3. Dr. Manoel Veras
• Eng. Elétrica UFRN
• Mestrado Eng. Elétrica UNICAMP
• Doutorado em Administração USP
• Certificações
Microsoft,Cisco,PMP,COBIT,ITIL F.
• Ex-Cientista do CTA
• Ex-Consultor da Dell
• Professor da UFRN
3
33. US West
US West
(N.
AZA AZD (Oregon)
Califórnia)
US East AZA AZA
(Virginia)
AZB AZC AZB AZB
South
Asia Asia
America
Pacific Pacific
EU West (São
(Singapura) (Tokio)
(Irlanda) Paulo)
AZA AZA AZA AZAA
AZC
AZB AZB AZB AZB
33
44. DATACENTER SEGURO
• Arquitetura da Infraestrutura
• Governança em ambiente de
responsabilidade compartilhada
– Compliance - aderência a políticas
– Controle – construção de ambiente adequado
• Recuperação de Desastres (DR) – recuperar
de desastres.
– Plano de Recuperação de Desastres (Cliente).
• Segurança – proteger informação e sistemas
44
46. Camada de Apresentação (PT)
Camada de Regras de Negócio (BT)
Processo 1 INÍCIO
SIM
Regra 1
Dado 1, 2 e 3
Camada de Dados (DT)
NÃO
Dado 2 Processo 2
Dado 1 Dado 3
FIM
46
50. Instâncias=6742
Cores=51132
RAM=58.78TB
$4828/hora
US West
US West
(N.
AZA AZD (Oregon)
Califórnia)
US East AZA AZA
(Virginia)
AZB AZC AZB AZB
South
Asia Asia
America
Pacific Pacific
EU West (São
(Singapura) (Tokio)
(Irlanda) Paulo)
AZA AZA AZA AZAA
AZC
AZB AZB AZB AZB
HPC na
Nuvem 50
52. Aplicativos Aplicativos
Dados Dados
Runtime Runtime Runtime
Middleware Middleware Middleware
SO SO SO
VIRTUALIZAÇÃO VIRTUALIZAÇÃO VIRTUALIZAÇÃO VIRTUALIZAÇÃO
HARDWARE HARDWARE HARDWARE HARDWARE
On-Premises SaaS
Responsabilidade do
52 IaaS PaaS Responsabilidade
CLIENTE do PROVEDOR
53. Responsabilidade Compartilhada
AWS CLIENTE
Instalações Sistema Operacional
Segurança Física Aplicação
Segurança da Grupos de Segurança
Infraestrutura
Segurança da Rede Configuração da Rede
Virtualização da Gerenciamento da Conta
Infraestrutura
53
54. CERTIFICAÇÕES DESCRIÇÃO
SAS 70 SOC 1 A AWS executa e produz um relatório sobre a
Tipo II eficácia do funcionamento desses controles junto
com um parecer de auditor independente.
PCI DSS Nível 1 A AWS foi validada para estar em conformidade
com o padrão de segurança de dados PCI como
um provedor de serviços de host compartilhado.
Importante para empresas que lidam com
informações de cartão de crédito.
ISO 27001 A AWS obteve a certificação ISO 27001 para o
seu sistema de gestão de segurança da
informação (ISMS ‐ Information Security
Management System) que abrange a
infraestrutura, DATACENTERS e serviços.
FISMA A AWS permite que os clientes da agência de
governo alcancem e mantenham a conformidade
com a Gestão de Segurança de informação
Federal (FISMA - Federal Information Security
Management Act). A AWS foi certificada e
acreditado para operar em nível FISMA baixo. 54
55. Aplicativos Cliente
Dados
Runtime
Middleware
SO
VIRTUALIZAÇÃO
Provedor
HARDWARE IaaS
On-Premises
Responsabilidade do IaaS
CLIENTE 55
56. Recuperação de Desastres
Continuidade do Negócio
Recuperação de
Desastres
Alta
Disponibilidade Backup &
Replicação
e Restore
Confiabilidade
56
61. Plano Continuidade do Negócio
Plano de Continuidade de Negócios – Um plano para a
resposta de emergência, operações de backup e
recuperação de ativos atingidos por uma falha ou
desastre. Tem como objetivo o de assegurar a
disponibilidade de recursos de sistema críticos,
recuperar um ambiente avariado e promover o retorno à
sua normalidade.
61
62. PCN=PGC+PCO+PRD
• Plano de Gerenciamento de Crises (PGC)
• Plano de Continuidade Operacional (PCO)
• Plano de Recuperação de Desastres
(PRD).
62
63. Segurança
• Vários Níveis
– Segurança Física
– Segurança do Aplicativo
– Segurança dos Dados
– Segurança da Conta
– Segurança da Instância
– Segurança da Rede
63
65. Dados
• Em trânsito –
– Navegador e servidor com SSL
– Rede privada virtual
• Em repouso –
– Criptografar os dados se necessário antes de
envia-los para a nuvem. Na AWS depende do
SO utilizado.
– Snapshots periódicos contra desastres.
65
66. Conta
• Chaves de Acesso
• Certificados X.509
• Permissões com IAM(Identity and Access
Management) para usuários na conta
• Multi-gateway com MFA (Multi-gateway de
Internet Authentication)
• Rotação de Chaves e Certificados
66
67. Rede
• DDos – escala mundial , hospedagem
múltipla
• Ataques intermediários MITM – pontos de
acesso protegidos por SSL
• IP Spoofing – Instâncias não conseguem
enviar tráfego de rede falsificado devidos aos
firewalls baseado em host.
• Varredura de Porta – Devem ser autorizadas.
• Packet Sniffing – execução em modo
promiscuo não fareja tráfego.
67
68. Instância EC2
• SO (HOST) : administradores com
necessidades específicas usam multi-
gateway para acesso
• SO (Guest) : controladas pelo cliente
• Firewall (grupo de segurança) :
configurado para negar tudo e clientes
devem abrir as portas
• API assinada
68
69. Instância EC2
• Hypervisor : Anel 0 de CPU para o
Hypervisor.
• Isolamento de Instância : hypervisor
• EBS : acesso ao volume é restrito a conta
e usuários com permissões dadas pelo
IAM.
69
70. Múltiplos Níveis
EC2-
Camada
EC2- web EC2-
Grupo de Camada
Segurança de aplicação EC2-
Camada
de banco de
dados
80 e 443 EBS
(http e
https)
8000(aplicativ
o)
3306
(mySQL)
70
71. Isolamento de Instância
Cliente Cliente Cliente
01 02 03
HYPERVISOR
Interfaces
Virtuais
Grupo de Grupo de Grupo de
Segurança Segurança Segurança
1 2 3
FIREWALL
Interface Física
71
72. VPC – rede virtual
• Redes distintas , isoladas dentro da nuvem. Sem
conectividade externa, intervalos de endereços
IPs, tráfegos isolados.
• Subnets , cada instância é ligada a uma subnet
• Tabelas de rota : Cada subnet associada a tabela
de rota
• Grupos de Segurança (firewall) para instância
dentro da VPC
• ACLs (lista de controle de acesso)
• Gateway VPN
• Gatewaw de Internet
72
75. 10.0.0.6 10.0.0.7 10.0.10.9
SG SG SG SG SG SG
in out in out in out
Subnet Subnet
10.0.0.0/24 10.0.10.0/24
ACL ACL ACL ACL
in out in out
Tabela de Tabela de
ROTEADOR
Roteamento Roteamento
10.0.0.0/16
75
76. Grupos de Segurança
10.0.0/24
Grupo de Segurança B
Grupo de Segurança A VPC Subnet
76
77. Controle do Tráfego
SSH, RDP
da rede
corporativa
HTTP, HTTPS
para qualquer
WebServer lugar
SG
Grupo de Segurança
HTTP, HTTPS
de qualquer
lugar
77