispositivos sob controle de outros Quem tem acesso aos dados? A privacidade está legalmente garantida? Caso Wikileaks
  29. 29. Análises Frameworks e boas práticas de segurança ▫ Praticas tradicionais não se aplicam a este ambiente Características muito diferentes ▫ Procedimentos padrão de segurança não garantem quase nada!
  30. 30. Análises Redes de confiança ▫ Similar à estrutura dos certificados digitais ▫ Uma entidade confiável garante a reputação do provedor ▫ Deve-se confiar na entidade no topo da hierarquia
  31. 31. Discussões ▫ Provedores ainda não garantem a segurança dos dados Política da Amazon ▫ Segurança dos dados e privacidade estão sujeitos às políticas e legislação vigentes nos países onde os dados/aplicações estão armazenados.
  32. 32. Discussões ▫ Provedores podem ter infraestrutura distribuida geográficamente Ataques tradicionais às redes de dados e problemas legais ▫ Dificuldade em manter registros para auditoria e perícia e manter a privacidade dos usuários Provedor tem de manter dados de todos os clientes Mais um ativo para entrar no processo de gestão da segurança
  33. 33. Discussões ▫ É necessário tornar os dados anônimos Foi possível “de-anonimizar” os dados de uma base do Netflix Existe um framework – Airavat – que tenta solucionar o problema Insere ruido na saida do processamento
  34. 34. Conclusões ▫ Nuvem ainda não é totalmente segura ▫ É um novo modelo, com características diferentes ▫ Falta padronização/modelos de segurança aplicados à Nuvem ▫ Nova maneira de desenvolver software ▫ Sem um bom planejamento, não é o momento de mover dados/aplicações estratégicas para a nuvem Avaliar o Risco e o Impacto
  35. 35. Conclusões ▫ Redes de confiança podem não ser solução suficiente Sistemas da Comodo foram invadidos diversas vezes ▫ Segurança dos dados e privacidade estão sujeitos às políticas e legislação vigentes nos países onde os dados/aplicações estão armazenados.
  36. 36. Conclusões ▫ O usuário é o principal responsável pela disponibilidade de seus dados ▫ Os dados podem ficar indisponíveis como resultado de ataques ao provedor , às plataformas de execução ou como resultados de procedimentos de manutenção do ambiente ▫ Exitem riscos legais, além de usuários mal intencionados dentro das redes dos provedores de serviços
  37. 37. Conclusões ▫ Existem também riscos de roubo de tráfego, comprometimento dos equipamentos e, no caso de IaaS, uso de imagens comprometidas ▫ Os provedores garantem o isolamento com medidas diversas. Mas ataques executados já mostraram ser possível comprometer essas medidas ▫ Empresas que concorrem com o provedor de serviços em algum negócio também correm risco
  38. 38. Conclusões ▫ Há a dependência de dados disponibilizados e controlados pelo provedor para auditoria ▫ Ainda pode haver comprometimento no processamento dos dados ▫ É necessário uma padronização nos modelos de segurança, adaptados à realidade da Computação em Nuvem ▫ É preciso desenvolver frameworks e estabelecer boas práticas para a segurança na nuvem
  39. 39. Trabalhos Futuros ▫ Análisar e avaliar frameworks já propostos ▫ Estudar e desenvolver framework de segurança ▫ Modelo de confiança e responsabilidade para imagens de VMs, softwares, plataformas, etc ▫ Estudar segurança em Computação em Nuvem usada por dispositivos móveis ▫ Estudar desenvolvimento de aplicações para nuvem, considerando a segurança como aspecto crítico
  40. 40. Perguntas

×