SlideShare uma empresa Scribd logo

Segurança Computação Nuvem

PET Computação
PET Computação

O documento discute segurança na computação em nuvem. Apresenta as ameaças à confidencialidade, integridade e disponibilidade dos dados na nuvem, incluindo desvio de sessão, fuga da virtualização e injeção de código malicioso. Também aborda os desafios de criptografia, gerenciamento de identidades e acesso em ambientes multi-locatários.

Educação
1 de 33
Baixar para ler offline
Segurança na Computação em Nuvem LRG – Laboratório de Redes e Gerência Carla Merkle Westphall carlamw@inf.ufsc.br Carlos Becker Westphall westphal@inf.ufsc.br
2 Roteiro • Ambiente • Ameaças • Desafios
3 Segurança  CID – confidencialidade, integridade, disponibilidade  Ameaças – condições ou eventos que forneçam potencial de violação de segurança  Vulnerabilidade – falha ou característica indevida que pode ser explorada  Ataque – conjunto de ações feitas por entidade não autorizada visando violações de segurança
4 Computação em nuvem Hardware e Software entregues: • Sob demanda na forma de auto-atendimento • Independente de dispositivo e de localização Recursos necessários • Compartilhados • Dinamicamente escaláveis • Alocados rapidamente e liberados com interação mínima com o provedor de serviço • Virtualizados Usuários pagam pelo serviço usado
5
6 http://cloudtaxonomy.opencrowd.com/taxonomy/
7 Tecnologias usadas • Aplicações e serviços Web • Virtualização • Criptografia
8 Segurança e economia • Em larga escala implementar segurança é mais barato (filtros, gerenciamento de patches, proteção de máquinas virtuais) • Grandes provedores de cloud podem contratar especialistas • Atualizações são mais rápidas em ambientes homogêneos para responder aos incidentes • Imagens padrão de VMs e softwares podem ser atualizados com configurações de segurança e patches “Mesmo valor de investimentos em segurança compra uma proteção melhor"
9 Defesas de ambientes de nuvem podem ser mais robustas, escaláveis e ter uma relação custo-benefício melhor, mas… ....a concentração grande de recursos e dados são um alvo mais atraente para atacantes
10 Ameaças • Desvio de sessão (session hijacking): o atacante consegue se apoderar de uma sessão HTTP válida para obter acesso não autorizado
11 Ameaças • Fuga da virtualização: o atacante consegue sair do ambiente virtualizado e obter acesso à máquina física
12 Ameaças • Criptografia insegura e obsoleta: ▫ avanços na criptoanálise, protocolos e algoritmos antes considerados seguros passam a ser obsoletos e vulneráveis ▫ gerenciamento e armazenamento de muitas chaves, hardware não é fixo, difícil ter HSM • Amazon S3 (serviço de storage) usa 256-bit Advanced Encryption Standard (AES-256)
13 Ameaças • Acesso não autorizado à interface de gerência: com o auto-atendimento o gerenciamento de clouds geralmente é feito em uma interface web, sendo mais fácil para um atacante obter acesso não autorizado
14 Ameaças • Vulnerabilidades do IP: acesso via Internet, rede não confiável, IP possui problemas de segurança (scanning IaaS proibido) • Vulnerabilidades de recuperação de dados: devido a realocação de recursos é possível que um usuário tenha acesso a recursos de armazenamento e memória previamente utilizados que ainda podem conter dados
15 Ameaças • Injeção de código malicioso: ▫ injeção de SQL – comando SQL é adicionado ou substitui dados fornecidos pelo usuário que são interpretados (e executados) ▫ Cross-Site Scripting - permite a execução de códigos (scripts) no browser do lado do cliente
16 SQL Injection – Ilustração "SELECT * FROM Conta :: Contas Conta accounts WHERE Knowledge Mgmt Communication Administration Legacy Systems Bus. Functions Application Layer Human Resrcs E-Commerce Transactions Web Services SKU: acct=‘’ OR Directories Accounts Conta:5424-6066-2134-4334 Databases Finance HTTP Billing HTTP SQL DB Table Conta:4128-7574-3921-0192 response  1=1--’" request query Conta:5424-9383-2039-4029 APPLICATION    Conta:4128-0004-1234-0293  ATTACK  Custom Code 1. Aplicação apresenta um formulário para o atacante 2. Atacante envia um ataque nos dados do formulário App Server 3. Aplicação encaminha o ataque Web Server para o BD em uma consulta SQL Hardened OS 4. Banco de dados executa a Network Layer consulta contendo o ataque e envia resultados cifrados de volta para a Firewall Firewall aplicação 5. Aplicação decifra dados como normais e envia resultados para o usuário OWASP - 2010
17 Cross-Site Scripting - Ilustração 1 Atacante envia uma armadilha – atualize o meu perfil Aplicação com vulnerabilidade Atacante envia um XSS armazenada script malicioso em uma página web que armazena os dados no Communication Bus. Functions Administration servidor E-Commerce Transactions Knowledge 2 Vítima viu página – viu o perfil do atacante Accounts Finance Mgmt Custom Code Script executa no browser da vítima com acesso completo ao DOM e cookies 3 Script envia silenciosamente o cookie de sessão da vítima para o atacante OWASP - 2010
18 Ameaças • Uso nefasto e abusivo (Iaas, PaaS): poder computacional, rede e armazenamentos ilimitados são usados por usuário cadastrado. Usuário pode ser spammer, distribuir código malicioso ou outro criminoso. É só ter cartão de crédito ! Crack de senhas e chaves, disparo de ataques, DDOS (X-DoS, H-DoS), comando e controle de botnet (Zeus botnet)
19
20 Ameaças • Interfaces e APIs inseguras (Iaas, PaaS, SaaS) Acesso anônimo e ou tokens ou senha reusáveis, autenticação ou transmissão de dados sem criptografia, autorização imprópria, monitoramento e log limitados, dependências de APIs e serviços desconhecidas
21 Ainda... • Usuários não conseguem monitorar a segurança de seus recursos na nuvem • Possibilidade de auditoria da segurança insuficiente • Não existem padrões de medidas específicas para cloud • A computação nas nuvens separa os componentes de sua localização e isso cria questões de segurança que resultam desta falta de perímetro
22
23
24 Cloud Security Alliance • Domínios de governança • Domínios operacionais 1. Segurança tradicional, planos de continuidade e recuperação de desastres 2. Operações dos datacenters 3. Tratamento de incidentes 4. Segurança das aplicações 5. Criptografia e gerenciamento de chaves 6. Gerenciamento de identidades e de acesso 7. Virtualização 8. Segurança como serviço
25 Desafios - Criptografia • Criptografia forte • Gerenciamento de chaves escalável ▫ uma única chave por usuário? ▫ uma única chave para todos os usuários? ▫ múltiplas chaves para o mesmo usuário? • Usuários e provedores devem cifrar todos os dados em trânsito e também dados estáticos
26 Desafios - Multi-tenancy • Diferentes quanto a segurança, SLA, governança, políticas
27 Desafios – Aplicações e IAM • Segurança de aplicações (IaaS, PaaS, SaaS) • Gerenciamento de Identidades e de Acesso (Identity and Access Management) ▫ Proliferação de identidades ▫ Autenticação única (Single Sign On) ▫ Federação de identidades ▫ Privacidade do usuário ▫ Controle de acesso
28 Tecnologias • SAML, XACML • XML-Encryption, XML-Signature • WS (Web Services) Security ▫ WS-Trust ▫ WS-Policy ▫ ... • OpenID, Google, Shibboleth, ...
29 Amazon EC2 http://aws.amazon.com/security/ • PCI DSS (Payment Card Industry Data Security Standard) Level 1 • ISO 27001 • FISMA (Federal Information Security Management Act) Moderate • HIPAA (Health Insurance Portability and Accountability Act) • SAS 70 (Statement on Auditing Standards) Type II
30 Amazon EC2 http://aws.amazon.com/security/ • Segurança física e operacional • Criptografia no sistema de arquivos • Uso do SSL (https) • Gerência de chaves: usuário cuida • Gerenciamento de Identidades e de Acesso ▫ Criar e gerenciar usuários ▫ Identidades federadas ▫ Credenciais para autorização ▫ APIs de programação
31 Pesquisas • Muito trabalho a ser feito • Vários assuntos de pesquisa • No LRG: ▫ Gerenciamento de identidade e acesso na computação em nuvem ▫ Dissertações de mestrado no PPGCC ▫ TCC ▫ Bolsas Pibic/CNPq
32 Referências • Grobauer, B.; Walloschek, T.; Stocker, E. (2011) "Understanding Cloud Computing Vulnerabilities," Security & Privacy, IEEE , vol.9, no.2, pp.50-57, March-April 2011. • Chaves, S.; Westphal, C. B.; Westphall, C. M.; Gerônimo, G. A. “Customer Security Concerns in Cloud Computing,” ICN 2011, pp. 7- 11, 2011. • Gonzalez, N.; Miers, C.; Redigolo, F.; Carvalho, T.; Simplicio, M.; Naslund, M.; Pourzandi, M.; , "A Quantitative Analysis of Current Security Concerns and Solutions for Cloud Computing,“ IEEE CloudCom, pp.231-238, 2011. • CSA (2011). Security Guidance for Critical Areas of Focus in Cloud Computing – v3.0. Cloud Security Alliance. https://cloudsecurityalliance.org/ • CSA (2010). Top Threats to Cloud Computing V1.0. • CSA BR - https://chapters.cloudsecurityalliance.org/brazil/
33 Obrigada!

Recomendados

Seguranca web
Seguranca webSeguranca web
Seguranca webPhilippe Guillaume, MBA,CISSP, COBIT
 
Beste Altersvorsorge
Beste Altersvorsorge Beste Altersvorsorge
Beste Altersvorsorge Alexander Schulze-Fielitz
 
Praesentation
PraesentationPraesentation
Praesentationslowhand_11
 
Renten auf einen Blick 2015
Renten auf einen Blick 2015Renten auf einen Blick 2015
Renten auf einen Blick 2015OECD Berlin Centre
 
Auszahlung lebensversicherung – diese fehler solltest du unbedingt vermeiden!
Auszahlung lebensversicherung – diese fehler solltest du unbedingt vermeiden!Auszahlung lebensversicherung – diese fehler solltest du unbedingt vermeiden!
Auszahlung lebensversicherung – diese fehler solltest du unbedingt vermeiden!Erik Renk
 
Barmenia Berufsunfähigkeitsversicherung (SoloBU) 2012
Barmenia Berufsunfähigkeitsversicherung (SoloBU) 2012Barmenia Berufsunfähigkeitsversicherung (SoloBU) 2012
Barmenia Berufsunfähigkeitsversicherung (SoloBU) 2012Barmenia Versicherungen Düsseldorf
 
Die Zukunft der Altersvorsorge - Eine Studie von Prognos und HRI im Auftrag d...
Die Zukunft der Altersvorsorge - Eine Studie von Prognos und HRI im Auftrag d...Die Zukunft der Altersvorsorge - Eine Studie von Prognos und HRI im Auftrag d...
Die Zukunft der Altersvorsorge - Eine Studie von Prognos und HRI im Auftrag d...Gesamtverband der Deutschen Versicherungswirtschaft e.V.
 
Selbstgenutztes Wohneigentum - lohnt es sich?
Selbstgenutztes Wohneigentum - lohnt es sich?Selbstgenutztes Wohneigentum - lohnt es sich?
Selbstgenutztes Wohneigentum - lohnt es sich?Erik Renk
 

Recomendados

Seguranca web
Seguranca webSeguranca web
Seguranca webPhilippe Guillaume, MBA,CISSP, COBIT
 
Beste Altersvorsorge
Beste Altersvorsorge Beste Altersvorsorge
Beste Altersvorsorge Alexander Schulze-Fielitz
 
Praesentation
PraesentationPraesentation
Praesentationslowhand_11
 
Renten auf einen Blick 2015
Renten auf einen Blick 2015Renten auf einen Blick 2015
Renten auf einen Blick 2015OECD Berlin Centre
 
Auszahlung lebensversicherung – diese fehler solltest du unbedingt vermeiden!
Auszahlung lebensversicherung – diese fehler solltest du unbedingt vermeiden!Auszahlung lebensversicherung – diese fehler solltest du unbedingt vermeiden!
Auszahlung lebensversicherung – diese fehler solltest du unbedingt vermeiden!Erik Renk
 
Barmenia Berufsunfähigkeitsversicherung (SoloBU) 2012
Barmenia Berufsunfähigkeitsversicherung (SoloBU) 2012Barmenia Berufsunfähigkeitsversicherung (SoloBU) 2012
Barmenia Berufsunfähigkeitsversicherung (SoloBU) 2012Barmenia Versicherungen Düsseldorf
 
Die Zukunft der Altersvorsorge - Eine Studie von Prognos und HRI im Auftrag d...
Die Zukunft der Altersvorsorge - Eine Studie von Prognos und HRI im Auftrag d...Die Zukunft der Altersvorsorge - Eine Studie von Prognos und HRI im Auftrag d...
Die Zukunft der Altersvorsorge - Eine Studie von Prognos und HRI im Auftrag d...Gesamtverband der Deutschen Versicherungswirtschaft e.V.
 
Selbstgenutztes Wohneigentum - lohnt es sich?
Selbstgenutztes Wohneigentum - lohnt es sich?Selbstgenutztes Wohneigentum - lohnt es sich?
Selbstgenutztes Wohneigentum - lohnt es sich?Erik Renk
 
Apresentação netconsulting nov12
Apresentação netconsulting nov12Apresentação netconsulting nov12
Apresentação netconsulting nov12Evandro Alves
 
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de MicroservicesDeep Tech Brasil
 
Garantindo o sucesso da experiência do usuário por Carlos bertozzi
Garantindo o sucesso da experiência do usuário por Carlos bertozziGarantindo o sucesso da experiência do usuário por Carlos bertozzi
Garantindo o sucesso da experiência do usuário por Carlos bertozziJoao Galdino Mello de Souza
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazOWASP Brasília
 
Microservices Architecture Workshop
Microservices Architecture WorkshopMicroservices Architecture Workshop
Microservices Architecture WorkshopClaudio Acquaviva
 
3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdf3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdfDimas Francisco
 
AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...
AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...
AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...Amazon Web Services LATAM
 
Nagios
NagiosNagios
NagiosEvandro Júnior
 
I-SCode
I-SCodeI-SCode
I-SCodeJoao Rosado Pereira‍
 
OWASP Top Ten 2004
OWASP Top Ten 2004OWASP Top Ten 2004
OWASP Top Ten 2004Carlos Serrao
 
AAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcambAAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcambguest34ed8ec
 
AAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcambAAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcambMicrosoft Brasil
 
HOTNOC - WEB Network Operation System Monitoring by IdeaValley
HOTNOC - WEB Network Operation System Monitoring by IdeaValleyHOTNOC - WEB Network Operation System Monitoring by IdeaValley
HOTNOC - WEB Network Operation System Monitoring by IdeaValleyIdeaValley Sergio Cabral Cavalcanti
 
Introdução a Gerência de Redes
Introdução a Gerência de RedesIntrodução a Gerência de Redes
Introdução a Gerência de RedesFrederico Madeira
 
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011TI Safe
 
Apresentação Dominit 2012
Apresentação Dominit 2012Apresentação Dominit 2012
Apresentação Dominit 2012Dominit - Soluções e Processos em TI
 
Windows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-ProsWindows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-ProsMarkus Christen
 
Aula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídos
Aula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídosAula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídos
Aula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídosMessias Batista
 
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdf
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdfBR - Fabric Connect Workshop LAB Slides v0 PTBR.pdf
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdfodairjose23
 
Banner fernando & everton 03-11
Banner fernando & everton 03-11Banner fernando & everton 03-11
Banner fernando & everton 03-11Everton Jean Moro
 
Refactoring like a boss
Refactoring like a bossRefactoring like a boss
Refactoring like a bossPET Computação
 
Linux em tempo real
Linux em tempo realLinux em tempo real
Linux em tempo realPET Computação
 

Mais conteúdo relacionado

Semelhante a Segurança Computação Nuvem

Apresentação netconsulting nov12
Apresentação netconsulting nov12Apresentação netconsulting nov12
Apresentação netconsulting nov12Evandro Alves
 
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de MicroservicesDeep Tech Brasil
 
Garantindo o sucesso da experiência do usuário por Carlos bertozzi
Garantindo o sucesso da experiência do usuário por Carlos bertozziGarantindo o sucesso da experiência do usuário por Carlos bertozzi
Garantindo o sucesso da experiência do usuário por Carlos bertozziJoao Galdino Mello de Souza
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazOWASP Brasília
 
Microservices Architecture Workshop
Microservices Architecture WorkshopMicroservices Architecture Workshop
Microservices Architecture WorkshopClaudio Acquaviva
 
3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdf3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdfDimas Francisco
 
AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...
AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...
AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...Amazon Web Services LATAM
 
AAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcambAAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcambguest34ed8ec
 
AAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcambAAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcambMicrosoft Brasil
 
Introdução a Gerência de Redes
Introdução a Gerência de RedesIntrodução a Gerência de Redes
Introdução a Gerência de RedesFrederico Madeira
 
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011TI Safe
 
Windows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-ProsWindows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-ProsMarkus Christen
 
Aula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídos
Aula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídosAula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídos
Aula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídosMessias Batista
 
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdf
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdfBR - Fabric Connect Workshop LAB Slides v0 PTBR.pdf
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdfodairjose23
 
Banner fernando & everton 03-11
Banner fernando & everton 03-11Banner fernando & everton 03-11
Banner fernando & everton 03-11Everton Jean Moro
 

Semelhante a Segurança Computação Nuvem (20)

Apresentação netconsulting nov12
Apresentação netconsulting nov12Apresentação netconsulting nov12
Apresentação netconsulting nov12
 
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices
 
Garantindo o sucesso da experiência do usuário por Carlos bertozzi
Garantindo o sucesso da experiência do usuário por Carlos bertozziGarantindo o sucesso da experiência do usuário por Carlos bertozzi
Garantindo o sucesso da experiência do usuário por Carlos bertozzi
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio Braz
 
Microservices Architecture Workshop
Microservices Architecture WorkshopMicroservices Architecture Workshop
Microservices Architecture Workshop
 
3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdf3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdf
 
AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...
AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...
AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...
 
Nagios
NagiosNagios
Nagios
 
I-SCode
I-SCodeI-SCode
I-SCode
 
OWASP Top Ten 2004
OWASP Top Ten 2004OWASP Top Ten 2004
OWASP Top Ten 2004
 
AAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcambAAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcamb
 
AAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcambAAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcamb
 
HOTNOC - WEB Network Operation System Monitoring by IdeaValley
HOTNOC - WEB Network Operation System Monitoring by IdeaValleyHOTNOC - WEB Network Operation System Monitoring by IdeaValley
HOTNOC - WEB Network Operation System Monitoring by IdeaValley
 
Introdução a Gerência de Redes
Introdução a Gerência de RedesIntrodução a Gerência de Redes
Introdução a Gerência de Redes
 
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
 
Apresentação Dominit 2012
Apresentação Dominit 2012Apresentação Dominit 2012
Apresentação Dominit 2012
 
Windows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-ProsWindows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-Pros
 
Aula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídos
Aula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídosAula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídos
Aula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídos
 
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdf
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdfBR - Fabric Connect Workshop LAB Slides v0 PTBR.pdf
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdf
 
Banner fernando & everton 03-11
Banner fernando & everton 03-11Banner fernando & everton 03-11
Banner fernando & everton 03-11
 

Mais de PET Computação

Cooperação e Codificação de Rede Aplicadas as RSSF Industriais
Cooperação e Codificação de Rede Aplicadas as RSSF IndustriaisCooperação e Codificação de Rede Aplicadas as RSSF Industriais
Cooperação e Codificação de Rede Aplicadas as RSSF IndustriaisPET Computação
 
Redes de Sensores e Robôs: Um novo paradigma de Monitoramento e Atuação
Redes de Sensores e Robôs: Um novo paradigma de Monitoramento e AtuaçãoRedes de Sensores e Robôs: Um novo paradigma de Monitoramento e Atuação
Redes de Sensores e Robôs: Um novo paradigma de Monitoramento e AtuaçãoPET Computação
 
MapReduce: teoria e prática
MapReduce: teoria e práticaMapReduce: teoria e prática
MapReduce: teoria e práticaPET Computação
 
Processamento e visualização tridimensional de imagens de Satelite e Radar
Processamento e visualização tridimensional de imagens de Satelite e RadarProcessamento e visualização tridimensional de imagens de Satelite e Radar
Processamento e visualização tridimensional de imagens de Satelite e RadarPET Computação
 
Software Evolution: From Legacy Systems, Service Oriented Architecture to Clo...
Software Evolution: From Legacy Systems, Service Oriented Architecture to Clo...Software Evolution: From Legacy Systems, Service Oriented Architecture to Clo...
Software Evolution: From Legacy Systems, Service Oriented Architecture to Clo...PET Computação
 
Testes de escalabilidade usando cloud
Testes de escalabilidade usando cloudTestes de escalabilidade usando cloud
Testes de escalabilidade usando cloudPET Computação
 
Bancos de dados nas nuvens: uma visão geral
Bancos de dados nas nuvens: uma visão geralBancos de dados nas nuvens: uma visão geral
Bancos de dados nas nuvens: uma visão geralPET Computação
 
Uma reflexão sobre os 28 anos de pesquisa no laboratório de integração de sof...
Uma reflexão sobre os 28 anos de pesquisa no laboratório de integração de sof...Uma reflexão sobre os 28 anos de pesquisa no laboratório de integração de sof...
Uma reflexão sobre os 28 anos de pesquisa no laboratório de integração de sof...PET Computação
 
Cloud computing: evolution or redefinition
Cloud computing: evolution or redefinitionCloud computing: evolution or redefinition
Cloud computing: evolution or redefinitionPET Computação
 
Rastreamento de objetos utilizando ar drone
Rastreamento de objetos utilizando ar droneRastreamento de objetos utilizando ar drone
Rastreamento de objetos utilizando ar dronePET Computação
 
Processamento e visualização tridimensional de imagens de satelite e radar
Processamento e visualização tridimensional de imagens de satelite e radarProcessamento e visualização tridimensional de imagens de satelite e radar
Processamento e visualização tridimensional de imagens de satelite e radarPET Computação
 
Evoluindo dot project em alinhamento ao pmbok
Evoluindo dot project em alinhamento ao pmbokEvoluindo dot project em alinhamento ao pmbok
Evoluindo dot project em alinhamento ao pmbokPET Computação
 
Apresentação geral do gqs - Usabilidade na convergência digital - Customizaç...
Apresentação geral do gqs - Usabilidade na convergência digital - Customizaç...Apresentação geral do gqs - Usabilidade na convergência digital - Customizaç...
Apresentação geral do gqs - Usabilidade na convergência digital - Customizaç...PET Computação
 
Com a cabeça nas nuvens: montando ambientes para aplicações elásticas
Com a cabeça nas nuvens: montando ambientes para aplicações elásticas Com a cabeça nas nuvens: montando ambientes para aplicações elásticas
Com a cabeça nas nuvens: montando ambientes para aplicações elásticasPET Computação
 

Mais de PET Computação (20)

Refactoring like a boss
Refactoring like a bossRefactoring like a boss
Refactoring like a boss
 
Linux em tempo real
Linux em tempo realLinux em tempo real
Linux em tempo real
 
Cooperação e Codificação de Rede Aplicadas as RSSF Industriais
Cooperação e Codificação de Rede Aplicadas as RSSF IndustriaisCooperação e Codificação de Rede Aplicadas as RSSF Industriais
Cooperação e Codificação de Rede Aplicadas as RSSF Industriais
 
Redes de Sensores e Robôs: Um novo paradigma de Monitoramento e Atuação
Redes de Sensores e Robôs: Um novo paradigma de Monitoramento e AtuaçãoRedes de Sensores e Robôs: Um novo paradigma de Monitoramento e Atuação
Redes de Sensores e Robôs: Um novo paradigma de Monitoramento e Atuação
 
MapReduce: teoria e prática
MapReduce: teoria e práticaMapReduce: teoria e prática
MapReduce: teoria e prática
 
Processamento e visualização tridimensional de imagens de Satelite e Radar
Processamento e visualização tridimensional de imagens de Satelite e RadarProcessamento e visualização tridimensional de imagens de Satelite e Radar
Processamento e visualização tridimensional de imagens de Satelite e Radar
 
Software Evolution: From Legacy Systems, Service Oriented Architecture to Clo...
Software Evolution: From Legacy Systems, Service Oriented Architecture to Clo...Software Evolution: From Legacy Systems, Service Oriented Architecture to Clo...
Software Evolution: From Legacy Systems, Service Oriented Architecture to Clo...
 
Planejamento automático
Planejamento automáticoPlanejamento automático
Planejamento automático
 
Testes de escalabilidade usando cloud
Testes de escalabilidade usando cloudTestes de escalabilidade usando cloud
Testes de escalabilidade usando cloud
 
Bancos de dados nas nuvens: uma visão geral
Bancos de dados nas nuvens: uma visão geralBancos de dados nas nuvens: uma visão geral
Bancos de dados nas nuvens: uma visão geral
 
Uma reflexão sobre os 28 anos de pesquisa no laboratório de integração de sof...
Uma reflexão sobre os 28 anos de pesquisa no laboratório de integração de sof...Uma reflexão sobre os 28 anos de pesquisa no laboratório de integração de sof...
Uma reflexão sobre os 28 anos de pesquisa no laboratório de integração de sof...
 
Cloud computing: evolution or redefinition
Cloud computing: evolution or redefinitionCloud computing: evolution or redefinition
Cloud computing: evolution or redefinition
 
Rastreamento de objetos utilizando ar drone
Rastreamento de objetos utilizando ar droneRastreamento de objetos utilizando ar drone
Rastreamento de objetos utilizando ar drone
 
Processamento e visualização tridimensional de imagens de satelite e radar
Processamento e visualização tridimensional de imagens de satelite e radarProcessamento e visualização tridimensional de imagens de satelite e radar
Processamento e visualização tridimensional de imagens de satelite e radar
 
Evoluindo dot project em alinhamento ao pmbok
Evoluindo dot project em alinhamento ao pmbokEvoluindo dot project em alinhamento ao pmbok
Evoluindo dot project em alinhamento ao pmbok
 
Ensinar com jogos
Ensinar com jogosEnsinar com jogos
Ensinar com jogos
 
Apresentação geral do gqs - Usabilidade na convergência digital - Customizaç...
Apresentação geral do gqs - Usabilidade na convergência digital - Customizaç...Apresentação geral do gqs - Usabilidade na convergência digital - Customizaç...
Apresentação geral do gqs - Usabilidade na convergência digital - Customizaç...
 
Latex
LatexLatex
Latex
 
Ferramenta git
Ferramenta gitFerramenta git
Ferramenta git
 
Com a cabeça nas nuvens: montando ambientes para aplicações elásticas
Com a cabeça nas nuvens: montando ambientes para aplicações elásticas Com a cabeça nas nuvens: montando ambientes para aplicações elásticas
Com a cabeça nas nuvens: montando ambientes para aplicações elásticas
 

Último

Slides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptx
Slides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptxSlides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptx
Slides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptxLuizHenriquedeAlmeid6
 
Modelos de Desenvolvimento Motor - Gallahue, Newell e Tani
Modelos de Desenvolvimento Motor - Gallahue, Newell e TaniModelos de Desenvolvimento Motor - Gallahue, Newell e Tani
Modelos de Desenvolvimento Motor - Gallahue, Newell e TaniCassio Meira Jr.
 
Manual da CPSA_1_Agir com Autonomia para envio
Manual da CPSA_1_Agir com Autonomia para envioManual da CPSA_1_Agir com Autonomia para envio
Manual da CPSA_1_Agir com Autonomia para envioManuais Formação
 
ANTIGUIDADE CLÁSSICA - Grécia e Roma Antiga
ANTIGUIDADE CLÁSSICA - Grécia e Roma AntigaANTIGUIDADE CLÁSSICA - Grécia e Roma Antiga
ANTIGUIDADE CLÁSSICA - Grécia e Roma AntigaJúlio Sandes
 
A Arte de Escrever Poemas - Dia das Mães
A Arte de Escrever Poemas - Dia das MãesA Arte de Escrever Poemas - Dia das Mães
A Arte de Escrever Poemas - Dia das MãesMary Alvarenga
 
D9 RECONHECER GENERO DISCURSIVO SPA.pptx
D9 RECONHECER GENERO DISCURSIVO SPA.pptxD9 RECONHECER GENERO DISCURSIVO SPA.pptx
D9 RECONHECER GENERO DISCURSIVO SPA.pptxRonys4
 
Gerenciando a Aprendizagem Organizacional
Gerenciando a Aprendizagem OrganizacionalGerenciando a Aprendizagem Organizacional
Gerenciando a Aprendizagem OrganizacionalJacqueline Cerqueira
 
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptxATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptxOsnilReis1
 
DESAFIO LITERÁRIO - 2024 - EASB/ÁRVORE -
DESAFIO LITERÁRIO - 2024 - EASB/ÁRVORE -DESAFIO LITERÁRIO - 2024 - EASB/ÁRVORE -
DESAFIO LITERÁRIO - 2024 - EASB/ÁRVORE -Aline Santana
 
trabalho wanda rocha ditadura
trabalho wanda rocha ditaduratrabalho wanda rocha ditadura
trabalho wanda rocha ditaduraAdryan Luiz
 
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASB
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASBCRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASB
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASBAline Santana
 
Slides 1 - O gênero textual entrevista.pptx
Slides 1 - O gênero textual entrevista.pptxSlides 1 - O gênero textual entrevista.pptx
Slides 1 - O gênero textual entrevista.pptxSilvana Silva
 
Recurso Casa das Ciências: Sistemas de Partículas
Recurso Casa das Ciências: Sistemas de PartículasRecurso Casa das Ciências: Sistemas de Partículas
Recurso Casa das Ciências: Sistemas de PartículasCasa Ciências
 
Slides Lição 03, Central Gospel, O Arrebatamento, 1Tr24.pptx
Slides Lição 03, Central Gospel, O Arrebatamento, 1Tr24.pptxSlides Lição 03, Central Gospel, O Arrebatamento, 1Tr24.pptx
Slides Lição 03, Central Gospel, O Arrebatamento, 1Tr24.pptxLuizHenriquedeAlmeid6
 
Orações subordinadas substantivas (andamento).pptx
Orações subordinadas substantivas (andamento).pptxOrações subordinadas substantivas (andamento).pptx
Orações subordinadas substantivas (andamento).pptxKtiaOliveira68
 
William J. Bennett - O livro das virtudes para Crianças.pdf
William J. Bennett - O livro das virtudes para Crianças.pdfWilliam J. Bennett - O livro das virtudes para Crianças.pdf
William J. Bennett - O livro das virtudes para Crianças.pdfAdrianaCunha84
 
Bullying - Atividade com caça- palavras
Bullying - Atividade com caça- palavrasBullying - Atividade com caça- palavras
Bullying - Atividade com caça- palavrasMary Alvarenga
 
ALMANANHE DE BRINCADEIRAS - 500 atividades escolares
ALMANANHE DE BRINCADEIRAS - 500 atividades escolaresALMANANHE DE BRINCADEIRAS - 500 atividades escolares
ALMANANHE DE BRINCADEIRAS - 500 atividades escolaresLilianPiola
 
Habilidades Motoras Básicas e Específicas
Habilidades Motoras Básicas e EspecíficasHabilidades Motoras Básicas e Específicas
Habilidades Motoras Básicas e EspecíficasCassio Meira Jr.
 
Simulado 1 Etapa - 2024 Proximo Passo.pdf
Simulado 1 Etapa - 2024 Proximo Passo.pdfSimulado 1 Etapa - 2024 Proximo Passo.pdf
Simulado 1 Etapa - 2024 Proximo Passo.pdfEditoraEnovus
 

Último (20)

Slides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptx
Slides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptxSlides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptx
Slides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptx
 
Modelos de Desenvolvimento Motor - Gallahue, Newell e Tani
Modelos de Desenvolvimento Motor - Gallahue, Newell e TaniModelos de Desenvolvimento Motor - Gallahue, Newell e Tani
Modelos de Desenvolvimento Motor - Gallahue, Newell e Tani
 
Manual da CPSA_1_Agir com Autonomia para envio
Manual da CPSA_1_Agir com Autonomia para envioManual da CPSA_1_Agir com Autonomia para envio
Manual da CPSA_1_Agir com Autonomia para envio
 
ANTIGUIDADE CLÁSSICA - Grécia e Roma Antiga
ANTIGUIDADE CLÁSSICA - Grécia e Roma AntigaANTIGUIDADE CLÁSSICA - Grécia e Roma Antiga
ANTIGUIDADE CLÁSSICA - Grécia e Roma Antiga
 
A Arte de Escrever Poemas - Dia das Mães
A Arte de Escrever Poemas - Dia das MãesA Arte de Escrever Poemas - Dia das Mães
A Arte de Escrever Poemas - Dia das Mães
 
D9 RECONHECER GENERO DISCURSIVO SPA.pptx
D9 RECONHECER GENERO DISCURSIVO SPA.pptxD9 RECONHECER GENERO DISCURSIVO SPA.pptx
D9 RECONHECER GENERO DISCURSIVO SPA.pptx
 
Gerenciando a Aprendizagem Organizacional
Gerenciando a Aprendizagem OrganizacionalGerenciando a Aprendizagem Organizacional
Gerenciando a Aprendizagem Organizacional
 
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptxATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
 
DESAFIO LITERÁRIO - 2024 - EASB/ÁRVORE -
DESAFIO LITERÁRIO - 2024 - EASB/ÁRVORE -DESAFIO LITERÁRIO - 2024 - EASB/ÁRVORE -
DESAFIO LITERÁRIO - 2024 - EASB/ÁRVORE -
 
trabalho wanda rocha ditadura
trabalho wanda rocha ditaduratrabalho wanda rocha ditadura
trabalho wanda rocha ditadura
 
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASB
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASBCRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASB
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASB
 
Slides 1 - O gênero textual entrevista.pptx
Slides 1 - O gênero textual entrevista.pptxSlides 1 - O gênero textual entrevista.pptx
Slides 1 - O gênero textual entrevista.pptx
 
Recurso Casa das Ciências: Sistemas de Partículas
Recurso Casa das Ciências: Sistemas de PartículasRecurso Casa das Ciências: Sistemas de Partículas
Recurso Casa das Ciências: Sistemas de Partículas
 
Slides Lição 03, Central Gospel, O Arrebatamento, 1Tr24.pptx
Slides Lição 03, Central Gospel, O Arrebatamento, 1Tr24.pptxSlides Lição 03, Central Gospel, O Arrebatamento, 1Tr24.pptx
Slides Lição 03, Central Gospel, O Arrebatamento, 1Tr24.pptx
 
Orações subordinadas substantivas (andamento).pptx
Orações subordinadas substantivas (andamento).pptxOrações subordinadas substantivas (andamento).pptx
Orações subordinadas substantivas (andamento).pptx
 
William J. Bennett - O livro das virtudes para Crianças.pdf
William J. Bennett - O livro das virtudes para Crianças.pdfWilliam J. Bennett - O livro das virtudes para Crianças.pdf
William J. Bennett - O livro das virtudes para Crianças.pdf
 
Bullying - Atividade com caça- palavras
Bullying - Atividade com caça- palavrasBullying - Atividade com caça- palavras
Bullying - Atividade com caça- palavras
 
ALMANANHE DE BRINCADEIRAS - 500 atividades escolares
ALMANANHE DE BRINCADEIRAS - 500 atividades escolaresALMANANHE DE BRINCADEIRAS - 500 atividades escolares
ALMANANHE DE BRINCADEIRAS - 500 atividades escolares
 
Habilidades Motoras Básicas e Específicas
Habilidades Motoras Básicas e EspecíficasHabilidades Motoras Básicas e Específicas
Habilidades Motoras Básicas e Específicas
 
Simulado 1 Etapa - 2024 Proximo Passo.pdf
Simulado 1 Etapa - 2024 Proximo Passo.pdfSimulado 1 Etapa - 2024 Proximo Passo.pdf
Simulado 1 Etapa - 2024 Proximo Passo.pdf
 

Segurança Computação Nuvem

  • 1. Segurança na Computação em Nuvem LRG – Laboratório de Redes e Gerência Carla Merkle Westphall carlamw@inf.ufsc.br Carlos Becker Westphall westphal@inf.ufsc.br
  • 3. 3 Segurança  CID – confidencialidade, integridade, disponibilidade  Ameaças – condições ou eventos que forneçam potencial de violação de segurança  Vulnerabilidade – falha ou característica indevida que pode ser explorada  Ataque – conjunto de ações feitas por entidade não autorizada visando violações de segurança
  • 4. 4 Computação em nuvem Hardware e Software entregues: • Sob demanda na forma de auto-atendimento • Independente de dispositivo e de localização Recursos necessários • Compartilhados • Dinamicamente escaláveis • Alocados rapidamente e liberados com interação mínima com o provedor de serviço • Virtualizados Usuários pagam pelo serviço usado
  • 5. 5
  • 7. 7 Tecnologias usadas • Aplicações e serviços Web • Virtualização • Criptografia
  • 8. 8 Segurança e economia • Em larga escala implementar segurança é mais barato (filtros, gerenciamento de patches, proteção de máquinas virtuais) • Grandes provedores de cloud podem contratar especialistas • Atualizações são mais rápidas em ambientes homogêneos para responder aos incidentes • Imagens padrão de VMs e softwares podem ser atualizados com configurações de segurança e patches “Mesmo valor de investimentos em segurança compra uma proteção melhor"
  • 9. 9 Defesas de ambientes de nuvem podem ser mais robustas, escaláveis e ter uma relação custo-benefício melhor, mas… ....a concentração grande de recursos e dados são um alvo mais atraente para atacantes
  • 10. 10 Ameaças • Desvio de sessão (session hijacking): o atacante consegue se apoderar de uma sessão HTTP válida para obter acesso não autorizado
  • 11. 11 Ameaças • Fuga da virtualização: o atacante consegue sair do ambiente virtualizado e obter acesso à máquina física
  • 12. 12 Ameaças • Criptografia insegura e obsoleta: ▫ avanços na criptoanálise, protocolos e algoritmos antes considerados seguros passam a ser obsoletos e vulneráveis ▫ gerenciamento e armazenamento de muitas chaves, hardware não é fixo, difícil ter HSM • Amazon S3 (serviço de storage) usa 256-bit Advanced Encryption Standard (AES-256)
  • 13. 13 Ameaças • Acesso não autorizado à interface de gerência: com o auto-atendimento o gerenciamento de clouds geralmente é feito em uma interface web, sendo mais fácil para um atacante obter acesso não autorizado
  • 14. 14 Ameaças • Vulnerabilidades do IP: acesso via Internet, rede não confiável, IP possui problemas de segurança (scanning IaaS proibido) • Vulnerabilidades de recuperação de dados: devido a realocação de recursos é possível que um usuário tenha acesso a recursos de armazenamento e memória previamente utilizados que ainda podem conter dados
  • 15. 15 Ameaças • Injeção de código malicioso: ▫ injeção de SQL – comando SQL é adicionado ou substitui dados fornecidos pelo usuário que são interpretados (e executados) ▫ Cross-Site Scripting - permite a execução de códigos (scripts) no browser do lado do cliente
  • 16. 16 SQL Injection – Ilustração "SELECT * FROM Conta :: Contas Conta accounts WHERE Knowledge Mgmt Communication Administration Legacy Systems Bus. Functions Application Layer Human Resrcs E-Commerce Transactions Web Services SKU: acct=‘’ OR Directories Accounts Conta:5424-6066-2134-4334 Databases Finance HTTP Billing HTTP SQL DB Table Conta:4128-7574-3921-0192 response  1=1--’" request query Conta:5424-9383-2039-4029 APPLICATION    Conta:4128-0004-1234-0293  ATTACK  Custom Code 1. Aplicação apresenta um formulário para o atacante 2. Atacante envia um ataque nos dados do formulário App Server 3. Aplicação encaminha o ataque Web Server para o BD em uma consulta SQL Hardened OS 4. Banco de dados executa a Network Layer consulta contendo o ataque e envia resultados cifrados de volta para a Firewall Firewall aplicação 5. Aplicação decifra dados como normais e envia resultados para o usuário OWASP - 2010
  • 17. 17 Cross-Site Scripting - Ilustração 1 Atacante envia uma armadilha – atualize o meu perfil Aplicação com vulnerabilidade Atacante envia um XSS armazenada script malicioso em uma página web que armazena os dados no Communication Bus. Functions Administration servidor E-Commerce Transactions Knowledge 2 Vítima viu página – viu o perfil do atacante Accounts Finance Mgmt Custom Code Script executa no browser da vítima com acesso completo ao DOM e cookies 3 Script envia silenciosamente o cookie de sessão da vítima para o atacante OWASP - 2010
  • 18. 18 Ameaças • Uso nefasto e abusivo (Iaas, PaaS): poder computacional, rede e armazenamentos ilimitados são usados por usuário cadastrado. Usuário pode ser spammer, distribuir código malicioso ou outro criminoso. É só ter cartão de crédito ! Crack de senhas e chaves, disparo de ataques, DDOS (X-DoS, H-DoS), comando e controle de botnet (Zeus botnet)
  • 19. 19
  • 20. 20 Ameaças • Interfaces e APIs inseguras (Iaas, PaaS, SaaS) Acesso anônimo e ou tokens ou senha reusáveis, autenticação ou transmissão de dados sem criptografia, autorização imprópria, monitoramento e log limitados, dependências de APIs e serviços desconhecidas
  • 21. 21 Ainda... • Usuários não conseguem monitorar a segurança de seus recursos na nuvem • Possibilidade de auditoria da segurança insuficiente • Não existem padrões de medidas específicas para cloud • A computação nas nuvens separa os componentes de sua localização e isso cria questões de segurança que resultam desta falta de perímetro
  • 22. 22
  • 23. 23
  • 24. 24 Cloud Security Alliance • Domínios de governança • Domínios operacionais 1. Segurança tradicional, planos de continuidade e recuperação de desastres 2. Operações dos datacenters 3. Tratamento de incidentes 4. Segurança das aplicações 5. Criptografia e gerenciamento de chaves 6. Gerenciamento de identidades e de acesso 7. Virtualização 8. Segurança como serviço
  • 25. 25 Desafios - Criptografia • Criptografia forte • Gerenciamento de chaves escalável ▫ uma única chave por usuário? ▫ uma única chave para todos os usuários? ▫ múltiplas chaves para o mesmo usuário? • Usuários e provedores devem cifrar todos os dados em trânsito e também dados estáticos
  • 26. 26 Desafios - Multi-tenancy • Diferentes quanto a segurança, SLA, governança, políticas
  • 27. 27 Desafios – Aplicações e IAM • Segurança de aplicações (IaaS, PaaS, SaaS) • Gerenciamento de Identidades e de Acesso (Identity and Access Management) ▫ Proliferação de identidades ▫ Autenticação única (Single Sign On) ▫ Federação de identidades ▫ Privacidade do usuário ▫ Controle de acesso
  • 28. 28 Tecnologias • SAML, XACML • XML-Encryption, XML-Signature • WS (Web Services) Security ▫ WS-Trust ▫ WS-Policy ▫ ... • OpenID, Google, Shibboleth, ...
  • 29. 29 Amazon EC2 http://aws.amazon.com/security/ • PCI DSS (Payment Card Industry Data Security Standard) Level 1 • ISO 27001 • FISMA (Federal Information Security Management Act) Moderate • HIPAA (Health Insurance Portability and Accountability Act) • SAS 70 (Statement on Auditing Standards) Type II
  • 30. 30 Amazon EC2 http://aws.amazon.com/security/ • Segurança física e operacional • Criptografia no sistema de arquivos • Uso do SSL (https) • Gerência de chaves: usuário cuida • Gerenciamento de Identidades e de Acesso ▫ Criar e gerenciar usuários ▫ Identidades federadas ▫ Credenciais para autorização ▫ APIs de programação
  • 31. 31 Pesquisas • Muito trabalho a ser feito • Vários assuntos de pesquisa • No LRG: ▫ Gerenciamento de identidade e acesso na computação em nuvem ▫ Dissertações de mestrado no PPGCC ▫ TCC ▫ Bolsas Pibic/CNPq
  • 32. 32 Referências • Grobauer, B.; Walloschek, T.; Stocker, E. (2011) "Understanding Cloud Computing Vulnerabilities," Security & Privacy, IEEE , vol.9, no.2, pp.50-57, March-April 2011. • Chaves, S.; Westphal, C. B.; Westphall, C. M.; Gerônimo, G. A. “Customer Security Concerns in Cloud Computing,” ICN 2011, pp. 7- 11, 2011. • Gonzalez, N.; Miers, C.; Redigolo, F.; Carvalho, T.; Simplicio, M.; Naslund, M.; Pourzandi, M.; , "A Quantitative Analysis of Current Security Concerns and Solutions for Cloud Computing,“ IEEE CloudCom, pp.231-238, 2011. • CSA (2011). Security Guidance for Critical Areas of Focus in Cloud Computing – v3.0. Cloud Security Alliance. https://cloudsecurityalliance.org/ • CSA (2010). Top Threats to Cloud Computing V1.0. • CSA BR - https://chapters.cloudsecurityalliance.org/brazil/