SlideShare uma empresa Scribd logo
1 de 47
Baixar para ler offline
Computação	
  em	
  Nuvem	
  
         Oportunidades	
  e	
  Riscos	
  de	
  Segurança	
  




Anchises	
  M.	
  G.	
  De	
  Paula	
  
Membro,	
  CSA	
  Brasil	
  


                                                               1	
  
Agenda	
  



– 	
  O	
  que	
  é	
  Computação	
  em	
  Nuvem	
  
– 	
  Oportunidades	
  de	
  Segurança	
  
– 	
  Principais	
  categorias	
  de	
  Riscos	
  
– Sete	
  principais	
  ameaças	
  
– 	
  Cloud	
  Security	
  Alliance	
  



                                                       2	
  
CLOUD	
  COMPUTING	
  
O	
  que	
  é	
  Computação	
  em	
  Nuvem	
  




                                                 3	
  
Computação	
  em	
  Nuvem	
  
Computação	
  em	
  nuvem	
  é	
  um	
  termo	
  em	
  evolução	
  	
  
       – 	
  Separa	
  as	
  aplicações	
  e	
  os	
  recursos	
  de	
  informação	
  de	
  sua	
  
       infraestrutura	
  básica,	
  e	
  os	
  mecanismos	
  uMlizados	
  para	
  
       entregá-­‐los.	
  
       – 	
  Uso	
  de	
  uma	
  coleção	
  de	
  serviços,	
  aplicações,	
  informação	
  
       e	
  infraestrutura	
  composta	
  por	
  pools	
  de	
  recursos	
  
       computacionais,	
  de	
  rede,	
  de	
  informação	
  e	
  de	
  
       armazenamento.	
  
       – 	
  Estes	
  componentes	
  podem	
  ser	
  rapidamente	
  
       organizados,	
  provisionados,	
  implementados,	
  desaMvados,	
  
       e	
  escalados	
  para	
  cima	
  ou	
  para	
  baixo,	
  provendo	
  um	
  modelo	
  
       de	
  alocação	
  e	
  consumo	
  baseado	
  na	
  demanda	
  de	
  recursos.	
  
	
                                                                                               4	
  
Computação	
  em	
  Nuvem	
  
Vantagens	
  

   – 	
  Realça	
  a	
  colaboração,	
  
   agilidade,	
  escalabilidade	
  e	
  
   disponibilidade	
  
   – Potencial	
  para	
  redução	
  de	
  
   custos	
  através	
  de	
  
   computação	
  eficiente	
  e	
  
   oMmizada	
  
   – 	
  Eficiência	
  de	
  custos	
  pelas	
  
   economias	
  de	
  escala,	
  
   reuMlização	
  e	
  padronização	
             fonte:	
  sxc.hu	
  

   	
                                                           5	
  
Computação	
  em	
  Nuvem	
  




                                6	
  
Computação	
  em	
  Nuvem	
  

Modelos	
  de	
  Referência	
  
   – 	
  Relações	
  e	
  dependências	
  entre	
  
   os	
  modelos	
  de	
  Computação	
  em	
  
   Nuvem	
  	
  

   – 	
  CaracterísMcas	
  são	
  herdadas	
  

   – 	
  Também	
  são	
  herdadas	
  as	
  
   questões	
  de	
  segurança	
  da	
  
   informação	
  e	
  o	
  risco	
  


                                                      7	
  
SEGURANÇA	
  
Oportunidades	
  de	
  Segurança	
  




                                       8	
  
Considerações	
  de	
  Segurança	
  
	
  
	
  
       – 	
  Computação	
  em	
  Nuvem	
  não	
  é	
  mais	
  ou	
  menos	
  segura	
  

       – 	
  Os	
  controles	
  de	
  segurança	
  para	
  Computação	
  em	
  Nuvem	
  
       não	
  são	
  diferentes	
  dos	
  controles	
  de	
  segurança	
  para	
  
       qualquer	
  ambiente	
  de	
  TI.	
  	
  




                                                                                          9	
  
Segurança	
  da	
  Computação	
  em	
  Nuvem	
  

 Modelo	
  de	
  Referência	
  de	
  Segurança	
  em	
  Nuvem	
  
   – 	
  A	
  forma	
  como	
  os	
  serviços	
  de	
  nuvem	
  são	
  implantados	
  	
  
   versus	
  onde	
  eles	
  são	
  fornecidos	
  
   – 	
  A	
  maneira	
  como	
  os	
  serviços	
  de	
  nuvem	
  são	
  consumidos	
  
   – 	
  Reperimetrização	
  e	
  erosão	
  de	
  fronteiras	
  de	
  confiança	
  	
  
   – 	
  Cloud	
  Cube	
  Model	
  
          • 	
  ofertas	
  de	
  nuvem	
  disponíveis	
  	
  
          • 	
  quatro	
  critérios/dimensões	
  




                                                                                             10	
  
Segurança	
  da	
  Computação	
  em	
  Nuvem	
  

 Mapeando	
  o	
  Modelo	
  de	
  Nuvem	
  para	
  o	
  Modelo	
  de	
  
 Controles	
  de	
  Segurança	
  &	
  Conformidade	
  




                                                                           11	
  
Segurança	
  da	
  Computação	
  em	
  Nuvem	
  

        	
                                                    Cliente	
  
        Infrastructure	
  as	
  a	
  Service	
  (IaaS)	
          S	
  
        	
                                                        E	
  
                                                                  G	
  
        	
                                                        U	
  
        Pladorm	
  as	
  a	
  Service	
  (PaaS)	
                 R	
  
                                                                  A	
  
        	
                                                        N	
  
        	
                                                        Ç	
  
                                                                  A	
  
        Soeware	
  as	
  a	
  Service	
  (SaaS)	
  
 	
                                                          Provedor	
  


                                                                            12	
  
RISCOS	
  
Riscos	
  na	
  adoção	
  da	
  Computação	
  em	
  Nuvem	
  




                                                                13	
  
Riscos	
  de	
  Segurança	
  
	
  
	
  
       – 	
  Computação	
  em	
  Nuvem	
  cria	
  novos	
  riscos	
  e	
  novas	
  
       oportunidades	
  

       – 	
  Oportunidade	
  de	
  reestruturar	
  aplicações	
  anMgas	
  




                                                                                      14	
  
Análise	
  de	
  Riscos	
  

	
  
	
  
       – 	
  IdenMficar	
  o	
  aMvo	
  para	
  implantação	
  na	
  nuvem	
  
       – 	
  Avaliar	
  o	
  aMvo	
  
       – 	
  Mapear	
  o	
  aMvo	
  com	
  modelo	
  de	
  implantação	
  
       – 	
  Avaliar	
  potenciais	
  modelos	
  de	
  serviços	
  
       – 	
  Esboçar	
  o	
  potencial	
  fluxo	
  de	
  dados	
  




                                                                                15	
  
Riscos	
  de	
  Computação	
  em	
  Nuvem	
  

Security	
  Guidance	
  for	
  CriMcal	
  Areas	
  of	
  Focus	
  in	
  Cloud	
  
CompuMng	
  v.	
  2.1	
  
     – 	
  Referência	
  para	
  análise	
  dos	
  riscos	
  
     	
  	
  	
  	
  hip://www.cloudsecurityalliance.org/guidance/csaguide.pdf	
  
	
  
Top	
  Threats	
  to	
  Cloud	
  CompuMng	
  V1.0	
  
     – 	
  Sete	
  principais	
  riscos	
  	
  
     	
  	
  	
  	
  hip://www.cloudsecurityalliance.org/topthreats.html	
  
	
  



                                                                                     16	
  
Security	
  Guidance	
  

	
  
13	
  Domínios	
  
	
  
03	
  Macro	
  Seções:	
  
	
  
      – 	
  Arquitetura	
  
      – 	
  Governança	
  
      – 	
  Operações	
  




                                              17	
  
Security	
  Guidance:	
  
        Governança	
  e	
  Gestão	
  de	
  Riscos	
  Corpora@vos	
  

	
  
       – 	
  Seção:	
  Governança	
  
       – 	
  Compreende	
  na	
  capacidade	
  de	
  uma	
  organização	
  para	
  
       governar	
  e	
  medir	
  o	
  risco	
  empresarial	
  introduzido	
  pela	
  
       Computação	
  em	
  Nuvem	
  
       – 	
  Responsabilidade	
  para	
  proteger	
  dados	
  sensíveis	
  no	
  caso	
  
       de	
  provedor	
  e	
  usuário	
  falhar	
  
       – 	
  Como	
  essas	
  questões	
  são	
  afetadas	
  por	
  fronteiras	
  
       internacionais	
  



                                                                                       18	
  
Security	
  Guidance:	
  
             Aspectos	
  Legais	
  e	
  Electronic	
  Discovery	
  

	
  
       – 	
  Seção:	
  Governança	
  
       – 	
  Compreende	
  nos	
  problemas	
  legais	
  em	
  potencial	
  ao	
  se	
  
       uMlizar	
  Computação	
  em	
  Nuvem	
  
       – 	
  Requisitos	
  de	
  proteção	
  da	
  informação	
  
       – 	
  Requisitos	
  regulatórios	
  
       – 	
  Leis	
  internacionais	
  




                                                                                           19	
  
Security	
  Guidance:	
  
                       Conformidade	
  e	
  Auditoria	
  

	
  
       – 	
  Seção:	
  Governança	
  
       – 	
  Compreende	
  na	
  manutenção	
  e	
  comprovação	
  de	
  
       conformidade	
  ao	
  se	
  fazer	
  uso	
  da	
  Computação	
  em	
  Nuvem	
  
       – 	
  Como	
  a	
  Computação	
  em	
  Nuvem	
  afeta	
  o	
  cumprimento	
  
       de	
  políMcas	
  de	
  segurança	
  interna	
  e	
  diversos	
  requisitos	
  de	
  
       conformidade	
  (regulatórios,	
  legislaMvos,	
  entre	
  outros)	
  
       – 	
  Orientações	
  para	
  comprovar	
  a	
  conformidade	
  no	
  caso	
  de	
  
       auditoria	
  



                                                                                          20	
  
Security	
  Guidance:	
  
       Gerenciamento	
  do	
  Ciclo	
  de	
  Vida	
  das	
  Informações	
  

	
  
         – 	
  Seção:	
  Governança	
  
         – 	
  Compreende	
  no	
  gereciamento	
  dos	
  dados	
  que	
  são	
  
         colocados	
  na	
  Nuvem	
  
         – 	
  Controles	
  compensatórios	
  para	
  lidar	
  com	
  a	
  perda	
  de	
  
         controle	
  lsico	
  
         – 	
  Responsável	
  pela	
  confidencialidade,	
  integridade	
  e	
  
         disponibilidade	
  




                                                                                             21	
  
Security	
  Guidance:	
  
                Portabilidade	
  e	
  Interoperabilidade	
  

	
  
       – 	
  Seção:	
  Governança	
  
       – 	
  Compreende	
  na	
  habilidade	
  de	
  mover	
  dados	
  e/ou	
  
       serviços	
  de	
  um	
  provedor	
  para	
  outro	
  ou	
  totalmente	
  de	
  
       volta	
  para	
  a	
  empresa	
  
       – 	
  Interoperabilidade	
  entre	
  fornecedores	
  




                                                                                         22	
  
Security	
  Guidance:	
  
Segurança	
  Tradicional,	
  Cont.	
  de	
  Negócios	
  e	
  Rec.	
  Desastres	
  

    	
  
           – 	
  Seção:	
  Operações	
  
           – 	
  Descreve	
  como	
  a	
  Computação	
  em	
  Nuvem	
  afeta	
  os	
  
           processos	
  e	
  procedimentos	
  operacionais	
  usados	
  
           atualmente	
  em	
  BCP	
  e	
  DRP	
  
           – 	
  Aborda	
  sobre	
  como	
  ajudar	
  a	
  idenMficar	
  onde	
  a	
  
           Computação	
  em	
  Nuvem	
  pode	
  ajudar	
  a	
  diminuir	
  certos	
  
           riscos,	
  ou	
  implica	
  em	
  aumento	
  dos	
  riscos	
  




                                                                                         23	
  
Security	
  Guidance:	
  
                         Operações	
  e	
  Data	
  Center	
  

	
  
       – 	
  Seção:	
  Operações	
  
       – 	
  Descreve	
  como	
  avaliar	
  a	
  arquitetura	
  e	
  a	
  operação	
  de	
  um	
  
       fornecedor	
  de	
  Data	
  Center	
  
       – 	
  Focado	
  principalmente	
  em	
  ajudar	
  a	
  idenMficar	
  
       caracterísMcas	
  de	
  data	
  centers	
  que	
  podem	
  ser	
  prejudiciais	
  
       e	
  as	
  fundamentais	
  para	
  estabilidade	
  a	
  longo	
  prazo	
  




                                                                                                24	
  
Security	
  Guidance:	
  
       Resposta	
  a	
  Incidente,	
  No@ficação	
  e	
  Remediação	
  

	
  
        – 	
  Seção:	
  Operações	
  
        – 	
  Aborda	
  a	
  correta	
  e	
  adequada	
  detecção	
  de	
  incidentes,	
  
        resposta,	
  noMficação	
  e	
  correção	
  
        – 	
  Aborda	
  itens	
  tanto	
  no	
  nível	
  de	
  prestadores	
  de	
  serviços	
  e	
  
        consumidores	
  
        – 	
  Forense	
  computacional	
  
        – 	
  Ajudar	
  a	
  compreender	
  as	
  diferenças	
  na	
  abordagem	
  do	
  
        sistema	
  de	
  gestão	
  de	
  incidentes	
  atual	
  



                                                                                                   25	
  
Security	
  Guidance:	
  
                         Segurança	
  de	
  Aplicações	
  

	
  
       – 	
  Seção:	
  Operações	
  
       – 	
  Descreve	
  modos	
  de	
  proteger	
  a	
  aplicação	
  que	
  está	
  sendo	
  
       executada	
  ou	
  desenvolvida	
  na	
  nuvem	
  
       – 	
  É	
  apropriado	
  migrar	
  ou	
  projetar	
  uma	
  aplicação	
  na	
  
       nuvem?	
  
       – 	
  Qual	
  melhor	
  modelo	
  (SaaS,	
  PaaS	
  ou	
  IaaS)	
  ?	
  




                                                                                            26	
  
Security	
  Guidance:	
  
           Criptografia	
  e	
  Gerenciamento	
  de	
  Chaves	
  

	
  
       – 	
  Seção:	
  Operações	
  
       – 	
  DiscuMr	
  por	
  que	
  é	
  necessário	
  
       – 	
  IdenMficar	
  questões	
  que	
  surgem	
  com	
  a	
  uMlização,	
  seja	
  
       para	
  proteger	
  o	
  acesso	
  aos	
  recursos	
  ou	
  para	
  proteger	
  os	
  
       dados	
  




                                                                                                27	
  
Security	
  Guidance:	
  
            Gerenciamento	
  de	
  Iden@dade	
  e	
  Acesso	
  

	
  
       – 	
  Seção:	
  Operações	
  
       – 	
  Foco	
  em	
  questões	
  encontradas	
  quando	
  se	
  estende	
  a	
  
       idenMdade	
  de	
  uma	
  organização	
  para	
  Nuvem	
  
       – 	
  Fornece	
  insights	
  para	
  avaliar	
  a	
  capacidade	
  da	
  
       organização	
  para	
  realizar	
  a	
  gestão	
  de	
  idenMdade	
  e	
  acesso	
  
       baseados	
  na	
  Nuvem	
  




                                                                                          28	
  
Security	
  Guidance:	
  
                                  Virtualização	
  

	
  
       – 	
  Seção:	
  Operações	
  
       – 	
  Descreve	
  o	
  uso	
  da	
  Virtualização	
  em	
  Computação	
  em	
  
       Nuvem	
  
       – 	
  Aborda	
  riscos	
  associados	
  com	
  mulMlocação	
  
       – 	
  Isolamento	
  de	
  VMs	
  
       – 	
  Vulnerabilidades	
  em	
  Hypervisor	
  
       – 	
  Foca	
  nas	
  questões	
  de	
  segurança	
  em	
  torno	
  do	
  sistema/
       hardware	
  de	
  virtualização	
  



                                                                                           29	
  
PRINCIPAIS	
  AMEAÇAS	
  
Sete	
  principais	
  ameaças	
  na	
  adoção	
  da	
  Computação	
  em	
  Nuvem	
  




                                                                                       30	
  
Principais	
  Riscos	
  Para	
  Computação	
  em	
  
                   Nuvem	
  
 Abuso	
  e	
  uso	
  Malicioso	
  de	
  Computação	
  em	
  Nuvem	
  
    – Qualquer	
  pessoa	
  com	
  um	
  cartão	
  de	
  crédito	
  válido	
  pode	
  
    se	
  registrar	
  e	
  usar	
  os	
  serviços	
  em	
  nuvem	
  
         • 	
  Spammers,	
  autores	
  de	
  códigos	
  maliciosos	
  e	
  criminosos	
  
         • 	
  Uso	
  anônimo	
  e	
  impune	
  
    – 	
  Usos	
  maliciosos	
  
         • 	
  Quebra	
  de	
  senhas	
  
         • 	
  Realizar	
  ataques	
  (ex:	
  DDoS)	
  
         • 	
  Hospedar	
  dados	
  maliciosos	
                             CSA	
  Guidance:	
  
         • 	
  Controle	
  de	
  botnets	
                                   Domínios	
  8	
  e	
  9	
  

                                                                              IaaS	
   PaaS	
   SaaS	
  

                                                                                                           31	
  
Principais	
  Riscos	
  Para	
  Computação	
  em	
  
                   Nuvem	
  
 Interfaces	
  e	
  APIs	
  Inseguras	
  
    – Segurança	
  e	
  disponibilidade	
  dos	
  serviços	
  na	
  nuvem	
  são	
  
    dependentes	
  das	
  interfaces	
  e	
  APIs	
  de	
  gerenciamento	
  
    – 	
  Falhas	
  acidentais	
  ou	
  mal	
  intencionadas	
  
    – 	
  Complexidade	
  
         • 	
  Serviços	
  desconhecidos	
  
    – 	
  Controle	
  de	
  acesso	
  
         • 	
  Acessos	
  anônonimos	
  
         • 	
  Senhas	
  e	
  dados	
  trafegados	
  em	
  aberto	
     CSA	
  Guidance:	
  
                                                                        Domínio	
  10	
  
                                                                        IaaS	
   PaaS	
   SaaS	
  

                                                                                                 32	
  
Principais	
  Riscos	
  Para	
  Computação	
  em	
  
                   Nuvem	
  
 Usuários	
  Internos	
  Maliciosos	
  
    – 	
  Ameaça	
  amplificada	
  
        • 	
  Convergência	
  de	
  serviços	
  e	
  usuários	
  
        • 	
  Falta	
  de	
  transparência	
  do	
  provedor	
  
        • 	
  Funcionários	
  do	
  provedor	
  
        • 	
  Baixo	
  risco	
  de	
  detecção	
  
    – 	
  Potenciais	
  ameaças	
  
        • 	
  Concorrentes	
  
        • 	
  Espionagem	
  
                                                                    CSA	
  Guidance:	
  
        • 	
  Hackers	
  	
                                         Domínios	
  2	
  e	
  7	
  
                                                                    IaaS	
   PaaS	
   SaaS	
  

                                                                                                  33	
  
Principais	
  Riscos	
  Para	
  Computação	
  em	
  
                   Nuvem	
  
 Uso	
  de	
  Tecnologias	
  de	
  ComparMlhamento	
  
    – 	
  Forte	
  isolamento	
  em	
  ambientes	
  mulM-­‐locatários	
  
    – 	
  Falhas	
  no	
  sistema	
  de	
  controle	
  (hypervisor)	
  
           • 	
  Sistemas	
  virtuais	
  podem	
  ter	
  acesso	
  ao	
  sistema	
  hospedeiro	
  
           • 	
  Falha	
  nos	
  controles	
  e	
  isolamento	
  
    – 	
  Clientes	
  não	
  devem	
  ter	
  acesso	
  a	
  dados	
  de	
  outros	
  
    clientes	
  
           • 	
  Dados	
  atuais	
  ou	
  residuais	
  
           • 	
  Tráfego	
  de	
  rede	
                                         CSA	
  Guidance:	
  
    	
                                                                           Domínios	
  8	
  e	
  13	
  
                                                                                  IaaS	
   PaaS	
   SaaS	
  

                                                                                                                34	
  
Principais	
  Riscos	
  Para	
  Computação	
  em	
  
                   Nuvem	
  
 Perda	
  ou	
  Vazamento	
  de	
  Dados	
  
    – 	
  Pode	
  ser	
  devastados	
  para	
  uma	
  empresa	
  
    – 	
  Arquitetura	
  e	
  ambiente	
  da	
  Nuvem	
  aumenta	
  os	
  riscos	
  
        • 	
  Falha	
  nos	
  controles	
  de	
  autenMcação,	
  autorização	
  e	
  auditoria	
  
        (AAA)	
  
        • 	
  Falhas	
  operacionais	
  
        • 	
  Persistência	
  e	
  remanescência	
  dos	
  dados	
  
        • 	
  Jurisdição	
  
        • 	
  Disponibilidade	
  do	
  provedor	
  
                                                                              CSA	
  Guidance:	
  
                                                                              Domínios	
  5,	
  11	
  e	
  12	
  
                                                                               IaaS	
   PaaS	
   SaaS	
  

                                                                                                             35	
  
Principais	
  Riscos	
  Para	
  Computação	
  em	
  
                   Nuvem	
  
 Sequestro	
  de	
  Serviço	
  ou	
  de	
  Conta	
  
    – 	
  Roubo	
  de	
  credenciais	
  
         • 	
  Phishing,	
  fraude	
  ou	
  exploração	
  de	
  falhas	
  
    – 	
  Acesso	
  indevido	
  a	
  Nuvem	
  
         • 	
  Acessar	
  dados	
  e	
  transações	
  
         • 	
  Manipulação	
  dos	
  dados	
  
         • 	
  Redirecionar	
  usuários	
  para	
  outros	
  sites	
  


                                                                             CSA	
  Guidance:	
  
                                                                             Domínios	
  2,	
  9	
  e	
  12	
  
                                                                             IaaS	
   PaaS	
   SaaS	
  

                                                                                                             36	
  
Principais	
  Riscos	
  Para	
  Computação	
  em	
  
                   Nuvem	
  
 Riscos	
  Desconhecidos	
  
    – 	
  Na	
  Computação	
  em	
  Nuvem,	
  as	
  empresas	
  abrem	
  mão	
  da	
  
    gestão	
  do	
  hardware	
  e	
  do	
  soeware	
  para	
  focar	
  no	
  negócio	
  
        • 	
  Segurança	
  por	
  obscuridade	
  e	
  baixo	
  esforço	
  
        • 	
  Perde	
  controles	
  de	
  segurança	
  
    – 	
  Detalhes	
  de	
  operação	
  e	
  compliance	
  do	
  fornecedor	
  
        • 	
  Versão	
  de	
  soeware	
  e	
  atualização	
  de	
  código	
  
        • 	
  Com	
  quem	
  você	
  comparMlha	
  a	
  infra-­‐estrutura	
  
        • 	
  TentaMvas	
  de	
  ataque	
  
                                                                              CSA	
  Guidance:	
  
        • 	
  Guarda	
  de	
  logs	
                                          Domínios	
  2,	
  3,	
  8	
  e	
  9	
  
                                                                                       IaaS	
   PaaS	
   SaaS	
  

                                                                                                                  37	
  
CLOUD	
  SECURITY	
  ALLIANCE	
  
Apresentação	
  CSA	
  Brasil	
  




                                    38	
  
CSA:	
  
                              Overview	
  

       	
  
– 	
  Associação	
  sem	
  fins	
  lucraMvos	
  
– 	
  Idealizada	
  durante	
  o	
  ISSA	
  CISO	
  Forum	
  em	
  
Novembro	
  de	
  2008	
  
– 	
  Oficializada	
  em	
  Dezembro	
  de	
  2008	
  
– 	
  Primeiro	
  Whitepaper	
  na	
  RSA	
  Conference	
  em	
  2009	
  
– 	
  +12mil	
  Membros	
  
– 	
  Presente	
  em	
  06	
  países	
  através	
  de	
  Chapters	
  locais	
  



                                                                              39	
  
CSA:	
  
                                         Missão	
  

To	
   promote	
   the	
   use	
   of	
   best	
  
pracMces	
   for	
   providing	
  
security	
   assurance	
   within	
  
Cloud	
   CompuMng,	
   and	
  
provide	
   educaMon	
   on	
   the	
  
uses	
  of	
  Cloud	
  CompuMng	
  to	
  
help	
   secure	
   all	
   other	
   forms	
  
of	
  compuMng.	
  

                                                      fonte:	
  sxc.hu	
  

                                                                  40	
  
CSA:	
  
                                    Obje@vos	
  


– 	
   Promote	
   a	
   common	
   level	
   of	
   understanding	
   between	
   the	
  
consumers	
   and	
   providers	
   of	
   cloud	
   compuMng	
   regarding	
   the	
  
necessary	
  security	
  requirements	
  and	
  aiestaMon	
  of	
  assurance	
  
– 	
   Promote	
  independent	
  research	
  into	
  best	
  pracMces	
  for	
  cloud	
  
compuMng	
  security	
  
– 	
   Launch	
  awareness	
  campaigns	
  and	
  educaMonal	
  programs	
  on	
  
the	
   appropriate	
   uses	
   of	
   cloud	
   compuMng	
   and	
   cloud	
   security	
  
soluMons	
  
–  	
   Create	
   consensus	
   lists	
   of	
   issues	
   and	
   guidance	
   for	
   cloud	
  
security	
  assurance	
  


                                                                                               41	
  
CSA	
  Brasil:	
  
                                 Overview	
  


       	
  
– 	
  Segundo	
  Chapter	
  oficial	
  da	
  CSA	
  
– 	
  Oficializado	
  em	
  27	
  de	
  Maio	
  de	
  2010	
  
– 	
  97	
  Membros	
  
– 	
  Board:	
  Leonardo	
  Goldim;	
  Anchises	
  Moraes,	
  Jaime	
  OrMs	
  y	
  
Lugo,	
  Jordan	
  Bonagura,	
  Olympio	
  Renno	
  
– 	
  Segue	
  Missão	
  e	
  ObjeMvos	
  da	
  CSA	
  Global	
  




                                                                                       42	
  
Projetos	
  
                                     CCSK	
  

– 	
  Voltada	
  para	
  profissionais	
  
– 	
  Disponível	
  desde	
  01	
  de	
  Setembro	
  
– 	
  Realizada	
  online	
  
– 	
  US$	
  295,	
  até	
  31	
  de	
  Dezembro	
  US$	
  195	
  
– 	
  Baseada	
  no	
  Guia	
  de	
  Boas	
  PráMcas	
  da	
  CSA	
  e	
  nos	
  estudos	
  
da	
  Enisa	
  sobre	
  gestão	
  de	
  riscos	
  na	
  Nuvem	
  
– 	
  CCSK	
  Study	
  Guide	
  
– 	
  Relacionada	
  a	
  versão	
  do	
  Guia,	
  não	
  expira	
  
– 	
  4	
  profissionais	
  no	
  Brasil	
  


                                                                                               43	
  
Como	
  se	
  Associar	
  
                           CSA	
  /	
  CSA	
  Brasil	
  


Pessoa	
  Física	
  
   – 	
  ParMcipação	
  no	
  grupo	
  do	
  LinkedIN	
  
   – 	
  ParMcipação	
  nas	
  listas	
  de	
  discussões	
  dos	
  projetos	
  
   (csabrasil	
  –	
  Yahoo	
  Grupos)	
  
   – 	
  Sem	
  custo	
  
Pessoa	
  Jurídica	
  
   – 	
  Contato	
  diretamente	
  com	
  a	
  CSA	
  
   – 	
  Taxa	
  anual	
  


                                                                                   44	
  
Referências	
  

         •  NIST	
  Cloud	
  CompuMng	
  Project	
  
           	
  hUp://csrc.nist.gov/groups/SNS/cloud-­‐compu@ng/index.html	
  

         •  Relatório	
  da	
  ENISA	
  	
  
            “Cloud	
  CompuMng:	
  Benefits,	
  risks	
  	
  
            and	
  recommendaMons	
  for	
  informaMon	
  security”	
  
             hUp://www.enisa.europa.eu/act/rm/files/deliverables/cloud-­‐
                                       compu@ng-­‐risk-­‐assessment	
  



45	
                                                                            45	
  
Referências	
  

         •  “CSA	
  Cloud	
  Controls	
  Matrix	
  V1”	
  
              –  Lançado	
  em	
  27	
  de	
  Abril	
  27,	
  2010	
  
              –  hip://www.cloudsecurityalliance.org/cm.html	
  	
  




46	
                                                                     46	
  
Obrigado	
  



Anchises	
  M.	
  G.	
  de	
  Paula	
  
       Membro	
  da	
  CSA	
  Brasil	
  
        anchisesbr@gmail.com	
  
   hip://br.cloudsecurityalliance.org	
  
  hip://www.cloudsecurityalliance.org	
  




                                            47	
  

Mais conteúdo relacionado

Mais procurados

Apresentação netconsulting nov12
Apresentação netconsulting nov12Apresentação netconsulting nov12
Apresentação netconsulting nov12Evandro Alves
 
Oportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemOportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemCássio Quaresma
 
Trabalho Técnico apresentado no XI SIMPASE
Trabalho Técnico apresentado no XI SIMPASE Trabalho Técnico apresentado no XI SIMPASE
Trabalho Técnico apresentado no XI SIMPASE TI Safe
 
Segurança e privacidade em computação em nuvem - uma visão geral
Segurança e privacidade em computação em nuvem - uma visão geralSegurança e privacidade em computação em nuvem - uma visão geral
Segurança e privacidade em computação em nuvem - uma visão geralLuiz Amelotti
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Segurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosSegurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosRodrigo Felipe Betussi
 
Executive Breakfast Sysvalue-NetApp-VMWare - 16 de Março de 2012 - Apresentaç...
Executive Breakfast Sysvalue-NetApp-VMWare - 16 de Março de 2012 - Apresentaç...Executive Breakfast Sysvalue-NetApp-VMWare - 16 de Março de 2012 - Apresentaç...
Executive Breakfast Sysvalue-NetApp-VMWare - 16 de Março de 2012 - Apresentaç...Joao Barreto Fernandes
 
Livro cap01
Livro cap01Livro cap01
Livro cap01higson
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoSamantha Nunes
 
Tcc firewalls e a segurança na internet
Tcc    firewalls e a segurança na internetTcc    firewalls e a segurança na internet
Tcc firewalls e a segurança na internetalexandrino1
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoCisco do Brasil
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoFernando Palma
 

Mais procurados (20)

Apresentação netconsulting nov12
Apresentação netconsulting nov12Apresentação netconsulting nov12
Apresentação netconsulting nov12
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Oportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemOportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na Nuvem
 
Trabalho Técnico apresentado no XI SIMPASE
Trabalho Técnico apresentado no XI SIMPASE Trabalho Técnico apresentado no XI SIMPASE
Trabalho Técnico apresentado no XI SIMPASE
 
Segurança e privacidade em computação em nuvem - uma visão geral
Segurança e privacidade em computação em nuvem - uma visão geralSegurança e privacidade em computação em nuvem - uma visão geral
Segurança e privacidade em computação em nuvem - uma visão geral
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
13 45-2-pb
13 45-2-pb13 45-2-pb
13 45-2-pb
 
Segurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosSegurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e Riscos
 
Tcc segurança da informação
Tcc segurança da informaçãoTcc segurança da informação
Tcc segurança da informação
 
Executive Breakfast Sysvalue-NetApp-VMWare - 16 de Março de 2012 - Apresentaç...
Executive Breakfast Sysvalue-NetApp-VMWare - 16 de Março de 2012 - Apresentaç...Executive Breakfast Sysvalue-NetApp-VMWare - 16 de Março de 2012 - Apresentaç...
Executive Breakfast Sysvalue-NetApp-VMWare - 16 de Março de 2012 - Apresentaç...
 
Livro cap01
Livro cap01Livro cap01
Livro cap01
 
Modulo 01 Capitulo 01
Modulo 01 Capitulo 01Modulo 01 Capitulo 01
Modulo 01 Capitulo 01
 
Ws uma luz_no_caminho_da_seguranca_v1.0
Ws uma luz_no_caminho_da_seguranca_v1.0Ws uma luz_no_caminho_da_seguranca_v1.0
Ws uma luz_no_caminho_da_seguranca_v1.0
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Abin aula 01-1
Abin   aula 01-1Abin   aula 01-1
Abin aula 01-1
 
Tcc firewalls e a segurança na internet
Tcc    firewalls e a segurança na internetTcc    firewalls e a segurança na internet
Tcc firewalls e a segurança na internet
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
 
Modulo 01 Capitulo 02
Modulo 01 Capitulo 02Modulo 01 Capitulo 02
Modulo 01 Capitulo 02
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
 

Destaque

3 t05 resultados grendene
3 t05 resultados grendene3 t05 resultados grendene
3 t05 resultados grendeneTarso Caselli
 
Validação De Processos Farmacêuticos
Validação De Processos FarmacêuticosValidação De Processos Farmacêuticos
Validação De Processos Farmacêuticosheltonsantos
 
Mudança na estruturadas ivs
Mudança na estruturadas ivsMudança na estruturadas ivs
Mudança na estruturadas ivsGiana Araujo
 
Apresentação 3 t12
Apresentação 3 t12Apresentação 3 t12
Apresentação 3 t12ForjasTaurus
 
Ein Strategie für viele Marken - IA Konferenz 2016 - Berlin
Ein Strategie für viele Marken - IA Konferenz 2016 - BerlinEin Strategie für viele Marken - IA Konferenz 2016 - Berlin
Ein Strategie für viele Marken - IA Konferenz 2016 - BerlinLutz Schmitt
 
User Interface Design Patterns
User Interface Design PatternsUser Interface Design Patterns
User Interface Design PatternsuxHH
 
Compliance Anforderungen an Computerisierte Systeme
Compliance Anforderungen an Computerisierte SystemeCompliance Anforderungen an Computerisierte Systeme
Compliance Anforderungen an Computerisierte SystemeInboundLabs (ex mon.ki inc)
 
Impulsreferat ng g gud z versand
Impulsreferat ng g gud z versandImpulsreferat ng g gud z versand
Impulsreferat ng g gud z versandJens Friedrich
 
Who evd guidance_lab_14.2_spa
Who evd guidance_lab_14.2_spaWho evd guidance_lab_14.2_spa
Who evd guidance_lab_14.2_spamaikach
 
Input Selbstgesteuertes Lernen
Input Selbstgesteuertes LernenInput Selbstgesteuertes Lernen
Input Selbstgesteuertes Lernenhse_unisg
 
Neue Infos rund um WCAG 2.0
Neue Infos rund um WCAG 2.0Neue Infos rund um WCAG 2.0
Neue Infos rund um WCAG 2.0Eric Eggert
 
Brucelosis infecto
Brucelosis infectoBrucelosis infecto
Brucelosis infectoPipo Nz
 

Destaque (20)

Treinamento Garmin PDN 2013
Treinamento Garmin PDN  2013Treinamento Garmin PDN  2013
Treinamento Garmin PDN 2013
 
3 t05 resultados grendene
3 t05 resultados grendene3 t05 resultados grendene
3 t05 resultados grendene
 
Validação De Processos Farmacêuticos
Validação De Processos FarmacêuticosValidação De Processos Farmacêuticos
Validação De Processos Farmacêuticos
 
Apresentação Garmin
Apresentação GarminApresentação Garmin
Apresentação Garmin
 
Mudança na estruturadas ivs
Mudança na estruturadas ivsMudança na estruturadas ivs
Mudança na estruturadas ivs
 
Apresentação 3 t12
Apresentação 3 t12Apresentação 3 t12
Apresentação 3 t12
 
guidance-and-counseling
guidance-and-counselingguidance-and-counseling
guidance-and-counseling
 
Acceso a la innovación en el diseño y asistencia financiera a la pequeña y me...
Acceso a la innovación en el diseño y asistencia financiera a la pequeña y me...Acceso a la innovación en el diseño y asistencia financiera a la pequeña y me...
Acceso a la innovación en el diseño y asistencia financiera a la pequeña y me...
 
Treinamento de GPS Garmin
Treinamento de GPS GarminTreinamento de GPS Garmin
Treinamento de GPS Garmin
 
Ein Strategie für viele Marken - IA Konferenz 2016 - Berlin
Ein Strategie für viele Marken - IA Konferenz 2016 - BerlinEin Strategie für viele Marken - IA Konferenz 2016 - Berlin
Ein Strategie für viele Marken - IA Konferenz 2016 - Berlin
 
Informe urdangarin integro
Informe urdangarin integroInforme urdangarin integro
Informe urdangarin integro
 
User Interface Design Patterns
User Interface Design PatternsUser Interface Design Patterns
User Interface Design Patterns
 
Compliance Anforderungen an Computerisierte Systeme
Compliance Anforderungen an Computerisierte SystemeCompliance Anforderungen an Computerisierte Systeme
Compliance Anforderungen an Computerisierte Systeme
 
Impulsreferat ng g gud z versand
Impulsreferat ng g gud z versandImpulsreferat ng g gud z versand
Impulsreferat ng g gud z versand
 
Who evd guidance_lab_14.2_spa
Who evd guidance_lab_14.2_spaWho evd guidance_lab_14.2_spa
Who evd guidance_lab_14.2_spa
 
Input Selbstgesteuertes Lernen
Input Selbstgesteuertes LernenInput Selbstgesteuertes Lernen
Input Selbstgesteuertes Lernen
 
Neue Infos rund um WCAG 2.0
Neue Infos rund um WCAG 2.0Neue Infos rund um WCAG 2.0
Neue Infos rund um WCAG 2.0
 
Brucelosis infecto
Brucelosis infectoBrucelosis infecto
Brucelosis infecto
 
El sector químic – Dagoberto Schmid
El sector químic – Dagoberto Schmid El sector químic – Dagoberto Schmid
El sector químic – Dagoberto Schmid
 
Modelo de CIO del Reino Unido
Modelo de CIO del Reino UnidoModelo de CIO del Reino Unido
Modelo de CIO del Reino Unido
 

Semelhante a Cloud Computing - Conceitos e Riscos

Cloud Computing - Security in the Cloud
Cloud Computing - Security in the CloudCloud Computing - Security in the Cloud
Cloud Computing - Security in the CloudAlexandro Silva
 
My Cloud Computing Presentation V3
My Cloud Computing Presentation V3My Cloud Computing Presentation V3
My Cloud Computing Presentation V3namplc
 
Vale Security Conference - 2011 - 15 - Anchises de Paula
Vale Security Conference - 2011 - 15 - Anchises de PaulaVale Security Conference - 2011 - 15 - Anchises de Paula
Vale Security Conference - 2011 - 15 - Anchises de PaulaVale Security Conference
 
Cloud computing for dummies
Cloud computing for dummiesCloud computing for dummies
Cloud computing for dummiesAnchises Moraes
 
AAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcambAAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcambguest34ed8ec
 
AAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcambAAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcambMicrosoft Brasil
 
Embrace Any Cloud Securely
Embrace Any Cloud Securely Embrace Any Cloud Securely
Embrace Any Cloud Securely Alexandre Freire
 
Fog Computing - Falhas e Riscos da Computação em Nuvem
Fog Computing - Falhas e Riscos da Computação em NuvemFog Computing - Falhas e Riscos da Computação em Nuvem
Fog Computing - Falhas e Riscos da Computação em NuvemAnchises Moraes
 
Computação em nuvem (cloud computing), uma introdução.
Computação em nuvem (cloud computing), uma introdução.Computação em nuvem (cloud computing), uma introdução.
Computação em nuvem (cloud computing), uma introdução.Rodrigo Miranda
 
Computação em Nuvem: Futuro e Desafios
Computação em Nuvem: Futuro e DesafiosComputação em Nuvem: Futuro e Desafios
Computação em Nuvem: Futuro e DesafiosLeo Goldim
 
SISTEMAS COMPUTACIONAIS_COMPUTAÇÃO NA NUVEM
SISTEMAS COMPUTACIONAIS_COMPUTAÇÃO NA NUVEMSISTEMAS COMPUTACIONAIS_COMPUTAÇÃO NA NUVEM
SISTEMAS COMPUTACIONAIS_COMPUTAÇÃO NA NUVEMsilvia_ctdi
 
Palestra cloud-computing
Palestra cloud-computingPalestra cloud-computing
Palestra cloud-computingNaptec
 
Cloud Computing: uma abordagem objetiva sobre o novo ambiente computacional
Cloud Computing: uma abordagem objetiva sobre o novo ambiente computacionalCloud Computing: uma abordagem objetiva sobre o novo ambiente computacional
Cloud Computing: uma abordagem objetiva sobre o novo ambiente computacionalJosé Morelli Neto
 
Computação em Nuvem - Cloud Computing
Computação em Nuvem - Cloud ComputingComputação em Nuvem - Cloud Computing
Computação em Nuvem - Cloud ComputingAllan Reis
 
Cloud Computing: Desafios e oportunidades
Cloud Computing: Desafios e oportunidadesCloud Computing: Desafios e oportunidades
Cloud Computing: Desafios e oportunidadesElvis Fusco
 
00 13092011-1430-anderson-germano
00 13092011-1430-anderson-germano00 13092011-1430-anderson-germano
00 13092011-1430-anderson-germanoguiabusinessmedia
 

Semelhante a Cloud Computing - Conceitos e Riscos (20)

Cloud Computing - Security in the Cloud
Cloud Computing - Security in the CloudCloud Computing - Security in the Cloud
Cloud Computing - Security in the Cloud
 
Segurança Em Computaçao Na Nuvem
Segurança Em Computaçao Na NuvemSegurança Em Computaçao Na Nuvem
Segurança Em Computaçao Na Nuvem
 
My Cloud Computing Presentation V3
My Cloud Computing Presentation V3My Cloud Computing Presentation V3
My Cloud Computing Presentation V3
 
Vale Security Conference - 2011 - 15 - Anchises de Paula
Vale Security Conference - 2011 - 15 - Anchises de PaulaVale Security Conference - 2011 - 15 - Anchises de Paula
Vale Security Conference - 2011 - 15 - Anchises de Paula
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Cloud computing for dummies
Cloud computing for dummiesCloud computing for dummies
Cloud computing for dummies
 
AAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcambAAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcamb
 
AAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcambAAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcamb
 
Embrace Any Cloud Securely
Embrace Any Cloud Securely Embrace Any Cloud Securely
Embrace Any Cloud Securely
 
Fog Computing - Falhas e Riscos da Computação em Nuvem
Fog Computing - Falhas e Riscos da Computação em NuvemFog Computing - Falhas e Riscos da Computação em Nuvem
Fog Computing - Falhas e Riscos da Computação em Nuvem
 
Computação em nuvem (cloud computing), uma introdução.
Computação em nuvem (cloud computing), uma introdução.Computação em nuvem (cloud computing), uma introdução.
Computação em nuvem (cloud computing), uma introdução.
 
Computação em Nuvem: Futuro e Desafios
Computação em Nuvem: Futuro e DesafiosComputação em Nuvem: Futuro e Desafios
Computação em Nuvem: Futuro e Desafios
 
Ufs na nuvem gp 2017-2
Ufs na nuvem   gp 2017-2 Ufs na nuvem   gp 2017-2
Ufs na nuvem gp 2017-2
 
SISTEMAS COMPUTACIONAIS_COMPUTAÇÃO NA NUVEM
SISTEMAS COMPUTACIONAIS_COMPUTAÇÃO NA NUVEMSISTEMAS COMPUTACIONAIS_COMPUTAÇÃO NA NUVEM
SISTEMAS COMPUTACIONAIS_COMPUTAÇÃO NA NUVEM
 
Palestra cloud-computing
Palestra cloud-computingPalestra cloud-computing
Palestra cloud-computing
 
Cloud Computing: uma abordagem objetiva sobre o novo ambiente computacional
Cloud Computing: uma abordagem objetiva sobre o novo ambiente computacionalCloud Computing: uma abordagem objetiva sobre o novo ambiente computacional
Cloud Computing: uma abordagem objetiva sobre o novo ambiente computacional
 
Computação em Nuvem - Cloud Computing
Computação em Nuvem - Cloud ComputingComputação em Nuvem - Cloud Computing
Computação em Nuvem - Cloud Computing
 
Cloud Computing: Desafios e oportunidades
Cloud Computing: Desafios e oportunidadesCloud Computing: Desafios e oportunidades
Cloud Computing: Desafios e oportunidades
 
Secure Any Cloud
Secure Any CloudSecure Any Cloud
Secure Any Cloud
 
00 13092011-1430-anderson-germano
00 13092011-1430-anderson-germano00 13092011-1430-anderson-germano
00 13092011-1430-anderson-germano
 

Mais de Anchises Moraes

Post pandemics threat scenario
Post pandemics threat scenarioPost pandemics threat scenario
Post pandemics threat scenarioAnchises Moraes
 
Como se proteger na internet
Como se proteger na internetComo se proteger na internet
Como se proteger na internetAnchises Moraes
 
Fatos, mitos e palpites do cenário de segurança pós-pandemia
Fatos, mitos e palpites do cenário de segurança pós-pandemiaFatos, mitos e palpites do cenário de segurança pós-pandemia
Fatos, mitos e palpites do cenário de segurança pós-pandemiaAnchises Moraes
 
A Case Study of the Capital One Data Breach
A Case Study of the Capital One Data BreachA Case Study of the Capital One Data Breach
A Case Study of the Capital One Data BreachAnchises Moraes
 
Praticas de gestão de segurança
Praticas de gestão de segurançaPraticas de gestão de segurança
Praticas de gestão de segurançaAnchises Moraes
 
Ciber crime e desafios de segurança durante uma pandemia e home office
Ciber crime e desafios de segurança durante uma pandemia e home officeCiber crime e desafios de segurança durante uma pandemia e home office
Ciber crime e desafios de segurança durante uma pandemia e home officeAnchises Moraes
 
Cyber Cultura em tempos de Coronavírus
Cyber Cultura em tempos de CoronavírusCyber Cultura em tempos de Coronavírus
Cyber Cultura em tempos de CoronavírusAnchises Moraes
 
Hunting bugs - C0r0n4con
Hunting bugs - C0r0n4conHunting bugs - C0r0n4con
Hunting bugs - C0r0n4conAnchises Moraes
 
Fintechs e os desafios de segurança
Fintechs e os desafios de segurançaFintechs e os desafios de segurança
Fintechs e os desafios de segurançaAnchises Moraes
 
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 20195 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019Anchises Moraes
 
Segurança além do Pentest
Segurança além do PentestSegurança além do Pentest
Segurança além do PentestAnchises Moraes
 
Só o Pentest não resolve!
Só o Pentest não resolve!Só o Pentest não resolve!
Só o Pentest não resolve!Anchises Moraes
 
Carreira em Segurança da Informação
Carreira em Segurança da InformaçãoCarreira em Segurança da Informação
Carreira em Segurança da InformaçãoAnchises Moraes
 
Carta de oposição ao Sindpd 2018
Carta de oposição ao Sindpd 2018Carta de oposição ao Sindpd 2018
Carta de oposição ao Sindpd 2018Anchises Moraes
 
Como se tornar um Jedi na área de Segurança
Como se tornar um Jedi na área de SegurançaComo se tornar um Jedi na área de Segurança
Como se tornar um Jedi na área de SegurançaAnchises Moraes
 
É possível existir segurança para IoT?
É possível existir segurança para IoT?É possível existir segurança para IoT?
É possível existir segurança para IoT?Anchises Moraes
 

Mais de Anchises Moraes (20)

Post pandemics threat scenario
Post pandemics threat scenarioPost pandemics threat scenario
Post pandemics threat scenario
 
Como se proteger na internet
Como se proteger na internetComo se proteger na internet
Como se proteger na internet
 
Fatos, mitos e palpites do cenário de segurança pós-pandemia
Fatos, mitos e palpites do cenário de segurança pós-pandemiaFatos, mitos e palpites do cenário de segurança pós-pandemia
Fatos, mitos e palpites do cenário de segurança pós-pandemia
 
A Case Study of the Capital One Data Breach
A Case Study of the Capital One Data BreachA Case Study of the Capital One Data Breach
A Case Study of the Capital One Data Breach
 
Vamos caçar bugs!?
Vamos caçar bugs!?Vamos caçar bugs!?
Vamos caçar bugs!?
 
Praticas de gestão de segurança
Praticas de gestão de segurançaPraticas de gestão de segurança
Praticas de gestão de segurança
 
Ciber crime e desafios de segurança durante uma pandemia e home office
Ciber crime e desafios de segurança durante uma pandemia e home officeCiber crime e desafios de segurança durante uma pandemia e home office
Ciber crime e desafios de segurança durante uma pandemia e home office
 
Cyber Cultura em tempos de Coronavírus
Cyber Cultura em tempos de CoronavírusCyber Cultura em tempos de Coronavírus
Cyber Cultura em tempos de Coronavírus
 
Hunting bugs - C0r0n4con
Hunting bugs - C0r0n4conHunting bugs - C0r0n4con
Hunting bugs - C0r0n4con
 
Fintechs e os desafios de segurança
Fintechs e os desafios de segurançaFintechs e os desafios de segurança
Fintechs e os desafios de segurança
 
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 20195 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019
 
Segurança além do Pentest
Segurança além do PentestSegurança além do Pentest
Segurança além do Pentest
 
Só o Pentest não resolve!
Só o Pentest não resolve!Só o Pentest não resolve!
Só o Pentest não resolve!
 
Carreira em Segurança da Informação
Carreira em Segurança da InformaçãoCarreira em Segurança da Informação
Carreira em Segurança da Informação
 
IoT Fofoqueiro
IoT FofoqueiroIoT Fofoqueiro
IoT Fofoqueiro
 
Carta de oposição ao Sindpd 2018
Carta de oposição ao Sindpd 2018Carta de oposição ao Sindpd 2018
Carta de oposição ao Sindpd 2018
 
Segurança na Internet
Segurança na InternetSegurança na Internet
Segurança na Internet
 
Como se tornar um Jedi na área de Segurança
Como se tornar um Jedi na área de SegurançaComo se tornar um Jedi na área de Segurança
Como se tornar um Jedi na área de Segurança
 
Deep Web e Ciber Crime
Deep Web e Ciber CrimeDeep Web e Ciber Crime
Deep Web e Ciber Crime
 
É possível existir segurança para IoT?
É possível existir segurança para IoT?É possível existir segurança para IoT?
É possível existir segurança para IoT?
 

Cloud Computing - Conceitos e Riscos

  • 1. Computação  em  Nuvem   Oportunidades  e  Riscos  de  Segurança   Anchises  M.  G.  De  Paula   Membro,  CSA  Brasil   1  
  • 2. Agenda   –   O  que  é  Computação  em  Nuvem   –   Oportunidades  de  Segurança   –   Principais  categorias  de  Riscos   – Sete  principais  ameaças   –   Cloud  Security  Alliance   2  
  • 3. CLOUD  COMPUTING   O  que  é  Computação  em  Nuvem   3  
  • 4. Computação  em  Nuvem   Computação  em  nuvem  é  um  termo  em  evolução     –   Separa  as  aplicações  e  os  recursos  de  informação  de  sua   infraestrutura  básica,  e  os  mecanismos  uMlizados  para   entregá-­‐los.   –   Uso  de  uma  coleção  de  serviços,  aplicações,  informação   e  infraestrutura  composta  por  pools  de  recursos   computacionais,  de  rede,  de  informação  e  de   armazenamento.   –   Estes  componentes  podem  ser  rapidamente   organizados,  provisionados,  implementados,  desaMvados,   e  escalados  para  cima  ou  para  baixo,  provendo  um  modelo   de  alocação  e  consumo  baseado  na  demanda  de  recursos.     4  
  • 5. Computação  em  Nuvem   Vantagens   –   Realça  a  colaboração,   agilidade,  escalabilidade  e   disponibilidade   – Potencial  para  redução  de   custos  através  de   computação  eficiente  e   oMmizada   –   Eficiência  de  custos  pelas   economias  de  escala,   reuMlização  e  padronização   fonte:  sxc.hu     5  
  • 7. Computação  em  Nuvem   Modelos  de  Referência   –   Relações  e  dependências  entre   os  modelos  de  Computação  em   Nuvem     –   CaracterísMcas  são  herdadas   –   Também  são  herdadas  as   questões  de  segurança  da   informação  e  o  risco   7  
  • 8. SEGURANÇA   Oportunidades  de  Segurança   8  
  • 9. Considerações  de  Segurança       –   Computação  em  Nuvem  não  é  mais  ou  menos  segura   –   Os  controles  de  segurança  para  Computação  em  Nuvem   não  são  diferentes  dos  controles  de  segurança  para   qualquer  ambiente  de  TI.     9  
  • 10. Segurança  da  Computação  em  Nuvem   Modelo  de  Referência  de  Segurança  em  Nuvem   –   A  forma  como  os  serviços  de  nuvem  são  implantados     versus  onde  eles  são  fornecidos   –   A  maneira  como  os  serviços  de  nuvem  são  consumidos   –   Reperimetrização  e  erosão  de  fronteiras  de  confiança     –   Cloud  Cube  Model   •   ofertas  de  nuvem  disponíveis     •   quatro  critérios/dimensões   10  
  • 11. Segurança  da  Computação  em  Nuvem   Mapeando  o  Modelo  de  Nuvem  para  o  Modelo  de   Controles  de  Segurança  &  Conformidade   11  
  • 12. Segurança  da  Computação  em  Nuvem     Cliente   Infrastructure  as  a  Service  (IaaS)   S     E   G     U   Pladorm  as  a  Service  (PaaS)   R   A     N     Ç   A   Soeware  as  a  Service  (SaaS)     Provedor   12  
  • 13. RISCOS   Riscos  na  adoção  da  Computação  em  Nuvem   13  
  • 14. Riscos  de  Segurança       –   Computação  em  Nuvem  cria  novos  riscos  e  novas   oportunidades   –   Oportunidade  de  reestruturar  aplicações  anMgas   14  
  • 15. Análise  de  Riscos       –   IdenMficar  o  aMvo  para  implantação  na  nuvem   –   Avaliar  o  aMvo   –   Mapear  o  aMvo  com  modelo  de  implantação   –   Avaliar  potenciais  modelos  de  serviços   –   Esboçar  o  potencial  fluxo  de  dados   15  
  • 16. Riscos  de  Computação  em  Nuvem   Security  Guidance  for  CriMcal  Areas  of  Focus  in  Cloud   CompuMng  v.  2.1   –   Referência  para  análise  dos  riscos          hip://www.cloudsecurityalliance.org/guidance/csaguide.pdf     Top  Threats  to  Cloud  CompuMng  V1.0   –   Sete  principais  riscos            hip://www.cloudsecurityalliance.org/topthreats.html     16  
  • 17. Security  Guidance     13  Domínios     03  Macro  Seções:     –   Arquitetura   –   Governança   –   Operações   17  
  • 18. Security  Guidance:   Governança  e  Gestão  de  Riscos  Corpora@vos     –   Seção:  Governança   –   Compreende  na  capacidade  de  uma  organização  para   governar  e  medir  o  risco  empresarial  introduzido  pela   Computação  em  Nuvem   –   Responsabilidade  para  proteger  dados  sensíveis  no  caso   de  provedor  e  usuário  falhar   –   Como  essas  questões  são  afetadas  por  fronteiras   internacionais   18  
  • 19. Security  Guidance:   Aspectos  Legais  e  Electronic  Discovery     –   Seção:  Governança   –   Compreende  nos  problemas  legais  em  potencial  ao  se   uMlizar  Computação  em  Nuvem   –   Requisitos  de  proteção  da  informação   –   Requisitos  regulatórios   –   Leis  internacionais   19  
  • 20. Security  Guidance:   Conformidade  e  Auditoria     –   Seção:  Governança   –   Compreende  na  manutenção  e  comprovação  de   conformidade  ao  se  fazer  uso  da  Computação  em  Nuvem   –   Como  a  Computação  em  Nuvem  afeta  o  cumprimento   de  políMcas  de  segurança  interna  e  diversos  requisitos  de   conformidade  (regulatórios,  legislaMvos,  entre  outros)   –   Orientações  para  comprovar  a  conformidade  no  caso  de   auditoria   20  
  • 21. Security  Guidance:   Gerenciamento  do  Ciclo  de  Vida  das  Informações     –   Seção:  Governança   –   Compreende  no  gereciamento  dos  dados  que  são   colocados  na  Nuvem   –   Controles  compensatórios  para  lidar  com  a  perda  de   controle  lsico   –   Responsável  pela  confidencialidade,  integridade  e   disponibilidade   21  
  • 22. Security  Guidance:   Portabilidade  e  Interoperabilidade     –   Seção:  Governança   –   Compreende  na  habilidade  de  mover  dados  e/ou   serviços  de  um  provedor  para  outro  ou  totalmente  de   volta  para  a  empresa   –   Interoperabilidade  entre  fornecedores   22  
  • 23. Security  Guidance:   Segurança  Tradicional,  Cont.  de  Negócios  e  Rec.  Desastres     –   Seção:  Operações   –   Descreve  como  a  Computação  em  Nuvem  afeta  os   processos  e  procedimentos  operacionais  usados   atualmente  em  BCP  e  DRP   –   Aborda  sobre  como  ajudar  a  idenMficar  onde  a   Computação  em  Nuvem  pode  ajudar  a  diminuir  certos   riscos,  ou  implica  em  aumento  dos  riscos   23  
  • 24. Security  Guidance:   Operações  e  Data  Center     –   Seção:  Operações   –   Descreve  como  avaliar  a  arquitetura  e  a  operação  de  um   fornecedor  de  Data  Center   –   Focado  principalmente  em  ajudar  a  idenMficar   caracterísMcas  de  data  centers  que  podem  ser  prejudiciais   e  as  fundamentais  para  estabilidade  a  longo  prazo   24  
  • 25. Security  Guidance:   Resposta  a  Incidente,  No@ficação  e  Remediação     –   Seção:  Operações   –   Aborda  a  correta  e  adequada  detecção  de  incidentes,   resposta,  noMficação  e  correção   –   Aborda  itens  tanto  no  nível  de  prestadores  de  serviços  e   consumidores   –   Forense  computacional   –   Ajudar  a  compreender  as  diferenças  na  abordagem  do   sistema  de  gestão  de  incidentes  atual   25  
  • 26. Security  Guidance:   Segurança  de  Aplicações     –   Seção:  Operações   –   Descreve  modos  de  proteger  a  aplicação  que  está  sendo   executada  ou  desenvolvida  na  nuvem   –   É  apropriado  migrar  ou  projetar  uma  aplicação  na   nuvem?   –   Qual  melhor  modelo  (SaaS,  PaaS  ou  IaaS)  ?   26  
  • 27. Security  Guidance:   Criptografia  e  Gerenciamento  de  Chaves     –   Seção:  Operações   –   DiscuMr  por  que  é  necessário   –   IdenMficar  questões  que  surgem  com  a  uMlização,  seja   para  proteger  o  acesso  aos  recursos  ou  para  proteger  os   dados   27  
  • 28. Security  Guidance:   Gerenciamento  de  Iden@dade  e  Acesso     –   Seção:  Operações   –   Foco  em  questões  encontradas  quando  se  estende  a   idenMdade  de  uma  organização  para  Nuvem   –   Fornece  insights  para  avaliar  a  capacidade  da   organização  para  realizar  a  gestão  de  idenMdade  e  acesso   baseados  na  Nuvem   28  
  • 29. Security  Guidance:   Virtualização     –   Seção:  Operações   –   Descreve  o  uso  da  Virtualização  em  Computação  em   Nuvem   –   Aborda  riscos  associados  com  mulMlocação   –   Isolamento  de  VMs   –   Vulnerabilidades  em  Hypervisor   –   Foca  nas  questões  de  segurança  em  torno  do  sistema/ hardware  de  virtualização   29  
  • 30. PRINCIPAIS  AMEAÇAS   Sete  principais  ameaças  na  adoção  da  Computação  em  Nuvem   30  
  • 31. Principais  Riscos  Para  Computação  em   Nuvem   Abuso  e  uso  Malicioso  de  Computação  em  Nuvem   – Qualquer  pessoa  com  um  cartão  de  crédito  válido  pode   se  registrar  e  usar  os  serviços  em  nuvem   •   Spammers,  autores  de  códigos  maliciosos  e  criminosos   •   Uso  anônimo  e  impune   –   Usos  maliciosos   •   Quebra  de  senhas   •   Realizar  ataques  (ex:  DDoS)   •   Hospedar  dados  maliciosos   CSA  Guidance:   •   Controle  de  botnets   Domínios  8  e  9   IaaS   PaaS   SaaS   31  
  • 32. Principais  Riscos  Para  Computação  em   Nuvem   Interfaces  e  APIs  Inseguras   – Segurança  e  disponibilidade  dos  serviços  na  nuvem  são   dependentes  das  interfaces  e  APIs  de  gerenciamento   –   Falhas  acidentais  ou  mal  intencionadas   –   Complexidade   •   Serviços  desconhecidos   –   Controle  de  acesso   •   Acessos  anônonimos   •   Senhas  e  dados  trafegados  em  aberto   CSA  Guidance:   Domínio  10   IaaS   PaaS   SaaS   32  
  • 33. Principais  Riscos  Para  Computação  em   Nuvem   Usuários  Internos  Maliciosos   –   Ameaça  amplificada   •   Convergência  de  serviços  e  usuários   •   Falta  de  transparência  do  provedor   •   Funcionários  do  provedor   •   Baixo  risco  de  detecção   –   Potenciais  ameaças   •   Concorrentes   •   Espionagem   CSA  Guidance:   •   Hackers     Domínios  2  e  7   IaaS   PaaS   SaaS   33  
  • 34. Principais  Riscos  Para  Computação  em   Nuvem   Uso  de  Tecnologias  de  ComparMlhamento   –   Forte  isolamento  em  ambientes  mulM-­‐locatários   –   Falhas  no  sistema  de  controle  (hypervisor)   •   Sistemas  virtuais  podem  ter  acesso  ao  sistema  hospedeiro   •   Falha  nos  controles  e  isolamento   –   Clientes  não  devem  ter  acesso  a  dados  de  outros   clientes   •   Dados  atuais  ou  residuais   •   Tráfego  de  rede   CSA  Guidance:     Domínios  8  e  13   IaaS   PaaS   SaaS   34  
  • 35. Principais  Riscos  Para  Computação  em   Nuvem   Perda  ou  Vazamento  de  Dados   –   Pode  ser  devastados  para  uma  empresa   –   Arquitetura  e  ambiente  da  Nuvem  aumenta  os  riscos   •   Falha  nos  controles  de  autenMcação,  autorização  e  auditoria   (AAA)   •   Falhas  operacionais   •   Persistência  e  remanescência  dos  dados   •   Jurisdição   •   Disponibilidade  do  provedor   CSA  Guidance:   Domínios  5,  11  e  12   IaaS   PaaS   SaaS   35  
  • 36. Principais  Riscos  Para  Computação  em   Nuvem   Sequestro  de  Serviço  ou  de  Conta   –   Roubo  de  credenciais   •   Phishing,  fraude  ou  exploração  de  falhas   –   Acesso  indevido  a  Nuvem   •   Acessar  dados  e  transações   •   Manipulação  dos  dados   •   Redirecionar  usuários  para  outros  sites   CSA  Guidance:   Domínios  2,  9  e  12   IaaS   PaaS   SaaS   36  
  • 37. Principais  Riscos  Para  Computação  em   Nuvem   Riscos  Desconhecidos   –   Na  Computação  em  Nuvem,  as  empresas  abrem  mão  da   gestão  do  hardware  e  do  soeware  para  focar  no  negócio   •   Segurança  por  obscuridade  e  baixo  esforço   •   Perde  controles  de  segurança   –   Detalhes  de  operação  e  compliance  do  fornecedor   •   Versão  de  soeware  e  atualização  de  código   •   Com  quem  você  comparMlha  a  infra-­‐estrutura   •   TentaMvas  de  ataque   CSA  Guidance:   •   Guarda  de  logs   Domínios  2,  3,  8  e  9   IaaS   PaaS   SaaS   37  
  • 38. CLOUD  SECURITY  ALLIANCE   Apresentação  CSA  Brasil   38  
  • 39. CSA:   Overview     –   Associação  sem  fins  lucraMvos   –   Idealizada  durante  o  ISSA  CISO  Forum  em   Novembro  de  2008   –   Oficializada  em  Dezembro  de  2008   –   Primeiro  Whitepaper  na  RSA  Conference  em  2009   –   +12mil  Membros   –   Presente  em  06  países  através  de  Chapters  locais   39  
  • 40. CSA:   Missão   To   promote   the   use   of   best   pracMces   for   providing   security   assurance   within   Cloud   CompuMng,   and   provide   educaMon   on   the   uses  of  Cloud  CompuMng  to   help   secure   all   other   forms   of  compuMng.   fonte:  sxc.hu   40  
  • 41. CSA:   Obje@vos   –    Promote   a   common   level   of   understanding   between   the   consumers   and   providers   of   cloud   compuMng   regarding   the   necessary  security  requirements  and  aiestaMon  of  assurance   –    Promote  independent  research  into  best  pracMces  for  cloud   compuMng  security   –    Launch  awareness  campaigns  and  educaMonal  programs  on   the   appropriate   uses   of   cloud   compuMng   and   cloud   security   soluMons   –    Create   consensus   lists   of   issues   and   guidance   for   cloud   security  assurance   41  
  • 42. CSA  Brasil:   Overview     –   Segundo  Chapter  oficial  da  CSA   –   Oficializado  em  27  de  Maio  de  2010   –   97  Membros   –   Board:  Leonardo  Goldim;  Anchises  Moraes,  Jaime  OrMs  y   Lugo,  Jordan  Bonagura,  Olympio  Renno   –   Segue  Missão  e  ObjeMvos  da  CSA  Global   42  
  • 43. Projetos   CCSK   –   Voltada  para  profissionais   –   Disponível  desde  01  de  Setembro   –   Realizada  online   –   US$  295,  até  31  de  Dezembro  US$  195   –   Baseada  no  Guia  de  Boas  PráMcas  da  CSA  e  nos  estudos   da  Enisa  sobre  gestão  de  riscos  na  Nuvem   –   CCSK  Study  Guide   –   Relacionada  a  versão  do  Guia,  não  expira   –   4  profissionais  no  Brasil   43  
  • 44. Como  se  Associar   CSA  /  CSA  Brasil   Pessoa  Física   –   ParMcipação  no  grupo  do  LinkedIN   –   ParMcipação  nas  listas  de  discussões  dos  projetos   (csabrasil  –  Yahoo  Grupos)   –   Sem  custo   Pessoa  Jurídica   –   Contato  diretamente  com  a  CSA   –   Taxa  anual   44  
  • 45. Referências   •  NIST  Cloud  CompuMng  Project    hUp://csrc.nist.gov/groups/SNS/cloud-­‐compu@ng/index.html   •  Relatório  da  ENISA     “Cloud  CompuMng:  Benefits,  risks     and  recommendaMons  for  informaMon  security”   hUp://www.enisa.europa.eu/act/rm/files/deliverables/cloud-­‐ compu@ng-­‐risk-­‐assessment   45   45  
  • 46. Referências   •  “CSA  Cloud  Controls  Matrix  V1”   –  Lançado  em  27  de  Abril  27,  2010   –  hip://www.cloudsecurityalliance.org/cm.html     46   46  
  • 47. Obrigado   Anchises  M.  G.  de  Paula   Membro  da  CSA  Brasil   anchisesbr@gmail.com   hip://br.cloudsecurityalliance.org   hip://www.cloudsecurityalliance.org   47