Fog Computing - Falhas e Riscos da Computação em Nuvem
1. Fog Computing
As falhas e riscos da Computação
em Nuvem
Anchises M. G. de Paula
iDefense Intelligence Analyst
adepaula@verisign.com
1
2. #FAIL
Mar. 13, 2010! Apr. 29, 2011!
Car Crash Triggers Amazon Amazon cloud outage was
Power Outage! triggered by configuration
By Datacenter Knowledge! error!
Amazonʼs EC2 cloud computing By Computerworld!
service suffered its fourth power Amazon has released a detailed
outage in a week on Tuesday, with postmortem and mea culpa about the
some customers in its US East Region
partial outage of its cloud services
losing service for about an hour. The platform last week and identified the
incident was triggered when a vehicle culprit: A configuration error made
crashed into a utility pole near one of during a network upgrade. !
the companyʼs data centers, and a During this configuration change, a
transfer switch failed to properly
traffic shift "was executed
manage the incorrectly," Amazon said (…).!
shift from utility power to the
facilityʼs generators.!
2
3. #FAIL
Mesmo estando
na Nuvem, seu
site pode
evaporar ?
Picture source: sxc.hu!
3
4. Agenda
• Overview - Cloud Computing
fonte: sxc.hu!
• Conhecendo os riscos
de Cloud Computing
• Novos riscos na Nuvem
4
6. Overview
20/1/10!
• Cloud Computing se
Cloud Computing for
tornou um termo popular Business and Society!
em TI e negócios by Brad Smith, The Huffington Post!
(…)!
According to a recent survey conducted
by Microsoft, more than 90 percent of
Americans are using some form of cloud
computing; nearly all of us are
connected to the cloud. !
6!
6
7. O que é Cloud Computing?
“A style of computing where massively scalable IT-
enabled capabilities are provided "as a service" to
external customers using Internet technologies…
… where the consumers of the services need only care
about what the service does for them, not how it is
implemented” Gartner!
fonte: sxc.hu!
7
8. Overview
• Cloud Computing
representa uma mistura e
evolução de várias 2008!
tecnologias
Cloud Computing!
Software as a Service!
1990! Utility Computing!
Grid Computing!
fonte: Oxford !
8!
8
10. Overview
• Três categorias básicas de Cloud Computing:
• Infrastructure as a Service (IaaS)
• Platform as a Service (PaaS)
• Software as a Service (SaaS)
10!
10
11. Overview
§ Três categorias básicas de Cloud Computing:!
Cliente!
– Infrastructure as a Service (IaaS)!
S
! E
! G
U
– Platform as a Service (PaaS)! R
A
N
Ç
A
– Software as a Service (SaaS)!
Provedor!
11!
11
13. Cloud Computing é seguro?
• Depende...
• Seguro
comparado com
o que?
• Precisamos de
um contexto
fonte: sxc.hu!
13
14. Computação em Nuvem
Computação em nuvem é um termo em evolução
• Preocupação com segurança crescendo conforme surgem
necessidades e incidentes específicos.
fonte: infosuck.org!
14
15. Estratégia para Análise de Riscos
• Identificar o ativo para
implantação na nuvem
• Entender as necessidades
e os riscos
• Mapear o ativo com o
modelo de implantação
• Avaliar os modelos de
serviços e fornecedores
• Selecionar estratégias de
mitigação
fonte: sxc.hu!
15!
15
16. Riscos de Cloud Computing
• Cloud Computing
herda vários riscos
associados às
tecnologias que utiliza
• Conjunto específico de
atributos que tornam a
análise de riscos mais
complexa
• Novos paradigmas
• Detalhes obscuros do
CSP fonte: sxc.hu!
16
17. Riscos Tradicionais
“Cloud is an on-demand service model for IT
provision, often based on virtualization and
distributed computing technologies.”!
17!
17
18. Riscos Tradicionais
“Cloud is an on-demand service model for IT
provision, often based on virtualization and
distributed computing technologies.”!
• Riscos :
• Terceiros
• Perda de governança
• Aderência Regulatória
• Acesso privilegiado
• Usuário interno malicioso
• Acesso físico ao ambiente
18!
18
19. Riscos Tradicionais
“Cloud is an on-demand service model for IT
provision, often based on virtualization and
distributed computing technologies.”!
• Riscos :
• Novas vulnerabilidades e
gestão de atualizações
• Acesso privilegiado
• Comprometimento da
administração
• Exaustão dos recursos
19!
19
20. Riscos Tradicionais
“Cloud is an on-demand service model for IT
provision, often based on virtualization and
distributed computing technologies.”!
• Riscos:
• Novas vulnerabilidades
• Acesso privilegiado
• Segregação de dados
• Roubo de dados
• Recuperação
20!
20
21. Riscos Tradicionais
“Cloud is an on-demand service model for IT
provision, often based on virtualization and
distributed computing technologies.”!
• Riscos:
• Disponibilidade
• Performance
• Interceptação de dados
• DDoS
21!
21
23. Novos paradigmas de segurança
• “Nuvem” significa perder parte do controle
• Sem controles físicos
• Repensar a segurança de perímetro
• Sem time de segurança dedicado
• Foco na estratégia de
segurança
fonte: sxc.hu!
23
24. Riscos
• Proteção dos dados
• Práticas de gestão de dados do Cloud Provider
• Múltiplas transferências de dados
• Interceptação dos dados
• Em trânsito
• Intra-nuvem
Fonte: iDefense!
24!
24
25. Riscos
• Proteção dos dados
• Práticas de gestão de dados do Cloud Provider
• Múltiplas transferências de dados
• Interceptação dos dados
• Segregação dos dados
• Remoção insegura ou incompleta
Fonte: iDefense!
25!
25
26. Mitigação
• Proteção dos dados
• Práticas de gestão de dados do Cloud Provider
• Múltiplas transferências de dados
• Interceptação dos dados
• Segregação dos dados
• Remoção insegura ou incompleta
• Mitigação
• Criptografia de dados
• Criptografia da comunicação
• Avaliar os procedimentos do CSP
• Auditoria e SLA
Fonte: iDefense!
26!
26
27. Riscos
• Localização física dos dados
• Localização e aspectos regulatórios
• Regiões voláteis representam
maior risco
• Governos hostis / sem ética e
risco de exposição dos dados
27!
27
28. Mitigação
• Localização física dos dados
• Localização e aspectos regulatórios
• Regiões voláteis representam
maior risco
• Governos hostis / sem ética e
risco de exposição dos dados
• Mitigação
• Identificar a localização dos dados
• Escolha CSPs que garantam a localização dos dados
• Evite CSPs com data centers em países hostis
• Use CSPs baseados no mesmo país
28!
28
29. Riscos
• Disponibilidade
• Exige conectividade constante
• Perda de dados e risco de
downtime
• Ataques DDoS globais
Fonte: iDefense!
29!
29
30. Riscos
• Disponibilidade
• Exige conectividade constante
• Perda de dados e risco de
downtime
• Ataques DDoS globais
06/05/10!
US Treasury site hit by
attack on cloud host!
Finextra.com!
A US Treasury Web site has been
suspended after its cloud computing
host was hacked, redirecting users to
a malicious site in the Ukraine. !
Fonte: iDefense!
30!
30
31. Mitigação
• Mitigação
• Conhecer a infraestrutura
do CSP’s
• Investimento na conexão
Internet local
• Evitar pontos de falha
• Private clouds
• Service-level agreements (SLAs)
com os CSPs
• Assuma pelo menos uma falha.
Qual o impacto?
Fonte: iDefense!
31!
31
32. Riscos
• Portabilidade da Nuvem e
Apr. 30, 2009!
“Lock-in” Cloud Computing
• Não existem padrões para Forerunner Facing
formato de dados, Bankruptcy!
ferramentas e interfaces Eweek Europe!
Cassatt, the infrastructure management
• Como garantir portabilidade software company started by BEA
dos dados, aplicações e Systems founder Bill Coleman, is
running out of money.!
serviços?
• Alta dependência do CSP
A!
B!
32!
32
33. Open Cloud Manifesto
Principles of an Open Cloud!
1. Cloud providers must … ensure that the
challenges to cloud adoption … are addressed
through open collaboration and the appropriate
use of standards.
2. Cloud providers must not use their market position
to lock customers …
3. Cloud providers must use and adopt existing
standards wherever appropriate...
4. When new standards … are needed, … avoid
creating too many standards.
5. Any community effort around the open cloud
should be driven by customer needs...
Source: www.opencloudmanifesto.org!
33
34. Riscos
• Aspectos Legais
• Leis no local do CSP
• Leis e regulamentações conflitantes
• Compliance do CSP
• Contrato com terceiros
• Falha de compliance: riscos legais
34!
34
35. Mitigação
• Aspectos Legais
• Leis no local do CSP
• Leis e regulamentações conflitantes
• Compliance do CSP
• Contrato com terceiros
• Falha de compliance: riscos legais
• Mitigação FISMA !
• Conheça suas obrigações HIPAA !
SOX!
• Conheça as obrigações do CSP PCI !
• Contratos e SLA SAS 70
Audits!
35!
35
36. Riscos
• Suporte Investigativo
• Forense na “nuvem”?
• Múltiplos clientes, logs agregados
• Capacidade de resposta a incidentes
• Dependência do CSP para dados
forenses e investigação
36!
36
37. Mitigação
• Suporte Investigativo
• Forense na “nuvem”?
• Múltiplos clientes, logs agregados
• Capacidade de resposta a incidentes
• Dependência do CSP para dados
forenses e investigação
• Mitigação
• Definir políticas e procedimentos com o CSP
• Evite CSPs que não participem de uma investigação
37!
37
39. Conclusão
• Segurança na “nuvem” não é muito diferente
das necessidades
“pré-nuvem”
• Cloud computing é fundamentalmente sobre
cedendo controle
• Controles de segurança x Vantagens para o
negócio
• Segurança do CSP versus necessidade de
segurança
fonte: sxc.hu!
39
40. Segurança de Cloud Computing
• Análise de Riscos é
fundamental
• Compare os Provedores de
Cloud
• Faça auditoria e “due
diligence”
• Adote estratégias de
mitigação
Fonte: vidadeprogramador.com.br!
40
41. Previsão do Tempo
• Muitas nuvens a
frente
• Sujeito a chuvas e
trovoadas
esporádicas
• Tenha sempre um
guarda-chuva
próximo
fonte: Wikimedia Commons!
41