O documento discute segurança na computação em nuvem. Apresenta as ameaças à confidencialidade, integridade e disponibilidade dos dados na nuvem, incluindo desvio de sessão, fuga da virtualização e injeção de código malicioso. Também aborda os desafios de criptografia, gerenciamento de identidades e acesso em ambientes multi-locatários.
1. Segurança na
Computação em
Nuvem
LRG – Laboratório de Redes e Gerência
Carla Merkle Westphall
carlamw@inf.ufsc.br
Carlos Becker Westphall
westphal@inf.ufsc.br
3. 3
Segurança
CID – confidencialidade, integridade,
disponibilidade
Ameaças – condições ou eventos que forneçam
potencial de violação de segurança
Vulnerabilidade – falha ou característica indevida
que pode ser explorada
Ataque – conjunto de ações feitas por entidade não
autorizada visando violações de segurança
4. 4
Computação em nuvem
Hardware e Software entregues:
• Sob demanda na forma de auto-atendimento
• Independente de dispositivo e de localização
Recursos necessários
• Compartilhados
• Dinamicamente escaláveis
• Alocados rapidamente e liberados com
interação mínima com o provedor de serviço
• Virtualizados
Usuários pagam pelo serviço usado
8. 8
Segurança e economia
• Em larga escala implementar segurança é mais barato
(filtros, gerenciamento de patches, proteção de máquinas
virtuais)
• Grandes provedores de cloud podem contratar
especialistas
• Atualizações são mais rápidas em ambientes homogêneos
para responder aos incidentes
• Imagens padrão de VMs e softwares podem ser atualizados
com configurações de segurança e patches
“Mesmo valor de investimentos em segurança compra
uma proteção melhor"
9. 9
Defesas de ambientes de nuvem podem
ser mais robustas, escaláveis e ter uma
relação custo-benefício melhor, mas…
....a concentração grande de recursos e
dados são um alvo mais atraente para
atacantes
10. 10
Ameaças
• Desvio de sessão (session hijacking): o atacante
consegue se apoderar de uma sessão HTTP
válida para obter acesso não autorizado
11. 11
Ameaças
• Fuga da virtualização: o atacante consegue sair
do ambiente virtualizado e obter acesso à
máquina física
12. 12
Ameaças
• Criptografia insegura e obsoleta:
▫ avanços na criptoanálise, protocolos e
algoritmos antes considerados seguros passam
a ser obsoletos e vulneráveis
▫ gerenciamento e armazenamento de muitas
chaves, hardware não é fixo, difícil ter HSM
• Amazon S3 (serviço de storage) usa 256-bit
Advanced Encryption Standard (AES-256)
13. 13
Ameaças
• Acesso não autorizado à interface de gerência:
com o auto-atendimento o gerenciamento de
clouds geralmente é feito em uma interface
web, sendo mais fácil para um atacante obter
acesso não autorizado
14. 14
Ameaças
• Vulnerabilidades do IP: acesso via Internet,
rede não confiável, IP possui problemas de
segurança (scanning IaaS proibido)
• Vulnerabilidades de recuperação de dados:
devido a realocação de recursos é possível que
um usuário tenha acesso a recursos de
armazenamento e memória previamente
utilizados que ainda podem conter dados
15. 15
Ameaças
• Injeção de código malicioso:
▫ injeção de SQL – comando SQL é adicionado
ou substitui dados fornecidos pelo usuário que
são interpretados (e executados)
▫ Cross-Site Scripting - permite a execução de
códigos (scripts) no browser do lado do cliente
16. 16
SQL Injection – Ilustração
"SELECT * FROM
Conta :: Contas
Conta
accounts WHERE
Knowledge Mgmt
Communication
Administration
Legacy Systems
Bus. Functions
Application Layer
Human Resrcs
E-Commerce
Transactions
Web Services
SKU:
acct=‘’ OR
Directories
Accounts
Conta:5424-6066-2134-4334
Databases
Finance
HTTP
Billing
HTTP SQL DB Table Conta:4128-7574-3921-0192
response
1=1--’"
request query Conta:5424-9383-2039-4029
APPLICATION
Conta:4128-0004-1234-0293
ATTACK
Custom Code
1. Aplicação apresenta um
formulário para o atacante
2. Atacante envia um ataque nos
dados do formulário
App Server
3. Aplicação encaminha o ataque
Web Server
para o BD em uma consulta SQL
Hardened OS
4. Banco de dados executa a
Network Layer
consulta contendo o ataque e envia
resultados cifrados de volta para a
Firewall
Firewall
aplicação
5. Aplicação decifra dados como
normais e envia resultados para o
usuário
OWASP - 2010
17. 17
Cross-Site Scripting - Ilustração
1 Atacante envia uma armadilha – atualize o meu perfil
Aplicação com
vulnerabilidade
Atacante envia um XSS armazenada
script malicioso em
uma página web que
armazena os dados no
Communication
Bus. Functions
Administration
servidor
E-Commerce
Transactions
Knowledge
2 Vítima viu página – viu o perfil do atacante
Accounts
Finance
Mgmt
Custom Code
Script executa no
browser da vítima com
acesso completo ao
DOM e cookies
3 Script envia silenciosamente o cookie de sessão da
vítima para o atacante OWASP - 2010
18. 18
Ameaças
• Uso nefasto e abusivo (Iaas, PaaS): poder
computacional, rede e armazenamentos
ilimitados são usados por usuário cadastrado.
Usuário pode ser spammer, distribuir código
malicioso ou outro criminoso. É só ter cartão
de crédito !
Crack de senhas e chaves, disparo de ataques,
DDOS (X-DoS, H-DoS), comando e controle de
botnet (Zeus botnet)
20. 20
Ameaças
• Interfaces e APIs inseguras (Iaas, PaaS, SaaS)
Acesso anônimo e ou tokens ou senha
reusáveis, autenticação ou transmissão de
dados sem criptografia, autorização
imprópria, monitoramento e log limitados,
dependências de APIs e serviços
desconhecidas
21. 21
Ainda...
• Usuários não conseguem monitorar a segurança
de seus recursos na nuvem
• Possibilidade de auditoria da segurança
insuficiente
• Não existem padrões de medidas específicas
para cloud
• A computação nas nuvens separa os
componentes de sua localização e isso cria
questões de segurança que resultam desta falta
de perímetro
24. 24
Cloud Security Alliance
• Domínios de governança
• Domínios operacionais
1. Segurança tradicional, planos de continuidade e
recuperação de desastres
2. Operações dos datacenters
3. Tratamento de incidentes
4. Segurança das aplicações
5. Criptografia e gerenciamento de chaves
6. Gerenciamento de identidades e de acesso
7. Virtualização
8. Segurança como serviço
25. 25
Desafios - Criptografia
• Criptografia forte
• Gerenciamento de chaves escalável
▫ uma única chave por usuário?
▫ uma única chave para todos os usuários?
▫ múltiplas chaves para o mesmo usuário?
• Usuários e provedores devem cifrar todos
os dados em trânsito e também dados
estáticos
27. 27
Desafios – Aplicações e IAM
• Segurança de aplicações (IaaS, PaaS, SaaS)
• Gerenciamento de Identidades e de
Acesso (Identity and Access Management)
▫ Proliferação de identidades
▫ Autenticação única (Single Sign On)
▫ Federação de identidades
▫ Privacidade do usuário
▫ Controle de acesso
29. 29
Amazon EC2 http://aws.amazon.com/security/
• PCI DSS (Payment Card Industry Data
Security Standard) Level 1
• ISO 27001
• FISMA (Federal Information Security
Management Act) Moderate
• HIPAA (Health Insurance Portability and
Accountability Act)
• SAS 70 (Statement on Auditing Standards)
Type II
30. 30
Amazon EC2 http://aws.amazon.com/security/
• Segurança física e operacional
• Criptografia no sistema de arquivos
• Uso do SSL (https)
• Gerência de chaves: usuário cuida
• Gerenciamento de Identidades e de Acesso
▫ Criar e gerenciar usuários
▫ Identidades federadas
▫ Credenciais para autorização
▫ APIs de programação
31. 31
Pesquisas
• Muito trabalho a ser feito
• Vários assuntos de pesquisa
• No LRG:
▫ Gerenciamento de identidade e acesso
na computação em nuvem
▫ Dissertações de mestrado no PPGCC
▫ TCC
▫ Bolsas Pibic/CNPq
32. 32
Referências
• Grobauer, B.; Walloschek, T.; Stocker, E. (2011) "Understanding
Cloud Computing Vulnerabilities," Security & Privacy, IEEE , vol.9,
no.2, pp.50-57, March-April 2011.
• Chaves, S.; Westphal, C. B.; Westphall, C. M.; Gerônimo, G. A.
“Customer Security Concerns in Cloud Computing,” ICN 2011, pp. 7-
11, 2011.
• Gonzalez, N.; Miers, C.; Redigolo, F.; Carvalho, T.; Simplicio, M.;
Naslund, M.; Pourzandi, M.; , "A Quantitative Analysis of Current
Security Concerns and Solutions for Cloud Computing,“ IEEE
CloudCom, pp.231-238, 2011.
• CSA (2011). Security Guidance for Critical Areas of Focus in Cloud
Computing – v3.0. Cloud Security Alliance.
https://cloudsecurityalliance.org/
• CSA (2010). Top Threats to Cloud Computing V1.0.
• CSA BR - https://chapters.cloudsecurityalliance.org/brazil/