A Computação em Nuvem (CeN)- ou Cloud Computing - é a oferta de serviços de TI de maneira descentralizada. De maneira similar ao web-hosting, a computação em nuvem oferece aos seus usuários novas formas de usar os recursos de TI, podendo escalar sua aplicação ou ambiente de maneira simples, rápida e barata. Este é um novo modelo de serviço de TI que está se consolidando a cada dia que passa, definindo claramente um modelo de negócios característico.
Atualmente tem-se discutido muito a respeito dos aspectos de segurança envolvendo os serviços disponibilizados na nuvem. Porém é preciso fazer uma analise cuidadosa deste novo modelo, caracterizando as ameaças estritamente relacionadas à computação em nuvem e ameaças características das tecnologias que dão suporte a este modelo, diferenciando-as das ameaças tradicionais. Também é preciso analisar com cuidado o impacto que a exploração de ameaças tradicionais podem causar.
Este trabalho pretende fazer uma pesquisa bibliográfica e uma análise crítica das características únicas e do impacto de vulnerabilidades intrinsecas da computação em nuvem e de vulnerabilidades tradicionais na tríade da segurança da informação neste modelo de serviço.
2. Segurança e privacidade em
computação em nuvem
Monografia em Sistemas de Informação
Aluno: Luiz Augusto Amelotti
Orientador: Prof. Dr. Antônio Alfredo Loureiro
11. Introdução
Processo de gestão dos riscos
▫ Definição do Contexto
▫
▫
▫
▫
▫
Análise dos Riscos
Tratamento dos Riscos
Aceitação dos Riscos
Comunicação dos Riscos
Monitoração
12. Introdução
Auditoria e Perícia
▫ Análise das atividades realizadas no sistema
▫ Análise das vulnerabilidades presentes
▫ Aquisição, preservação, identificação, extração,
recuperação e análise de evidências
▫ Enquadramento das evidências dentro do formato
jurídico
13. Introdução
Motivação
▫ Tendência de aumento com gastos em
Computação em Nuvem
▫ Aumento das soluções baseadas em Computação
em Nuvem
▫ Segurança é crítica para adoção de soluções
baseadas em Computação em Nuvem
14. Introdução
História
▫ Computação em Nuvem
Década de 60 – Utility Computing e o Multics
Década de 80 – popularização do PC e Internet
Década de 90 – Grid Computing e o
compartilhamento de recursos
Decadas de 90 e 2000 – Estouro da bolha .com e
excesso de recursos disponíveis
2006 – Primeiros serviços de nuvem da Amazon
15. Introdução
História
▫ Segurança da Informação
1982 – primeiro programa na forma de vírus
1988 – vírus de Robert Morris derruba 10% da
Internet
1995 – primeira norma/recomendação de segurança
2000 – ataque DDOS derrubou grandes portais
2010 – ataque do Stuxnet
16. Introdução
História
2010 – série de ataques ao Google e outras empresas
americanas
2011 – nova série de ataques ao Google. Alvo são
pessoas ligados ao governo
2011 – EUA elabora política de estado para
cyberguerra
2011 – Série de ataques a redes militares dos EUA
Ontem – possível ataque ao site da CIA
17. Objetivos
▫ Identificar características únicas relacionadas à
segurança em ambientes de Computação em
Nuvem
▫ Avaliar técnicas que visam garantir a segurança e
privacidade em ambientes de Computação em
Nuvem
▫ Caracterizar e avaliar as principais ameaças à
Computação em Nuvem
18. Objetivos
▫ Avaliar técnicas de perícia forense e auditoria e
suas aplicações em ambientes de Computação em
Nuvem
▫ Propor documentação
▫ Subsidiar trabalhos futuros
19. Objetivos
Perguntas
▫ Quão disponíveis estarão os dados em uma nuvem
pública?
▫ Existem riscos de quebra de privacidade?
▫ Que garantias existem que dados de uma empresa
não serão vistos pela outra?
▫ Como fazer uma auditoria nos processos do
provedor de nuvem?
▫ Como garantir integridade e confidencialidade de
dados que estão em uma nuvem pública?
20. Metodologia
▫ Pesquisa básica
▫ Revisão bibliográfica de artigos das principais
conferências de segurança e computação em
nuvem
▫ Revisão de artigos produzidos por grupos de
pesquisa em computação em nuvem e segurança
21. Metodologia
▫ Revisão de livros, publicações especializadas e
demais literaturas relacionadas a segurança da
informação, computação em nuvem, auditoria e
perícia forense
▫ Avaliação de boas práticas e recomendações sobre
segurança da informação e sua aplicação em
ambientes de computação em nuvem
22. Análises
Características da Computação em Nuvem e
tecnologias envolvidas
▫
▫
▫
▫
▫
Virtualização
Computação distribuida
Computação ubíqua
Comunicação de dados
Armazenamento
23. Análises
Principais ameaças para Computação em Nuvem
▫
▫
▫
▫
▫
▫
▫
Uso abusivo da Computação em Nuvem
API’s inseguras
Funcionários maliciosos nos provedores
Vulnerabilidades nas tecnologias de suporte
Vazamento de dados
Seqüestro de contas, tráfego e sessões
Risco desconhecido
24. Análises
Impactos da quebra de segurança
▫ Vazamento de informações confidenciais
▫ Comprometimento do resultado do
processamento
▫ Perda de dados
▫ Indisponibilidade de serviços
▫ Aumento de custos e diminuição de credibilidade!
25. Análises
Alguns ataques específicos a ambientes de
Computação em Nuvem
▫ Cloud Cartography
Usado contra a Amazon
▫ Cloud Malware Injection
▫ Cloud War
26. Análises
Alguns ataques específicos a ambientes de
Computação em Nuvem
▫ Uso de imagens maliciosas
▫ Comprometimento do hypervisor
▫ Comprometimento do processamento
27. Análises
Computação em Nuvem como plataforma para
ataques
▫
▫
▫
▫
▫
Geração de hash-chains
Quebra de senhas
Botnets
Imagens de VMs maliciosas
Spam
28. Análises
Privacidade
▫ Dados estão armazenados em dispositivos sob
controle de outros
Quem tem acesso aos dados?
A privacidade está legalmente garantida?
Caso Wikileaks
29. Análises
Frameworks e boas práticas de segurança
▫ Praticas tradicionais não se aplicam a este
ambiente
Características muito diferentes
▫ Procedimentos padrão de segurança não garantem
quase nada!
30. Análises
Redes de confiança
▫ Similar à estrutura dos certificados digitais
▫ Uma entidade confiável garante a reputação do
provedor
▫ Deve-se confiar na entidade no topo da hierarquia
31. Discussões
▫ Provedores ainda não garantem a segurança dos
dados
Política da Amazon
▫ Segurança dos dados e privacidade estão sujeitos
às políticas e legislação vigentes nos países onde
os dados/aplicações estão armazenados.
32. Discussões
▫ Provedores podem ter infraestrutura distribuida
geográficamente
Ataques tradicionais às redes de dados e problemas
legais
▫ Dificuldade em manter registros para auditoria e
perícia e manter a privacidade dos usuários
Provedor tem de manter dados de todos os clientes
Mais um ativo para entrar no processo de gestão da
segurança
33. Discussões
▫ É necessário tornar os dados anônimos
Foi possível “de-anonimizar” os dados de uma base
do Netflix
Existe um framework – Airavat – que tenta
solucionar o problema
Insere ruido na saida do processamento
34. Conclusões
▫ Nuvem ainda não é totalmente segura
▫ É um novo modelo, com características diferentes
▫ Falta padronização/modelos de segurança
aplicados à Nuvem
▫ Nova maneira de desenvolver software
▫ Sem um bom planejamento, não é o momento de
mover dados/aplicações estratégicas para a nuvem
Avaliar o Risco e o Impacto
35. Conclusões
▫ Redes de confiança podem não ser solução
suficiente
Sistemas da Comodo foram invadidos diversas vezes
▫ Segurança dos dados e privacidade estão sujeitos
às políticas e legislação vigentes nos países onde
os dados/aplicações estão armazenados.
36. Conclusões
▫ O usuário é o principal responsável pela
disponibilidade de seus dados
▫ Os dados podem ficar indisponíveis como
resultado de ataques ao provedor , às plataformas
de execução ou como resultados de procedimentos
de manutenção do ambiente
▫ Exitem riscos legais, além de usuários mal
intencionados dentro das redes dos provedores de
serviços
37. Conclusões
▫ Existem também riscos de roubo de tráfego,
comprometimento dos equipamentos e, no caso de
IaaS, uso de imagens comprometidas
▫ Os provedores garantem o isolamento com
medidas diversas. Mas ataques executados já
mostraram ser possível comprometer essas
medidas
▫ Empresas que concorrem com o provedor de
serviços em algum negócio também correm risco
38. Conclusões
▫ Há a dependência de dados disponibilizados e
controlados pelo provedor para auditoria
▫ Ainda pode haver comprometimento no
processamento dos dados
▫ É necessário uma padronização nos modelos de
segurança, adaptados à realidade da Computação
em Nuvem
▫ É preciso desenvolver frameworks e estabelecer
boas práticas para a segurança na nuvem
39. Trabalhos Futuros
▫ Análisar e avaliar frameworks já propostos
▫ Estudar e desenvolver framework de segurança
▫ Modelo de confiança e responsabilidade para
imagens de VMs, softwares, plataformas, etc
▫ Estudar segurança em Computação em Nuvem
usada por dispositivos móveis
▫ Estudar desenvolvimento de aplicações para
nuvem, considerando a segurança como aspecto
crítico