SlideShare una empresa de Scribd logo

Riscos e segurança na Computação em Nuvem

Anchises Moraes
Anchises Moraes

O documento discute os riscos de segurança associados à computação em nuvem. Apresenta uma agenda sobre porque a segurança é importante nesse modelo, quais são os principais riscos e ameaças. Também discute como integrar controles de segurança e realizar uma análise de riscos considerando os novos paradigmas introduzidos pela computação em nuvem.

1 de 45
Descargar para leer sin conexión
Computação  em  Nuvem   Entendendo  os  Riscos  no  Horizonte   Anchises  M.  G.  De  Paula   Diretor,  CSA  Brasil   Analista  de  Inteligência,  Verisign   1  
Agenda   –   Porque  segurança  em  Computação  em  Nuvem?   –   Principais  Riscos   –   Principais  ameaças   2  
CLOUD  COMPUTING  SECURITY    Porque  segurança  em  Computação  em  Nuvem?   3  
Computação  em  Nuvem   Computação  em  nuvem  é  um  conceito  em  evolução     –   Preocupação  com  segurança  crescendo     –   Necessidades  e  incidentes  específicos.     fonte:  infosuck.org   4  
Cloud  Compu3ng  é  seguro?   •  Depende...   •  Seguro     comparado  com     o  que?   –  Precisamos  de   um  contexto   fonte:  sxc.hu   5  
Considerações  de  Segurança     –   Computação  em  Nuvem   não  é  mais  ou  menos  segura   –   Os  controles  de  segurança   para  Computação  em  Nuvem   não  são  diferentes  dos   controles  de  segurança  para   qualquer  ambiente  de  TI.       fonte:  sxc.hu   6  
Computação  em  Nuvem   Modelo  de  Referência   –   Relações  e  dependências  entre   os  modelos  de  Computação  em   Nuvem     –   CaracterísXcas  são  herdadas   –   Também  são  herdadas  as   questões  de  segurança  da   informação  e  o  risco   fonte:  CSA   7  
Segurança  da  Computação  em  Nuvem   Provedor   S   E   G   U   R   A   N   Ç   A   fonte:  CSA   Cliente   8  
Como  integrar  a  segurança   fonte:  CSA   9  
Estratégia  para  Análise  de  Riscos   •  IdenXficar  o  aXvo  para   implantação  na  nuvem   •  Entender  as   necessidades  e  os  riscos   •  Mapear  o  aXvo  com  o   modelo  de  implantação   •  Avaliar  os  modelos  de   serviços  e  fornecedores   •  Selecionar  estratégias   de  miXgação   fonte:  sxc.hu   10  
Segurança  da  Computação  em  Nuvem   Mapear  o  Modelo  de  Nuvem  para  o  Modelo  de   Controles  de  Segurança  &  Conformidade   fonte:  CSA   11  
NOVOS  RISCOS   Riscos  na  adoção  da  Computação  em  Nuvem   12  
Riscos  de  Cloud  Compu3ng   2/22/10   El  68%  de  los  CIO  europeos   considera  la  seguridad  como  el   •  Computação  em  Nuvem   principal  inconveniente  del   cria  novos  riscos  e  novas   cloud  compuEng   by  Segu.info   oportunidades   Según  un  informe  de  Colt  entre   responsables  de  TI  de  13  países   europeos,  el  68%  de  los  encuestados   cree  que  la  seguridad  es  la  principal   barrera  para  la  adopción  de  servicios   cloud  compuEng,  cifra  que  en     España  alcanza  el  79%.   13  
Riscos  de  Cloud  Compu3ng   •  Cloud  CompuXng  herda   vários  riscos  associados   às  tecnologias  que  uXliza   •  Conjunto  específico  de   atributos  que  tornam  a   análise  de  riscos  mais   complexa   –  Novos  paradigmas   –  Detalhes  obscuros  do  CSP   14  
Principais  Riscos  na  Nuvem   “Guia  de  Segurança  para  Áreas  CríXcas  Focado  em        Computação  em  Nuvem  V2.1”   Seção  I.     •  Domínio  1:  Framework  da  Arquitetura  de  Computação  em  Nuvem   Arquitetura     •  Domínio  2:  Governança  e  Gestão  de  Risco  CorporaXvo   da  Nuvem     •  Domínio  3:  Aspectos  Legais  e  Electronic  Discovery   Seção  II.     •  Domínio  4:  Conformidade  e  Auditoria   Governança  na     •  Domínio  5:  Gerenciamento  do  Ciclo  de  Vida  das  Informações   Nuvem   •  Domínio  6:  Portabilidade  e  Interoperabilidade   •  Domínio  7:  Segurança  Tradicional,  ConXnuidade     de  Negócios  e  Recuperação  de  Desastres   •  Domínio  8:  Operações  e  Data  center     •  Domínio  9:  Resposta  a  Incidente,  NoXficação  e  Remediação   Seção  III.     •  Domínio  10:  Segurança  de  Aplicações   Operando  na     •  Domínio  11:  Criptografia  e  Gerenciamento  de  Chaves   Nuvem   •  Domínio  12:  Gerenciamento  de  IdenXdade  e  Acesso   •  Domínio  13  -­‐  Virtualização   15   15  
Governança  e  Gestão  de  Riscos   Corpora3vos   •  Como  governar  e  medir   Novos  riscos?   o  risco  introduzido  pela   Computação  em  Nuvem     •  Responsabilidade  para   Alguns  provedores  restringem   proteger  dados   avaliações  de  vulnerabilidades   sensíveis  caso  o   ou  testes  de  invasão   provedor  ou  usuário     falharem   Disponibilidade  limitada  dos   •  Como  essas  questões   logs  de  auditoria  e  do   são  afetadas  por   fronteiras  internacionais   monitoramento  de  aXvidades.   16  
Aspectos  Legais  e  Electronic  Discovery   •  Problemas  legais  em   Novos  riscos?   potencial  ao  se     uXlizar  Computação   Onde  o  provedor  de  serviços   em  Nuvem   de  nuvem  irá  hospedar  os   •  Requisitos  de   dados?   proteção  da     informação   •  Conformidade  com  leis   locais     •  Requisitos   •  Ex:  Restrição  do  fluxo  de   regulatórios   dados  além  das  fronteiras,   •  Leis  internacionais   leis  sobre  privacidade,  etc   17  
Conformidade  e  Auditoria   •  Manutenção  e   Novos  riscos?   comprovação  de   conformidade  ao  usar     a  Computação  em   Direito  de  Auditar   Nuvem     •  Como  a  Computação   em  Nuvem  afeta  o   Processos  para  coletar  e   cumprimento  de   armazenar  evidências  de   políXcas  de  segurança   conformidade   interna  e  requisitos  de   conformidade   •  Como  comprovar  a   conformidade   18  
Gerenciamento  do  Ciclo  de  Vida  das   Informações   •  Gerenciamento  dos   Novos  riscos?   Acesso     intra-­‐nuvem   dados  colocados  na     Nuvem     •  Confidencialidade,   integridade  e   disponibilidade   •  Controles   compensatórios  para   lidar  com  a  perda  de   MúlEplas   controle  lsico   transferências   de  dados   Término   fonte:  CSA   dos  serviços   19  
Portabilidade  e  Interoperabilidade   •  Habilidade  de  mover   Novos  riscos?   dados  e/ou  serviços     de  um  provedor  para   “Lock-­‐in”   outro  ou  totalmente   Falta  de  padrões  de   de  volta  para  a   interoperabilidade     empresa   Ambientes  proprietários   •  Interoperabilidade   A   entre  fornecedores   B   20  
Segurança  Tradicional,  Cont.  de   Negócios  e  Recuperação  de  Desastres   •  Como  a  Computação  em   Novos  riscos?   Nuvem  afeta  os   processos  e     procedimentos   Ritmo  acelerado  de  mudanças   operacionais  de   Falta  de  transparência     segurança,  BCP  e  DRP   Controle  e  monitoração   •  A  Computação  em   cononua  dos  provedores  de   Nuvem  pode  ajudar  a   nuvem   diminuir  certos  riscos,  ou   •  Ciclos  mais  frequentes  de   implica  em  aumento  dos   monitoração  e  auditoria   riscos   21  
Operações  e  Data  Center   •  Como  avaliar  a   Novos  riscos?   arquitetura  e  a   operação  de  um     fornecedor  de  Data   Capacidades  reais  dos   Center   provedores   •  CaracterísXcas  de     Mar.  13,  2010   Data  Centers  que   podem  ser  prejudiciais     Amazon  cloud  outage  was   triggered  by  configuraEon  error   e  as  fundamentais   By  Computerworld   Amazon  has  released  a  detailed  postmortem   para  estabilidade  a   and  mea  culpa  about  the  parEal  outage  of  its   longo  prazo   cloud  services  pla_orm  last  week  and   idenEfied  the  culprit:  A  configuraEon  error   made  during  a  network  upgrade.     22  
Resposta  a  Incidente,  No3ficação  e   Remediação   •  Detecção  de   Novos  riscos?   incidentes,  resposta,     noXficação  e   Dependência  do  CSP  para   correção   resposta  a  incidentes  e   •  Aborda  prestadores   invesXgação   de  serviços  e   •  MúlXplos  clientes,  logs   agregados   consumidores     •  Forense   Forense  na  “nuvem”?   computacional     23  
Segurança  de  Aplicações   •  Modos  de  proteger  a   Novos  riscos?   aplicação  sendo     executada  ou   desenvolvida  na   Nova  Arquitetura  de   nuvem   Segurança  da  Aplicação   •  É  apropriado  migrar     ou  projetar  uma   Dependências   aplicação  na  nuvem?     •  Qual  melhor  modelo   (SaaS,  PaaS  ou  IaaS)  ?   Comunicação  inter-­‐hosts     24  
Criptografia  e  Gerenciamento  de   Chaves   •  DiscuXr  por  que   Novos  riscos?   criptografia  é     necessária   Comunicação  inter-­‐hosts   Dados  em  repouso   •  Proteger  o  acesso  aos   •  Em  disco  ou  em  banco  de   dados  de  produção   recursos  ou  proteger   Dados  em  backup     os  dados   25  
Gerenciamento  de  Iden3dade  e  Acesso   •  Foco  em  riscos   Novos  riscos?   quando  se  estende  a     idenXdade  de  uma   Gerenciamento  de  IdenXdade   organização  para   e  Acesso   Nuvem   •  Como  estender  os   processos  e  práXcas  aos   •  Avaliar  a  capacidade   serviços  de  nuvem   da  organização  para   •  Controlar  e  auditar  o  acesso   realizar  a  gestão  de   ao  serviço  de  nuvem   idenXdade  e  acesso   •  AutenXcação  forte   baseados  na  Nuvem   26  
Virtualização   •  Questões  de   Novos  riscos?   segurança  em  torno   do  sistema/hardware     de  virtualização  em   Comunicação  entre  hardware,   Computação  em   e  não  através  de  rede   Nuvem     •  Aborda  riscos   associados  com   ComparXmentalização  e   mulXlocação   elevação  do  nível  de  segurança   •  Isolamento  de  VMs   em  sistemas  virtuais   •  Vulnerabilidades  em     Hypervisor   Centralização  dos  dados   27  
PRINCIPAIS  AMEAÇAS   Sete  principais  ameaças  na  adoção  da  Computação  em  Nuvem   28  
Principais  Riscos  Para  Computação  em   Nuvem   1-­‐  Abuso  e  uso  Malicioso  de  Computação  em  Nuvem   –   Qualquer  pessoa  com  um  cartão  de  crédito  válido  pode   se  registrar  e  usar  os  serviços  em  nuvem   •   Spammers,  autores  de  códigos  maliciosos  e  criminosos   •   Uso  anônimo  e  impune   –   Usos  maliciosos   •   Quebra  de  senhas   •   Realizar  ataques  (ex:  DDoS)   •   Hospedar  dados  maliciosos   CSA  Guidance:   •   Controle  de  botnets   Domínios  8  e  9   IaaS   PaaS   SaaS   29  
Principais  Riscos  Para  Computação  em   Nuvem   2-­‐  Interfaces  e  APIs  Inseguras   –   Segurança  e  disponibilidade  dos  serviços  na  nuvem  são   dependentes  das  interfaces  e  APIs  de  gerenciamento   –   Falhas  acidentais  ou  mal  intencionadas   –   Complexidade   •   Serviços  desconhecidos   –   Controle  de  acesso   •   Acessos  anônonimos   •   Senhas  e  dados  trafegados  em  aberto   CSA  Guidance:   Domínio  10   IaaS   PaaS   SaaS   30  
Principais  Riscos  Para  Computação  em   Nuvem   3-­‐  Usuários  Internos  Maliciosos   –   Ameaça  amplificada   •   Convergência  de  serviços  e  usuários   •   Falta  de  transparência  do  provedor   •   Funcionários  do  provedor   •   Baixo  risco  de  detecção   –   Potenciais  ameaças   •   Concorrentes   •   Espionagem   CSA  Guidance:   •   Hackers     Domínios  2  e  7   IaaS   PaaS   SaaS   31  
Principais  Riscos  Para  Computação  em   Nuvem   4-­‐  Uso  de  Tecnologias  de  ComparXlhamento   –   Forte  isolamento  em  ambientes  mulX-­‐locatários   –   Falhas  no  sistema  de  controle  (hypervisor)   •   Sistemas  virtuais  podem  ter  acesso  ao  sistema  hospedeiro   •   Falha  nos  controles  e  isolamento   –   Clientes  não  devem  ter  acesso  a  dados  de  outros   clientes   •   Dados  atuais  ou  residuais   •   Tráfego  de  rede   CSA  Guidance:     Domínios  8  e  13   IaaS   PaaS   SaaS   32  
Principais  Riscos  Para  Computação  em   Nuvem   5-­‐  Perda  ou  Vazamento  de  Dados   –   Pode  ser  devastador  para  uma  empresa   –   Arquitetura  e  ambiente  da  Nuvem  aumentam  os  riscos   •   Falha  nos  controles  de  autenXcação,  autorização  e  auditoria   (AAA)   •   Falhas  operacionais   •   Persistência  e  remanescência  dos  dados   •   Jurisdição   •   Disponibilidade  do  provedor   CSA  Guidance:   Domínios  5,  11  e  12   IaaS   PaaS   SaaS   33  
Principais  Riscos  Para  Computação  em   Nuvem   6-­‐  Sequestro  de  Serviço  ou  de  Conta   –   Roubo  de  credenciais   •   Phishing,  fraude  ou  exploração  de  falhas   –   Acesso  indevido  a  Nuvem   •   Acessar  dados  e  transações   •   Manipulação  dos  dados   •   Redirecionar  usuários  para  outros  sites   CSA  Guidance:   Domínios  2,  9  e  12   IaaS   PaaS   SaaS   34  
Principais  Riscos  Para  Computação  em   Nuvem   7-­‐  Riscos  Desconhecidos   –   Na  Computação  em  Nuvem,  as  empresas  abrem  mão  da   gestão  do  hardware  e  do  soxware  para  focar  no  negócio   •   Segurança  por  obscuridade  e  baixo  esforço   •   Perde  controles  de  segurança   –   Detalhes  de  operação  e  compliance  do  fornecedor   •   Versão  de  soxware  e  atualização  de  código   •   Com  quem  você  comparXlha  a  infra-­‐estrutura   •   TentaXvas  de  ataque   CSA  Guidance:   •   Guarda  de  logs   Domínios  2,  3,  8  e  9   IaaS   PaaS   SaaS   35  
CONCLUSÕES   36  
Segurança  de  Cloud  Compu3ng   •  Análise  de  riscos  é   fundamental   •  Segurança  na  “nuvem”   não  é  muito  diferente   das  necessidades   “pré-­‐nuvem”   fonte:  sxc.hu   37  
Previsão  do  Tempo   •  Muitas  nuvens  a  frente     •  Sujeito  a  chuvas  e   trovoadas  esporádicas   •  Tenha  sempre  um   guarda-­‐chuva  guardado     fonte:  Wikimedia  Commons   38  
Referências   •  NIST  Cloud  CompuXng  Project    hPp://csrc.nist.gov/groups/SNS/cloud-­‐compu3ng/index.html   •  “Cloud  CompuXng:  Benefits,  risks     and  recommendaXons  for  informaXon  security”   hPp://www.enisa.europa.eu/act/rm/files/deliverables/cloud-­‐ compu3ng-­‐risk-­‐assessment   39   39  
Referências   Security  Guidance  for  CriXcal  Areas  of  Focus     in  Cloud  CompuXng  v.  2.1   –   Referência  para  análise  dos  riscos          hzp://www.cloudsecurityalliance.org/guidance/csaguide.pdf     Top  Threats  to  Cloud  CompuXng  V1.0   –   Sete  principais  riscos            hzp://www.cloudsecurityalliance.org/topthreats.html     40  
Referências   •  “CSA  Cloud  Controls  Matrix  V1”   –  Lançado  em  27  de  Abril  27,  2010   –  hzp://www.cloudsecurityalliance.org/cm.html     41   41  
Obrigado         Anchises  M.  G.  de  Paula   Membro  da  CSA  Brasil   anchisesbr@gmail.com   twizer.com/anchisesbr   twizer.com/csabr   hzps://chapters.cloudsecurityalliance.org/brazil   hzp://www.cloudsecurityalliance.org   42  
Sobre  a  Cloud  Security  Alliance     –   Associação  sem  fins  lucraXvos   –   Oficializada  em  Dezembro  de  2008   –   +12mil  Membros   –   Presente  em  vários  países  através  de  Chapters   locais   43  
CSA:  Missão   To   promote   the   use   of   best   pracXces   for   providing   security   assurance   within   Cloud   CompuXng,   and   provide   educaXon   on   the   uses  of  Cloud  CompuXng  to   help   secure   all   other   forms   of  compuXng.   fonte:  sxc.hu   44  
CSA  Brasil:   Overview     –   Segundo  Chapter  oficial  da  CSA   –   Oficializado  em  27  de  Maio  de  2010   –   Mais  de  100  membros   –   Board:  Leonardo  Goldim;  Anchises  Moraes,  Jaime  OrXs  y   Lugo,  Jordan  Bonagura,  Olympio  Renno   –   Segue  Missão  e  ObjeXvos  da  CSA  Global   45  

Recomendados

Cloud Computing - Conceitos e Riscos
Cloud Computing - Conceitos e RiscosCloud Computing - Conceitos e Riscos
Cloud Computing - Conceitos e RiscosAnchises Moraes
 
H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soJOSÉ RAMON CARIAS
 
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Symantec Brasil
 
Artigo Cloud Computing
Artigo Cloud ComputingArtigo Cloud Computing
Artigo Cloud ComputingRicardo Peres
 
Simulado mcso 1
Simulado mcso 1Simulado mcso 1
Simulado mcso 1Marcelo Gaspar BLACK BELT, CISA, CGEIT
 
Trabalho Técnico apresentado no XI SIMPASE
Trabalho Técnico apresentado no XI SIMPASE Trabalho Técnico apresentado no XI SIMPASE
Trabalho Técnico apresentado no XI SIMPASE TI Safe
 
Ws uma luz_no_caminho_da_seguranca_v1.0
Ws uma luz_no_caminho_da_seguranca_v1.0Ws uma luz_no_caminho_da_seguranca_v1.0
Ws uma luz_no_caminho_da_seguranca_v1.0Nuno Tasso de Figueiredo
 
Cnasi sp apresentação marcelo souza
Cnasi sp apresentação marcelo souzaCnasi sp apresentação marcelo souza
Cnasi sp apresentação marcelo souzaTechBiz Forense Digital
 

Recomendados

Cloud Computing - Conceitos e Riscos
Cloud Computing - Conceitos e RiscosCloud Computing - Conceitos e Riscos
Cloud Computing - Conceitos e RiscosAnchises Moraes
 
H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soJOSÉ RAMON CARIAS
 
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Symantec Brasil
 
Artigo Cloud Computing
Artigo Cloud ComputingArtigo Cloud Computing
Artigo Cloud ComputingRicardo Peres
 
Simulado mcso 1
Simulado mcso 1Simulado mcso 1
Simulado mcso 1Marcelo Gaspar BLACK BELT, CISA, CGEIT
 
Trabalho Técnico apresentado no XI SIMPASE
Trabalho Técnico apresentado no XI SIMPASE Trabalho Técnico apresentado no XI SIMPASE
Trabalho Técnico apresentado no XI SIMPASE TI Safe
 
Ws uma luz_no_caminho_da_seguranca_v1.0
Ws uma luz_no_caminho_da_seguranca_v1.0Ws uma luz_no_caminho_da_seguranca_v1.0
Ws uma luz_no_caminho_da_seguranca_v1.0Nuno Tasso de Figueiredo
 
Cnasi sp apresentação marcelo souza
Cnasi sp apresentação marcelo souzaCnasi sp apresentação marcelo souza
Cnasi sp apresentação marcelo souzaTechBiz Forense Digital
 
Tcc segurança da informação
Tcc segurança da informaçãoTcc segurança da informação
Tcc segurança da informaçãoSebastião de Aquino Ribeiro Junior
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoFernando Palma
 
Symantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Brasil
 
Cloud conceitos, segurança e migração
Cloud conceitos, segurança e migraçãoCloud conceitos, segurança e migração
Cloud conceitos, segurança e migraçãoAllen Informática
 
Tcc firewalls e a segurança na internet
Tcc firewalls e a segurança na internetTcc firewalls e a segurança na internet
Tcc firewalls e a segurança na internetalexandrino1
 
Oportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemOportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemCássio Quaresma
 
Oferta de sensibilização à segurança da informação sys value - v2013.2
Oferta de sensibilização à segurança da informação sys value - v2013.2Oferta de sensibilização à segurança da informação sys value - v2013.2
Oferta de sensibilização à segurança da informação sys value - v2013.2Filipe Rolo
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoCisco do Brasil
 
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Symantec Brasil
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1gabrio2022
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...University of North Carolina at Chapel Hill Balloni
 
Dis defesa abordagem relacional modelo seguranca
Dis defesa abordagem relacional modelo segurancaDis defesa abordagem relacional modelo seguranca
Dis defesa abordagem relacional modelo segurancaRui Gomes
 
Apresentação ENG PUCC - Implementação de Praticas de Segurança da Informação ...
Apresentação ENG PUCC - Implementação de Praticas de Segurança da Informação ...Apresentação ENG PUCC - Implementação de Praticas de Segurança da Informação ...
Apresentação ENG PUCC - Implementação de Praticas de Segurança da Informação ...Evandro Guilherme Miguel
 
Apresentação dissertação
Apresentação dissertaçãoApresentação dissertação
Apresentação dissertaçãoMiky Mikusher Raymond
 
Next gen antivirus_cylance
Next gen antivirus_cylanceNext gen antivirus_cylance
Next gen antivirus_cylanceaassenato
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaGilberto Sudre
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
TCC Seguranca -1.0
TCC Seguranca -1.0TCC Seguranca -1.0
TCC Seguranca -1.0Adriano Santos
 
Como economizar em infraestrutura
Como economizar em infraestruturaComo economizar em infraestrutura
Como economizar em infraestruturaArtsoft Sistemas
 
Cloud computing
Cloud computingCloud computing
Cloud computingRoney Médice
 
Fog Computing - Falhas e Riscos da Computação em Nuvem
Fog Computing - Falhas e Riscos da Computação em NuvemFog Computing - Falhas e Riscos da Computação em Nuvem
Fog Computing - Falhas e Riscos da Computação em NuvemAnchises Moraes
 
Analise de riscos e contramedidas em cloud computing
Analise de riscos e contramedidas em cloud computing Analise de riscos e contramedidas em cloud computing
Analise de riscos e contramedidas em cloud computing Paulo Rodrigues
 

Más contenido relacionado

La actualidad más candente

Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoFernando Palma
 
Symantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Brasil
 
Cloud conceitos, segurança e migração
Cloud conceitos, segurança e migraçãoCloud conceitos, segurança e migração
Cloud conceitos, segurança e migraçãoAllen Informática
 
Tcc firewalls e a segurança na internet
Tcc firewalls e a segurança na internetTcc firewalls e a segurança na internet
Tcc firewalls e a segurança na internetalexandrino1
 
Oportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemOportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemCássio Quaresma
 
Oferta de sensibilização à segurança da informação sys value - v2013.2
Oferta de sensibilização à segurança da informação sys value - v2013.2Oferta de sensibilização à segurança da informação sys value - v2013.2
Oferta de sensibilização à segurança da informação sys value - v2013.2Filipe Rolo
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoCisco do Brasil
 
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Symantec Brasil
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1gabrio2022
 
Dis defesa abordagem relacional modelo seguranca
Dis defesa abordagem relacional modelo segurancaDis defesa abordagem relacional modelo seguranca
Dis defesa abordagem relacional modelo segurancaRui Gomes
 
Apresentação ENG PUCC - Implementação de Praticas de Segurança da Informação ...
Apresentação ENG PUCC - Implementação de Praticas de Segurança da Informação ...Apresentação ENG PUCC - Implementação de Praticas de Segurança da Informação ...
Apresentação ENG PUCC - Implementação de Praticas de Segurança da Informação ...Evandro Guilherme Miguel
 
Next gen antivirus_cylance
Next gen antivirus_cylanceNext gen antivirus_cylance
Next gen antivirus_cylanceaassenato
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaGilberto Sudre
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 

La actualidad más candente (18)

Tcc segurança da informação
Tcc segurança da informaçãoTcc segurança da informação
Tcc segurança da informação
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
 
Symantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec Cynic
 
Cloud conceitos, segurança e migração
Cloud conceitos, segurança e migraçãoCloud conceitos, segurança e migração
Cloud conceitos, segurança e migração
 
Tcc firewalls e a segurança na internet
Tcc firewalls e a segurança na internetTcc firewalls e a segurança na internet
Tcc firewalls e a segurança na internet
 
Oportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemOportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na Nuvem
 
Oferta de sensibilização à segurança da informação sys value - v2013.2
Oferta de sensibilização à segurança da informação sys value - v2013.2Oferta de sensibilização à segurança da informação sys value - v2013.2
Oferta de sensibilização à segurança da informação sys value - v2013.2
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
 
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
 
Dis defesa abordagem relacional modelo seguranca
Dis defesa abordagem relacional modelo segurancaDis defesa abordagem relacional modelo seguranca
Dis defesa abordagem relacional modelo seguranca
 
Apresentação ENG PUCC - Implementação de Praticas de Segurança da Informação ...
Apresentação ENG PUCC - Implementação de Praticas de Segurança da Informação ...Apresentação ENG PUCC - Implementação de Praticas de Segurança da Informação ...
Apresentação ENG PUCC - Implementação de Praticas de Segurança da Informação ...
 
Apresentação dissertação
Apresentação dissertaçãoApresentação dissertação
Apresentação dissertação
 
Next gen antivirus_cylance
Next gen antivirus_cylanceNext gen antivirus_cylance
Next gen antivirus_cylance
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de Segurança
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
TCC Seguranca -1.0
TCC Seguranca -1.0TCC Seguranca -1.0
TCC Seguranca -1.0
 

Destacado

Como economizar em infraestrutura
Como economizar em infraestruturaComo economizar em infraestrutura
Como economizar em infraestruturaArtsoft Sistemas
 
Fog Computing - Falhas e Riscos da Computação em Nuvem
Fog Computing - Falhas e Riscos da Computação em NuvemFog Computing - Falhas e Riscos da Computação em Nuvem
Fog Computing - Falhas e Riscos da Computação em NuvemAnchises Moraes
 
Analise de riscos e contramedidas em cloud computing
Analise de riscos e contramedidas em cloud computing Analise de riscos e contramedidas em cloud computing
Analise de riscos e contramedidas em cloud computing Paulo Rodrigues
 
Riscos de segurança em cloud computing - Parte 4
Riscos de segurança em cloud computing - Parte 4Riscos de segurança em cloud computing - Parte 4
Riscos de segurança em cloud computing - Parte 4Fristtram Helder Fernandes
 
A Governança de TI e a Cloud Computing
A Governança de TI e a Cloud Computing A Governança de TI e a Cloud Computing
A Governança de TI e a Cloud Computing Elias Pardim
 

Destacado (6)

Como economizar em infraestrutura
Como economizar em infraestruturaComo economizar em infraestrutura
Como economizar em infraestrutura
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Fog Computing - Falhas e Riscos da Computação em Nuvem
Fog Computing - Falhas e Riscos da Computação em NuvemFog Computing - Falhas e Riscos da Computação em Nuvem
Fog Computing - Falhas e Riscos da Computação em Nuvem
 
Analise de riscos e contramedidas em cloud computing
Analise de riscos e contramedidas em cloud computing Analise de riscos e contramedidas em cloud computing
Analise de riscos e contramedidas em cloud computing
 
Riscos de segurança em cloud computing - Parte 4
Riscos de segurança em cloud computing - Parte 4Riscos de segurança em cloud computing - Parte 4
Riscos de segurança em cloud computing - Parte 4
 
A Governança de TI e a Cloud Computing
A Governança de TI e a Cloud Computing A Governança de TI e a Cloud Computing
A Governança de TI e a Cloud Computing
 

Similar a Riscos e segurança na Computação em Nuvem

My Cloud Computing Presentation V3
My Cloud Computing Presentation V3My Cloud Computing Presentation V3
My Cloud Computing Presentation V3namplc
 
Computação em Nuvem: Futuro e Desafios
Computação em Nuvem: Futuro e DesafiosComputação em Nuvem: Futuro e Desafios
Computação em Nuvem: Futuro e DesafiosLeo Goldim
 
Vale Security Conference - 2011 - 15 - Anchises de Paula
Vale Security Conference - 2011 - 15 - Anchises de PaulaVale Security Conference - 2011 - 15 - Anchises de Paula
Vale Security Conference - 2011 - 15 - Anchises de PaulaVale Security Conference
 
Segurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosSegurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosRodrigo Felipe Betussi
 
Sicgov2010 Anchises - painel cloud computing [compatibility mode]
Sicgov2010 Anchises - painel cloud computing [compatibility mode]Sicgov2010 Anchises - painel cloud computing [compatibility mode]
Sicgov2010 Anchises - painel cloud computing [compatibility mode]Anchises Moraes
 
Cibersegurança no Setor Elétrico: Ações internacionais e proposta para mitiga...
Cibersegurança no Setor Elétrico: Ações internacionais e proposta para mitiga...Cibersegurança no Setor Elétrico: Ações internacionais e proposta para mitiga...
Cibersegurança no Setor Elétrico: Ações internacionais e proposta para mitiga...José Reynaldo Formigoni Filho, MSc
 
Palestra cloud-computing
Palestra cloud-computingPalestra cloud-computing
Palestra cloud-computingNaptec
 
Cloud Computing: uma abordagem objetiva sobre o novo ambiente computacional
Cloud Computing: uma abordagem objetiva sobre o novo ambiente computacionalCloud Computing: uma abordagem objetiva sobre o novo ambiente computacional
Cloud Computing: uma abordagem objetiva sobre o novo ambiente computacionalJosé Morelli Neto
 
[CLASS 2014] Palestra Técnica - Felipe Penaranda
[CLASS 2014] Palestra Técnica - Felipe Penaranda[CLASS 2014] Palestra Técnica - Felipe Penaranda
[CLASS 2014] Palestra Técnica - Felipe PenarandaTI Safe
 
Embrace Any Cloud Securely
Embrace Any Cloud Securely Embrace Any Cloud Securely
Embrace Any Cloud Securely Alexandre Freire
 
Segurança em Sistemas SCADA
Segurança em Sistemas SCADASegurança em Sistemas SCADA
Segurança em Sistemas SCADAAlexandre Freire
 
Cloud Computing - Security in the Cloud
Cloud Computing - Security in the CloudCloud Computing - Security in the Cloud
Cloud Computing - Security in the CloudAlexandro Silva
 
Lançamento CSA Guide em Português
Lançamento CSA Guide em PortuguêsLançamento CSA Guide em Português
Lançamento CSA Guide em PortuguêsLeo Goldim
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud ComputingAlê Borba
 
Delivering infrastructure, security, and operations as code - DEM02-S - São P...
Delivering infrastructure, security, and operations as code - DEM02-S - São P...Delivering infrastructure, security, and operations as code - DEM02-S - São P...
Delivering infrastructure, security, and operations as code - DEM02-S - São P...Amazon Web Services
 
Cloud computing for dummies
Cloud computing for dummiesCloud computing for dummies
Cloud computing for dummiesAnchises Moraes
 

Similar a Riscos e segurança na Computação em Nuvem (20)

My Cloud Computing Presentation V3
My Cloud Computing Presentation V3My Cloud Computing Presentation V3
My Cloud Computing Presentation V3
 
Computação em Nuvem: Futuro e Desafios
Computação em Nuvem: Futuro e DesafiosComputação em Nuvem: Futuro e Desafios
Computação em Nuvem: Futuro e Desafios
 
Vale Security Conference - 2011 - 15 - Anchises de Paula
Vale Security Conference - 2011 - 15 - Anchises de PaulaVale Security Conference - 2011 - 15 - Anchises de Paula
Vale Security Conference - 2011 - 15 - Anchises de Paula
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Segurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosSegurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e Riscos
 
Sicgov2010 Anchises - painel cloud computing [compatibility mode]
Sicgov2010 Anchises - painel cloud computing [compatibility mode]Sicgov2010 Anchises - painel cloud computing [compatibility mode]
Sicgov2010 Anchises - painel cloud computing [compatibility mode]
 
Cibersegurança no Setor Elétrico: Ações internacionais e proposta para mitiga...
Cibersegurança no Setor Elétrico: Ações internacionais e proposta para mitiga...Cibersegurança no Setor Elétrico: Ações internacionais e proposta para mitiga...
Cibersegurança no Setor Elétrico: Ações internacionais e proposta para mitiga...
 
Palestra cloud-computing
Palestra cloud-computingPalestra cloud-computing
Palestra cloud-computing
 
Cloud Computing: uma abordagem objetiva sobre o novo ambiente computacional
Cloud Computing: uma abordagem objetiva sobre o novo ambiente computacionalCloud Computing: uma abordagem objetiva sobre o novo ambiente computacional
Cloud Computing: uma abordagem objetiva sobre o novo ambiente computacional
 
[CLASS 2014] Palestra Técnica - Felipe Penaranda
[CLASS 2014] Palestra Técnica - Felipe Penaranda[CLASS 2014] Palestra Técnica - Felipe Penaranda
[CLASS 2014] Palestra Técnica - Felipe Penaranda
 
Embrace Any Cloud Securely
Embrace Any Cloud Securely Embrace Any Cloud Securely
Embrace Any Cloud Securely
 
Segurança em Sistemas SCADA
Segurança em Sistemas SCADASegurança em Sistemas SCADA
Segurança em Sistemas SCADA
 
Ufs na nuvem gp 2017-2
Ufs na nuvem gp 2017-2 Ufs na nuvem gp 2017-2
Ufs na nuvem gp 2017-2
 
Cloud Computing - Security in the Cloud
Cloud Computing - Security in the CloudCloud Computing - Security in the Cloud
Cloud Computing - Security in the Cloud
 
Lançamento CSA Guide em Português
Lançamento CSA Guide em PortuguêsLançamento CSA Guide em Português
Lançamento CSA Guide em Português
 
Segurança Em Computaçao Na Nuvem
Segurança Em Computaçao Na NuvemSegurança Em Computaçao Na Nuvem
Segurança Em Computaçao Na Nuvem
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
Delivering infrastructure, security, and operations as code - DEM02-S - São P...
Delivering infrastructure, security, and operations as code - DEM02-S - São P...Delivering infrastructure, security, and operations as code - DEM02-S - São P...
Delivering infrastructure, security, and operations as code - DEM02-S - São P...
 
Cloud computing for dummies
Cloud computing for dummiesCloud computing for dummies
Cloud computing for dummies
 
Ufs na nuvem gp 2017-2
Ufs na nuvem gp 2017-2 Ufs na nuvem gp 2017-2
Ufs na nuvem gp 2017-2
 

Más de Anchises Moraes

Post pandemics threat scenario
Post pandemics threat scenarioPost pandemics threat scenario
Post pandemics threat scenarioAnchises Moraes
 
Como se proteger na internet
Como se proteger na internetComo se proteger na internet
Como se proteger na internetAnchises Moraes
 
Fatos, mitos e palpites do cenário de segurança pós-pandemia
Fatos, mitos e palpites do cenário de segurança pós-pandemiaFatos, mitos e palpites do cenário de segurança pós-pandemia
Fatos, mitos e palpites do cenário de segurança pós-pandemiaAnchises Moraes
 
A Case Study of the Capital One Data Breach
A Case Study of the Capital One Data BreachA Case Study of the Capital One Data Breach
A Case Study of the Capital One Data BreachAnchises Moraes
 
Praticas de gestão de segurança
Praticas de gestão de segurançaPraticas de gestão de segurança
Praticas de gestão de segurançaAnchises Moraes
 
Ciber crime e desafios de segurança durante uma pandemia e home office
Ciber crime e desafios de segurança durante uma pandemia e home officeCiber crime e desafios de segurança durante uma pandemia e home office
Ciber crime e desafios de segurança durante uma pandemia e home officeAnchises Moraes
 
Cyber Cultura em tempos de Coronavírus
Cyber Cultura em tempos de CoronavírusCyber Cultura em tempos de Coronavírus
Cyber Cultura em tempos de CoronavírusAnchises Moraes
 
Hunting bugs - C0r0n4con
Hunting bugs - C0r0n4conHunting bugs - C0r0n4con
Hunting bugs - C0r0n4conAnchises Moraes
 
Fintechs e os desafios de segurança
Fintechs e os desafios de segurançaFintechs e os desafios de segurança
Fintechs e os desafios de segurançaAnchises Moraes
 
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 20195 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019Anchises Moraes
 
Segurança além do Pentest
Segurança além do PentestSegurança além do Pentest
Segurança além do PentestAnchises Moraes
 
Só o Pentest não resolve!
Só o Pentest não resolve!Só o Pentest não resolve!
Só o Pentest não resolve!Anchises Moraes
 
Carreira em Segurança da Informação
Carreira em Segurança da InformaçãoCarreira em Segurança da Informação
Carreira em Segurança da InformaçãoAnchises Moraes
 
Carta de oposição ao Sindpd 2018
Carta de oposição ao Sindpd 2018Carta de oposição ao Sindpd 2018
Carta de oposição ao Sindpd 2018Anchises Moraes
 
Como se tornar um Jedi na área de Segurança
Como se tornar um Jedi na área de SegurançaComo se tornar um Jedi na área de Segurança
Como se tornar um Jedi na área de SegurançaAnchises Moraes
 
É possível existir segurança para IoT?
É possível existir segurança para IoT?É possível existir segurança para IoT?
É possível existir segurança para IoT?Anchises Moraes
 

Más de Anchises Moraes (20)

Post pandemics threat scenario
Post pandemics threat scenarioPost pandemics threat scenario
Post pandemics threat scenario
 
Como se proteger na internet
Como se proteger na internetComo se proteger na internet
Como se proteger na internet
 
Fatos, mitos e palpites do cenário de segurança pós-pandemia
Fatos, mitos e palpites do cenário de segurança pós-pandemiaFatos, mitos e palpites do cenário de segurança pós-pandemia
Fatos, mitos e palpites do cenário de segurança pós-pandemia
 
A Case Study of the Capital One Data Breach
A Case Study of the Capital One Data BreachA Case Study of the Capital One Data Breach
A Case Study of the Capital One Data Breach
 
Vamos caçar bugs!?
Vamos caçar bugs!?Vamos caçar bugs!?
Vamos caçar bugs!?
 
Praticas de gestão de segurança
Praticas de gestão de segurançaPraticas de gestão de segurança
Praticas de gestão de segurança
 
Ciber crime e desafios de segurança durante uma pandemia e home office
Ciber crime e desafios de segurança durante uma pandemia e home officeCiber crime e desafios de segurança durante uma pandemia e home office
Ciber crime e desafios de segurança durante uma pandemia e home office
 
Cyber Cultura em tempos de Coronavírus
Cyber Cultura em tempos de CoronavírusCyber Cultura em tempos de Coronavírus
Cyber Cultura em tempos de Coronavírus
 
Hunting bugs - C0r0n4con
Hunting bugs - C0r0n4conHunting bugs - C0r0n4con
Hunting bugs - C0r0n4con
 
Fintechs e os desafios de segurança
Fintechs e os desafios de segurançaFintechs e os desafios de segurança
Fintechs e os desafios de segurança
 
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 20195 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019
 
Segurança além do Pentest
Segurança além do PentestSegurança além do Pentest
Segurança além do Pentest
 
Só o Pentest não resolve!
Só o Pentest não resolve!Só o Pentest não resolve!
Só o Pentest não resolve!
 
Carreira em Segurança da Informação
Carreira em Segurança da InformaçãoCarreira em Segurança da Informação
Carreira em Segurança da Informação
 
IoT Fofoqueiro
IoT FofoqueiroIoT Fofoqueiro
IoT Fofoqueiro
 
Carta de oposição ao Sindpd 2018
Carta de oposição ao Sindpd 2018Carta de oposição ao Sindpd 2018
Carta de oposição ao Sindpd 2018
 
Segurança na Internet
Segurança na InternetSegurança na Internet
Segurança na Internet
 
Como se tornar um Jedi na área de Segurança
Como se tornar um Jedi na área de SegurançaComo se tornar um Jedi na área de Segurança
Como se tornar um Jedi na área de Segurança
 
Deep Web e Ciber Crime
Deep Web e Ciber CrimeDeep Web e Ciber Crime
Deep Web e Ciber Crime
 
É possível existir segurança para IoT?
É possível existir segurança para IoT?É possível existir segurança para IoT?
É possível existir segurança para IoT?
 

Riscos e segurança na Computação em Nuvem

  • 1. Computação  em  Nuvem   Entendendo  os  Riscos  no  Horizonte   Anchises  M.  G.  De  Paula   Diretor,  CSA  Brasil   Analista  de  Inteligência,  Verisign   1  
  • 2. Agenda   –   Porque  segurança  em  Computação  em  Nuvem?   –   Principais  Riscos   –   Principais  ameaças   2  
  • 3. CLOUD  COMPUTING  SECURITY    Porque  segurança  em  Computação  em  Nuvem?   3  
  • 4. Computação  em  Nuvem   Computação  em  nuvem  é  um  conceito  em  evolução     –   Preocupação  com  segurança  crescendo     –   Necessidades  e  incidentes  específicos.     fonte:  infosuck.org   4  
  • 5. Cloud  Compu3ng  é  seguro?   •  Depende...   •  Seguro     comparado  com     o  que?   –  Precisamos  de   um  contexto   fonte:  sxc.hu   5  
  • 6. Considerações  de  Segurança     –   Computação  em  Nuvem   não  é  mais  ou  menos  segura   –   Os  controles  de  segurança   para  Computação  em  Nuvem   não  são  diferentes  dos   controles  de  segurança  para   qualquer  ambiente  de  TI.       fonte:  sxc.hu   6  
  • 7. Computação  em  Nuvem   Modelo  de  Referência   –   Relações  e  dependências  entre   os  modelos  de  Computação  em   Nuvem     –   CaracterísXcas  são  herdadas   –   Também  são  herdadas  as   questões  de  segurança  da   informação  e  o  risco   fonte:  CSA   7  
  • 8. Segurança  da  Computação  em  Nuvem   Provedor   S   E   G   U   R   A   N   Ç   A   fonte:  CSA   Cliente   8  
  • 9. Como  integrar  a  segurança   fonte:  CSA   9  
  • 10. Estratégia  para  Análise  de  Riscos   •  IdenXficar  o  aXvo  para   implantação  na  nuvem   •  Entender  as   necessidades  e  os  riscos   •  Mapear  o  aXvo  com  o   modelo  de  implantação   •  Avaliar  os  modelos  de   serviços  e  fornecedores   •  Selecionar  estratégias   de  miXgação   fonte:  sxc.hu   10  
  • 11. Segurança  da  Computação  em  Nuvem   Mapear  o  Modelo  de  Nuvem  para  o  Modelo  de   Controles  de  Segurança  &  Conformidade   fonte:  CSA   11  
  • 12. NOVOS  RISCOS   Riscos  na  adoção  da  Computação  em  Nuvem   12  
  • 13. Riscos  de  Cloud  Compu3ng   2/22/10   El  68%  de  los  CIO  europeos   considera  la  seguridad  como  el   •  Computação  em  Nuvem   principal  inconveniente  del   cria  novos  riscos  e  novas   cloud  compuEng   by  Segu.info   oportunidades   Según  un  informe  de  Colt  entre   responsables  de  TI  de  13  países   europeos,  el  68%  de  los  encuestados   cree  que  la  seguridad  es  la  principal   barrera  para  la  adopción  de  servicios   cloud  compuEng,  cifra  que  en     España  alcanza  el  79%.   13  
  • 14. Riscos  de  Cloud  Compu3ng   •  Cloud  CompuXng  herda   vários  riscos  associados   às  tecnologias  que  uXliza   •  Conjunto  específico  de   atributos  que  tornam  a   análise  de  riscos  mais   complexa   –  Novos  paradigmas   –  Detalhes  obscuros  do  CSP   14  
  • 15. Principais  Riscos  na  Nuvem   “Guia  de  Segurança  para  Áreas  CríXcas  Focado  em        Computação  em  Nuvem  V2.1”   Seção  I.     •  Domínio  1:  Framework  da  Arquitetura  de  Computação  em  Nuvem   Arquitetura     •  Domínio  2:  Governança  e  Gestão  de  Risco  CorporaXvo   da  Nuvem     •  Domínio  3:  Aspectos  Legais  e  Electronic  Discovery   Seção  II.     •  Domínio  4:  Conformidade  e  Auditoria   Governança  na     •  Domínio  5:  Gerenciamento  do  Ciclo  de  Vida  das  Informações   Nuvem   •  Domínio  6:  Portabilidade  e  Interoperabilidade   •  Domínio  7:  Segurança  Tradicional,  ConXnuidade     de  Negócios  e  Recuperação  de  Desastres   •  Domínio  8:  Operações  e  Data  center     •  Domínio  9:  Resposta  a  Incidente,  NoXficação  e  Remediação   Seção  III.     •  Domínio  10:  Segurança  de  Aplicações   Operando  na     •  Domínio  11:  Criptografia  e  Gerenciamento  de  Chaves   Nuvem   •  Domínio  12:  Gerenciamento  de  IdenXdade  e  Acesso   •  Domínio  13  -­‐  Virtualização   15   15  
  • 16. Governança  e  Gestão  de  Riscos   Corpora3vos   •  Como  governar  e  medir   Novos  riscos?   o  risco  introduzido  pela   Computação  em  Nuvem     •  Responsabilidade  para   Alguns  provedores  restringem   proteger  dados   avaliações  de  vulnerabilidades   sensíveis  caso  o   ou  testes  de  invasão   provedor  ou  usuário     falharem   Disponibilidade  limitada  dos   •  Como  essas  questões   logs  de  auditoria  e  do   são  afetadas  por   fronteiras  internacionais   monitoramento  de  aXvidades.   16  
  • 17. Aspectos  Legais  e  Electronic  Discovery   •  Problemas  legais  em   Novos  riscos?   potencial  ao  se     uXlizar  Computação   Onde  o  provedor  de  serviços   em  Nuvem   de  nuvem  irá  hospedar  os   •  Requisitos  de   dados?   proteção  da     informação   •  Conformidade  com  leis   locais     •  Requisitos   •  Ex:  Restrição  do  fluxo  de   regulatórios   dados  além  das  fronteiras,   •  Leis  internacionais   leis  sobre  privacidade,  etc   17  
  • 18. Conformidade  e  Auditoria   •  Manutenção  e   Novos  riscos?   comprovação  de   conformidade  ao  usar     a  Computação  em   Direito  de  Auditar   Nuvem     •  Como  a  Computação   em  Nuvem  afeta  o   Processos  para  coletar  e   cumprimento  de   armazenar  evidências  de   políXcas  de  segurança   conformidade   interna  e  requisitos  de   conformidade   •  Como  comprovar  a   conformidade   18  
  • 19. Gerenciamento  do  Ciclo  de  Vida  das   Informações   •  Gerenciamento  dos   Novos  riscos?   Acesso     intra-­‐nuvem   dados  colocados  na     Nuvem     •  Confidencialidade,   integridade  e   disponibilidade   •  Controles   compensatórios  para   lidar  com  a  perda  de   MúlEplas   controle  lsico   transferências   de  dados   Término   fonte:  CSA   dos  serviços   19  
  • 20. Portabilidade  e  Interoperabilidade   •  Habilidade  de  mover   Novos  riscos?   dados  e/ou  serviços     de  um  provedor  para   “Lock-­‐in”   outro  ou  totalmente   Falta  de  padrões  de   de  volta  para  a   interoperabilidade     empresa   Ambientes  proprietários   •  Interoperabilidade   A   entre  fornecedores   B   20  
  • 21. Segurança  Tradicional,  Cont.  de   Negócios  e  Recuperação  de  Desastres   •  Como  a  Computação  em   Novos  riscos?   Nuvem  afeta  os   processos  e     procedimentos   Ritmo  acelerado  de  mudanças   operacionais  de   Falta  de  transparência     segurança,  BCP  e  DRP   Controle  e  monitoração   •  A  Computação  em   cononua  dos  provedores  de   Nuvem  pode  ajudar  a   nuvem   diminuir  certos  riscos,  ou   •  Ciclos  mais  frequentes  de   implica  em  aumento  dos   monitoração  e  auditoria   riscos   21  
  • 22. Operações  e  Data  Center   •  Como  avaliar  a   Novos  riscos?   arquitetura  e  a   operação  de  um     fornecedor  de  Data   Capacidades  reais  dos   Center   provedores   •  CaracterísXcas  de     Mar.  13,  2010   Data  Centers  que   podem  ser  prejudiciais     Amazon  cloud  outage  was   triggered  by  configuraEon  error   e  as  fundamentais   By  Computerworld   Amazon  has  released  a  detailed  postmortem   para  estabilidade  a   and  mea  culpa  about  the  parEal  outage  of  its   longo  prazo   cloud  services  pla_orm  last  week  and   idenEfied  the  culprit:  A  configuraEon  error   made  during  a  network  upgrade.     22  
  • 23. Resposta  a  Incidente,  No3ficação  e   Remediação   •  Detecção  de   Novos  riscos?   incidentes,  resposta,     noXficação  e   Dependência  do  CSP  para   correção   resposta  a  incidentes  e   •  Aborda  prestadores   invesXgação   de  serviços  e   •  MúlXplos  clientes,  logs   agregados   consumidores     •  Forense   Forense  na  “nuvem”?   computacional     23  
  • 24. Segurança  de  Aplicações   •  Modos  de  proteger  a   Novos  riscos?   aplicação  sendo     executada  ou   desenvolvida  na   Nova  Arquitetura  de   nuvem   Segurança  da  Aplicação   •  É  apropriado  migrar     ou  projetar  uma   Dependências   aplicação  na  nuvem?     •  Qual  melhor  modelo   (SaaS,  PaaS  ou  IaaS)  ?   Comunicação  inter-­‐hosts     24  
  • 25. Criptografia  e  Gerenciamento  de   Chaves   •  DiscuXr  por  que   Novos  riscos?   criptografia  é     necessária   Comunicação  inter-­‐hosts   Dados  em  repouso   •  Proteger  o  acesso  aos   •  Em  disco  ou  em  banco  de   dados  de  produção   recursos  ou  proteger   Dados  em  backup     os  dados   25  
  • 26. Gerenciamento  de  Iden3dade  e  Acesso   •  Foco  em  riscos   Novos  riscos?   quando  se  estende  a     idenXdade  de  uma   Gerenciamento  de  IdenXdade   organização  para   e  Acesso   Nuvem   •  Como  estender  os   processos  e  práXcas  aos   •  Avaliar  a  capacidade   serviços  de  nuvem   da  organização  para   •  Controlar  e  auditar  o  acesso   realizar  a  gestão  de   ao  serviço  de  nuvem   idenXdade  e  acesso   •  AutenXcação  forte   baseados  na  Nuvem   26  
  • 27. Virtualização   •  Questões  de   Novos  riscos?   segurança  em  torno   do  sistema/hardware     de  virtualização  em   Comunicação  entre  hardware,   Computação  em   e  não  através  de  rede   Nuvem     •  Aborda  riscos   associados  com   ComparXmentalização  e   mulXlocação   elevação  do  nível  de  segurança   •  Isolamento  de  VMs   em  sistemas  virtuais   •  Vulnerabilidades  em     Hypervisor   Centralização  dos  dados   27  
  • 28. PRINCIPAIS  AMEAÇAS   Sete  principais  ameaças  na  adoção  da  Computação  em  Nuvem   28  
  • 29. Principais  Riscos  Para  Computação  em   Nuvem   1-­‐  Abuso  e  uso  Malicioso  de  Computação  em  Nuvem   –   Qualquer  pessoa  com  um  cartão  de  crédito  válido  pode   se  registrar  e  usar  os  serviços  em  nuvem   •   Spammers,  autores  de  códigos  maliciosos  e  criminosos   •   Uso  anônimo  e  impune   –   Usos  maliciosos   •   Quebra  de  senhas   •   Realizar  ataques  (ex:  DDoS)   •   Hospedar  dados  maliciosos   CSA  Guidance:   •   Controle  de  botnets   Domínios  8  e  9   IaaS   PaaS   SaaS   29  
  • 30. Principais  Riscos  Para  Computação  em   Nuvem   2-­‐  Interfaces  e  APIs  Inseguras   –   Segurança  e  disponibilidade  dos  serviços  na  nuvem  são   dependentes  das  interfaces  e  APIs  de  gerenciamento   –   Falhas  acidentais  ou  mal  intencionadas   –   Complexidade   •   Serviços  desconhecidos   –   Controle  de  acesso   •   Acessos  anônonimos   •   Senhas  e  dados  trafegados  em  aberto   CSA  Guidance:   Domínio  10   IaaS   PaaS   SaaS   30  
  • 31. Principais  Riscos  Para  Computação  em   Nuvem   3-­‐  Usuários  Internos  Maliciosos   –   Ameaça  amplificada   •   Convergência  de  serviços  e  usuários   •   Falta  de  transparência  do  provedor   •   Funcionários  do  provedor   •   Baixo  risco  de  detecção   –   Potenciais  ameaças   •   Concorrentes   •   Espionagem   CSA  Guidance:   •   Hackers     Domínios  2  e  7   IaaS   PaaS   SaaS   31  
  • 32. Principais  Riscos  Para  Computação  em   Nuvem   4-­‐  Uso  de  Tecnologias  de  ComparXlhamento   –   Forte  isolamento  em  ambientes  mulX-­‐locatários   –   Falhas  no  sistema  de  controle  (hypervisor)   •   Sistemas  virtuais  podem  ter  acesso  ao  sistema  hospedeiro   •   Falha  nos  controles  e  isolamento   –   Clientes  não  devem  ter  acesso  a  dados  de  outros   clientes   •   Dados  atuais  ou  residuais   •   Tráfego  de  rede   CSA  Guidance:     Domínios  8  e  13   IaaS   PaaS   SaaS   32  
  • 33. Principais  Riscos  Para  Computação  em   Nuvem   5-­‐  Perda  ou  Vazamento  de  Dados   –   Pode  ser  devastador  para  uma  empresa   –   Arquitetura  e  ambiente  da  Nuvem  aumentam  os  riscos   •   Falha  nos  controles  de  autenXcação,  autorização  e  auditoria   (AAA)   •   Falhas  operacionais   •   Persistência  e  remanescência  dos  dados   •   Jurisdição   •   Disponibilidade  do  provedor   CSA  Guidance:   Domínios  5,  11  e  12   IaaS   PaaS   SaaS   33  
  • 34. Principais  Riscos  Para  Computação  em   Nuvem   6-­‐  Sequestro  de  Serviço  ou  de  Conta   –   Roubo  de  credenciais   •   Phishing,  fraude  ou  exploração  de  falhas   –   Acesso  indevido  a  Nuvem   •   Acessar  dados  e  transações   •   Manipulação  dos  dados   •   Redirecionar  usuários  para  outros  sites   CSA  Guidance:   Domínios  2,  9  e  12   IaaS   PaaS   SaaS   34  
  • 35. Principais  Riscos  Para  Computação  em   Nuvem   7-­‐  Riscos  Desconhecidos   –   Na  Computação  em  Nuvem,  as  empresas  abrem  mão  da   gestão  do  hardware  e  do  soxware  para  focar  no  negócio   •   Segurança  por  obscuridade  e  baixo  esforço   •   Perde  controles  de  segurança   –   Detalhes  de  operação  e  compliance  do  fornecedor   •   Versão  de  soxware  e  atualização  de  código   •   Com  quem  você  comparXlha  a  infra-­‐estrutura   •   TentaXvas  de  ataque   CSA  Guidance:   •   Guarda  de  logs   Domínios  2,  3,  8  e  9   IaaS   PaaS   SaaS   35  
  • 36. CONCLUSÕES   36  
  • 37. Segurança  de  Cloud  Compu3ng   •  Análise  de  riscos  é   fundamental   •  Segurança  na  “nuvem”   não  é  muito  diferente   das  necessidades   “pré-­‐nuvem”   fonte:  sxc.hu   37  
  • 38. Previsão  do  Tempo   •  Muitas  nuvens  a  frente     •  Sujeito  a  chuvas  e   trovoadas  esporádicas   •  Tenha  sempre  um   guarda-­‐chuva  guardado     fonte:  Wikimedia  Commons   38  
  • 39. Referências   •  NIST  Cloud  CompuXng  Project    hPp://csrc.nist.gov/groups/SNS/cloud-­‐compu3ng/index.html   •  “Cloud  CompuXng:  Benefits,  risks     and  recommendaXons  for  informaXon  security”   hPp://www.enisa.europa.eu/act/rm/files/deliverables/cloud-­‐ compu3ng-­‐risk-­‐assessment   39   39  
  • 40. Referências   Security  Guidance  for  CriXcal  Areas  of  Focus     in  Cloud  CompuXng  v.  2.1   –   Referência  para  análise  dos  riscos          hzp://www.cloudsecurityalliance.org/guidance/csaguide.pdf     Top  Threats  to  Cloud  CompuXng  V1.0   –   Sete  principais  riscos            hzp://www.cloudsecurityalliance.org/topthreats.html     40  
  • 41. Referências   •  “CSA  Cloud  Controls  Matrix  V1”   –  Lançado  em  27  de  Abril  27,  2010   –  hzp://www.cloudsecurityalliance.org/cm.html     41   41  
  • 42. Obrigado         Anchises  M.  G.  de  Paula   Membro  da  CSA  Brasil   anchisesbr@gmail.com   twizer.com/anchisesbr   twizer.com/csabr   hzps://chapters.cloudsecurityalliance.org/brazil   hzp://www.cloudsecurityalliance.org   42  
  • 43. Sobre  a  Cloud  Security  Alliance     –   Associação  sem  fins  lucraXvos   –   Oficializada  em  Dezembro  de  2008   –   +12mil  Membros   –   Presente  em  vários  países  através  de  Chapters   locais   43  
  • 44. CSA:  Missão   To   promote   the   use   of   best   pracXces   for   providing   security   assurance   within   Cloud   CompuXng,   and   provide   educaXon   on   the   uses  of  Cloud  CompuXng  to   help   secure   all   other   forms   of  compuXng.   fonte:  sxc.hu   44  
  • 45. CSA  Brasil:   Overview     –   Segundo  Chapter  oficial  da  CSA   –   Oficializado  em  27  de  Maio  de  2010   –   Mais  de  100  membros   –   Board:  Leonardo  Goldim;  Anchises  Moraes,  Jaime  OrXs  y   Lugo,  Jordan  Bonagura,  Olympio  Renno   –   Segue  Missão  e  ObjeXvos  da  CSA  Global   45