Post on 18-Nov-2014
description
1
Computação em Nuvem Oportunidades e Riscos de Segurança
Anchises M. G. De Paula Membro, CSA Brasil
2
– O que é Computação em Nuvem – Oportunidades de Segurança – Principais categorias de Riscos – Sete principais ameaças – Cloud Security Alliance
Agenda
3
CLOUD COMPUTING O que é Computação em Nuvem
4
Computação em nuvem é um termo em evolução – Separa as aplicações e os recursos de informação de sua infraestrutura básica, e os mecanismos uMlizados para entregá-‐los. – Uso de uma coleção de serviços, aplicações, informação e infraestrutura composta por pools de recursos computacionais, de rede, de informação e de armazenamento. – Estes componentes podem ser rapidamente organizados, provisionados, implementados, desaMvados, e escalados para cima ou para baixo, provendo um modelo de alocação e consumo baseado na demanda de recursos.
Computação em Nuvem
5
Vantagens
– Realça a colaboração, agilidade, escalabilidade e disponibilidade – Potencial para redução de custos através de computação eficiente e oMmizada – Eficiência de custos pelas economias de escala, reuMlização e padronização
Computação em Nuvem
fonte: sxc.hu
6
Computação em Nuvem
7
Modelos de Referência – Relações e dependências entre os modelos de Computação em Nuvem
– CaracterísMcas são herdadas
– Também são herdadas as questões de segurança da informação e o risco
Computação em Nuvem
8
SEGURANÇA Oportunidades de Segurança
9
– Computação em Nuvem não é mais ou menos segura
– Os controles de segurança para Computação em Nuvem não são diferentes dos controles de segurança para qualquer ambiente de TI.
Considerações de Segurança
10
Modelo de Referência de Segurança em Nuvem – A forma como os serviços de nuvem são implantados versus onde eles são fornecidos – A maneira como os serviços de nuvem são consumidos – Reperimetrização e erosão de fronteiras de confiança – Cloud Cube Model
• ofertas de nuvem disponíveis • quatro critérios/dimensões
Segurança da Computação em Nuvem
11
Mapeando o Modelo de Nuvem para o Modelo de Controles de Segurança & Conformidade
Segurança da Computação em Nuvem
12
Infrastructure as a Service (IaaS) Pladorm as a Service (PaaS) Soeware as a Service (SaaS)
Segurança da Computação em Nuvem
S E G U R A N Ç A
Provedor
Cliente
13
RISCOS Riscos na adoção da Computação em Nuvem
14
– Computação em Nuvem cria novos riscos e novas oportunidades
– Oportunidade de reestruturar aplicações anMgas
Riscos de Segurança
15
– IdenMficar o aMvo para implantação na nuvem – Avaliar o aMvo – Mapear o aMvo com modelo de implantação – Avaliar potenciais modelos de serviços – Esboçar o potencial fluxo de dados
Análise de Riscos
16
Security Guidance for CriMcal Areas of Focus in Cloud CompuMng v. 2.1 – Referência para análise dos riscos hip://www.cloudsecurityalliance.org/guidance/csaguide.pdf
Top Threats to Cloud CompuMng V1.0 – Sete principais riscos hip://www.cloudsecurityalliance.org/topthreats.html
Riscos de Computação em Nuvem
17
13 Domínios 03 Macro Seções: – Arquitetura – Governança – Operações
Security Guidance
18
– Seção: Governança – Compreende na capacidade de uma organização para governar e medir o risco empresarial introduzido pela Computação em Nuvem – Responsabilidade para proteger dados sensíveis no caso de provedor e usuário falhar – Como essas questões são afetadas por fronteiras internacionais
Security Guidance: Governança e Gestão de Riscos Corpora@vos
19
– Seção: Governança – Compreende nos problemas legais em potencial ao se uMlizar Computação em Nuvem – Requisitos de proteção da informação – Requisitos regulatórios – Leis internacionais
Security Guidance: Aspectos Legais e Electronic Discovery
20
– Seção: Governança – Compreende na manutenção e comprovação de conformidade ao se fazer uso da Computação em Nuvem – Como a Computação em Nuvem afeta o cumprimento de políMcas de segurança interna e diversos requisitos de conformidade (regulatórios, legislaMvos, entre outros) – Orientações para comprovar a conformidade no caso de auditoria
Security Guidance: Conformidade e Auditoria
21
– Seção: Governança – Compreende no gereciamento dos dados que são colocados na Nuvem – Controles compensatórios para lidar com a perda de controle lsico – Responsável pela confidencialidade, integridade e disponibilidade
Security Guidance: Gerenciamento do Ciclo de Vida das Informações
22
– Seção: Governança – Compreende na habilidade de mover dados e/ou serviços de um provedor para outro ou totalmente de volta para a empresa – Interoperabilidade entre fornecedores
Security Guidance: Portabilidade e Interoperabilidade
23
– Seção: Operações – Descreve como a Computação em Nuvem afeta os processos e procedimentos operacionais usados atualmente em BCP e DRP – Aborda sobre como ajudar a idenMficar onde a Computação em Nuvem pode ajudar a diminuir certos riscos, ou implica em aumento dos riscos
Security Guidance: Segurança Tradicional, Cont. de Negócios e Rec. Desastres
24
– Seção: Operações – Descreve como avaliar a arquitetura e a operação de um fornecedor de Data Center – Focado principalmente em ajudar a idenMficar caracterísMcas de data centers que podem ser prejudiciais e as fundamentais para estabilidade a longo prazo
Security Guidance: Operações e Data Center
25
– Seção: Operações – Aborda a correta e adequada detecção de incidentes, resposta, noMficação e correção – Aborda itens tanto no nível de prestadores de serviços e consumidores – Forense computacional – Ajudar a compreender as diferenças na abordagem do sistema de gestão de incidentes atual
Security Guidance: Resposta a Incidente, No@ficação e Remediação
26
– Seção: Operações – Descreve modos de proteger a aplicação que está sendo executada ou desenvolvida na nuvem – É apropriado migrar ou projetar uma aplicação na nuvem? – Qual melhor modelo (SaaS, PaaS ou IaaS) ?
Security Guidance: Segurança de Aplicações
27
– Seção: Operações – DiscuMr por que é necessário – IdenMficar questões que surgem com a uMlização, seja para proteger o acesso aos recursos ou para proteger os dados
Security Guidance: Criptografia e Gerenciamento de Chaves
28
– Seção: Operações – Foco em questões encontradas quando se estende a idenMdade de uma organização para Nuvem – Fornece insights para avaliar a capacidade da organização para realizar a gestão de idenMdade e acesso baseados na Nuvem
Security Guidance: Gerenciamento de Iden@dade e Acesso
29
– Seção: Operações – Descreve o uso da Virtualização em Computação em Nuvem – Aborda riscos associados com mulMlocação – Isolamento de VMs – Vulnerabilidades em Hypervisor – Foca nas questões de segurança em torno do sistema/hardware de virtualização
Security Guidance: Virtualização
30
PRINCIPAIS AMEAÇAS Sete principais ameaças na adoção da Computação em Nuvem
31
Abuso e uso Malicioso de Computação em Nuvem – Qualquer pessoa com um cartão de crédito válido pode se registrar e usar os serviços em nuvem
• Spammers, autores de códigos maliciosos e criminosos • Uso anônimo e impune
– Usos maliciosos • Quebra de senhas • Realizar ataques (ex: DDoS) • Hospedar dados maliciosos • Controle de botnets
Principais Riscos Para Computação em Nuvem
IaaS PaaS SaaS
CSA Guidance: Domínios 8 e 9
32
Interfaces e APIs Inseguras – Segurança e disponibilidade dos serviços na nuvem são dependentes das interfaces e APIs de gerenciamento – Falhas acidentais ou mal intencionadas – Complexidade
• Serviços desconhecidos – Controle de acesso
• Acessos anônonimos • Senhas e dados trafegados em aberto
Principais Riscos Para Computação em Nuvem
IaaS PaaS SaaS
CSA Guidance: Domínio 10
33
Usuários Internos Maliciosos – Ameaça amplificada
• Convergência de serviços e usuários • Falta de transparência do provedor • Funcionários do provedor • Baixo risco de detecção
– Potenciais ameaças • Concorrentes • Espionagem • Hackers
Principais Riscos Para Computação em Nuvem
IaaS PaaS SaaS
CSA Guidance: Domínios 2 e 7
34
Uso de Tecnologias de ComparMlhamento – Forte isolamento em ambientes mulM-‐locatários – Falhas no sistema de controle (hypervisor)
• Sistemas virtuais podem ter acesso ao sistema hospedeiro • Falha nos controles e isolamento
– Clientes não devem ter acesso a dados de outros clientes
• Dados atuais ou residuais • Tráfego de rede
Principais Riscos Para Computação em Nuvem
IaaS PaaS SaaS
CSA Guidance: Domínios 8 e 13
35
Perda ou Vazamento de Dados – Pode ser devastados para uma empresa – Arquitetura e ambiente da Nuvem aumenta os riscos
• Falha nos controles de autenMcação, autorização e auditoria (AAA) • Falhas operacionais • Persistência e remanescência dos dados • Jurisdição • Disponibilidade do provedor
Principais Riscos Para Computação em Nuvem
IaaS PaaS SaaS
CSA Guidance: Domínios 5, 11 e 12
36
Sequestro de Serviço ou de Conta – Roubo de credenciais
• Phishing, fraude ou exploração de falhas – Acesso indevido a Nuvem
• Acessar dados e transações • Manipulação dos dados • Redirecionar usuários para outros sites
Principais Riscos Para Computação em Nuvem
IaaS PaaS SaaS
CSA Guidance: Domínios 2, 9 e 12
37
Riscos Desconhecidos – Na Computação em Nuvem, as empresas abrem mão da gestão do hardware e do soeware para focar no negócio
• Segurança por obscuridade e baixo esforço • Perde controles de segurança
– Detalhes de operação e compliance do fornecedor • Versão de soeware e atualização de código • Com quem você comparMlha a infra-‐estrutura • TentaMvas de ataque • Guarda de logs
Principais Riscos Para Computação em Nuvem
IaaS PaaS SaaS
CSA Guidance: Domínios 2, 3, 8 e 9
38
CLOUD SECURITY ALLIANCE Apresentação CSA Brasil
39
CSA: Overview
– Associação sem fins lucraMvos – Idealizada durante o ISSA CISO Forum em Novembro de 2008 – Oficializada em Dezembro de 2008 – Primeiro Whitepaper na RSA Conference em 2009 – +12mil Membros – Presente em 06 países através de Chapters locais
40
To promote the use of best pracMces for providing security assurance within Cloud CompuMng, and provide educaMon on the uses of Cloud CompuMng to help secure all other forms of compuMng.
CSA: Missão
fonte: sxc.hu
41
– Promote a common level of understanding between the consumers and providers of cloud compuMng regarding the necessary security requirements and aiestaMon of assurance – Promote independent research into best pracMces for cloud compuMng security – Launch awareness campaigns and educaMonal programs on the appropriate uses of cloud compuMng and cloud security soluMons – Create consensus lists of issues and guidance for cloud security assurance
CSA: Obje@vos
42
CSA Brasil: Overview
– Segundo Chapter oficial da CSA – Oficializado em 27 de Maio de 2010 – 97 Membros – Board: Leonardo Goldim; Anchises Moraes, Jaime OrMs y Lugo, Jordan Bonagura, Olympio Renno – Segue Missão e ObjeMvos da CSA Global
43
– Voltada para profissionais – Disponível desde 01 de Setembro – Realizada online – US$ 295, até 31 de Dezembro US$ 195 – Baseada no Guia de Boas PráMcas da CSA e nos estudos da Enisa sobre gestão de riscos na Nuvem – CCSK Study Guide – Relacionada a versão do Guia, não expira – 4 profissionais no Brasil
Projetos CCSK
44
Pessoa Física – ParMcipação no grupo do LinkedIN – ParMcipação nas listas de discussões dos projetos (csabrasil – Yahoo Grupos) – Sem custo
Pessoa Jurídica – Contato diretamente com a CSA – Taxa anual
Como se Associar CSA / CSA Brasil
45
• NIST Cloud CompuMng Project hUp://csrc.nist.gov/groups/SNS/cloud-‐compu@ng/index.html
• Relatório da ENISA “Cloud CompuMng: Benefits, risks and recommendaMons for informaMon security” hUp://www.enisa.europa.eu/act/rm/files/deliverables/cloud-‐
compu@ng-‐risk-‐assessment
Referências
45
46
Referências
• “CSA Cloud Controls Matrix V1” – Lançado em 27 de Abril 27, 2010 – hip://www.cloudsecurityalliance.org/cm.html
46
47
Anchises M. G. de Paula Membro da CSA Brasil anchisesbr@gmail.com
hip://br.cloudsecurityalliance.org hip://www.cloudsecurityalliance.org
Obrigado