1 Verisign Confidential Verisign Confidential

Anchises M. G. de Paula iDefense Intelligence Analyst adepaula@verisign.com

Fog Computing As falhas e riscos da Computação em Nuvem

2 Verisign Confidential

#FAIL

Mar. 13, 2010!Car Crash Triggers Amazon Power Outage!By Datacenter Knowledge!Amazonʼs EC2 cloud computing service suffered its fourth power outage in a week on Tuesday, with some customers in its US East Region losing service for about an hour. The incident was triggered when a vehicle crashed into a utility pole near one of the companyʼs data centers, and a transfer switch failed to properly manage the shift from utility power to the facilityʼs generators.!

Apr. 29, 2011!Amazon cloud outage was triggered by configuration error!By Computerworld!Amazon has released a detailed postmortem and mea culpa about the partial outage of its cloud services platform last week and identified the culprit: A configuration error made during a network upgrade. !During this configuration change, a traffic shift "was executed incorrectly," Amazon said (…).!

3 Verisign Confidential

Mesmo estando na Nuvem, seu

site pode evaporar ?

Picture source: sxc.hu!

#FAIL

4 Verisign Confidential

Agenda

•  Overview - Cloud Computing

•  Conhecendo os riscos de Cloud Computing

•  Novos riscos na Nuvem

font

e: s

xc.h

u!

5 Verisign Confidential 5! Verisign Confidential

Overview de Cloud Computing

6 Verisign Confidential 6!

Overview

•  Cloud Computing se tornou um termo popular em TI e negócios

20/1/10!Cloud Computing for Business and Society!by Brad Smith, The Huffington Post!(…)!According to a recent survey conducted by Microsoft, more than 90 percent of Americans are using some form of cloud computing; nearly all of us are connected to the cloud. !

7 Verisign Confidential

O que é Cloud Computing?

“A style of computing where massively scalable IT-enabled capabilities are provided "as a service" to external customers using Internet technologies…

… where the consumers of the services need only care about what the service does for them, not how it is implemented” Gartner!

font

e: s

xc.h

u!

8 Verisign Confidential 8!

Overview

•  Cloud Computing representa uma mistura e evolução de várias tecnologias

Grid Computing!Utility Computing!

Software as a Service!

Cloud Computing!

1990!

2008!

font

e: O

xfor

d !

9 Verisign Confidential

Overview

Fonte: iDefense!

10 Verisign Confidential

Overview

•  Três categorias básicas de Cloud Computing:

•  Infrastructure as a Service (IaaS)

•  Platform as a Service (PaaS)

•  Software as a Service (SaaS)

10!

11 Verisign Confidential

§  Três categorias básicas de Cloud Computing:!

– Infrastructure as a Service (IaaS)!!!

– Platform as a Service (PaaS)!

– Software as a Service (SaaS)!

Overview

11!

S E G U R A N Ç A

Provedor!

Cliente!

12 Verisign Confidential 12! Verisign Confidential

Conhecendo os Riscos de Cloud Computing

13 Verisign Confidential

Cloud Computing é seguro?

•  Depende...

•  Seguro comparado com o que? •  Precisamos de

um contexto

font

e: s

xc.h

u!

14 Verisign Confidential

Computação em nuvem é um termo em evolução •  Preocupação com segurança crescendo conforme surgem necessidades e incidentes específicos.

Computação em Nuvem

fonte: infosuck.org!

15 Verisign Confidential

Estratégia para Análise de Riscos

•  Identificar o ativo para implantação na nuvem

•  Entender as necessidades e os riscos

•  Mapear o ativo com o modelo de implantação

•  Avaliar os modelos de serviços e fornecedores

•  Selecionar estratégias de mitigação

15!

fonte: sxc.hu!

16 Verisign Confidential

Riscos de Cloud Computing

•  Cloud Computing herda vários riscos associados às tecnologias que utiliza

•  Conjunto específico de atributos que tornam a análise de riscos mais complexa •  Novos paradigmas •  Detalhes obscuros do

CSP fonte: sxc.hu!

17 Verisign Confidential 17!

Riscos Tradicionais

“Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”!

18 Verisign Confidential 18!

Riscos Tradicionais

•  Riscos : •  Terceiros •  Perda de governança •  Aderência Regulatória •  Acesso privilegiado •  Usuário interno malicioso •  Acesso físico ao ambiente

“Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”!

19 Verisign Confidential 19!

Riscos Tradicionais

•  Riscos : •  Novas vulnerabilidades e

gestão de atualizações •  Acesso privilegiado •  Comprometimento da

administração •  Exaustão dos recursos

“Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”!

20 Verisign Confidential 20!

Riscos Tradicionais

•  Riscos: •  Novas vulnerabilidades •  Acesso privilegiado •  Segregação de dados •  Roubo de dados •  Recuperação

“Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”!

21 Verisign Confidential 21!

Riscos Tradicionais

•  Riscos: •  Disponibilidade •  Performance •  Interceptação de dados •  DDoS

“Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”!

22 Verisign Confidential 22! Verisign Confidential

Novos riscos na Nuvem

23 Verisign Confidential

Novos paradigmas de segurança

•  “Nuvem” significa perder parte do controle •  Sem controles físicos

•  Repensar a segurança de perímetro •  Sem time de segurança dedicado

•  Foco na estratégia de segurança

font

e: s

xc.h

u!

24 Verisign Confidential

Riscos

•  Proteção dos dados •  Práticas de gestão de dados do Cloud Provider •  Múltiplas transferências de dados •  Interceptação dos dados

•  Em trânsito •  Intra-nuvem

24!

Fonte: iDefense!

25 Verisign Confidential

Riscos

•  Proteção dos dados •  Práticas de gestão de dados do Cloud Provider •  Múltiplas transferências de dados •  Interceptação dos dados •  Segregação dos dados •  Remoção insegura ou incompleta

25!

Fonte: iDefense!

26 Verisign Confidential

Mitigação

•  Proteção dos dados •  Práticas de gestão de dados do Cloud Provider •  Múltiplas transferências de dados •  Interceptação dos dados •  Segregação dos dados •  Remoção insegura ou incompleta

•  Mitigação •  Criptografia de dados •  Criptografia da comunicação •  Avaliar os procedimentos do CSP •  Auditoria e SLA

26!

Fonte: iDefense!

27 Verisign Confidential

Riscos

•  Localização física dos dados •  Localização e aspectos regulatórios •  Regiões voláteis representam

maior risco •  Governos hostis / sem ética e

risco de exposição dos dados

27!

28 Verisign Confidential

Mitigação

•  Localização física dos dados •  Localização e aspectos regulatórios •  Regiões voláteis representam

maior risco •  Governos hostis / sem ética e

risco de exposição dos dados

•  Mitigação •  Identificar a localização dos dados •  Escolha CSPs que garantam a localização dos dados •  Evite CSPs com data centers em países hostis •  Use CSPs baseados no mesmo país

28!

29 Verisign Confidential

Riscos

•  Disponibilidade •  Exige conectividade constante •  Perda de dados e risco de

downtime •  Ataques DDoS globais

29!

Fonte: iDefense!

30 Verisign Confidential

Riscos

•  Disponibilidade •  Exige conectividade constante •  Perda de dados e risco de

downtime •  Ataques DDoS globais

30!

06/05/10!US Treasury site hit by attack on cloud host!Finextra.com!A US Treasury Web site has been suspended after its cloud computing host was hacked, redirecting users to a malicious site in the Ukraine. !

Fonte: iDefense!

31 Verisign Confidential

Mitigação

•  Mitigação •  Conhecer a infraestrutura

do CSP’s •  Investimento na conexão

Internet local •  Evitar pontos de falha •  Private clouds •  Service-level agreements (SLAs)

com os CSPs •  Assuma pelo menos uma falha.

Qual o impacto?

31!

Fonte: iDefense!

32 Verisign Confidential

Riscos

•  Portabilidade da Nuvem e “Lock-in” •  Não existem padrões para

formato de dados, ferramentas e interfaces

•  Como garantir portabilidade dos dados, aplicações e serviços?

•  Alta dependência do CSP

32!

A!

B!

Apr. 30, 2009!Cloud Computing Forerunner Facing Bankruptcy!Eweek Europe!Cassatt, the infrastructure management software company started by BEA Systems founder Bill Coleman, is running out of money.!

33 Verisign Confidential

Open Cloud Manifesto

1.  Cloud providers must … ensure that the challenges to cloud adoption … are addressed through open collaboration and the appropriate use of standards.

2.  Cloud providers must not use their market position to lock customers …

3.  Cloud providers must use and adopt existing standards wherever appropriate...

4.  When new standards … are needed, … avoid creating too many standards.

5.  Any community effort around the open cloud should be driven by customer needs...

Source: www.opencloudmanifesto.org!

Principles of an Open Cloud!

34 Verisign Confidential

Riscos

•  Aspectos Legais •  Leis no local do CSP

•  Leis e regulamentações conflitantes •  Compliance do CSP •  Contrato com terceiros •  Falha de compliance: riscos legais

34!

35 Verisign Confidential

Mitigação

•  Aspectos Legais •  Leis no local do CSP

•  Leis e regulamentações conflitantes •  Compliance do CSP •  Contrato com terceiros •  Falha de compliance: riscos legais

•  Mitigação •  Conheça suas obrigações •  Conheça as obrigações do CSP •  Contratos e SLA

35!

FISMA !HIPAA !SOX!PCI !SAS 70 Audits!

36 Verisign Confidential

Riscos

•  Suporte Investigativo •  Forense na “nuvem”? •  Múltiplos clientes, logs agregados •  Capacidade de resposta a incidentes •  Dependência do CSP para dados

forenses e investigação

36!

37 Verisign Confidential

Mitigação

•  Suporte Investigativo •  Forense na “nuvem”? •  Múltiplos clientes, logs agregados •  Capacidade de resposta a incidentes •  Dependência do CSP para dados

forenses e investigação

•  Mitigação •  Definir políticas e procedimentos com o CSP •  Evite CSPs que não participem de uma investigação

37!

38 Verisign Confidential 38! Verisign Confidential

Conclusão

39 Verisign Confidential

Conclusão

•  Segurança na “nuvem” não é muito diferente das necessidades “pré-nuvem”

•  Cloud computing é fundamentalmente sobre cedendo controle •  Controles de segurança x Vantagens para o

negócio •  Segurança do CSP versus necessidade de

segurança

font

e: s

xc.h

u!

40 Verisign Confidential

Segurança de Cloud Computing

•  Análise de Riscos é fundamental •  Compare os Provedores de

Cloud •  Faça auditoria e “due

diligence” •  Adote estratégias de

mitigação

Fonte: vidadeprogramador.com.br!

41 Verisign Confidential

Previsão do Tempo

•  Muitas nuvens a frente

•  Sujeito a chuvas e

trovoadas esporádicas

•  Tenha sempre um guarda-chuva próximo

fonte: Wikimedia Commons!

42 Verisign Confidential

Referências

•  Cloud Security Alliance (CSA) http://www.cloudsecurityalliance.org

•  Cloud Security Alliance – Capítulo Brasil https://chapters.cloudsecurityalliance.org/brazil

43 Verisign Confidential

Referências

•  “Security Guidance for Critical Areas of Focus in Cloud Computing”http://www.cloudsecurityalliance.org/guidance/csaguide.pdf

•  “Top Threats to Cloud Computing V1.0” http://www.cloudsecurityalliance.org/topthreats.html

•  “CSA Cloud Controls Matrix V1.2” http://cloudsecurityalliance.org/cm.html

43!

44 Verisign Confidential

Referências

•  NIST Cloud Computing Project http://csrc.nist.gov/groups/SNS/cloud-computing/index.html

•  Relatório da ENISA “Cloud Computing: Benefits, risks and recommendations for information security http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment

•  iDefense Topical Research Paper: “Cloud Computing”

44!

Thank You

© 2011 VeriSign, Inc. All rights reserved. VERISIGN and other trademarks, service marks, and designs are registered or unregistered trademarks of VeriSign, Inc. and its subsidiaries in the United States and in foreign countries. All other trademarks are property of their respective owners.

Verisign Confidential