SlideShare uma empresa Scribd logo

Vale Security Conference - 2011 - 15 - Anchises de Paula

Vale Security Conference, profile picture
Vale Security Conference

O documento aborda os riscos e falhas associados à computação em nuvem, destacando incidentes como a interrupção dos serviços da Amazon devido a erros de configuração. Ele explora as categorias de cloud computing e a evolução das necessidades de segurança, sugerindo estratégias de mitigação para proteger dados e garantir conformidade regulatória. A análise de riscos é apresentada como uma etapa fundamental para comparar provedores de cloud e garantir a segurança dos dados na nuvem.

Related topics:
Fog Computing InsightsCloud Computing Insights
1 de 45
Baixado 13 vezes
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
Fog Computing As falhas e riscos da Computação em Nuvem Anchises M. G. de Paula iDefense Intelligence Analyst adepaula@verisign.com 1 Verisign Confidential Verisign Confidential
#FAIL Mar. 13, 2010! Apr. 29, 2011! Car Crash Triggers Amazon Amazon cloud outage was Power Outage! triggered by configuration By Datacenter Knowledge! error! Amazonʼs EC2 cloud computing By Computerworld! service suffered its fourth power Amazon has released a detailed outage in a week on Tuesday, with postmortem and mea culpa about the some customers in its US East Region partial outage of its cloud services losing service for about an hour. The platform last week and identified the incident was triggered when a vehicle culprit: A configuration error made crashed into a utility pole near one of during a network upgrade. ! the companyʼs data centers, and a During this configuration change, a transfer switch failed to properly traffic shift "was executed 
 manage the 
 incorrectly," Amazon said (…).! shift from utility power to the 
 facilityʼs generators.! 2 Verisign Confidential
#FAIL Mesmo estando na Nuvem, seu site pode evaporar ? Picture source: sxc.hu! 3 Verisign Confidential
Agenda •  Overview - Cloud Computing fonte: sxc.hu! •  Conhecendo os riscos de Cloud Computing •  Novos riscos na Nuvem 4 Verisign Confidential
Overview de Cloud Computing 5 5! Verisign Confidential Verisign Confidential
Overview 20/1/10! •  Cloud Computing se Cloud Computing for tornou um termo popular Business and Society! em TI e negócios by Brad Smith, The Huffington Post! (…)! According to a recent survey conducted by Microsoft, more than 90 percent of Americans are using some form of cloud computing; nearly all of us are connected to the cloud. ! 6 6! Verisign Confidential
O que é Cloud Computing? “A style of computing where massively scalable IT- enabled capabilities are provided "as a service" to external customers using Internet technologies… … where the consumers of the services need only care about what the service does for them, not how it is implemented” Gartner! fonte: sxc.hu! 7 Verisign Confidential
Overview •  Cloud Computing representa uma mistura e evolução de várias 2008! tecnologias Cloud Computing! Software as a Service! 1990! Utility Computing! Grid Computing! fonte: Oxford ! 8 8! Verisign Confidential
Overview Fonte: iDefense! 9 Verisign Confidential
Overview •  Três categorias básicas de Cloud Computing: •  Infrastructure as a Service (IaaS) •  Platform as a Service (PaaS) •  Software as a Service (SaaS) 10! 10 Verisign Confidential
Overview §  Três categorias básicas de Cloud Computing:! Cliente! – Infrastructure as a Service (IaaS)! S ! E ! G U – Platform as a Service (PaaS)! R A N Ç A – Software as a Service (SaaS)! Provedor! 11! 11 Verisign Confidential
Conhecendo os Riscos de Cloud Computing 12 12! Verisign Confidential Verisign Confidential
Cloud Computing é seguro? •  Depende... •  Seguro comparado com o que? •  Precisamos de um contexto fonte: sxc.hu! 13 Verisign Confidential
Computação em Nuvem Computação em nuvem é um termo em evolução •  Preocupação com segurança crescendo conforme surgem necessidades e incidentes específicos. fonte: infosuck.org! 14 Verisign Confidential
Estratégia para Análise de Riscos •  Identificar o ativo para implantação na nuvem •  Entender as necessidades e os riscos •  Mapear o ativo com o modelo de implantação •  Avaliar os modelos de serviços e fornecedores •  Selecionar estratégias de mitigação fonte: sxc.hu! 15! 15 Verisign Confidential
Riscos de Cloud Computing •  Cloud Computing herda vários riscos associados às tecnologias que utiliza •  Conjunto específico de atributos que tornam a análise de riscos mais complexa •  Novos paradigmas •  Detalhes obscuros do CSP fonte: sxc.hu! 16 Verisign Confidential
Riscos Tradicionais “Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”! 17! 17 Verisign Confidential
Riscos Tradicionais “Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”! •  Riscos : •  Terceiros •  Perda de governança •  Aderência Regulatória •  Acesso privilegiado •  Usuário interno malicioso •  Acesso físico ao ambiente 18! 18 Verisign Confidential
Riscos Tradicionais “Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”! •  Riscos : •  Novas vulnerabilidades e gestão de atualizações •  Acesso privilegiado •  Comprometimento da administração •  Exaustão dos recursos 19! 19 Verisign Confidential
Riscos Tradicionais “Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”! •  Riscos: •  Novas vulnerabilidades •  Acesso privilegiado •  Segregação de dados •  Roubo de dados •  Recuperação 20! 20 Verisign Confidential
Riscos Tradicionais “Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”! •  Riscos: •  Disponibilidade •  Performance •  Interceptação de dados •  DDoS 21! 21 Verisign Confidential
Novos riscos na Nuvem 22 22! Verisign Confidential Verisign Confidential
Novos paradigmas de segurança •  “Nuvem” significa perder parte do controle •  Sem controles físicos •  Repensar a segurança de perímetro •  Sem time de segurança dedicado •  Foco na estratégia de segurança fonte: sxc.hu! 23 Verisign Confidential
Riscos •  Proteção dos dados •  Práticas de gestão de dados do Cloud Provider •  Múltiplas transferências de dados •  Interceptação dos dados •  Em trânsito •  Intra-nuvem Fonte: iDefense! 24! 24 Verisign Confidential
Riscos •  Proteção dos dados •  Práticas de gestão de dados do Cloud Provider •  Múltiplas transferências de dados •  Interceptação dos dados •  Segregação dos dados •  Remoção insegura ou incompleta Fonte: iDefense! 25! 25 Verisign Confidential
Mitigação •  Proteção dos dados •  Práticas de gestão de dados do Cloud Provider •  Múltiplas transferências de dados •  Interceptação dos dados •  Segregação dos dados •  Remoção insegura ou incompleta •  Mitigação •  Criptografia de dados •  Criptografia da comunicação •  Avaliar os procedimentos do CSP •  Auditoria e SLA Fonte: iDefense! 26! 26 Verisign Confidential
Riscos •  Localização física dos dados •  Localização e aspectos regulatórios •  Regiões voláteis representam maior risco •  Governos hostis / sem ética e risco de exposição dos dados 27! 27 Verisign Confidential
Mitigação •  Localização física dos dados •  Localização e aspectos regulatórios •  Regiões voláteis representam maior risco •  Governos hostis / sem ética e risco de exposição dos dados •  Mitigação •  Identificar a localização dos dados •  Escolha CSPs que garantam a localização dos dados •  Evite CSPs com data centers em países hostis •  Use CSPs baseados no mesmo país 28! 28 Verisign Confidential
Riscos •  Disponibilidade •  Exige conectividade constante •  Perda de dados e risco de downtime •  Ataques DDoS globais Fonte: iDefense! 29! 29 Verisign Confidential
Riscos •  Disponibilidade •  Exige conectividade constante •  Perda de dados e risco de downtime •  Ataques DDoS globais 06/05/10! US Treasury site hit by attack on cloud host! Finextra.com! A US Treasury Web site has been suspended after its cloud computing host was hacked, redirecting users to a malicious site in the Ukraine. ! Fonte: iDefense! 30! 30 Verisign Confidential
Mitigação •  Mitigação •  Conhecer a infraestrutura do CSP’s •  Investimento na conexão Internet local •  Evitar pontos de falha •  Private clouds •  Service-level agreements (SLAs) com os CSPs •  Assuma pelo menos uma falha. Qual o impacto? Fonte: iDefense! 31! 31 Verisign Confidential
Riscos •  Portabilidade da Nuvem e Apr. 30, 2009! “Lock-in” Cloud Computing •  Não existem padrões para Forerunner Facing formato de dados, Bankruptcy! ferramentas e interfaces Eweek Europe! Cassatt, the infrastructure management •  Como garantir portabilidade software company started by BEA dos dados, aplicações e Systems founder Bill Coleman, is running out of money.! serviços? •  Alta dependência do CSP A! B! 32! 32 Verisign Confidential
Open Cloud Manifesto Principles of an Open Cloud! 1.  Cloud providers must … ensure that the challenges to cloud adoption … are addressed through open collaboration and the appropriate use of standards. 2.  Cloud providers must not use their market position to lock customers … 3.  Cloud providers must use and adopt existing standards wherever appropriate... 4.  When new standards … are needed, … avoid creating too many standards. 5.  Any community effort around the open cloud should be driven by customer needs... Source: www.opencloudmanifesto.org! 33 Verisign Confidential
Riscos •  Aspectos Legais •  Leis no local do CSP •  Leis e regulamentações conflitantes •  Compliance do CSP •  Contrato com terceiros •  Falha de compliance: riscos legais 34! 34 Verisign Confidential
Mitigação •  Aspectos Legais •  Leis no local do CSP •  Leis e regulamentações conflitantes •  Compliance do CSP •  Contrato com terceiros •  Falha de compliance: riscos legais •  Mitigação FISMA ! •  Conheça suas obrigações HIPAA ! SOX! •  Conheça as obrigações do CSP PCI ! •  Contratos e SLA SAS 70 Audits! 35! 35 Verisign Confidential
Riscos •  Suporte Investigativo •  Forense na “nuvem”? •  Múltiplos clientes, logs agregados •  Capacidade de resposta a incidentes •  Dependência do CSP para dados forenses e investigação 36! 36 Verisign Confidential
Mitigação •  Suporte Investigativo •  Forense na “nuvem”? •  Múltiplos clientes, logs agregados •  Capacidade de resposta a incidentes •  Dependência do CSP para dados forenses e investigação •  Mitigação •  Definir políticas e procedimentos com o CSP •  Evite CSPs que não participem de uma investigação 37! 37 Verisign Confidential
Conclusão 38 38! Verisign Confidential Verisign Confidential
Conclusão •  Segurança na “nuvem” não é muito diferente das necessidades “pré-nuvem” •  Cloud computing é fundamentalmente sobre cedendo controle •  Controles de segurança x Vantagens para o negócio •  Segurança do CSP versus necessidade de segurança fonte: sxc.hu! 39 Verisign Confidential
Segurança de Cloud Computing •  Análise de Riscos é fundamental •  Compare os Provedores de Cloud •  Faça auditoria e “due diligence” •  Adote estratégias de mitigação Fonte: vidadeprogramador.com.br! 40 Verisign Confidential
Previsão do Tempo •  Muitas nuvens a frente •  Sujeito a chuvas e trovoadas esporádicas •  Tenha sempre um guarda-chuva próximo fonte: Wikimedia Commons! 41 Verisign Confidential
Referências •  Cloud Security Alliance (CSA) http://www.cloudsecurityalliance.org •  Cloud Security Alliance – Capítulo Brasil https://chapters.cloudsecurityalliance.org/brazil 42 Verisign Confidential
Referências •  “Security Guidance for Critical Areas of Focus in Cloud Computing” http://www.cloudsecurityalliance.org/guidance/csaguide.pdf •  “Top Threats to Cloud Computing V1.0” http://www.cloudsecurityalliance.org/topthreats.html •  “CSA Cloud Controls Matrix V1.2” http://cloudsecurityalliance.org/cm.html 43! 43 Verisign Confidential
Referências •  NIST Cloud Computing Project http://csrc.nist.gov/groups/SNS/cloud-computing/index.html •  Relatório da ENISA “Cloud Computing: Benefits, risks and recommendations for information security http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk- assessment •  iDefense Topical Research Paper: “Cloud Computing” 44! 44 Verisign Confidential
Thank You © 2011 VeriSign, Inc. All rights reserved. VERISIGN and other trademarks, service marks, and designs are registered or unregistered trademarks of VeriSign, Inc. and its subsidiaries in the United States and in foreign countries. All other trademarks are property of their respective owners. Verisign Confidential

Mais conteúdo relacionado

PDF
Fog Computing - Falhas e Riscos da Computação em Nuvem
Anchises Moraes
 
PPTX
Citrix transformando seu DC em nuvem
Nuno Alves
 
PDF
Infraestrutura de cloud computing
Fabio Leandro
 
PDF
Cloud conceitos, segurança e migração
Allen Informática
 
PDF
Multicloud Reality Test
Alex Hübner
 
PDF
Cloud Computing: Por Dentro da Nuvem
Alex Moura
 
PPT
Cloud Computing (Computação nas nuvens)
rennanf
 
PPTX
IBM Bluemix - The Digital Innovation Platform
Bruno Rodrigues Alcantara
 
Fog Computing - Falhas e Riscos da Computação em Nuvem
Anchises Moraes
 
Citrix transformando seu DC em nuvem
Nuno Alves
 
Infraestrutura de cloud computing
Fabio Leandro
 
Cloud conceitos, segurança e migração
Allen Informática
 
Multicloud Reality Test
Alex Hübner
 
Cloud Computing: Por Dentro da Nuvem
Alex Moura
 
Cloud Computing (Computação nas nuvens)
rennanf
 
IBM Bluemix - The Digital Innovation Platform
Bruno Rodrigues Alcantara
 

Mais procurados (20)

PDF
Mitos e verdades do cloud do Google: 1 ano de experiências no AppEngine
Sérgio Lopes
 
PDF
Cloudwalker - processamento distribuído em nuvem
Flávio Lisboa
 
PPT
Computação em nuvem
Thiago Rodrigues
 
PDF
Cloud como diferencial competitivo na redução de custos, agilidade e inovação
Amazon Web Services LATAM
 
PPTX
Computação nas nuvens
Rafael Castro
 
PPTX
Computacao em nuvem
Paulo Cobbe
 
PPTX
Bluemix overview karin noe - revisada - geral
Karin Noe
 
PDF
Entendendo a computação em nuvem
Leonardo Grandinetti Chaves
 
PDF
Computação em nuvem
Ricardo Martins ☁
 
PPTX
Cloud computing for dummies
Anchises Moraes
 
PDF
Apresentação Cloud Computing World Forum
Amazon Web Services LATAM
 
PDF
Computação em Nuvem
Ricardo Martins ☁
 
PDF
Artigo_Thiago_Lenz_versao2.3-Final
thiago.lenz
 
PDF
Cloud Computing - Computação em Nuvem
CompanyWeb
 
PPTX
Cloud Computing
Vaine Luiz Barreira, MBA
 
PDF
Artigo cloud computing pdf
Universidade de São Paulo (EEL USP)
 
PDF
Cloudbridge whitepape rportuguese
Nuno Alves
 
PDF
Cloud computing
Edson Yanaga
 
PDF
Cloud computing
Laís Berlatto
 
PDF
Uma Solução para Programabilidade de Redes baseada em Virtualização
Wanderson Paim
 
Mitos e verdades do cloud do Google: 1 ano de experiências no AppEngine
Sérgio Lopes
 
Cloudwalker - processamento distribuído em nuvem
Flávio Lisboa
 
Computação em nuvem
Thiago Rodrigues
 
Cloud como diferencial competitivo na redução de custos, agilidade e inovação
Amazon Web Services LATAM
 
Computação nas nuvens
Rafael Castro
 
Computacao em nuvem
Paulo Cobbe
 
Bluemix overview karin noe - revisada - geral
Karin Noe
 
Entendendo a computação em nuvem
Leonardo Grandinetti Chaves
 
Computação em nuvem
Ricardo Martins ☁
 
Cloud computing for dummies
Anchises Moraes
 
Apresentação Cloud Computing World Forum
Amazon Web Services LATAM
 
Computação em Nuvem
Ricardo Martins ☁
 
Artigo_Thiago_Lenz_versao2.3-Final
thiago.lenz
 
Cloud Computing - Computação em Nuvem
CompanyWeb
 
Cloud Computing
Vaine Luiz Barreira, MBA
 
Artigo cloud computing pdf
Universidade de São Paulo (EEL USP)
 
Cloudbridge whitepape rportuguese
Nuno Alves
 
Cloud computing
Edson Yanaga
 
Cloud computing
Laís Berlatto
 
Uma Solução para Programabilidade de Redes baseada em Virtualização
Wanderson Paim
 
Anúncio

Destaque (14)

PPTX
Silvina de negri ... copia
Bauti Aragon
 
PDF
Vale Security Conference - 2011 - 13 - Nelson Brito
Vale Security Conference
 
PPTX
Practico 10
Bauti Aragon
 
PPSX
2013 CV - Amy Lucas
amyroselucas
 
PPTX
MI PRESENTACIÓN
madaleti
 
PDF
Vale Security Conference - 2011 - 3 - Rener Alberto (Gr1nch) [DC Labs]
Vale Security Conference
 
PPTX
Presentación slideshare
madaleti
 
PPTX
Assignment 2
jhanauska
 
PPTX
Presentación slideshare
madaleti
 
PPTX
Politics ppt
cejanes
 
PPTX
Politics ppt
cejanes
 
PPS
Legal realism
keziahutabarat
 
PDF
Zocalo jap
Gerson Mecalco
 
PPTX
The Coming Wave Of Debt Maturities
bsalzer
 
Silvina de negri ... copia
Bauti Aragon
 
Vale Security Conference - 2011 - 13 - Nelson Brito
Vale Security Conference
 
Practico 10
Bauti Aragon
 
2013 CV - Amy Lucas
amyroselucas
 
MI PRESENTACIÓN
madaleti
 
Vale Security Conference - 2011 - 3 - Rener Alberto (Gr1nch) [DC Labs]
Vale Security Conference
 
Presentación slideshare
madaleti
 
Assignment 2
jhanauska
 
Presentación slideshare
madaleti
 
Politics ppt
cejanes
 
Politics ppt
cejanes
 
Legal realism
keziahutabarat
 
Zocalo jap
Gerson Mecalco
 
The Coming Wave Of Debt Maturities
bsalzer
 
Anúncio

Semelhante a Vale Security Conference - 2011 - 15 - Anchises de Paula (20)

PDF
Cloud Computing - Security in the Cloud
Alexandro Silva
 
PDF
Cloud Computing - Conceitos e Riscos
Anchises Moraes
 
PDF
CSABR - Cloud Computing: Entendendo os Riscos no Horizonte 20110718 IDETI
Anchises Moraes
 
PDF
Cloud computing
Roney Médice
 
PPT
Apresentação cloud computing senac
frank encarnacão
 
PDF
Cloud computing, Grid Computing, Virtualization
Adário Muatelembe
 
PDF
Introdução a Cloud Computing
Frederico Madeira
 
PPT
Computação em Nuvem - Cloud Computing
Allan Reis
 
PDF
Cloud Computing - Conceitos e Aplicações Práticas
Rafael Bandeira
 
PDF
Segurança Em Computaçao Na Nuvem
Javier Antonio Humarán Peñuñuri
 
PDF
Cloud Computing
Ana Carolina Gracioso
 
PDF
COMPUTAÇÃO EM NUVEM: ESTUDO DE CASO EM UMA EMPRESA DE TECNOLOGIA DA INFORMAÇÃO
Allan Reis
 
ODP
Could Computing
Paulo Roggê
 
PDF
Cloud computing
Elaine Cecília Gatto
 
PDF
Computação em Nuvem: Futuro e Desafios
Leo Goldim
 
PDF
O que é cloud computing (computação nas nuvens)
Rohan Bernartt
 
PDF
Riscos de segurança em cloud computing - Parte 4
Fristtram Helder Fernandes
 
PDF
Cloud Computing: uma abordagem objetiva sobre o novo ambiente computacional
José Morelli Neto
 
PDF
Palestra cloud-computing
Naptec
 
PDF
Introdução à Computação em Nuvem
TonyEsa
 
Cloud Computing - Security in the Cloud
Alexandro Silva
 
Cloud Computing - Conceitos e Riscos
Anchises Moraes
 
CSABR - Cloud Computing: Entendendo os Riscos no Horizonte 20110718 IDETI
Anchises Moraes
 
Cloud computing
Roney Médice
 
Apresentação cloud computing senac
frank encarnacão
 
Cloud computing, Grid Computing, Virtualization
Adário Muatelembe
 
Introdução a Cloud Computing
Frederico Madeira
 
Computação em Nuvem - Cloud Computing
Allan Reis
 
Cloud Computing - Conceitos e Aplicações Práticas
Rafael Bandeira
 
Segurança Em Computaçao Na Nuvem
Javier Antonio Humarán Peñuñuri
 
Cloud Computing
Ana Carolina Gracioso
 
COMPUTAÇÃO EM NUVEM: ESTUDO DE CASO EM UMA EMPRESA DE TECNOLOGIA DA INFORMAÇÃO
Allan Reis
 
Could Computing
Paulo Roggê
 
Cloud computing
Elaine Cecília Gatto
 
Computação em Nuvem: Futuro e Desafios
Leo Goldim
 
O que é cloud computing (computação nas nuvens)
Rohan Bernartt
 
Riscos de segurança em cloud computing - Parte 4
Fristtram Helder Fernandes
 
Cloud Computing: uma abordagem objetiva sobre o novo ambiente computacional
José Morelli Neto
 
Palestra cloud-computing
Naptec
 
Introdução à Computação em Nuvem
TonyEsa
 

Mais de Vale Security Conference (7)

PDF
Vale Security Conference - 2011 - 17 - Rodrigo Rubira Branco (BSDaemon)
Vale Security Conference
 
PDF
Vale Security Conference - 2011 - 11 - Fernando Mercês [Octane Labs] [Coding ...
Vale Security Conference
 
PDF
Vale Security Conference - 2011 - 5 - Luiz Eduardo
Vale Security Conference
 
PDF
Vale Security Conference - 2011 - 2 - Dr. Emerson Wendt
Vale Security Conference
 
PDF
Vale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference
 
PDF
Vale Security Conference - 2011 - 6 - Thiago Bordini
Vale Security Conference
 
PDF
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
Vale Security Conference
 
Vale Security Conference - 2011 - 17 - Rodrigo Rubira Branco (BSDaemon)
Vale Security Conference
 
Vale Security Conference - 2011 - 11 - Fernando Mercês [Octane Labs] [Coding ...
Vale Security Conference
 
Vale Security Conference - 2011 - 5 - Luiz Eduardo
Vale Security Conference
 
Vale Security Conference - 2011 - 2 - Dr. Emerson Wendt
Vale Security Conference
 
Vale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference
 
Vale Security Conference - 2011 - 6 - Thiago Bordini
Vale Security Conference
 
Vale Security Conference - 2011 - 14 - Alexandro Silva (Alexos) [DC Labs]
Vale Security Conference
 

Vale Security Conference - 2011 - 15 - Anchises de Paula

  • 1. Fog Computing As falhas e riscos da Computação em Nuvem Anchises M. G. de Paula iDefense Intelligence Analyst adepaula@verisign.com 1 Verisign Confidential Verisign Confidential
  • 2. #FAIL Mar. 13, 2010! Apr. 29, 2011! Car Crash Triggers Amazon Amazon cloud outage was Power Outage! triggered by configuration By Datacenter Knowledge! error! Amazonʼs EC2 cloud computing By Computerworld! service suffered its fourth power Amazon has released a detailed outage in a week on Tuesday, with postmortem and mea culpa about the some customers in its US East Region partial outage of its cloud services losing service for about an hour. The platform last week and identified the incident was triggered when a vehicle culprit: A configuration error made crashed into a utility pole near one of during a network upgrade. ! the companyʼs data centers, and a During this configuration change, a transfer switch failed to properly traffic shift "was executed 
 manage the 
 incorrectly," Amazon said (…).! shift from utility power to the 
 facilityʼs generators.! 2 Verisign Confidential
  • 3. #FAIL Mesmo estando na Nuvem, seu site pode evaporar ? Picture source: sxc.hu! 3 Verisign Confidential
  • 4. Agenda •  Overview - Cloud Computing fonte: sxc.hu! •  Conhecendo os riscos de Cloud Computing •  Novos riscos na Nuvem 4 Verisign Confidential
  • 5. Overview de Cloud Computing 5 5! Verisign Confidential Verisign Confidential
  • 6. Overview 20/1/10! •  Cloud Computing se Cloud Computing for tornou um termo popular Business and Society! em TI e negócios by Brad Smith, The Huffington Post! (…)! According to a recent survey conducted by Microsoft, more than 90 percent of Americans are using some form of cloud computing; nearly all of us are connected to the cloud. ! 6 6! Verisign Confidential
  • 7. O que é Cloud Computing? “A style of computing where massively scalable IT- enabled capabilities are provided "as a service" to external customers using Internet technologies… … where the consumers of the services need only care about what the service does for them, not how it is implemented” Gartner! fonte: sxc.hu! 7 Verisign Confidential
  • 8. Overview •  Cloud Computing representa uma mistura e evolução de várias 2008! tecnologias Cloud Computing! Software as a Service! 1990! Utility Computing! Grid Computing! fonte: Oxford ! 8 8! Verisign Confidential
  • 9. Overview Fonte: iDefense! 9 Verisign Confidential
  • 10. Overview •  Três categorias básicas de Cloud Computing: •  Infrastructure as a Service (IaaS) •  Platform as a Service (PaaS) •  Software as a Service (SaaS) 10! 10 Verisign Confidential
  • 11. Overview §  Três categorias básicas de Cloud Computing:! Cliente! – Infrastructure as a Service (IaaS)! S ! E ! G U – Platform as a Service (PaaS)! R A N Ç A – Software as a Service (SaaS)! Provedor! 11! 11 Verisign Confidential
  • 12. Conhecendo os Riscos de Cloud Computing 12 12! Verisign Confidential Verisign Confidential
  • 13. Cloud Computing é seguro? •  Depende... •  Seguro comparado com o que? •  Precisamos de um contexto fonte: sxc.hu! 13 Verisign Confidential
  • 14. Computação em Nuvem Computação em nuvem é um termo em evolução •  Preocupação com segurança crescendo conforme surgem necessidades e incidentes específicos. fonte: infosuck.org! 14 Verisign Confidential
  • 15. Estratégia para Análise de Riscos •  Identificar o ativo para implantação na nuvem •  Entender as necessidades e os riscos •  Mapear o ativo com o modelo de implantação •  Avaliar os modelos de serviços e fornecedores •  Selecionar estratégias de mitigação fonte: sxc.hu! 15! 15 Verisign Confidential
  • 16. Riscos de Cloud Computing •  Cloud Computing herda vários riscos associados às tecnologias que utiliza •  Conjunto específico de atributos que tornam a análise de riscos mais complexa •  Novos paradigmas •  Detalhes obscuros do CSP fonte: sxc.hu! 16 Verisign Confidential
  • 17. Riscos Tradicionais “Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”! 17! 17 Verisign Confidential
  • 18. Riscos Tradicionais “Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”! •  Riscos : •  Terceiros •  Perda de governança •  Aderência Regulatória •  Acesso privilegiado •  Usuário interno malicioso •  Acesso físico ao ambiente 18! 18 Verisign Confidential
  • 19. Riscos Tradicionais “Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”! •  Riscos : •  Novas vulnerabilidades e gestão de atualizações •  Acesso privilegiado •  Comprometimento da administração •  Exaustão dos recursos 19! 19 Verisign Confidential
  • 20. Riscos Tradicionais “Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”! •  Riscos: •  Novas vulnerabilidades •  Acesso privilegiado •  Segregação de dados •  Roubo de dados •  Recuperação 20! 20 Verisign Confidential
  • 21. Riscos Tradicionais “Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”! •  Riscos: •  Disponibilidade •  Performance •  Interceptação de dados •  DDoS 21! 21 Verisign Confidential
  • 22. Novos riscos na Nuvem 22 22! Verisign Confidential Verisign Confidential
  • 23. Novos paradigmas de segurança •  “Nuvem” significa perder parte do controle •  Sem controles físicos •  Repensar a segurança de perímetro •  Sem time de segurança dedicado •  Foco na estratégia de segurança fonte: sxc.hu! 23 Verisign Confidential
  • 24. Riscos •  Proteção dos dados •  Práticas de gestão de dados do Cloud Provider •  Múltiplas transferências de dados •  Interceptação dos dados •  Em trânsito •  Intra-nuvem Fonte: iDefense! 24! 24 Verisign Confidential
  • 25. Riscos •  Proteção dos dados •  Práticas de gestão de dados do Cloud Provider •  Múltiplas transferências de dados •  Interceptação dos dados •  Segregação dos dados •  Remoção insegura ou incompleta Fonte: iDefense! 25! 25 Verisign Confidential
  • 26. Mitigação •  Proteção dos dados •  Práticas de gestão de dados do Cloud Provider •  Múltiplas transferências de dados •  Interceptação dos dados •  Segregação dos dados •  Remoção insegura ou incompleta •  Mitigação •  Criptografia de dados •  Criptografia da comunicação •  Avaliar os procedimentos do CSP •  Auditoria e SLA Fonte: iDefense! 26! 26 Verisign Confidential
  • 27. Riscos •  Localização física dos dados •  Localização e aspectos regulatórios •  Regiões voláteis representam maior risco •  Governos hostis / sem ética e risco de exposição dos dados 27! 27 Verisign Confidential
  • 28. Mitigação •  Localização física dos dados •  Localização e aspectos regulatórios •  Regiões voláteis representam maior risco •  Governos hostis / sem ética e risco de exposição dos dados •  Mitigação •  Identificar a localização dos dados •  Escolha CSPs que garantam a localização dos dados •  Evite CSPs com data centers em países hostis •  Use CSPs baseados no mesmo país 28! 28 Verisign Confidential
  • 29. Riscos •  Disponibilidade •  Exige conectividade constante •  Perda de dados e risco de downtime •  Ataques DDoS globais Fonte: iDefense! 29! 29 Verisign Confidential
  • 30. Riscos •  Disponibilidade •  Exige conectividade constante •  Perda de dados e risco de downtime •  Ataques DDoS globais 06/05/10! US Treasury site hit by attack on cloud host! Finextra.com! A US Treasury Web site has been suspended after its cloud computing host was hacked, redirecting users to a malicious site in the Ukraine. ! Fonte: iDefense! 30! 30 Verisign Confidential
  • 31. Mitigação •  Mitigação •  Conhecer a infraestrutura do CSP’s •  Investimento na conexão Internet local •  Evitar pontos de falha •  Private clouds •  Service-level agreements (SLAs) com os CSPs •  Assuma pelo menos uma falha. Qual o impacto? Fonte: iDefense! 31! 31 Verisign Confidential
  • 32. Riscos •  Portabilidade da Nuvem e Apr. 30, 2009! “Lock-in” Cloud Computing •  Não existem padrões para Forerunner Facing formato de dados, Bankruptcy! ferramentas e interfaces Eweek Europe! Cassatt, the infrastructure management •  Como garantir portabilidade software company started by BEA dos dados, aplicações e Systems founder Bill Coleman, is running out of money.! serviços? •  Alta dependência do CSP A! B! 32! 32 Verisign Confidential
  • 33. Open Cloud Manifesto Principles of an Open Cloud! 1.  Cloud providers must … ensure that the challenges to cloud adoption … are addressed through open collaboration and the appropriate use of standards. 2.  Cloud providers must not use their market position to lock customers … 3.  Cloud providers must use and adopt existing standards wherever appropriate... 4.  When new standards … are needed, … avoid creating too many standards. 5.  Any community effort around the open cloud should be driven by customer needs... Source: www.opencloudmanifesto.org! 33 Verisign Confidential
  • 34. Riscos •  Aspectos Legais •  Leis no local do CSP •  Leis e regulamentações conflitantes •  Compliance do CSP •  Contrato com terceiros •  Falha de compliance: riscos legais 34! 34 Verisign Confidential
  • 35. Mitigação •  Aspectos Legais •  Leis no local do CSP •  Leis e regulamentações conflitantes •  Compliance do CSP •  Contrato com terceiros •  Falha de compliance: riscos legais •  Mitigação FISMA ! •  Conheça suas obrigações HIPAA ! SOX! •  Conheça as obrigações do CSP PCI ! •  Contratos e SLA SAS 70 Audits! 35! 35 Verisign Confidential
  • 36. Riscos •  Suporte Investigativo •  Forense na “nuvem”? •  Múltiplos clientes, logs agregados •  Capacidade de resposta a incidentes •  Dependência do CSP para dados forenses e investigação 36! 36 Verisign Confidential
  • 37. Mitigação •  Suporte Investigativo •  Forense na “nuvem”? •  Múltiplos clientes, logs agregados •  Capacidade de resposta a incidentes •  Dependência do CSP para dados forenses e investigação •  Mitigação •  Definir políticas e procedimentos com o CSP •  Evite CSPs que não participem de uma investigação 37! 37 Verisign Confidential
  • 38. Conclusão 38 38! Verisign Confidential Verisign Confidential
  • 39. Conclusão •  Segurança na “nuvem” não é muito diferente das necessidades “pré-nuvem” •  Cloud computing é fundamentalmente sobre cedendo controle •  Controles de segurança x Vantagens para o negócio •  Segurança do CSP versus necessidade de segurança fonte: sxc.hu! 39 Verisign Confidential
  • 40. Segurança de Cloud Computing •  Análise de Riscos é fundamental •  Compare os Provedores de Cloud •  Faça auditoria e “due diligence” •  Adote estratégias de mitigação Fonte: vidadeprogramador.com.br! 40 Verisign Confidential
  • 41. Previsão do Tempo •  Muitas nuvens a frente •  Sujeito a chuvas e trovoadas esporádicas •  Tenha sempre um guarda-chuva próximo fonte: Wikimedia Commons! 41 Verisign Confidential
  • 42. Referências •  Cloud Security Alliance (CSA) http://www.cloudsecurityalliance.org •  Cloud Security Alliance – Capítulo Brasil https://chapters.cloudsecurityalliance.org/brazil 42 Verisign Confidential
  • 43. Referências •  “Security Guidance for Critical Areas of Focus in Cloud Computing” http://www.cloudsecurityalliance.org/guidance/csaguide.pdf •  “Top Threats to Cloud Computing V1.0” http://www.cloudsecurityalliance.org/topthreats.html •  “CSA Cloud Controls Matrix V1.2” http://cloudsecurityalliance.org/cm.html 43! 43 Verisign Confidential
  • 44. Referências •  NIST Cloud Computing Project http://csrc.nist.gov/groups/SNS/cloud-computing/index.html •  Relatório da ENISA “Cloud Computing: Benefits, risks and recommendations for information security http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk- assessment •  iDefense Topical Research Paper: “Cloud Computing” 44! 44 Verisign Confidential
  • 45. Thank You © 2011 VeriSign, Inc. All rights reserved. VERISIGN and other trademarks, service marks, and designs are registered or unregistered trademarks of VeriSign, Inc. and its subsidiaries in the United States and in foreign countries. All other trademarks are property of their respective owners. Verisign Confidential