O documento discute as principais ameaças à segurança na nuvem, destacando 11 tópicos críticos, como abuso de serviços, visibilidade limitada e violação de dados. Também apresenta recomendações para mitigar esses riscos, incluindo a avaliação de provedores e a compreensão das diferenças entre segurança em nuvem e tradicional. Além disso, menciona projetos da OWASP voltados para segurança em nuvem.

1. Cloud Security Top Threats
Luiz A. Amelotti
luiz@amelotti.com

2. Agenda
• Modelo de Responsabilidade Compartilhada
• Processo de Gestão de Segurança
• Top Threats
• Recomendações
• Projetos OWASP

3. Mapa de reponsabilidades

4. Responsabilidade Compartilhada
• Provedores de Serviço
• Consumidores do Serviço

5. Responsabilidade Compartilhada

6. Processo de gestão de segurança

7. Top Threats
• (11) Abuso e uso malicioso de serviços de
Cloud
• (10) Visibilidade Limitada do uso da Nuvem
• (09) Falhas na Metastructure and
Applistructure
• (08) Fraquezas no Control Plane

8. Top Threats
• (07) APIs e Interfaces inseguras
• (06) Ameaça interna
• (05) Sequestro de Conta
• (04) Gestão insuficiente de Identidade,
Credenciais, Acessos e Chaves

9. Top Threats
• (03) Falta de Arquitetura e Estratégia voltada a
Segurança
• (02) Erros de Configuração e Falta de Gestão
de Mudanças
• (01) Violação de Dados

10. Recomendações
• Entender diferenças entre Cloud e Tradicional
• Avaliar e comparar provedores
• Revisar documentação dos provedores
• Seguir o processo de segurança
• Conhecer a infraestrutura de segurança

11. Projetos OWASP
• Cloud 10 (inativo)
• Cloud Security Mentor

12. Projetos OWASP
• Cloud Testing Guide
• Cloud-Native App Security (incubator)

13. Referências
• Security Guidance for Critical Areas of Focus in
Cloud Computing v4
• Top Threats to Cloud Computing - The
Egregious 11
• OWASP Project Inventory