CSABR - Cloud Computing: Entendendo os Riscos no Horizonte 20110718 IDETI

1

Computação em Nuvem Entendendo os Riscos no Horizonte

Anchises M. G. De Paula Diretor, CSA Brasil Analista de Inteligência, Verisign

2

–  Porque segurança em Computação em Nuvem? –  Principais Riscos –  Principais ameaças

Agenda

3

CLOUD COMPUTING SECURITY Porque segurança em Computação em Nuvem?

4

Computação em nuvem é um conceito em evolução –  Preocupação com segurança crescendo –  Necessidades e incidentes específicos.

Computação em Nuvem

fonte: infosuck.org

5

Cloud Compu3ng é seguro?

•  Depende...

•  Seguro comparado com o que? –  Precisamos de um contexto

fonte: sx

c.hu

6

–  Computação em Nuvem não é mais ou menos segura

–  Os controles de segurança para Computação em Nuvem não são diferentes dos controles de segurança para qualquer ambiente de TI.

Considerações de Segurança

fonte: sxc.hu

7

Modelo de Referência –  Relações e dependências entre os modelos de Computação em Nuvem

–  CaracterísXcas são herdadas

–  Também são herdadas as questões de segurança da informação e o risco

Computação em Nuvem

fonte: CSA

8

Segurança da Computação em Nuvem

S E G U R A N Ç A

Cliente

Provedor

fonte: CSA

9

Como integrar a segurança

fonte: CSA

10

•  IdenXficar o aXvo para implantação na nuvem

•  Entender as necessidades e os riscos

•  Mapear o aXvo com o modelo de implantação

•  Avaliar os modelos de serviços e fornecedores

•  Selecionar estratégias de miXgação

Estratégia para Análise de Riscos

fonte: sxc.hu

11

Mapear o Modelo de Nuvem para o Modelo de Controles de Segurança & Conformidade

Segurança da Computação em Nuvem

fonte: CSA

12

NOVOS RISCOS Riscos na adoção da Computação em Nuvem

13

Riscos de Cloud Compu3ng

•  Computação em Nuvem cria novos riscos e novas oportunidades

2/22/10 El 68% de los CIO europeos considera la seguridad como el principal inconveniente del cloud compuEng by Segu.info Según un informe de Colt entre responsables de TI de 13 países europeos, el 68% de los encuestados cree que la seguridad es la principal barrera para la adopción de servicios cloud compuEng, cifra que en España alcanza el 79%.

14

Riscos de Cloud Compu3ng

•  Cloud CompuXng herda vários riscos associados às tecnologias que uXliza

•  Conjunto específico de atributos que tornam a análise de riscos mais complexa –  Novos paradigmas –  Detalhes obscuros do CSP

15

Principais Riscos na Nuvem “Guia de Segurança para Áreas CríXcas Focado em Computação em Nuvem V2.1”

•  Domínio 1: Framework da Arquitetura de Computação em Nuvem •  Domínio 2: Governança e Gestão de Risco CorporaXvo •  Domínio 3: Aspectos Legais e Electronic Discovery •  Domínio 4: Conformidade e Auditoria •  Domínio 5: Gerenciamento do Ciclo de Vida das Informações •  Domínio 6: Portabilidade e Interoperabilidade •  Domínio 7: Segurança Tradicional, ConXnuidade

de Negócios e Recuperação de Desastres •  Domínio 8: Operações e Data center •  Domínio 9: Resposta a Incidente, NoXficação e Remediação •  Domínio 10: Segurança de Aplicações •  Domínio 11: Criptografia e Gerenciamento de Chaves •  Domínio 12: Gerenciamento de IdenXdade e Acesso •  Domínio 13 -‐ Virtualização

15

Seção III. Operando na Nuvem

Seção II. Governança na Nuvem

Seção I. Arquitetura da Nuvem

16

•  Como governar e medir o risco introduzido pela Computação em Nuvem

•  Responsabilidade para proteger dados sensíveis caso o provedor ou usuário falharem

•  Como essas questões são afetadas por fronteiras internacionais

Novos riscos? Alguns provedores restringem avaliações de vulnerabilidades ou testes de invasão Disponibilidade limitada dos logs de auditoria e do monitoramento de aXvidades.

Governança e Gestão de Riscos Corpora3vos

17

•  Problemas legais em potencial ao se uXlizar Computação em Nuvem

•  Requisitos de proteção da informação

•  Requisitos regulatórios

•  Leis internacionais

Novos riscos? Onde o provedor de serviços de nuvem irá hospedar os dados? •  Conformidade com leis

locais •  Ex: Restrição do fluxo de

dados além das fronteiras, leis sobre privacidade, etc

Aspectos Legais e Electronic Discovery

18

•  Manutenção e comprovação de conformidade ao usar a Computação em Nuvem

•  Como a Computação em Nuvem afeta o cumprimento de políXcas de segurança interna e requisitos de conformidade

•  Como comprovar a conformidade

Novos riscos? Direito de Auditar Processos para coletar e armazenar evidências de conformidade

Conformidade e Auditoria

19

•  Gerenciamento dos dados colocados na Nuvem

•  Confidencialidade, integridade e disponibilidade

•  Controles compensatórios para lidar com a perda de controle lsico

Novos riscos?

Gerenciamento do Ciclo de Vida das Informações

fonte: CSA

Acesso intra-‐nuvem

MúlEplas transferências

de dados Término dos serviços

20

•  Habilidade de mover dados e/ou serviços de um provedor para outro ou totalmente de volta para a empresa

•  Interoperabilidade entre fornecedores

Novos riscos? “Lock-‐in” Falta de padrões de interoperabilidade Ambientes proprietários

Portabilidade e Interoperabilidade

A

B

21

•  Como a Computação em Nuvem afeta os processos e procedimentos operacionais de segurança, BCP e DRP

•  A Computação em Nuvem pode ajudar a diminuir certos riscos, ou implica em aumento dos riscos

Novos riscos? Ritmo acelerado de mudanças Falta de transparência Controle e monitoração cononua dos provedores de nuvem •  Ciclos mais frequentes de

monitoração e auditoria

Segurança Tradicional, Cont. de Negócios e Recuperação de Desastres

22

•  Como avaliar a arquitetura e a operação de um fornecedor de Data Center

•  CaracterísXcas de Data Centers que podem ser prejudiciais e as fundamentais para estabilidade a longo prazo

Novos riscos? Capacidades reais dos provedores

Operações e Data Center

Mar. 13, 2010 Amazon cloud outage was triggered by configuraEon error By Computerworld Amazon has released a detailed postmortem and mea culpa about the parEal outage of its cloud services pla_orm last week and idenEfied the culprit: A configuraEon error made during a network upgrade.

23

•  Detecção de incidentes, resposta, noXficação e correção

•  Aborda prestadores de serviços e consumidores

•  Forense computacional

Novos riscos? Dependência do CSP para resposta a incidentes e invesXgação •  MúlXplos clientes, logs

agregados Forense na “nuvem”?

Resposta a Incidente, No3ficação e Remediação

24

•  Modos de proteger a aplicação sendo executada ou desenvolvida na nuvem

•  É apropriado migrar ou projetar uma aplicação na nuvem?

•  Qual melhor modelo (SaaS, PaaS ou IaaS) ?

Novos riscos? Nova Arquitetura de Segurança da Aplicação Dependências Comunicação inter-‐hosts

Segurança de Aplicações

25

•  DiscuXr por que criptografia é necessária

•  Proteger o acesso aos recursos ou proteger os dados

Novos riscos? Comunicação inter-‐hosts Dados em repouso •  Em disco ou em banco de

dados de produção Dados em backup

Criptografia e Gerenciamento de Chaves

26

•  Foco em riscos quando se estende a idenXdade de uma organização para Nuvem

•  Avaliar a capacidade da organização para realizar a gestão de idenXdade e acesso baseados na Nuvem

Novos riscos? Gerenciamento de IdenXdade e Acesso •  Como estender os

processos e práXcas aos serviços de nuvem

•  Controlar e auditar o acesso ao serviço de nuvem

•  AutenXcação forte

Gerenciamento de Iden3dade e Acesso

27

•  Questões de segurança em torno do sistema/hardware de virtualização em Computação em Nuvem

•  Aborda riscos associados com mulXlocação

•  Isolamento de VMs •  Vulnerabilidades em

Hypervisor

Novos riscos? Comunicação entre hardware, e não através de rede ComparXmentalização e elevação do nível de segurança em sistemas virtuais Centralização dos dados

Virtualização

28

PRINCIPAIS AMEAÇAS Sete principais ameaças na adoção da Computação em Nuvem

29

1-‐ Abuso e uso Malicioso de Computação em Nuvem –  Qualquer pessoa com um cartão de crédito válido pode se registrar e usar os serviços em nuvem

•  Spammers, autores de códigos maliciosos e criminosos •  Uso anônimo e impune

–  Usos maliciosos •  Quebra de senhas •  Realizar ataques (ex: DDoS) •  Hospedar dados maliciosos •  Controle de botnets

Principais Riscos Para Computação em Nuvem

IaaS PaaS SaaS

CSA Guidance: Domínios 8 e 9

30

2-‐ Interfaces e APIs Inseguras –  Segurança e disponibilidade dos serviços na nuvem são dependentes das interfaces e APIs de gerenciamento –  Falhas acidentais ou mal intencionadas –  Complexidade

•  Serviços desconhecidos –  Controle de acesso

•  Acessos anônonimos •  Senhas e dados trafegados em aberto


IaaS PaaS SaaS

CSA Guidance: Domínio 10

31

3-‐ Usuários Internos Maliciosos –  Ameaça amplificada

•  Convergência de serviços e usuários •  Falta de transparência do provedor •  Funcionários do provedor •  Baixo risco de detecção

–  Potenciais ameaças •  Concorrentes •  Espionagem •  Hackers


IaaS PaaS SaaS


32

4-‐ Uso de Tecnologias de ComparXlhamento –  Forte isolamento em ambientes mulX-‐locatários –  Falhas no sistema de controle (hypervisor)

•  Sistemas virtuais podem ter acesso ao sistema hospedeiro •  Falha nos controles e isolamento

–  Clientes não devem ter acesso a dados de outros clientes

•  Dados atuais ou residuais •  Tráfego de rede


IaaS PaaS SaaS


33

5-‐ Perda ou Vazamento de Dados –  Pode ser devastador para uma empresa –  Arquitetura e ambiente da Nuvem aumentam os riscos

•  Falha nos controles de autenXcação, autorização e auditoria (AAA) •  Falhas operacionais •  Persistência e remanescência dos dados •  Jurisdição •  Disponibilidade do provedor


IaaS PaaS SaaS

CSA Guidance: Domínios 5, 11 e 12

34

6-‐ Sequestro de Serviço ou de Conta –  Roubo de credenciais

•  Phishing, fraude ou exploração de falhas –  Acesso indevido a Nuvem

•  Acessar dados e transações •  Manipulação dos dados •  Redirecionar usuários para outros sites


IaaS PaaS SaaS

CSA Guidance: Domínios 2, 9 e 12

35

7-‐ Riscos Desconhecidos –  Na Computação em Nuvem, as empresas abrem mão da gestão do hardware e do soxware para focar no negócio

•  Segurança por obscuridade e baixo esforço •  Perde controles de segurança

–  Detalhes de operação e compliance do fornecedor •  Versão de soxware e atualização de código •  Com quem você comparXlha a infra-‐estrutura •  TentaXvas de ataque •  Guarda de logs


IaaS PaaS SaaS

CSA Guidance: Domínios 2, 3, 8 e 9

36

CONCLUSÕES

37

Segurança de Cloud Compu3ng

•  Análise de riscos é fundamental

•  Segurança na “nuvem” não é muito diferente das necessidades “pré-‐nuvem”

fonte: sxc.hu

38

Previsão do Tempo

•  Muitas nuvens a frente •  Sujeito a chuvas e trovoadas esporádicas

•  Tenha sempre um guarda-‐chuva guardado

fonte: Wikimedia Commons

39

•  NIST Cloud CompuXng Project hPp://csrc.nist.gov/groups/SNS/cloud-‐compu3ng/index.html

•  “Cloud CompuXng: Benefits, risks and recommendaXons for informaXon security” hPp://www.enisa.europa.eu/act/rm/files/deliverables/cloud-‐

compu3ng-‐risk-‐assessment

Referências

39

40

Security Guidance for CriXcal Areas of Focus in Cloud CompuXng v. 2.1 –  Referência para análise dos riscos hzp://www.cloudsecurityalliance.org/guidance/csaguide.pdf

Top Threats to Cloud CompuXng V1.0 –  Sete principais riscos hzp://www.cloudsecurityalliance.org/topthreats.html

Referências

41

Referências

•  “CSA Cloud Controls Matrix V1” –  Lançado em 27 de Abril 27, 2010 –  hzp://www.cloudsecurityalliance.org/cm.html

41

42

Anchises M. G. de Paula Membro da CSA Brasil [email protected] twizer.com/anchisesbr

twizer.com/csabr hzps://chapters.cloudsecurityalliance.org/brazil

hzp://www.cloudsecurityalliance.org

Obrigado

43

Sobre a Cloud Security Alliance

–  Associação sem fins lucraXvos –  Oficializada em Dezembro de 2008 –  +12mil Membros –  Presente em vários países através de Chapters locais

44

To promote the use of best pracXces for providing security assurance within Cloud CompuXng, and provide educaXon on the uses of Cloud CompuXng to help secure all other forms of compuXng.

CSA: Missão

fonte: sxc.hu

45

CSA Brasil: Overview

–  Segundo Chapter oficial da CSA –  Oficializado em 27 de Maio de 2010 –  Mais de 100 membros –  Board: Leonardo Goldim; Anchises Moraes, Jaime OrXs y Lugo, Jordan Bonagura, Olympio Renno –  Segue Missão e ObjeXvos da CSA Global

CSABR - Cloud Computing: Entendendo os Riscos no Horizonte 20110718 IDETI

Documents

Transcript of CSABR - Cloud Computing: Entendendo os Riscos no Horizonte 20110718 IDETI