Luiz Amelotti, profile picture
Carregado porLuiz Amelotti
1,432 visualizações

Segurança e privacidade em computação em nuvem - uma visão geral

O documento aborda a segurança e privacidade em computação em nuvem, detalhando características, riscos e desafios associados a esse modelo. Ele discute a evolução histórica da computação em nuvem, os principais modelos de serviço e implantação, além de analisar ameaças e boas práticas de segurança. Conclui que a nuvem ainda não é totalmente segura e destaca a necessidade de padronizações e desenvolvimento de frameworks de segurança específicos para este ambiente.

Incorporar apresentação

Baixado 42 vezes
Segurança e privacidade em computação em nuvem Uma visão geral
Segurança e privacidade em computação em nuvem Monografia em Sistemas de Informação Aluno: Luiz Augusto Amelotti Orientador: Prof. Dr. Antônio Alfredo Loureiro
Agenda • Introdução ▫ Conceitos e Definições ▫ Motivação ▫ História • Objetivos • Metodologia • Análises
Agenda • • • • Discussões Conclusões Trabalhos Futuros Perguntas
Introdução Computação em Nuvem ▫ Nova maneira de prover recursos Não é uma nova tecnologia ▫ Evolução e união de conceitos e tecnologias
Introdução Computação em Nuvem - definição ▫ ▫ ▫ ▫ ▫ Auto-serviço Acesso via rede Pool de recursos Elasticidade instantânea Medição de serviço
Introdução Computação em Nuvem – modelos de serviço ▫ IaaS Amazon EC2, Rackspace CloudServer, Amazon S3 ▫ PaaS Google AppsEngine, Microsoft Azure ▫ SaaS LotusLive, BlueworksLive, Salesforce
Introdução Computação em Nuvem – modelos de implantação ▫ ▫ ▫ ▫ Públicas Privadas Comunitárias Híbridas
Introdução Segurança da Informação ▫ ▫ ▫ ▫ Confidencialidade Integridade Disponibilidade Privacidade
Introdução Segurança da Informação ▫ Vulnerabilidade ▫ Ameaça ▫ Risco
Introdução Processo de gestão dos riscos ▫ Definição do Contexto ▫ ▫ ▫ ▫ ▫ Análise dos Riscos Tratamento dos Riscos Aceitação dos Riscos Comunicação dos Riscos Monitoração
Introdução Auditoria e Perícia ▫ Análise das atividades realizadas no sistema ▫ Análise das vulnerabilidades presentes ▫ Aquisição, preservação, identificação, extração, recuperação e análise de evidências ▫ Enquadramento das evidências dentro do formato jurídico
Introdução Motivação ▫ Tendência de aumento com gastos em Computação em Nuvem ▫ Aumento das soluções baseadas em Computação em Nuvem ▫ Segurança é crítica para adoção de soluções baseadas em Computação em Nuvem
Introdução História ▫ Computação em Nuvem Década de 60 – Utility Computing e o Multics Década de 80 – popularização do PC e Internet Década de 90 – Grid Computing e o compartilhamento de recursos Decadas de 90 e 2000 – Estouro da bolha .com e excesso de recursos disponíveis 2006 – Primeiros serviços de nuvem da Amazon
Introdução História ▫ Segurança da Informação 1982 – primeiro programa na forma de vírus 1988 – vírus de Robert Morris derruba 10% da Internet 1995 – primeira norma/recomendação de segurança 2000 – ataque DDOS derrubou grandes portais 2010 – ataque do Stuxnet
Introdução História 2010 – série de ataques ao Google e outras empresas americanas 2011 – nova série de ataques ao Google. Alvo são pessoas ligados ao governo 2011 – EUA elabora política de estado para cyberguerra 2011 – Série de ataques a redes militares dos EUA Ontem – possível ataque ao site da CIA
Objetivos ▫ Identificar características únicas relacionadas à segurança em ambientes de Computação em Nuvem ▫ Avaliar técnicas que visam garantir a segurança e privacidade em ambientes de Computação em Nuvem ▫ Caracterizar e avaliar as principais ameaças à Computação em Nuvem
Objetivos ▫ Avaliar técnicas de perícia forense e auditoria e suas aplicações em ambientes de Computação em Nuvem ▫ Propor documentação ▫ Subsidiar trabalhos futuros
Objetivos Perguntas ▫ Quão disponíveis estarão os dados em uma nuvem pública? ▫ Existem riscos de quebra de privacidade? ▫ Que garantias existem que dados de uma empresa não serão vistos pela outra? ▫ Como fazer uma auditoria nos processos do provedor de nuvem? ▫ Como garantir integridade e confidencialidade de dados que estão em uma nuvem pública?
Metodologia ▫ Pesquisa básica ▫ Revisão bibliográfica de artigos das principais conferências de segurança e computação em nuvem ▫ Revisão de artigos produzidos por grupos de pesquisa em computação em nuvem e segurança
Metodologia ▫ Revisão de livros, publicações especializadas e demais literaturas relacionadas a segurança da informação, computação em nuvem, auditoria e perícia forense ▫ Avaliação de boas práticas e recomendações sobre segurança da informação e sua aplicação em ambientes de computação em nuvem
Análises Características da Computação em Nuvem e tecnologias envolvidas ▫ ▫ ▫ ▫ ▫ Virtualização Computação distribuida Computação ubíqua Comunicação de dados Armazenamento
Análises Principais ameaças para Computação em Nuvem ▫ ▫ ▫ ▫ ▫ ▫ ▫ Uso abusivo da Computação em Nuvem API’s inseguras Funcionários maliciosos nos provedores Vulnerabilidades nas tecnologias de suporte Vazamento de dados Seqüestro de contas, tráfego e sessões Risco desconhecido
Análises Impactos da quebra de segurança ▫ Vazamento de informações confidenciais ▫ Comprometimento do resultado do processamento ▫ Perda de dados ▫ Indisponibilidade de serviços ▫ Aumento de custos e diminuição de credibilidade!
Análises Alguns ataques específicos a ambientes de Computação em Nuvem ▫ Cloud Cartography Usado contra a Amazon ▫ Cloud Malware Injection ▫ Cloud War
Análises Alguns ataques específicos a ambientes de Computação em Nuvem ▫ Uso de imagens maliciosas ▫ Comprometimento do hypervisor ▫ Comprometimento do processamento
Análises Computação em Nuvem como plataforma para ataques ▫ ▫ ▫ ▫ ▫ Geração de hash-chains Quebra de senhas Botnets Imagens de VMs maliciosas Spam
Análises Privacidade ▫ Dados estão armazenados em dispositivos sob controle de outros Quem tem acesso aos dados? A privacidade está legalmente garantida? Caso Wikileaks
Análises Frameworks e boas práticas de segurança ▫ Praticas tradicionais não se aplicam a este ambiente Características muito diferentes ▫ Procedimentos padrão de segurança não garantem quase nada!
Análises Redes de confiança ▫ Similar à estrutura dos certificados digitais ▫ Uma entidade confiável garante a reputação do provedor ▫ Deve-se confiar na entidade no topo da hierarquia
Discussões ▫ Provedores ainda não garantem a segurança dos dados Política da Amazon ▫ Segurança dos dados e privacidade estão sujeitos às políticas e legislação vigentes nos países onde os dados/aplicações estão armazenados.
Discussões ▫ Provedores podem ter infraestrutura distribuida geográficamente Ataques tradicionais às redes de dados e problemas legais ▫ Dificuldade em manter registros para auditoria e perícia e manter a privacidade dos usuários Provedor tem de manter dados de todos os clientes Mais um ativo para entrar no processo de gestão da segurança
Discussões ▫ É necessário tornar os dados anônimos Foi possível “de-anonimizar” os dados de uma base do Netflix Existe um framework – Airavat – que tenta solucionar o problema Insere ruido na saida do processamento
Conclusões ▫ Nuvem ainda não é totalmente segura ▫ É um novo modelo, com características diferentes ▫ Falta padronização/modelos de segurança aplicados à Nuvem ▫ Nova maneira de desenvolver software ▫ Sem um bom planejamento, não é o momento de mover dados/aplicações estratégicas para a nuvem Avaliar o Risco e o Impacto
Conclusões ▫ Redes de confiança podem não ser solução suficiente Sistemas da Comodo foram invadidos diversas vezes ▫ Segurança dos dados e privacidade estão sujeitos às políticas e legislação vigentes nos países onde os dados/aplicações estão armazenados.
Conclusões ▫ O usuário é o principal responsável pela disponibilidade de seus dados ▫ Os dados podem ficar indisponíveis como resultado de ataques ao provedor , às plataformas de execução ou como resultados de procedimentos de manutenção do ambiente ▫ Exitem riscos legais, além de usuários mal intencionados dentro das redes dos provedores de serviços
Conclusões ▫ Existem também riscos de roubo de tráfego, comprometimento dos equipamentos e, no caso de IaaS, uso de imagens comprometidas ▫ Os provedores garantem o isolamento com medidas diversas. Mas ataques executados já mostraram ser possível comprometer essas medidas ▫ Empresas que concorrem com o provedor de serviços em algum negócio também correm risco
Conclusões ▫ Há a dependência de dados disponibilizados e controlados pelo provedor para auditoria ▫ Ainda pode haver comprometimento no processamento dos dados ▫ É necessário uma padronização nos modelos de segurança, adaptados à realidade da Computação em Nuvem ▫ É preciso desenvolver frameworks e estabelecer boas práticas para a segurança na nuvem
Trabalhos Futuros ▫ Análisar e avaliar frameworks já propostos ▫ Estudar e desenvolver framework de segurança ▫ Modelo de confiança e responsabilidade para imagens de VMs, softwares, plataformas, etc ▫ Estudar segurança em Computação em Nuvem usada por dispositivos móveis ▫ Estudar desenvolvimento de aplicações para nuvem, considerando a segurança como aspecto crítico
Perguntas

Mais conteúdo relacionado

PDF
Segurança na Nuvem
porAmazon Web Services LATAM
 
PDF
Segurança Em Computaçao Na Nuvem
porJavier Antonio Humarán Peñuñuri
 
PDF
Prazer, computação em nuvem
porDiogo Tavares da Silva
 
PDF
Apresentação - Cloud Computing
porUniCloud
 
PDF
Segurança na Nuvem: Conformidades e Riscos
porRodrigo Felipe Betussi
 
PDF
Oportunidades e Riscos de Segurança na Computação na Nuvem
porCássio Quaresma
 
PDF
Entendendo a computação em nuvem
porLeonardo Grandinetti Chaves
 
PDF
Infraestrutura de cloud computing
porFabio Leandro
 
Segurança na Nuvem
porAmazon Web Services LATAM
 
Segurança Em Computaçao Na Nuvem
porJavier Antonio Humarán Peñuñuri
 
Prazer, computação em nuvem
porDiogo Tavares da Silva
 
Apresentação - Cloud Computing
porUniCloud
 
Segurança na Nuvem: Conformidades e Riscos
porRodrigo Felipe Betussi
 
Oportunidades e Riscos de Segurança na Computação na Nuvem
porCássio Quaresma
 
Entendendo a computação em nuvem
porLeonardo Grandinetti Chaves
 
Infraestrutura de cloud computing
porFabio Leandro
 

Mais procurados

PPTX
Armazenamento em nuvem
porTuesla Santos
 
PDF
Criptografia nas redes sem fio
porDaiana Tavares
 
PPS
Seminário Computação em Nuvem
porLeandro Nunes
 
PPT
Computação em nuvem
porThiago Rodrigues
 
PDF
Tcc firewalls e a segurança na internet
poralexandrino1
 
PPTX
Lista de desejos de um Chief Security Officer
porAmazon Web Services LATAM
 
PPTX
Sociedade da Informação e Cloud Forensics
porederruschel
 
PPTX
Sociedade da Informação e Cloud Forensics
porederruschel
 
PPTX
Sociedade da Informação e Cloud Forensics
porederruschel
 
PDF
Artigo Cloud Computing
porRicardo Peres
 
PDF
O que não vai mudar em 10 anos? A segurança como fator de inovação
porAmazon Web Services LATAM
 
PPTX
Computação nas nuvens
porAnna Carolina Soares Medeiros
 
PPT
Computação em Nuvem - Cloud Computing
porAllan Reis
 
PPTX
My Cloud Computing Presentation V3
pornamplc
 
PDF
2017 bravo barracuda essentials
porBravo Tecnologia
 
PPTX
Por que AWS é mais segura que meu datacenter?
porAmazon Web Services LATAM
 
PDF
Computação em nuvem (cloud computing), uma introdução.
porRodrigo Miranda
 
PDF
Computação em nuvens
porMariangela Santos
 
PDF
Webinar com Demo ao Vivo: SonicWall Security Solutions
porBravo Tecnologia
 
PPSX
Cloud Computing Tecla Internet - Conceito
porTecla Internet
 
Armazenamento em nuvem
porTuesla Santos
 
Criptografia nas redes sem fio
porDaiana Tavares
 
Seminário Computação em Nuvem
porLeandro Nunes
 
Computação em nuvem
porThiago Rodrigues
 
Tcc firewalls e a segurança na internet
poralexandrino1
 
Lista de desejos de um Chief Security Officer
porAmazon Web Services LATAM
 
Sociedade da Informação e Cloud Forensics
porederruschel
 
Sociedade da Informação e Cloud Forensics
porederruschel
 
Sociedade da Informação e Cloud Forensics
porederruschel
 
Artigo Cloud Computing
porRicardo Peres
 
O que não vai mudar em 10 anos? A segurança como fator de inovação
porAmazon Web Services LATAM
 
Computação nas nuvens
porAnna Carolina Soares Medeiros
 
Computação em Nuvem - Cloud Computing
porAllan Reis
 
My Cloud Computing Presentation V3
pornamplc
 
2017 bravo barracuda essentials
porBravo Tecnologia
 
Por que AWS é mais segura que meu datacenter?
porAmazon Web Services LATAM
 
Computação em nuvem (cloud computing), uma introdução.
porRodrigo Miranda
 
Computação em nuvens
porMariangela Santos
 
Webinar com Demo ao Vivo: SonicWall Security Solutions
porBravo Tecnologia
 
Cloud Computing Tecla Internet - Conceito
porTecla Internet
 

Destaque

PPT
Cloud computing simple ppt
porAgarwaljay
 
PDF
Cloud Computing - Computação em Nuvem
porCompanyWeb
 
PDF
Amelotti Tecnologia e Sistemas - Apresentação institucional
porLuiz Amelotti
 
PPTX
Apresentação institucional - Cloud - Amelotti Tecnologia e Sistemas
porLuiz Amelotti
 
PPTX
10 dinâmicas divertidas e envolventes
porraimundosoaresdeandrade
 
PPT
Cloud Computing (Computação nas nuvens)
porrennanf
 
PDF
Cedaspy manaus
porProfessores Cedaspy
 
PPTX
Computação na nuvem
porChellton Almeida
 
PPTX
Presentación One Drive
porMaariacamm
 
PPT
Apresentação cloud computing senac
porfrank encarnacão
 
PDF
SSI 2012 - Computação em Nuvem
porFabrício Lopes Sanchez
 
PDF
Seguranca da computacao
porFabio Roberto
 
Cloud computing simple ppt
porAgarwaljay
 
Cloud Computing - Computação em Nuvem
porCompanyWeb
 
Amelotti Tecnologia e Sistemas - Apresentação institucional
porLuiz Amelotti
 
Apresentação institucional - Cloud - Amelotti Tecnologia e Sistemas
porLuiz Amelotti
 
10 dinâmicas divertidas e envolventes
porraimundosoaresdeandrade
 
Cloud Computing (Computação nas nuvens)
porrennanf
 
Cedaspy manaus
porProfessores Cedaspy
 
Computação na nuvem
porChellton Almeida
 
Presentación One Drive
porMaariacamm
 
Apresentação cloud computing senac
porfrank encarnacão
 
SSI 2012 - Computação em Nuvem
porFabrício Lopes Sanchez
 
Seguranca da computacao
porFabio Roberto
 

Semelhante a Segurança e privacidade em computação em nuvem - uma visão geral

PDF
Cloud computing
porKlaus Fischer Gomes Santana
 
PPTX
Tech segurança na nuvem
porCarlos Goldani
 
PDF
Cloud computing
porRoney Médice
 
PPT
Cloud computing-curso-dia3
porAdemar Freitas
 
PPT
Segurança da Nuvem
porarmsthon
 
PDF
Cloud Computing - Conceitos e Aplicações Práticas
porRafael Bandeira
 
PDF
Desafios Futuros e Oportunidades
porMarcio Cunha
 
PDF
Testes de segurança desafios e oportunidades
porQualister
 
PDF
Palestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação
porMarcelo Veloso
 
PDF
CSABR - Cloud Computing: Entendendo os Riscos no Horizonte 20110718 IDETI
porAnchises Moraes
 
PPTX
Embrace Any Cloud Securely
porAlexandre Freire
 
DOCX
O que é computação em nuvem.docx
porPriscillaZambotti
 
DOCX
O que é computação em nuvem.docx
porPriscillaZambotti
 
PPTX
Aula 1 Segurança
pordougvaz
 
PPTX
Aspectos Técnicos e Regulatórios sobre Internet: Aula 5: Segurança Cibernética
porcaugustovitor1
 
PDF
Cloud Computing - Conceitos e Riscos
porAnchises Moraes
 
PDF
Analise Seguranca Computacao Nuvem - XXXII SBRC (2014)
porSanta Catarina State University (UDESC)
 
PDF
Seminário SD Cloud Security
poralef1993
 
PDF
Palestra CONITECH 2012 - Avaliação de Riscos de Segurança em Cloud Computing
porMarcelo Veloso
 
PDF
Segurança em nuvem
porMarcelo Lau
 
Cloud computing
porKlaus Fischer Gomes Santana
 
Tech segurança na nuvem
porCarlos Goldani
 
Cloud computing
porRoney Médice
 
Cloud computing-curso-dia3
porAdemar Freitas
 
Segurança da Nuvem
porarmsthon
 
Cloud Computing - Conceitos e Aplicações Práticas
porRafael Bandeira
 
Desafios Futuros e Oportunidades
porMarcio Cunha
 
Testes de segurança desafios e oportunidades
porQualister
 
Palestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação
porMarcelo Veloso
 
CSABR - Cloud Computing: Entendendo os Riscos no Horizonte 20110718 IDETI
porAnchises Moraes
 
Embrace Any Cloud Securely
porAlexandre Freire
 
O que é computação em nuvem.docx
porPriscillaZambotti
 
O que é computação em nuvem.docx
porPriscillaZambotti
 
Aula 1 Segurança
pordougvaz
 
Aspectos Técnicos e Regulatórios sobre Internet: Aula 5: Segurança Cibernética
porcaugustovitor1
 
Cloud Computing - Conceitos e Riscos
porAnchises Moraes
 
Analise Seguranca Computacao Nuvem - XXXII SBRC (2014)
porSanta Catarina State University (UDESC)
 
Seminário SD Cloud Security
poralef1993
 
Palestra CONITECH 2012 - Avaliação de Riscos de Segurança em Cloud Computing
porMarcelo Veloso
 
Segurança em nuvem
porMarcelo Lau
 

Segurança e privacidade em computação em nuvem - uma visão geral

  • 1.
    Segurança e privacidadeem computação em nuvem Uma visão geral
  • 2.
    Segurança e privacidadeem computação em nuvem Monografia em Sistemas de Informação Aluno: Luiz Augusto Amelotti Orientador: Prof. Dr. Antônio Alfredo Loureiro
  • 3.
    Agenda • Introdução ▫ Conceitose Definições ▫ Motivação ▫ História • Objetivos • Metodologia • Análises
  • 4.
  • 5.
    Introdução Computação em Nuvem ▫Nova maneira de prover recursos Não é uma nova tecnologia ▫ Evolução e união de conceitos e tecnologias
  • 6.
    Introdução Computação em Nuvem- definição ▫ ▫ ▫ ▫ ▫ Auto-serviço Acesso via rede Pool de recursos Elasticidade instantânea Medição de serviço
  • 7.
    Introdução Computação em Nuvem– modelos de serviço ▫ IaaS Amazon EC2, Rackspace CloudServer, Amazon S3 ▫ PaaS Google AppsEngine, Microsoft Azure ▫ SaaS LotusLive, BlueworksLive, Salesforce
  • 8.
    Introdução Computação em Nuvem– modelos de implantação ▫ ▫ ▫ ▫ Públicas Privadas Comunitárias Híbridas
  • 9.
  • 10.
    Introdução Segurança da Informação ▫Vulnerabilidade ▫ Ameaça ▫ Risco
  • 11.
    Introdução Processo de gestãodos riscos ▫ Definição do Contexto ▫ ▫ ▫ ▫ ▫ Análise dos Riscos Tratamento dos Riscos Aceitação dos Riscos Comunicação dos Riscos Monitoração
  • 12.
    Introdução Auditoria e Perícia ▫Análise das atividades realizadas no sistema ▫ Análise das vulnerabilidades presentes ▫ Aquisição, preservação, identificação, extração, recuperação e análise de evidências ▫ Enquadramento das evidências dentro do formato jurídico
  • 13.
    Introdução Motivação ▫ Tendência deaumento com gastos em Computação em Nuvem ▫ Aumento das soluções baseadas em Computação em Nuvem ▫ Segurança é crítica para adoção de soluções baseadas em Computação em Nuvem
  • 14.
    Introdução História ▫ Computação emNuvem Década de 60 – Utility Computing e o Multics Década de 80 – popularização do PC e Internet Década de 90 – Grid Computing e o compartilhamento de recursos Decadas de 90 e 2000 – Estouro da bolha .com e excesso de recursos disponíveis 2006 – Primeiros serviços de nuvem da Amazon
  • 15.
    Introdução História ▫ Segurança daInformação 1982 – primeiro programa na forma de vírus 1988 – vírus de Robert Morris derruba 10% da Internet 1995 – primeira norma/recomendação de segurança 2000 – ataque DDOS derrubou grandes portais 2010 – ataque do Stuxnet
  • 16.
    Introdução História 2010 – sériede ataques ao Google e outras empresas americanas 2011 – nova série de ataques ao Google. Alvo são pessoas ligados ao governo 2011 – EUA elabora política de estado para cyberguerra 2011 – Série de ataques a redes militares dos EUA Ontem – possível ataque ao site da CIA
  • 17.
    Objetivos ▫ Identificar característicasúnicas relacionadas à segurança em ambientes de Computação em Nuvem ▫ Avaliar técnicas que visam garantir a segurança e privacidade em ambientes de Computação em Nuvem ▫ Caracterizar e avaliar as principais ameaças à Computação em Nuvem
  • 18.
    Objetivos ▫ Avaliar técnicasde perícia forense e auditoria e suas aplicações em ambientes de Computação em Nuvem ▫ Propor documentação ▫ Subsidiar trabalhos futuros
  • 19.
    Objetivos Perguntas ▫ Quão disponíveisestarão os dados em uma nuvem pública? ▫ Existem riscos de quebra de privacidade? ▫ Que garantias existem que dados de uma empresa não serão vistos pela outra? ▫ Como fazer uma auditoria nos processos do provedor de nuvem? ▫ Como garantir integridade e confidencialidade de dados que estão em uma nuvem pública?
  • 20.
    Metodologia ▫ Pesquisa básica ▫Revisão bibliográfica de artigos das principais conferências de segurança e computação em nuvem ▫ Revisão de artigos produzidos por grupos de pesquisa em computação em nuvem e segurança
  • 21.
    Metodologia ▫ Revisão delivros, publicações especializadas e demais literaturas relacionadas a segurança da informação, computação em nuvem, auditoria e perícia forense ▫ Avaliação de boas práticas e recomendações sobre segurança da informação e sua aplicação em ambientes de computação em nuvem
  • 22.
    Análises Características da Computaçãoem Nuvem e tecnologias envolvidas ▫ ▫ ▫ ▫ ▫ Virtualização Computação distribuida Computação ubíqua Comunicação de dados Armazenamento
  • 23.
    Análises Principais ameaças paraComputação em Nuvem ▫ ▫ ▫ ▫ ▫ ▫ ▫ Uso abusivo da Computação em Nuvem API’s inseguras Funcionários maliciosos nos provedores Vulnerabilidades nas tecnologias de suporte Vazamento de dados Seqüestro de contas, tráfego e sessões Risco desconhecido
  • 24.
    Análises Impactos da quebrade segurança ▫ Vazamento de informações confidenciais ▫ Comprometimento do resultado do processamento ▫ Perda de dados ▫ Indisponibilidade de serviços ▫ Aumento de custos e diminuição de credibilidade!
  • 25.
    Análises Alguns ataques específicosa ambientes de Computação em Nuvem ▫ Cloud Cartography Usado contra a Amazon ▫ Cloud Malware Injection ▫ Cloud War
  • 26.
    Análises Alguns ataques específicosa ambientes de Computação em Nuvem ▫ Uso de imagens maliciosas ▫ Comprometimento do hypervisor ▫ Comprometimento do processamento
  • 27.
    Análises Computação em Nuvemcomo plataforma para ataques ▫ ▫ ▫ ▫ ▫ Geração de hash-chains Quebra de senhas Botnets Imagens de VMs maliciosas Spam
  • 28.
    Análises Privacidade ▫ Dados estãoarmazenados em dispositivos sob controle de outros Quem tem acesso aos dados? A privacidade está legalmente garantida? Caso Wikileaks
  • 29.
    Análises Frameworks e boaspráticas de segurança ▫ Praticas tradicionais não se aplicam a este ambiente Características muito diferentes ▫ Procedimentos padrão de segurança não garantem quase nada!
  • 30.
    Análises Redes de confiança ▫Similar à estrutura dos certificados digitais ▫ Uma entidade confiável garante a reputação do provedor ▫ Deve-se confiar na entidade no topo da hierarquia
  • 31.
    Discussões ▫ Provedores aindanão garantem a segurança dos dados Política da Amazon ▫ Segurança dos dados e privacidade estão sujeitos às políticas e legislação vigentes nos países onde os dados/aplicações estão armazenados.
  • 32.
    Discussões ▫ Provedores podemter infraestrutura distribuida geográficamente Ataques tradicionais às redes de dados e problemas legais ▫ Dificuldade em manter registros para auditoria e perícia e manter a privacidade dos usuários Provedor tem de manter dados de todos os clientes Mais um ativo para entrar no processo de gestão da segurança
  • 33.
    Discussões ▫ É necessáriotornar os dados anônimos Foi possível “de-anonimizar” os dados de uma base do Netflix Existe um framework – Airavat – que tenta solucionar o problema Insere ruido na saida do processamento
  • 34.
    Conclusões ▫ Nuvem aindanão é totalmente segura ▫ É um novo modelo, com características diferentes ▫ Falta padronização/modelos de segurança aplicados à Nuvem ▫ Nova maneira de desenvolver software ▫ Sem um bom planejamento, não é o momento de mover dados/aplicações estratégicas para a nuvem Avaliar o Risco e o Impacto
  • 35.
    Conclusões ▫ Redes deconfiança podem não ser solução suficiente Sistemas da Comodo foram invadidos diversas vezes ▫ Segurança dos dados e privacidade estão sujeitos às políticas e legislação vigentes nos países onde os dados/aplicações estão armazenados.
  • 36.
    Conclusões ▫ O usuárioé o principal responsável pela disponibilidade de seus dados ▫ Os dados podem ficar indisponíveis como resultado de ataques ao provedor , às plataformas de execução ou como resultados de procedimentos de manutenção do ambiente ▫ Exitem riscos legais, além de usuários mal intencionados dentro das redes dos provedores de serviços
  • 37.
    Conclusões ▫ Existem tambémriscos de roubo de tráfego, comprometimento dos equipamentos e, no caso de IaaS, uso de imagens comprometidas ▫ Os provedores garantem o isolamento com medidas diversas. Mas ataques executados já mostraram ser possível comprometer essas medidas ▫ Empresas que concorrem com o provedor de serviços em algum negócio também correm risco
  • 38.
    Conclusões ▫ Há adependência de dados disponibilizados e controlados pelo provedor para auditoria ▫ Ainda pode haver comprometimento no processamento dos dados ▫ É necessário uma padronização nos modelos de segurança, adaptados à realidade da Computação em Nuvem ▫ É preciso desenvolver frameworks e estabelecer boas práticas para a segurança na nuvem
  • 39.
    Trabalhos Futuros ▫ Análisare avaliar frameworks já propostos ▫ Estudar e desenvolver framework de segurança ▫ Modelo de confiança e responsabilidade para imagens de VMs, softwares, plataformas, etc ▫ Estudar segurança em Computação em Nuvem usada por dispositivos móveis ▫ Estudar desenvolvimento de aplicações para nuvem, considerando a segurança como aspecto crítico
  • 40.