O documento discute a computação em nuvem, incluindo o que é, modelos de referência, oportunidades e riscos de segurança. Ele também resume orientações de segurança da Cloud Security Alliance, cobrindo governança, riscos e ameaças principais.
1. Computação
em
Nuvem
Oportunidades
e
Riscos
de
Segurança
Anchises
M.
G.
De
Paula
Membro,
CSA
Brasil
1
2. Agenda
–
O
que
é
Computação
em
Nuvem
–
Oportunidades
de
Segurança
–
Principais
categorias
de
Riscos
– Sete
principais
ameaças
–
Cloud
Security
Alliance
2
4. Computação
em
Nuvem
Computação
em
nuvem
é
um
termo
em
evolução
–
Separa
as
aplicações
e
os
recursos
de
informação
de
sua
infraestrutura
básica,
e
os
mecanismos
uMlizados
para
entregá-‐los.
–
Uso
de
uma
coleção
de
serviços,
aplicações,
informação
e
infraestrutura
composta
por
pools
de
recursos
computacionais,
de
rede,
de
informação
e
de
armazenamento.
–
Estes
componentes
podem
ser
rapidamente
organizados,
provisionados,
implementados,
desaMvados,
e
escalados
para
cima
ou
para
baixo,
provendo
um
modelo
de
alocação
e
consumo
baseado
na
demanda
de
recursos.
4
5. Computação
em
Nuvem
Vantagens
–
Realça
a
colaboração,
agilidade,
escalabilidade
e
disponibilidade
– Potencial
para
redução
de
custos
através
de
computação
eficiente
e
oMmizada
–
Eficiência
de
custos
pelas
economias
de
escala,
reuMlização
e
padronização
fonte:
sxc.hu
5
7. Computação
em
Nuvem
Modelos
de
Referência
–
Relações
e
dependências
entre
os
modelos
de
Computação
em
Nuvem
–
CaracterísMcas
são
herdadas
–
Também
são
herdadas
as
questões
de
segurança
da
informação
e
o
risco
7
9. Considerações
de
Segurança
–
Computação
em
Nuvem
não
é
mais
ou
menos
segura
–
Os
controles
de
segurança
para
Computação
em
Nuvem
não
são
diferentes
dos
controles
de
segurança
para
qualquer
ambiente
de
TI.
9
10. Segurança
da
Computação
em
Nuvem
Modelo
de
Referência
de
Segurança
em
Nuvem
–
A
forma
como
os
serviços
de
nuvem
são
implantados
versus
onde
eles
são
fornecidos
–
A
maneira
como
os
serviços
de
nuvem
são
consumidos
–
Reperimetrização
e
erosão
de
fronteiras
de
confiança
–
Cloud
Cube
Model
•
ofertas
de
nuvem
disponíveis
•
quatro
critérios/dimensões
10
11. Segurança
da
Computação
em
Nuvem
Mapeando
o
Modelo
de
Nuvem
para
o
Modelo
de
Controles
de
Segurança
&
Conformidade
11
12. Segurança
da
Computação
em
Nuvem
Cliente
Infrastructure
as
a
Service
(IaaS)
S
E
G
U
Pladorm
as
a
Service
(PaaS)
R
A
N
Ç
A
Soeware
as
a
Service
(SaaS)
Provedor
12
14. Riscos
de
Segurança
–
Computação
em
Nuvem
cria
novos
riscos
e
novas
oportunidades
–
Oportunidade
de
reestruturar
aplicações
anMgas
14
15. Análise
de
Riscos
–
IdenMficar
o
aMvo
para
implantação
na
nuvem
–
Avaliar
o
aMvo
–
Mapear
o
aMvo
com
modelo
de
implantação
–
Avaliar
potenciais
modelos
de
serviços
–
Esboçar
o
potencial
fluxo
de
dados
15
16. Riscos
de
Computação
em
Nuvem
Security
Guidance
for
CriMcal
Areas
of
Focus
in
Cloud
CompuMng
v.
2.1
–
Referência
para
análise
dos
riscos
hip://www.cloudsecurityalliance.org/guidance/csaguide.pdf
Top
Threats
to
Cloud
CompuMng
V1.0
–
Sete
principais
riscos
hip://www.cloudsecurityalliance.org/topthreats.html
16
18. Security
Guidance:
Governança
e
Gestão
de
Riscos
Corpora@vos
–
Seção:
Governança
–
Compreende
na
capacidade
de
uma
organização
para
governar
e
medir
o
risco
empresarial
introduzido
pela
Computação
em
Nuvem
–
Responsabilidade
para
proteger
dados
sensíveis
no
caso
de
provedor
e
usuário
falhar
–
Como
essas
questões
são
afetadas
por
fronteiras
internacionais
18
19. Security
Guidance:
Aspectos
Legais
e
Electronic
Discovery
–
Seção:
Governança
–
Compreende
nos
problemas
legais
em
potencial
ao
se
uMlizar
Computação
em
Nuvem
–
Requisitos
de
proteção
da
informação
–
Requisitos
regulatórios
–
Leis
internacionais
19
20. Security
Guidance:
Conformidade
e
Auditoria
–
Seção:
Governança
–
Compreende
na
manutenção
e
comprovação
de
conformidade
ao
se
fazer
uso
da
Computação
em
Nuvem
–
Como
a
Computação
em
Nuvem
afeta
o
cumprimento
de
políMcas
de
segurança
interna
e
diversos
requisitos
de
conformidade
(regulatórios,
legislaMvos,
entre
outros)
–
Orientações
para
comprovar
a
conformidade
no
caso
de
auditoria
20
21. Security
Guidance:
Gerenciamento
do
Ciclo
de
Vida
das
Informações
–
Seção:
Governança
–
Compreende
no
gereciamento
dos
dados
que
são
colocados
na
Nuvem
–
Controles
compensatórios
para
lidar
com
a
perda
de
controle
lsico
–
Responsável
pela
confidencialidade,
integridade
e
disponibilidade
21
22. Security
Guidance:
Portabilidade
e
Interoperabilidade
–
Seção:
Governança
–
Compreende
na
habilidade
de
mover
dados
e/ou
serviços
de
um
provedor
para
outro
ou
totalmente
de
volta
para
a
empresa
–
Interoperabilidade
entre
fornecedores
22
23. Security
Guidance:
Segurança
Tradicional,
Cont.
de
Negócios
e
Rec.
Desastres
–
Seção:
Operações
–
Descreve
como
a
Computação
em
Nuvem
afeta
os
processos
e
procedimentos
operacionais
usados
atualmente
em
BCP
e
DRP
–
Aborda
sobre
como
ajudar
a
idenMficar
onde
a
Computação
em
Nuvem
pode
ajudar
a
diminuir
certos
riscos,
ou
implica
em
aumento
dos
riscos
23
24. Security
Guidance:
Operações
e
Data
Center
–
Seção:
Operações
–
Descreve
como
avaliar
a
arquitetura
e
a
operação
de
um
fornecedor
de
Data
Center
–
Focado
principalmente
em
ajudar
a
idenMficar
caracterísMcas
de
data
centers
que
podem
ser
prejudiciais
e
as
fundamentais
para
estabilidade
a
longo
prazo
24
25. Security
Guidance:
Resposta
a
Incidente,
No@ficação
e
Remediação
–
Seção:
Operações
–
Aborda
a
correta
e
adequada
detecção
de
incidentes,
resposta,
noMficação
e
correção
–
Aborda
itens
tanto
no
nível
de
prestadores
de
serviços
e
consumidores
–
Forense
computacional
–
Ajudar
a
compreender
as
diferenças
na
abordagem
do
sistema
de
gestão
de
incidentes
atual
25
26. Security
Guidance:
Segurança
de
Aplicações
–
Seção:
Operações
–
Descreve
modos
de
proteger
a
aplicação
que
está
sendo
executada
ou
desenvolvida
na
nuvem
–
É
apropriado
migrar
ou
projetar
uma
aplicação
na
nuvem?
–
Qual
melhor
modelo
(SaaS,
PaaS
ou
IaaS)
?
26
27. Security
Guidance:
Criptografia
e
Gerenciamento
de
Chaves
–
Seção:
Operações
–
DiscuMr
por
que
é
necessário
–
IdenMficar
questões
que
surgem
com
a
uMlização,
seja
para
proteger
o
acesso
aos
recursos
ou
para
proteger
os
dados
27
28. Security
Guidance:
Gerenciamento
de
Iden@dade
e
Acesso
–
Seção:
Operações
–
Foco
em
questões
encontradas
quando
se
estende
a
idenMdade
de
uma
organização
para
Nuvem
–
Fornece
insights
para
avaliar
a
capacidade
da
organização
para
realizar
a
gestão
de
idenMdade
e
acesso
baseados
na
Nuvem
28
29. Security
Guidance:
Virtualização
–
Seção:
Operações
–
Descreve
o
uso
da
Virtualização
em
Computação
em
Nuvem
–
Aborda
riscos
associados
com
mulMlocação
–
Isolamento
de
VMs
–
Vulnerabilidades
em
Hypervisor
–
Foca
nas
questões
de
segurança
em
torno
do
sistema/
hardware
de
virtualização
29
31. Principais
Riscos
Para
Computação
em
Nuvem
Abuso
e
uso
Malicioso
de
Computação
em
Nuvem
– Qualquer
pessoa
com
um
cartão
de
crédito
válido
pode
se
registrar
e
usar
os
serviços
em
nuvem
•
Spammers,
autores
de
códigos
maliciosos
e
criminosos
•
Uso
anônimo
e
impune
–
Usos
maliciosos
•
Quebra
de
senhas
•
Realizar
ataques
(ex:
DDoS)
•
Hospedar
dados
maliciosos
CSA
Guidance:
•
Controle
de
botnets
Domínios
8
e
9
IaaS
PaaS
SaaS
31
32. Principais
Riscos
Para
Computação
em
Nuvem
Interfaces
e
APIs
Inseguras
– Segurança
e
disponibilidade
dos
serviços
na
nuvem
são
dependentes
das
interfaces
e
APIs
de
gerenciamento
–
Falhas
acidentais
ou
mal
intencionadas
–
Complexidade
•
Serviços
desconhecidos
–
Controle
de
acesso
•
Acessos
anônonimos
•
Senhas
e
dados
trafegados
em
aberto
CSA
Guidance:
Domínio
10
IaaS
PaaS
SaaS
32
33. Principais
Riscos
Para
Computação
em
Nuvem
Usuários
Internos
Maliciosos
–
Ameaça
amplificada
•
Convergência
de
serviços
e
usuários
•
Falta
de
transparência
do
provedor
•
Funcionários
do
provedor
•
Baixo
risco
de
detecção
–
Potenciais
ameaças
•
Concorrentes
•
Espionagem
CSA
Guidance:
•
Hackers
Domínios
2
e
7
IaaS
PaaS
SaaS
33
34. Principais
Riscos
Para
Computação
em
Nuvem
Uso
de
Tecnologias
de
ComparMlhamento
–
Forte
isolamento
em
ambientes
mulM-‐locatários
–
Falhas
no
sistema
de
controle
(hypervisor)
•
Sistemas
virtuais
podem
ter
acesso
ao
sistema
hospedeiro
•
Falha
nos
controles
e
isolamento
–
Clientes
não
devem
ter
acesso
a
dados
de
outros
clientes
•
Dados
atuais
ou
residuais
•
Tráfego
de
rede
CSA
Guidance:
Domínios
8
e
13
IaaS
PaaS
SaaS
34
35. Principais
Riscos
Para
Computação
em
Nuvem
Perda
ou
Vazamento
de
Dados
–
Pode
ser
devastados
para
uma
empresa
–
Arquitetura
e
ambiente
da
Nuvem
aumenta
os
riscos
•
Falha
nos
controles
de
autenMcação,
autorização
e
auditoria
(AAA)
•
Falhas
operacionais
•
Persistência
e
remanescência
dos
dados
•
Jurisdição
•
Disponibilidade
do
provedor
CSA
Guidance:
Domínios
5,
11
e
12
IaaS
PaaS
SaaS
35
36. Principais
Riscos
Para
Computação
em
Nuvem
Sequestro
de
Serviço
ou
de
Conta
–
Roubo
de
credenciais
•
Phishing,
fraude
ou
exploração
de
falhas
–
Acesso
indevido
a
Nuvem
•
Acessar
dados
e
transações
•
Manipulação
dos
dados
•
Redirecionar
usuários
para
outros
sites
CSA
Guidance:
Domínios
2,
9
e
12
IaaS
PaaS
SaaS
36
37. Principais
Riscos
Para
Computação
em
Nuvem
Riscos
Desconhecidos
–
Na
Computação
em
Nuvem,
as
empresas
abrem
mão
da
gestão
do
hardware
e
do
soeware
para
focar
no
negócio
•
Segurança
por
obscuridade
e
baixo
esforço
•
Perde
controles
de
segurança
–
Detalhes
de
operação
e
compliance
do
fornecedor
•
Versão
de
soeware
e
atualização
de
código
•
Com
quem
você
comparMlha
a
infra-‐estrutura
•
TentaMvas
de
ataque
CSA
Guidance:
•
Guarda
de
logs
Domínios
2,
3,
8
e
9
IaaS
PaaS
SaaS
37
39. CSA:
Overview
–
Associação
sem
fins
lucraMvos
–
Idealizada
durante
o
ISSA
CISO
Forum
em
Novembro
de
2008
–
Oficializada
em
Dezembro
de
2008
–
Primeiro
Whitepaper
na
RSA
Conference
em
2009
–
+12mil
Membros
–
Presente
em
06
países
através
de
Chapters
locais
39
40. CSA:
Missão
To
promote
the
use
of
best
pracMces
for
providing
security
assurance
within
Cloud
CompuMng,
and
provide
educaMon
on
the
uses
of
Cloud
CompuMng
to
help
secure
all
other
forms
of
compuMng.
fonte:
sxc.hu
40
41. CSA:
Obje@vos
–
Promote
a
common
level
of
understanding
between
the
consumers
and
providers
of
cloud
compuMng
regarding
the
necessary
security
requirements
and
aiestaMon
of
assurance
–
Promote
independent
research
into
best
pracMces
for
cloud
compuMng
security
–
Launch
awareness
campaigns
and
educaMonal
programs
on
the
appropriate
uses
of
cloud
compuMng
and
cloud
security
soluMons
–
Create
consensus
lists
of
issues
and
guidance
for
cloud
security
assurance
41
42. CSA
Brasil:
Overview
–
Segundo
Chapter
oficial
da
CSA
–
Oficializado
em
27
de
Maio
de
2010
–
97
Membros
–
Board:
Leonardo
Goldim;
Anchises
Moraes,
Jaime
OrMs
y
Lugo,
Jordan
Bonagura,
Olympio
Renno
–
Segue
Missão
e
ObjeMvos
da
CSA
Global
42
43. Projetos
CCSK
–
Voltada
para
profissionais
–
Disponível
desde
01
de
Setembro
–
Realizada
online
–
US$
295,
até
31
de
Dezembro
US$
195
–
Baseada
no
Guia
de
Boas
PráMcas
da
CSA
e
nos
estudos
da
Enisa
sobre
gestão
de
riscos
na
Nuvem
–
CCSK
Study
Guide
–
Relacionada
a
versão
do
Guia,
não
expira
–
4
profissionais
no
Brasil
43
44. Como
se
Associar
CSA
/
CSA
Brasil
Pessoa
Física
–
ParMcipação
no
grupo
do
LinkedIN
–
ParMcipação
nas
listas
de
discussões
dos
projetos
(csabrasil
–
Yahoo
Grupos)
–
Sem
custo
Pessoa
Jurídica
–
Contato
diretamente
com
a
CSA
–
Taxa
anual
44
45. Referências
• NIST
Cloud
CompuMng
Project
hUp://csrc.nist.gov/groups/SNS/cloud-‐compu@ng/index.html
• Relatório
da
ENISA
“Cloud
CompuMng:
Benefits,
risks
and
recommendaMons
for
informaMon
security”
hUp://www.enisa.europa.eu/act/rm/files/deliverables/cloud-‐
compu@ng-‐risk-‐assessment
45
45
46. Referências
• “CSA
Cloud
Controls
Matrix
V1”
– Lançado
em
27
de
Abril
27,
2010
– hip://www.cloudsecurityalliance.org/cm.html
46
46
47. Obrigado
Anchises
M.
G.
de
Paula
Membro
da
CSA
Brasil
anchisesbr@gmail.com
hip://br.cloudsecurityalliance.org
hip://www.cloudsecurityalliance.org
47