SlideShare uma empresa Scribd logo

Tech segurança na nuvem

Transferir como PPTX, PDF
Carlos Goldani
Carlos Goldani

Segurança na Nuvem

1 de 25
O termo Nuvem foi importado da imagem utilizada para representar a Internet Computação na Nuvem significa basicamente que os processos computacionais são realizados na Internet A terminologia de serviços da Nuvem ainda é confusa e provavelmente as definições mais claras foram estabelecidas pelo National Institute of Standards and Technology (NIST) e Cloud Security Alliance (CSA)
Software como Serviço (SaaS) O usuário utiliza aplicativos do provedor em uma infraestrutura de nuvem com pouco ou nenhum controle sobre a infraestrutura, rede, servidores, sistemas operacionais, armazenamento, etc...
Plataforma como Serviço (PaaS) O usuário implementa aplicativos em ambiente de desenvolvimento próprio, exerce total controle sobre suas aplicações e utiliza a infraestrutura disponibilizada pelo provedor (servidores, sistema operacional e dispositivos de armazenamento)
Infraestrutura como Serviço (IaaS) O cliente obtém APIs (Application Programming Interface), processamento, armazenamento e recursos de computação do provedor. Utiliza seu próprio sistema operacional, suas aplicações e até alguns componentes de rede
Auto-Serviço: Obter (ou dispensar) recursos quando for conveniente, sem consulta ao provedor Acesso: Utilizar o serviço com qualquer tipo de hardware Compartilhamento: Vários clientes compartilham um ambiente comum para reduzir custos Escalabilidade: Administrar variações de demanda de recursos sem prejudicar a qualidade de serviço Métricas: Indicadores de uso abrangentes e acessíveis
Redução de Custos: Economias de escala permitem reduzir os custos drasticamente (a maioria das empresas utiliza menos de 25% da capacidade de seus servidores) Mobilidade: Por definição a Nuvem pode ser acessada de qualquer lugar, permitindo total portabilidade das informações
Elasticidade ou Flexibilidade de Ajuste: O cliente utiliza (e paga) recursos e serviços de acordo com a real necessidade Custos de Armazenamento: Disponível de acordo com a necessidade, sem bancar espaços não utilizados Experiência do Provedor: Supondo uma escolha correta, a experiência de um fornecedor com foco exclusivo em TI pode ser de grande utilidade para o cliente em questões críticas
A incertezas para migrar para serviços em Nuvem estão centradas em segurança, desempenho e disponibilidade Desempenho e disponibilidade são sensíveis porque o ambiente do processamento computacional, onde os recursos podem ser vistos e controlados, muda para algo intangível As principais questões de segurança estão situadas em falhas ou fragilidades da própria tecnologia, no acesso não autorizado à informações, criptografia, aplicativos, autenticação de operadores, virtualização, etc...
Segurança física: As instalações e operadores não são controlados pelo usuário. O provedor deve ter políticas de segurança abrangentes e efetivas Acesso a informações privilegiadas: O cliente não tem controle sobre quem tem acesso às suas informações
Criptografia: Nuvens são ambientes compartilhados com outros clientes do provedor, talvez até concorrentes do usuário. Violações podem acontecer de um banco de dados para outro. A criptografia é um elemento essencial e muito eficiente, porém cria outro problema, quem é o responsável pela chave criptográfica. As modernas técnicas de criptografia assimétrica (certificação digital) inviabilizam qualquer acesso se a chave for perdida
Relacionamento com terceiros: O axioma básico da segurança é que ela é tão forte quanto seu elo mais fraco. Em ambientes corporativos, o elo mais fraco quase sempre é a integração com parceiros e, no caso da nuvem, ainda mais importante devido e existência de vários terceiros em ambientes compartilhados Network Security: Provedores de serviços de Nuvem concentram múltiplos usuários e alvos em potencial para hackers. A Nuvem também é suscetível a ataques de negação de serviço
Virtualização: Os os provedores de nuvem usam técnicas de virtualização para usufruir de economias de escala e oferecer melhor arquitetura distribuída. A virtualização tem seu próprio conjunto de problemas de segurança Segurança de aplicativos: A maioria dos eventos de segurança acontecem através de aplicativos da Web. Na Nuvem o nível de exposição é semelhante ao de uma instalação interna, porém potencializado pelo ambiente compartilhado, sem que o usuário exerça controle sobre ele
Controles de acesso: Algumas das grandes questões para serviços em nuvem são em torno de controle de acesso, autenticação, gerenciamento de usuários, configuração etc. É importante saber com que tipo de padrões o provedor de nuvem está alinhado, como é feito o provisionamento de usuários, quem gerencia o processo de administração de credenciais, se OpenIDs podem ser utilizados para autenticação e se existem VPNs dedicadas
Privilégios de acesso Dados confidenciais processados e/ou armazenados fora do ambiente empresarial têm um nível inerente de risco, porque desconsideram a cultura e as práticas da organização Informações privilegiadas restritas à alta direção ou ao departamento de pesquisas de uma empresa não podem ser manipuladas livremente por estagiários de fornecedores de serviços ou empresas terceirizadas
Conformidade com regulamentações Os clientes são, em última instância, responsáveis pela integridade e segurança dos dados que administram, mesmo que esta atribuição seja delegada a um prestador de serviços Fornecedores devem disponibilizar relatórios periódicos de auditorias externas e certificações de segurança
Localização dos Servidores A computação na nuvem desobriga a localização exata dos servidores que hospedam os dados que podem, inclusive, estar fora do país. Embora tecnicamente isto possa ser considerado um avanço, existe o problema de jurisdição legal que deve ser endereçado com critério O ambiente físico de armazenamento tem que ter compatibilidade com os diplomas legais que regem a empresa assegurando (1) o acesso por decisão judicial e (2) a garantia de privacidade de acordo com a legislação do país de origem
Segregação de Dados Uma nuvem compartilha as informações de muitos clientes que, na prática, podem ser concorrentes entre si e hospedar suas informações em um mesmo ambiente físico. Normalmente os provedores de serviços utilizam esquemas específicos de criptografia para cada cliente que, no estado da arte da tecnologia, é uma técnica eficaz (os custos para abrir uma criptografia de 1024 bits são absurdos), porém acidentes na administração das chaves podem impedir o acesso aos dados ou comprometer sua disponibilidade
Recuperação A localização física exata dos dados pode ser incerta, porém o provedor de serviços é obrigado a garantir a sua disponibilidade em casos de desastres ou catástrofes Contratos que não explicitam a replicação de dados e infraestrutura não garantem a integridade do acervo de informações. É importante constar a capacidade de recuperação completa em casos de acidentes e o tempo necessário para o restabelecimento dos serviços
Viabilidade no longo prazo Em um ambiente ideal, o fornecedor de serviços de nuvem não encerra suas atividades nem é adquirido por outra empresa, entretanto a dinâmica dos mercados sugere que isto é muito provável Se um destes eventos ocorrer, a manutenção da portabilidade e disponibilidade são características importantes
Apoio à investigação A investigação de atividades impróprias ou ilegais é complicada na computação na nuvem. O acúmulo de serviços no provedor pode ocasionar a realocação bancos de dados para outras máquinas ou ambientes físicos. É necessário um compromisso contratual de apoio a formas específicas de investigação, caso contrário qualquer atividade relacionada com esta área é improvável, se não impossível (a nuvem não pode ser um paraíso para pedófilos ou outros usuários inescrupulosos para compartilhar ou ocultar conteúdo)
Padrões Padrões são restritivos por definição. Várias entidades questionam se a computação na nuvem pode obter algum tipo de benefício com a padronização neste estágio do desenvolvimento. Existe uma relutância latente entre provedores de serviços em seguir recomendações e adotar padrões antes que o mercado defina o seu real cenário. Independente deste fato, organizações internacionais como ISO/IEC e ITU estão desenvolvendo um conjunto de padrões específicos de segurança para a nuvem
Jurisdição Privacidade protegida por lei em um país pode não merecer o mesmo tratamento em outro. Em muitos casos, como os usuários não sabem onde suas informações são armazenadas, existem processos para tentar harmonizar leis, porém o consenso está distante A União Européia e seus estados membros favorecem a proteção rígida da privacidade, enquanto o Patriot Act dos EUA garante às suas agências governamentais poderes praticamente ilimitados de acesso às informações, incluindo às que incluem dados de pesquisas desenvolvidas por empresas
 A computação na Nuvem oferece muitos benefícios  A segurança é importante, mas está longe de ser é um fator impeditivo, desde que tratado com efetivo cuidado  Um provedor de serviços confiável e acordos sobre níveis de serviços (SLAs) claros e compreensíveis são requisitos essenciais  A migração para serviços de Nuvem não é apenas uma decisão econômica e deve envolver também os setores de tecnologia e jurídico
Carlos Alberto Goldani Tecnologia da Informação goldani@live.ca

Recomendados

Transformando a ti com cloud computing e virtualização
Transformando a ti com cloud computing e virtualizaçãoTransformando a ti com cloud computing e virtualização
Transformando a ti com cloud computing e virtualizaçãoDarlan Segalin
 
Cloudwalker - processamento distribuído em nuvem
Cloudwalker - processamento distribuído em nuvemCloudwalker - processamento distribuído em nuvem
Cloudwalker - processamento distribuído em nuvemFlávio Lisboa
 
Computacao na Nuvem com Azure
Computacao na Nuvem com AzureComputacao na Nuvem com Azure
Computacao na Nuvem com AzureLuciano Condé
 
Segurança da Nuvem
Segurança da NuvemSegurança da Nuvem
Segurança da Nuvemarmsthon
 
Camadas De Cloud Computing
Camadas De Cloud ComputingCamadas De Cloud Computing
Camadas De Cloud Computingguest096a018
 
AWS Storage Day - Novidades em Nuvem Híbrida, Edge Computing e Transferência ...
AWS Storage Day - Novidades em Nuvem Híbrida, Edge Computing e Transferência ...AWS Storage Day - Novidades em Nuvem Híbrida, Edge Computing e Transferência ...
AWS Storage Day - Novidades em Nuvem Híbrida, Edge Computing e Transferência ...Amazon Web Services LATAM
 
Apresentação Cloud Computing World Forum
Apresentação Cloud Computing World ForumApresentação Cloud Computing World Forum
Apresentação Cloud Computing World ForumAmazon Web Services LATAM
 
Cloud computing e Amazon Web Services
Cloud computing e Amazon Web ServicesCloud computing e Amazon Web Services
Cloud computing e Amazon Web ServicesRafael Biriba
 

Recomendados

Transformando a ti com cloud computing e virtualização
Transformando a ti com cloud computing e virtualizaçãoTransformando a ti com cloud computing e virtualização
Transformando a ti com cloud computing e virtualizaçãoDarlan Segalin
 
Cloudwalker - processamento distribuído em nuvem
Cloudwalker - processamento distribuído em nuvemCloudwalker - processamento distribuído em nuvem
Cloudwalker - processamento distribuído em nuvemFlávio Lisboa
 
Computacao na Nuvem com Azure
Computacao na Nuvem com AzureComputacao na Nuvem com Azure
Computacao na Nuvem com AzureLuciano Condé
 
Segurança da Nuvem
Segurança da NuvemSegurança da Nuvem
Segurança da Nuvemarmsthon
 
Camadas De Cloud Computing
Camadas De Cloud ComputingCamadas De Cloud Computing
Camadas De Cloud Computingguest096a018
 
AWS Storage Day - Novidades em Nuvem Híbrida, Edge Computing e Transferência ...
AWS Storage Day - Novidades em Nuvem Híbrida, Edge Computing e Transferência ...AWS Storage Day - Novidades em Nuvem Híbrida, Edge Computing e Transferência ...
AWS Storage Day - Novidades em Nuvem Híbrida, Edge Computing e Transferência ...Amazon Web Services LATAM
 
Apresentação Cloud Computing World Forum
Apresentação Cloud Computing World ForumApresentação Cloud Computing World Forum
Apresentação Cloud Computing World ForumAmazon Web Services LATAM
 
Cloud computing e Amazon Web Services
Cloud computing e Amazon Web ServicesCloud computing e Amazon Web Services
Cloud computing e Amazon Web ServicesRafael Biriba
 
9.cloud computing v3.1_wl_stv
9.cloud computing v3.1_wl_stv9.cloud computing v3.1_wl_stv
9.cloud computing v3.1_wl_stvwilson_lucas
 
Computação em nuvem
Computação em nuvemComputação em nuvem
Computação em nuvemRicardo Martins ☁
 
Azure Fundamentals (Intensivão Azure)
Azure Fundamentals (Intensivão Azure)Azure Fundamentals (Intensivão Azure)
Azure Fundamentals (Intensivão Azure)Resource IT
 
Cloud computing
Cloud computingCloud computing
Cloud computingEdson Yanaga
 
Cloud Computing & Amazon AWS - Fundamentos - Parte 1
Cloud Computing & Amazon AWS - Fundamentos - Parte 1Cloud Computing & Amazon AWS - Fundamentos - Parte 1
Cloud Computing & Amazon AWS - Fundamentos - Parte 1Rafael Lima
 
AAB308 - Cloud Computing Windows Azure - wcamb.pdf
AAB308 - Cloud Computing Windows Azure - wcamb.pdfAAB308 - Cloud Computing Windows Azure - wcamb.pdf
AAB308 - Cloud Computing Windows Azure - wcamb.pdfMicrosoft Brasil
 
Apresentação Comercial Tecla Internet
Apresentação Comercial Tecla InternetApresentação Comercial Tecla Internet
Apresentação Comercial Tecla InternetTecla Internet
 
Por dentro da nuvem
Por dentro da nuvemPor dentro da nuvem
Por dentro da nuvemjornaljava
 
Azure Fundamentals
Azure FundamentalsAzure Fundamentals
Azure FundamentalsEricson da Fonseca
 
Ransomware: Estratégias de Mitigação
Ransomware: Estratégias de MitigaçãoRansomware: Estratégias de Mitigação
Ransomware: Estratégias de MitigaçãoAmazon Web Services LATAM
 
Azure @ Rio Cloud Meetup
Azure @ Rio Cloud MeetupAzure @ Rio Cloud Meetup
Azure @ Rio Cloud MeetupRicardo Martins ☁
 
Os benefícios de migrar seus workloads de Big Data para a AWS
Os benefícios de migrar seus workloads de Big Data para a AWSOs benefícios de migrar seus workloads de Big Data para a AWS
Os benefícios de migrar seus workloads de Big Data para a AWSAmazon Web Services LATAM
 
Introducao à Nuvem da Amazon Web Services
Introducao à Nuvem da Amazon Web ServicesIntroducao à Nuvem da Amazon Web Services
Introducao à Nuvem da Amazon Web ServicesAmazon Web Services LATAM
 
Microsoft Azure | Visao Geral
Microsoft Azure | Visao GeralMicrosoft Azure | Visao Geral
Microsoft Azure | Visao GeralFabio Hara
 
Integrando infraestruturas híbridas
Integrando infraestruturas híbridas Integrando infraestruturas híbridas
Integrando infraestruturas híbridas Amazon Web Services LATAM
 
PaaS, SaaS, IaaS
PaaS, SaaS, IaaSPaaS, SaaS, IaaS
PaaS, SaaS, IaaSQi Network
 
Computação em nuvem
Computação em nuvemComputação em nuvem
Computação em nuvemThiago Rodrigues
 
Simplifique o seu BI com a AWS
Simplifique o seu BI com a AWSSimplifique o seu BI com a AWS
Simplifique o seu BI com a AWSAmazon Web Services LATAM
 
Cloud Computing Tecla Internet - Conceito
Cloud Computing Tecla Internet - ConceitoCloud Computing Tecla Internet - Conceito
Cloud Computing Tecla Internet - ConceitoTecla Internet
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud ComputingAlê Borba
 
Segurança na Nuvem
Segurança na NuvemSegurança na Nuvem
Segurança na NuvemAmazon Web Services LATAM
 
Segurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosSegurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosRodrigo Felipe Betussi
 

Mais conteúdo relacionado

Mais procurados

9.cloud computing v3.1_wl_stv
9.cloud computing v3.1_wl_stv9.cloud computing v3.1_wl_stv
9.cloud computing v3.1_wl_stvwilson_lucas
 
Azure Fundamentals (Intensivão Azure)
Azure Fundamentals (Intensivão Azure)Azure Fundamentals (Intensivão Azure)
Azure Fundamentals (Intensivão Azure)Resource IT
 
Cloud Computing & Amazon AWS - Fundamentos - Parte 1
Cloud Computing & Amazon AWS - Fundamentos - Parte 1Cloud Computing & Amazon AWS - Fundamentos - Parte 1
Cloud Computing & Amazon AWS - Fundamentos - Parte 1Rafael Lima
 
AAB308 - Cloud Computing Windows Azure - wcamb.pdf
AAB308 - Cloud Computing Windows Azure - wcamb.pdfAAB308 - Cloud Computing Windows Azure - wcamb.pdf
AAB308 - Cloud Computing Windows Azure - wcamb.pdfMicrosoft Brasil
 
Apresentação Comercial Tecla Internet
Apresentação Comercial Tecla InternetApresentação Comercial Tecla Internet
Apresentação Comercial Tecla InternetTecla Internet
 
Por dentro da nuvem
Por dentro da nuvemPor dentro da nuvem
Por dentro da nuvemjornaljava
 
Os benefícios de migrar seus workloads de Big Data para a AWS
Os benefícios de migrar seus workloads de Big Data para a AWSOs benefícios de migrar seus workloads de Big Data para a AWS
Os benefícios de migrar seus workloads de Big Data para a AWSAmazon Web Services LATAM
 
Microsoft Azure | Visao Geral
Microsoft Azure | Visao GeralMicrosoft Azure | Visao Geral
Microsoft Azure | Visao GeralFabio Hara
 
PaaS, SaaS, IaaS
PaaS, SaaS, IaaSPaaS, SaaS, IaaS
PaaS, SaaS, IaaSQi Network
 
Cloud Computing Tecla Internet - Conceito
Cloud Computing Tecla Internet - ConceitoCloud Computing Tecla Internet - Conceito
Cloud Computing Tecla Internet - ConceitoTecla Internet
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud ComputingAlê Borba
 

Mais procurados (20)

9.cloud computing v3.1_wl_stv
9.cloud computing v3.1_wl_stv9.cloud computing v3.1_wl_stv
9.cloud computing v3.1_wl_stv
 
Computação em nuvem
Computação em nuvemComputação em nuvem
Computação em nuvem
 
Azure Fundamentals (Intensivão Azure)
Azure Fundamentals (Intensivão Azure)Azure Fundamentals (Intensivão Azure)
Azure Fundamentals (Intensivão Azure)
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Cloud Computing & Amazon AWS - Fundamentos - Parte 1
Cloud Computing & Amazon AWS - Fundamentos - Parte 1Cloud Computing & Amazon AWS - Fundamentos - Parte 1
Cloud Computing & Amazon AWS - Fundamentos - Parte 1
 
AAB308 - Cloud Computing Windows Azure - wcamb.pdf
AAB308 - Cloud Computing Windows Azure - wcamb.pdfAAB308 - Cloud Computing Windows Azure - wcamb.pdf
AAB308 - Cloud Computing Windows Azure - wcamb.pdf
 
Apresentação Comercial Tecla Internet
Apresentação Comercial Tecla InternetApresentação Comercial Tecla Internet
Apresentação Comercial Tecla Internet
 
Por dentro da nuvem
Por dentro da nuvemPor dentro da nuvem
Por dentro da nuvem
 
Azure Fundamentals
Azure FundamentalsAzure Fundamentals
Azure Fundamentals
 
Ransomware: Estratégias de Mitigação
Ransomware: Estratégias de MitigaçãoRansomware: Estratégias de Mitigação
Ransomware: Estratégias de Mitigação
 
Azure @ Rio Cloud Meetup
Azure @ Rio Cloud MeetupAzure @ Rio Cloud Meetup
Azure @ Rio Cloud Meetup
 
Os benefícios de migrar seus workloads de Big Data para a AWS
Os benefícios de migrar seus workloads de Big Data para a AWSOs benefícios de migrar seus workloads de Big Data para a AWS
Os benefícios de migrar seus workloads de Big Data para a AWS
 
Introducao à Nuvem da Amazon Web Services
Introducao à Nuvem da Amazon Web ServicesIntroducao à Nuvem da Amazon Web Services
Introducao à Nuvem da Amazon Web Services
 
Microsoft Azure | Visao Geral
Microsoft Azure | Visao GeralMicrosoft Azure | Visao Geral
Microsoft Azure | Visao Geral
 
Integrando infraestruturas híbridas
Integrando infraestruturas híbridas Integrando infraestruturas híbridas
Integrando infraestruturas híbridas
 
PaaS, SaaS, IaaS
PaaS, SaaS, IaaSPaaS, SaaS, IaaS
PaaS, SaaS, IaaS
 
Computação em nuvem
Computação em nuvemComputação em nuvem
Computação em nuvem
 
Simplifique o seu BI com a AWS
Simplifique o seu BI com a AWSSimplifique o seu BI com a AWS
Simplifique o seu BI com a AWS
 
Cloud Computing Tecla Internet - Conceito
Cloud Computing Tecla Internet - ConceitoCloud Computing Tecla Internet - Conceito
Cloud Computing Tecla Internet - Conceito
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 

Destaque

Segurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosSegurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosRodrigo Felipe Betussi
 
S+S Day - Segurança na nuvem
S+S Day - Segurança na nuvemS+S Day - Segurança na nuvem
S+S Day - Segurança na nuvemLuciano Condé
 
Uma metodologia para captura e teste de requisitos não funcionais de ambiente...
Uma metodologia para captura e teste de requisitos não funcionais de ambiente...Uma metodologia para captura e teste de requisitos não funcionais de ambiente...
Uma metodologia para captura e teste de requisitos não funcionais de ambiente...Gerson Lobato
 

Destaque (6)

Segurança na Nuvem
Segurança na NuvemSegurança na Nuvem
Segurança na Nuvem
 
Segurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosSegurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e Riscos
 
S+S Day - Segurança na nuvem
S+S Day - Segurança na nuvemS+S Day - Segurança na nuvem
S+S Day - Segurança na nuvem
 
Segurança na Nuvem da AWS
Segurança na Nuvem da AWSSegurança na Nuvem da AWS
Segurança na Nuvem da AWS
 
Segurança Em Computaçao Na Nuvem
Segurança Em Computaçao Na NuvemSegurança Em Computaçao Na Nuvem
Segurança Em Computaçao Na Nuvem
 
Uma metodologia para captura e teste de requisitos não funcionais de ambiente...
Uma metodologia para captura e teste de requisitos não funcionais de ambiente...Uma metodologia para captura e teste de requisitos não funcionais de ambiente...
Uma metodologia para captura e teste de requisitos não funcionais de ambiente...
 

Semelhante a Tech segurança na nuvem

Transferência para uma nuvem privada com confiança
Transferência para uma nuvem privada com confiançaTransferência para uma nuvem privada com confiança
Transferência para uma nuvem privada com confiançaCisco do Brasil
 
Cloud Computing - Conceitos e Aplicações Práticas
Cloud Computing - Conceitos e Aplicações PráticasCloud Computing - Conceitos e Aplicações Práticas
Cloud Computing - Conceitos e Aplicações PráticasRafael Bandeira
 
Sociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud ForensicsSociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud Forensicsederruschel
 
Sociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud ForensicsSociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud Forensicsederruschel
 
Sociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud ForensicsSociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud Forensicsederruschel
 
Cloud conceitos, segurança e migração
Cloud conceitos, segurança e migraçãoCloud conceitos, segurança e migração
Cloud conceitos, segurança e migraçãoAllen Informática
 
Oportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemOportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemCássio Quaresma
 
Risco em projetos cloud computing
Risco em projetos cloud computingRisco em projetos cloud computing
Risco em projetos cloud computingAlfredo Santos
 
Artigo Cloud Computing
Artigo Cloud ComputingArtigo Cloud Computing
Artigo Cloud ComputingRicardo Peres
 
O que é computação em nuvem.docx
O que é computação em nuvem.docxO que é computação em nuvem.docx
O que é computação em nuvem.docxPriscillaZambotti
 
O que é computação em nuvem.docx
O que é computação em nuvem.docxO que é computação em nuvem.docx
O que é computação em nuvem.docxPriscillaZambotti
 
Segurança e privacidade em computação em nuvem - uma visão geral
Segurança e privacidade em computação em nuvem - uma visão geralSegurança e privacidade em computação em nuvem - uma visão geral
Segurança e privacidade em computação em nuvem - uma visão geralLuiz Amelotti
 
Fornetix lgpd-whitepaper-portuguese (3)
Fornetix lgpd-whitepaper-portuguese (3)Fornetix lgpd-whitepaper-portuguese (3)
Fornetix lgpd-whitepaper-portuguese (3)Carlos Serrano
 
Armazenamento em nuvem
Armazenamento em nuvemArmazenamento em nuvem
Armazenamento em nuvemTuesla Santos
 
Computacao-em-Nuvem-Conceito-e-Principios.pptx
Computacao-em-Nuvem-Conceito-e-Principios.pptxComputacao-em-Nuvem-Conceito-e-Principios.pptx
Computacao-em-Nuvem-Conceito-e-Principios.pptxJosivaldoFrana1
 
Implementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e routerImplementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e routerAnderson Pontes
 
86242325 pre-projeto-de-pesquisa
86242325 pre-projeto-de-pesquisa86242325 pre-projeto-de-pesquisa
86242325 pre-projeto-de-pesquisaMarcos Faria
 

Semelhante a Tech segurança na nuvem (20)

Transferência para uma nuvem privada com confiança
Transferência para uma nuvem privada com confiançaTransferência para uma nuvem privada com confiança
Transferência para uma nuvem privada com confiança
 
Cloud Computing - Conceitos e Aplicações Práticas
Cloud Computing - Conceitos e Aplicações PráticasCloud Computing - Conceitos e Aplicações Práticas
Cloud Computing - Conceitos e Aplicações Práticas
 
Sociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud ForensicsSociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud Forensics
 
Sociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud ForensicsSociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud Forensics
 
Sociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud ForensicsSociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud Forensics
 
Cloud conceitos, segurança e migração
Cloud conceitos, segurança e migraçãoCloud conceitos, segurança e migração
Cloud conceitos, segurança e migração
 
Oportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemOportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na Nuvem
 
Risco em projetos cloud computing
Risco em projetos cloud computingRisco em projetos cloud computing
Risco em projetos cloud computing
 
Artigo Cloud Computing
Artigo Cloud ComputingArtigo Cloud Computing
Artigo Cloud Computing
 
O que é computação em nuvem.docx
O que é computação em nuvem.docxO que é computação em nuvem.docx
O que é computação em nuvem.docx
 
O que é computação em nuvem.docx
O que é computação em nuvem.docxO que é computação em nuvem.docx
O que é computação em nuvem.docx
 
Segurança e privacidade em computação em nuvem - uma visão geral
Segurança e privacidade em computação em nuvem - uma visão geralSegurança e privacidade em computação em nuvem - uma visão geral
Segurança e privacidade em computação em nuvem - uma visão geral
 
Protocolos de Segurança
Protocolos de SegurançaProtocolos de Segurança
Protocolos de Segurança
 
Fornetix lgpd-whitepaper-portuguese (3)
Fornetix lgpd-whitepaper-portuguese (3)Fornetix lgpd-whitepaper-portuguese (3)
Fornetix lgpd-whitepaper-portuguese (3)
 
Armazenamento em nuvem
Armazenamento em nuvemArmazenamento em nuvem
Armazenamento em nuvem
 
Computacao-em-Nuvem-Conceito-e-Principios.pptx
Computacao-em-Nuvem-Conceito-e-Principios.pptxComputacao-em-Nuvem-Conceito-e-Principios.pptx
Computacao-em-Nuvem-Conceito-e-Principios.pptx
 
Implementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e routerImplementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e router
 
Semac
SemacSemac
Semac
 
CN.pptx
CN.pptxCN.pptx
CN.pptx
 
86242325 pre-projeto-de-pesquisa
86242325 pre-projeto-de-pesquisa86242325 pre-projeto-de-pesquisa
86242325 pre-projeto-de-pesquisa
 

Mais de Carlos Goldani

Tech anatomia de um ataque
Tech anatomia de um ataqueTech anatomia de um ataque
Tech anatomia de um ataqueCarlos Goldani
 
Gld o balonista e o pescador
Gld o balonista e o pescadorGld o balonista e o pescador
Gld o balonista e o pescadorCarlos Goldani
 
Tech análise de pixels em fraudes digitais
Tech análise de pixels em fraudes digitaisTech análise de pixels em fraudes digitais
Tech análise de pixels em fraudes digitaisCarlos Goldani
 
Gld lições do engenhão
Gld lições do engenhãoGld lições do engenhão
Gld lições do engenhãoCarlos Goldani
 
Gld a verdade está na cara
Gld a verdade está na caraGld a verdade está na cara
Gld a verdade está na caraCarlos Goldani
 
Gld revisão sobre sistemas de gerenciamento1
Gld revisão sobre sistemas de gerenciamento1Gld revisão sobre sistemas de gerenciamento1
Gld revisão sobre sistemas de gerenciamento1Carlos Goldani
 
Gld o brasil nasceu por engano
Gld o brasil nasceu por enganoGld o brasil nasceu por engano
Gld o brasil nasceu por enganoCarlos Goldani
 
Gld o que toda mulher deveria saber...
Gld o que toda mulher deveria saber...Gld o que toda mulher deveria saber...
Gld o que toda mulher deveria saber...Carlos Goldani
 

Mais de Carlos Goldani (10)

Tech g-buster
Tech g-busterTech g-buster
Tech g-buster
 
Tech anatomia de um ataque
Tech anatomia de um ataqueTech anatomia de um ataque
Tech anatomia de um ataque
 
Gld o balonista e o pescador
Gld o balonista e o pescadorGld o balonista e o pescador
Gld o balonista e o pescador
 
Tech análise de pixels em fraudes digitais
Tech análise de pixels em fraudes digitaisTech análise de pixels em fraudes digitais
Tech análise de pixels em fraudes digitais
 
Gld lições do engenhão
Gld lições do engenhãoGld lições do engenhão
Gld lições do engenhão
 
Gld a verdade está na cara
Gld a verdade está na caraGld a verdade está na cara
Gld a verdade está na cara
 
Gld revisão sobre sistemas de gerenciamento1
Gld revisão sobre sistemas de gerenciamento1Gld revisão sobre sistemas de gerenciamento1
Gld revisão sobre sistemas de gerenciamento1
 
Gld o brasil nasceu por engano
Gld o brasil nasceu por enganoGld o brasil nasceu por engano
Gld o brasil nasceu por engano
 
Gld o que toda mulher deveria saber...
Gld o que toda mulher deveria saber...Gld o que toda mulher deveria saber...
Gld o que toda mulher deveria saber...
 
Gld o custo brasil
Gld o custo brasilGld o custo brasil
Gld o custo brasil
 

Tech segurança na nuvem

  • 1.
  • 2. O termo Nuvem foi importado da imagem utilizada para representar a Internet Computação na Nuvem significa basicamente que os processos computacionais são realizados na Internet A terminologia de serviços da Nuvem ainda é confusa e provavelmente as definições mais claras foram estabelecidas pelo National Institute of Standards and Technology (NIST) e Cloud Security Alliance (CSA)
  • 3. Software como Serviço (SaaS) O usuário utiliza aplicativos do provedor em uma infraestrutura de nuvem com pouco ou nenhum controle sobre a infraestrutura, rede, servidores, sistemas operacionais, armazenamento, etc...
  • 4. Plataforma como Serviço (PaaS) O usuário implementa aplicativos em ambiente de desenvolvimento próprio, exerce total controle sobre suas aplicações e utiliza a infraestrutura disponibilizada pelo provedor (servidores, sistema operacional e dispositivos de armazenamento)
  • 5. Infraestrutura como Serviço (IaaS) O cliente obtém APIs (Application Programming Interface), processamento, armazenamento e recursos de computação do provedor. Utiliza seu próprio sistema operacional, suas aplicações e até alguns componentes de rede
  • 6. Auto-Serviço: Obter (ou dispensar) recursos quando for conveniente, sem consulta ao provedor Acesso: Utilizar o serviço com qualquer tipo de hardware Compartilhamento: Vários clientes compartilham um ambiente comum para reduzir custos Escalabilidade: Administrar variações de demanda de recursos sem prejudicar a qualidade de serviço Métricas: Indicadores de uso abrangentes e acessíveis
  • 7. Redução de Custos: Economias de escala permitem reduzir os custos drasticamente (a maioria das empresas utiliza menos de 25% da capacidade de seus servidores) Mobilidade: Por definição a Nuvem pode ser acessada de qualquer lugar, permitindo total portabilidade das informações
  • 8. Elasticidade ou Flexibilidade de Ajuste: O cliente utiliza (e paga) recursos e serviços de acordo com a real necessidade Custos de Armazenamento: Disponível de acordo com a necessidade, sem bancar espaços não utilizados Experiência do Provedor: Supondo uma escolha correta, a experiência de um fornecedor com foco exclusivo em TI pode ser de grande utilidade para o cliente em questões críticas
  • 9. A incertezas para migrar para serviços em Nuvem estão centradas em segurança, desempenho e disponibilidade Desempenho e disponibilidade são sensíveis porque o ambiente do processamento computacional, onde os recursos podem ser vistos e controlados, muda para algo intangível As principais questões de segurança estão situadas em falhas ou fragilidades da própria tecnologia, no acesso não autorizado à informações, criptografia, aplicativos, autenticação de operadores, virtualização, etc...
  • 10. Segurança física: As instalações e operadores não são controlados pelo usuário. O provedor deve ter políticas de segurança abrangentes e efetivas Acesso a informações privilegiadas: O cliente não tem controle sobre quem tem acesso às suas informações
  • 11. Criptografia: Nuvens são ambientes compartilhados com outros clientes do provedor, talvez até concorrentes do usuário. Violações podem acontecer de um banco de dados para outro. A criptografia é um elemento essencial e muito eficiente, porém cria outro problema, quem é o responsável pela chave criptográfica. As modernas técnicas de criptografia assimétrica (certificação digital) inviabilizam qualquer acesso se a chave for perdida
  • 12. Relacionamento com terceiros: O axioma básico da segurança é que ela é tão forte quanto seu elo mais fraco. Em ambientes corporativos, o elo mais fraco quase sempre é a integração com parceiros e, no caso da nuvem, ainda mais importante devido e existência de vários terceiros em ambientes compartilhados Network Security: Provedores de serviços de Nuvem concentram múltiplos usuários e alvos em potencial para hackers. A Nuvem também é suscetível a ataques de negação de serviço
  • 13. Virtualização: Os os provedores de nuvem usam técnicas de virtualização para usufruir de economias de escala e oferecer melhor arquitetura distribuída. A virtualização tem seu próprio conjunto de problemas de segurança Segurança de aplicativos: A maioria dos eventos de segurança acontecem através de aplicativos da Web. Na Nuvem o nível de exposição é semelhante ao de uma instalação interna, porém potencializado pelo ambiente compartilhado, sem que o usuário exerça controle sobre ele
  • 14. Controles de acesso: Algumas das grandes questões para serviços em nuvem são em torno de controle de acesso, autenticação, gerenciamento de usuários, configuração etc. É importante saber com que tipo de padrões o provedor de nuvem está alinhado, como é feito o provisionamento de usuários, quem gerencia o processo de administração de credenciais, se OpenIDs podem ser utilizados para autenticação e se existem VPNs dedicadas
  • 15. Privilégios de acesso Dados confidenciais processados e/ou armazenados fora do ambiente empresarial têm um nível inerente de risco, porque desconsideram a cultura e as práticas da organização Informações privilegiadas restritas à alta direção ou ao departamento de pesquisas de uma empresa não podem ser manipuladas livremente por estagiários de fornecedores de serviços ou empresas terceirizadas
  • 16. Conformidade com regulamentações Os clientes são, em última instância, responsáveis pela integridade e segurança dos dados que administram, mesmo que esta atribuição seja delegada a um prestador de serviços Fornecedores devem disponibilizar relatórios periódicos de auditorias externas e certificações de segurança
  • 17. Localização dos Servidores A computação na nuvem desobriga a localização exata dos servidores que hospedam os dados que podem, inclusive, estar fora do país. Embora tecnicamente isto possa ser considerado um avanço, existe o problema de jurisdição legal que deve ser endereçado com critério O ambiente físico de armazenamento tem que ter compatibilidade com os diplomas legais que regem a empresa assegurando (1) o acesso por decisão judicial e (2) a garantia de privacidade de acordo com a legislação do país de origem
  • 18. Segregação de Dados Uma nuvem compartilha as informações de muitos clientes que, na prática, podem ser concorrentes entre si e hospedar suas informações em um mesmo ambiente físico. Normalmente os provedores de serviços utilizam esquemas específicos de criptografia para cada cliente que, no estado da arte da tecnologia, é uma técnica eficaz (os custos para abrir uma criptografia de 1024 bits são absurdos), porém acidentes na administração das chaves podem impedir o acesso aos dados ou comprometer sua disponibilidade
  • 19. Recuperação A localização física exata dos dados pode ser incerta, porém o provedor de serviços é obrigado a garantir a sua disponibilidade em casos de desastres ou catástrofes Contratos que não explicitam a replicação de dados e infraestrutura não garantem a integridade do acervo de informações. É importante constar a capacidade de recuperação completa em casos de acidentes e o tempo necessário para o restabelecimento dos serviços
  • 20. Viabilidade no longo prazo Em um ambiente ideal, o fornecedor de serviços de nuvem não encerra suas atividades nem é adquirido por outra empresa, entretanto a dinâmica dos mercados sugere que isto é muito provável Se um destes eventos ocorrer, a manutenção da portabilidade e disponibilidade são características importantes
  • 21. Apoio à investigação A investigação de atividades impróprias ou ilegais é complicada na computação na nuvem. O acúmulo de serviços no provedor pode ocasionar a realocação bancos de dados para outras máquinas ou ambientes físicos. É necessário um compromisso contratual de apoio a formas específicas de investigação, caso contrário qualquer atividade relacionada com esta área é improvável, se não impossível (a nuvem não pode ser um paraíso para pedófilos ou outros usuários inescrupulosos para compartilhar ou ocultar conteúdo)
  • 22. Padrões Padrões são restritivos por definição. Várias entidades questionam se a computação na nuvem pode obter algum tipo de benefício com a padronização neste estágio do desenvolvimento. Existe uma relutância latente entre provedores de serviços em seguir recomendações e adotar padrões antes que o mercado defina o seu real cenário. Independente deste fato, organizações internacionais como ISO/IEC e ITU estão desenvolvendo um conjunto de padrões específicos de segurança para a nuvem
  • 23. Jurisdição Privacidade protegida por lei em um país pode não merecer o mesmo tratamento em outro. Em muitos casos, como os usuários não sabem onde suas informações são armazenadas, existem processos para tentar harmonizar leis, porém o consenso está distante A União Européia e seus estados membros favorecem a proteção rígida da privacidade, enquanto o Patriot Act dos EUA garante às suas agências governamentais poderes praticamente ilimitados de acesso às informações, incluindo às que incluem dados de pesquisas desenvolvidas por empresas
  • 24.  A computação na Nuvem oferece muitos benefícios  A segurança é importante, mas está longe de ser é um fator impeditivo, desde que tratado com efetivo cuidado  Um provedor de serviços confiável e acordos sobre níveis de serviços (SLAs) claros e compreensíveis são requisitos essenciais  A migração para serviços de Nuvem não é apenas uma decisão econômica e deve envolver também os setores de tecnologia e jurídico
  • 25. Carlos Alberto Goldani Tecnologia da Informação goldani@live.ca