Post on 17-Dec-2014
description
Segurança e privacidade em computação em nuvemUma visão geral
Segurança e privacidade em computação em nuvem
Monografia em Sistemas de Informação
Aluno: Luiz Augusto AmelottiOrientador: Prof. Dr. Antônio Alfredo Loureiro
Agenda
• Introdução▫ Conceitos e Definições▫ Motivação▫ História
• Objetivos• Metodologia• Análises
Agenda
• Discussões• Conclusões• Trabalhos Futuros• Perguntas
Introdução
Computação em Nuvem
▫ Nova maneira de prover recursosNão é uma nova tecnologia
▫ Evolução e união de conceitos e tecnologias
Introdução
Computação em Nuvem - definição
▫ Auto-serviço▫ Acesso via rede▫ Pool de recursos▫ Elasticidade instantânea▫ Medição de serviço
Introdução
Computação em Nuvem – modelos de serviço
▫ IaaSAmazon EC2, Rackspace CloudServer, Amazon S3
▫ PaaSGoogle AppsEngine, Microsoft Azure
▫ SaaSLotusLive, BlueworksLive, Salesforce
Introdução
Computação em Nuvem – modelos de implantação
▫ Públicas▫ Privadas▫ Comunitárias▫ Híbridas
Introdução
Segurança da Informação
▫ Confidencialidade▫ Integridade▫ Disponibilidade▫ Privacidade
Introdução
Segurança da Informação
▫ Vulnerabilidade▫ Ameaça▫ Risco
Introdução
Processo de gestão dos riscos
▫ Definição do Contexto
▫ Análise dos Riscos▫ Tratamento dos Riscos▫ Aceitação dos Riscos▫ Comunicação dos Riscos▫ Monitoração
Introdução
Auditoria e Perícia
▫ Análise das atividades realizadas no sistema▫ Análise das vulnerabilidades presentes
▫ Aquisição, preservação, identificação, extração, recuperação e análise de evidências
▫ Enquadramento das evidências dentro do formato jurídico
Introdução
Motivação
▫ Tendência de aumento com gastos em Computação em Nuvem
▫ Aumento das soluções baseadas em Computação em Nuvem
▫ Segurança é crítica para adoção de soluções baseadas em Computação em Nuvem
Introdução
História
▫ Computação em NuvemDécada de 60 – Utility Computing e o MulticsDécada de 80 – popularização do PC e InternetDécada de 90 – Grid Computing e o compartilhamento de recursosDecadas de 90 e 2000 – Estouro da bolha .com e excesso de recursos disponíveis2006 – Primeiros serviços de nuvem da Amazon
Introdução
História
▫ Segurança da Informação1982 – primeiro programa na forma de vírus1988 – vírus de Robert Morris derruba 10% da Internet1995 – primeira norma/recomendação de segurança2000 – ataque DDOS derrubou grandes portais2010 – ataque do Stuxnet
Introdução
História
2010 – série de ataques ao Google e outras empresas americanas2011 – nova série de ataques ao Google. Alvo são pessoas ligados ao governo2011 – EUA elabora política de estado para cyberguerra2011 – Série de ataques a redes militares dos EUAOntem – possível ataque ao site da CIA
Objetivos
▫ Identificar características únicas relacionadas à segurança em ambientes de Computação em Nuvem
▫ Avaliar técnicas que visam garantir a segurança e privacidade em ambientes de Computação em Nuvem
▫ Caracterizar e avaliar as principais ameaças à Computação em Nuvem
Objetivos
▫ Avaliar técnicas de perícia forense e auditoria e suas aplicações em ambientes de Computação em Nuvem
▫ Propor documentação▫ Subsidiar trabalhos futuros
ObjetivosPerguntas
▫ Quão disponíveis estarão os dados em uma nuvem pública?
▫ Existem riscos de quebra de privacidade?▫ Que garantias existem que dados de uma empresa
não serão vistos pela outra?▫ Como fazer uma auditoria nos processos do
provedor de nuvem?▫ Como garantir integridade e confidencialidade de
dados que estão em uma nuvem pública?
Metodologia
▫ Pesquisa básica▫ Revisão bibliográfica de artigos das principais
conferências de segurança e computação em nuvem
▫ Revisão de artigos produzidos por grupos de pesquisa em computação em nuvem e segurança
Metodologia
▫ Revisão de livros, publicações especializadas e demais literaturas relacionadas a segurança da informação, computação em nuvem, auditoria e perícia forense
▫ Avaliação de boas práticas e recomendações sobre segurança da informação e sua aplicação em ambientes de computação em nuvem
Análises
Características da Computação em Nuvem e tecnologias envolvidas
▫ Virtualização▫ Computação distribuida▫ Computação ubíqua▫ Comunicação de dados▫ Armazenamento
Análises
Principais ameaças para Computação em Nuvem
▫ Uso abusivo da Computação em Nuvem▫ API’s inseguras▫ Funcionários maliciosos nos provedores▫ Vulnerabilidades nas tecnologias de suporte▫ Vazamento de dados▫ Seqüestro de contas, tráfego e sessões▫ Risco desconhecido
Análises
Impactos da quebra de segurança
▫ Vazamento de informações confidenciais▫ Comprometimento do resultado do
processamento▫ Perda de dados▫ Indisponibilidade de serviços
▫ Aumento de custos e diminuição de credibilidade!
Análises
Alguns ataques específicos a ambientes de Computação em Nuvem
▫ Cloud CartographyUsado contra a Amazon
▫ Cloud Malware Injection▫ Cloud War
Análises
Alguns ataques específicos a ambientes de Computação em Nuvem
▫ Uso de imagens maliciosas▫ Comprometimento do hypervisor▫ Comprometimento do processamento
Análises
Computação em Nuvem como plataforma para ataques
▫ Geração de hash-chains▫ Quebra de senhas▫ Botnets▫ Imagens de VMs maliciosas▫ Spam
Análises
Privacidade
▫ Dados estão armazenados em dispositivos sob controle de outros
Quem tem acesso aos dados?A privacidade está legalmente garantida?
Caso Wikileaks
Análises
Frameworks e boas práticas de segurança
▫ Praticas tradicionais não se aplicam a este ambiente
Características muito diferentes▫ Procedimentos padrão de segurança não garantem
quase nada!
Análises
Redes de confiança▫ Similar à estrutura dos certificados digitais▫ Uma entidade confiável garante a reputação do
provedor▫ Deve-se confiar na entidade no topo da hierarquia
Discussões
▫ Provedores ainda não garantem a segurança dos dados
Política da Amazon▫ Segurança dos dados e privacidade estão sujeitos
às políticas e legislação vigentes nos países onde os dados/aplicações estão armazenados.
Discussões
▫ Provedores podem ter infraestrutura distribuidageográficamente
Ataques tradicionais às redes de dados e problemas legais
▫ Dificuldade em manter registros para auditoria e perícia e manter a privacidade dos usuários
Provedor tem de manter dados de todos os clientesMais um ativo para entrar no processo de gestão da segurança
Discussões
▫ É necessário tornar os dados anônimosFoi possível “de-anonimizar” os dados de uma base do NetflixExiste um framework – Airavat – que tenta solucionar o problema
Insere ruido na saida do processamento
Conclusões
▫ Nuvem ainda não é totalmente segura▫ É um novo modelo, com características diferentes▫ Falta padronização/modelos de segurança
aplicados à Nuvem▫ Nova maneira de desenvolver software▫ Sem um bom planejamento, não é o momento de
mover dados/aplicações estratégicas para a nuvemAvaliar o Risco e o Impacto
Conclusões
▫ Redes de confiança podem não ser solução suficiente
Sistemas da Comodo foram invadidos diversas vezes▫ Segurança dos dados e privacidade estão sujeitos
às políticas e legislação vigentes nos países onde os dados/aplicações estão armazenados.
Conclusões
▫ O usuário é o principal responsável pela disponibilidade de seus dados
▫ Os dados podem ficar indisponíveis como resultado de ataques ao provedor , às plataformas de execução ou como resultados de procedimentos de manutenção do ambiente
▫ Exitem riscos legais, além de usuários mal intencionados dentro das redes dos provedores de serviços
Conclusões
▫ Existem também riscos de roubo de tráfego, comprometimento dos equipamentos e, no caso de IaaS, uso de imagens comprometidas
▫ Os provedores garantem o isolamento com medidas diversas. Mas ataques executados já mostraram ser possível comprometer essas medidas
▫ Empresas que concorrem com o provedor de serviços em algum negócio também correm risco
Conclusões
▫ Há a dependência de dados disponibilizados e controlados pelo provedor para auditoria
▫ Ainda pode haver comprometimento no processamento dos dados
▫ É necessário uma padronização nos modelos de segurança, adaptados à realidade da Computação em Nuvem
▫ É preciso desenvolver frameworks e estabelecer boas práticas para a segurança na nuvem
Trabalhos Futuros
▫ Análisar e avaliar frameworks já propostos▫ Estudar e desenvolver framework de segurança▫ Modelo de confiança e responsabilidade para
imagens de VMs, softwares, plataformas, etc▫ Estudar segurança em Computação em Nuvem
usada por dispositivos móveis▫ Estudar desenvolvimento de aplicações para
nuvem, considerando a segurança como aspecto crítico
Perguntas