SlideShare uma empresa Scribd logo
1 de 45
Baixar para ler offline
Computação	
  em	
  Nuvem	
  
             Entendendo	
  os	
  Riscos	
  no	
  Horizonte	
  




Anchises	
  M.	
  G.	
  De	
  Paula	
  
Diretor,	
  CSA	
  Brasil	
  
Analista	
  de	
  Inteligência,	
  Verisign	
  

                                                            1	
  
Agenda	
  



– 	
  Porque	
  segurança	
  em	
  Computação	
  em	
  Nuvem?	
  
– 	
  Principais	
  Riscos	
  
– 	
  Principais	
  ameaças	
  




                                                       2	
  
CLOUD	
  COMPUTING	
  SECURITY	
  
	
  Porque	
  segurança	
  em	
  Computação	
  em	
  Nuvem?	
  




                                                                  3	
  
Computação	
  em	
  Nuvem	
  
Computação	
  em	
  nuvem	
  é	
  um	
  conceito	
  em	
  evolução	
  	
  
       – 	
  Preocupação	
  com	
  segurança	
  crescendo	
  	
  
       – 	
  Necessidades	
  e	
  incidentes	
  específicos.	
  
	
  




                                                                    fonte:	
  infosuck.org	
  
                                                                      4	
  
Cloud	
  Compu3ng	
  é	
  seguro?	
  

•  Depende...	
  

•  Seguro	
  	
  
   comparado	
  com	
  	
  
   o	
  que?	
  
    –  Precisamos	
  de	
  
       um	
  contexto	
  




                                                  fonte:	
  sxc.hu	
  
                                          5	
  
Considerações	
  de	
  Segurança	
  
       	
  
       – 	
  Computação	
  em	
  Nuvem	
  
       não	
  é	
  mais	
  ou	
  menos	
  segura	
  

       – 	
  Os	
  controles	
  de	
  segurança	
  
       para	
  Computação	
  em	
  Nuvem	
  
       não	
  são	
  diferentes	
  dos	
  
       controles	
  de	
  segurança	
  para	
  
       qualquer	
  ambiente	
  de	
  TI.	
  	
  
	
  
                                                               fonte:	
  sxc.hu	
  

                                                       6	
  
Computação	
  em	
  Nuvem	
  

Modelo	
  de	
  Referência	
  
   – 	
  Relações	
  e	
  dependências	
  entre	
  
   os	
  modelos	
  de	
  Computação	
  em	
  
   Nuvem	
  	
  

   – 	
  CaracterísXcas	
  são	
  herdadas	
  

   – 	
  Também	
  são	
  herdadas	
  as	
  
   questões	
  de	
  segurança	
  da	
  
   informação	
  e	
  o	
  risco	
  




                                                              fonte:	
  CSA	
  
                                                      7	
  
Segurança	
  da	
  Computação	
  em	
  Nuvem	
  

           Provedor	
  

                S	
  
                E	
  
                G	
  
                U	
  
                R	
  
                A	
  
                N	
  
                Ç	
  
                A	
  




                                                   fonte:	
  CSA	
  
            Cliente	
  

                                         8	
  
Como	
  integrar	
  a	
  segurança	
  




                                  fonte:	
  CSA	
  

                                        9	
  
Estratégia	
  para	
  Análise	
  de	
  Riscos	
  

•  IdenXficar	
  o	
  aXvo	
  para	
  
   implantação	
  na	
  nuvem	
  
•  Entender	
  as	
  
   necessidades	
  e	
  os	
  riscos	
  
•  Mapear	
  o	
  aXvo	
  com	
  o	
  
   modelo	
  de	
  implantação	
  
•  Avaliar	
  os	
  modelos	
  de	
  
   serviços	
  e	
  fornecedores	
  
•  Selecionar	
  estratégias	
  
   de	
  miXgação	
  
                                                    fonte:	
  sxc.hu	
  



                                           10	
  
Segurança	
  da	
  Computação	
  em	
  Nuvem	
  
 Mapear	
  o	
  Modelo	
  de	
  Nuvem	
  para	
  o	
  Modelo	
  de	
  
 Controles	
  de	
  Segurança	
  &	
  Conformidade	
  




                                                            fonte:	
  CSA	
  
                                                                       11	
  
NOVOS	
  RISCOS	
  
Riscos	
  na	
  adoção	
  da	
  Computação	
  em	
  Nuvem	
  




                                                                12	
  
Riscos	
  de	
  Cloud	
  Compu3ng	
  

                                               2/22/10	
  
                                               El	
  68%	
  de	
  los	
  CIO	
  europeos	
  
                                               considera	
  la	
  seguridad	
  como	
  el	
  
•  Computação	
  em	
  Nuvem	
                 principal	
  inconveniente	
  del	
  
   cria	
  novos	
  riscos	
  e	
  novas	
     cloud	
  compuEng	
  
                                               by	
  Segu.info	
  
   oportunidades	
                             Según	
  un	
  informe	
  de	
  Colt	
  entre	
  
                                               responsables	
  de	
  TI	
  de	
  13	
  países	
  
                                               europeos,	
  el	
  68%	
  de	
  los	
  encuestados	
  
                                               cree	
  que	
  la	
  seguridad	
  es	
  la	
  principal	
  
                                               barrera	
  para	
  la	
  adopción	
  de	
  servicios	
  
                                               cloud	
  compuEng,	
  cifra	
  que	
  en	
  	
  
                                               España	
  alcanza	
  el	
  79%.	
  




                                                                                           13	
  
Riscos	
  de	
  Cloud	
  Compu3ng	
  
•  Cloud	
  CompuXng	
  herda	
  
   vários	
  riscos	
  associados	
  
   às	
  tecnologias	
  que	
  uXliza	
  
•  Conjunto	
  específico	
  de	
  
   atributos	
  que	
  tornam	
  a	
  
   análise	
  de	
  riscos	
  mais	
  
   complexa	
  
    –  Novos	
  paradigmas	
  
    –  Detalhes	
  obscuros	
  do	
  CSP	
  


                                               14	
  
Principais	
  Riscos	
  na	
  Nuvem	
  
         “Guia	
  de	
  Segurança	
  para	
  Áreas	
  CríXcas	
  Focado	
  em	
  	
  
         	
  	
  Computação	
  em	
  Nuvem	
  V2.1”	
  
                                                                                                                 Seção	
  I.	
  	
  
         •    Domínio	
  1:	
  Framework	
  da	
  Arquitetura	
  de	
  Computação	
  em	
  Nuvem	
               Arquitetura	
  	
  
         •    Domínio	
  2:	
  Governança	
  e	
  Gestão	
  de	
  Risco	
  CorporaXvo	
                          da	
  Nuvem	
  	
  
         •    Domínio	
  3:	
  Aspectos	
  Legais	
  e	
  Electronic	
  Discovery	
                 Seção	
  II.	
  	
  
         •    Domínio	
  4:	
  Conformidade	
  e	
  Auditoria	
                                     Governança	
  na	
  	
  
         •    Domínio	
  5:	
  Gerenciamento	
  do	
  Ciclo	
  de	
  Vida	
  das	
  Informações	
   Nuvem	
  
         •    Domínio	
  6:	
  Portabilidade	
  e	
  Interoperabilidade	
  
         •    Domínio	
  7:	
  Segurança	
  Tradicional,	
  ConXnuidade	
  	
  
              de	
  Negócios	
  e	
  Recuperação	
  de	
  Desastres	
  
         •    Domínio	
  8:	
  Operações	
  e	
  Data	
  center	
  	
  
         •    Domínio	
  9:	
  Resposta	
  a	
  Incidente,	
  NoXficação	
  e	
  Remediação	
        Seção	
  III.	
  	
  
         •    Domínio	
  10:	
  Segurança	
  de	
  Aplicações	
                                     Operando	
  na	
  	
  
         •    Domínio	
  11:	
  Criptografia	
  e	
  Gerenciamento	
  de	
  Chaves	
                 Nuvem	
  
         •    Domínio	
  12:	
  Gerenciamento	
  de	
  IdenXdade	
  e	
  Acesso	
  
         •    Domínio	
  13	
  -­‐	
  Virtualização	
  

15	
                                                                                                    15	
  
Governança	
  e	
  Gestão	
  de	
  Riscos	
  
             Corpora3vos	
  
•    Como	
  governar	
  e	
  medir	
        Novos	
  riscos?	
  
     o	
  risco	
  introduzido	
  pela	
  
     Computação	
  em	
  Nuvem	
             	
  
•    Responsabilidade	
  para	
              Alguns	
  provedores	
  restringem	
  
     proteger	
  dados	
                     avaliações	
  de	
  vulnerabilidades	
  
     sensíveis	
  caso	
  o	
                ou	
  testes	
  de	
  invasão	
  
     provedor	
  ou	
  usuário	
             	
  
     falharem	
  
                                             Disponibilidade	
  limitada	
  dos	
  
•    Como	
  essas	
  questões	
  
                                             logs	
  de	
  auditoria	
  e	
  do	
  
     são	
  afetadas	
  por	
  
     fronteiras	
  internacionais	
          monitoramento	
  de	
  aXvidades.	
  



                                                                        16	
  
Aspectos	
  Legais	
  e	
  Electronic	
  Discovery	
  

 •  Problemas	
  legais	
  em	
     Novos	
  riscos?	
  
    potencial	
  ao	
  se	
         	
  
    uXlizar	
  Computação	
         Onde	
  o	
  provedor	
  de	
  serviços	
  
    em	
  Nuvem	
                   de	
  nuvem	
  irá	
  hospedar	
  os	
  
 •  Requisitos	
  de	
              dados?	
  
    proteção	
  da	
                	
  
    informação	
                    •  Conformidade	
  com	
  leis	
  
                                         locais	
  	
  
 •  Requisitos	
                    •  Ex:	
  Restrição	
  do	
  fluxo	
  de	
  
    regulatórios	
                       dados	
  além	
  das	
  fronteiras,	
  
 •  Leis	
  internacionais	
             leis	
  sobre	
  privacidade,	
  etc	
  


                                                                    17	
  
Conformidade	
  e	
  Auditoria	
  

•  Manutenção	
  e	
                      Novos	
  riscos?	
  
   comprovação	
  de	
  
   conformidade	
  ao	
  usar	
           	
  
   a	
  Computação	
  em	
                Direito	
  de	
  Auditar	
  
   Nuvem	
                                	
  
•  Como	
  a	
  Computação	
  
   em	
  Nuvem	
  afeta	
  o	
            Processos	
  para	
  coletar	
  e	
  
   cumprimento	
  de	
                    armazenar	
  evidências	
  de	
  
   políXcas	
  de	
  segurança	
          conformidade	
  
   interna	
  e	
  requisitos	
  de	
  
   conformidade	
  
•  Como	
  comprovar	
  a	
  
   conformidade	
  

                                                                         18	
  
Gerenciamento	
  do	
  Ciclo	
  de	
  Vida	
  das	
  
             Informações	
  
•  Gerenciamento	
  dos	
                 Novos	
  riscos?	
        Acesso	
  	
  
                                                                 intra-­‐nuvem	
  
   dados	
  colocados	
  na	
             	
  
   Nuvem	
  
                                          	
  
•  Confidencialidade,	
  
   integridade	
  e	
  
   disponibilidade	
  
•  Controles	
  
   compensatórios	
  para	
  
   lidar	
  com	
  a	
  perda	
  de	
  
                                             MúlEplas	
  
   controle	
  lsico	
                    transferências	
  
                                             de	
  dados	
        Término	
  
                                                                   fonte:	
  CSA	
  
                                                                 dos	
  serviços	
  
                                                                   19	
  
Portabilidade	
  e	
  Interoperabilidade	
  

•  Habilidade	
  de	
  mover	
        Novos	
  riscos?	
  
   dados	
  e/ou	
  serviços	
        	
  
   de	
  um	
  provedor	
  para	
     “Lock-­‐in”	
  
   outro	
  ou	
  totalmente	
        Falta	
  de	
  padrões	
  de	
  
   de	
  volta	
  para	
  a	
         interoperabilidade	
  	
  
   empresa	
                          Ambientes	
  proprietários	
  
•  Interoperabilidade	
  
                                                          A	
  
   entre	
  fornecedores	
  

                                                  B	
  


                                                                  20	
  
Segurança	
  Tradicional,	
  Cont.	
  de	
  
Negócios	
  e	
  Recuperação	
  de	
  Desastres	
  
 •  Como	
  a	
  Computação	
  em	
           Novos	
  riscos?	
  
    Nuvem	
  afeta	
  os	
  
    processos	
  e	
  
                                              	
  
    procedimentos	
                           Ritmo	
  acelerado	
  de	
  mudanças	
  
    operacionais	
  de	
                      Falta	
  de	
  transparência	
  	
  
    segurança,	
  BCP	
  e	
  DRP	
           Controle	
  e	
  monitoração	
  
 •  A	
  Computação	
  em	
                   cononua	
  dos	
  provedores	
  de	
  
    Nuvem	
  pode	
  ajudar	
  a	
            nuvem	
  
    diminuir	
  certos	
  riscos,	
  ou	
     •  Ciclos	
  mais	
  frequentes	
  de	
  
    implica	
  em	
  aumento	
  dos	
            monitoração	
  e	
  auditoria	
  
    riscos	
  


                                                                          21	
  
Operações	
  e	
  Data	
  Center	
  

•  Como	
  avaliar	
  a	
             Novos	
  riscos?	
  
   arquitetura	
  e	
  a	
  
   operação	
  de	
  um	
             	
  
   fornecedor	
  de	
  Data	
         Capacidades	
  reais	
  dos	
  
   Center	
                           provedores	
  
•  CaracterísXcas	
  de	
             	
  
                                           Mar.	
  13,	
  2010	
  
   Data	
  Centers	
  que	
  
   podem	
  ser	
  prejudiciais	
  
                                      	
   Amazon	
  cloud	
  outage	
  was	
  
                                       triggered	
  by	
  configuraEon	
  error	
  
   e	
  as	
  fundamentais	
           By	
  Computerworld	
  
                                       Amazon	
  has	
  released	
  a	
  detailed	
  postmortem	
  
   para	
  estabilidade	
  a	
         and	
  mea	
  culpa	
  about	
  the	
  parEal	
  outage	
  of	
  its	
  
   longo	
  prazo	
                    cloud	
  services	
  pla_orm	
  last	
  week	
  and	
  
                                       idenEfied	
  the	
  culprit:	
  A	
  configuraEon	
  error	
  
                                       made	
  during	
  a	
  network	
  upgrade.	
  	
  


                                                                                             22	
  
Resposta	
  a	
  Incidente,	
  No3ficação	
  e	
  
                Remediação	
  
•  Detecção	
  de	
               Novos	
  riscos?	
  
   incidentes,	
  resposta,	
     	
  
   noXficação	
  e	
               Dependência	
  do	
  CSP	
  para	
  
   correção	
                     resposta	
  a	
  incidentes	
  e	
  
•  Aborda	
  prestadores	
        invesXgação	
  
   de	
  serviços	
  e	
          •  MúlXplos	
  clientes,	
  logs	
  
                                       agregados	
  
   consumidores	
  
                                  	
  
•  Forense	
  
                                  Forense	
  na	
  “nuvem”?	
  
   computacional	
  
                                  	
  

                                                               23	
  
Segurança	
  de	
  Aplicações	
  

•  Modos	
  de	
  proteger	
  a	
           Novos	
  riscos?	
  
   aplicação	
  sendo	
                     	
  
   executada	
  ou	
  
   desenvolvida	
  na	
                     Nova	
  Arquitetura	
  de	
  
   nuvem	
                                  Segurança	
  da	
  Aplicação	
  
•  É	
  apropriado	
  migrar	
              	
  
   ou	
  projetar	
  uma	
                  Dependências	
  
   aplicação	
  na	
  nuvem?	
  
                                            	
  
•  Qual	
  melhor	
  modelo	
  
   (SaaS,	
  PaaS	
  ou	
  IaaS)	
  ?	
     Comunicação	
  inter-­‐hosts	
  	
  


                                                                     24	
  
Criptografia	
  e	
  Gerenciamento	
  de	
  
                  Chaves	
  
•  DiscuXr	
  por	
  que	
                 Novos	
  riscos?	
  
   criptografia	
  é	
                 	
  
   necessária	
                       Comunicação	
  inter-­‐hosts	
  
                                      Dados	
  em	
  repouso	
  
•  Proteger	
  o	
  acesso	
  aos	
   •  Em	
  disco	
  ou	
  em	
  banco	
  de	
  
                                           dados	
  de	
  produção	
  
   recursos	
  ou	
  proteger	
  
                                      Dados	
  em	
  backup	
  	
  
   os	
  dados	
  




                                                                        25	
  
Gerenciamento	
  de	
  Iden3dade	
  e	
  Acesso	
  

 •  Foco	
  em	
  riscos	
              Novos	
  riscos?	
  
    quando	
  se	
  estende	
  a	
      	
  
    idenXdade	
  de	
  uma	
            Gerenciamento	
  de	
  IdenXdade	
  
    organização	
  para	
               e	
  Acesso	
  
    Nuvem	
                             •  Como	
  estender	
  os	
  
                                              processos	
  e	
  práXcas	
  aos	
  
 •  Avaliar	
  a	
  capacidade	
  
                                              serviços	
  de	
  nuvem	
  
    da	
  organização	
  para	
  
                                        •  Controlar	
  e	
  auditar	
  o	
  acesso	
  
    realizar	
  a	
  gestão	
  de	
           ao	
  serviço	
  de	
  nuvem	
  
    idenXdade	
  e	
  acesso	
          •  AutenXcação	
  forte	
  
    baseados	
  na	
  Nuvem	
  
                                                                       26	
  
Virtualização	
  
•  Questões	
  de	
                Novos	
  riscos?	
  
   segurança	
  em	
  torno	
  
   do	
  sistema/hardware	
        	
  
   de	
  virtualização	
  em	
     Comunicação	
  entre	
  hardware,	
  
   Computação	
  em	
              e	
  não	
  através	
  de	
  rede	
  
   Nuvem	
  
                                   	
  
•  Aborda	
  riscos	
  
   associados	
  com	
             ComparXmentalização	
  e	
  
   mulXlocação	
                   elevação	
  do	
  nível	
  de	
  segurança	
  
•  Isolamento	
  de	
  VMs	
       em	
  sistemas	
  virtuais	
  
•  Vulnerabilidades	
  em	
        	
  
   Hypervisor	
                    Centralização	
  dos	
  dados	
  

                                                                 27	
  
PRINCIPAIS	
  AMEAÇAS	
  
Sete	
  principais	
  ameaças	
  na	
  adoção	
  da	
  Computação	
  em	
  Nuvem	
  




                                                                                       28	
  
Principais	
  Riscos	
  Para	
  Computação	
  em	
  
                   Nuvem	
  
 1-­‐	
  Abuso	
  e	
  uso	
  Malicioso	
  de	
  Computação	
  em	
  Nuvem	
  
    – 	
  Qualquer	
  pessoa	
  com	
  um	
  cartão	
  de	
  crédito	
  válido	
  pode	
  
    se	
  registrar	
  e	
  usar	
  os	
  serviços	
  em	
  nuvem	
  
         • 	
  Spammers,	
  autores	
  de	
  códigos	
  maliciosos	
  e	
  criminosos	
  
         • 	
  Uso	
  anônimo	
  e	
  impune	
  
    – 	
  Usos	
  maliciosos	
  
         • 	
  Quebra	
  de	
  senhas	
  
         • 	
  Realizar	
  ataques	
  (ex:	
  DDoS)	
  
         • 	
  Hospedar	
  dados	
  maliciosos	
                             CSA	
  Guidance:	
  
         • 	
  Controle	
  de	
  botnets	
                                   Domínios	
  8	
  e	
  9	
  

                                                                              IaaS	
   PaaS	
   SaaS	
  

                                                                                         29	
  
Principais	
  Riscos	
  Para	
  Computação	
  em	
  
                   Nuvem	
  
 2-­‐	
  Interfaces	
  e	
  APIs	
  Inseguras	
  
     – 	
  Segurança	
  e	
  disponibilidade	
  dos	
  serviços	
  na	
  nuvem	
  são	
  
     dependentes	
  das	
  interfaces	
  e	
  APIs	
  de	
  gerenciamento	
  
     – 	
  Falhas	
  acidentais	
  ou	
  mal	
  intencionadas	
  
     – 	
  Complexidade	
  
          • 	
  Serviços	
  desconhecidos	
  
     – 	
  Controle	
  de	
  acesso	
  
          • 	
  Acessos	
  anônonimos	
  
          • 	
  Senhas	
  e	
  dados	
  trafegados	
  em	
  aberto	
     CSA	
  Guidance:	
  
                                                                         Domínio	
  10	
  
                                                                         IaaS	
   PaaS	
   SaaS	
  

                                                                                  30	
  
Principais	
  Riscos	
  Para	
  Computação	
  em	
  
                   Nuvem	
  
 3-­‐	
  Usuários	
  Internos	
  Maliciosos	
  
    – 	
  Ameaça	
  amplificada	
  
        • 	
  Convergência	
  de	
  serviços	
  e	
  usuários	
  
        • 	
  Falta	
  de	
  transparência	
  do	
  provedor	
  
        • 	
  Funcionários	
  do	
  provedor	
  
        • 	
  Baixo	
  risco	
  de	
  detecção	
  
    – 	
  Potenciais	
  ameaças	
  
        • 	
  Concorrentes	
  
        • 	
  Espionagem	
  
                                                                    CSA	
  Guidance:	
  
        • 	
  Hackers	
  	
                                         Domínios	
  2	
  e	
  7	
  
                                                                    IaaS	
   PaaS	
   SaaS	
  

                                                                                31	
  
Principais	
  Riscos	
  Para	
  Computação	
  em	
  
                   Nuvem	
  
 4-­‐	
  Uso	
  de	
  Tecnologias	
  de	
  ComparXlhamento	
  
    – 	
  Forte	
  isolamento	
  em	
  ambientes	
  mulX-­‐locatários	
  
    – 	
  Falhas	
  no	
  sistema	
  de	
  controle	
  (hypervisor)	
  
           • 	
  Sistemas	
  virtuais	
  podem	
  ter	
  acesso	
  ao	
  sistema	
  hospedeiro	
  
           • 	
  Falha	
  nos	
  controles	
  e	
  isolamento	
  
    – 	
  Clientes	
  não	
  devem	
  ter	
  acesso	
  a	
  dados	
  de	
  outros	
  
    clientes	
  
           • 	
  Dados	
  atuais	
  ou	
  residuais	
  
           • 	
  Tráfego	
  de	
  rede	
                                         CSA	
  Guidance:	
  
    	
                                                                           Domínios	
  8	
  e	
  13	
  
                                                                                  IaaS	
   PaaS	
   SaaS	
  

                                                                                            32	
  
Principais	
  Riscos	
  Para	
  Computação	
  em	
  
                   Nuvem	
  
 5-­‐	
  Perda	
  ou	
  Vazamento	
  de	
  Dados	
  
    – 	
  Pode	
  ser	
  devastador	
  para	
  uma	
  empresa	
  
    – 	
  Arquitetura	
  e	
  ambiente	
  da	
  Nuvem	
  aumentam	
  os	
  riscos	
  
         • 	
  Falha	
  nos	
  controles	
  de	
  autenXcação,	
  autorização	
  e	
  auditoria	
  
         (AAA)	
  
         • 	
  Falhas	
  operacionais	
  
         • 	
  Persistência	
  e	
  remanescência	
  dos	
  dados	
  
         • 	
  Jurisdição	
  
         • 	
  Disponibilidade	
  do	
  provedor	
  
                                                                               CSA	
  Guidance:	
  
                                                                               Domínios	
  5,	
  11	
  e	
  12	
  
                                                                                IaaS	
   PaaS	
   SaaS	
  

                                                                                           33	
  
Principais	
  Riscos	
  Para	
  Computação	
  em	
  
                   Nuvem	
  
 6-­‐	
  Sequestro	
  de	
  Serviço	
  ou	
  de	
  Conta	
  
     – 	
  Roubo	
  de	
  credenciais	
  
         • 	
  Phishing,	
  fraude	
  ou	
  exploração	
  de	
  falhas	
  
     – 	
  Acesso	
  indevido	
  a	
  Nuvem	
  
         • 	
  Acessar	
  dados	
  e	
  transações	
  
         • 	
  Manipulação	
  dos	
  dados	
  
         • 	
  Redirecionar	
  usuários	
  para	
  outros	
  sites	
  


                                                                             CSA	
  Guidance:	
  
                                                                             Domínios	
  2,	
  9	
  e	
  12	
  
                                                                             IaaS	
   PaaS	
   SaaS	
  

                                                                                         34	
  
Principais	
  Riscos	
  Para	
  Computação	
  em	
  
                   Nuvem	
  
 7-­‐	
  Riscos	
  Desconhecidos	
  
    – 	
  Na	
  Computação	
  em	
  Nuvem,	
  as	
  empresas	
  abrem	
  mão	
  da	
  
    gestão	
  do	
  hardware	
  e	
  do	
  soxware	
  para	
  focar	
  no	
  negócio	
  
        • 	
  Segurança	
  por	
  obscuridade	
  e	
  baixo	
  esforço	
  
        • 	
  Perde	
  controles	
  de	
  segurança	
  
    – 	
  Detalhes	
  de	
  operação	
  e	
  compliance	
  do	
  fornecedor	
  
        • 	
  Versão	
  de	
  soxware	
  e	
  atualização	
  de	
  código	
  
        • 	
  Com	
  quem	
  você	
  comparXlha	
  a	
  infra-­‐estrutura	
  
        • 	
  TentaXvas	
  de	
  ataque	
  
                                                                              CSA	
  Guidance:	
  
        • 	
  Guarda	
  de	
  logs	
                                          Domínios	
  2,	
  3,	
  8	
  e	
  9	
  
                                                                                       IaaS	
   PaaS	
   SaaS	
  

                                                                                                 35	
  
CONCLUSÕES	
  



                 36	
  
Segurança	
  de	
  Cloud	
  Compu3ng	
  


•  Análise	
  de	
  riscos	
  é	
  
   fundamental	
  

•  Segurança	
  na	
  “nuvem”	
  
   não	
  é	
  muito	
  diferente	
  
   das	
  necessidades	
  
   “pré-­‐nuvem”	
  

                                                 fonte:	
  sxc.hu	
  


                                        37	
  
Previsão	
  do	
  Tempo	
  

•  Muitas	
  nuvens	
  a	
  frente	
  
	
  
•  Sujeito	
  a	
  chuvas	
  e	
  
     trovoadas	
  esporádicas	
  

•  Tenha	
  sempre	
  um	
  
   guarda-­‐chuva	
  guardado	
  	
  


                                                fonte:	
  Wikimedia	
  Commons	
  


                                                   38	
  
Referências	
  

         •  NIST	
  Cloud	
  CompuXng	
  Project	
  
           	
  hPp://csrc.nist.gov/groups/SNS/cloud-­‐compu3ng/index.html	
  



         •  “Cloud	
  CompuXng:	
  Benefits,	
  risks	
  	
  
            and	
  recommendaXons	
  for	
  informaXon	
  security”	
  
             hPp://www.enisa.europa.eu/act/rm/files/deliverables/cloud-­‐
                                compu3ng-­‐risk-­‐assessment	
  



39	
                                                               39	
  
Referências	
  

Security	
  Guidance	
  for	
  CriXcal	
  Areas	
  of	
  Focus	
  	
  
in	
  Cloud	
  CompuXng	
  v.	
  2.1	
  
       – 	
  Referência	
  para	
  análise	
  dos	
  riscos	
  
       	
  	
  	
  	
  hzp://www.cloudsecurityalliance.org/guidance/csaguide.pdf	
  
	
  
Top	
  Threats	
  to	
  Cloud	
  CompuXng	
  V1.0	
  
       – 	
  Sete	
  principais	
  riscos	
  	
  
       	
  	
  	
  	
  hzp://www.cloudsecurityalliance.org/topthreats.html	
  
	
  



                                                                             40	
  
Referências	
  

         •  “CSA	
  Cloud	
  Controls	
  Matrix	
  V1”	
  
              –  Lançado	
  em	
  27	
  de	
  Abril	
  27,	
  2010	
  
              –  hzp://www.cloudsecurityalliance.org/cm.html	
  	
  




41	
                                                                     41	
  
Obrigado	
  

                  	
  
                  	
  
                  	
  
     Anchises	
  M.	
  G.	
  de	
  Paula	
  
           Membro	
  da	
  CSA	
  Brasil	
  
           anchisesbr@gmail.com	
  
           twizer.com/anchisesbr	
  
              twizer.com/csabr	
  
hzps://chapters.cloudsecurityalliance.org/brazil	
  
    hzp://www.cloudsecurityalliance.org	
  

                                                       42	
  
Sobre	
  a	
  Cloud	
  Security	
  Alliance	
  

       	
  
– 	
  Associação	
  sem	
  fins	
  lucraXvos	
  
– 	
  Oficializada	
  em	
  Dezembro	
  de	
  2008	
  
– 	
  +12mil	
  Membros	
  
– 	
  Presente	
  em	
  vários	
  países	
  através	
  de	
  Chapters	
  
locais	
  




                                                                  43	
  
CSA:	
  Missão	
  

To	
   promote	
   the	
   use	
   of	
   best	
  
pracXces	
   for	
   providing	
  
security	
   assurance	
   within	
  
Cloud	
   CompuXng,	
   and	
  
provide	
   educaXon	
   on	
   the	
  
uses	
  of	
  Cloud	
  CompuXng	
  to	
  
help	
   secure	
   all	
   other	
   forms	
  
of	
  compuXng.	
  

                                                              fonte:	
  sxc.hu	
  

                                                     44	
  
CSA	
  Brasil:	
  
                                 Overview	
  


       	
  
– 	
  Segundo	
  Chapter	
  oficial	
  da	
  CSA	
  
– 	
  Oficializado	
  em	
  27	
  de	
  Maio	
  de	
  2010	
  
– 	
  Mais	
  de	
  100	
  membros	
  
– 	
  Board:	
  Leonardo	
  Goldim;	
  Anchises	
  Moraes,	
  Jaime	
  OrXs	
  y	
  
Lugo,	
  Jordan	
  Bonagura,	
  Olympio	
  Renno	
  
– 	
  Segue	
  Missão	
  e	
  ObjeXvos	
  da	
  CSA	
  Global	
  




                                                                          45	
  

Mais conteúdo relacionado

Mais procurados

Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoFernando Palma
 
Symantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Brasil
 
Cloud conceitos, segurança e migração
Cloud   conceitos, segurança e migraçãoCloud   conceitos, segurança e migração
Cloud conceitos, segurança e migraçãoAllen Informática
 
Tcc firewalls e a segurança na internet
Tcc    firewalls e a segurança na internetTcc    firewalls e a segurança na internet
Tcc firewalls e a segurança na internetalexandrino1
 
Oportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemOportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemCássio Quaresma
 
Oferta de sensibilização à segurança da informação sys value - v2013.2
Oferta de sensibilização à segurança da informação   sys value - v2013.2Oferta de sensibilização à segurança da informação   sys value - v2013.2
Oferta de sensibilização à segurança da informação sys value - v2013.2Filipe Rolo
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoCisco do Brasil
 
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Symantec Brasil
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1gabrio2022
 
Dis defesa abordagem relacional modelo seguranca
Dis defesa abordagem relacional modelo segurancaDis defesa abordagem relacional modelo seguranca
Dis defesa abordagem relacional modelo segurancaRui Gomes
 
Apresentação ENG PUCC - Implementação de Praticas de Segurança da Informação ...
Apresentação ENG PUCC - Implementação de Praticas de Segurança da Informação ...Apresentação ENG PUCC - Implementação de Praticas de Segurança da Informação ...
Apresentação ENG PUCC - Implementação de Praticas de Segurança da Informação ...Evandro Guilherme Miguel
 
Next gen antivirus_cylance
Next gen antivirus_cylanceNext gen antivirus_cylance
Next gen antivirus_cylanceaassenato
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaGilberto Sudre
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 

Mais procurados (18)

Tcc segurança da informação
Tcc segurança da informaçãoTcc segurança da informação
Tcc segurança da informação
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
 
Symantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec Cynic
 
Cloud conceitos, segurança e migração
Cloud   conceitos, segurança e migraçãoCloud   conceitos, segurança e migração
Cloud conceitos, segurança e migração
 
Tcc firewalls e a segurança na internet
Tcc    firewalls e a segurança na internetTcc    firewalls e a segurança na internet
Tcc firewalls e a segurança na internet
 
Oportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemOportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na Nuvem
 
Oferta de sensibilização à segurança da informação sys value - v2013.2
Oferta de sensibilização à segurança da informação   sys value - v2013.2Oferta de sensibilização à segurança da informação   sys value - v2013.2
Oferta de sensibilização à segurança da informação sys value - v2013.2
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
 
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
 
Dis defesa abordagem relacional modelo seguranca
Dis defesa abordagem relacional modelo segurancaDis defesa abordagem relacional modelo seguranca
Dis defesa abordagem relacional modelo seguranca
 
Apresentação ENG PUCC - Implementação de Praticas de Segurança da Informação ...
Apresentação ENG PUCC - Implementação de Praticas de Segurança da Informação ...Apresentação ENG PUCC - Implementação de Praticas de Segurança da Informação ...
Apresentação ENG PUCC - Implementação de Praticas de Segurança da Informação ...
 
Apresentação dissertação
Apresentação dissertaçãoApresentação dissertação
Apresentação dissertação
 
Next gen antivirus_cylance
Next gen antivirus_cylanceNext gen antivirus_cylance
Next gen antivirus_cylance
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de Segurança
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
TCC Seguranca -1.0
TCC Seguranca -1.0TCC Seguranca -1.0
TCC Seguranca -1.0
 

Destaque

Como economizar em infraestrutura
Como economizar em infraestruturaComo economizar em infraestrutura
Como economizar em infraestruturaArtsoft Sistemas
 
Fog Computing - Falhas e Riscos da Computação em Nuvem
Fog Computing - Falhas e Riscos da Computação em NuvemFog Computing - Falhas e Riscos da Computação em Nuvem
Fog Computing - Falhas e Riscos da Computação em NuvemAnchises Moraes
 
Analise de riscos e contramedidas em cloud computing
Analise de riscos e contramedidas em cloud computing Analise de riscos e contramedidas em cloud computing
Analise de riscos e contramedidas em cloud computing Paulo Rodrigues
 
Riscos de segurança em cloud computing - Parte 4
Riscos de segurança em cloud computing - Parte 4Riscos de segurança em cloud computing - Parte 4
Riscos de segurança em cloud computing - Parte 4Fristtram Helder Fernandes
 
A Governança de TI e a Cloud Computing
A Governança de TI e a Cloud Computing A Governança de TI e a Cloud Computing
A Governança de TI e a Cloud Computing Elias Pardim
 

Destaque (6)

Como economizar em infraestrutura
Como economizar em infraestruturaComo economizar em infraestrutura
Como economizar em infraestrutura
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Fog Computing - Falhas e Riscos da Computação em Nuvem
Fog Computing - Falhas e Riscos da Computação em NuvemFog Computing - Falhas e Riscos da Computação em Nuvem
Fog Computing - Falhas e Riscos da Computação em Nuvem
 
Analise de riscos e contramedidas em cloud computing
Analise de riscos e contramedidas em cloud computing Analise de riscos e contramedidas em cloud computing
Analise de riscos e contramedidas em cloud computing
 
Riscos de segurança em cloud computing - Parte 4
Riscos de segurança em cloud computing - Parte 4Riscos de segurança em cloud computing - Parte 4
Riscos de segurança em cloud computing - Parte 4
 
A Governança de TI e a Cloud Computing
A Governança de TI e a Cloud Computing A Governança de TI e a Cloud Computing
A Governança de TI e a Cloud Computing
 

Semelhante a Riscos e segurança na Computação em Nuvem

My Cloud Computing Presentation V3
My Cloud Computing Presentation V3My Cloud Computing Presentation V3
My Cloud Computing Presentation V3namplc
 
Computação em Nuvem: Futuro e Desafios
Computação em Nuvem: Futuro e DesafiosComputação em Nuvem: Futuro e Desafios
Computação em Nuvem: Futuro e DesafiosLeo Goldim
 
Vale Security Conference - 2011 - 15 - Anchises de Paula
Vale Security Conference - 2011 - 15 - Anchises de PaulaVale Security Conference - 2011 - 15 - Anchises de Paula
Vale Security Conference - 2011 - 15 - Anchises de PaulaVale Security Conference
 
Segurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosSegurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosRodrigo Felipe Betussi
 
Sicgov2010 Anchises - painel cloud computing [compatibility mode]
Sicgov2010   Anchises - painel cloud computing [compatibility mode]Sicgov2010   Anchises - painel cloud computing [compatibility mode]
Sicgov2010 Anchises - painel cloud computing [compatibility mode]Anchises Moraes
 
Cibersegurança no Setor Elétrico: Ações internacionais e proposta para mitiga...
Cibersegurança no Setor Elétrico: Ações internacionais e proposta para mitiga...Cibersegurança no Setor Elétrico: Ações internacionais e proposta para mitiga...
Cibersegurança no Setor Elétrico: Ações internacionais e proposta para mitiga...José Reynaldo Formigoni Filho, MSc
 
Palestra cloud-computing
Palestra cloud-computingPalestra cloud-computing
Palestra cloud-computingNaptec
 
Cloud Computing: uma abordagem objetiva sobre o novo ambiente computacional
Cloud Computing: uma abordagem objetiva sobre o novo ambiente computacionalCloud Computing: uma abordagem objetiva sobre o novo ambiente computacional
Cloud Computing: uma abordagem objetiva sobre o novo ambiente computacionalJosé Morelli Neto
 
[CLASS 2014] Palestra Técnica - Felipe Penaranda
[CLASS 2014] Palestra Técnica - Felipe Penaranda[CLASS 2014] Palestra Técnica - Felipe Penaranda
[CLASS 2014] Palestra Técnica - Felipe PenarandaTI Safe
 
Embrace Any Cloud Securely
Embrace Any Cloud Securely Embrace Any Cloud Securely
Embrace Any Cloud Securely Alexandre Freire
 
Segurança em Sistemas SCADA
Segurança em Sistemas SCADASegurança em Sistemas SCADA
Segurança em Sistemas SCADAAlexandre Freire
 
Cloud Computing - Security in the Cloud
Cloud Computing - Security in the CloudCloud Computing - Security in the Cloud
Cloud Computing - Security in the CloudAlexandro Silva
 
Lançamento CSA Guide em Português
Lançamento CSA Guide em PortuguêsLançamento CSA Guide em Português
Lançamento CSA Guide em PortuguêsLeo Goldim
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud ComputingAlê Borba
 
Delivering infrastructure, security, and operations as code - DEM02-S - São P...
Delivering infrastructure, security, and operations as code - DEM02-S - São P...Delivering infrastructure, security, and operations as code - DEM02-S - São P...
Delivering infrastructure, security, and operations as code - DEM02-S - São P...Amazon Web Services
 
Cloud computing for dummies
Cloud computing for dummiesCloud computing for dummies
Cloud computing for dummiesAnchises Moraes
 

Semelhante a Riscos e segurança na Computação em Nuvem (20)

My Cloud Computing Presentation V3
My Cloud Computing Presentation V3My Cloud Computing Presentation V3
My Cloud Computing Presentation V3
 
Computação em Nuvem: Futuro e Desafios
Computação em Nuvem: Futuro e DesafiosComputação em Nuvem: Futuro e Desafios
Computação em Nuvem: Futuro e Desafios
 
Vale Security Conference - 2011 - 15 - Anchises de Paula
Vale Security Conference - 2011 - 15 - Anchises de PaulaVale Security Conference - 2011 - 15 - Anchises de Paula
Vale Security Conference - 2011 - 15 - Anchises de Paula
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Segurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosSegurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e Riscos
 
Sicgov2010 Anchises - painel cloud computing [compatibility mode]
Sicgov2010   Anchises - painel cloud computing [compatibility mode]Sicgov2010   Anchises - painel cloud computing [compatibility mode]
Sicgov2010 Anchises - painel cloud computing [compatibility mode]
 
Cibersegurança no Setor Elétrico: Ações internacionais e proposta para mitiga...
Cibersegurança no Setor Elétrico: Ações internacionais e proposta para mitiga...Cibersegurança no Setor Elétrico: Ações internacionais e proposta para mitiga...
Cibersegurança no Setor Elétrico: Ações internacionais e proposta para mitiga...
 
Palestra cloud-computing
Palestra cloud-computingPalestra cloud-computing
Palestra cloud-computing
 
Cloud Computing: uma abordagem objetiva sobre o novo ambiente computacional
Cloud Computing: uma abordagem objetiva sobre o novo ambiente computacionalCloud Computing: uma abordagem objetiva sobre o novo ambiente computacional
Cloud Computing: uma abordagem objetiva sobre o novo ambiente computacional
 
[CLASS 2014] Palestra Técnica - Felipe Penaranda
[CLASS 2014] Palestra Técnica - Felipe Penaranda[CLASS 2014] Palestra Técnica - Felipe Penaranda
[CLASS 2014] Palestra Técnica - Felipe Penaranda
 
Embrace Any Cloud Securely
Embrace Any Cloud Securely Embrace Any Cloud Securely
Embrace Any Cloud Securely
 
Segurança em Sistemas SCADA
Segurança em Sistemas SCADASegurança em Sistemas SCADA
Segurança em Sistemas SCADA
 
Ufs na nuvem gp 2017-2
Ufs na nuvem   gp 2017-2 Ufs na nuvem   gp 2017-2
Ufs na nuvem gp 2017-2
 
Cloud Computing - Security in the Cloud
Cloud Computing - Security in the CloudCloud Computing - Security in the Cloud
Cloud Computing - Security in the Cloud
 
Lançamento CSA Guide em Português
Lançamento CSA Guide em PortuguêsLançamento CSA Guide em Português
Lançamento CSA Guide em Português
 
Segurança Em Computaçao Na Nuvem
Segurança Em Computaçao Na NuvemSegurança Em Computaçao Na Nuvem
Segurança Em Computaçao Na Nuvem
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
Delivering infrastructure, security, and operations as code - DEM02-S - São P...
Delivering infrastructure, security, and operations as code - DEM02-S - São P...Delivering infrastructure, security, and operations as code - DEM02-S - São P...
Delivering infrastructure, security, and operations as code - DEM02-S - São P...
 
Cloud computing for dummies
Cloud computing for dummiesCloud computing for dummies
Cloud computing for dummies
 
Ufs na nuvem gp 2017-2
Ufs na nuvem   gp 2017-2 Ufs na nuvem   gp 2017-2
Ufs na nuvem gp 2017-2
 

Mais de Anchises Moraes

Post pandemics threat scenario
Post pandemics threat scenarioPost pandemics threat scenario
Post pandemics threat scenarioAnchises Moraes
 
Como se proteger na internet
Como se proteger na internetComo se proteger na internet
Como se proteger na internetAnchises Moraes
 
Fatos, mitos e palpites do cenário de segurança pós-pandemia
Fatos, mitos e palpites do cenário de segurança pós-pandemiaFatos, mitos e palpites do cenário de segurança pós-pandemia
Fatos, mitos e palpites do cenário de segurança pós-pandemiaAnchises Moraes
 
A Case Study of the Capital One Data Breach
A Case Study of the Capital One Data BreachA Case Study of the Capital One Data Breach
A Case Study of the Capital One Data BreachAnchises Moraes
 
Praticas de gestão de segurança
Praticas de gestão de segurançaPraticas de gestão de segurança
Praticas de gestão de segurançaAnchises Moraes
 
Ciber crime e desafios de segurança durante uma pandemia e home office
Ciber crime e desafios de segurança durante uma pandemia e home officeCiber crime e desafios de segurança durante uma pandemia e home office
Ciber crime e desafios de segurança durante uma pandemia e home officeAnchises Moraes
 
Cyber Cultura em tempos de Coronavírus
Cyber Cultura em tempos de CoronavírusCyber Cultura em tempos de Coronavírus
Cyber Cultura em tempos de CoronavírusAnchises Moraes
 
Hunting bugs - C0r0n4con
Hunting bugs - C0r0n4conHunting bugs - C0r0n4con
Hunting bugs - C0r0n4conAnchises Moraes
 
Fintechs e os desafios de segurança
Fintechs e os desafios de segurançaFintechs e os desafios de segurança
Fintechs e os desafios de segurançaAnchises Moraes
 
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 20195 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019Anchises Moraes
 
Segurança além do Pentest
Segurança além do PentestSegurança além do Pentest
Segurança além do PentestAnchises Moraes
 
Só o Pentest não resolve!
Só o Pentest não resolve!Só o Pentest não resolve!
Só o Pentest não resolve!Anchises Moraes
 
Carreira em Segurança da Informação
Carreira em Segurança da InformaçãoCarreira em Segurança da Informação
Carreira em Segurança da InformaçãoAnchises Moraes
 
Carta de oposição ao Sindpd 2018
Carta de oposição ao Sindpd 2018Carta de oposição ao Sindpd 2018
Carta de oposição ao Sindpd 2018Anchises Moraes
 
Como se tornar um Jedi na área de Segurança
Como se tornar um Jedi na área de SegurançaComo se tornar um Jedi na área de Segurança
Como se tornar um Jedi na área de SegurançaAnchises Moraes
 
É possível existir segurança para IoT?
É possível existir segurança para IoT?É possível existir segurança para IoT?
É possível existir segurança para IoT?Anchises Moraes
 

Mais de Anchises Moraes (20)

Post pandemics threat scenario
Post pandemics threat scenarioPost pandemics threat scenario
Post pandemics threat scenario
 
Como se proteger na internet
Como se proteger na internetComo se proteger na internet
Como se proteger na internet
 
Fatos, mitos e palpites do cenário de segurança pós-pandemia
Fatos, mitos e palpites do cenário de segurança pós-pandemiaFatos, mitos e palpites do cenário de segurança pós-pandemia
Fatos, mitos e palpites do cenário de segurança pós-pandemia
 
A Case Study of the Capital One Data Breach
A Case Study of the Capital One Data BreachA Case Study of the Capital One Data Breach
A Case Study of the Capital One Data Breach
 
Vamos caçar bugs!?
Vamos caçar bugs!?Vamos caçar bugs!?
Vamos caçar bugs!?
 
Praticas de gestão de segurança
Praticas de gestão de segurançaPraticas de gestão de segurança
Praticas de gestão de segurança
 
Ciber crime e desafios de segurança durante uma pandemia e home office
Ciber crime e desafios de segurança durante uma pandemia e home officeCiber crime e desafios de segurança durante uma pandemia e home office
Ciber crime e desafios de segurança durante uma pandemia e home office
 
Cyber Cultura em tempos de Coronavírus
Cyber Cultura em tempos de CoronavírusCyber Cultura em tempos de Coronavírus
Cyber Cultura em tempos de Coronavírus
 
Hunting bugs - C0r0n4con
Hunting bugs - C0r0n4conHunting bugs - C0r0n4con
Hunting bugs - C0r0n4con
 
Fintechs e os desafios de segurança
Fintechs e os desafios de segurançaFintechs e os desafios de segurança
Fintechs e os desafios de segurança
 
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 20195 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019
 
Segurança além do Pentest
Segurança além do PentestSegurança além do Pentest
Segurança além do Pentest
 
Só o Pentest não resolve!
Só o Pentest não resolve!Só o Pentest não resolve!
Só o Pentest não resolve!
 
Carreira em Segurança da Informação
Carreira em Segurança da InformaçãoCarreira em Segurança da Informação
Carreira em Segurança da Informação
 
IoT Fofoqueiro
IoT FofoqueiroIoT Fofoqueiro
IoT Fofoqueiro
 
Carta de oposição ao Sindpd 2018
Carta de oposição ao Sindpd 2018Carta de oposição ao Sindpd 2018
Carta de oposição ao Sindpd 2018
 
Segurança na Internet
Segurança na InternetSegurança na Internet
Segurança na Internet
 
Como se tornar um Jedi na área de Segurança
Como se tornar um Jedi na área de SegurançaComo se tornar um Jedi na área de Segurança
Como se tornar um Jedi na área de Segurança
 
Deep Web e Ciber Crime
Deep Web e Ciber CrimeDeep Web e Ciber Crime
Deep Web e Ciber Crime
 
É possível existir segurança para IoT?
É possível existir segurança para IoT?É possível existir segurança para IoT?
É possível existir segurança para IoT?
 

Riscos e segurança na Computação em Nuvem

  • 1. Computação  em  Nuvem   Entendendo  os  Riscos  no  Horizonte   Anchises  M.  G.  De  Paula   Diretor,  CSA  Brasil   Analista  de  Inteligência,  Verisign   1  
  • 2. Agenda   –   Porque  segurança  em  Computação  em  Nuvem?   –   Principais  Riscos   –   Principais  ameaças   2  
  • 3. CLOUD  COMPUTING  SECURITY    Porque  segurança  em  Computação  em  Nuvem?   3  
  • 4. Computação  em  Nuvem   Computação  em  nuvem  é  um  conceito  em  evolução     –   Preocupação  com  segurança  crescendo     –   Necessidades  e  incidentes  específicos.     fonte:  infosuck.org   4  
  • 5. Cloud  Compu3ng  é  seguro?   •  Depende...   •  Seguro     comparado  com     o  que?   –  Precisamos  de   um  contexto   fonte:  sxc.hu   5  
  • 6. Considerações  de  Segurança     –   Computação  em  Nuvem   não  é  mais  ou  menos  segura   –   Os  controles  de  segurança   para  Computação  em  Nuvem   não  são  diferentes  dos   controles  de  segurança  para   qualquer  ambiente  de  TI.       fonte:  sxc.hu   6  
  • 7. Computação  em  Nuvem   Modelo  de  Referência   –   Relações  e  dependências  entre   os  modelos  de  Computação  em   Nuvem     –   CaracterísXcas  são  herdadas   –   Também  são  herdadas  as   questões  de  segurança  da   informação  e  o  risco   fonte:  CSA   7  
  • 8. Segurança  da  Computação  em  Nuvem   Provedor   S   E   G   U   R   A   N   Ç   A   fonte:  CSA   Cliente   8  
  • 9. Como  integrar  a  segurança   fonte:  CSA   9  
  • 10. Estratégia  para  Análise  de  Riscos   •  IdenXficar  o  aXvo  para   implantação  na  nuvem   •  Entender  as   necessidades  e  os  riscos   •  Mapear  o  aXvo  com  o   modelo  de  implantação   •  Avaliar  os  modelos  de   serviços  e  fornecedores   •  Selecionar  estratégias   de  miXgação   fonte:  sxc.hu   10  
  • 11. Segurança  da  Computação  em  Nuvem   Mapear  o  Modelo  de  Nuvem  para  o  Modelo  de   Controles  de  Segurança  &  Conformidade   fonte:  CSA   11  
  • 12. NOVOS  RISCOS   Riscos  na  adoção  da  Computação  em  Nuvem   12  
  • 13. Riscos  de  Cloud  Compu3ng   2/22/10   El  68%  de  los  CIO  europeos   considera  la  seguridad  como  el   •  Computação  em  Nuvem   principal  inconveniente  del   cria  novos  riscos  e  novas   cloud  compuEng   by  Segu.info   oportunidades   Según  un  informe  de  Colt  entre   responsables  de  TI  de  13  países   europeos,  el  68%  de  los  encuestados   cree  que  la  seguridad  es  la  principal   barrera  para  la  adopción  de  servicios   cloud  compuEng,  cifra  que  en     España  alcanza  el  79%.   13  
  • 14. Riscos  de  Cloud  Compu3ng   •  Cloud  CompuXng  herda   vários  riscos  associados   às  tecnologias  que  uXliza   •  Conjunto  específico  de   atributos  que  tornam  a   análise  de  riscos  mais   complexa   –  Novos  paradigmas   –  Detalhes  obscuros  do  CSP   14  
  • 15. Principais  Riscos  na  Nuvem   “Guia  de  Segurança  para  Áreas  CríXcas  Focado  em        Computação  em  Nuvem  V2.1”   Seção  I.     •  Domínio  1:  Framework  da  Arquitetura  de  Computação  em  Nuvem   Arquitetura     •  Domínio  2:  Governança  e  Gestão  de  Risco  CorporaXvo   da  Nuvem     •  Domínio  3:  Aspectos  Legais  e  Electronic  Discovery   Seção  II.     •  Domínio  4:  Conformidade  e  Auditoria   Governança  na     •  Domínio  5:  Gerenciamento  do  Ciclo  de  Vida  das  Informações   Nuvem   •  Domínio  6:  Portabilidade  e  Interoperabilidade   •  Domínio  7:  Segurança  Tradicional,  ConXnuidade     de  Negócios  e  Recuperação  de  Desastres   •  Domínio  8:  Operações  e  Data  center     •  Domínio  9:  Resposta  a  Incidente,  NoXficação  e  Remediação   Seção  III.     •  Domínio  10:  Segurança  de  Aplicações   Operando  na     •  Domínio  11:  Criptografia  e  Gerenciamento  de  Chaves   Nuvem   •  Domínio  12:  Gerenciamento  de  IdenXdade  e  Acesso   •  Domínio  13  -­‐  Virtualização   15   15  
  • 16. Governança  e  Gestão  de  Riscos   Corpora3vos   •  Como  governar  e  medir   Novos  riscos?   o  risco  introduzido  pela   Computação  em  Nuvem     •  Responsabilidade  para   Alguns  provedores  restringem   proteger  dados   avaliações  de  vulnerabilidades   sensíveis  caso  o   ou  testes  de  invasão   provedor  ou  usuário     falharem   Disponibilidade  limitada  dos   •  Como  essas  questões   logs  de  auditoria  e  do   são  afetadas  por   fronteiras  internacionais   monitoramento  de  aXvidades.   16  
  • 17. Aspectos  Legais  e  Electronic  Discovery   •  Problemas  legais  em   Novos  riscos?   potencial  ao  se     uXlizar  Computação   Onde  o  provedor  de  serviços   em  Nuvem   de  nuvem  irá  hospedar  os   •  Requisitos  de   dados?   proteção  da     informação   •  Conformidade  com  leis   locais     •  Requisitos   •  Ex:  Restrição  do  fluxo  de   regulatórios   dados  além  das  fronteiras,   •  Leis  internacionais   leis  sobre  privacidade,  etc   17  
  • 18. Conformidade  e  Auditoria   •  Manutenção  e   Novos  riscos?   comprovação  de   conformidade  ao  usar     a  Computação  em   Direito  de  Auditar   Nuvem     •  Como  a  Computação   em  Nuvem  afeta  o   Processos  para  coletar  e   cumprimento  de   armazenar  evidências  de   políXcas  de  segurança   conformidade   interna  e  requisitos  de   conformidade   •  Como  comprovar  a   conformidade   18  
  • 19. Gerenciamento  do  Ciclo  de  Vida  das   Informações   •  Gerenciamento  dos   Novos  riscos?   Acesso     intra-­‐nuvem   dados  colocados  na     Nuvem     •  Confidencialidade,   integridade  e   disponibilidade   •  Controles   compensatórios  para   lidar  com  a  perda  de   MúlEplas   controle  lsico   transferências   de  dados   Término   fonte:  CSA   dos  serviços   19  
  • 20. Portabilidade  e  Interoperabilidade   •  Habilidade  de  mover   Novos  riscos?   dados  e/ou  serviços     de  um  provedor  para   “Lock-­‐in”   outro  ou  totalmente   Falta  de  padrões  de   de  volta  para  a   interoperabilidade     empresa   Ambientes  proprietários   •  Interoperabilidade   A   entre  fornecedores   B   20  
  • 21. Segurança  Tradicional,  Cont.  de   Negócios  e  Recuperação  de  Desastres   •  Como  a  Computação  em   Novos  riscos?   Nuvem  afeta  os   processos  e     procedimentos   Ritmo  acelerado  de  mudanças   operacionais  de   Falta  de  transparência     segurança,  BCP  e  DRP   Controle  e  monitoração   •  A  Computação  em   cononua  dos  provedores  de   Nuvem  pode  ajudar  a   nuvem   diminuir  certos  riscos,  ou   •  Ciclos  mais  frequentes  de   implica  em  aumento  dos   monitoração  e  auditoria   riscos   21  
  • 22. Operações  e  Data  Center   •  Como  avaliar  a   Novos  riscos?   arquitetura  e  a   operação  de  um     fornecedor  de  Data   Capacidades  reais  dos   Center   provedores   •  CaracterísXcas  de     Mar.  13,  2010   Data  Centers  que   podem  ser  prejudiciais     Amazon  cloud  outage  was   triggered  by  configuraEon  error   e  as  fundamentais   By  Computerworld   Amazon  has  released  a  detailed  postmortem   para  estabilidade  a   and  mea  culpa  about  the  parEal  outage  of  its   longo  prazo   cloud  services  pla_orm  last  week  and   idenEfied  the  culprit:  A  configuraEon  error   made  during  a  network  upgrade.     22  
  • 23. Resposta  a  Incidente,  No3ficação  e   Remediação   •  Detecção  de   Novos  riscos?   incidentes,  resposta,     noXficação  e   Dependência  do  CSP  para   correção   resposta  a  incidentes  e   •  Aborda  prestadores   invesXgação   de  serviços  e   •  MúlXplos  clientes,  logs   agregados   consumidores     •  Forense   Forense  na  “nuvem”?   computacional     23  
  • 24. Segurança  de  Aplicações   •  Modos  de  proteger  a   Novos  riscos?   aplicação  sendo     executada  ou   desenvolvida  na   Nova  Arquitetura  de   nuvem   Segurança  da  Aplicação   •  É  apropriado  migrar     ou  projetar  uma   Dependências   aplicação  na  nuvem?     •  Qual  melhor  modelo   (SaaS,  PaaS  ou  IaaS)  ?   Comunicação  inter-­‐hosts     24  
  • 25. Criptografia  e  Gerenciamento  de   Chaves   •  DiscuXr  por  que   Novos  riscos?   criptografia  é     necessária   Comunicação  inter-­‐hosts   Dados  em  repouso   •  Proteger  o  acesso  aos   •  Em  disco  ou  em  banco  de   dados  de  produção   recursos  ou  proteger   Dados  em  backup     os  dados   25  
  • 26. Gerenciamento  de  Iden3dade  e  Acesso   •  Foco  em  riscos   Novos  riscos?   quando  se  estende  a     idenXdade  de  uma   Gerenciamento  de  IdenXdade   organização  para   e  Acesso   Nuvem   •  Como  estender  os   processos  e  práXcas  aos   •  Avaliar  a  capacidade   serviços  de  nuvem   da  organização  para   •  Controlar  e  auditar  o  acesso   realizar  a  gestão  de   ao  serviço  de  nuvem   idenXdade  e  acesso   •  AutenXcação  forte   baseados  na  Nuvem   26  
  • 27. Virtualização   •  Questões  de   Novos  riscos?   segurança  em  torno   do  sistema/hardware     de  virtualização  em   Comunicação  entre  hardware,   Computação  em   e  não  através  de  rede   Nuvem     •  Aborda  riscos   associados  com   ComparXmentalização  e   mulXlocação   elevação  do  nível  de  segurança   •  Isolamento  de  VMs   em  sistemas  virtuais   •  Vulnerabilidades  em     Hypervisor   Centralização  dos  dados   27  
  • 28. PRINCIPAIS  AMEAÇAS   Sete  principais  ameaças  na  adoção  da  Computação  em  Nuvem   28  
  • 29. Principais  Riscos  Para  Computação  em   Nuvem   1-­‐  Abuso  e  uso  Malicioso  de  Computação  em  Nuvem   –   Qualquer  pessoa  com  um  cartão  de  crédito  válido  pode   se  registrar  e  usar  os  serviços  em  nuvem   •   Spammers,  autores  de  códigos  maliciosos  e  criminosos   •   Uso  anônimo  e  impune   –   Usos  maliciosos   •   Quebra  de  senhas   •   Realizar  ataques  (ex:  DDoS)   •   Hospedar  dados  maliciosos   CSA  Guidance:   •   Controle  de  botnets   Domínios  8  e  9   IaaS   PaaS   SaaS   29  
  • 30. Principais  Riscos  Para  Computação  em   Nuvem   2-­‐  Interfaces  e  APIs  Inseguras   –   Segurança  e  disponibilidade  dos  serviços  na  nuvem  são   dependentes  das  interfaces  e  APIs  de  gerenciamento   –   Falhas  acidentais  ou  mal  intencionadas   –   Complexidade   •   Serviços  desconhecidos   –   Controle  de  acesso   •   Acessos  anônonimos   •   Senhas  e  dados  trafegados  em  aberto   CSA  Guidance:   Domínio  10   IaaS   PaaS   SaaS   30  
  • 31. Principais  Riscos  Para  Computação  em   Nuvem   3-­‐  Usuários  Internos  Maliciosos   –   Ameaça  amplificada   •   Convergência  de  serviços  e  usuários   •   Falta  de  transparência  do  provedor   •   Funcionários  do  provedor   •   Baixo  risco  de  detecção   –   Potenciais  ameaças   •   Concorrentes   •   Espionagem   CSA  Guidance:   •   Hackers     Domínios  2  e  7   IaaS   PaaS   SaaS   31  
  • 32. Principais  Riscos  Para  Computação  em   Nuvem   4-­‐  Uso  de  Tecnologias  de  ComparXlhamento   –   Forte  isolamento  em  ambientes  mulX-­‐locatários   –   Falhas  no  sistema  de  controle  (hypervisor)   •   Sistemas  virtuais  podem  ter  acesso  ao  sistema  hospedeiro   •   Falha  nos  controles  e  isolamento   –   Clientes  não  devem  ter  acesso  a  dados  de  outros   clientes   •   Dados  atuais  ou  residuais   •   Tráfego  de  rede   CSA  Guidance:     Domínios  8  e  13   IaaS   PaaS   SaaS   32  
  • 33. Principais  Riscos  Para  Computação  em   Nuvem   5-­‐  Perda  ou  Vazamento  de  Dados   –   Pode  ser  devastador  para  uma  empresa   –   Arquitetura  e  ambiente  da  Nuvem  aumentam  os  riscos   •   Falha  nos  controles  de  autenXcação,  autorização  e  auditoria   (AAA)   •   Falhas  operacionais   •   Persistência  e  remanescência  dos  dados   •   Jurisdição   •   Disponibilidade  do  provedor   CSA  Guidance:   Domínios  5,  11  e  12   IaaS   PaaS   SaaS   33  
  • 34. Principais  Riscos  Para  Computação  em   Nuvem   6-­‐  Sequestro  de  Serviço  ou  de  Conta   –   Roubo  de  credenciais   •   Phishing,  fraude  ou  exploração  de  falhas   –   Acesso  indevido  a  Nuvem   •   Acessar  dados  e  transações   •   Manipulação  dos  dados   •   Redirecionar  usuários  para  outros  sites   CSA  Guidance:   Domínios  2,  9  e  12   IaaS   PaaS   SaaS   34  
  • 35. Principais  Riscos  Para  Computação  em   Nuvem   7-­‐  Riscos  Desconhecidos   –   Na  Computação  em  Nuvem,  as  empresas  abrem  mão  da   gestão  do  hardware  e  do  soxware  para  focar  no  negócio   •   Segurança  por  obscuridade  e  baixo  esforço   •   Perde  controles  de  segurança   –   Detalhes  de  operação  e  compliance  do  fornecedor   •   Versão  de  soxware  e  atualização  de  código   •   Com  quem  você  comparXlha  a  infra-­‐estrutura   •   TentaXvas  de  ataque   CSA  Guidance:   •   Guarda  de  logs   Domínios  2,  3,  8  e  9   IaaS   PaaS   SaaS   35  
  • 36. CONCLUSÕES   36  
  • 37. Segurança  de  Cloud  Compu3ng   •  Análise  de  riscos  é   fundamental   •  Segurança  na  “nuvem”   não  é  muito  diferente   das  necessidades   “pré-­‐nuvem”   fonte:  sxc.hu   37  
  • 38. Previsão  do  Tempo   •  Muitas  nuvens  a  frente     •  Sujeito  a  chuvas  e   trovoadas  esporádicas   •  Tenha  sempre  um   guarda-­‐chuva  guardado     fonte:  Wikimedia  Commons   38  
  • 39. Referências   •  NIST  Cloud  CompuXng  Project    hPp://csrc.nist.gov/groups/SNS/cloud-­‐compu3ng/index.html   •  “Cloud  CompuXng:  Benefits,  risks     and  recommendaXons  for  informaXon  security”   hPp://www.enisa.europa.eu/act/rm/files/deliverables/cloud-­‐ compu3ng-­‐risk-­‐assessment   39   39  
  • 40. Referências   Security  Guidance  for  CriXcal  Areas  of  Focus     in  Cloud  CompuXng  v.  2.1   –   Referência  para  análise  dos  riscos          hzp://www.cloudsecurityalliance.org/guidance/csaguide.pdf     Top  Threats  to  Cloud  CompuXng  V1.0   –   Sete  principais  riscos            hzp://www.cloudsecurityalliance.org/topthreats.html     40  
  • 41. Referências   •  “CSA  Cloud  Controls  Matrix  V1”   –  Lançado  em  27  de  Abril  27,  2010   –  hzp://www.cloudsecurityalliance.org/cm.html     41   41  
  • 42. Obrigado         Anchises  M.  G.  de  Paula   Membro  da  CSA  Brasil   anchisesbr@gmail.com   twizer.com/anchisesbr   twizer.com/csabr   hzps://chapters.cloudsecurityalliance.org/brazil   hzp://www.cloudsecurityalliance.org   42  
  • 43. Sobre  a  Cloud  Security  Alliance     –   Associação  sem  fins  lucraXvos   –   Oficializada  em  Dezembro  de  2008   –   +12mil  Membros   –   Presente  em  vários  países  através  de  Chapters   locais   43  
  • 44. CSA:  Missão   To   promote   the   use   of   best   pracXces   for   providing   security   assurance   within   Cloud   CompuXng,   and   provide   educaXon   on   the   uses  of  Cloud  CompuXng  to   help   secure   all   other   forms   of  compuXng.   fonte:  sxc.hu   44  
  • 45. CSA  Brasil:   Overview     –   Segundo  Chapter  oficial  da  CSA   –   Oficializado  em  27  de  Maio  de  2010   –   Mais  de  100  membros   –   Board:  Leonardo  Goldim;  Anchises  Moraes,  Jaime  OrXs  y   Lugo,  Jordan  Bonagura,  Olympio  Renno   –   Segue  Missão  e  ObjeXvos  da  CSA  Global   45