Cloud Computing - Conceitos e Riscos

1

Computação em Nuvem Oportunidades e Riscos de Segurança

Anchises M. G. De Paula Membro, CSA Brasil

2

–  O que é Computação em Nuvem –  Oportunidades de Segurança –  Principais categorias de Riscos – Sete principais ameaças –  Cloud Security Alliance

Agenda

3

CLOUD COMPUTING O que é Computação em Nuvem

4

Computação em nuvem é um termo em evolução –  Separa as aplicações e os recursos de informação de sua infraestrutura básica, e os mecanismos uMlizados para entregá-‐los. –  Uso de uma coleção de serviços, aplicações, informação e infraestrutura composta por pools de recursos computacionais, de rede, de informação e de armazenamento. –  Estes componentes podem ser rapidamente organizados, provisionados, implementados, desaMvados, e escalados para cima ou para baixo, provendo um modelo de alocação e consumo baseado na demanda de recursos.

Computação em Nuvem

5

Vantagens

–  Realça a colaboração, agilidade, escalabilidade e disponibilidade – Potencial para redução de custos através de computação eficiente e oMmizada –  Eficiência de custos pelas economias de escala, reuMlização e padronização


fonte: sxc.hu

6


7

Modelos de Referência –  Relações e dependências entre os modelos de Computação em Nuvem

–  CaracterísMcas são herdadas

–  Também são herdadas as questões de segurança da informação e o risco


8

SEGURANÇA Oportunidades de Segurança

9

–  Computação em Nuvem não é mais ou menos segura

–  Os controles de segurança para Computação em Nuvem não são diferentes dos controles de segurança para qualquer ambiente de TI.

Considerações de Segurança

10

Modelo de Referência de Segurança em Nuvem –  A forma como os serviços de nuvem são implantados versus onde eles são fornecidos –  A maneira como os serviços de nuvem são consumidos –  Reperimetrização e erosão de fronteiras de confiança –  Cloud Cube Model

•  ofertas de nuvem disponíveis •  quatro critérios/dimensões

Segurança da Computação em Nuvem

11

Mapeando o Modelo de Nuvem para o Modelo de Controles de Segurança & Conformidade


12

Infrastructure as a Service (IaaS) Pladorm as a Service (PaaS) Soeware as a Service (SaaS)


S E G U R A N Ç A

Provedor

Cliente

13

RISCOS Riscos na adoção da Computação em Nuvem

14

–  Computação em Nuvem cria novos riscos e novas oportunidades

–  Oportunidade de reestruturar aplicações anMgas

Riscos de Segurança

15

–  IdenMficar o aMvo para implantação na nuvem –  Avaliar o aMvo –  Mapear o aMvo com modelo de implantação –  Avaliar potenciais modelos de serviços –  Esboçar o potencial fluxo de dados

Análise de Riscos

16

Security Guidance for CriMcal Areas of Focus in Cloud CompuMng v. 2.1 –  Referência para análise dos riscos hip://www.cloudsecurityalliance.org/guidance/csaguide.pdf

Top Threats to Cloud CompuMng V1.0 –  Sete principais riscos hip://www.cloudsecurityalliance.org/topthreats.html

Riscos de Computação em Nuvem

17

13 Domínios 03 Macro Seções: –  Arquitetura –  Governança –  Operações

Security Guidance

18

–  Seção: Governança –  Compreende na capacidade de uma organização para governar e medir o risco empresarial introduzido pela Computação em Nuvem –  Responsabilidade para proteger dados sensíveis no caso de provedor e usuário falhar –  Como essas questões são afetadas por fronteiras internacionais

Security Guidance: Governança e Gestão de Riscos Corpora@vos

19

–  Seção: Governança –  Compreende nos problemas legais em potencial ao se uMlizar Computação em Nuvem –  Requisitos de proteção da informação –  Requisitos regulatórios –  Leis internacionais

Security Guidance: Aspectos Legais e Electronic Discovery

20

–  Seção: Governança –  Compreende na manutenção e comprovação de conformidade ao se fazer uso da Computação em Nuvem –  Como a Computação em Nuvem afeta o cumprimento de políMcas de segurança interna e diversos requisitos de conformidade (regulatórios, legislaMvos, entre outros) –  Orientações para comprovar a conformidade no caso de auditoria

Security Guidance: Conformidade e Auditoria

21

–  Seção: Governança –  Compreende no gereciamento dos dados que são colocados na Nuvem –  Controles compensatórios para lidar com a perda de controle lsico –  Responsável pela confidencialidade, integridade e disponibilidade

Security Guidance: Gerenciamento do Ciclo de Vida das Informações

22

–  Seção: Governança –  Compreende na habilidade de mover dados e/ou serviços de um provedor para outro ou totalmente de volta para a empresa –  Interoperabilidade entre fornecedores

Security Guidance: Portabilidade e Interoperabilidade

23

–  Seção: Operações –  Descreve como a Computação em Nuvem afeta os processos e procedimentos operacionais usados atualmente em BCP e DRP –  Aborda sobre como ajudar a idenMficar onde a Computação em Nuvem pode ajudar a diminuir certos riscos, ou implica em aumento dos riscos

Security Guidance: Segurança Tradicional, Cont. de Negócios e Rec. Desastres

24

–  Seção: Operações –  Descreve como avaliar a arquitetura e a operação de um fornecedor de Data Center –  Focado principalmente em ajudar a idenMficar caracterísMcas de data centers que podem ser prejudiciais e as fundamentais para estabilidade a longo prazo

Security Guidance: Operações e Data Center

25

–  Seção: Operações –  Aborda a correta e adequada detecção de incidentes, resposta, noMficação e correção –  Aborda itens tanto no nível de prestadores de serviços e consumidores –  Forense computacional –  Ajudar a compreender as diferenças na abordagem do sistema de gestão de incidentes atual

Security Guidance: Resposta a Incidente, No@ficação e Remediação

26

–  Seção: Operações –  Descreve modos de proteger a aplicação que está sendo executada ou desenvolvida na nuvem –  É apropriado migrar ou projetar uma aplicação na nuvem? –  Qual melhor modelo (SaaS, PaaS ou IaaS) ?

Security Guidance: Segurança de Aplicações

27

–  Seção: Operações –  DiscuMr por que é necessário –  IdenMficar questões que surgem com a uMlização, seja para proteger o acesso aos recursos ou para proteger os dados

Security Guidance: Criptografia e Gerenciamento de Chaves

28

–  Seção: Operações –  Foco em questões encontradas quando se estende a idenMdade de uma organização para Nuvem –  Fornece insights para avaliar a capacidade da organização para realizar a gestão de idenMdade e acesso baseados na Nuvem

Security Guidance: Gerenciamento de Iden@dade e Acesso

29

–  Seção: Operações –  Descreve o uso da Virtualização em Computação em Nuvem –  Aborda riscos associados com mulMlocação –  Isolamento de VMs –  Vulnerabilidades em Hypervisor –  Foca nas questões de segurança em torno do sistema/hardware de virtualização

Security Guidance: Virtualização

30

PRINCIPAIS AMEAÇAS Sete principais ameaças na adoção da Computação em Nuvem

31

Abuso e uso Malicioso de Computação em Nuvem – Qualquer pessoa com um cartão de crédito válido pode se registrar e usar os serviços em nuvem

•  Spammers, autores de códigos maliciosos e criminosos •  Uso anônimo e impune

–  Usos maliciosos •  Quebra de senhas •  Realizar ataques (ex: DDoS) •  Hospedar dados maliciosos •  Controle de botnets

Principais Riscos Para Computação em Nuvem

IaaS PaaS SaaS

CSA Guidance: Domínios 8 e 9

32

Interfaces e APIs Inseguras – Segurança e disponibilidade dos serviços na nuvem são dependentes das interfaces e APIs de gerenciamento –  Falhas acidentais ou mal intencionadas –  Complexidade

•  Serviços desconhecidos –  Controle de acesso

•  Acessos anônonimos •  Senhas e dados trafegados em aberto


IaaS PaaS SaaS

CSA Guidance: Domínio 10

33

Usuários Internos Maliciosos –  Ameaça amplificada

•  Convergência de serviços e usuários •  Falta de transparência do provedor •  Funcionários do provedor •  Baixo risco de detecção

–  Potenciais ameaças •  Concorrentes •  Espionagem •  Hackers


IaaS PaaS SaaS


34

Uso de Tecnologias de ComparMlhamento –  Forte isolamento em ambientes mulM-‐locatários –  Falhas no sistema de controle (hypervisor)

•  Sistemas virtuais podem ter acesso ao sistema hospedeiro •  Falha nos controles e isolamento

–  Clientes não devem ter acesso a dados de outros clientes

•  Dados atuais ou residuais •  Tráfego de rede


IaaS PaaS SaaS


35

Perda ou Vazamento de Dados –  Pode ser devastados para uma empresa –  Arquitetura e ambiente da Nuvem aumenta os riscos

•  Falha nos controles de autenMcação, autorização e auditoria (AAA) •  Falhas operacionais •  Persistência e remanescência dos dados •  Jurisdição •  Disponibilidade do provedor


IaaS PaaS SaaS

CSA Guidance: Domínios 5, 11 e 12

36

Sequestro de Serviço ou de Conta –  Roubo de credenciais

•  Phishing, fraude ou exploração de falhas –  Acesso indevido a Nuvem

•  Acessar dados e transações •  Manipulação dos dados •  Redirecionar usuários para outros sites


IaaS PaaS SaaS

CSA Guidance: Domínios 2, 9 e 12

37

Riscos Desconhecidos –  Na Computação em Nuvem, as empresas abrem mão da gestão do hardware e do soeware para focar no negócio

•  Segurança por obscuridade e baixo esforço •  Perde controles de segurança

–  Detalhes de operação e compliance do fornecedor •  Versão de soeware e atualização de código •  Com quem você comparMlha a infra-‐estrutura •  TentaMvas de ataque •  Guarda de logs


IaaS PaaS SaaS

CSA Guidance: Domínios 2, 3, 8 e 9

38

CLOUD SECURITY ALLIANCE Apresentação CSA Brasil

39

CSA: Overview

–  Associação sem fins lucraMvos –  Idealizada durante o ISSA CISO Forum em Novembro de 2008 –  Oficializada em Dezembro de 2008 –  Primeiro Whitepaper na RSA Conference em 2009 –  +12mil Membros –  Presente em 06 países através de Chapters locais

40

To promote the use of best pracMces for providing security assurance within Cloud CompuMng, and provide educaMon on the uses of Cloud CompuMng to help secure all other forms of compuMng.

CSA: Missão

fonte: sxc.hu

41

–  Promote a common level of understanding between the consumers and providers of cloud compuMng regarding the necessary security requirements and aiestaMon of assurance –  Promote independent research into best pracMces for cloud compuMng security –  Launch awareness campaigns and educaMonal programs on the appropriate uses of cloud compuMng and cloud security soluMons –  Create consensus lists of issues and guidance for cloud security assurance

CSA: Obje@vos

42

CSA Brasil: Overview

–  Segundo Chapter oficial da CSA –  Oficializado em 27 de Maio de 2010 –  97 Membros –  Board: Leonardo Goldim; Anchises Moraes, Jaime OrMs y Lugo, Jordan Bonagura, Olympio Renno –  Segue Missão e ObjeMvos da CSA Global

43

–  Voltada para profissionais –  Disponível desde 01 de Setembro –  Realizada online –  US$ 295, até 31 de Dezembro US$ 195 –  Baseada no Guia de Boas PráMcas da CSA e nos estudos da Enisa sobre gestão de riscos na Nuvem –  CCSK Study Guide –  Relacionada a versão do Guia, não expira –  4 profissionais no Brasil

Projetos CCSK

44

Pessoa Física –  ParMcipação no grupo do LinkedIN –  ParMcipação nas listas de discussões dos projetos (csabrasil – Yahoo Grupos) –  Sem custo

Pessoa Jurídica –  Contato diretamente com a CSA –  Taxa anual

Como se Associar CSA / CSA Brasil

45

•  NIST Cloud CompuMng Project hUp://csrc.nist.gov/groups/SNS/cloud-‐compu@ng/index.html

•  Relatório da ENISA “Cloud CompuMng: Benefits, risks and recommendaMons for informaMon security” hUp://www.enisa.europa.eu/act/rm/files/deliverables/cloud-‐

compu@ng-‐risk-‐assessment

Referências

45

46

Referências

•  “CSA Cloud Controls Matrix V1” –  Lançado em 27 de Abril 27, 2010 –  hip://www.cloudsecurityalliance.org/cm.html

46

47

Anchises M. G. de Paula Membro da CSA Brasil [email protected]

hip://br.cloudsecurityalliance.org hip://www.cloudsecurityalliance.org

Obrigado

Cloud Computing - Conceitos e Riscos

Documents

Transcript of Cloud Computing - Conceitos e Riscos