O documento apresenta conceitos sobre computação em nuvem, segurança na AWS e realiza uma demonstração. Ele discute o que é computação em nuvem e seus tipos principais, faz uma introdução à AWS incluindo sua linha do tempo e serviços, e explica as responsabilidades de segurança tanto da AWS quanto dos clientes. O documento termina com uma demonstração prática.
2. Agenda
• Motivação;
• O que é (e o que não é) computação em
nuvem;
• Tipos de computação em nuvem;
• AWS (Amazon Web Services);
• Segurança na AWS;
• Demonstração.
2
3. Mini-CV
• MBA em Gerenciamento de Projetos de TI;
• Bacharel em Engenharia Elétrica;
• Tecnológo em Telemática;
• 2x CCIE (Routing & Switching, Service Provider), VCIX-NV (NSX);
• CISSP, MCSE Private Cloud, VCP6-DCV, ITIL v3;
• Ex-membro do Cisco Data Center Tiger Team;
• Arquiteto de Computação em Nuvem;
• Colaborador regular da PenTest Magazine;
• Arquiteto de Cloud e CyberSec na HX Brasil;
• Perito Forense Computacional;
• Mais de 20 anos de experiência em TI;
• Palestrante de temas diversos em Tecnologia da Informação.
3
5. Motivação
• O que você entende por virtualização?
• Virtualização é obrigatória para a nuvem?
• Quando foi criada a virtualização?
• Além de servidor, o que mais é possível
virtualizar?
• Virtualização é a solução de todos os
problemas de TI?
5
6. Motivação (cont.)
• Virtualização em TI é a capacidade de abstrair uma camada inferior,
normalmente composta por hardware, de uma maneira que possa
ser usada por uma camada superior, normalmente composta por
software;
• Virtualização e computação em nuvem são conceitos
complementares, mas não diretamente dependentes;
• Não é um conceito novo
– Mainframes já implementam isso há anos.
• Virtualização mais comum é a de servidores
– Ainda temos desktop, memória, rede, storage, aplicação…
• A solução para os problemas de TI é a combinação correta entre
arquitetura e implementação das infraestruturas lógica e física.
6
7. Motivação (cont.)
• Em se tratando de servidores, há
basicamente dois tipos de virtualização:
– HVM: Hardware Virtual Machine – é o tipo
mais comumente usado;
– PV: diferencia-se do anterior por criar uma
espécie de ponte entre a máquina virtual e o
hardware (aumento de desempenho).
7
10. O que é isso?
• Acima de tudo, tornar transparente para o
usuário (cliente) qual o recurso físico está
sendo alocado para atender uma
determinada demanda;
• O termo ”nuvem” vem justamente dessa
capacidade;
• Por ”físico”, consideremos tudo: servidor,
disco, storage, rede, memória, …
10
11. Continuando…
• Segundo o NIST, qualquer implementação de
computação em nuvem precisa atender a cinco
requisitos:
– Auto-serviço sob demanda;
– Amplo acesso por rede;
– Agrupamento de recursos;
– Elasticidade;
– Pagamento pelo uso.
• Para saber mais, procurar por ”NIST Special
Publication 800-145”.
11
12. E o que NÃO é?
• Servidores de Virtualização
– Na sua empresa ou fora dela.
• Caso especial: VPS (Virtual Private
Server)
• Normalmente usado para hospedar CMSs.
• Provedor de hosting;
• Provedor de colocation (carrier hotel);
• Servidor de arquivos.
12
16. AWS
• Atualmente, o maior provedor de
computação em nuvem do mundo;
• Atua em diversos serviços, como IaaS,
PaaS, SaaS, DBaaS, entre outros;
• É uma das empresas do conglomerado
Amazon;
• Maiores concorrentes são a Microsoft, com o
Azure, e o Google, que fica em terceiro lugar.
17
18. AWS
• Formas flexíveis de acesso
– Console gráfica (browser);
– API;
– CLI (escrita em Python).
19
19. AWS (Linha do Tempo) 1/3
20
Criação e apresentação do plano de negócios
2003
2004
2006
2007
2010
Lançamento do SQS
Lançamento da AWS
Mais de 180.000 programadores aderiram à plataforma
Toda a estrutura
da Amazon
movida para
dentro da AWS
20. AWS (Linha do Tempo) 2/3
21
Primeira re:Invent (conferência), e re:Play, a maior festa no mundo
promovida por uma empresa de TI
2012
2013
2014
2015
Lançamento das certificações
100% de energia renovável
alimentando os data centers.*
Lucro da AWS ultrapassou o da Amazon: cerca de US$ 6 bilhões **
21. AWS (Linha do Tempo) 3/3
22
Cisco, Dell, EMC, IBM, HP Enterprise, Oracle e VMware lucraram juntas
cerca de US$ 206 bilhões (redução de US$ 15 bilhões (ou 3%) quando
comparado com 2012)
2016 (1)
2016 (2)
2017
Lucro da AWS foi US$ 13 bilhões
AWS é o maior
provedor de
IaaS do mundo*
23. Segurança na AWS
• É preciso definir claramente o papel de
segurança da AWS e do cliente;
• A AWS se responsabiliza por:
– Segurança física dos Data Centers (câmeras,
guardas, controles biométricos, energia elétrica);
– Isolamento entre clientes;
– Tolerância a falha dos componentes físicos e lógicos
• Servidores, armazenamento, rede, conexão com a Internet.
– Ataques de negação de serviço à
infraestrutura da AWS.
24
25. Segurança na AWS
• É papel do cliente
– Proteger corretamente seus ativos
• Arquitetar a estrutura de forma que ela esteja
preparada para uma situação de falhas;*
• Gerenciamento das contas e subcontas;
• Atualização das Instâncias EC2 (máquinas
virtuais);
• Security Groups e Network ACLs;
• Controle de Acesso aos arquivos (S3);
• Segurança das aplicações web.
26
26. Segurança na AWS
• Serviços úteis para ajudar a proteger os
recursos:
– MFA (Multi Factor Authentication) do IAM
(Identity Access Manager);
– VPN (Virtual Private Network) entre a AWS e
a rede do cliente;
– Inspector;
– WAF (Web Application Firewall);
– Shield.
27
Virtualização de desktop é bem próxima de servidores (também usa VMs).
Virtulização de memória é o swapping (paginação).
Virtualização em rede pode ser feita via VLANs, VRFs e MPLS.
Virtualização de storage é implementada via mascaramento de endereços físicos em algo mais legível, como WWNNs, LUNs e pontos de mapeamento.
Virtualização de aplicações cria um contêiner com a infraestrutura mínima para execução da aplicação.
Ressaltar que a virtualização pode apenas inserir mais uma camada de gerenciamento e dificultar a vida dos administradores de sistema. Um processo mal feito tanto não vai ajudar quanto vai piorar o cenário.
Atualmente, existem 14 regiões e 38 AZs (zonas de disponibilidade). Para 2017, estão previstas mais 4 regiões e 11 AZs. Isto não é cobrado no exame. Cada região consiste de 2 ou mais AZs. Uma AZ é simplesmente um DC. Já as edge locations correspondem a End Points de CDN para o Cloud Front. Há mais edge locations do que regiões. Atualmente, há 66 edge locations.
Instalação da CLI é extremamente simples. Basta baixar o PIP e o próprio pacote e começar a usar.
API tem ampla documentação disponível na Internet e se baseia em web services (REST/JSON).
Chris Pinkham e Benjamin Black apresentaram um paper sobre como a estrutura interna da Amazon deveria ser. Eles sugeriram vendê-la como um serviço e prepararam um plano de negócios para isso.
*Google só conseguirá energia renovável em 100% dos DCs este ano.
** Crescimento se mantém estável na faixa de 90% ao ano.
* Pelo sétimo ano consecutivo, de acordo com o quadrante mágico do Gartner.
*Lembrar a rule-thumb (regra do polegar) das melhores práticas da AWS que reza arquitetar um sistema para a pior situação possível: prever que falhas poderão acontecer em diversos componentes diferentes.