SlideShare uma empresa Scribd logo
Globalcode – Open4education
Proteção de dados sensíveis com a computação
confidencial na nuvem
Walter Silvestre Coan
walter.coan@gmail.com – walter.s@univille.br
www.waltercoan.com.br
Globalcode – Open4education
Walter Silvestre Coan
Microsoft MVP em Azure 2020/2021
Certificações
Azure Solutions Architect
Azure IoT Developer – Specialty
Azure Developer – Associate
Azure Administrator - Associate
Azure Fundamentals
MCT
MCSD – MCSA (C# e Web Apps)
AWS Academy Accredited Educator
AWS Certified Developer – Associate
AWS Certified Cloud Practitioner
Sun Certified Programmer em Java 5.0
Mestre em Ciência da Computação na área de Sistemas
Distribuídos e Redes de Sensores sem Fio - PUCPR
Pós-Graduado em Engenharia de Software - PUCPR
Bacharel em Informática - UNIVILLE
Professor no Bacharelado em Sistemas de Informação e do
Bacharelado em Engenharia de Software da UNIVILLE
walter.coan@gmail.com – walter.s@univille.br – www.waltercoan.com.br
Globalcode – Open4education
Agenda
Motivação
Em quem você precisa confiar?
Proteção do ciclo de vida dos dados
Computação confidencial
Enclaves
Containers
Azure SQL
Novidades...
Globalcode – Open4education
Motivação
Controle sobre
o ciclo de vida
dos dados
Prevenir
acesso não
autorizado
Regulações e
conformidades
Serviços
verificáveis
Colaboração
não confiável
Globalcode – Open4education
Em quem você precisa confiar?
• Fornecedor de Software
• Confio apenas em ambiente on-
premise, ou em software livre ou eu
mesmo construo meu software
• Provedor de Infraestrutura
• Confio no meu provedor de nuvem ou
gerencio meu próprio datacenter
• Fornecedor de Hardware
• Confio apenas em ambiente on-
premise, ou construo meu próprio
hardware
Com o uso de técnicas de computação confidencial, a
ideia é reduzir a necessidade de confiar em:
VM Admin Host Admin Acesso físico
ao hardware
Hypervisor
Host OS Kernel
Globalcode – Open4education
Proteção do ciclo de vida dos dados
• Proteção de dados em repouso
• Criptografar dados inativos quando
estão armazenados em contas de
armazenamento ou banco de dados.
• Proteção de dados em trânsito
• Criptografar dados que estão
transitando entre redes públicas e
privadas.
• Proteção de dados em uso (novo)
• Criptografar dados em uso enquanto
estão sendo armazenados na memória
RAM.
Globalcode – Open4education
Casos de uso da computação
confidencial
Proteção da privacidade durante análise de dados
Proteção de pagamento e Criptomoedas
Blockchain Ledgers confidenciais
Gerenciamento seguro de chaves
Bancos de dados seguros
Globalcode – Open4education
Casos de uso da computação
confidencial
Algoritmo de
Machine Learning
K1
K2
K3
Dados dos
Pacientes
K1
Dados dos
Pacientes
K2
Dados dos
Pacientes
K3
Sistema Operacional Hospedeiro
K1 K2 K3
Enclave
https://docs.microsoft.com/pt-br/azure/confidential-computing/use-cases-scenarios?WT.mc_id=AZ-MVP-5003638
Globalcode – Open4education
Confidential
Computing
Consortium
O Consórcio de Computação
Confidencial é uma comunidade
focada em projetos de proteção
de dados em uso e aceleração
da adoção de computação
confidencial por meio de
colaboração aberta.
https://confidentialcomputing.io/
Globalcode – Open4education
Ambientes de execução confiáveis
TEE – Trusted Execution Environment
• Deve ser provido pelo hardware
• Todos fluxo de dado que sai do TEE deve ser criptografado
• Deve ser capaz de verificar e assinar o conteúdo do TEE para produzir evidências verificáveis da
segurança
• Hardware root of trust
• Conjunto de mecanismos implementados no hardware que garantem que todos os
mecanismos de segurança, por exemplo armazenamento de chaves privadas.
• Cada hardware deve possuir uma identidade única
• Hardware específico para realizar operações de criptografia
• Bancos de e-fuses para armazenar chaves privadas para atestar sua integridade e a integridade
do software que será executado
• Isolamento
• Garantir que uma vez que o código verificado seja carregado para o TEE, deverá ser reservado
o acesso aos cores e cache de memória habilitados a trabalhar no TEE.
Globalcode – Open4education
Ambientes de execução confiáveis
TEE – Trusted Execution Environment
• Atestação
• Mecanismo que da confiança a computação confidencial
• Verificação de um conjunto de medições realizadas no hardware e que são assinadas com
chaves privadas armazenadas no e-fuses
• Verificação da assinatura do hash do código do boot
• Verificação da assinatura do hash do contexto inicial da memória ou de registradores
importantes da CPU
• Após a validação de todas essas informações o serviço de atestação confirma a integridade e
cria um novo conjunto de chaves que será utilizado para a comunicação de serviços externos
com o TEE.
Globalcode – Open4education
Intel SGX
Software Security Guard Extension
• Novo conjunto de instruções que
permite criar regiões privadas de
memória (enclave). Apenas o código
que roda dentro do enclave, é que
tem acesso a área de memória.
• Dados são visíveis na sua forma
original apenas dentro do enclave, e
são criptografados toda vez que são
armazenados em memória.
Azure DCv2-Series Virtual Machines Host
CPU
Hypervisor
Operating System
App App
Code
Data
Globalcode – Open4education
Intel SGX
Data
Untrusted Code Trusted Code
1
Create Enclave
2
Call Thrusted
3
Process Secret
4
Return
5
Normal Execution
Privileged System Code OS, VMM, BIOS, SMM
Call
Gate
Globalcode – Open4education
Azure Sphere
Secured MCUs
Uma nova categoria de
MCU’s chamado Azure
Sphere, produzidos por
empresas parceiras, com
tecnologia de segurança da
Microsoft, que fornece
conectividade, alto
desempenho e
características de segurança
no hardware.
Secured Operating System
Sistema operacional seguro
Azure Sphere OS que
combina as melhores práticas
da Microsoft e da comunidade
Open Source, criando uma
plataforma confiável para uma
nova experiência em IoT.
Secured by our Cloud
Service
Azure Sphere Security Service
protege cada dispositivo e os
clientes, detecta falhas de segurança
e responde de forma proativa.
Globalcode – Open4education
Azure Sphere
Azure Sphere utiliza a tecnologia ARM’s TrustZone
que permite a criação de ambientes independentes
de execução dentro de um único chip.
• Secure World – alto nível de privilégios
• Normal World – baixo nível de privilégios
Cada ambiente pode executar seu próprio sistema
operacional e aplicações
Azure Sphere Trusted Computing Base (TCB) é
composto por componentes eletrônicos e software
que roda no Secure World.
Parte do TCB está no Pluton Security System e
parte se estende ao Security Monitor que é
executado no Cortex-A7.
Globalcode – Open4education
Open Enclave SDK
https://openenclave.io/sdk/
Globalcode – Open4education
VM Server
Open Enclave SDK
Enclave
Code
Data
Cliente
Azure Attestation
Service
1
2
3
4
1 – Cliente solicita chave ao serviço de
atestação do Azure
2 – Serviço faz as verificações
3 – Serviço retorna a chave para
comunicação
4 – Cliente acessa o Enclave
Globalcode – Open4education
Containers confidenciais
Possibilita que aplicações existentes, que estejam no formato de container,
possam fazer uso da tecnologia de computação confidencial sem alteração
do código fonte.
Globalcode – Open4education
Computação confidencial em uma
plataforma de saúde
https://docs.microsoft.com/en-us/azure/architecture/example-scenario/confidential/healthcare-inference?WT.mc_id=AZ-MVP-5003638
Globalcode – Open4education
Azure SQL Database Always
Encrypted With Secure Enclaves
https://techcommunity.microsoft.com/t5/azure-sql/always-encrypted-with-secure-enclaves-in-azure-sql-database/ba-p/2051544?WT.mc_id=AZ-MVP-5003638
Inside Azure Datacenter Architecture with Mark Russinovich - https://youtu.be/69PrhWQorEM?t=4522
Globalcode – Open4education
Computação confidencial para VM
https://azure.microsoft.com/en-us/blog/azure-and-amd-enable-lift-and-shift-confidential-computing/
Globalcode – Open4education
AMD SEV-SNP
https://www.amd.com/system/files/TechDocs/SEV-SNP-strengthening-vm-isolation-with-integrity-protection-and-more.pdf
Globalcode – Open4education
AMD SEV-SNP
VM
Data
Trusted
1
Call Function
2
Process Secret
3
Return
4
Normal Execution
Privileged System Code OS, VMM, BIOS, SMM
Globalcode – Open4education
Artigo
https://queue.acm.org/detail.cfm?id=3456125
TDC Connections 2021 – Trilha Software Security - Proteção de dados sensíveis com a Computação Confidencial no Azure

Mais conteúdo relacionado

Mais procurados

Contribuições do projeto Azure Sphere para evolução dos padrões de segurança ...
Contribuições do projeto Azure Sphere para evolução dos padrões de segurança ...Contribuições do projeto Azure Sphere para evolução dos padrões de segurança ...
Contribuições do projeto Azure Sphere para evolução dos padrões de segurança ...
Walter Coan
 
MVPConf 2020 Melhores práticas de segurança para IoT com Azure Sphere
MVPConf 2020 Melhores práticas de segurança para IoT com Azure SphereMVPConf 2020 Melhores práticas de segurança para IoT com Azure Sphere
MVPConf 2020 Melhores práticas de segurança para IoT com Azure Sphere
Walter Coan
 
Construção de soluções IoT mais simples e seguras com Azure IoT Central, Azur...
Construção de soluções IoT mais simples e seguras com Azure IoT Central, Azur...Construção de soluções IoT mais simples e seguras com Azure IoT Central, Azur...
Construção de soluções IoT mais simples e seguras com Azure IoT Central, Azur...
Walter Coan
 
Microsoft Azure Sphere: uma introdução à platforma IoT segura
Microsoft Azure Sphere: uma introdução à platforma IoT seguraMicrosoft Azure Sphere: uma introdução à platforma IoT segura
Microsoft Azure Sphere: uma introdução à platforma IoT segura
Walter Coan
 
Cloud Lunch and Learn – Azure Sphere: melhores práticas de segurança para IoT
Cloud Lunch and Learn – Azure Sphere: melhores práticas de segurança para IoTCloud Lunch and Learn – Azure Sphere: melhores práticas de segurança para IoT
Cloud Lunch and Learn – Azure Sphere: melhores práticas de segurança para IoT
Walter Coan
 
Mule pe salesforce mule security
Mule pe   salesforce mule securityMule pe   salesforce mule security
Mule pe salesforce mule security
Jeison Barros
 
SonicWALL - Seja o departamento do "Sim" em sua empresa
SonicWALL - Seja o departamento do "Sim" em sua empresaSonicWALL - Seja o departamento do "Sim" em sua empresa
SonicWALL - Seja o departamento do "Sim" em sua empresa
Bravo Tecnologia
 
Palestra sobre Azure Sphere, Azure IoT Edge e Azure IoT Central no Senai Join...
Palestra sobre Azure Sphere, Azure IoT Edge e Azure IoT Central no Senai Join...Palestra sobre Azure Sphere, Azure IoT Edge e Azure IoT Central no Senai Join...
Palestra sobre Azure Sphere, Azure IoT Edge e Azure IoT Central no Senai Join...
Walter Coan
 

Mais procurados (8)

Contribuições do projeto Azure Sphere para evolução dos padrões de segurança ...
Contribuições do projeto Azure Sphere para evolução dos padrões de segurança ...Contribuições do projeto Azure Sphere para evolução dos padrões de segurança ...
Contribuições do projeto Azure Sphere para evolução dos padrões de segurança ...
 
MVPConf 2020 Melhores práticas de segurança para IoT com Azure Sphere
MVPConf 2020 Melhores práticas de segurança para IoT com Azure SphereMVPConf 2020 Melhores práticas de segurança para IoT com Azure Sphere
MVPConf 2020 Melhores práticas de segurança para IoT com Azure Sphere
 
Construção de soluções IoT mais simples e seguras com Azure IoT Central, Azur...
Construção de soluções IoT mais simples e seguras com Azure IoT Central, Azur...Construção de soluções IoT mais simples e seguras com Azure IoT Central, Azur...
Construção de soluções IoT mais simples e seguras com Azure IoT Central, Azur...
 
Microsoft Azure Sphere: uma introdução à platforma IoT segura
Microsoft Azure Sphere: uma introdução à platforma IoT seguraMicrosoft Azure Sphere: uma introdução à platforma IoT segura
Microsoft Azure Sphere: uma introdução à platforma IoT segura
 
Cloud Lunch and Learn – Azure Sphere: melhores práticas de segurança para IoT
Cloud Lunch and Learn – Azure Sphere: melhores práticas de segurança para IoTCloud Lunch and Learn – Azure Sphere: melhores práticas de segurança para IoT
Cloud Lunch and Learn – Azure Sphere: melhores práticas de segurança para IoT
 
Mule pe salesforce mule security
Mule pe   salesforce mule securityMule pe   salesforce mule security
Mule pe salesforce mule security
 
SonicWALL - Seja o departamento do "Sim" em sua empresa
SonicWALL - Seja o departamento do "Sim" em sua empresaSonicWALL - Seja o departamento do "Sim" em sua empresa
SonicWALL - Seja o departamento do "Sim" em sua empresa
 
Palestra sobre Azure Sphere, Azure IoT Edge e Azure IoT Central no Senai Join...
Palestra sobre Azure Sphere, Azure IoT Edge e Azure IoT Central no Senai Join...Palestra sobre Azure Sphere, Azure IoT Edge e Azure IoT Central no Senai Join...
Palestra sobre Azure Sphere, Azure IoT Edge e Azure IoT Central no Senai Join...
 

Semelhante a TDC Connections 2021 – Trilha Software Security - Proteção de dados sensíveis com a Computação Confidencial no Azure

TDC Florianópolis 2020 - Microsoft Azure Sphere: novas funcionalidades e apli...
TDC Florianópolis 2020 - Microsoft Azure Sphere: novas funcionalidades e apli...TDC Florianópolis 2020 - Microsoft Azure Sphere: novas funcionalidades e apli...
TDC Florianópolis 2020 - Microsoft Azure Sphere: novas funcionalidades e apli...
Walter Coan
 
SQLSaturday 2019 - Desafios e tendências na utilização de bancos de dados par...
SQLSaturday 2019 - Desafios e tendências na utilização de bancos de dados par...SQLSaturday 2019 - Desafios e tendências na utilização de bancos de dados par...
SQLSaturday 2019 - Desafios e tendências na utilização de bancos de dados par...
Walter Coan
 
Novidades sobre Azure Sphere
Novidades sobre Azure SphereNovidades sobre Azure Sphere
Novidades sobre Azure Sphere
Walter Coan
 
AmbevTech Day - Introdução ao Azure IoT
AmbevTech Day - Introdução ao Azure IoTAmbevTech Day - Introdução ao Azure IoT
AmbevTech Day - Introdução ao Azure IoT
Walter Coan
 
Azure Floripa - Introdução a plataforma Azure IoT
Azure Floripa - Introdução a plataforma Azure IoTAzure Floripa - Introdução a plataforma Azure IoT
Azure Floripa - Introdução a plataforma Azure IoT
Walter Coan
 
Visão geral da plataforma de Sistemas Distribuídos com foco em Internet das C...
Visão geral da plataforma de Sistemas Distribuídos com foco em Internet das C...Visão geral da plataforma de Sistemas Distribuídos com foco em Internet das C...
Visão geral da plataforma de Sistemas Distribuídos com foco em Internet das C...
Walter Coan
 
Construindo soluções para Internet das Coisas utilizando o Azure
Construindo soluções para Internet das Coisas utilizando o AzureConstruindo soluções para Internet das Coisas utilizando o Azure
Construindo soluções para Internet das Coisas utilizando o Azure
Walter Coan
 
Introdução a plataforma Azure IoT
Introdução a plataforma Azure IoTIntrodução a plataforma Azure IoT
Introdução a plataforma Azure IoT
Walter Coan
 
Azure IoT Floripa Tech Day
Azure IoT Floripa Tech DayAzure IoT Floripa Tech Day
Azure IoT Floripa Tech Day
Walter Coan
 
Azure na Prática - Azure IoT Edge
Azure na Prática - Azure IoT EdgeAzure na Prática - Azure IoT Edge
Azure na Prática - Azure IoT Edge
Walter Coan
 
Novidades da plataforma Azure IoT
Novidades da plataforma Azure IoTNovidades da plataforma Azure IoT
Novidades da plataforma Azure IoT
Walter Coan
 
Segurança na Nuvem
Segurança na NuvemSegurança na Nuvem
Segurança na Nuvem
Amazon Web Services LATAM
 
Segurança na Nuvem da AWS
Segurança na Nuvem da AWSSegurança na Nuvem da AWS
Segurança na Nuvem da AWS
Amazon Web Services LATAM
 
Segurança na Nuvem AWS
Segurança na Nuvem AWSSegurança na Nuvem AWS
Segurança na Nuvem AWS
Michel Pereira
 
Utilização do NVidia DeepStream para execução de modelos de IA no Azure IoT Edge
Utilização do NVidia DeepStream para execução de modelos de IA no Azure IoT EdgeUtilização do NVidia DeepStream para execução de modelos de IA no Azure IoT Edge
Utilização do NVidia DeepStream para execução de modelos de IA no Azure IoT Edge
Walter Coan
 
GUJavaSC - Protegendo Microservices em Java
GUJavaSC - Protegendo Microservices em JavaGUJavaSC - Protegendo Microservices em Java
GUJavaSC - Protegendo Microservices em Java
Rodrigo Cândido da Silva
 
What's New On Azure IaaS
What's New On Azure IaaSWhat's New On Azure IaaS
What's New On Azure IaaS
Diego Henrique da Silva
 
Aplicações do Azure IoT Edge: ambiente industrial e em Machine Learning
Aplicações do Azure IoT Edge: ambiente industrial e em Machine LearningAplicações do Azure IoT Edge: ambiente industrial e em Machine Learning
Aplicações do Azure IoT Edge: ambiente industrial e em Machine Learning
Walter Coan
 
Work Cloud - Descobrindo o Microsoft Azure
Work Cloud - Descobrindo o Microsoft AzureWork Cloud - Descobrindo o Microsoft Azure
Work Cloud - Descobrindo o Microsoft Azure
Lucas Chies
 
Rodando uma API Com Django Rest Framework no Google Cloud
Rodando uma API Com Django Rest Framework  no Google CloudRodando uma API Com Django Rest Framework  no Google Cloud
Rodando uma API Com Django Rest Framework no Google Cloud
Alvaro Viebrantz
 

Semelhante a TDC Connections 2021 – Trilha Software Security - Proteção de dados sensíveis com a Computação Confidencial no Azure (20)

TDC Florianópolis 2020 - Microsoft Azure Sphere: novas funcionalidades e apli...
TDC Florianópolis 2020 - Microsoft Azure Sphere: novas funcionalidades e apli...TDC Florianópolis 2020 - Microsoft Azure Sphere: novas funcionalidades e apli...
TDC Florianópolis 2020 - Microsoft Azure Sphere: novas funcionalidades e apli...
 
SQLSaturday 2019 - Desafios e tendências na utilização de bancos de dados par...
SQLSaturday 2019 - Desafios e tendências na utilização de bancos de dados par...SQLSaturday 2019 - Desafios e tendências na utilização de bancos de dados par...
SQLSaturday 2019 - Desafios e tendências na utilização de bancos de dados par...
 
Novidades sobre Azure Sphere
Novidades sobre Azure SphereNovidades sobre Azure Sphere
Novidades sobre Azure Sphere
 
AmbevTech Day - Introdução ao Azure IoT
AmbevTech Day - Introdução ao Azure IoTAmbevTech Day - Introdução ao Azure IoT
AmbevTech Day - Introdução ao Azure IoT
 
Azure Floripa - Introdução a plataforma Azure IoT
Azure Floripa - Introdução a plataforma Azure IoTAzure Floripa - Introdução a plataforma Azure IoT
Azure Floripa - Introdução a plataforma Azure IoT
 
Visão geral da plataforma de Sistemas Distribuídos com foco em Internet das C...
Visão geral da plataforma de Sistemas Distribuídos com foco em Internet das C...Visão geral da plataforma de Sistemas Distribuídos com foco em Internet das C...
Visão geral da plataforma de Sistemas Distribuídos com foco em Internet das C...
 
Construindo soluções para Internet das Coisas utilizando o Azure
Construindo soluções para Internet das Coisas utilizando o AzureConstruindo soluções para Internet das Coisas utilizando o Azure
Construindo soluções para Internet das Coisas utilizando o Azure
 
Introdução a plataforma Azure IoT
Introdução a plataforma Azure IoTIntrodução a plataforma Azure IoT
Introdução a plataforma Azure IoT
 
Azure IoT Floripa Tech Day
Azure IoT Floripa Tech DayAzure IoT Floripa Tech Day
Azure IoT Floripa Tech Day
 
Azure na Prática - Azure IoT Edge
Azure na Prática - Azure IoT EdgeAzure na Prática - Azure IoT Edge
Azure na Prática - Azure IoT Edge
 
Novidades da plataforma Azure IoT
Novidades da plataforma Azure IoTNovidades da plataforma Azure IoT
Novidades da plataforma Azure IoT
 
Segurança na Nuvem
Segurança na NuvemSegurança na Nuvem
Segurança na Nuvem
 
Segurança na Nuvem da AWS
Segurança na Nuvem da AWSSegurança na Nuvem da AWS
Segurança na Nuvem da AWS
 
Segurança na Nuvem AWS
Segurança na Nuvem AWSSegurança na Nuvem AWS
Segurança na Nuvem AWS
 
Utilização do NVidia DeepStream para execução de modelos de IA no Azure IoT Edge
Utilização do NVidia DeepStream para execução de modelos de IA no Azure IoT EdgeUtilização do NVidia DeepStream para execução de modelos de IA no Azure IoT Edge
Utilização do NVidia DeepStream para execução de modelos de IA no Azure IoT Edge
 
GUJavaSC - Protegendo Microservices em Java
GUJavaSC - Protegendo Microservices em JavaGUJavaSC - Protegendo Microservices em Java
GUJavaSC - Protegendo Microservices em Java
 
What's New On Azure IaaS
What's New On Azure IaaSWhat's New On Azure IaaS
What's New On Azure IaaS
 
Aplicações do Azure IoT Edge: ambiente industrial e em Machine Learning
Aplicações do Azure IoT Edge: ambiente industrial e em Machine LearningAplicações do Azure IoT Edge: ambiente industrial e em Machine Learning
Aplicações do Azure IoT Edge: ambiente industrial e em Machine Learning
 
Work Cloud - Descobrindo o Microsoft Azure
Work Cloud - Descobrindo o Microsoft AzureWork Cloud - Descobrindo o Microsoft Azure
Work Cloud - Descobrindo o Microsoft Azure
 
Rodando uma API Com Django Rest Framework no Google Cloud
Rodando uma API Com Django Rest Framework  no Google CloudRodando uma API Com Django Rest Framework  no Google Cloud
Rodando uma API Com Django Rest Framework no Google Cloud
 

Mais de Walter Coan

CODECON Caminhos para Formação de um Arquiteto de Soluções em Nuvem
CODECON Caminhos para Formação de um Arquiteto de Soluções em NuvemCODECON Caminhos para Formação de um Arquiteto de Soluções em Nuvem
CODECON Caminhos para Formação de um Arquiteto de Soluções em Nuvem
Walter Coan
 
Talk Floripa - Desenvolvimento de projetos de Internet das Coisas
Talk Floripa - Desenvolvimento de projetos de Internet das CoisasTalk Floripa - Desenvolvimento de projetos de Internet das Coisas
Talk Floripa - Desenvolvimento de projetos de Internet das Coisas
Walter Coan
 
TechConnection 2023 Floripa Azure Container Apps
TechConnection 2023 Floripa Azure Container AppsTechConnection 2023 Floripa Azure Container Apps
TechConnection 2023 Floripa Azure Container Apps
Walter Coan
 
Shift left DevOps Experience
Shift left DevOps ExperienceShift left DevOps Experience
Shift left DevOps Experience
Walter Coan
 
DevFest2023-Pragmatismo da Internet das Coisas
DevFest2023-Pragmatismo da Internet das CoisasDevFest2023-Pragmatismo da Internet das Coisas
DevFest2023-Pragmatismo da Internet das Coisas
Walter Coan
 
DevOps Experience 2022: Build de aplicações Spring Boot utilizando Github Act...
DevOps Experience 2022: Build de aplicações Spring Boot utilizando Github Act...DevOps Experience 2022: Build de aplicações Spring Boot utilizando Github Act...
DevOps Experience 2022: Build de aplicações Spring Boot utilizando Github Act...
Walter Coan
 
Primeira certificação no Azure: AZ-900
Primeira certificação no Azure: AZ-900Primeira certificação no Azure: AZ-900
Primeira certificação no Azure: AZ-900
Walter Coan
 
Aplicações resilientes e Chaos Engineering em .NET com Polly + Simmy
Aplicações resilientes e Chaos Engineering em .NET com Polly + SimmyAplicações resilientes e Chaos Engineering em .NET com Polly + Simmy
Aplicações resilientes e Chaos Engineering em .NET com Polly + Simmy
Walter Coan
 
TDC Connections 2022 - .NET + Microsserviços: alternativas open source para d...
TDC Connections 2022 - .NET + Microsserviços: alternativas open source para d...TDC Connections 2022 - .NET + Microsserviços: alternativas open source para d...
TDC Connections 2022 - .NET + Microsserviços: alternativas open source para d...
Walter Coan
 
Desenvolvimento de aplicações para o Microsoft Azure utilizando C#
Desenvolvimento de aplicações para o Microsoft Azure utilizando C#Desenvolvimento de aplicações para o Microsoft Azure utilizando C#
Desenvolvimento de aplicações para o Microsoft Azure utilizando C#
Walter Coan
 
Microsoft Reactor Desenvolvimento serverless com azure function
Microsoft Reactor Desenvolvimento serverless com azure functionMicrosoft Reactor Desenvolvimento serverless com azure function
Microsoft Reactor Desenvolvimento serverless com azure function
Walter Coan
 
Integração: IoT Central + CosmosDB + Power BI - Dicas, desafios e boas práticas.
Integração: IoT Central + CosmosDB + Power BI - Dicas, desafios e boas práticas.Integração: IoT Central + CosmosDB + Power BI - Dicas, desafios e boas práticas.
Integração: IoT Central + CosmosDB + Power BI - Dicas, desafios e boas práticas.
Walter Coan
 
MVPConf 2021 - .NET + Azure Functions Dicas e truques no desenvolvimento serv...
MVPConf 2021 - .NET + Azure Functions Dicas e truques no desenvolvimento serv...MVPConf 2021 - .NET + Azure Functions Dicas e truques no desenvolvimento serv...
MVPConf 2021 - .NET + Azure Functions Dicas e truques no desenvolvimento serv...
Walter Coan
 
Canal .NET - Utilizando o Event Hub e o Event Grid
Canal .NET - Utilizando o Event Hub e o Event GridCanal .NET - Utilizando o Event Hub e o Event Grid
Canal .NET - Utilizando o Event Hub e o Event Grid
Walter Coan
 
Internet das Coisas na Medicina - Summit ACM 2021
Internet das Coisas na Medicina - Summit ACM 2021Internet das Coisas na Medicina - Summit ACM 2021
Internet das Coisas na Medicina - Summit ACM 2021
Walter Coan
 
TDC Transformation 2021 - Certificação AZ-900 Azure Fundamental: Conceitos, d...
TDC Transformation 2021 - Certificação AZ-900 Azure Fundamental: Conceitos, d...TDC Transformation 2021 - Certificação AZ-900 Azure Fundamental: Conceitos, d...
TDC Transformation 2021 - Certificação AZ-900 Azure Fundamental: Conceitos, d...
Walter Coan
 
The Developers Connections 2021 - Internet das Coisas aplicada no suporte a p...
The Developers Connections 2021 - Internet das Coisas aplicada no suporte a p...The Developers Connections 2021 - Internet das Coisas aplicada no suporte a p...
The Developers Connections 2021 - Internet das Coisas aplicada no suporte a p...
Walter Coan
 
Cloud Lunch and Learn - Sobrevoando o Azure
Cloud Lunch and Learn - Sobrevoando o AzureCloud Lunch and Learn - Sobrevoando o Azure
Cloud Lunch and Learn - Sobrevoando o Azure
Walter Coan
 
Azure Weekend - Utilizando Azure Batch em Linux
Azure Weekend - Utilizando Azure Batch em LinuxAzure Weekend - Utilizando Azure Batch em Linux
Azure Weekend - Utilizando Azure Batch em Linux
Walter Coan
 

Mais de Walter Coan (19)

CODECON Caminhos para Formação de um Arquiteto de Soluções em Nuvem
CODECON Caminhos para Formação de um Arquiteto de Soluções em NuvemCODECON Caminhos para Formação de um Arquiteto de Soluções em Nuvem
CODECON Caminhos para Formação de um Arquiteto de Soluções em Nuvem
 
Talk Floripa - Desenvolvimento de projetos de Internet das Coisas
Talk Floripa - Desenvolvimento de projetos de Internet das CoisasTalk Floripa - Desenvolvimento de projetos de Internet das Coisas
Talk Floripa - Desenvolvimento de projetos de Internet das Coisas
 
TechConnection 2023 Floripa Azure Container Apps
TechConnection 2023 Floripa Azure Container AppsTechConnection 2023 Floripa Azure Container Apps
TechConnection 2023 Floripa Azure Container Apps
 
Shift left DevOps Experience
Shift left DevOps ExperienceShift left DevOps Experience
Shift left DevOps Experience
 
DevFest2023-Pragmatismo da Internet das Coisas
DevFest2023-Pragmatismo da Internet das CoisasDevFest2023-Pragmatismo da Internet das Coisas
DevFest2023-Pragmatismo da Internet das Coisas
 
DevOps Experience 2022: Build de aplicações Spring Boot utilizando Github Act...
DevOps Experience 2022: Build de aplicações Spring Boot utilizando Github Act...DevOps Experience 2022: Build de aplicações Spring Boot utilizando Github Act...
DevOps Experience 2022: Build de aplicações Spring Boot utilizando Github Act...
 
Primeira certificação no Azure: AZ-900
Primeira certificação no Azure: AZ-900Primeira certificação no Azure: AZ-900
Primeira certificação no Azure: AZ-900
 
Aplicações resilientes e Chaos Engineering em .NET com Polly + Simmy
Aplicações resilientes e Chaos Engineering em .NET com Polly + SimmyAplicações resilientes e Chaos Engineering em .NET com Polly + Simmy
Aplicações resilientes e Chaos Engineering em .NET com Polly + Simmy
 
TDC Connections 2022 - .NET + Microsserviços: alternativas open source para d...
TDC Connections 2022 - .NET + Microsserviços: alternativas open source para d...TDC Connections 2022 - .NET + Microsserviços: alternativas open source para d...
TDC Connections 2022 - .NET + Microsserviços: alternativas open source para d...
 
Desenvolvimento de aplicações para o Microsoft Azure utilizando C#
Desenvolvimento de aplicações para o Microsoft Azure utilizando C#Desenvolvimento de aplicações para o Microsoft Azure utilizando C#
Desenvolvimento de aplicações para o Microsoft Azure utilizando C#
 
Microsoft Reactor Desenvolvimento serverless com azure function
Microsoft Reactor Desenvolvimento serverless com azure functionMicrosoft Reactor Desenvolvimento serverless com azure function
Microsoft Reactor Desenvolvimento serverless com azure function
 
Integração: IoT Central + CosmosDB + Power BI - Dicas, desafios e boas práticas.
Integração: IoT Central + CosmosDB + Power BI - Dicas, desafios e boas práticas.Integração: IoT Central + CosmosDB + Power BI - Dicas, desafios e boas práticas.
Integração: IoT Central + CosmosDB + Power BI - Dicas, desafios e boas práticas.
 
MVPConf 2021 - .NET + Azure Functions Dicas e truques no desenvolvimento serv...
MVPConf 2021 - .NET + Azure Functions Dicas e truques no desenvolvimento serv...MVPConf 2021 - .NET + Azure Functions Dicas e truques no desenvolvimento serv...
MVPConf 2021 - .NET + Azure Functions Dicas e truques no desenvolvimento serv...
 
Canal .NET - Utilizando o Event Hub e o Event Grid
Canal .NET - Utilizando o Event Hub e o Event GridCanal .NET - Utilizando o Event Hub e o Event Grid
Canal .NET - Utilizando o Event Hub e o Event Grid
 
Internet das Coisas na Medicina - Summit ACM 2021
Internet das Coisas na Medicina - Summit ACM 2021Internet das Coisas na Medicina - Summit ACM 2021
Internet das Coisas na Medicina - Summit ACM 2021
 
TDC Transformation 2021 - Certificação AZ-900 Azure Fundamental: Conceitos, d...
TDC Transformation 2021 - Certificação AZ-900 Azure Fundamental: Conceitos, d...TDC Transformation 2021 - Certificação AZ-900 Azure Fundamental: Conceitos, d...
TDC Transformation 2021 - Certificação AZ-900 Azure Fundamental: Conceitos, d...
 
The Developers Connections 2021 - Internet das Coisas aplicada no suporte a p...
The Developers Connections 2021 - Internet das Coisas aplicada no suporte a p...The Developers Connections 2021 - Internet das Coisas aplicada no suporte a p...
The Developers Connections 2021 - Internet das Coisas aplicada no suporte a p...
 
Cloud Lunch and Learn - Sobrevoando o Azure
Cloud Lunch and Learn - Sobrevoando o AzureCloud Lunch and Learn - Sobrevoando o Azure
Cloud Lunch and Learn - Sobrevoando o Azure
 
Azure Weekend - Utilizando Azure Batch em Linux
Azure Weekend - Utilizando Azure Batch em LinuxAzure Weekend - Utilizando Azure Batch em Linux
Azure Weekend - Utilizando Azure Batch em Linux
 

Último

Aula combustiveis mais utilizados na indústria
Aula combustiveis mais utilizados na indústriaAula combustiveis mais utilizados na indústria
Aula combustiveis mais utilizados na indústria
zetec10
 
Ferramentas que irão te ajudar a entrar no mundo de DevOps/CLoud
Ferramentas que irão te ajudar a entrar no mundo de   DevOps/CLoudFerramentas que irão te ajudar a entrar no mundo de   DevOps/CLoud
Ferramentas que irão te ajudar a entrar no mundo de DevOps/CLoud
Ismael Ash
 
Subindo uma aplicação WordPress em docker na AWS
Subindo uma aplicação WordPress em docker na AWSSubindo uma aplicação WordPress em docker na AWS
Subindo uma aplicação WordPress em docker na AWS
Ismael Ash
 
Apresentação sobre Deep Web e anonimização
Apresentação sobre Deep Web e anonimizaçãoApresentação sobre Deep Web e anonimização
Apresentação sobre Deep Web e anonimização
snerdct
 
se38_layout_erro_xxxxxxxxxxxxxxxxxx.docx
se38_layout_erro_xxxxxxxxxxxxxxxxxx.docxse38_layout_erro_xxxxxxxxxxxxxxxxxx.docx
se38_layout_erro_xxxxxxxxxxxxxxxxxx.docx
ronaldos10
 
INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...
INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...
INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...
Faga1939
 

Último (6)

Aula combustiveis mais utilizados na indústria
Aula combustiveis mais utilizados na indústriaAula combustiveis mais utilizados na indústria
Aula combustiveis mais utilizados na indústria
 
Ferramentas que irão te ajudar a entrar no mundo de DevOps/CLoud
Ferramentas que irão te ajudar a entrar no mundo de   DevOps/CLoudFerramentas que irão te ajudar a entrar no mundo de   DevOps/CLoud
Ferramentas que irão te ajudar a entrar no mundo de DevOps/CLoud
 
Subindo uma aplicação WordPress em docker na AWS
Subindo uma aplicação WordPress em docker na AWSSubindo uma aplicação WordPress em docker na AWS
Subindo uma aplicação WordPress em docker na AWS
 
Apresentação sobre Deep Web e anonimização
Apresentação sobre Deep Web e anonimizaçãoApresentação sobre Deep Web e anonimização
Apresentação sobre Deep Web e anonimização
 
se38_layout_erro_xxxxxxxxxxxxxxxxxx.docx
se38_layout_erro_xxxxxxxxxxxxxxxxxx.docxse38_layout_erro_xxxxxxxxxxxxxxxxxx.docx
se38_layout_erro_xxxxxxxxxxxxxxxxxx.docx
 
INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...
INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...
INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...
 

TDC Connections 2021 – Trilha Software Security - Proteção de dados sensíveis com a Computação Confidencial no Azure

  • 1. Globalcode – Open4education Proteção de dados sensíveis com a computação confidencial na nuvem Walter Silvestre Coan walter.coan@gmail.com – walter.s@univille.br www.waltercoan.com.br
  • 2. Globalcode – Open4education Walter Silvestre Coan Microsoft MVP em Azure 2020/2021 Certificações Azure Solutions Architect Azure IoT Developer – Specialty Azure Developer – Associate Azure Administrator - Associate Azure Fundamentals MCT MCSD – MCSA (C# e Web Apps) AWS Academy Accredited Educator AWS Certified Developer – Associate AWS Certified Cloud Practitioner Sun Certified Programmer em Java 5.0 Mestre em Ciência da Computação na área de Sistemas Distribuídos e Redes de Sensores sem Fio - PUCPR Pós-Graduado em Engenharia de Software - PUCPR Bacharel em Informática - UNIVILLE Professor no Bacharelado em Sistemas de Informação e do Bacharelado em Engenharia de Software da UNIVILLE walter.coan@gmail.com – walter.s@univille.br – www.waltercoan.com.br
  • 3. Globalcode – Open4education Agenda Motivação Em quem você precisa confiar? Proteção do ciclo de vida dos dados Computação confidencial Enclaves Containers Azure SQL Novidades...
  • 4. Globalcode – Open4education Motivação Controle sobre o ciclo de vida dos dados Prevenir acesso não autorizado Regulações e conformidades Serviços verificáveis Colaboração não confiável
  • 5. Globalcode – Open4education Em quem você precisa confiar? • Fornecedor de Software • Confio apenas em ambiente on- premise, ou em software livre ou eu mesmo construo meu software • Provedor de Infraestrutura • Confio no meu provedor de nuvem ou gerencio meu próprio datacenter • Fornecedor de Hardware • Confio apenas em ambiente on- premise, ou construo meu próprio hardware Com o uso de técnicas de computação confidencial, a ideia é reduzir a necessidade de confiar em: VM Admin Host Admin Acesso físico ao hardware Hypervisor Host OS Kernel
  • 6. Globalcode – Open4education Proteção do ciclo de vida dos dados • Proteção de dados em repouso • Criptografar dados inativos quando estão armazenados em contas de armazenamento ou banco de dados. • Proteção de dados em trânsito • Criptografar dados que estão transitando entre redes públicas e privadas. • Proteção de dados em uso (novo) • Criptografar dados em uso enquanto estão sendo armazenados na memória RAM.
  • 7. Globalcode – Open4education Casos de uso da computação confidencial Proteção da privacidade durante análise de dados Proteção de pagamento e Criptomoedas Blockchain Ledgers confidenciais Gerenciamento seguro de chaves Bancos de dados seguros
  • 8. Globalcode – Open4education Casos de uso da computação confidencial Algoritmo de Machine Learning K1 K2 K3 Dados dos Pacientes K1 Dados dos Pacientes K2 Dados dos Pacientes K3 Sistema Operacional Hospedeiro K1 K2 K3 Enclave https://docs.microsoft.com/pt-br/azure/confidential-computing/use-cases-scenarios?WT.mc_id=AZ-MVP-5003638
  • 9. Globalcode – Open4education Confidential Computing Consortium O Consórcio de Computação Confidencial é uma comunidade focada em projetos de proteção de dados em uso e aceleração da adoção de computação confidencial por meio de colaboração aberta. https://confidentialcomputing.io/
  • 10. Globalcode – Open4education Ambientes de execução confiáveis TEE – Trusted Execution Environment • Deve ser provido pelo hardware • Todos fluxo de dado que sai do TEE deve ser criptografado • Deve ser capaz de verificar e assinar o conteúdo do TEE para produzir evidências verificáveis da segurança • Hardware root of trust • Conjunto de mecanismos implementados no hardware que garantem que todos os mecanismos de segurança, por exemplo armazenamento de chaves privadas. • Cada hardware deve possuir uma identidade única • Hardware específico para realizar operações de criptografia • Bancos de e-fuses para armazenar chaves privadas para atestar sua integridade e a integridade do software que será executado • Isolamento • Garantir que uma vez que o código verificado seja carregado para o TEE, deverá ser reservado o acesso aos cores e cache de memória habilitados a trabalhar no TEE.
  • 11. Globalcode – Open4education Ambientes de execução confiáveis TEE – Trusted Execution Environment • Atestação • Mecanismo que da confiança a computação confidencial • Verificação de um conjunto de medições realizadas no hardware e que são assinadas com chaves privadas armazenadas no e-fuses • Verificação da assinatura do hash do código do boot • Verificação da assinatura do hash do contexto inicial da memória ou de registradores importantes da CPU • Após a validação de todas essas informações o serviço de atestação confirma a integridade e cria um novo conjunto de chaves que será utilizado para a comunicação de serviços externos com o TEE.
  • 12. Globalcode – Open4education Intel SGX Software Security Guard Extension • Novo conjunto de instruções que permite criar regiões privadas de memória (enclave). Apenas o código que roda dentro do enclave, é que tem acesso a área de memória. • Dados são visíveis na sua forma original apenas dentro do enclave, e são criptografados toda vez que são armazenados em memória. Azure DCv2-Series Virtual Machines Host CPU Hypervisor Operating System App App Code Data
  • 13. Globalcode – Open4education Intel SGX Data Untrusted Code Trusted Code 1 Create Enclave 2 Call Thrusted 3 Process Secret 4 Return 5 Normal Execution Privileged System Code OS, VMM, BIOS, SMM Call Gate
  • 14. Globalcode – Open4education Azure Sphere Secured MCUs Uma nova categoria de MCU’s chamado Azure Sphere, produzidos por empresas parceiras, com tecnologia de segurança da Microsoft, que fornece conectividade, alto desempenho e características de segurança no hardware. Secured Operating System Sistema operacional seguro Azure Sphere OS que combina as melhores práticas da Microsoft e da comunidade Open Source, criando uma plataforma confiável para uma nova experiência em IoT. Secured by our Cloud Service Azure Sphere Security Service protege cada dispositivo e os clientes, detecta falhas de segurança e responde de forma proativa.
  • 15. Globalcode – Open4education Azure Sphere Azure Sphere utiliza a tecnologia ARM’s TrustZone que permite a criação de ambientes independentes de execução dentro de um único chip. • Secure World – alto nível de privilégios • Normal World – baixo nível de privilégios Cada ambiente pode executar seu próprio sistema operacional e aplicações Azure Sphere Trusted Computing Base (TCB) é composto por componentes eletrônicos e software que roda no Secure World. Parte do TCB está no Pluton Security System e parte se estende ao Security Monitor que é executado no Cortex-A7.
  • 16. Globalcode – Open4education Open Enclave SDK https://openenclave.io/sdk/
  • 17. Globalcode – Open4education VM Server Open Enclave SDK Enclave Code Data Cliente Azure Attestation Service 1 2 3 4 1 – Cliente solicita chave ao serviço de atestação do Azure 2 – Serviço faz as verificações 3 – Serviço retorna a chave para comunicação 4 – Cliente acessa o Enclave
  • 18. Globalcode – Open4education Containers confidenciais Possibilita que aplicações existentes, que estejam no formato de container, possam fazer uso da tecnologia de computação confidencial sem alteração do código fonte.
  • 19. Globalcode – Open4education Computação confidencial em uma plataforma de saúde https://docs.microsoft.com/en-us/azure/architecture/example-scenario/confidential/healthcare-inference?WT.mc_id=AZ-MVP-5003638
  • 20. Globalcode – Open4education Azure SQL Database Always Encrypted With Secure Enclaves https://techcommunity.microsoft.com/t5/azure-sql/always-encrypted-with-secure-enclaves-in-azure-sql-database/ba-p/2051544?WT.mc_id=AZ-MVP-5003638 Inside Azure Datacenter Architecture with Mark Russinovich - https://youtu.be/69PrhWQorEM?t=4522
  • 21. Globalcode – Open4education Computação confidencial para VM https://azure.microsoft.com/en-us/blog/azure-and-amd-enable-lift-and-shift-confidential-computing/
  • 22. Globalcode – Open4education AMD SEV-SNP https://www.amd.com/system/files/TechDocs/SEV-SNP-strengthening-vm-isolation-with-integrity-protection-and-more.pdf
  • 23. Globalcode – Open4education AMD SEV-SNP VM Data Trusted 1 Call Function 2 Process Secret 3 Return 4 Normal Execution Privileged System Code OS, VMM, BIOS, SMM