SlideShare uma empresa Scribd logo

Seminário SD Cloud Security

A
alef1993

Seminário sobre Cloud Computing Security, apresentado na disciplina de Sistemas Distribuidos na Universidade Federal de São Paulo (UNIFESP).

Internet
1 de 19
Baixar para ler offline
Cloud Computing: Ameaças e Proteções Alef Kruschewsky UNIFESP 2015
Introdução A expressão cloud computing começou a ganhar força em 2008, mas, conceitualmente, as ideias por trás da denominação existem há muito mais tempo. Também conhecida no Brasil como computação nas nuvens ou computação em nuvem, a cloud computing se refere, essencialmente, à noção de utilizarmos, em qualquer lugar e independente de plataforma, as mais variadas aplicações por meio da internet com a mesma facilidade de tê-las instaladas em computadores locais.
Software as a Service (Saas) “Software Como um Serviço” é um modelo de distribuição de software, no qual a aplicação não precisa ser instalada localmente, pois é liberado o acesso ao software oferecido através da internet.
Infrastructure as a Service (IaaS) A ideia é a mesma do modelo SaaS, porém neste caso o que é “vendido” é o uso de uma estrutura virtual, ou seja, ao invés de utilizar servidores físicos, você pode hospedar seus arquivos e aplicações em servidores virtuais.
Platform as a Service (PaaS) Este modelo utiliza elemtnos dos outros dois citados anteriormente, proporcionando uma plataforma mais robusta e flexível, onde é possível a utilização de softwares de maneira mais flexível, sendo possível desenvolver suas próprias aplicações baseadas em alguma tecnologia (framework, linguagem etc.) e utilizar a infraestrutura necessária.
Vulnerabilidade X Ameaça Vulnerabilidade: falha ou fraqueza do sistema que pode ser acidentamente ou propositalmente explorada, resultando em uma brecha de segurança ou violação da política de segurança do sistema; Ameaça: possibilidade de um agente (fonte de ameaça) explorar acidentamente ou propositalmente uma vulnerabilidade específica.
Vulnerabilidades relacionadas a dados (V3): ● Hospedagem de dados em servidores compartilhados "mal particionados”; ● Remoção incompleta; ● Dados podem estar em locais com leis diferentes; ● Geralmente os usuários não possuem conhecimento da localização exata dos dados. Vulnerabilidades
Vulnerabilidades em máquinas virtuais (V4): ● Migração sem controle; ● Snapshots sem controle; ● AS VMs podem ter IPs visíveis para qualquer um que utilize a mesma Cloud, permitindo que agentes realizam a “Cartografia de Nuvem”. Vulnerabilidade em redes virtuais (V7): ● Compartilhamento de bridges entre as VMs de um mesmo servidor. Vulnerabilidades
Ameaças e Contramedidas Relacionadas a dados - Data Scavenging: Como não há 100% de certeza que os dados foram removidos do servidor, é possível que agentes consigam acessar estas informações. Contramedida: - Especificar estratégias de destruição de dispositivos nos SLAs (Acordo de níveis de serviço). [?]
Ameaças e Contramedidas Relacionadas a dados - Data Leakage: Vazamento de dados que pode ocorrer enquanto são armazenados, transferidos, processados ou auditados. Contramedidas: - Criptografia; - Técnica FRS: Quebrar os dados em fragmentos insignificantes e espalhá-los em diferentes posições; - Assinaturas digitais: RSA citado várias vezes como um algoritmo eficiente para proteção dos dados na nuvem; - Criptografia homomórfica: Manipular (salvar, mover ou processar) dados criptografados;
Ameaças e Contramedidas Em Máquinas Virtuais - Data Leakage: citada anteriormente; - VM Hopping: é o risco de uma VM conseguir acesso a outra, explorando alguma vulnerabilidade do virtualizador; Contramedidas: - Utilização de firewalls; - Manter as VMs devidamente separadas.
Ameaças e Contramedidas Em Máquinas Virtuais - Insecure VM migration: A transferência de VMs pode expor o conteúdo. Um atacante pode acessar os dados e/ou transferir a VM para um host comprometido. Contramedidas: - Protocolo PALM: propõe uma técnica de migração segura, com criptografia da VM. protótipo desenvolvido utilizando Linux e Xen.
Ameaças e Contramedidas Em Redes Virtuais - Data Leakage (citada anteriormente); - Sniffing das redes virtuais: Uma VM maliciosa pode “escutar” a rede de outra, ou até mesmo redirecionar pacotes de/para outras VMs. Contramedida: - Framework em estudo baseado nos modos de rede Xen (hypervisor). [?]
Tabela de Vulnerabilidades
Tabela de Ameaças
Relação Vulnerabilidades x Ameaças x Contramedidas
Considerações Finais - Cloud Computing ainda é uma tecnologia relativamente “nova”, que provê diversas vantagens aos usuários. Porém, apresenta também vulnerabilidades que fazem com que certas pessoas e empresas fiquem receosas em aderí-la; - O que é necessário para uma maior segurança “nas nuvens”, além de novas técnicas de segurança, é uma reavaliação das técnicas atuais, pensando nas arquiteturas utilizadas pela Cloud; - A maior preocupação das pessoas, com relação ao uso da Cloud Computing, é o fato de suas informações ficarem hospedadas em um servidor compartilhado por diversas pessoas.
Referências - http://antonioricardo.org/2013/03/28/o-que-e-saas-iaas-e-paas-em-cloud- computing-conceitos-basicos/ ; - http://www.explainthatstuff.com/cloud-computing-introduction.html ; - Hashizume et al. Journal of Internet Services and Applications 2013, 4:5 ;

Recomendados

Open nebula
Open nebulaOpen nebula
Open nebulaDiogenes Freitas
 
Segurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosSegurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosRodrigo Felipe Betussi
 
Cap4 v2
Cap4 v2Cap4 v2
Cap4 v2Marcos Fermiano
 
Passageiro pena sem abrigo
Passageiro pena sem abrigoPassageiro pena sem abrigo
Passageiro pena sem abrigoCleideeAndrey Pais Do Eros
 
An Introduction to Maine Shared Collections
An Introduction to Maine Shared CollectionsAn Introduction to Maine Shared Collections
An Introduction to Maine Shared CollectionsMaine_SharedCollections
 
Ajay Nagar
Ajay NagarAjay Nagar
Ajay Nagarajay Nagar
 
2 d.1 4 materials
2 d.1 4 materials2 d.1 4 materials
2 d.1 4 materialsBabu Ram
 
Modelo declaração residência segunda versao agosto 2013 sem ano limite
Modelo declaração residência segunda versao agosto 2013 sem ano limiteModelo declaração residência segunda versao agosto 2013 sem ano limite
Modelo declaração residência segunda versao agosto 2013 sem ano limiteDivino Alves
 

Recomendados

Open nebula
Open nebulaOpen nebula
Open nebulaDiogenes Freitas
 
Segurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosSegurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosRodrigo Felipe Betussi
 
Cap4 v2
Cap4 v2Cap4 v2
Cap4 v2Marcos Fermiano
 
Passageiro pena sem abrigo
Passageiro pena sem abrigoPassageiro pena sem abrigo
Passageiro pena sem abrigoCleideeAndrey Pais Do Eros
 
An Introduction to Maine Shared Collections
An Introduction to Maine Shared CollectionsAn Introduction to Maine Shared Collections
An Introduction to Maine Shared CollectionsMaine_SharedCollections
 
Ajay Nagar
Ajay NagarAjay Nagar
Ajay Nagarajay Nagar
 
2 d.1 4 materials
2 d.1 4 materials2 d.1 4 materials
2 d.1 4 materialsBabu Ram
 
Modelo declaração residência segunda versao agosto 2013 sem ano limite
Modelo declaração residência segunda versao agosto 2013 sem ano limiteModelo declaração residência segunda versao agosto 2013 sem ano limite
Modelo declaração residência segunda versao agosto 2013 sem ano limiteDivino Alves
 
Pres clusterpdf
Pres clusterpdfPres clusterpdf
Pres clusterpdfRoberto Nou
 
Segurança Em Computaçao Na Nuvem
Segurança Em Computaçao Na NuvemSegurança Em Computaçao Na Nuvem
Segurança Em Computaçao Na NuvemJavier Antonio Humarán Peñuñuri
 
Armazenamento em nuvem
Armazenamento em nuvemArmazenamento em nuvem
Armazenamento em nuvemTuesla Santos
 
AWS Summit 2017 - Como proteger contra Ransomware minhas instâncias AWS
AWS Summit 2017 - Como proteger contra Ransomware minhas instâncias AWSAWS Summit 2017 - Como proteger contra Ransomware minhas instâncias AWS
AWS Summit 2017 - Como proteger contra Ransomware minhas instâncias AWSMarcelo Leite ☁
 
Cloud Computing - Conceitos e Aplicações Práticas
Cloud Computing - Conceitos e Aplicações PráticasCloud Computing - Conceitos e Aplicações Práticas
Cloud Computing - Conceitos e Aplicações PráticasRafael Bandeira
 
Segurança em redes sem fio
Segurança em redes sem fioSegurança em redes sem fio
Segurança em redes sem fioWellisson Araújo
 
Artigo
ArtigoArtigo
Artigosergiorrm2
 
Aula sd 2008_02aspectosprojectosds
Aula sd 2008_02aspectosprojectosdsAula sd 2008_02aspectosprojectosds
Aula sd 2008_02aspectosprojectosdsPortal_do_Estudante_SD
 
Tech segurança na nuvem
Tech segurança na nuvemTech segurança na nuvem
Tech segurança na nuvemCarlos Goldani
 
Rio Info 2010 - Oficina - Computacao em Nuvem - Marcelo Teixeira - 01/09
Rio Info 2010 - Oficina - Computacao em Nuvem - Marcelo Teixeira - 01/09Rio Info 2010 - Oficina - Computacao em Nuvem - Marcelo Teixeira - 01/09
Rio Info 2010 - Oficina - Computacao em Nuvem - Marcelo Teixeira - 01/09Rio Info
 
Segurança em Migração de Virtual Machines
Segurança em Migração de Virtual MachinesSegurança em Migração de Virtual Machines
Segurança em Migração de Virtual MachinesBruno Felipe
 
Cloud computing
Cloud computingCloud computing
Cloud computingJarbas Pereira
 
Flisol 2015
Flisol 2015 Flisol 2015
Flisol 2015 Ricardo Martins ☁
 
Vale Security Conference - 2011 - 15 - Anchises de Paula
Vale Security Conference - 2011 - 15 - Anchises de PaulaVale Security Conference - 2011 - 15 - Anchises de Paula
Vale Security Conference - 2011 - 15 - Anchises de PaulaVale Security Conference
 
Virtualização a Nível de Sistema Operacional e sua Proposta de Segurança
Virtualização a Nível de Sistema Operacional e sua Proposta de SegurançaVirtualização a Nível de Sistema Operacional e sua Proposta de Segurança
Virtualização a Nível de Sistema Operacional e sua Proposta de SegurançaAugusto Giles
 
Sistema em nuvem
Sistema em nuvemSistema em nuvem
Sistema em nuvemAna Antoniello
 
Cloud computing, Grid Computing, Virtualization
Cloud computing, Grid Computing, VirtualizationCloud computing, Grid Computing, Virtualization
Cloud computing, Grid Computing, VirtualizationAdário Muatelembe
 
Sociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud ForensicsSociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud Forensicsederruschel
 
Virtualização Teste
Virtualização TesteVirtualização Teste
Virtualização Testegabrielca200
 
Sociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud ForensicsSociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud Forensicsederruschel
 

Mais conteúdo relacionado

Semelhante a Seminário SD Cloud Security

Armazenamento em nuvem
Armazenamento em nuvemArmazenamento em nuvem
Armazenamento em nuvemTuesla Santos
 
AWS Summit 2017 - Como proteger contra Ransomware minhas instâncias AWS
AWS Summit 2017 - Como proteger contra Ransomware minhas instâncias AWSAWS Summit 2017 - Como proteger contra Ransomware minhas instâncias AWS
AWS Summit 2017 - Como proteger contra Ransomware minhas instâncias AWSMarcelo Leite ☁
 
Cloud Computing - Conceitos e Aplicações Práticas
Cloud Computing - Conceitos e Aplicações PráticasCloud Computing - Conceitos e Aplicações Práticas
Cloud Computing - Conceitos e Aplicações PráticasRafael Bandeira
 
Tech segurança na nuvem
Tech segurança na nuvemTech segurança na nuvem
Tech segurança na nuvemCarlos Goldani
 
Rio Info 2010 - Oficina - Computacao em Nuvem - Marcelo Teixeira - 01/09
Rio Info 2010 - Oficina - Computacao em Nuvem - Marcelo Teixeira - 01/09Rio Info 2010 - Oficina - Computacao em Nuvem - Marcelo Teixeira - 01/09
Rio Info 2010 - Oficina - Computacao em Nuvem - Marcelo Teixeira - 01/09Rio Info
 
Segurança em Migração de Virtual Machines
Segurança em Migração de Virtual MachinesSegurança em Migração de Virtual Machines
Segurança em Migração de Virtual MachinesBruno Felipe
 
Vale Security Conference - 2011 - 15 - Anchises de Paula
Vale Security Conference - 2011 - 15 - Anchises de PaulaVale Security Conference - 2011 - 15 - Anchises de Paula
Vale Security Conference - 2011 - 15 - Anchises de PaulaVale Security Conference
 
Virtualização a Nível de Sistema Operacional e sua Proposta de Segurança
Virtualização a Nível de Sistema Operacional e sua Proposta de SegurançaVirtualização a Nível de Sistema Operacional e sua Proposta de Segurança
Virtualização a Nível de Sistema Operacional e sua Proposta de SegurançaAugusto Giles
 
Cloud computing, Grid Computing, Virtualization
Cloud computing, Grid Computing, VirtualizationCloud computing, Grid Computing, Virtualization
Cloud computing, Grid Computing, VirtualizationAdário Muatelembe
 
Sociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud ForensicsSociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud Forensicsederruschel
 
Virtualização Teste
Virtualização TesteVirtualização Teste
Virtualização Testegabrielca200
 
Sociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud ForensicsSociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud Forensicsederruschel
 

Semelhante a Seminário SD Cloud Security (20)

Pres clusterpdf
Pres clusterpdfPres clusterpdf
Pres clusterpdf
 
Segurança Em Computaçao Na Nuvem
Segurança Em Computaçao Na NuvemSegurança Em Computaçao Na Nuvem
Segurança Em Computaçao Na Nuvem
 
Armazenamento em nuvem
Armazenamento em nuvemArmazenamento em nuvem
Armazenamento em nuvem
 
AWS Summit 2017 - Como proteger contra Ransomware minhas instâncias AWS
AWS Summit 2017 - Como proteger contra Ransomware minhas instâncias AWSAWS Summit 2017 - Como proteger contra Ransomware minhas instâncias AWS
AWS Summit 2017 - Como proteger contra Ransomware minhas instâncias AWS
 
Cloud Computing - Conceitos e Aplicações Práticas
Cloud Computing - Conceitos e Aplicações PráticasCloud Computing - Conceitos e Aplicações Práticas
Cloud Computing - Conceitos e Aplicações Práticas
 
Segurança em redes sem fio
Segurança em redes sem fioSegurança em redes sem fio
Segurança em redes sem fio
 
Artigo
ArtigoArtigo
Artigo
 
Aula sd 2008_02aspectosprojectosds
Aula sd 2008_02aspectosprojectosdsAula sd 2008_02aspectosprojectosds
Aula sd 2008_02aspectosprojectosds
 
Tech segurança na nuvem
Tech segurança na nuvemTech segurança na nuvem
Tech segurança na nuvem
 
Rio Info 2010 - Oficina - Computacao em Nuvem - Marcelo Teixeira - 01/09
Rio Info 2010 - Oficina - Computacao em Nuvem - Marcelo Teixeira - 01/09Rio Info 2010 - Oficina - Computacao em Nuvem - Marcelo Teixeira - 01/09
Rio Info 2010 - Oficina - Computacao em Nuvem - Marcelo Teixeira - 01/09
 
Segurança em Migração de Virtual Machines
Segurança em Migração de Virtual MachinesSegurança em Migração de Virtual Machines
Segurança em Migração de Virtual Machines
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Flisol 2015
Flisol 2015 Flisol 2015
Flisol 2015
 
Vale Security Conference - 2011 - 15 - Anchises de Paula
Vale Security Conference - 2011 - 15 - Anchises de PaulaVale Security Conference - 2011 - 15 - Anchises de Paula
Vale Security Conference - 2011 - 15 - Anchises de Paula
 
Virtualização a Nível de Sistema Operacional e sua Proposta de Segurança
Virtualização a Nível de Sistema Operacional e sua Proposta de SegurançaVirtualização a Nível de Sistema Operacional e sua Proposta de Segurança
Virtualização a Nível de Sistema Operacional e sua Proposta de Segurança
 
Sistema em nuvem
Sistema em nuvemSistema em nuvem
Sistema em nuvem
 
Cloud computing, Grid Computing, Virtualization
Cloud computing, Grid Computing, VirtualizationCloud computing, Grid Computing, Virtualization
Cloud computing, Grid Computing, Virtualization
 
Sociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud ForensicsSociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud Forensics
 
Virtualização Teste
Virtualização TesteVirtualização Teste
Virtualização Teste
 
Sociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud ForensicsSociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud Forensics
 

Seminário SD Cloud Security

  • 1. Cloud Computing: Ameaças e Proteções Alef Kruschewsky UNIFESP 2015
  • 2. Introdução A expressão cloud computing começou a ganhar força em 2008, mas, conceitualmente, as ideias por trás da denominação existem há muito mais tempo. Também conhecida no Brasil como computação nas nuvens ou computação em nuvem, a cloud computing se refere, essencialmente, à noção de utilizarmos, em qualquer lugar e independente de plataforma, as mais variadas aplicações por meio da internet com a mesma facilidade de tê-las instaladas em computadores locais.
  • 3. Software as a Service (Saas) “Software Como um Serviço” é um modelo de distribuição de software, no qual a aplicação não precisa ser instalada localmente, pois é liberado o acesso ao software oferecido através da internet.
  • 4. Infrastructure as a Service (IaaS) A ideia é a mesma do modelo SaaS, porém neste caso o que é “vendido” é o uso de uma estrutura virtual, ou seja, ao invés de utilizar servidores físicos, você pode hospedar seus arquivos e aplicações em servidores virtuais.
  • 5. Platform as a Service (PaaS) Este modelo utiliza elemtnos dos outros dois citados anteriormente, proporcionando uma plataforma mais robusta e flexível, onde é possível a utilização de softwares de maneira mais flexível, sendo possível desenvolver suas próprias aplicações baseadas em alguma tecnologia (framework, linguagem etc.) e utilizar a infraestrutura necessária.
  • 6. Vulnerabilidade X Ameaça Vulnerabilidade: falha ou fraqueza do sistema que pode ser acidentamente ou propositalmente explorada, resultando em uma brecha de segurança ou violação da política de segurança do sistema; Ameaça: possibilidade de um agente (fonte de ameaça) explorar acidentamente ou propositalmente uma vulnerabilidade específica.
  • 7. Vulnerabilidades relacionadas a dados (V3): ● Hospedagem de dados em servidores compartilhados "mal particionados”; ● Remoção incompleta; ● Dados podem estar em locais com leis diferentes; ● Geralmente os usuários não possuem conhecimento da localização exata dos dados. Vulnerabilidades
  • 8. Vulnerabilidades em máquinas virtuais (V4): ● Migração sem controle; ● Snapshots sem controle; ● AS VMs podem ter IPs visíveis para qualquer um que utilize a mesma Cloud, permitindo que agentes realizam a “Cartografia de Nuvem”. Vulnerabilidade em redes virtuais (V7): ● Compartilhamento de bridges entre as VMs de um mesmo servidor. Vulnerabilidades
  • 9. Ameaças e Contramedidas Relacionadas a dados - Data Scavenging: Como não há 100% de certeza que os dados foram removidos do servidor, é possível que agentes consigam acessar estas informações. Contramedida: - Especificar estratégias de destruição de dispositivos nos SLAs (Acordo de níveis de serviço). [?]
  • 10. Ameaças e Contramedidas Relacionadas a dados - Data Leakage: Vazamento de dados que pode ocorrer enquanto são armazenados, transferidos, processados ou auditados. Contramedidas: - Criptografia; - Técnica FRS: Quebrar os dados em fragmentos insignificantes e espalhá-los em diferentes posições; - Assinaturas digitais: RSA citado várias vezes como um algoritmo eficiente para proteção dos dados na nuvem; - Criptografia homomórfica: Manipular (salvar, mover ou processar) dados criptografados;
  • 11. Ameaças e Contramedidas Em Máquinas Virtuais - Data Leakage: citada anteriormente; - VM Hopping: é o risco de uma VM conseguir acesso a outra, explorando alguma vulnerabilidade do virtualizador; Contramedidas: - Utilização de firewalls; - Manter as VMs devidamente separadas.
  • 12. Ameaças e Contramedidas Em Máquinas Virtuais - Insecure VM migration: A transferência de VMs pode expor o conteúdo. Um atacante pode acessar os dados e/ou transferir a VM para um host comprometido. Contramedidas: - Protocolo PALM: propõe uma técnica de migração segura, com criptografia da VM. protótipo desenvolvido utilizando Linux e Xen.
  • 13. Ameaças e Contramedidas Em Redes Virtuais - Data Leakage (citada anteriormente); - Sniffing das redes virtuais: Uma VM maliciosa pode “escutar” a rede de outra, ou até mesmo redirecionar pacotes de/para outras VMs. Contramedida: - Framework em estudo baseado nos modos de rede Xen (hypervisor). [?]
  • 17.
  • 18. Considerações Finais - Cloud Computing ainda é uma tecnologia relativamente “nova”, que provê diversas vantagens aos usuários. Porém, apresenta também vulnerabilidades que fazem com que certas pessoas e empresas fiquem receosas em aderí-la; - O que é necessário para uma maior segurança “nas nuvens”, além de novas técnicas de segurança, é uma reavaliação das técnicas atuais, pensando nas arquiteturas utilizadas pela Cloud; - A maior preocupação das pessoas, com relação ao uso da Cloud Computing, é o fato de suas informações ficarem hospedadas em um servidor compartilhado por diversas pessoas.
  • 19. Referências - http://antonioricardo.org/2013/03/28/o-que-e-saas-iaas-e-paas-em-cloud- computing-conceitos-basicos/ ; - http://www.explainthatstuff.com/cloud-computing-introduction.html ; - Hashizume et al. Journal of Internet Services and Applications 2013, 4:5 ;