Date post: | 18-Nov-2014 |
Category: |
Documents |
Upload: | vale-security-conference |
View: | 1,051 times |
Download: | 1 times |
1 Verisign Confidential Verisign Confidential
Anchises M. G. de Paula iDefense Intelligence Analyst [email protected]
Fog Computing As falhas e riscos da Computação em Nuvem
2 Verisign Confidential
#FAIL
Mar. 13, 2010!Car Crash Triggers Amazon Power Outage!By Datacenter Knowledge!Amazonʼs EC2 cloud computing service suffered its fourth power outage in a week on Tuesday, with some customers in its US East Region losing service for about an hour. The incident was triggered when a vehicle crashed into a utility pole near one of the companyʼs data centers, and a transfer switch failed to properly manage the shift from utility power to the facilityʼs generators.!
Apr. 29, 2011!Amazon cloud outage was triggered by configuration error!By Computerworld!Amazon has released a detailed postmortem and mea culpa about the partial outage of its cloud services platform last week and identified the culprit: A configuration error made during a network upgrade. !During this configuration change, a traffic shift "was executed incorrectly," Amazon said (…).!
3 Verisign Confidential
Mesmo estando na Nuvem, seu
site pode evaporar ?
Picture source: sxc.hu!
#FAIL
4 Verisign Confidential
Agenda
• Overview - Cloud Computing
• Conhecendo os riscos de Cloud Computing
• Novos riscos na Nuvem
font
e: s
xc.h
u!
5 Verisign Confidential 5! Verisign Confidential
Overview de Cloud Computing
6 Verisign Confidential 6!
Overview
• Cloud Computing se tornou um termo popular em TI e negócios
20/1/10!Cloud Computing for Business and Society!by Brad Smith, The Huffington Post!(…)!According to a recent survey conducted by Microsoft, more than 90 percent of Americans are using some form of cloud computing; nearly all of us are connected to the cloud. !
7 Verisign Confidential
O que é Cloud Computing?
“A style of computing where massively scalable IT-enabled capabilities are provided "as a service" to external customers using Internet technologies…
… where the consumers of the services need only care about what the service does for them, not how it is implemented” Gartner!
font
e: s
xc.h
u!
8 Verisign Confidential 8!
Overview
• Cloud Computing representa uma mistura e evolução de várias tecnologias
Grid Computing!Utility Computing!
Software as a Service!
Cloud Computing!
1990!
2008!
font
e: O
xfor
d !
9 Verisign Confidential
Overview
Fonte: iDefense!
10 Verisign Confidential
Overview
• Três categorias básicas de Cloud Computing:
• Infrastructure as a Service (IaaS)
• Platform as a Service (PaaS)
• Software as a Service (SaaS)
10!
11 Verisign Confidential
§ Três categorias básicas de Cloud Computing:!
– Infrastructure as a Service (IaaS)!!!
– Platform as a Service (PaaS)!
– Software as a Service (SaaS)!
Overview
11!
S E G U R A N Ç A
Provedor!
Cliente!
12 Verisign Confidential 12! Verisign Confidential
Conhecendo os Riscos de Cloud Computing
13 Verisign Confidential
Cloud Computing é seguro?
• Depende...
• Seguro comparado com o que? • Precisamos de
um contexto
font
e: s
xc.h
u!
14 Verisign Confidential
Computação em nuvem é um termo em evolução • Preocupação com segurança crescendo conforme surgem necessidades e incidentes específicos.
Computação em Nuvem
fonte: infosuck.org!
15 Verisign Confidential
Estratégia para Análise de Riscos
• Identificar o ativo para implantação na nuvem
• Entender as necessidades e os riscos
• Mapear o ativo com o modelo de implantação
• Avaliar os modelos de serviços e fornecedores
• Selecionar estratégias de mitigação
15!
fonte: sxc.hu!
16 Verisign Confidential
Riscos de Cloud Computing
• Cloud Computing herda vários riscos associados às tecnologias que utiliza
• Conjunto específico de atributos que tornam a análise de riscos mais complexa • Novos paradigmas • Detalhes obscuros do
CSP fonte: sxc.hu!
17 Verisign Confidential 17!
Riscos Tradicionais
“Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”!
18 Verisign Confidential 18!
Riscos Tradicionais
• Riscos : • Terceiros • Perda de governança • Aderência Regulatória • Acesso privilegiado • Usuário interno malicioso • Acesso físico ao ambiente
“Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”!
19 Verisign Confidential 19!
Riscos Tradicionais
• Riscos : • Novas vulnerabilidades e
gestão de atualizações • Acesso privilegiado • Comprometimento da
administração • Exaustão dos recursos
“Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”!
20 Verisign Confidential 20!
Riscos Tradicionais
• Riscos: • Novas vulnerabilidades • Acesso privilegiado • Segregação de dados • Roubo de dados • Recuperação
“Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”!
21 Verisign Confidential 21!
Riscos Tradicionais
• Riscos: • Disponibilidade • Performance • Interceptação de dados • DDoS
“Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”!
22 Verisign Confidential 22! Verisign Confidential
Novos riscos na Nuvem
23 Verisign Confidential
Novos paradigmas de segurança
• “Nuvem” significa perder parte do controle • Sem controles físicos
• Repensar a segurança de perímetro • Sem time de segurança dedicado
• Foco na estratégia de segurança
font
e: s
xc.h
u!
24 Verisign Confidential
Riscos
• Proteção dos dados • Práticas de gestão de dados do Cloud Provider • Múltiplas transferências de dados • Interceptação dos dados
• Em trânsito • Intra-nuvem
24!
Fonte: iDefense!
25 Verisign Confidential
Riscos
• Proteção dos dados • Práticas de gestão de dados do Cloud Provider • Múltiplas transferências de dados • Interceptação dos dados • Segregação dos dados • Remoção insegura ou incompleta
25!
Fonte: iDefense!
26 Verisign Confidential
Mitigação
• Proteção dos dados • Práticas de gestão de dados do Cloud Provider • Múltiplas transferências de dados • Interceptação dos dados • Segregação dos dados • Remoção insegura ou incompleta
• Mitigação • Criptografia de dados • Criptografia da comunicação • Avaliar os procedimentos do CSP • Auditoria e SLA
26!
Fonte: iDefense!
27 Verisign Confidential
Riscos
• Localização física dos dados • Localização e aspectos regulatórios • Regiões voláteis representam
maior risco • Governos hostis / sem ética e
risco de exposição dos dados
27!
28 Verisign Confidential
Mitigação
• Localização física dos dados • Localização e aspectos regulatórios • Regiões voláteis representam
maior risco • Governos hostis / sem ética e
risco de exposição dos dados
• Mitigação • Identificar a localização dos dados • Escolha CSPs que garantam a localização dos dados • Evite CSPs com data centers em países hostis • Use CSPs baseados no mesmo país
28!
29 Verisign Confidential
Riscos
• Disponibilidade • Exige conectividade constante • Perda de dados e risco de
downtime • Ataques DDoS globais
29!
Fonte: iDefense!
30 Verisign Confidential
Riscos
• Disponibilidade • Exige conectividade constante • Perda de dados e risco de
downtime • Ataques DDoS globais
30!
06/05/10!US Treasury site hit by attack on cloud host!Finextra.com!A US Treasury Web site has been suspended after its cloud computing host was hacked, redirecting users to a malicious site in the Ukraine. !
Fonte: iDefense!
31 Verisign Confidential
Mitigação
• Mitigação • Conhecer a infraestrutura
do CSP’s • Investimento na conexão
Internet local • Evitar pontos de falha • Private clouds • Service-level agreements (SLAs)
com os CSPs • Assuma pelo menos uma falha.
Qual o impacto?
31!
Fonte: iDefense!
32 Verisign Confidential
Riscos
• Portabilidade da Nuvem e “Lock-in” • Não existem padrões para
formato de dados, ferramentas e interfaces
• Como garantir portabilidade dos dados, aplicações e serviços?
• Alta dependência do CSP
32!
A!
B!
Apr. 30, 2009!Cloud Computing Forerunner Facing Bankruptcy!Eweek Europe!Cassatt, the infrastructure management software company started by BEA Systems founder Bill Coleman, is running out of money.!
33 Verisign Confidential
Open Cloud Manifesto
1. Cloud providers must … ensure that the challenges to cloud adoption … are addressed through open collaboration and the appropriate use of standards.
2. Cloud providers must not use their market position to lock customers …
3. Cloud providers must use and adopt existing standards wherever appropriate...
4. When new standards … are needed, … avoid creating too many standards.
5. Any community effort around the open cloud should be driven by customer needs...
Source: www.opencloudmanifesto.org!
Principles of an Open Cloud!
34 Verisign Confidential
Riscos
• Aspectos Legais • Leis no local do CSP
• Leis e regulamentações conflitantes • Compliance do CSP • Contrato com terceiros • Falha de compliance: riscos legais
34!
35 Verisign Confidential
Mitigação
• Aspectos Legais • Leis no local do CSP
• Leis e regulamentações conflitantes • Compliance do CSP • Contrato com terceiros • Falha de compliance: riscos legais
• Mitigação • Conheça suas obrigações • Conheça as obrigações do CSP • Contratos e SLA
35!
FISMA !HIPAA !SOX!PCI !SAS 70 Audits!
36 Verisign Confidential
Riscos
• Suporte Investigativo • Forense na “nuvem”? • Múltiplos clientes, logs agregados • Capacidade de resposta a incidentes • Dependência do CSP para dados
forenses e investigação
36!
37 Verisign Confidential
Mitigação
• Suporte Investigativo • Forense na “nuvem”? • Múltiplos clientes, logs agregados • Capacidade de resposta a incidentes • Dependência do CSP para dados
forenses e investigação
• Mitigação • Definir políticas e procedimentos com o CSP • Evite CSPs que não participem de uma investigação
37!
38 Verisign Confidential 38! Verisign Confidential
Conclusão
39 Verisign Confidential
Conclusão
• Segurança na “nuvem” não é muito diferente das necessidades “pré-nuvem”
• Cloud computing é fundamentalmente sobre cedendo controle • Controles de segurança x Vantagens para o
negócio • Segurança do CSP versus necessidade de
segurança
font
e: s
xc.h
u!
40 Verisign Confidential
Segurança de Cloud Computing
• Análise de Riscos é fundamental • Compare os Provedores de
Cloud • Faça auditoria e “due
diligence” • Adote estratégias de
mitigação
Fonte: vidadeprogramador.com.br!
41 Verisign Confidential
Previsão do Tempo
• Muitas nuvens a frente
• Sujeito a chuvas e
trovoadas esporádicas
• Tenha sempre um guarda-chuva próximo
fonte: Wikimedia Commons!
42 Verisign Confidential
Referências
• Cloud Security Alliance (CSA) http://www.cloudsecurityalliance.org
• Cloud Security Alliance – Capítulo Brasil https://chapters.cloudsecurityalliance.org/brazil
43 Verisign Confidential
Referências
• “Security Guidance for Critical Areas of Focus in Cloud Computing”http://www.cloudsecurityalliance.org/guidance/csaguide.pdf
• “Top Threats to Cloud Computing V1.0” http://www.cloudsecurityalliance.org/topthreats.html
• “CSA Cloud Controls Matrix V1.2” http://cloudsecurityalliance.org/cm.html
43!
44 Verisign Confidential
Referências
• NIST Cloud Computing Project http://csrc.nist.gov/groups/SNS/cloud-computing/index.html
• Relatório da ENISA “Cloud Computing: Benefits, risks and recommendations for information security http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment
• iDefense Topical Research Paper: “Cloud Computing”
44!
Thank You
© 2011 VeriSign, Inc. All rights reserved. VERISIGN and other trademarks, service marks, and designs are registered or unregistered trademarks of VeriSign, Inc. and its subsidiaries in the United States and in foreign countries. All other trademarks are property of their respective owners.
Verisign Confidential