SlideShare uma empresa Scribd logo

Fog Computing - Falhas e Riscos da Computação em Nuvem

Anchises Moraes
Anchises Moraes

Cloud Security presentation presented at Vale Security Conference

Tecnologia
1 de 45
Baixar para ler offline
Fog Computing As falhas e riscos da Computação em Nuvem Anchises M. G. de Paula iDefense Intelligence Analyst adepaula@verisign.com 1
#FAIL Mar. 13, 2010! Apr. 29, 2011! Car Crash Triggers Amazon Amazon cloud outage was Power Outage! triggered by configuration By Datacenter Knowledge! error! Amazonʼs EC2 cloud computing By Computerworld! service suffered its fourth power Amazon has released a detailed outage in a week on Tuesday, with postmortem and mea culpa about the some customers in its US East Region partial outage of its cloud services losing service for about an hour. The platform last week and identified the incident was triggered when a vehicle culprit: A configuration error made crashed into a utility pole near one of during a network upgrade. ! the companyʼs data centers, and a During this configuration change, a transfer switch failed to properly traffic shift "was executed 
 manage the 
 incorrectly," Amazon said (…).! shift from utility power to the 
 facilityʼs generators.! 2
#FAIL Mesmo estando na Nuvem, seu site pode evaporar ? Picture source: sxc.hu! 3
Agenda •  Overview - Cloud Computing fonte: sxc.hu! •  Conhecendo os riscos de Cloud Computing •  Novos riscos na Nuvem 4
Overview de Cloud Computing 5
Overview 20/1/10! •  Cloud Computing se Cloud Computing for tornou um termo popular Business and Society! em TI e negócios by Brad Smith, The Huffington Post! (…)! According to a recent survey conducted by Microsoft, more than 90 percent of Americans are using some form of cloud computing; nearly all of us are connected to the cloud. ! 6! 6
O que é Cloud Computing? “A style of computing where massively scalable IT- enabled capabilities are provided "as a service" to external customers using Internet technologies… … where the consumers of the services need only care about what the service does for them, not how it is implemented” Gartner! fonte: sxc.hu! 7
Overview •  Cloud Computing representa uma mistura e evolução de várias 2008! tecnologias Cloud Computing! Software as a Service! 1990! Utility Computing! Grid Computing! fonte: Oxford ! 8! 8
Overview Fonte: iDefense! 9
Overview •  Três categorias básicas de Cloud Computing: •  Infrastructure as a Service (IaaS) •  Platform as a Service (PaaS) •  Software as a Service (SaaS) 10! 10
Overview §  Três categorias básicas de Cloud Computing:! Cliente! – Infrastructure as a Service (IaaS)! S ! E ! G U – Platform as a Service (PaaS)! R A N Ç A – Software as a Service (SaaS)! Provedor! 11! 11
Conhecendo os Riscos de Cloud Computing 12
Cloud Computing é seguro? •  Depende... •  Seguro comparado com o que? •  Precisamos de um contexto fonte: sxc.hu! 13
Computação em Nuvem Computação em nuvem é um termo em evolução •  Preocupação com segurança crescendo conforme surgem necessidades e incidentes específicos. fonte: infosuck.org! 14
Estratégia para Análise de Riscos •  Identificar o ativo para implantação na nuvem •  Entender as necessidades e os riscos •  Mapear o ativo com o modelo de implantação •  Avaliar os modelos de serviços e fornecedores •  Selecionar estratégias de mitigação fonte: sxc.hu! 15! 15
Riscos de Cloud Computing •  Cloud Computing herda vários riscos associados às tecnologias que utiliza •  Conjunto específico de atributos que tornam a análise de riscos mais complexa •  Novos paradigmas •  Detalhes obscuros do CSP fonte: sxc.hu! 16
Riscos Tradicionais “Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”! 17! 17
Riscos Tradicionais “Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”! •  Riscos : •  Terceiros •  Perda de governança •  Aderência Regulatória •  Acesso privilegiado •  Usuário interno malicioso •  Acesso físico ao ambiente 18! 18
Riscos Tradicionais “Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”! •  Riscos : •  Novas vulnerabilidades e gestão de atualizações •  Acesso privilegiado •  Comprometimento da administração •  Exaustão dos recursos 19! 19
Riscos Tradicionais “Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”! •  Riscos: •  Novas vulnerabilidades •  Acesso privilegiado •  Segregação de dados •  Roubo de dados •  Recuperação 20! 20
Riscos Tradicionais “Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”! •  Riscos: •  Disponibilidade •  Performance •  Interceptação de dados •  DDoS 21! 21
Novos riscos na Nuvem 22
Novos paradigmas de segurança •  “Nuvem” significa perder parte do controle •  Sem controles físicos •  Repensar a segurança de perímetro •  Sem time de segurança dedicado •  Foco na estratégia de segurança fonte: sxc.hu! 23
Riscos •  Proteção dos dados •  Práticas de gestão de dados do Cloud Provider •  Múltiplas transferências de dados •  Interceptação dos dados •  Em trânsito •  Intra-nuvem Fonte: iDefense! 24! 24
Riscos •  Proteção dos dados •  Práticas de gestão de dados do Cloud Provider •  Múltiplas transferências de dados •  Interceptação dos dados •  Segregação dos dados •  Remoção insegura ou incompleta Fonte: iDefense! 25! 25
Mitigação •  Proteção dos dados •  Práticas de gestão de dados do Cloud Provider •  Múltiplas transferências de dados •  Interceptação dos dados •  Segregação dos dados •  Remoção insegura ou incompleta •  Mitigação •  Criptografia de dados •  Criptografia da comunicação •  Avaliar os procedimentos do CSP •  Auditoria e SLA Fonte: iDefense! 26! 26
Riscos •  Localização física dos dados •  Localização e aspectos regulatórios •  Regiões voláteis representam maior risco •  Governos hostis / sem ética e risco de exposição dos dados 27! 27
Mitigação •  Localização física dos dados •  Localização e aspectos regulatórios •  Regiões voláteis representam maior risco •  Governos hostis / sem ética e risco de exposição dos dados •  Mitigação •  Identificar a localização dos dados •  Escolha CSPs que garantam a localização dos dados •  Evite CSPs com data centers em países hostis •  Use CSPs baseados no mesmo país 28! 28
Riscos •  Disponibilidade •  Exige conectividade constante •  Perda de dados e risco de downtime •  Ataques DDoS globais Fonte: iDefense! 29! 29
Riscos •  Disponibilidade •  Exige conectividade constante •  Perda de dados e risco de downtime •  Ataques DDoS globais 06/05/10! US Treasury site hit by attack on cloud host! Finextra.com! A US Treasury Web site has been suspended after its cloud computing host was hacked, redirecting users to a malicious site in the Ukraine. ! Fonte: iDefense! 30! 30
Mitigação •  Mitigação •  Conhecer a infraestrutura do CSP’s •  Investimento na conexão Internet local •  Evitar pontos de falha •  Private clouds •  Service-level agreements (SLAs) com os CSPs •  Assuma pelo menos uma falha. Qual o impacto? Fonte: iDefense! 31! 31
Riscos •  Portabilidade da Nuvem e Apr. 30, 2009! “Lock-in” Cloud Computing •  Não existem padrões para Forerunner Facing formato de dados, Bankruptcy! ferramentas e interfaces Eweek Europe! Cassatt, the infrastructure management •  Como garantir portabilidade software company started by BEA dos dados, aplicações e Systems founder Bill Coleman, is running out of money.! serviços? •  Alta dependência do CSP A! B! 32! 32
Open Cloud Manifesto Principles of an Open Cloud! 1.  Cloud providers must … ensure that the challenges to cloud adoption … are addressed through open collaboration and the appropriate use of standards. 2.  Cloud providers must not use their market position to lock customers … 3.  Cloud providers must use and adopt existing standards wherever appropriate... 4.  When new standards … are needed, … avoid creating too many standards. 5.  Any community effort around the open cloud should be driven by customer needs... Source: www.opencloudmanifesto.org! 33
Riscos •  Aspectos Legais •  Leis no local do CSP •  Leis e regulamentações conflitantes •  Compliance do CSP •  Contrato com terceiros •  Falha de compliance: riscos legais 34! 34
Mitigação •  Aspectos Legais •  Leis no local do CSP •  Leis e regulamentações conflitantes •  Compliance do CSP •  Contrato com terceiros •  Falha de compliance: riscos legais •  Mitigação FISMA ! •  Conheça suas obrigações HIPAA ! SOX! •  Conheça as obrigações do CSP PCI ! •  Contratos e SLA SAS 70 Audits! 35! 35
Riscos •  Suporte Investigativo •  Forense na “nuvem”? •  Múltiplos clientes, logs agregados •  Capacidade de resposta a incidentes •  Dependência do CSP para dados forenses e investigação 36! 36
Mitigação •  Suporte Investigativo •  Forense na “nuvem”? •  Múltiplos clientes, logs agregados •  Capacidade de resposta a incidentes •  Dependência do CSP para dados forenses e investigação •  Mitigação •  Definir políticas e procedimentos com o CSP •  Evite CSPs que não participem de uma investigação 37! 37
Conclusão 38
Conclusão •  Segurança na “nuvem” não é muito diferente das necessidades “pré-nuvem” •  Cloud computing é fundamentalmente sobre cedendo controle •  Controles de segurança x Vantagens para o negócio •  Segurança do CSP versus necessidade de segurança fonte: sxc.hu! 39
Segurança de Cloud Computing •  Análise de Riscos é fundamental •  Compare os Provedores de Cloud •  Faça auditoria e “due diligence” •  Adote estratégias de mitigação Fonte: vidadeprogramador.com.br! 40
Previsão do Tempo •  Muitas nuvens a frente •  Sujeito a chuvas e trovoadas esporádicas •  Tenha sempre um guarda-chuva próximo fonte: Wikimedia Commons! 41
Referências •  Cloud Security Alliance (CSA) http://www.cloudsecurityalliance.org •  Cloud Security Alliance – Capítulo Brasil https://chapters.cloudsecurityalliance.org/brazil 42
Referências •  “Security Guidance for Critical Areas of Focus in Cloud Computing” http://www.cloudsecurityalliance.org/guidance/csaguide.pdf •  “Top Threats to Cloud Computing V1.0” http://www.cloudsecurityalliance.org/topthreats.html •  “CSA Cloud Controls Matrix V1.2” http://cloudsecurityalliance.org/cm.html 43! 43
Referências •  NIST Cloud Computing Project http://csrc.nist.gov/groups/SNS/cloud-computing/index.html •  Relatório da ENISA “Cloud Computing: Benefits, risks and recommendations for information security http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk- assessment •  iDefense Topical Research Paper: “Cloud Computing” 44! 44
Thank You © 2011 VeriSign, Inc. All rights reserved. VERISIGN and other trademarks, service marks, and designs are registered or unregistered trademarks of VeriSign, Inc. and its subsidiaries in the United States and in foreign countries. All other trademarks are property of their respective owners.

Recomendados

Vale Security Conference - 2011 - 15 - Anchises de Paula
Vale Security Conference - 2011 - 15 - Anchises de PaulaVale Security Conference - 2011 - 15 - Anchises de Paula
Vale Security Conference - 2011 - 15 - Anchises de PaulaVale Security Conference
 
Infraestrutura de cloud computing
Infraestrutura de cloud computingInfraestrutura de cloud computing
Infraestrutura de cloud computingFabio Leandro
 
Cloud Computing: Por Dentro da Nuvem
Cloud Computing: Por Dentro da NuvemCloud Computing: Por Dentro da Nuvem
Cloud Computing: Por Dentro da NuvemAlex Moura
 
Cloud Computing (Computação nas nuvens)
Cloud Computing (Computação nas nuvens)Cloud Computing (Computação nas nuvens)
Cloud Computing (Computação nas nuvens)rennanf
 
Citrix transformando seu DC em nuvem
Citrix transformando seu DC em nuvemCitrix transformando seu DC em nuvem
Citrix transformando seu DC em nuvemNuno Alves
 
Cloud computing
Cloud computingCloud computing
Cloud computingLaís Berlatto
 
Computação em nuvem
Computação em nuvemComputação em nuvem
Computação em nuvemThiago Rodrigues
 
IBM Bluemix - The Digital Innovation Platform
IBM Bluemix - The Digital Innovation PlatformIBM Bluemix - The Digital Innovation Platform
IBM Bluemix - The Digital Innovation PlatformBruno Rodrigues Alcantara
 

Recomendados

Vale Security Conference - 2011 - 15 - Anchises de Paula
Vale Security Conference - 2011 - 15 - Anchises de PaulaVale Security Conference - 2011 - 15 - Anchises de Paula
Vale Security Conference - 2011 - 15 - Anchises de PaulaVale Security Conference
 
Infraestrutura de cloud computing
Infraestrutura de cloud computingInfraestrutura de cloud computing
Infraestrutura de cloud computingFabio Leandro
 
Cloud Computing: Por Dentro da Nuvem
Cloud Computing: Por Dentro da NuvemCloud Computing: Por Dentro da Nuvem
Cloud Computing: Por Dentro da NuvemAlex Moura
 
Cloud Computing (Computação nas nuvens)
Cloud Computing (Computação nas nuvens)Cloud Computing (Computação nas nuvens)
Cloud Computing (Computação nas nuvens)rennanf
 
Citrix transformando seu DC em nuvem
Citrix transformando seu DC em nuvemCitrix transformando seu DC em nuvem
Citrix transformando seu DC em nuvemNuno Alves
 
Cloud computing
Cloud computingCloud computing
Cloud computingLaís Berlatto
 
Computação em nuvem
Computação em nuvemComputação em nuvem
Computação em nuvemThiago Rodrigues
 
IBM Bluemix - The Digital Innovation Platform
IBM Bluemix - The Digital Innovation PlatformIBM Bluemix - The Digital Innovation Platform
IBM Bluemix - The Digital Innovation PlatformBruno Rodrigues Alcantara
 
Computacao em nuvem
Computacao em nuvemComputacao em nuvem
Computacao em nuvemPaulo Cobbe
 
Entendendo a computação em nuvem
Entendendo a computação em nuvemEntendendo a computação em nuvem
Entendendo a computação em nuvemLeonardo Grandinetti Chaves
 
Apresentação Cloud Computing World Forum
Apresentação Cloud Computing World ForumApresentação Cloud Computing World Forum
Apresentação Cloud Computing World ForumAmazon Web Services LATAM
 
Computação em Nuvem
Computação em NuvemComputação em Nuvem
Computação em NuvemRicardo Martins ☁
 
Cloud Computing - Computação em Nuvem
Cloud Computing - Computação em NuvemCloud Computing - Computação em Nuvem
Cloud Computing - Computação em NuvemCompanyWeb
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud ComputingAna Carolina Gracioso
 
Artigo cloud computing pdf
Artigo cloud computing pdfArtigo cloud computing pdf
Artigo cloud computing pdfUniversidade de São Paulo (EEL USP)
 
Computação nas nuvens
Computação nas nuvensComputação nas nuvens
Computação nas nuvensRafael Castro
 
Computação em nuvem
Computação em nuvemComputação em nuvem
Computação em nuvemClaudinéia da Silva
 
A Governança de TI e a Cloud Computing
A Governança de TI e a Cloud Computing A Governança de TI e a Cloud Computing
A Governança de TI e a Cloud Computing Elias Pardim
 
Amazon Web Services Trends
Amazon Web Services TrendsAmazon Web Services Trends
Amazon Web Services TrendsMarcel Nicolay
 
Cloud computing
Cloud computingCloud computing
Cloud computingElaine Cecília Gatto
 
Cloud Computing Tecla Internet - Conceito
Cloud Computing Tecla Internet - ConceitoCloud Computing Tecla Internet - Conceito
Cloud Computing Tecla Internet - ConceitoTecla Internet
 
Cloudwalker - processamento distribuído em nuvem
Cloudwalker - processamento distribuído em nuvemCloudwalker - processamento distribuído em nuvem
Cloudwalker - processamento distribuído em nuvemFlávio Lisboa
 
Computação em Nuvem - Cloud Computing
Computação em Nuvem - Cloud ComputingComputação em Nuvem - Cloud Computing
Computação em Nuvem - Cloud ComputingAllan Reis
 
Uma Solução para Programabilidade de Redes baseada em Virtualização
Uma Solução para Programabilidade de Redes baseada em VirtualizaçãoUma Solução para Programabilidade de Redes baseada em Virtualização
Uma Solução para Programabilidade de Redes baseada em VirtualizaçãoWanderson Paim
 
Tendências de inovações tecnologics em cloud computing
Tendências de inovações tecnologics em cloud computingTendências de inovações tecnologics em cloud computing
Tendências de inovações tecnologics em cloud computingcictec
 
Cloud computing for dummies
Cloud computing for dummiesCloud computing for dummies
Cloud computing for dummiesAnchises Moraes
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud ComputingAlê Borba
 
Cloud computing
Cloud computingCloud computing
Cloud computingRoney Médice
 
O uso do GIS na Nuvem - EUESRI 2015
O uso do GIS na Nuvem - EUESRI 2015O uso do GIS na Nuvem - EUESRI 2015
O uso do GIS na Nuvem - EUESRI 2015Marcus Silva
 
Cloud Computing: Desafios e oportunidades
Cloud Computing: Desafios e oportunidadesCloud Computing: Desafios e oportunidades
Cloud Computing: Desafios e oportunidadesElvis Fusco
 

Mais conteúdo relacionado

Mais procurados

Computacao em nuvem
Computacao em nuvemComputacao em nuvem
Computacao em nuvemPaulo Cobbe
 
Cloud Computing - Computação em Nuvem
Cloud Computing - Computação em NuvemCloud Computing - Computação em Nuvem
Cloud Computing - Computação em NuvemCompanyWeb
 
Computação nas nuvens
Computação nas nuvensComputação nas nuvens
Computação nas nuvensRafael Castro
 
A Governança de TI e a Cloud Computing
A Governança de TI e a Cloud Computing A Governança de TI e a Cloud Computing
A Governança de TI e a Cloud Computing Elias Pardim
 
Amazon Web Services Trends
Amazon Web Services TrendsAmazon Web Services Trends
Amazon Web Services TrendsMarcel Nicolay
 
Cloud Computing Tecla Internet - Conceito
Cloud Computing Tecla Internet - ConceitoCloud Computing Tecla Internet - Conceito
Cloud Computing Tecla Internet - ConceitoTecla Internet
 
Cloudwalker - processamento distribuído em nuvem
Cloudwalker - processamento distribuído em nuvemCloudwalker - processamento distribuído em nuvem
Cloudwalker - processamento distribuído em nuvemFlávio Lisboa
 
Computação em Nuvem - Cloud Computing
Computação em Nuvem - Cloud ComputingComputação em Nuvem - Cloud Computing
Computação em Nuvem - Cloud ComputingAllan Reis
 
Uma Solução para Programabilidade de Redes baseada em Virtualização
Uma Solução para Programabilidade de Redes baseada em VirtualizaçãoUma Solução para Programabilidade de Redes baseada em Virtualização
Uma Solução para Programabilidade de Redes baseada em VirtualizaçãoWanderson Paim
 
Tendências de inovações tecnologics em cloud computing
Tendências de inovações tecnologics em cloud computingTendências de inovações tecnologics em cloud computing
Tendências de inovações tecnologics em cloud computingcictec
 

Mais procurados (17)

Computacao em nuvem
Computacao em nuvemComputacao em nuvem
Computacao em nuvem
 
Entendendo a computação em nuvem
Entendendo a computação em nuvemEntendendo a computação em nuvem
Entendendo a computação em nuvem
 
Apresentação Cloud Computing World Forum
Apresentação Cloud Computing World ForumApresentação Cloud Computing World Forum
Apresentação Cloud Computing World Forum
 
Computação em Nuvem
Computação em NuvemComputação em Nuvem
Computação em Nuvem
 
Cloud Computing - Computação em Nuvem
Cloud Computing - Computação em NuvemCloud Computing - Computação em Nuvem
Cloud Computing - Computação em Nuvem
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
Artigo cloud computing pdf
Artigo cloud computing pdfArtigo cloud computing pdf
Artigo cloud computing pdf
 
Computação nas nuvens
Computação nas nuvensComputação nas nuvens
Computação nas nuvens
 
Computação em nuvem
Computação em nuvemComputação em nuvem
Computação em nuvem
 
A Governança de TI e a Cloud Computing
A Governança de TI e a Cloud Computing A Governança de TI e a Cloud Computing
A Governança de TI e a Cloud Computing
 
Amazon Web Services Trends
Amazon Web Services TrendsAmazon Web Services Trends
Amazon Web Services Trends
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Cloud Computing Tecla Internet - Conceito
Cloud Computing Tecla Internet - ConceitoCloud Computing Tecla Internet - Conceito
Cloud Computing Tecla Internet - Conceito
 
Cloudwalker - processamento distribuído em nuvem
Cloudwalker - processamento distribuído em nuvemCloudwalker - processamento distribuído em nuvem
Cloudwalker - processamento distribuído em nuvem
 
Computação em Nuvem - Cloud Computing
Computação em Nuvem - Cloud ComputingComputação em Nuvem - Cloud Computing
Computação em Nuvem - Cloud Computing
 
Uma Solução para Programabilidade de Redes baseada em Virtualização
Uma Solução para Programabilidade de Redes baseada em VirtualizaçãoUma Solução para Programabilidade de Redes baseada em Virtualização
Uma Solução para Programabilidade de Redes baseada em Virtualização
 
Tendências de inovações tecnologics em cloud computing
Tendências de inovações tecnologics em cloud computingTendências de inovações tecnologics em cloud computing
Tendências de inovações tecnologics em cloud computing
 

Semelhante a Fog Computing - Falhas e Riscos da Computação em Nuvem

Cloud computing for dummies
Cloud computing for dummiesCloud computing for dummies
Cloud computing for dummiesAnchises Moraes
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud ComputingAlê Borba
 
O uso do GIS na Nuvem - EUESRI 2015
O uso do GIS na Nuvem - EUESRI 2015O uso do GIS na Nuvem - EUESRI 2015
O uso do GIS na Nuvem - EUESRI 2015Marcus Silva
 
Cloud Computing: Desafios e oportunidades
Cloud Computing: Desafios e oportunidadesCloud Computing: Desafios e oportunidades
Cloud Computing: Desafios e oportunidadesElvis Fusco
 
CSABR - Cloud Computing: Entendendo os Riscos no Horizonte 20110718 IDETI
CSABR - Cloud Computing: Entendendo os Riscos no Horizonte 20110718 IDETICSABR - Cloud Computing: Entendendo os Riscos no Horizonte 20110718 IDETI
CSABR - Cloud Computing: Entendendo os Riscos no Horizonte 20110718 IDETIAnchises Moraes
 
2010 - Ti e Negócios - Virtualização e Cloud Computing
2010 - Ti e Negócios - Virtualização e Cloud Computing2010 - Ti e Negócios - Virtualização e Cloud Computing
2010 - Ti e Negócios - Virtualização e Cloud ComputingVaine Luiz Barreira, MBA
 
Conversa LSD - IaaS sobre Recursos Oportunistas
Conversa LSD - IaaS sobre Recursos OportunistasConversa LSD - IaaS sobre Recursos Oportunistas
Conversa LSD - IaaS sobre Recursos Oportunistasedigley
 
Mvp virtual conference_2013(consumerizacaode_ti_trilha)_ss
Mvp virtual conference_2013(consumerizacaode_ti_trilha)_ssMvp virtual conference_2013(consumerizacaode_ti_trilha)_ss
Mvp virtual conference_2013(consumerizacaode_ti_trilha)_ssMarcondes Alexandre
 
Cloud conceitos, segurança e migração
Cloud conceitos, segurança e migraçãoCloud conceitos, segurança e migração
Cloud conceitos, segurança e migraçãoAllen Informática
 
Computação em Nuvem: conceitos, tendências e aplicações em Software Livre
Computação em Nuvem: conceitos, tendências e aplicações em Software LivreComputação em Nuvem: conceitos, tendências e aplicações em Software Livre
Computação em Nuvem: conceitos, tendências e aplicações em Software LivreDiego Kreutz
 
Virtualização, cloud computig e suas tendencias
Virtualização, cloud computig e suas tendenciasVirtualização, cloud computig e suas tendencias
Virtualização, cloud computig e suas tendenciasCampus Party Brasil
 
Oportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemOportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemCássio Quaresma
 

Semelhante a Fog Computing - Falhas e Riscos da Computação em Nuvem (20)

Cloud computing for dummies
Cloud computing for dummiesCloud computing for dummies
Cloud computing for dummies
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
O uso do GIS na Nuvem - EUESRI 2015
O uso do GIS na Nuvem - EUESRI 2015O uso do GIS na Nuvem - EUESRI 2015
O uso do GIS na Nuvem - EUESRI 2015
 
Cloud Computing: Desafios e oportunidades
Cloud Computing: Desafios e oportunidadesCloud Computing: Desafios e oportunidades
Cloud Computing: Desafios e oportunidades
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
CSABR - Cloud Computing: Entendendo os Riscos no Horizonte 20110718 IDETI
CSABR - Cloud Computing: Entendendo os Riscos no Horizonte 20110718 IDETICSABR - Cloud Computing: Entendendo os Riscos no Horizonte 20110718 IDETI
CSABR - Cloud Computing: Entendendo os Riscos no Horizonte 20110718 IDETI
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
Computação nas nuvens
Computação nas nuvensComputação nas nuvens
Computação nas nuvens
 
Adilson lessio – Palestra no B.I.
Adilson lessio – Palestra no B.I.Adilson lessio – Palestra no B.I.
Adilson lessio – Palestra no B.I.
 
2010 - Ti e Negócios - Virtualização e Cloud Computing
2010 - Ti e Negócios - Virtualização e Cloud Computing2010 - Ti e Negócios - Virtualização e Cloud Computing
2010 - Ti e Negócios - Virtualização e Cloud Computing
 
Conversa LSD - IaaS sobre Recursos Oportunistas
Conversa LSD - IaaS sobre Recursos OportunistasConversa LSD - IaaS sobre Recursos Oportunistas
Conversa LSD - IaaS sobre Recursos Oportunistas
 
Computação em Nuvem
Computação em NuvemComputação em Nuvem
Computação em Nuvem
 
Mvp virtual conference_2013(consumerizacaode_ti_trilha)_ss
Mvp virtual conference_2013(consumerizacaode_ti_trilha)_ssMvp virtual conference_2013(consumerizacaode_ti_trilha)_ss
Mvp virtual conference_2013(consumerizacaode_ti_trilha)_ss
 
Cloud conceitos, segurança e migração
Cloud conceitos, segurança e migraçãoCloud conceitos, segurança e migração
Cloud conceitos, segurança e migração
 
Computação em Nuvem: conceitos, tendências e aplicações em Software Livre
Computação em Nuvem: conceitos, tendências e aplicações em Software LivreComputação em Nuvem: conceitos, tendências e aplicações em Software Livre
Computação em Nuvem: conceitos, tendências e aplicações em Software Livre
 
Virtualização, cloud computig e suas tendencias
Virtualização, cloud computig e suas tendenciasVirtualização, cloud computig e suas tendencias
Virtualização, cloud computig e suas tendencias
 
Oportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemOportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na Nuvem
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 

Mais de Anchises Moraes

Post pandemics threat scenario
Post pandemics threat scenarioPost pandemics threat scenario
Post pandemics threat scenarioAnchises Moraes
 
Como se proteger na internet
Como se proteger na internetComo se proteger na internet
Como se proteger na internetAnchises Moraes
 
Fatos, mitos e palpites do cenário de segurança pós-pandemia
Fatos, mitos e palpites do cenário de segurança pós-pandemiaFatos, mitos e palpites do cenário de segurança pós-pandemia
Fatos, mitos e palpites do cenário de segurança pós-pandemiaAnchises Moraes
 
A Case Study of the Capital One Data Breach
A Case Study of the Capital One Data BreachA Case Study of the Capital One Data Breach
A Case Study of the Capital One Data BreachAnchises Moraes
 
Praticas de gestão de segurança
Praticas de gestão de segurançaPraticas de gestão de segurança
Praticas de gestão de segurançaAnchises Moraes
 
Ciber crime e desafios de segurança durante uma pandemia e home office
Ciber crime e desafios de segurança durante uma pandemia e home officeCiber crime e desafios de segurança durante uma pandemia e home office
Ciber crime e desafios de segurança durante uma pandemia e home officeAnchises Moraes
 
Cyber Cultura em tempos de Coronavírus
Cyber Cultura em tempos de CoronavírusCyber Cultura em tempos de Coronavírus
Cyber Cultura em tempos de CoronavírusAnchises Moraes
 
Hunting bugs - C0r0n4con
Hunting bugs - C0r0n4conHunting bugs - C0r0n4con
Hunting bugs - C0r0n4conAnchises Moraes
 
Fintechs e os desafios de segurança
Fintechs e os desafios de segurançaFintechs e os desafios de segurança
Fintechs e os desafios de segurançaAnchises Moraes
 
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 20195 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019Anchises Moraes
 
Segurança além do Pentest
Segurança além do PentestSegurança além do Pentest
Segurança além do PentestAnchises Moraes
 
Só o Pentest não resolve!
Só o Pentest não resolve!Só o Pentest não resolve!
Só o Pentest não resolve!Anchises Moraes
 
Carreira em Segurança da Informação
Carreira em Segurança da InformaçãoCarreira em Segurança da Informação
Carreira em Segurança da InformaçãoAnchises Moraes
 
Carta de oposição ao Sindpd 2018
Carta de oposição ao Sindpd 2018Carta de oposição ao Sindpd 2018
Carta de oposição ao Sindpd 2018Anchises Moraes
 
Como se tornar um Jedi na área de Segurança
Como se tornar um Jedi na área de SegurançaComo se tornar um Jedi na área de Segurança
Como se tornar um Jedi na área de SegurançaAnchises Moraes
 
É possível existir segurança para IoT?
É possível existir segurança para IoT?É possível existir segurança para IoT?
É possível existir segurança para IoT?Anchises Moraes
 

Mais de Anchises Moraes (20)

Post pandemics threat scenario
Post pandemics threat scenarioPost pandemics threat scenario
Post pandemics threat scenario
 
Como se proteger na internet
Como se proteger na internetComo se proteger na internet
Como se proteger na internet
 
Fatos, mitos e palpites do cenário de segurança pós-pandemia
Fatos, mitos e palpites do cenário de segurança pós-pandemiaFatos, mitos e palpites do cenário de segurança pós-pandemia
Fatos, mitos e palpites do cenário de segurança pós-pandemia
 
A Case Study of the Capital One Data Breach
A Case Study of the Capital One Data BreachA Case Study of the Capital One Data Breach
A Case Study of the Capital One Data Breach
 
Vamos caçar bugs!?
Vamos caçar bugs!?Vamos caçar bugs!?
Vamos caçar bugs!?
 
Praticas de gestão de segurança
Praticas de gestão de segurançaPraticas de gestão de segurança
Praticas de gestão de segurança
 
Ciber crime e desafios de segurança durante uma pandemia e home office
Ciber crime e desafios de segurança durante uma pandemia e home officeCiber crime e desafios de segurança durante uma pandemia e home office
Ciber crime e desafios de segurança durante uma pandemia e home office
 
Cyber Cultura em tempos de Coronavírus
Cyber Cultura em tempos de CoronavírusCyber Cultura em tempos de Coronavírus
Cyber Cultura em tempos de Coronavírus
 
Hunting bugs - C0r0n4con
Hunting bugs - C0r0n4conHunting bugs - C0r0n4con
Hunting bugs - C0r0n4con
 
Fintechs e os desafios de segurança
Fintechs e os desafios de segurançaFintechs e os desafios de segurança
Fintechs e os desafios de segurança
 
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 20195 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019
 
Segurança além do Pentest
Segurança além do PentestSegurança além do Pentest
Segurança além do Pentest
 
Só o Pentest não resolve!
Só o Pentest não resolve!Só o Pentest não resolve!
Só o Pentest não resolve!
 
Carreira em Segurança da Informação
Carreira em Segurança da InformaçãoCarreira em Segurança da Informação
Carreira em Segurança da Informação
 
IoT Fofoqueiro
IoT FofoqueiroIoT Fofoqueiro
IoT Fofoqueiro
 
Carta de oposição ao Sindpd 2018
Carta de oposição ao Sindpd 2018Carta de oposição ao Sindpd 2018
Carta de oposição ao Sindpd 2018
 
Segurança na Internet
Segurança na InternetSegurança na Internet
Segurança na Internet
 
Como se tornar um Jedi na área de Segurança
Como se tornar um Jedi na área de SegurançaComo se tornar um Jedi na área de Segurança
Como se tornar um Jedi na área de Segurança
 
Deep Web e Ciber Crime
Deep Web e Ciber CrimeDeep Web e Ciber Crime
Deep Web e Ciber Crime
 
É possível existir segurança para IoT?
É possível existir segurança para IoT?É possível existir segurança para IoT?
É possível existir segurança para IoT?
 

Fog Computing - Falhas e Riscos da Computação em Nuvem

  • 1. Fog Computing As falhas e riscos da Computação em Nuvem Anchises M. G. de Paula iDefense Intelligence Analyst adepaula@verisign.com 1
  • 2. #FAIL Mar. 13, 2010! Apr. 29, 2011! Car Crash Triggers Amazon Amazon cloud outage was Power Outage! triggered by configuration By Datacenter Knowledge! error! Amazonʼs EC2 cloud computing By Computerworld! service suffered its fourth power Amazon has released a detailed outage in a week on Tuesday, with postmortem and mea culpa about the some customers in its US East Region partial outage of its cloud services losing service for about an hour. The platform last week and identified the incident was triggered when a vehicle culprit: A configuration error made crashed into a utility pole near one of during a network upgrade. ! the companyʼs data centers, and a During this configuration change, a transfer switch failed to properly traffic shift "was executed 
 manage the 
 incorrectly," Amazon said (…).! shift from utility power to the 
 facilityʼs generators.! 2
  • 3. #FAIL Mesmo estando na Nuvem, seu site pode evaporar ? Picture source: sxc.hu! 3
  • 4. Agenda •  Overview - Cloud Computing fonte: sxc.hu! •  Conhecendo os riscos de Cloud Computing •  Novos riscos na Nuvem 4
  • 5. Overview de Cloud Computing 5
  • 6. Overview 20/1/10! •  Cloud Computing se Cloud Computing for tornou um termo popular Business and Society! em TI e negócios by Brad Smith, The Huffington Post! (…)! According to a recent survey conducted by Microsoft, more than 90 percent of Americans are using some form of cloud computing; nearly all of us are connected to the cloud. ! 6! 6
  • 7. O que é Cloud Computing? “A style of computing where massively scalable IT- enabled capabilities are provided "as a service" to external customers using Internet technologies… … where the consumers of the services need only care about what the service does for them, not how it is implemented” Gartner! fonte: sxc.hu! 7
  • 8. Overview •  Cloud Computing representa uma mistura e evolução de várias 2008! tecnologias Cloud Computing! Software as a Service! 1990! Utility Computing! Grid Computing! fonte: Oxford ! 8! 8
  • 9. Overview Fonte: iDefense! 9
  • 10. Overview •  Três categorias básicas de Cloud Computing: •  Infrastructure as a Service (IaaS) •  Platform as a Service (PaaS) •  Software as a Service (SaaS) 10! 10
  • 11. Overview §  Três categorias básicas de Cloud Computing:! Cliente! – Infrastructure as a Service (IaaS)! S ! E ! G U – Platform as a Service (PaaS)! R A N Ç A – Software as a Service (SaaS)! Provedor! 11! 11
  • 12. Conhecendo os Riscos de Cloud Computing 12
  • 13. Cloud Computing é seguro? •  Depende... •  Seguro comparado com o que? •  Precisamos de um contexto fonte: sxc.hu! 13
  • 14. Computação em Nuvem Computação em nuvem é um termo em evolução •  Preocupação com segurança crescendo conforme surgem necessidades e incidentes específicos. fonte: infosuck.org! 14
  • 15. Estratégia para Análise de Riscos •  Identificar o ativo para implantação na nuvem •  Entender as necessidades e os riscos •  Mapear o ativo com o modelo de implantação •  Avaliar os modelos de serviços e fornecedores •  Selecionar estratégias de mitigação fonte: sxc.hu! 15! 15
  • 16. Riscos de Cloud Computing •  Cloud Computing herda vários riscos associados às tecnologias que utiliza •  Conjunto específico de atributos que tornam a análise de riscos mais complexa •  Novos paradigmas •  Detalhes obscuros do CSP fonte: sxc.hu! 16
  • 17. Riscos Tradicionais “Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”! 17! 17
  • 18. Riscos Tradicionais “Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”! •  Riscos : •  Terceiros •  Perda de governança •  Aderência Regulatória •  Acesso privilegiado •  Usuário interno malicioso •  Acesso físico ao ambiente 18! 18
  • 19. Riscos Tradicionais “Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”! •  Riscos : •  Novas vulnerabilidades e gestão de atualizações •  Acesso privilegiado •  Comprometimento da administração •  Exaustão dos recursos 19! 19
  • 20. Riscos Tradicionais “Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”! •  Riscos: •  Novas vulnerabilidades •  Acesso privilegiado •  Segregação de dados •  Roubo de dados •  Recuperação 20! 20
  • 21. Riscos Tradicionais “Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”! •  Riscos: •  Disponibilidade •  Performance •  Interceptação de dados •  DDoS 21! 21
  • 22. Novos riscos na Nuvem 22
  • 23. Novos paradigmas de segurança •  “Nuvem” significa perder parte do controle •  Sem controles físicos •  Repensar a segurança de perímetro •  Sem time de segurança dedicado •  Foco na estratégia de segurança fonte: sxc.hu! 23
  • 24. Riscos •  Proteção dos dados •  Práticas de gestão de dados do Cloud Provider •  Múltiplas transferências de dados •  Interceptação dos dados •  Em trânsito •  Intra-nuvem Fonte: iDefense! 24! 24
  • 25. Riscos •  Proteção dos dados •  Práticas de gestão de dados do Cloud Provider •  Múltiplas transferências de dados •  Interceptação dos dados •  Segregação dos dados •  Remoção insegura ou incompleta Fonte: iDefense! 25! 25
  • 26. Mitigação •  Proteção dos dados •  Práticas de gestão de dados do Cloud Provider •  Múltiplas transferências de dados •  Interceptação dos dados •  Segregação dos dados •  Remoção insegura ou incompleta •  Mitigação •  Criptografia de dados •  Criptografia da comunicação •  Avaliar os procedimentos do CSP •  Auditoria e SLA Fonte: iDefense! 26! 26
  • 27. Riscos •  Localização física dos dados •  Localização e aspectos regulatórios •  Regiões voláteis representam maior risco •  Governos hostis / sem ética e risco de exposição dos dados 27! 27
  • 28. Mitigação •  Localização física dos dados •  Localização e aspectos regulatórios •  Regiões voláteis representam maior risco •  Governos hostis / sem ética e risco de exposição dos dados •  Mitigação •  Identificar a localização dos dados •  Escolha CSPs que garantam a localização dos dados •  Evite CSPs com data centers em países hostis •  Use CSPs baseados no mesmo país 28! 28
  • 29. Riscos •  Disponibilidade •  Exige conectividade constante •  Perda de dados e risco de downtime •  Ataques DDoS globais Fonte: iDefense! 29! 29
  • 30. Riscos •  Disponibilidade •  Exige conectividade constante •  Perda de dados e risco de downtime •  Ataques DDoS globais 06/05/10! US Treasury site hit by attack on cloud host! Finextra.com! A US Treasury Web site has been suspended after its cloud computing host was hacked, redirecting users to a malicious site in the Ukraine. ! Fonte: iDefense! 30! 30
  • 31. Mitigação •  Mitigação •  Conhecer a infraestrutura do CSP’s •  Investimento na conexão Internet local •  Evitar pontos de falha •  Private clouds •  Service-level agreements (SLAs) com os CSPs •  Assuma pelo menos uma falha. Qual o impacto? Fonte: iDefense! 31! 31
  • 32. Riscos •  Portabilidade da Nuvem e Apr. 30, 2009! “Lock-in” Cloud Computing •  Não existem padrões para Forerunner Facing formato de dados, Bankruptcy! ferramentas e interfaces Eweek Europe! Cassatt, the infrastructure management •  Como garantir portabilidade software company started by BEA dos dados, aplicações e Systems founder Bill Coleman, is running out of money.! serviços? •  Alta dependência do CSP A! B! 32! 32
  • 33. Open Cloud Manifesto Principles of an Open Cloud! 1.  Cloud providers must … ensure that the challenges to cloud adoption … are addressed through open collaboration and the appropriate use of standards. 2.  Cloud providers must not use their market position to lock customers … 3.  Cloud providers must use and adopt existing standards wherever appropriate... 4.  When new standards … are needed, … avoid creating too many standards. 5.  Any community effort around the open cloud should be driven by customer needs... Source: www.opencloudmanifesto.org! 33
  • 34. Riscos •  Aspectos Legais •  Leis no local do CSP •  Leis e regulamentações conflitantes •  Compliance do CSP •  Contrato com terceiros •  Falha de compliance: riscos legais 34! 34
  • 35. Mitigação •  Aspectos Legais •  Leis no local do CSP •  Leis e regulamentações conflitantes •  Compliance do CSP •  Contrato com terceiros •  Falha de compliance: riscos legais •  Mitigação FISMA ! •  Conheça suas obrigações HIPAA ! SOX! •  Conheça as obrigações do CSP PCI ! •  Contratos e SLA SAS 70 Audits! 35! 35
  • 36. Riscos •  Suporte Investigativo •  Forense na “nuvem”? •  Múltiplos clientes, logs agregados •  Capacidade de resposta a incidentes •  Dependência do CSP para dados forenses e investigação 36! 36
  • 37. Mitigação •  Suporte Investigativo •  Forense na “nuvem”? •  Múltiplos clientes, logs agregados •  Capacidade de resposta a incidentes •  Dependência do CSP para dados forenses e investigação •  Mitigação •  Definir políticas e procedimentos com o CSP •  Evite CSPs que não participem de uma investigação 37! 37
  • 39. Conclusão •  Segurança na “nuvem” não é muito diferente das necessidades “pré-nuvem” •  Cloud computing é fundamentalmente sobre cedendo controle •  Controles de segurança x Vantagens para o negócio •  Segurança do CSP versus necessidade de segurança fonte: sxc.hu! 39
  • 40. Segurança de Cloud Computing •  Análise de Riscos é fundamental •  Compare os Provedores de Cloud •  Faça auditoria e “due diligence” •  Adote estratégias de mitigação Fonte: vidadeprogramador.com.br! 40
  • 41. Previsão do Tempo •  Muitas nuvens a frente •  Sujeito a chuvas e trovoadas esporádicas •  Tenha sempre um guarda-chuva próximo fonte: Wikimedia Commons! 41
  • 42. Referências •  Cloud Security Alliance (CSA) http://www.cloudsecurityalliance.org •  Cloud Security Alliance – Capítulo Brasil https://chapters.cloudsecurityalliance.org/brazil 42
  • 43. Referências •  “Security Guidance for Critical Areas of Focus in Cloud Computing” http://www.cloudsecurityalliance.org/guidance/csaguide.pdf •  “Top Threats to Cloud Computing V1.0” http://www.cloudsecurityalliance.org/topthreats.html •  “CSA Cloud Controls Matrix V1.2” http://cloudsecurityalliance.org/cm.html 43! 43
  • 44. Referências •  NIST Cloud Computing Project http://csrc.nist.gov/groups/SNS/cloud-computing/index.html •  Relatório da ENISA “Cloud Computing: Benefits, risks and recommendations for information security http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk- assessment •  iDefense Topical Research Paper: “Cloud Computing” 44! 44
  • 45. Thank You © 2011 VeriSign, Inc. All rights reserved. VERISIGN and other trademarks, service marks, and designs are registered or unregistered trademarks of VeriSign, Inc. and its subsidiaries in the United States and in foreign countries. All other trademarks are property of their respective owners.