Como construir o DATACENTER na nuvem com                  segurança               Dr. Manoel Veras              Natal – 28...
Agenda•   INTRODUÇÃO•   DATACENTER, VIRTUALIZAÇÃO, CLOUD•   SEGURANÇA•   DATACENTER SEGURO NA NUVEM                       ...
Dr. Manoel Veras• Eng. Elétrica UFRN• Mestrado Eng. Elétrica UNICAMP• Doutorado em Administração USP• Certificações  Micro...
4
5
Capacidade                 Negócio               TI             ideal                           Tempo                     ...
DATACENTER             7
DATACENTER MODULAR• Seguro• Disponível• Eficiente                     8
Seguro         9
Disponível-Tier                            99.99%99.98%                  TIA-942                                     10
Uptime• http://uptimeinstitute.com/TierCertification/  – Design Documents  – Constructed Facility  – Operational Sustainab...
12
Eficiente-PUE                PUE Nível                3.0   Muito Ineficiente                2.5   Ineficiente            ...
The Green Grid14
GreenPeace             15
Free Cooling               16
Modularidade   Modularidade do Software (SOA)                        Instalações                      Equipamentos de     ...
18
Facilities-TICiclos Distintos19
Facilities – TICiclos mais próximos        Facilities      (engenharias)                       TI20
21
DATACENTER BRASIL      Vídeo                    22
VIRTUALIZAÇÃO                23
Virtualização•   Otimização do uso dos recursos•   Servidor, Storage, Rede•   Novas Funcionalidades•   Integração         ...
1:50HARDWARE           25
FlexPod          26
CLOUD COMPUTING                  27
CLOUD COMPUTING• Conceito• Status                  28
29
AutosserviçoAmplo Acesso a     Rápida             Serviços                                                        sob    R...
IaaS                 Web                Services                                DC                           DC        DC ...
DATACENTER e CLOUD32
US West                                                US West                                                            ...
CLOUD COMPUTING                                    Usuário     Disponibilidade      Desempenho                            ...
Modelos vs     Tipos de ProvedoresSaaS                         CLOUDPaaS                       COMPUTINGIaaS       DATACEN...
Processos de     Processos de  Negócio          Negócio  TI interna Aplicativos                        Cloud              ...
ELB   Instâncias   CloudWatch                            Dados                              de                         Per...
Capacity Planning ?                                    Tipo de                                   Instância                ...
Microsoft CLOUD39
MS Dublin - Gen. 340
MS Quincy –       Gen. 441
Cloud Microsoft    Vídeo                  42
DATACENTER SEGURO NA       NUVEM                       43
DATACENTER SEGURO• Arquitetura da Infraestrutura• Governança em ambiente de  responsabilidade compartilhada  – Compliance ...
Arquitetura daInfraestrutura                 Infraestrutura   45
Camada de Apresentação (PT)                              Camada de Regras de Negócio (BT)                                 ...
47
Construção             48
HPC      49
Instâncias=6742  Cores=51132 RAM=58.78TB   $4828/hora                                                                  US ...
Disponibilidade       Usuário           Desempenho                          Segurança      Interface                      ...
Aplicativos                                          Aplicativos       Dados                                              ...
Responsabilidade Compartilhada           AWS                  CLIENTEInstalações         Sistema OperacionalSegurança Físi...
CERTIFICAÇÕES                     DESCRIÇÃOSAS 70 SOC 1    A AWS executa e produz um relatório sobre aTipo II         efic...
Aplicativos                Cliente     Dados    Runtime  Middleware       SOVIRTUALIZAÇÃO                              Pro...
Recuperação de Desastres                 Continuidade do Negócio                      Recuperação de                      ...
DR                      AZAAZA        AZA   DR                      AZBAZB        AZB                            57
DR                      AZAAZA        AZA   DR                      AZBAZB        AZB                            58
ELB              Instâncias WEB               Instâncias de                 Aplicação                   RDS              I...
DR                      AZAAZA        AZA   DR                      AZBAZB        AZB                            60
Plano Continuidade do Negócio Plano de Continuidade de Negócios – Um plano para a  resposta de emergência, operações de b...
PCN=PGC+PCO+PRD• Plano de Gerenciamento de Crises (PGC)• Plano de Continuidade Operacional (PCO)• Plano de Recuperação de ...
Segurança• Vários Níveis  – Segurança Física  – Segurança do Aplicativo  – Segurança dos Dados  – Segurança da Conta  – Se...
Física         64
Dados• Em trânsito –  – Navegador e servidor com SSL  – Rede privada virtual• Em repouso –  – Criptografar os dados se nec...
Conta• Chaves de Acesso• Certificados X.509• Permissões com IAM(Identity and Access  Management) para usuários na conta• M...
Rede• DDos – escala mundial , hospedagem  múltipla• Ataques intermediários MITM – pontos de  acesso protegidos por SSL• IP...
Instância EC2• SO (HOST) : administradores com  necessidades específicas usam multi-  gateway para acesso• SO (Guest) : co...
Instância EC2• Hypervisor : Anel 0 de CPU para o  Hypervisor.• Isolamento de Instância : hypervisor• EBS : acesso ao volum...
Múltiplos Níveis                                   EC2-                                  Camada    EC2-                   ...
Isolamento de Instância                      Cliente        Cliente      Cliente                        01             02 ...
VPC – rede virtual• Redes distintas , isoladas dentro da nuvem. Sem  conectividade externa, intervalos de endereços  IPs, ...
InternetDATACENTER                 73
Internet           DATACENTER            Corporativo                      IPSec                       VPNSubnet      Subne...
10.0.0.6             10.0.0.7                       10.0.10.9 SG          SG          SG            SG                 SG ...
Grupos de Segurança                          10.0.0/24                                       Grupo de Segurança B   Grupo ...
Controle do Tráfego    SSH, RDP      da rede    corporativa                                       HTTP, HTTPS             ...
É ISTO !           78
LIVROS         79
LIVRO        Amazon Web Services (AWS) : Arquitetura paraARQUITETURA                Cloud Computing                       ...
Especialização                 08 de                 agosto                          81
Conf-IRM 2013                82
Questões@manoelveras   Obrigado !                83
Próximos SlideShares
Carregando em…5
×

Como construir o Cloud DATACENTER com segurança !

2.324 visualizações

Publicada em

Publicada em: Tecnologia
0 comentários
4 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
2.324
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
0
Comentários
0
Gostaram
4
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Como construir o Cloud DATACENTER com segurança !

  1. 1. Como construir o DATACENTER na nuvem com segurança Dr. Manoel Veras Natal – 28.07.2012 1
  2. 2. Agenda• INTRODUÇÃO• DATACENTER, VIRTUALIZAÇÃO, CLOUD• SEGURANÇA• DATACENTER SEGURO NA NUVEM 2
  3. 3. Dr. Manoel Veras• Eng. Elétrica UFRN• Mestrado Eng. Elétrica UNICAMP• Doutorado em Administração USP• Certificações Microsoft,Cisco,PMP,COBIT,ITIL F.• Ex-Cientista do CTA• Ex-Consultor da Dell• Professor da UFRN 3
  4. 4. 4
  5. 5. 5
  6. 6. Capacidade Negócio TI ideal Tempo 6
  7. 7. DATACENTER 7
  8. 8. DATACENTER MODULAR• Seguro• Disponível• Eficiente 8
  9. 9. Seguro 9
  10. 10. Disponível-Tier 99.99%99.98% TIA-942 10
  11. 11. Uptime• http://uptimeinstitute.com/TierCertification/ – Design Documents – Constructed Facility – Operational Sustainability 11
  12. 12. 12
  13. 13. Eficiente-PUE PUE Nível 3.0 Muito Ineficiente 2.5 Ineficiente 2.0 Médio 1.5 Eficiente 1.2 Muito Eficiente 13
  14. 14. The Green Grid14
  15. 15. GreenPeace 15
  16. 16. Free Cooling 16
  17. 17. Modularidade Modularidade do Software (SOA) Instalações Equipamentos de Energia Modularidade (SOI) Equipamentos de Refrigeração TI 17
  18. 18. 18
  19. 19. Facilities-TICiclos Distintos19
  20. 20. Facilities – TICiclos mais próximos Facilities (engenharias) TI20
  21. 21. 21
  22. 22. DATACENTER BRASIL Vídeo 22
  23. 23. VIRTUALIZAÇÃO 23
  24. 24. Virtualização• Otimização do uso dos recursos• Servidor, Storage, Rede• Novas Funcionalidades• Integração 24
  25. 25. 1:50HARDWARE 25
  26. 26. FlexPod 26
  27. 27. CLOUD COMPUTING 27
  28. 28. CLOUD COMPUTING• Conceito• Status 28
  29. 29. 29
  30. 30. AutosserviçoAmplo Acesso a Rápida Serviços sob Rede Elasticidade Mensuráveis Demanda Pool de Recursos IaaS PaaS SaaS Público Híbrido Privado Comunitário 30
  31. 31. IaaS Web Services DC DC DC Web Services DC31
  32. 32. DATACENTER e CLOUD32
  33. 33. US West US West (N. AZA AZD (Oregon) Califórnia) US East AZA AZA (Virginia) AZB AZC AZB AZB South Asia Asia America Pacific PacificEU West (São (Singapura) (Tokio)(Irlanda) Paulo) AZA AZA AZA AZAA AZC AZB AZB AZB AZB 33
  34. 34. CLOUD COMPUTING Usuário Disponibilidade Desempenho Interface APLICAÇÃO SERVIÇO SERVIÇO STORAGE SERVIDORES34
  35. 35. Modelos vs Tipos de ProvedoresSaaS CLOUDPaaS COMPUTINGIaaS DATACENTERS Provedores Provedores Empresariais Regionais Globais35
  36. 36. Processos de Processos de Negócio Negócio TI interna Aplicativos Cloud SaaS Plataforma PaaS IaaSInfraestrutura 36
  37. 37. ELB Instâncias CloudWatch Dados de Performance AutoScale 37
  38. 38. Capacity Planning ? Tipo de Instância • On-Demand DC • Reservada • Spot Previsibilidade reduz Custo Como sempre ! 38
  39. 39. Microsoft CLOUD39
  40. 40. MS Dublin - Gen. 340
  41. 41. MS Quincy – Gen. 441
  42. 42. Cloud Microsoft Vídeo 42
  43. 43. DATACENTER SEGURO NA NUVEM 43
  44. 44. DATACENTER SEGURO• Arquitetura da Infraestrutura• Governança em ambiente de responsabilidade compartilhada – Compliance - aderência a políticas – Controle – construção de ambiente adequado• Recuperação de Desastres (DR) – recuperar de desastres. – Plano de Recuperação de Desastres (Cliente).• Segurança – proteger informação e sistemas 44
  45. 45. Arquitetura daInfraestrutura Infraestrutura 45
  46. 46. Camada de Apresentação (PT) Camada de Regras de Negócio (BT) Processo 1 INÍCIO SIM Regra 1 Dado 1, 2 e 3 Camada de Dados (DT) NÃO Dado 2 Processo 2Dado 1 Dado 3 FIM 46
  47. 47. 47
  48. 48. Construção 48
  49. 49. HPC 49
  50. 50. Instâncias=6742 Cores=51132 RAM=58.78TB $4828/hora US West US West (N. AZA AZD (Oregon) Califórnia) US East AZA AZA (Virginia) AZB AZC AZB AZB South Asia Asia America Pacific PacificEU West (São (Singapura) (Tokio)(Irlanda) Paulo) AZA AZA AZA AZAA AZC AZB AZB AZB AZB HPC na Nuvem 50
  51. 51. Disponibilidade Usuário Desempenho Segurança Interface SLASaaS APLICAÇÃO (SaaS) SLAPaaS PLATAFORMA (PaaS) SLAIaaSINFRAESTRUTURA (IaaS) 51
  52. 52. Aplicativos Aplicativos Dados Dados Runtime Runtime Runtime Middleware Middleware Middleware SO SO SOVIRTUALIZAÇÃO VIRTUALIZAÇÃO VIRTUALIZAÇÃO VIRTUALIZAÇÃO HARDWARE HARDWARE HARDWARE HARDWARE On-Premises SaaSResponsabilidade do 52 IaaS PaaS Responsabilidade CLIENTE do PROVEDOR
  53. 53. Responsabilidade Compartilhada AWS CLIENTEInstalações Sistema OperacionalSegurança Física AplicaçãoSegurança da Grupos de SegurançaInfraestruturaSegurança da Rede Configuração da RedeVirtualização da Gerenciamento da ContaInfraestrutura 53
  54. 54. CERTIFICAÇÕES DESCRIÇÃOSAS 70 SOC 1 A AWS executa e produz um relatório sobre aTipo II eficácia do funcionamento desses controles junto com um parecer de auditor independente.PCI DSS Nível 1 A AWS foi validada para estar em conformidade com o padrão de segurança de dados PCI como um provedor de serviços de host compartilhado. Importante para empresas que lidam com informações de cartão de crédito.ISO 27001 A AWS obteve a certificação ISO 27001 para o seu sistema de gestão de segurança da informação (ISMS ‐ Information Security Management System) que abrange a infraestrutura, DATACENTERS e serviços.FISMA A AWS permite que os clientes da agência de governo alcancem e mantenham a conformidade com a Gestão de Segurança de informação Federal (FISMA - Federal Information Security Management Act). A AWS foi certificada e acreditado para operar em nível FISMA baixo. 54
  55. 55. Aplicativos Cliente Dados Runtime Middleware SOVIRTUALIZAÇÃO Provedor HARDWARE IaaS On-Premises Responsabilidade do IaaS CLIENTE 55
  56. 56. Recuperação de Desastres Continuidade do Negócio Recuperação de Desastres Alta Disponibilidade Backup & Replicação e Restore Confiabilidade 56
  57. 57. DR AZAAZA AZA DR AZBAZB AZB 57
  58. 58. DR AZAAZA AZA DR AZBAZB AZB 58
  59. 59. ELB Instâncias WEB Instâncias de Aplicação RDS Instância DB e Instância DB Stand-ByAZ A AZ B 59
  60. 60. DR AZAAZA AZA DR AZBAZB AZB 60
  61. 61. Plano Continuidade do Negócio Plano de Continuidade de Negócios – Um plano para a resposta de emergência, operações de backup e recuperação de ativos atingidos por uma falha ou desastre. Tem como objetivo o de assegurar a disponibilidade de recursos de sistema críticos, recuperar um ambiente avariado e promover o retorno à sua normalidade.61
  62. 62. PCN=PGC+PCO+PRD• Plano de Gerenciamento de Crises (PGC)• Plano de Continuidade Operacional (PCO)• Plano de Recuperação de Desastres (PRD).62
  63. 63. Segurança• Vários Níveis – Segurança Física – Segurança do Aplicativo – Segurança dos Dados – Segurança da Conta – Segurança da Instância – Segurança da Rede 63
  64. 64. Física 64
  65. 65. Dados• Em trânsito – – Navegador e servidor com SSL – Rede privada virtual• Em repouso – – Criptografar os dados se necessário antes de envia-los para a nuvem. Na AWS depende do SO utilizado. – Snapshots periódicos contra desastres. 65
  66. 66. Conta• Chaves de Acesso• Certificados X.509• Permissões com IAM(Identity and Access Management) para usuários na conta• Multi-gateway com MFA (Multi-gateway de Internet Authentication)• Rotação de Chaves e Certificados 66
  67. 67. Rede• DDos – escala mundial , hospedagem múltipla• Ataques intermediários MITM – pontos de acesso protegidos por SSL• IP Spoofing – Instâncias não conseguem enviar tráfego de rede falsificado devidos aos firewalls baseado em host.• Varredura de Porta – Devem ser autorizadas.• Packet Sniffing – execução em modo promiscuo não fareja tráfego. 67
  68. 68. Instância EC2• SO (HOST) : administradores com necessidades específicas usam multi- gateway para acesso• SO (Guest) : controladas pelo cliente• Firewall (grupo de segurança) : configurado para negar tudo e clientes devem abrir as portas• API assinada 68
  69. 69. Instância EC2• Hypervisor : Anel 0 de CPU para o Hypervisor.• Isolamento de Instância : hypervisor• EBS : acesso ao volume é restrito a conta e usuários com permissões dadas pelo IAM. 69
  70. 70. Múltiplos Níveis EC2- Camada EC2- web EC2- Grupo de Camada Segurança de aplicação EC2- Camada de banco de dados 80 e 443 EBS (http e https) 8000(aplicativ o) 3306 (mySQL) 70
  71. 71. Isolamento de Instância Cliente Cliente Cliente 01 02 03 HYPERVISOR Interfaces Virtuais Grupo de Grupo de Grupo de Segurança Segurança Segurança 1 2 3 FIREWALL Interface Física 71
  72. 72. VPC – rede virtual• Redes distintas , isoladas dentro da nuvem. Sem conectividade externa, intervalos de endereços IPs, tráfegos isolados.• Subnets , cada instância é ligada a uma subnet• Tabelas de rota : Cada subnet associada a tabela de rota• Grupos de Segurança (firewall) para instância dentro da VPC• ACLs (lista de controle de acesso)• Gateway VPN• Gatewaw de Internet 72
  73. 73. InternetDATACENTER 73
  74. 74. Internet DATACENTER Corporativo IPSec VPNSubnet SubnetPública Privada 74
  75. 75. 10.0.0.6 10.0.0.7 10.0.10.9 SG SG SG SG SG SG in out in out in out Subnet Subnet 10.0.0.0/24 10.0.10.0/24 ACL ACL ACL ACL in out in out Tabela de Tabela deROTEADOR Roteamento Roteamento 10.0.0.0/16 75
  76. 76. Grupos de Segurança 10.0.0/24 Grupo de Segurança B Grupo de Segurança A VPC Subnet 76
  77. 77. Controle do Tráfego SSH, RDP da rede corporativa HTTP, HTTPS para qualquer WebServer lugar SG Grupo de Segurança HTTP, HTTPS de qualquer lugar 77
  78. 78. É ISTO ! 78
  79. 79. LIVROS 79
  80. 80. LIVRO Amazon Web Services (AWS) : Arquitetura paraARQUITETURA Cloud Computing Manoel Veras 2012 Capítulos Descrição Capítulo 1 Visão Geral Capítulo 2 Governança Capítulo 3 Precificação Capitulo 4 Infraestrutura Capítulo 5 Computação Capítulo 6 Armazenamento Capítulo 7 Rede Capítulo 8 Banco de Dados Capítulo 9 Recuperação de Desastres Capítulo 10 Gerenciamento Capítulo 11 Acesso Capítulo 11 Desenho da Arquitetura Capítulo 12 Desenho da Segurança 80
  81. 81. Especialização 08 de agosto 81
  82. 82. Conf-IRM 2013 82
  83. 83. Questões@manoelveras Obrigado ! 83

×