O documento discute oportunidades e riscos de segurança relacionados à computação em nuvem, definindo o que é computação em nuvem, destacando seus benefícios, abordando riscos como abuso e uso malicioso, e apresentando a Cloud Security Alliance e seus projetos de certificação e controles de segurança.

1. Computação em Nuvem
Oportunidades e Riscos de
Segurança
Alexandro Silva
Membro CSA Brasil
alexos@alexos.org
http://alexos.org
1

2. Agenda
ü
O que é Computação em Nuvem
ü
Oportunidades de Segurança
ü
Riscos
ü
Cloud Security Alliance
2

3. Cloud Computing
O que é Computação em Nuvem
3

4. Computação em Nuvem
Computação em nuvem é um termo em evolução
ü Separa as aplicações e os recursos de informação de sua
infraestrutura básica, e os mecanismos utilizados para entregá-
los.
ü Uso de uma coleção de serviços, aplicações, informação e
infraestrutura composta por pools de recursos computacionais,
de rede, de informação e de armazenamento.
ü Estes componentes podem ser rapidamente organizados,
provisionados, implementados, desativados, e escalados para
cima ou para baixo, provendo um modelo de alocação e
consumo baseado na demanda de recursos.
4

5. Computação em Nuvem
Vantagens
ü Realça a colaboração,
agilidade, escalabilidade e
disponibilidade.
üPotencial para redução de
custos através de computação
eficiente e otimizada.
ü Eficiência de custos pelas
economias de escala,
reutilização e padronização.
fonte: sxc.hu
5

6. Computação em Nuvem
6

7. Segurança
Oportunidades de Segurança
7

8. Considerações de Segurança
ü
Computação em Nuvem não é mais ou
menos segura.
ü
Os controles de segurança para
Computação em Nuvem não são diferentes
dos controles de segurança para qualquer
ambiente de TI.
8

9. Segurança da Computação em Nuvem
Cliente
Infrastructure as a Service (IaaS)
ü
S
E
G
U
Platform as a Service (PaaS)
ü
R
A
N
Ç
A
Software as a Service (SaaS)
ü
Provedor
9

10. Riscos
Riscos na adoção da Computação em Nuvem
10

11. Riscos de Segurança
ü
Computação em Nuvem cria novos riscos
e novas oportunidades.
ü
Oportunidade de reestruturar aplicações
antigas.
11

12. Casos
ü
Google:
– Aurora;
– Senhas resetadas.
ü
Amazon.
12

13. Riscos de Computação em Nuvem
Guia de Segurança para Áreas Críticas Focado em
Computação em Nuvem V2.1
ü Referência para análise dos riscos
http://br.cloudsecurityalliance.org/wp-content/plugins/download-monitor/download.
php?id=1
Top Threats to Cloud Computing V1.0
ü Sete principais riscos
http://www.cloudsecurityalliance.org/topthreats.html
13

14. Principais Riscos Para Computação em
Nuvem
Abuso e uso Malicioso de Computação em Nuvem
Qualquer pessoa com um cartão de crédito válido
ü
pode se registrar e usar os serviços em nuvem
ü Spammers, autores de códigos maliciosos e criminosos.
ü Uso anônimo e impune.
ü Usos maliciosos
ü Quebra de senhas.
ü Realização de ataques (ex: DDoS).
ü Hospedar dados maliciosos.
ü Controle de botnets.
ü EaaS ( Exploit as a Service )
14

15. Cloud Security Alliance
Apresentação da CSA Brasil
15

16. CSA:
Overview
ü
Associação sem fins lucrativos.
ü
Idealizada durante o ISSA CISO Forum em Novembro
de 2008.
ü
Oficializada em Dezembro de 2008.
ü
Primeiro Whitepaper na RSA Conference em 2009.
ü
+12mil Membros.
ü
Presente em 06 países através de Chapters locais.
16

17. CSA:
Missão
“
To promote the use of best
practices for providing
security assurance within
Cloud Computing, and
provide education on the
uses of Cloud Computing to
help secure all other forms
of computing.
”
fonte: sxc.hu
17

18. CSA Brasil:
Overview
ü
Segundo Chapter oficial da CSA.
ü
Oficializado em 27 de Maio de 2010.
ü
Aproximadamente 120 Membros.
ü
Segue a Missão e os Objetivos da CSA Global.
18

19. Projetos
CCSK
Certificação CCSK
ü
Voltada para profissionais.
ü
Disponível desde 01 de Setembro de 2010.
ü
Realizada online.
ü
US$ 295, até 31 de Dezembro US$ 195.
ü
Baseada no Guia de Boas Práticas da CSA e nos
estudos da Enisa sobre gestão de riscos na
Nuvem.
ü
CCSK Study Guide.
ü
Relacionada a versão do Guia.
ü
Não expira.
ü
4 profissionais certificados no Brasil.
19

20. Como se Associar
CSA / CSA Brasil
Pessoa Física
ü
Participação no grupo do LinkedIN.
ü
Participação nas listas de discussões dos
projetos (csabrasil – Yahoo Grupos).
ü
Sem custo.
Pessoa Jurídica
ü
Contato diretamente com a CSA.
ü
Taxa anual.
20

21. Referências
“CSA Cloud Controls Matrix V1”
ü
Lançado em 27 de Abril de 2010.
ü
http://www.cloudsecurityalliance.org/cm.html
21 21

22. Referências
NIST Cloud Computing Project
http://csrc.nist.gov/groups/SNS/cloud-computing/index.html
ENISA: “Cloud Computing: Benefits, risks
and recommendations for information security”
http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment
22 22

23. Licença de Uso
23 23

24. Obrigado
Alexandro Silva
Membro da CSA Brasil
alexos@alexos.org
http://br.cloudsecurityalliance.org
http://www.cloudsecurityalliance.org
24