fog computing - falhas e riscos da computação em nuvem
Post on 18-Nov-2014
1.597 Views
Preview:
DESCRIPTION
TRANSCRIPT
1
Anchises M. G. de Paula iDefense Intelligence Analyst adepaula@verisign.com
Fog Computing As falhas e riscos da Computação em Nuvem
2
#FAIL
Mar. 13, 2010!Car Crash Triggers Amazon Power Outage!By Datacenter Knowledge!Amazonʼs EC2 cloud computing service suffered its fourth power outage in a week on Tuesday, with some customers in its US East Region losing service for about an hour. The incident was triggered when a vehicle crashed into a utility pole near one of the companyʼs data centers, and a transfer switch failed to properly manage the shift from utility power to the facilityʼs generators.!
Apr. 29, 2011!Amazon cloud outage was triggered by configuration error!By Computerworld!Amazon has released a detailed postmortem and mea culpa about the partial outage of its cloud services platform last week and identified the culprit: A configuration error made during a network upgrade. !During this configuration change, a traffic shift "was executed incorrectly," Amazon said (…).!
3
Mesmo estando na Nuvem, seu
site pode evaporar ?
Picture source: sxc.hu!
#FAIL
4
Agenda
• Overview - Cloud Computing
• Conhecendo os riscos de Cloud Computing
• Novos riscos na Nuvem
font
e: s
xc.h
u!
5
Overview de Cloud Computing
6 6!
Overview
• Cloud Computing se tornou um termo popular em TI e negócios
20/1/10!Cloud Computing for Business and Society!by Brad Smith, The Huffington Post!(…)!According to a recent survey conducted by Microsoft, more than 90 percent of Americans are using some form of cloud computing; nearly all of us are connected to the cloud. !
7
O que é Cloud Computing?
“A style of computing where massively scalable IT-enabled capabilities are provided "as a service" to external customers using Internet technologies…
… where the consumers of the services need only care about what the service does for them, not how it is implemented” Gartner!
font
e: s
xc.h
u!
8 8!
Overview
• Cloud Computing representa uma mistura e evolução de várias tecnologias
Grid Computing!Utility Computing!
Software as a Service!
Cloud Computing!
1990!
2008!
font
e: O
xfor
d !
9
Overview
Fonte: iDefense!
10
Overview
• Três categorias básicas de Cloud Computing:
• Infrastructure as a Service (IaaS)
• Platform as a Service (PaaS)
• Software as a Service (SaaS)
10!
11
§ Três categorias básicas de Cloud Computing:!
– Infrastructure as a Service (IaaS)!!!
– Platform as a Service (PaaS)!
– Software as a Service (SaaS)!
Overview
11!
S E G U R A N Ç A
Provedor!
Cliente!
12
Conhecendo os Riscos de Cloud Computing
13
Cloud Computing é seguro?
• Depende...
• Seguro comparado com o que? • Precisamos de
um contexto
font
e: s
xc.h
u!
14
Computação em nuvem é um termo em evolução • Preocupação com segurança crescendo conforme surgem necessidades e incidentes específicos.
Computação em Nuvem
fonte: infosuck.org!
15
Estratégia para Análise de Riscos
• Identificar o ativo para implantação na nuvem
• Entender as necessidades e os riscos
• Mapear o ativo com o modelo de implantação
• Avaliar os modelos de serviços e fornecedores
• Selecionar estratégias de mitigação
15!
fonte: sxc.hu!
16
Riscos de Cloud Computing
• Cloud Computing herda vários riscos associados às tecnologias que utiliza
• Conjunto específico de atributos que tornam a análise de riscos mais complexa • Novos paradigmas • Detalhes obscuros do
CSP fonte: sxc.hu!
17 17!
Riscos Tradicionais
“Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”!
18 18!
Riscos Tradicionais
• Riscos : • Terceiros • Perda de governança • Aderência Regulatória • Acesso privilegiado • Usuário interno malicioso • Acesso físico ao ambiente
“Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”!
19 19!
Riscos Tradicionais
• Riscos : • Novas vulnerabilidades e
gestão de atualizações • Acesso privilegiado • Comprometimento da
administração • Exaustão dos recursos
“Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”!
20 20!
Riscos Tradicionais
• Riscos: • Novas vulnerabilidades • Acesso privilegiado • Segregação de dados • Roubo de dados • Recuperação
“Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”!
21 21!
Riscos Tradicionais
• Riscos: • Disponibilidade • Performance • Interceptação de dados • DDoS
“Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”!
22
Novos riscos na Nuvem
23
Novos paradigmas de segurança
• “Nuvem” significa perder parte do controle • Sem controles físicos
• Repensar a segurança de perímetro • Sem time de segurança dedicado
• Foco na estratégia de segurança
font
e: s
xc.h
u!
24
Riscos
• Proteção dos dados • Práticas de gestão de dados do Cloud Provider • Múltiplas transferências de dados • Interceptação dos dados
• Em trânsito • Intra-nuvem
24!
Fonte: iDefense!
25
Riscos
• Proteção dos dados • Práticas de gestão de dados do Cloud Provider • Múltiplas transferências de dados • Interceptação dos dados • Segregação dos dados • Remoção insegura ou incompleta
25!
Fonte: iDefense!
26
Mitigação
• Proteção dos dados • Práticas de gestão de dados do Cloud Provider • Múltiplas transferências de dados • Interceptação dos dados • Segregação dos dados • Remoção insegura ou incompleta
• Mitigação • Criptografia de dados • Criptografia da comunicação • Avaliar os procedimentos do CSP • Auditoria e SLA
26!
Fonte: iDefense!
27
Riscos
• Localização física dos dados • Localização e aspectos regulatórios • Regiões voláteis representam
maior risco • Governos hostis / sem ética e
risco de exposição dos dados
27!
28
Mitigação
• Localização física dos dados • Localização e aspectos regulatórios • Regiões voláteis representam
maior risco • Governos hostis / sem ética e
risco de exposição dos dados
• Mitigação • Identificar a localização dos dados • Escolha CSPs que garantam a localização dos dados • Evite CSPs com data centers em países hostis • Use CSPs baseados no mesmo país
28!
29
Riscos
• Disponibilidade • Exige conectividade constante • Perda de dados e risco de
downtime • Ataques DDoS globais
29!
Fonte: iDefense!
30
Riscos
• Disponibilidade • Exige conectividade constante • Perda de dados e risco de
downtime • Ataques DDoS globais
30!
06/05/10!US Treasury site hit by attack on cloud host!Finextra.com!A US Treasury Web site has been suspended after its cloud computing host was hacked, redirecting users to a malicious site in the Ukraine. !
Fonte: iDefense!
31
Mitigação
• Mitigação • Conhecer a infraestrutura
do CSP’s • Investimento na conexão
Internet local • Evitar pontos de falha • Private clouds • Service-level agreements (SLAs)
com os CSPs • Assuma pelo menos uma falha.
Qual o impacto?
31!
Fonte: iDefense!
32
Riscos
• Portabilidade da Nuvem e “Lock-in” • Não existem padrões para
formato de dados, ferramentas e interfaces
• Como garantir portabilidade dos dados, aplicações e serviços?
• Alta dependência do CSP
32!
A!
B!
Apr. 30, 2009!Cloud Computing Forerunner Facing Bankruptcy!Eweek Europe!Cassatt, the infrastructure management software company started by BEA Systems founder Bill Coleman, is running out of money.!
33
Open Cloud Manifesto
1. Cloud providers must … ensure that the challenges to cloud adoption … are addressed through open collaboration and the appropriate use of standards.
2. Cloud providers must not use their market position to lock customers …
3. Cloud providers must use and adopt existing standards wherever appropriate...
4. When new standards … are needed, … avoid creating too many standards.
5. Any community effort around the open cloud should be driven by customer needs...
Source: www.opencloudmanifesto.org!
Principles of an Open Cloud!
34
Riscos
• Aspectos Legais • Leis no local do CSP
• Leis e regulamentações conflitantes • Compliance do CSP • Contrato com terceiros • Falha de compliance: riscos legais
34!
35
Mitigação
• Aspectos Legais • Leis no local do CSP
• Leis e regulamentações conflitantes • Compliance do CSP • Contrato com terceiros • Falha de compliance: riscos legais
• Mitigação • Conheça suas obrigações • Conheça as obrigações do CSP • Contratos e SLA
35!
FISMA !HIPAA !SOX!PCI !SAS 70 Audits!
36
Riscos
• Suporte Investigativo • Forense na “nuvem”? • Múltiplos clientes, logs agregados • Capacidade de resposta a incidentes • Dependência do CSP para dados
forenses e investigação
36!
37
Mitigação
• Suporte Investigativo • Forense na “nuvem”? • Múltiplos clientes, logs agregados • Capacidade de resposta a incidentes • Dependência do CSP para dados
forenses e investigação
• Mitigação • Definir políticas e procedimentos com o CSP • Evite CSPs que não participem de uma investigação
37!
38
Conclusão
39
Conclusão
• Segurança na “nuvem” não é muito diferente das necessidades “pré-nuvem”
• Cloud computing é fundamentalmente sobre cedendo controle • Controles de segurança x Vantagens para o
negócio • Segurança do CSP versus necessidade de
segurança
font
e: s
xc.h
u!
40
Segurança de Cloud Computing
• Análise de Riscos é fundamental • Compare os Provedores de
Cloud • Faça auditoria e “due
diligence” • Adote estratégias de
mitigação
Fonte: vidadeprogramador.com.br!
41
Previsão do Tempo
• Muitas nuvens a frente
• Sujeito a chuvas e
trovoadas esporádicas
• Tenha sempre um guarda-chuva próximo
fonte: Wikimedia Commons!
42
Referências
• Cloud Security Alliance (CSA) http://www.cloudsecurityalliance.org
• Cloud Security Alliance – Capítulo Brasil https://chapters.cloudsecurityalliance.org/brazil
43
Referências
• “Security Guidance for Critical Areas of Focus in Cloud Computing”http://www.cloudsecurityalliance.org/guidance/csaguide.pdf
• “Top Threats to Cloud Computing V1.0” http://www.cloudsecurityalliance.org/topthreats.html
• “CSA Cloud Controls Matrix V1.2” http://cloudsecurityalliance.org/cm.html
43!
44
Referências
• NIST Cloud Computing Project http://csrc.nist.gov/groups/SNS/cloud-computing/index.html
• Relatório da ENISA “Cloud Computing: Benefits, risks and recommendations for information security http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment
• iDefense Topical Research Paper: “Cloud Computing”
44!
Thank You
© 2011 VeriSign, Inc. All rights reserved. VERISIGN and other trademarks, service marks, and designs are registered or unregistered trademarks of VeriSign, Inc. and its subsidiaries in the United States and in foreign countries. All other trademarks are property of their respective owners.
top related