O documento discute a computação em nuvem, suas modalidades (SaaS, IaaS e PaaS) e as vulnerabilidades associadas a dados e máquinas virtuais. Ele também apresenta ameaças como data leakage e vm hopping, além de contramedidas como criptografia e firewalls. Finalmente, destaca a necessidade de reavaliação das técnicas de segurança devido às preocupações com o armazenamento de informações em servidores compartilhados.

1. Cloud Computing:
Ameaças e Proteções
Alef Kruschewsky
UNIFESP
2015

2. Introdução
A expressão cloud computing
começou a ganhar força em 2008, mas,
conceitualmente, as ideias por trás da
denominação existem há muito mais
tempo. Também conhecida no Brasil
como computação nas nuvens ou
computação em nuvem, a cloud
computing se refere, essencialmente, à
noção de utilizarmos, em qualquer lugar e
independente de plataforma, as mais
variadas aplicações por meio da internet
com a mesma facilidade de tê-las instaladas em computadores locais.

3. Software as a Service (Saas)
“Software Como um Serviço” é um modelo de distribuição
de software, no qual a aplicação não precisa ser instalada
localmente, pois é liberado o acesso ao software oferecido
através da internet.

4. Infrastructure as a Service (IaaS)
A ideia é a mesma do modelo SaaS, porém neste caso o
que é “vendido” é o uso de uma estrutura virtual, ou seja, ao
invés de utilizar servidores físicos, você pode hospedar seus
arquivos e aplicações em servidores virtuais.

5. Platform as a Service (PaaS)
Este modelo utiliza elemtnos dos outros dois citados
anteriormente, proporcionando uma plataforma mais robusta e
flexível, onde é possível a utilização de softwares de maneira
mais flexível, sendo possível desenvolver suas próprias
aplicações baseadas em alguma tecnologia (framework,
linguagem etc.) e utilizar a infraestrutura necessária.

6. Vulnerabilidade X Ameaça
Vulnerabilidade: falha ou fraqueza do sistema que pode ser acidentamente
ou propositalmente explorada, resultando em uma brecha de segurança ou
violação da política de segurança do sistema;
Ameaça: possibilidade de um agente (fonte de ameaça) explorar
acidentamente ou propositalmente uma vulnerabilidade específica.

7. Vulnerabilidades relacionadas a dados (V3):
● Hospedagem de dados em servidores compartilhados "mal
particionados”;
● Remoção incompleta;
● Dados podem estar em locais com leis diferentes;
● Geralmente os usuários não possuem conhecimento da localização
exata dos dados.
Vulnerabilidades

8. Vulnerabilidades em máquinas virtuais (V4):
● Migração sem controle;
● Snapshots sem controle;
● AS VMs podem ter IPs visíveis para qualquer um que utilize a mesma
Cloud, permitindo que agentes realizam a “Cartografia de Nuvem”.
Vulnerabilidade em redes virtuais (V7):
● Compartilhamento de bridges entre as VMs de um mesmo servidor.
Vulnerabilidades

9. Ameaças e Contramedidas
Relacionadas a dados
- Data Scavenging: Como não há 100% de certeza que os dados foram
removidos do servidor, é possível que agentes consigam acessar estas
informações.
Contramedida:
- Especificar estratégias de destruição de dispositivos nos SLAs
(Acordo de níveis de serviço). [?]

10. Ameaças e Contramedidas
Relacionadas a dados
- Data Leakage: Vazamento de dados que pode ocorrer enquanto são
armazenados, transferidos, processados ou auditados.
Contramedidas:
- Criptografia;
- Técnica FRS: Quebrar os dados em fragmentos insignificantes e
espalhá-los em diferentes posições;
- Assinaturas digitais: RSA citado várias vezes como um algoritmo
eficiente para proteção dos dados na nuvem;
- Criptografia homomórfica: Manipular (salvar, mover ou processar)
dados criptografados;

11. Ameaças e Contramedidas
Em Máquinas Virtuais
- Data Leakage: citada anteriormente;
- VM Hopping: é o risco de uma VM conseguir acesso a outra, explorando
alguma vulnerabilidade do virtualizador;
Contramedidas:
- Utilização de firewalls;
- Manter as VMs devidamente separadas.

12. Ameaças e Contramedidas
Em Máquinas Virtuais
- Insecure VM migration: A transferência de VMs pode expor o conteúdo.
Um atacante pode acessar os dados e/ou transferir a VM para um host
comprometido.
Contramedidas:
- Protocolo PALM: propõe uma técnica de migração segura, com
criptografia da VM. protótipo desenvolvido utilizando Linux e Xen.

13. Ameaças e Contramedidas
Em Redes Virtuais
- Data Leakage (citada anteriormente);
- Sniffing das redes virtuais: Uma VM maliciosa pode “escutar” a rede de
outra, ou até mesmo redirecionar pacotes de/para outras VMs.
Contramedida:
- Framework em estudo baseado nos modos de rede Xen
(hypervisor). [?]

14. Tabela de Vulnerabilidades

15. Tabela de Ameaças

16. Relação
Vulnerabilidades x Ameaças x Contramedidas

18. Considerações Finais
- Cloud Computing ainda é uma tecnologia relativamente “nova”, que provê
diversas vantagens aos usuários. Porém, apresenta também
vulnerabilidades que fazem com que certas pessoas e empresas fiquem
receosas em aderí-la;
- O que é necessário para uma maior segurança “nas nuvens”, além de
novas técnicas de segurança, é uma reavaliação das técnicas atuais,
pensando nas arquiteturas utilizadas pela Cloud;
- A maior preocupação das pessoas, com relação ao uso da Cloud
Computing, é o fato de suas informações ficarem hospedadas em um
servidor compartilhado por diversas pessoas.

19. Referências
- http://antonioricardo.org/2013/03/28/o-que-e-saas-iaas-e-paas-em-cloud-
computing-conceitos-basicos/ ;
- http://www.explainthatstuff.com/cloud-computing-introduction.html ;
- Hashizume et al. Journal of Internet Services and Applications 2013, 4:5 ;