SlideShare uma empresa Scribd logo

Oportunidades e riscos da segurança na computação na nuvem

Cássio Quaresma
Cássio Quaresma

1) O documento discute as oportunidades e riscos de segurança na computação na nuvem, focando na plataforma Microsoft Windows Azure. 2) É analisado o impacto da nuvem nas organizações, TI e segurança da informação, identificando riscos como perda de controle e confiabilidade em terceiros. 3) O documento resume considerações de segurança do Azure, como arquitetura, controle de acesso e localização de dados.

Tecnologia
1 de 46
Baixar para ler offline
Oportunidades e Riscos de Segurança na Computação na Nuvem + Segurança no PaS Microsoft Windows Azure Cássio Quaresma cassio.quaresma@gmail.com
Resumo • Definição genérica da Nuvem • O futuro presente • Paradgima computacional • Modelos de negócio • Possíveis estratégias na nova Era • E como definir segurança? • Tempestade nas nuvens • Impacto nas Organizações • Impacto na TI e na Segurança da Informação • Entendo os riscos da Computação na Nuvem • Analizando Riscos da Nuvem • 2 Agora nas Nuvens…e depois? 2
Definição genérica da Nuvem Habilitar convenientemente, por demanda, o acesso pela rede ao ambiente compartilhado de recursos que podem ser automaticamente fornecidos e disponibilizados com o mínimo esforço gerencial ou interação do provedor de serviços ou mesmo configuração: – Recursos computacionais – Redes – Servidores – Armazenamento – Aplicações – Serviços 3
O futuro presente • Plataforma dominante no mínimo para as próximas duas décadas • Reconstruindo a TI (as profissões e a segurança de TI) • Maior mudança radical na história da computação continua: – “computar” como utilidade • Mas quanto mais e mais informações das empresas e indivíduos armazenados na nuvem, surgem preocupações e questionamentos quanto à segurança deste novo ambiente complexo e em constante transformação 4
Paradigma Computactional Paradigma da Computação Comum vs Nuvem • Compartilhamento de recursos vs Independência de localização • Maior automação vs menor recurso(“erro”) Humano • Padrões abertos vs Padrões fechados • Gerenciamento de TI vs Maior foco em inovação tecnológica 5
Possíveis estratégias na nova Era • Pequenas empresas usam SaaS públicas e nuvens públicas, reduzindo custo e minimizar o crescimento de data centers • Grandes empresas podem disponibilizar nuvens privadas • Grandes empresas podem usar nuvens de infraestrutura (IaaS) hibridas para alavancar redes internas e nuvens públicas • Nuvens públicas podem adoptar padrões abertos com o fim de padronizar a competitividade em infraestrutura híbrida na nuvem 6
E como definir segurança? • Porquê comumente tendemos à prescrição de ISOs, conjunto de melhores práticas e começamos esta discussão com checklists absolutos como ISO27001, PCI, OSX, HIPPA e outras? • Com o conceito fluído como a CN isso simplesmente não é nem um pouco fácil ou trivial • Não existe um único modelo, ou não existe uma única arquitetura que nos permite definir como CN de forma rígida e absoluta 7
E como definir segurança? 2008/2009 8
E como definir segurança? 2009/2010 9
E como definir segurança? • É realmente sobre comportamento da infraestrutura como um todo: – como a nuvem entrega a aplicação – aplicação orientada ao serviço, isso é o que importa • A “lado bom” é que podemos definir esse comportamento: – Tanto o comportamento de uma infraestrutura de aplicação no ambiente de computação como um todo; – Quanto categorizando ou classificando a informação dentro dos seus diferentes modelos 10
Tempestade nas nuvens • A Internet é falha nos principais fundamentos de segurança dos protocolos necessários para proteger a Internet como ela é • Mas sem segurança implementada nas tecnologias adjacentes que suportam a CN, os modelos de negócios estão vulneráveis ao colapso • Construindo um castelo de cartas e modelando negócios em cima de uma fundação fraca, as organizações estão se arriscando demais e procurando problemas num futuro próximo 11
Impacto da Nuvem nas Organizações • Econômico – Permite o alto crescimento computacional – Habilita novos modelos de negócio • Regulamentação – Conformidade – Auditoria • Profissionais de TI & Segurança de TI – Conjunto de conhecimentos e habilidades exigem a adaptação entre provedores de serviços e clientes 12
Impacto na Segurança de Informação Todo sistema de segurança violado se pensava que era infalível • Provedores afirmam que seus sistemas são mais robustos, e reafirmam que na nuvem a segurança é mais apertada do que na maioria das organizações • Mas pelo simples facto que todo o sistema de segurança, posteriormente violado, anteriormente se pensava que era infalível • Provedores de serviços se deparam com questões de segurança similares ao atual ambiente das organizações, • Analistas advertem que a CN está se tornando atrativo ao crime cibernético – Michael Calce afirma “colocar toda a informação da organização numa única caixa na nuvem somente vai tornar muito mais fácil para os hackers” 13 – Risco de um único ponto de falha (“Single point of Failure”)
Impacto na Segurança de Informação Mais de 24h de “Downtime” 14
Impacto na Segurança de Informação Estudo de Provedores de CN – Ponemon Institute • “A maioria dos fornecedores de CN pesquisados…não acreditam que seus produtos ou serviços protegem suficientemente dados confidenciais ou sensíveis de seus clientes” • “Apenas 23 % nos EUA e 35 % na UE, os provedores de serviços concordam plenamente que os líderes de TI de suas organizações estão preocupados com a segurança dos recursos computacionais disponibilizados aos seus clientes.” • Em outras palavras, na maioria dos provedores de serviços, não admitem que a segurança seja de sua responsabilidade. 15
Cenário Idealista vs Real “Economizar e alcançar eficiência, alavancando a virtualização e centralizando aplicações, armazenamento e plataformas que permite pagar somente pelos recursos usados, escalável em um único sistema ou rede.” Sonho de consumo de qualquer gerente/diretor de TI VS “Falta de conhecimento adia o uso da ‘nuvem’” Jornal do Comércio, 30/11/2011 Pesquisa da Symantec sobre utilização de cloud foi realizada com 5,3 mil organizações mundiais 16
Sobrepondo risco sobre risco Mover para um ambiente virtual para reduzir custo nos introduz a um novo risco sobreposto ao mesmo risco já existente: • Onde o meu dado está armazenado? • A nuvem da Microsoft são seguras? • Quem pode ver o meu dado? • Quem me garante que os dados da minha empresa estão sendo acessados e protegidos conforme as regras? • O que acontece se... 17
Sobrepondo risco sobre risco • Segurança na nuvem vem sido exarcebado pela vantagem econômica, que acabam aderindo em primeiro lugar ao modelo da CN e somente depois pensar na segurança • Estão tentando sobrecarregar quanto mais aplicações possíveis em seus próprios servidores, e que independentemente do que eles façam no seu próprio ambiente ou mesmo “empurrando” as aplicações para a nuvem, que o resultado final é exatamente o mesmo • Cada vez mais é comum, a segurança ser sacrificada para reduzir custos 18
Impacto na Segurança de Informação Voltando aos principios básicos • Um dos aspetos principais para manter a nuvem segura para todos os usuários é necessário aderir aos principios básicos de segurança aplicados no mundo não virtualizado • É imperativo que usuários façam o básico e essencial somente: – Suportar a execução de regras minimizando previlégios administrativos – Focar na sinergia entre o fornecedor e atualizações de patch/fix • Enquanto muitos fornecedores de serviços na nuvem e virtualização disponibilizam a sua capacidade de gerenciamento de patches: – A empresa precisa ficar atenta que a necessidade de gerenciar patches é somente quanto ao fornecedor de componentes de software – O cliente continua sendo o responsável por manter suas máquinas virtuais/gadgets/clientes/usuários e senhas/terceiros atualizadas 19
Consideraçoes de Segurança PaS com Windows Azure 20
Segurança do Azure PaS Arquitetura 21
Segurança do Azure PaS Modelo RBAC – Role Based Access Control 22
Segurança do Azure PaS Proteção em profundidade 23
Segurança do Azure PaS Hypervisor – Separação de Previlégios 24
Segurança do Azure PaS Controle de Acess 25
Segurança do Azure PaS Armazenamento e Redundância 26
Segurança do Azure PaS Gerenciamento de Identidades 27
Segurança do Azure PaS Security Development Lifecycle(SDL) 28
Segurança do Azure PaS Datacenter Seguro 29
Segurança do Azure PaS Localização dos dados 30
Riscos da Computação na Nuvem Leis locais e a jurisdição onde o dado é armazenado • Possivelmente mais pressionado do que na criação da padronização da nuvem, é a nova fronteira que surge quanto a questões de jurisdição de privacidade e criminalidade • Dados que pode estar “seguros” em um país, mas podem não estar seguros de forma adequada quanto a regulamentação e proteção de privacidade e seu uso. • Na maioria dos casos os usuários nem sabem exatamente onde seus dados estão armazenados 31
Riscos da Computação na Nuvem Leis locais e a jurisdição onde o dado é armazenado • Enquanto nas leis nos EUA como a ‘US Patriot Act’ investe no governo e outras agências com poderes virtuais limitados de acessar informações incluindo dados pertencentes a qualquer organização • A preocupação da UE acredita que as leis de privacidade praticadas nos EUA levaram à criação de “US Safe Harbor Privacy Principles”, que tem o intuito de prover ás organizações da UE a capacidade de armazenamento de dados em um grau de isolamento das leis de EUA • “O Brasil tem mais de 20 projetos de lei que tocam no assunto privacidade [...] são textos direcionados a segmentos específicos como cartão de crédito, celulares, spam e até na troca de documentos eletrônicos [...] mesmo se aprovadas, não atendem à necessidade de ter uma regra básica que regula a privacidade.” Marcel Leonardi, professor da Faculdade Getúlio Vargas 32
Analisando Riscos da Nuvem CN é um sistema altamente complexo que pode ser reduzido em premissas simples e podem ser replicadas centenas de vezes e comumente em diferentes unidades/modelos funcionais Segurança na CN é um problema possível de ser gerenciado – Existem ambas vantagens e desafios O CEO da Intel, Andy Grove, comentou: – “…somente paranóicos sobreviveram na nuvem…” 33
Analisando Riscos da Nuvem Vantagens • Separando dados públicos no armazenamento externo na nuvem reduz a exposição de dados internos sensíveis • CN homogénea torna questões de segurança como auditoria e testes mais simples • CN habilita a automação de gestão de segurança • Redundância e Recuparação de Desastres – Agilidade na Recuperação de dados – Menor “Downtime” – Resiliência na disponibilidade 34
Analisando Riscos da Nuvem Desafios • Confiabilidade nos fornecedores de serviços e modelos de segurança implementados por terceiros • Incapacidade do cliente em confirmar às constatações da auditoria pela prestadora de serviços • Obter suporte investigativo ou perícia forense • Administração e responsabilidade indireta do gerenciamento • Implementações proprietárias não podem ser detalhadamente examinadas •35 Perda de controle físico
Analisando Riscos da Nuvem Ameaças • Usuários maliciosos internos • Perda de dados • Roubo de informação • Quebra de confidencialidade • Hijacking de contas de usuários ou serviços • Abuso ou uso inaproriado • APIS e Interfaces inseguras • Compartilhamento e integração de tecnologias complexas • Perfil de Risco Desconhecido Cloud Security Alliance – Top Threats to Cloud Computing 36
Analisando Riscos da Nuvem Componentes Relevantes(Alvo) para Segurança na CN • Provedores de Serviços • Serviços de Armanezamento de Dados • Infraestrutura de Processamento • Suporte aos Serviços • Rede e Perímetro de Segurança • Elementos Elásticos: Armazenamento, Processamento, Processamento e Redes Virtuais 37
Analisando Riscos da Nuvem Provedores de Serviços • Vantagens – Rápida reconstrução de Serviços – Habilita disponibilidade • Disponibilisado em múltiplos data centers / instâncias – Capacidade avançadas de Honey Net • Desafios – Impacto e comprometimento do provedor de serviços da forma adequada e contratada 38
Analisando Riscos da Nuvem Serviços de Armazenamento de Dados • Vantagens – Dispersão e fragmentação de dados – Replicação automatizada – Disponibilidade de dados por locais (ex, por país) – Criptografia em armazenamento e em trânsito – Retenção automatizada de dados • Desafios – Gerenciamento isolado / multitenacidade de dados – Controle de armazenamento • ”Single point of failure” – Exposição de dados a leis de privacidade e governos extrangeiros 39
Analisando Riscos da Nuvem Infraestrutura de Processamento • Vantagens – Habilidade em assegurar o sistema primário e recriar “imagens” automaticamente de forma segura e confiável • Desafios – Multitenacidade de aplicações – Confiança nos “hypervisors” – Isolamento de processos públicos/privados – Desenvolvimento e testes (“sandboxes”) 40
Analisando Riscos da Nuvem Suporte dos Serviços • Vantagens – Controles de segurança por demanda (ex, autenticação, logs, firewalls, proxy de aplicações.) • Desafios – Risco adicional, aplicações de clientes vs terceiros – Necessita certificação/entidades/acreditação como aplicações separadas – Atualização de códigos 41
Analisando Riscos da Nuvem Rede e Segurança de Perímetro • Vantagens – Proteção distribuída de um DDOS – Capacidade em VLAN – Perímetro de segurança (IDS, firewall, autenticação, etc) • Desafios – Zonas virtuais com integração de aplicações móveis e interação com inúmeros “gadgets” – Diferentes aplicativos disponíveis no mercado, desenvolvidos pelo próprio fornecedor ou terceiros 42
Arquitetura Modelos Riscos Focus em Avaliação Específico Nuvem SAAS Public Viabilidade de Estratégia Estratégicos Técnicos Comparar Provedores Legais Private Conformidade PAAS Influência da Gerenciador de Nuvem Fornecedores ›SLAs Indisponibilidade ›Guias Community ›Melhores Práticas Controle de Acessos Pessoal Testes de Garantia ›CERT ›PCI IAAS Hybrid Gerenciamento 43
Arquitetura Modelos Riscos Focus em Avaliação Específico Nuvem SAAS Public Viabilidade de Estratégia Estratégicos Técnicos Comparar Provedores Legais Private Conformidade PAAS Influência da Gerenciador de Nuvem Fornecedores ›SLAs Indisponibilidade ›Guias Community ›Melhores Práticas Controle de Acessos Pessoal Testes de Garantia ›CERT ›PCI IAAS Hybrid Gerenciamento 44
Arquitetura Modelos Riscos Focus em Avaliação Específico Nuvem SAAS Public Viabilidade de Estratégia Estratégicos Técnicos Comparar Provedores Legais Private Mais de 480,000 combinações de risco! Conformidade PAAS Influência da Gerenciador de Nuvem Fornecedores ›SLAs Indisponibilidade ›Guias Community ›Melhores Práticas Controle de Acessos Pessoal Testes de Garantia ›CERT ›PCI IAAS Hybrid Gerenciamento 45
"As tecnologias mais profundas e duradouras são aquelas que desaparecem. Elas dissipam-se nas coisas do dia a dia até tornarem-se indistingüíveis.“ Mark Weiser Dúvidas? Muito obrigado! Cássio Quaresma cassio.quaresma@gmail.com 46

Recomendados

Segurança e privacidade em computação em nuvem - uma visão geral
Segurança e privacidade em computação em nuvem - uma visão geralSegurança e privacidade em computação em nuvem - uma visão geral
Segurança e privacidade em computação em nuvem - uma visão geralLuiz Amelotti
 
Segurança Em Computaçao Na Nuvem
Segurança Em Computaçao Na NuvemSegurança Em Computaçao Na Nuvem
Segurança Em Computaçao Na NuvemJavier Antonio Humarán Peñuñuri
 
Cloud computing
Cloud computingCloud computing
Cloud computingKlaus Fischer Gomes Santana
 
Segurança na Nuvem
Segurança na NuvemSegurança na Nuvem
Segurança na NuvemAmazon Web Services LATAM
 
Segurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosSegurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosRodrigo Felipe Betussi
 
Tcc firewalls e a segurança na internet
Tcc firewalls e a segurança na internetTcc firewalls e a segurança na internet
Tcc firewalls e a segurança na internetalexandrino1
 
CSA BRASIL: Aspectos jurídicos da Computação em Nuvem
CSA BRASIL: Aspectos jurídicos da Computação em NuvemCSA BRASIL: Aspectos jurídicos da Computação em Nuvem
CSA BRASIL: Aspectos jurídicos da Computação em NuvemAnchises Moraes
 
Cloud conceitos, segurança e migração
Cloud conceitos, segurança e migraçãoCloud conceitos, segurança e migração
Cloud conceitos, segurança e migraçãoAllen Informática
 

Recomendados

Segurança e privacidade em computação em nuvem - uma visão geral
Segurança e privacidade em computação em nuvem - uma visão geralSegurança e privacidade em computação em nuvem - uma visão geral
Segurança e privacidade em computação em nuvem - uma visão geralLuiz Amelotti
 
Segurança Em Computaçao Na Nuvem
Segurança Em Computaçao Na NuvemSegurança Em Computaçao Na Nuvem
Segurança Em Computaçao Na NuvemJavier Antonio Humarán Peñuñuri
 
Cloud computing
Cloud computingCloud computing
Cloud computingKlaus Fischer Gomes Santana
 
Segurança na Nuvem
Segurança na NuvemSegurança na Nuvem
Segurança na NuvemAmazon Web Services LATAM
 
Segurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosSegurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosRodrigo Felipe Betussi
 
Tcc firewalls e a segurança na internet
Tcc firewalls e a segurança na internetTcc firewalls e a segurança na internet
Tcc firewalls e a segurança na internetalexandrino1
 
CSA BRASIL: Aspectos jurídicos da Computação em Nuvem
CSA BRASIL: Aspectos jurídicos da Computação em NuvemCSA BRASIL: Aspectos jurídicos da Computação em Nuvem
CSA BRASIL: Aspectos jurídicos da Computação em NuvemAnchises Moraes
 
Cloud conceitos, segurança e migração
Cloud conceitos, segurança e migraçãoCloud conceitos, segurança e migração
Cloud conceitos, segurança e migraçãoAllen Informática
 
Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013Cisco do Brasil
 
Artigo Cloud Computing
Artigo Cloud ComputingArtigo Cloud Computing
Artigo Cloud ComputingRicardo Peres
 
Tcc segurança da informação
Tcc segurança da informaçãoTcc segurança da informação
Tcc segurança da informaçãoSebastião de Aquino Ribeiro Junior
 
TCC Seguranca -1.0
TCC Seguranca -1.0TCC Seguranca -1.0
TCC Seguranca -1.0Adriano Santos
 
Analise Seguranca Computacao Nuvem - XXXII SBRC (2014)
Analise Seguranca Computacao Nuvem - XXXII SBRC (2014)Analise Seguranca Computacao Nuvem - XXXII SBRC (2014)
Analise Seguranca Computacao Nuvem - XXXII SBRC (2014)Santa Catarina State University (UDESC)
 
Sociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud ForensicsSociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud Forensicsederruschel
 
Sociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud ForensicsSociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud Forensicsederruschel
 
Sociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud ForensicsSociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud Forensicsederruschel
 
Relatorio Anual de Seguranca da Cisco
Relatorio Anual de Seguranca da CiscoRelatorio Anual de Seguranca da Cisco
Relatorio Anual de Seguranca da CiscoRICARDO GARCIA GIORDANO
 
Criptografia nas redes sem fio
Criptografia nas redes sem fioCriptografia nas redes sem fio
Criptografia nas redes sem fioDaiana Tavares
 
Segurança Inter-redes
Segurança Inter-redesSegurança Inter-redes
Segurança Inter-redesfelipetsi
 
Protocolos de Segurança
Protocolos de SegurançaProtocolos de Segurança
Protocolos de SegurançaDaiana de Ávila
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1gabrio2022
 
Redes e os princípios da criptografia
Redes e os princípios da criptografiaRedes e os princípios da criptografia
Redes e os princípios da criptografiaUNIEURO
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...University of North Carolina at Chapel Hill Balloni
 
Fornetix lgpd-whitepaper-portuguese (3)
Fornetix lgpd-whitepaper-portuguese (3)Fornetix lgpd-whitepaper-portuguese (3)
Fornetix lgpd-whitepaper-portuguese (3)Carlos Serrano
 
Apresentação - Cloud Computing
Apresentação - Cloud ComputingApresentação - Cloud Computing
Apresentação - Cloud ComputingUniCloud
 
Abin aula 01-1
Abin aula 01-1Abin aula 01-1
Abin aula 01-1Esc Tiradentes
 
Executive Report 3CON_ Seguranca Mainframe
Executive Report 3CON_ Seguranca MainframeExecutive Report 3CON_ Seguranca Mainframe
Executive Report 3CON_ Seguranca MainframeMarcos Carvalho
 
Prêmio Prof. Dr. Imre Simon Ed. 2014 - Reportagens sobre a Infraestrutura da ...
Prêmio Prof. Dr. Imre Simon Ed. 2014 - Reportagens sobre a Infraestrutura da ...Prêmio Prof. Dr. Imre Simon Ed. 2014 - Reportagens sobre a Infraestrutura da ...
Prêmio Prof. Dr. Imre Simon Ed. 2014 - Reportagens sobre a Infraestrutura da ...Assespro Nacional
 
Tech segurança na nuvem
Tech segurança na nuvemTech segurança na nuvem
Tech segurança na nuvemCarlos Goldani
 
Transferência para uma nuvem privada com confiança
Transferência para uma nuvem privada com confiançaTransferência para uma nuvem privada com confiança
Transferência para uma nuvem privada com confiançaCisco do Brasil
 

Mais conteúdo relacionado

Mais procurados

Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013Cisco do Brasil
 
Artigo Cloud Computing
Artigo Cloud ComputingArtigo Cloud Computing
Artigo Cloud ComputingRicardo Peres
 
Sociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud ForensicsSociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud Forensicsederruschel
 
Sociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud ForensicsSociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud Forensicsederruschel
 
Sociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud ForensicsSociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud Forensicsederruschel
 
Criptografia nas redes sem fio
Criptografia nas redes sem fioCriptografia nas redes sem fio
Criptografia nas redes sem fioDaiana Tavares
 
Segurança Inter-redes
Segurança Inter-redesSegurança Inter-redes
Segurança Inter-redesfelipetsi
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1gabrio2022
 
Redes e os princípios da criptografia
Redes e os princípios da criptografiaRedes e os princípios da criptografia
Redes e os princípios da criptografiaUNIEURO
 
Fornetix lgpd-whitepaper-portuguese (3)
Fornetix lgpd-whitepaper-portuguese (3)Fornetix lgpd-whitepaper-portuguese (3)
Fornetix lgpd-whitepaper-portuguese (3)Carlos Serrano
 
Apresentação - Cloud Computing
Apresentação - Cloud ComputingApresentação - Cloud Computing
Apresentação - Cloud ComputingUniCloud
 
Executive Report 3CON_ Seguranca Mainframe
Executive Report 3CON_ Seguranca MainframeExecutive Report 3CON_ Seguranca Mainframe
Executive Report 3CON_ Seguranca MainframeMarcos Carvalho
 
Prêmio Prof. Dr. Imre Simon Ed. 2014 - Reportagens sobre a Infraestrutura da ...
Prêmio Prof. Dr. Imre Simon Ed. 2014 - Reportagens sobre a Infraestrutura da ...Prêmio Prof. Dr. Imre Simon Ed. 2014 - Reportagens sobre a Infraestrutura da ...
Prêmio Prof. Dr. Imre Simon Ed. 2014 - Reportagens sobre a Infraestrutura da ...Assespro Nacional
 

Mais procurados (20)

Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013
 
Artigo Cloud Computing
Artigo Cloud ComputingArtigo Cloud Computing
Artigo Cloud Computing
 
Tcc segurança da informação
Tcc segurança da informaçãoTcc segurança da informação
Tcc segurança da informação
 
TCC Seguranca -1.0
TCC Seguranca -1.0TCC Seguranca -1.0
TCC Seguranca -1.0
 
Analise Seguranca Computacao Nuvem - XXXII SBRC (2014)
Analise Seguranca Computacao Nuvem - XXXII SBRC (2014)Analise Seguranca Computacao Nuvem - XXXII SBRC (2014)
Analise Seguranca Computacao Nuvem - XXXII SBRC (2014)
 
Sociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud ForensicsSociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud Forensics
 
Sociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud ForensicsSociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud Forensics
 
Sociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud ForensicsSociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud Forensics
 
Relatorio Anual de Seguranca da Cisco
Relatorio Anual de Seguranca da CiscoRelatorio Anual de Seguranca da Cisco
Relatorio Anual de Seguranca da Cisco
 
Criptografia nas redes sem fio
Criptografia nas redes sem fioCriptografia nas redes sem fio
Criptografia nas redes sem fio
 
Segurança Inter-redes
Segurança Inter-redesSegurança Inter-redes
Segurança Inter-redes
 
Protocolos de Segurança
Protocolos de SegurançaProtocolos de Segurança
Protocolos de Segurança
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1
 
Redes e os princípios da criptografia
Redes e os princípios da criptografiaRedes e os princípios da criptografia
Redes e os princípios da criptografia
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
 
Fornetix lgpd-whitepaper-portuguese (3)
Fornetix lgpd-whitepaper-portuguese (3)Fornetix lgpd-whitepaper-portuguese (3)
Fornetix lgpd-whitepaper-portuguese (3)
 
Apresentação - Cloud Computing
Apresentação - Cloud ComputingApresentação - Cloud Computing
Apresentação - Cloud Computing
 
Abin aula 01-1
Abin aula 01-1Abin aula 01-1
Abin aula 01-1
 
Executive Report 3CON_ Seguranca Mainframe
Executive Report 3CON_ Seguranca MainframeExecutive Report 3CON_ Seguranca Mainframe
Executive Report 3CON_ Seguranca Mainframe
 
Prêmio Prof. Dr. Imre Simon Ed. 2014 - Reportagens sobre a Infraestrutura da ...
Prêmio Prof. Dr. Imre Simon Ed. 2014 - Reportagens sobre a Infraestrutura da ...Prêmio Prof. Dr. Imre Simon Ed. 2014 - Reportagens sobre a Infraestrutura da ...
Prêmio Prof. Dr. Imre Simon Ed. 2014 - Reportagens sobre a Infraestrutura da ...
 

Semelhante a Oportunidades e riscos da segurança na computação na nuvem

Tech segurança na nuvem
Tech segurança na nuvemTech segurança na nuvem
Tech segurança na nuvemCarlos Goldani
 
Transferência para uma nuvem privada com confiança
Transferência para uma nuvem privada com confiançaTransferência para uma nuvem privada com confiança
Transferência para uma nuvem privada com confiançaCisco do Brasil
 
00 13092011-1430-anderson-germano
00 13092011-1430-anderson-germano00 13092011-1430-anderson-germano
00 13092011-1430-anderson-germanoguiabusinessmedia
 
OnPremise to Cloud (o2c) - WhitePaper- yros
OnPremise to Cloud (o2c) - WhitePaper- yrosOnPremise to Cloud (o2c) - WhitePaper- yros
OnPremise to Cloud (o2c) - WhitePaper- yrosYros
 
On-premise to Cloud (o2c) - WhitePaper | yros
On-premise to Cloud (o2c) - WhitePaper | yros On-premise to Cloud (o2c) - WhitePaper | yros
On-premise to Cloud (o2c) - WhitePaper | yros Yros
 
3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdf3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdfDimas Francisco
 
Lista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerLista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerAmazon Web Services LATAM
 
My Cloud Computing Presentation V3
My Cloud Computing Presentation V3My Cloud Computing Presentation V3
My Cloud Computing Presentation V3namplc
 
Introdução a Cloud Computing
Introdução a Cloud ComputingIntrodução a Cloud Computing
Introdução a Cloud ComputingFrederico Madeira
 
O que é computação em nuvem.docx
O que é computação em nuvem.docxO que é computação em nuvem.docx
O que é computação em nuvem.docxPriscillaZambotti
 
O que é computação em nuvem.docx
O que é computação em nuvem.docxO que é computação em nuvem.docx
O que é computação em nuvem.docxPriscillaZambotti
 
Aula 1 Segurança
Aula 1 SegurançaAula 1 Segurança
Aula 1 Segurançadougvaz
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud ComputingAlê Borba
 
Computação em Nuvem - Cloud Computing
Computação em Nuvem - Cloud ComputingComputação em Nuvem - Cloud Computing
Computação em Nuvem - Cloud ComputingAllan Reis
 
Be Aware Webinar – INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES ...
Be Aware Webinar – INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES ...Be Aware Webinar – INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES ...
Be Aware Webinar – INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES ...Symantec Brasil
 
INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES NA NUVEM
INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES NA NUVEMINTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES NA NUVEM
INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES NA NUVEMSymantec Brasil
 

Semelhante a Oportunidades e riscos da segurança na computação na nuvem (20)

Tech segurança na nuvem
Tech segurança na nuvemTech segurança na nuvem
Tech segurança na nuvem
 
Transferência para uma nuvem privada com confiança
Transferência para uma nuvem privada com confiançaTransferência para uma nuvem privada com confiança
Transferência para uma nuvem privada com confiança
 
00 13092011-1430-anderson-germano
00 13092011-1430-anderson-germano00 13092011-1430-anderson-germano
00 13092011-1430-anderson-germano
 
OnPremise to Cloud (o2c) - WhitePaper- yros
OnPremise to Cloud (o2c) - WhitePaper- yrosOnPremise to Cloud (o2c) - WhitePaper- yros
OnPremise to Cloud (o2c) - WhitePaper- yros
 
On-premise to Cloud (o2c) - WhitePaper | yros
On-premise to Cloud (o2c) - WhitePaper | yros On-premise to Cloud (o2c) - WhitePaper | yros
On-premise to Cloud (o2c) - WhitePaper | yros
 
3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdf3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdf
 
Lista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerLista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security Officer
 
My Cloud Computing Presentation V3
My Cloud Computing Presentation V3My Cloud Computing Presentation V3
My Cloud Computing Presentation V3
 
Introdução a Cloud Computing
Introdução a Cloud ComputingIntrodução a Cloud Computing
Introdução a Cloud Computing
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
OESP_Pg5_1115
OESP_Pg5_1115OESP_Pg5_1115
OESP_Pg5_1115
 
O que é computação em nuvem.docx
O que é computação em nuvem.docxO que é computação em nuvem.docx
O que é computação em nuvem.docx
 
O que é computação em nuvem.docx
O que é computação em nuvem.docxO que é computação em nuvem.docx
O que é computação em nuvem.docx
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
Aula 1 Segurança
Aula 1 SegurançaAula 1 Segurança
Aula 1 Segurança
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
Computação em Nuvem - Cloud Computing
Computação em Nuvem - Cloud ComputingComputação em Nuvem - Cloud Computing
Computação em Nuvem - Cloud Computing
 
Ufs na nuvem gp 2017-2
Ufs na nuvem gp 2017-2 Ufs na nuvem gp 2017-2
Ufs na nuvem gp 2017-2
 
Be Aware Webinar – INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES ...
Be Aware Webinar – INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES ...Be Aware Webinar – INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES ...
Be Aware Webinar – INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES ...
 
INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES NA NUVEM
INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES NA NUVEMINTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES NA NUVEM
INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES NA NUVEM
 

Oportunidades e riscos da segurança na computação na nuvem

  • 1. Oportunidades e Riscos de Segurança na Computação na Nuvem + Segurança no PaS Microsoft Windows Azure Cássio Quaresma cassio.quaresma@gmail.com
  • 2. Resumo • Definição genérica da Nuvem • O futuro presente • Paradgima computacional • Modelos de negócio • Possíveis estratégias na nova Era • E como definir segurança? • Tempestade nas nuvens • Impacto nas Organizações • Impacto na TI e na Segurança da Informação • Entendo os riscos da Computação na Nuvem • Analizando Riscos da Nuvem • 2 Agora nas Nuvens…e depois? 2
  • 3. Definição genérica da Nuvem Habilitar convenientemente, por demanda, o acesso pela rede ao ambiente compartilhado de recursos que podem ser automaticamente fornecidos e disponibilizados com o mínimo esforço gerencial ou interação do provedor de serviços ou mesmo configuração: – Recursos computacionais – Redes – Servidores – Armazenamento – Aplicações – Serviços 3
  • 4. O futuro presente • Plataforma dominante no mínimo para as próximas duas décadas • Reconstruindo a TI (as profissões e a segurança de TI) • Maior mudança radical na história da computação continua: – “computar” como utilidade • Mas quanto mais e mais informações das empresas e indivíduos armazenados na nuvem, surgem preocupações e questionamentos quanto à segurança deste novo ambiente complexo e em constante transformação 4
  • 5. Paradigma Computactional Paradigma da Computação Comum vs Nuvem • Compartilhamento de recursos vs Independência de localização • Maior automação vs menor recurso(“erro”) Humano • Padrões abertos vs Padrões fechados • Gerenciamento de TI vs Maior foco em inovação tecnológica 5
  • 6. Possíveis estratégias na nova Era • Pequenas empresas usam SaaS públicas e nuvens públicas, reduzindo custo e minimizar o crescimento de data centers • Grandes empresas podem disponibilizar nuvens privadas • Grandes empresas podem usar nuvens de infraestrutura (IaaS) hibridas para alavancar redes internas e nuvens públicas • Nuvens públicas podem adoptar padrões abertos com o fim de padronizar a competitividade em infraestrutura híbrida na nuvem 6
  • 7. E como definir segurança? • Porquê comumente tendemos à prescrição de ISOs, conjunto de melhores práticas e começamos esta discussão com checklists absolutos como ISO27001, PCI, OSX, HIPPA e outras? • Com o conceito fluído como a CN isso simplesmente não é nem um pouco fácil ou trivial • Não existe um único modelo, ou não existe uma única arquitetura que nos permite definir como CN de forma rígida e absoluta 7
  • 8. E como definir segurança? 2008/2009 8
  • 9. E como definir segurança? 2009/2010 9
  • 10. E como definir segurança? • É realmente sobre comportamento da infraestrutura como um todo: – como a nuvem entrega a aplicação – aplicação orientada ao serviço, isso é o que importa • A “lado bom” é que podemos definir esse comportamento: – Tanto o comportamento de uma infraestrutura de aplicação no ambiente de computação como um todo; – Quanto categorizando ou classificando a informação dentro dos seus diferentes modelos 10
  • 11. Tempestade nas nuvens • A Internet é falha nos principais fundamentos de segurança dos protocolos necessários para proteger a Internet como ela é • Mas sem segurança implementada nas tecnologias adjacentes que suportam a CN, os modelos de negócios estão vulneráveis ao colapso • Construindo um castelo de cartas e modelando negócios em cima de uma fundação fraca, as organizações estão se arriscando demais e procurando problemas num futuro próximo 11
  • 12. Impacto da Nuvem nas Organizações • Econômico – Permite o alto crescimento computacional – Habilita novos modelos de negócio • Regulamentação – Conformidade – Auditoria • Profissionais de TI & Segurança de TI – Conjunto de conhecimentos e habilidades exigem a adaptação entre provedores de serviços e clientes 12
  • 13. Impacto na Segurança de Informação Todo sistema de segurança violado se pensava que era infalível • Provedores afirmam que seus sistemas são mais robustos, e reafirmam que na nuvem a segurança é mais apertada do que na maioria das organizações • Mas pelo simples facto que todo o sistema de segurança, posteriormente violado, anteriormente se pensava que era infalível • Provedores de serviços se deparam com questões de segurança similares ao atual ambiente das organizações, • Analistas advertem que a CN está se tornando atrativo ao crime cibernético – Michael Calce afirma “colocar toda a informação da organização numa única caixa na nuvem somente vai tornar muito mais fácil para os hackers” 13 – Risco de um único ponto de falha (“Single point of Failure”)
  • 14. Impacto na Segurança de Informação Mais de 24h de “Downtime” 14
  • 15. Impacto na Segurança de Informação Estudo de Provedores de CN – Ponemon Institute • “A maioria dos fornecedores de CN pesquisados…não acreditam que seus produtos ou serviços protegem suficientemente dados confidenciais ou sensíveis de seus clientes” • “Apenas 23 % nos EUA e 35 % na UE, os provedores de serviços concordam plenamente que os líderes de TI de suas organizações estão preocupados com a segurança dos recursos computacionais disponibilizados aos seus clientes.” • Em outras palavras, na maioria dos provedores de serviços, não admitem que a segurança seja de sua responsabilidade. 15
  • 16. Cenário Idealista vs Real “Economizar e alcançar eficiência, alavancando a virtualização e centralizando aplicações, armazenamento e plataformas que permite pagar somente pelos recursos usados, escalável em um único sistema ou rede.” Sonho de consumo de qualquer gerente/diretor de TI VS “Falta de conhecimento adia o uso da ‘nuvem’” Jornal do Comércio, 30/11/2011 Pesquisa da Symantec sobre utilização de cloud foi realizada com 5,3 mil organizações mundiais 16
  • 17. Sobrepondo risco sobre risco Mover para um ambiente virtual para reduzir custo nos introduz a um novo risco sobreposto ao mesmo risco já existente: • Onde o meu dado está armazenado? • A nuvem da Microsoft são seguras? • Quem pode ver o meu dado? • Quem me garante que os dados da minha empresa estão sendo acessados e protegidos conforme as regras? • O que acontece se... 17
  • 18. Sobrepondo risco sobre risco • Segurança na nuvem vem sido exarcebado pela vantagem econômica, que acabam aderindo em primeiro lugar ao modelo da CN e somente depois pensar na segurança • Estão tentando sobrecarregar quanto mais aplicações possíveis em seus próprios servidores, e que independentemente do que eles façam no seu próprio ambiente ou mesmo “empurrando” as aplicações para a nuvem, que o resultado final é exatamente o mesmo • Cada vez mais é comum, a segurança ser sacrificada para reduzir custos 18
  • 19. Impacto na Segurança de Informação Voltando aos principios básicos • Um dos aspetos principais para manter a nuvem segura para todos os usuários é necessário aderir aos principios básicos de segurança aplicados no mundo não virtualizado • É imperativo que usuários façam o básico e essencial somente: – Suportar a execução de regras minimizando previlégios administrativos – Focar na sinergia entre o fornecedor e atualizações de patch/fix • Enquanto muitos fornecedores de serviços na nuvem e virtualização disponibilizam a sua capacidade de gerenciamento de patches: – A empresa precisa ficar atenta que a necessidade de gerenciar patches é somente quanto ao fornecedor de componentes de software – O cliente continua sendo o responsável por manter suas máquinas virtuais/gadgets/clientes/usuários e senhas/terceiros atualizadas 19
  • 20. Consideraçoes de Segurança PaS com Windows Azure 20
  • 21. Segurança do Azure PaS Arquitetura 21
  • 22. Segurança do Azure PaS Modelo RBAC – Role Based Access Control 22
  • 23. Segurança do Azure PaS Proteção em profundidade 23
  • 24. Segurança do Azure PaS Hypervisor – Separação de Previlégios 24
  • 25. Segurança do Azure PaS Controle de Acess 25
  • 26. Segurança do Azure PaS Armazenamento e Redundância 26
  • 27. Segurança do Azure PaS Gerenciamento de Identidades 27
  • 28. Segurança do Azure PaS Security Development Lifecycle(SDL) 28
  • 29. Segurança do Azure PaS Datacenter Seguro 29
  • 30. Segurança do Azure PaS Localização dos dados 30
  • 31. Riscos da Computação na Nuvem Leis locais e a jurisdição onde o dado é armazenado • Possivelmente mais pressionado do que na criação da padronização da nuvem, é a nova fronteira que surge quanto a questões de jurisdição de privacidade e criminalidade • Dados que pode estar “seguros” em um país, mas podem não estar seguros de forma adequada quanto a regulamentação e proteção de privacidade e seu uso. • Na maioria dos casos os usuários nem sabem exatamente onde seus dados estão armazenados 31
  • 32. Riscos da Computação na Nuvem Leis locais e a jurisdição onde o dado é armazenado • Enquanto nas leis nos EUA como a ‘US Patriot Act’ investe no governo e outras agências com poderes virtuais limitados de acessar informações incluindo dados pertencentes a qualquer organização • A preocupação da UE acredita que as leis de privacidade praticadas nos EUA levaram à criação de “US Safe Harbor Privacy Principles”, que tem o intuito de prover ás organizações da UE a capacidade de armazenamento de dados em um grau de isolamento das leis de EUA • “O Brasil tem mais de 20 projetos de lei que tocam no assunto privacidade [...] são textos direcionados a segmentos específicos como cartão de crédito, celulares, spam e até na troca de documentos eletrônicos [...] mesmo se aprovadas, não atendem à necessidade de ter uma regra básica que regula a privacidade.” Marcel Leonardi, professor da Faculdade Getúlio Vargas 32
  • 33. Analisando Riscos da Nuvem CN é um sistema altamente complexo que pode ser reduzido em premissas simples e podem ser replicadas centenas de vezes e comumente em diferentes unidades/modelos funcionais Segurança na CN é um problema possível de ser gerenciado – Existem ambas vantagens e desafios O CEO da Intel, Andy Grove, comentou: – “…somente paranóicos sobreviveram na nuvem…” 33
  • 34. Analisando Riscos da Nuvem Vantagens • Separando dados públicos no armazenamento externo na nuvem reduz a exposição de dados internos sensíveis • CN homogénea torna questões de segurança como auditoria e testes mais simples • CN habilita a automação de gestão de segurança • Redundância e Recuparação de Desastres – Agilidade na Recuperação de dados – Menor “Downtime” – Resiliência na disponibilidade 34
  • 35. Analisando Riscos da Nuvem Desafios • Confiabilidade nos fornecedores de serviços e modelos de segurança implementados por terceiros • Incapacidade do cliente em confirmar às constatações da auditoria pela prestadora de serviços • Obter suporte investigativo ou perícia forense • Administração e responsabilidade indireta do gerenciamento • Implementações proprietárias não podem ser detalhadamente examinadas •35 Perda de controle físico
  • 36. Analisando Riscos da Nuvem Ameaças • Usuários maliciosos internos • Perda de dados • Roubo de informação • Quebra de confidencialidade • Hijacking de contas de usuários ou serviços • Abuso ou uso inaproriado • APIS e Interfaces inseguras • Compartilhamento e integração de tecnologias complexas • Perfil de Risco Desconhecido Cloud Security Alliance – Top Threats to Cloud Computing 36
  • 37. Analisando Riscos da Nuvem Componentes Relevantes(Alvo) para Segurança na CN • Provedores de Serviços • Serviços de Armanezamento de Dados • Infraestrutura de Processamento • Suporte aos Serviços • Rede e Perímetro de Segurança • Elementos Elásticos: Armazenamento, Processamento, Processamento e Redes Virtuais 37
  • 38. Analisando Riscos da Nuvem Provedores de Serviços • Vantagens – Rápida reconstrução de Serviços – Habilita disponibilidade • Disponibilisado em múltiplos data centers / instâncias – Capacidade avançadas de Honey Net • Desafios – Impacto e comprometimento do provedor de serviços da forma adequada e contratada 38
  • 39. Analisando Riscos da Nuvem Serviços de Armazenamento de Dados • Vantagens – Dispersão e fragmentação de dados – Replicação automatizada – Disponibilidade de dados por locais (ex, por país) – Criptografia em armazenamento e em trânsito – Retenção automatizada de dados • Desafios – Gerenciamento isolado / multitenacidade de dados – Controle de armazenamento • ”Single point of failure” – Exposição de dados a leis de privacidade e governos extrangeiros 39
  • 40. Analisando Riscos da Nuvem Infraestrutura de Processamento • Vantagens – Habilidade em assegurar o sistema primário e recriar “imagens” automaticamente de forma segura e confiável • Desafios – Multitenacidade de aplicações – Confiança nos “hypervisors” – Isolamento de processos públicos/privados – Desenvolvimento e testes (“sandboxes”) 40
  • 41. Analisando Riscos da Nuvem Suporte dos Serviços • Vantagens – Controles de segurança por demanda (ex, autenticação, logs, firewalls, proxy de aplicações.) • Desafios – Risco adicional, aplicações de clientes vs terceiros – Necessita certificação/entidades/acreditação como aplicações separadas – Atualização de códigos 41
  • 42. Analisando Riscos da Nuvem Rede e Segurança de Perímetro • Vantagens – Proteção distribuída de um DDOS – Capacidade em VLAN – Perímetro de segurança (IDS, firewall, autenticação, etc) • Desafios – Zonas virtuais com integração de aplicações móveis e interação com inúmeros “gadgets” – Diferentes aplicativos disponíveis no mercado, desenvolvidos pelo próprio fornecedor ou terceiros 42
  • 43. Arquitetura Modelos Riscos Focus em Avaliação Específico Nuvem SAAS Public Viabilidade de Estratégia Estratégicos Técnicos Comparar Provedores Legais Private Conformidade PAAS Influência da Gerenciador de Nuvem Fornecedores ›SLAs Indisponibilidade ›Guias Community ›Melhores Práticas Controle de Acessos Pessoal Testes de Garantia ›CERT ›PCI IAAS Hybrid Gerenciamento 43
  • 44. Arquitetura Modelos Riscos Focus em Avaliação Específico Nuvem SAAS Public Viabilidade de Estratégia Estratégicos Técnicos Comparar Provedores Legais Private Conformidade PAAS Influência da Gerenciador de Nuvem Fornecedores ›SLAs Indisponibilidade ›Guias Community ›Melhores Práticas Controle de Acessos Pessoal Testes de Garantia ›CERT ›PCI IAAS Hybrid Gerenciamento 44
  • 45. Arquitetura Modelos Riscos Focus em Avaliação Específico Nuvem SAAS Public Viabilidade de Estratégia Estratégicos Técnicos Comparar Provedores Legais Private Mais de 480,000 combinações de risco! Conformidade PAAS Influência da Gerenciador de Nuvem Fornecedores ›SLAs Indisponibilidade ›Guias Community ›Melhores Práticas Controle de Acessos Pessoal Testes de Garantia ›CERT ›PCI IAAS Hybrid Gerenciamento 45
  • 46. "As tecnologias mais profundas e duradouras são aquelas que desaparecem. Elas dissipam-se nas coisas do dia a dia até tornarem-se indistingüíveis.“ Mark Weiser Dúvidas? Muito obrigado! Cássio Quaresma cassio.quaresma@gmail.com 46