4. Computação em Nuvem
Computação em nuvem é um termo em evolução
ü Separa as aplicações e os recursos de informação de sua
infraestrutura básica, e os mecanismos utilizados para entregá-
los.
ü Uso de uma coleção de serviços, aplicações, informação e
infraestrutura composta por pools de recursos computacionais,
de rede, de informação e de armazenamento.
ü Estes componentes podem ser rapidamente organizados,
provisionados, implementados, desativados, e escalados para
cima ou para baixo, provendo um modelo de alocação e
consumo baseado na demanda de recursos.
4
5. Computação em Nuvem
Vantagens
ü Realça a colaboração,
agilidade, escalabilidade e
disponibilidade.
üPotencial para redução de
custos através de computação
eficiente e otimizada.
ü Eficiência de custos pelas
economias de escala,
reutilização e padronização.
fonte: sxc.hu
5
8. Considerações de Segurança
ü
Computação em Nuvem não é mais ou
menos segura.
ü
Os controles de segurança para
Computação em Nuvem não são diferentes
dos controles de segurança para qualquer
ambiente de TI.
8
9. Segurança da Computação em Nuvem
Cliente
Infrastructure as a Service (IaaS)
ü
S
E
G
U
Platform as a Service (PaaS)
ü
R
A
N
Ç
A
Software as a Service (SaaS)
ü
Provedor
9
11. Riscos de Segurança
ü
Computação em Nuvem cria novos riscos
e novas oportunidades.
ü
Oportunidade de reestruturar aplicações
antigas.
11
12. Casos
ü
Google:
– Aurora;
– Senhas resetadas.
ü
Amazon.
12
13. Riscos de Computação em Nuvem
Guia de Segurança para Áreas Críticas Focado em
Computação em Nuvem V2.1
ü Referência para análise dos riscos
http://br.cloudsecurityalliance.org/wp-content/plugins/download-monitor/download.
php?id=1
Top Threats to Cloud Computing V1.0
ü Sete principais riscos
http://www.cloudsecurityalliance.org/topthreats.html
13
14. Principais Riscos Para Computação em
Nuvem
Abuso e uso Malicioso de Computação em Nuvem
Qualquer pessoa com um cartão de crédito válido
ü
pode se registrar e usar os serviços em nuvem
ü Spammers, autores de códigos maliciosos e criminosos.
ü Uso anônimo e impune.
ü Usos maliciosos
ü Quebra de senhas.
ü Realização de ataques (ex: DDoS).
ü Hospedar dados maliciosos.
ü Controle de botnets.
ü EaaS ( Exploit as a Service )
14
16. CSA:
Overview
ü
Associação sem fins lucrativos.
ü
Idealizada durante o ISSA CISO Forum em Novembro
de 2008.
ü
Oficializada em Dezembro de 2008.
ü
Primeiro Whitepaper na RSA Conference em 2009.
ü
+12mil Membros.
ü
Presente em 06 países através de Chapters locais.
16
17. CSA:
Missão
“
To promote the use of best
practices for providing
security assurance within
Cloud Computing, and
provide education on the
uses of Cloud Computing to
help secure all other forms
of computing.
”
fonte: sxc.hu
17
18. CSA Brasil:
Overview
ü
Segundo Chapter oficial da CSA.
ü
Oficializado em 27 de Maio de 2010.
ü
Aproximadamente 120 Membros.
ü
Segue a Missão e os Objetivos da CSA Global.
18
19. Projetos
CCSK
Certificação CCSK
ü
Voltada para profissionais.
ü
Disponível desde 01 de Setembro de 2010.
ü
Realizada online.
ü
US$ 295, até 31 de Dezembro US$ 195.
ü
Baseada no Guia de Boas Práticas da CSA e nos
estudos da Enisa sobre gestão de riscos na
Nuvem.
ü
CCSK Study Guide.
ü
Relacionada a versão do Guia.
ü
Não expira.
ü
4 profissionais certificados no Brasil.
19
20. Como se Associar
CSA / CSA Brasil
Pessoa Física
ü
Participação no grupo do LinkedIN.
ü
Participação nas listas de discussões dos
projetos (csabrasil – Yahoo Grupos).
ü
Sem custo.
Pessoa Jurídica
ü
Contato diretamente com a CSA.
ü
Taxa anual.
20
21. Referências
“CSA Cloud Controls Matrix V1”
ü
Lançado em 27 de Abril de 2010.
ü
http://www.cloudsecurityalliance.org/cm.html
21 21
22. Referências
NIST Cloud Computing Project
http://csrc.nist.gov/groups/SNS/cloud-computing/index.html
ENISA: “Cloud Computing: Benefits, risks
and recommendations for information security”
http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment
22 22