SlideShare una empresa de Scribd logo

Segurança, gestão e sustentabilidade para cloud computing

PET Computação
PET Computação

O documento discute segurança na computação em nuvem. Apresenta as ameaças à confidencialidade, integridade e disponibilidade dos dados na nuvem, incluindo desvio de sessão, fuga da virtualização e injeção de código malicioso. Também aborda os desafios de criptografia, gerenciamento de identidades e acesso em ambientes multi-locatários.

Educación
1 de 33
Descargar para leer sin conexión
Segurança na Computação em Nuvem LRG – Laboratório de Redes e Gerência Carla Merkle Westphall carlamw@inf.ufsc.br Carlos Becker Westphall westphal@inf.ufsc.br
2 Roteiro • Ambiente • Ameaças • Desafios
3 Segurança  CID – confidencialidade, integridade, disponibilidade  Ameaças – condições ou eventos que forneçam potencial de violação de segurança  Vulnerabilidade – falha ou característica indevida que pode ser explorada  Ataque – conjunto de ações feitas por entidade não autorizada visando violações de segurança
4 Computação em nuvem Hardware e Software entregues: • Sob demanda na forma de auto-atendimento • Independente de dispositivo e de localização Recursos necessários • Compartilhados • Dinamicamente escaláveis • Alocados rapidamente e liberados com interação mínima com o provedor de serviço • Virtualizados Usuários pagam pelo serviço usado
5
6 http://cloudtaxonomy.opencrowd.com/taxonomy/
7 Tecnologias usadas • Aplicações e serviços Web • Virtualização • Criptografia
8 Segurança e economia • Em larga escala implementar segurança é mais barato (filtros, gerenciamento de patches, proteção de máquinas virtuais) • Grandes provedores de cloud podem contratar especialistas • Atualizações são mais rápidas em ambientes homogêneos para responder aos incidentes • Imagens padrão de VMs e softwares podem ser atualizados com configurações de segurança e patches “Mesmo valor de investimentos em segurança compra uma proteção melhor"
9 Defesas de ambientes de nuvem podem ser mais robustas, escaláveis e ter uma relação custo-benefício melhor, mas… ....a concentração grande de recursos e dados são um alvo mais atraente para atacantes
10 Ameaças • Desvio de sessão (session hijacking): o atacante consegue se apoderar de uma sessão HTTP válida para obter acesso não autorizado
11 Ameaças • Fuga da virtualização: o atacante consegue sair do ambiente virtualizado e obter acesso à máquina física
12 Ameaças • Criptografia insegura e obsoleta: ▫ avanços na criptoanálise, protocolos e algoritmos antes considerados seguros passam a ser obsoletos e vulneráveis ▫ gerenciamento e armazenamento de muitas chaves, hardware não é fixo, difícil ter HSM • Amazon S3 (serviço de storage) usa 256-bit Advanced Encryption Standard (AES-256)
13 Ameaças • Acesso não autorizado à interface de gerência: com o auto-atendimento o gerenciamento de clouds geralmente é feito em uma interface web, sendo mais fácil para um atacante obter acesso não autorizado
14 Ameaças • Vulnerabilidades do IP: acesso via Internet, rede não confiável, IP possui problemas de segurança (scanning IaaS proibido) • Vulnerabilidades de recuperação de dados: devido a realocação de recursos é possível que um usuário tenha acesso a recursos de armazenamento e memória previamente utilizados que ainda podem conter dados
15 Ameaças • Injeção de código malicioso: ▫ injeção de SQL – comando SQL é adicionado ou substitui dados fornecidos pelo usuário que são interpretados (e executados) ▫ Cross-Site Scripting - permite a execução de códigos (scripts) no browser do lado do cliente
16 SQL Injection – Ilustração "SELECT * FROM Conta :: Contas Conta accounts WHERE Knowledge Mgmt Communication Administration Legacy Systems Bus. Functions Application Layer Human Resrcs E-Commerce Transactions Web Services SKU: acct=‘’ OR Directories Accounts Conta:5424-6066-2134-4334 Databases Finance HTTP Billing HTTP SQL DB Table Conta:4128-7574-3921-0192 response  1=1--’" request query Conta:5424-9383-2039-4029 APPLICATION    Conta:4128-0004-1234-0293  ATTACK  Custom Code 1. Aplicação apresenta um formulário para o atacante 2. Atacante envia um ataque nos dados do formulário App Server 3. Aplicação encaminha o ataque Web Server para o BD em uma consulta SQL Hardened OS 4. Banco de dados executa a Network Layer consulta contendo o ataque e envia resultados cifrados de volta para a Firewall Firewall aplicação 5. Aplicação decifra dados como normais e envia resultados para o usuário OWASP - 2010
17 Cross-Site Scripting - Ilustração 1 Atacante envia uma armadilha – atualize o meu perfil Aplicação com vulnerabilidade Atacante envia um XSS armazenada script malicioso em uma página web que armazena os dados no Communication Bus. Functions Administration servidor E-Commerce Transactions Knowledge 2 Vítima viu página – viu o perfil do atacante Accounts Finance Mgmt Custom Code Script executa no browser da vítima com acesso completo ao DOM e cookies 3 Script envia silenciosamente o cookie de sessão da vítima para o atacante OWASP - 2010
18 Ameaças • Uso nefasto e abusivo (Iaas, PaaS): poder computacional, rede e armazenamentos ilimitados são usados por usuário cadastrado. Usuário pode ser spammer, distribuir código malicioso ou outro criminoso. É só ter cartão de crédito ! Crack de senhas e chaves, disparo de ataques, DDOS (X-DoS, H-DoS), comando e controle de botnet (Zeus botnet)
19
20 Ameaças • Interfaces e APIs inseguras (Iaas, PaaS, SaaS) Acesso anônimo e ou tokens ou senha reusáveis, autenticação ou transmissão de dados sem criptografia, autorização imprópria, monitoramento e log limitados, dependências de APIs e serviços desconhecidas
21 Ainda... • Usuários não conseguem monitorar a segurança de seus recursos na nuvem • Possibilidade de auditoria da segurança insuficiente • Não existem padrões de medidas específicas para cloud • A computação nas nuvens separa os componentes de sua localização e isso cria questões de segurança que resultam desta falta de perímetro
22
23
24 Cloud Security Alliance • Domínios de governança • Domínios operacionais 1. Segurança tradicional, planos de continuidade e recuperação de desastres 2. Operações dos datacenters 3. Tratamento de incidentes 4. Segurança das aplicações 5. Criptografia e gerenciamento de chaves 6. Gerenciamento de identidades e de acesso 7. Virtualização 8. Segurança como serviço
25 Desafios - Criptografia • Criptografia forte • Gerenciamento de chaves escalável ▫ uma única chave por usuário? ▫ uma única chave para todos os usuários? ▫ múltiplas chaves para o mesmo usuário? • Usuários e provedores devem cifrar todos os dados em trânsito e também dados estáticos
26 Desafios - Multi-tenancy • Diferentes quanto a segurança, SLA, governança, políticas
27 Desafios – Aplicações e IAM • Segurança de aplicações (IaaS, PaaS, SaaS) • Gerenciamento de Identidades e de Acesso (Identity and Access Management) ▫ Proliferação de identidades ▫ Autenticação única (Single Sign On) ▫ Federação de identidades ▫ Privacidade do usuário ▫ Controle de acesso
28 Tecnologias • SAML, XACML • XML-Encryption, XML-Signature • WS (Web Services) Security ▫ WS-Trust ▫ WS-Policy ▫ ... • OpenID, Google, Shibboleth, ...
29 Amazon EC2 http://aws.amazon.com/security/ • PCI DSS (Payment Card Industry Data Security Standard) Level 1 • ISO 27001 • FISMA (Federal Information Security Management Act) Moderate • HIPAA (Health Insurance Portability and Accountability Act) • SAS 70 (Statement on Auditing Standards) Type II
30 Amazon EC2 http://aws.amazon.com/security/ • Segurança física e operacional • Criptografia no sistema de arquivos • Uso do SSL (https) • Gerência de chaves: usuário cuida • Gerenciamento de Identidades e de Acesso ▫ Criar e gerenciar usuários ▫ Identidades federadas ▫ Credenciais para autorização ▫ APIs de programação
31 Pesquisas • Muito trabalho a ser feito • Vários assuntos de pesquisa • No LRG: ▫ Gerenciamento de identidade e acesso na computação em nuvem ▫ Dissertações de mestrado no PPGCC ▫ TCC ▫ Bolsas Pibic/CNPq
32 Referências • Grobauer, B.; Walloschek, T.; Stocker, E. (2011) "Understanding Cloud Computing Vulnerabilities," Security & Privacy, IEEE , vol.9, no.2, pp.50-57, March-April 2011. • Chaves, S.; Westphal, C. B.; Westphall, C. M.; Gerônimo, G. A. “Customer Security Concerns in Cloud Computing,” ICN 2011, pp. 7- 11, 2011. • Gonzalez, N.; Miers, C.; Redigolo, F.; Carvalho, T.; Simplicio, M.; Naslund, M.; Pourzandi, M.; , "A Quantitative Analysis of Current Security Concerns and Solutions for Cloud Computing,“ IEEE CloudCom, pp.231-238, 2011. • CSA (2011). Security Guidance for Critical Areas of Focus in Cloud Computing – v3.0. Cloud Security Alliance. https://cloudsecurityalliance.org/ • CSA (2010). Top Threats to Cloud Computing V1.0. • CSA BR - https://chapters.cloudsecurityalliance.org/brazil/
33 Obrigada!

Recomendados

Seguranca web
Seguranca webSeguranca web
Seguranca web
Philippe Guillaume, MBA,CISSP, COBIT
 
Beste Altersvorsorge
Beste Altersvorsorge Beste Altersvorsorge
Beste Altersvorsorge
Alexander Schulze-Fielitz
 
Praesentation
PraesentationPraesentation
Praesentation
slowhand_11
 
Renten auf einen Blick 2015
Renten auf einen Blick 2015Renten auf einen Blick 2015
Renten auf einen Blick 2015
OECD Berlin Centre
 
Auszahlung lebensversicherung – diese fehler solltest du unbedingt vermeiden!
Auszahlung lebensversicherung – diese fehler solltest du unbedingt vermeiden!Auszahlung lebensversicherung – diese fehler solltest du unbedingt vermeiden!
Auszahlung lebensversicherung – diese fehler solltest du unbedingt vermeiden!
Erik Renk
 
Barmenia Berufsunfähigkeitsversicherung (SoloBU) 2012
Barmenia Berufsunfähigkeitsversicherung (SoloBU) 2012Barmenia Berufsunfähigkeitsversicherung (SoloBU) 2012
Barmenia Berufsunfähigkeitsversicherung (SoloBU) 2012
Barmenia Versicherungen Düsseldorf
 
Die Zukunft der Altersvorsorge - Eine Studie von Prognos und HRI im Auftrag d...
Die Zukunft der Altersvorsorge - Eine Studie von Prognos und HRI im Auftrag d...Die Zukunft der Altersvorsorge - Eine Studie von Prognos und HRI im Auftrag d...
Die Zukunft der Altersvorsorge - Eine Studie von Prognos und HRI im Auftrag d...
Gesamtverband der Deutschen Versicherungswirtschaft e.V.
 
Selbstgenutztes Wohneigentum - lohnt es sich?
Selbstgenutztes Wohneigentum - lohnt es sich?Selbstgenutztes Wohneigentum - lohnt es sich?
Selbstgenutztes Wohneigentum - lohnt es sich?
Erik Renk
 

Recomendados

Seguranca web
Seguranca webSeguranca web
Seguranca web
Philippe Guillaume, MBA,CISSP, COBIT
 
Beste Altersvorsorge
Beste Altersvorsorge Beste Altersvorsorge
Beste Altersvorsorge
Alexander Schulze-Fielitz
 
Praesentation
PraesentationPraesentation
Praesentation
slowhand_11
 
Renten auf einen Blick 2015
Renten auf einen Blick 2015Renten auf einen Blick 2015
Renten auf einen Blick 2015
OECD Berlin Centre
 
Auszahlung lebensversicherung – diese fehler solltest du unbedingt vermeiden!
Auszahlung lebensversicherung – diese fehler solltest du unbedingt vermeiden!Auszahlung lebensversicherung – diese fehler solltest du unbedingt vermeiden!
Auszahlung lebensversicherung – diese fehler solltest du unbedingt vermeiden!
Erik Renk
 
Barmenia Berufsunfähigkeitsversicherung (SoloBU) 2012
Barmenia Berufsunfähigkeitsversicherung (SoloBU) 2012Barmenia Berufsunfähigkeitsversicherung (SoloBU) 2012
Barmenia Berufsunfähigkeitsversicherung (SoloBU) 2012
Barmenia Versicherungen Düsseldorf
 
Die Zukunft der Altersvorsorge - Eine Studie von Prognos und HRI im Auftrag d...
Die Zukunft der Altersvorsorge - Eine Studie von Prognos und HRI im Auftrag d...Die Zukunft der Altersvorsorge - Eine Studie von Prognos und HRI im Auftrag d...
Die Zukunft der Altersvorsorge - Eine Studie von Prognos und HRI im Auftrag d...
Gesamtverband der Deutschen Versicherungswirtschaft e.V.
 
Selbstgenutztes Wohneigentum - lohnt es sich?
Selbstgenutztes Wohneigentum - lohnt es sich?Selbstgenutztes Wohneigentum - lohnt es sich?
Selbstgenutztes Wohneigentum - lohnt es sich?
Erik Renk
 
Apresentação netconsulting nov12
Apresentação netconsulting nov12Apresentação netconsulting nov12
Apresentação netconsulting nov12
Evandro Alves
 
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices
Deep Tech Brasil
 
Garantindo o sucesso da experiência do usuário por Carlos bertozzi
Garantindo o sucesso da experiência do usuário por Carlos bertozziGarantindo o sucesso da experiência do usuário por Carlos bertozzi
Garantindo o sucesso da experiência do usuário por Carlos bertozzi
Joao Galdino Mello de Souza
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio Braz
OWASP Brasília
 
Microservices Architecture Workshop
Microservices Architecture WorkshopMicroservices Architecture Workshop
Microservices Architecture Workshop
Claudio Acquaviva
 
3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdf3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdf
Dimas Francisco
 
AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...
AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...
AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...
Amazon Web Services LATAM
 
Nagios
NagiosNagios
Nagios
Evandro Júnior
 
I-SCode
I-SCodeI-SCode
I-SCode
Joao Rosado Pereira‍
 
OWASP Top Ten 2004
OWASP Top Ten 2004OWASP Top Ten 2004
OWASP Top Ten 2004
Carlos Serrao
 
AAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcambAAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcamb
Microsoft Brasil
 
AAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcambAAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcamb
guest34ed8ec
 
HOTNOC - WEB Network Operation System Monitoring by IdeaValley
HOTNOC - WEB Network Operation System Monitoring by IdeaValleyHOTNOC - WEB Network Operation System Monitoring by IdeaValley
HOTNOC - WEB Network Operation System Monitoring by IdeaValley
IdeaValley Sergio Cabral Cavalcanti
 
Introdução a Gerência de Redes
Introdução a Gerência de RedesIntrodução a Gerência de Redes
Introdução a Gerência de Redes
Frederico Madeira
 
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
TI Safe
 
Apresentação Dominit 2012
Apresentação Dominit 2012Apresentação Dominit 2012
Apresentação Dominit 2012
Dominit - Soluções e Processos em TI
 
Windows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-ProsWindows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-Pros
Markus Christen
 
Aula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídos
Aula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídosAula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídos
Aula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídos
Messias Batista
 
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdf
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdfBR - Fabric Connect Workshop LAB Slides v0 PTBR.pdf
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdf
odairjose23
 
Banner fernando & everton 03-11
Banner fernando & everton 03-11Banner fernando & everton 03-11
Banner fernando & everton 03-11
Everton Jean Moro
 
Refactoring like a boss
Refactoring like a bossRefactoring like a boss
Refactoring like a boss
PET Computação
 
Linux em tempo real
Linux em tempo realLinux em tempo real
Linux em tempo real
PET Computação
 

Más contenido relacionado

Similar a Segurança, gestão e sustentabilidade para cloud computing

Apresentação netconsulting nov12
Apresentação netconsulting nov12Apresentação netconsulting nov12
Apresentação netconsulting nov12
Evandro Alves
 
Garantindo o sucesso da experiência do usuário por Carlos bertozzi
Garantindo o sucesso da experiência do usuário por Carlos bertozziGarantindo o sucesso da experiência do usuário por Carlos bertozzi
Garantindo o sucesso da experiência do usuário por Carlos bertozzi
Joao Galdino Mello de Souza
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio Braz
OWASP Brasília
 
3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdf3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdf
Dimas Francisco
 
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdf
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdfBR - Fabric Connect Workshop LAB Slides v0 PTBR.pdf
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdf
odairjose23
 

Similar a Segurança, gestão e sustentabilidade para cloud computing (20)

Apresentação netconsulting nov12
Apresentação netconsulting nov12Apresentação netconsulting nov12
Apresentação netconsulting nov12
 
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices
 
Garantindo o sucesso da experiência do usuário por Carlos bertozzi
Garantindo o sucesso da experiência do usuário por Carlos bertozziGarantindo o sucesso da experiência do usuário por Carlos bertozzi
Garantindo o sucesso da experiência do usuário por Carlos bertozzi
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio Braz
 
Microservices Architecture Workshop
Microservices Architecture WorkshopMicroservices Architecture Workshop
Microservices Architecture Workshop
 
3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdf3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdf
 
AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...
AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...
AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...
 
Nagios
NagiosNagios
Nagios
 
I-SCode
I-SCodeI-SCode
I-SCode
 
OWASP Top Ten 2004
OWASP Top Ten 2004OWASP Top Ten 2004
OWASP Top Ten 2004
 
AAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcambAAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcamb
 
AAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcambAAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcamb
 
HOTNOC - WEB Network Operation System Monitoring by IdeaValley
HOTNOC - WEB Network Operation System Monitoring by IdeaValleyHOTNOC - WEB Network Operation System Monitoring by IdeaValley
HOTNOC - WEB Network Operation System Monitoring by IdeaValley
 
Introdução a Gerência de Redes
Introdução a Gerência de RedesIntrodução a Gerência de Redes
Introdução a Gerência de Redes
 
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
 
Apresentação Dominit 2012
Apresentação Dominit 2012Apresentação Dominit 2012
Apresentação Dominit 2012
 
Windows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-ProsWindows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-Pros
 
Aula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídos
Aula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídosAula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídos
Aula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídos
 
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdf
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdfBR - Fabric Connect Workshop LAB Slides v0 PTBR.pdf
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdf
 
Banner fernando & everton 03-11
Banner fernando & everton 03-11Banner fernando & everton 03-11
Banner fernando & everton 03-11
 

Más de PET Computação

Cooperação e Codificação de Rede Aplicadas as RSSF Industriais
Cooperação e Codificação de Rede Aplicadas as RSSF IndustriaisCooperação e Codificação de Rede Aplicadas as RSSF Industriais
Cooperação e Codificação de Rede Aplicadas as RSSF Industriais
PET Computação
 
Redes de Sensores e Robôs: Um novo paradigma de Monitoramento e Atuação
Redes de Sensores e Robôs: Um novo paradigma de Monitoramento e AtuaçãoRedes de Sensores e Robôs: Um novo paradigma de Monitoramento e Atuação
Redes de Sensores e Robôs: Um novo paradigma de Monitoramento e Atuação
PET Computação
 
Software Evolution: From Legacy Systems, Service Oriented Architecture to Clo...
Software Evolution: From Legacy Systems, Service Oriented Architecture to Clo...Software Evolution: From Legacy Systems, Service Oriented Architecture to Clo...
Software Evolution: From Legacy Systems, Service Oriented Architecture to Clo...
PET Computação
 
Planejamento automático
Planejamento automáticoPlanejamento automático
Planejamento automático
PET Computação
 
Bancos de dados nas nuvens: uma visão geral
Bancos de dados nas nuvens: uma visão geralBancos de dados nas nuvens: uma visão geral
Bancos de dados nas nuvens: uma visão geral
PET Computação
 
Uma reflexão sobre os 28 anos de pesquisa no laboratório de integração de sof...
Uma reflexão sobre os 28 anos de pesquisa no laboratório de integração de sof...Uma reflexão sobre os 28 anos de pesquisa no laboratório de integração de sof...
Uma reflexão sobre os 28 anos de pesquisa no laboratório de integração de sof...
PET Computação
 
Evoluindo dot project em alinhamento ao pmbok
Evoluindo dot project em alinhamento ao pmbokEvoluindo dot project em alinhamento ao pmbok
Evoluindo dot project em alinhamento ao pmbok
PET Computação
 

Más de PET Computação (20)

Refactoring like a boss
Refactoring like a bossRefactoring like a boss
Refactoring like a boss
 
Linux em tempo real
Linux em tempo realLinux em tempo real
Linux em tempo real
 
Cooperação e Codificação de Rede Aplicadas as RSSF Industriais
Cooperação e Codificação de Rede Aplicadas as RSSF IndustriaisCooperação e Codificação de Rede Aplicadas as RSSF Industriais
Cooperação e Codificação de Rede Aplicadas as RSSF Industriais
 
Redes de Sensores e Robôs: Um novo paradigma de Monitoramento e Atuação
Redes de Sensores e Robôs: Um novo paradigma de Monitoramento e AtuaçãoRedes de Sensores e Robôs: Um novo paradigma de Monitoramento e Atuação
Redes de Sensores e Robôs: Um novo paradigma de Monitoramento e Atuação
 
MapReduce: teoria e prática
MapReduce: teoria e práticaMapReduce: teoria e prática
MapReduce: teoria e prática
 
Processamento e visualização tridimensional de imagens de Satelite e Radar
Processamento e visualização tridimensional de imagens de Satelite e RadarProcessamento e visualização tridimensional de imagens de Satelite e Radar
Processamento e visualização tridimensional de imagens de Satelite e Radar
 
Software Evolution: From Legacy Systems, Service Oriented Architecture to Clo...
Software Evolution: From Legacy Systems, Service Oriented Architecture to Clo...Software Evolution: From Legacy Systems, Service Oriented Architecture to Clo...
Software Evolution: From Legacy Systems, Service Oriented Architecture to Clo...
 
Planejamento automático
Planejamento automáticoPlanejamento automático
Planejamento automático
 
Testes de escalabilidade usando cloud
Testes de escalabilidade usando cloudTestes de escalabilidade usando cloud
Testes de escalabilidade usando cloud
 
Bancos de dados nas nuvens: uma visão geral
Bancos de dados nas nuvens: uma visão geralBancos de dados nas nuvens: uma visão geral
Bancos de dados nas nuvens: uma visão geral
 
Uma reflexão sobre os 28 anos de pesquisa no laboratório de integração de sof...
Uma reflexão sobre os 28 anos de pesquisa no laboratório de integração de sof...Uma reflexão sobre os 28 anos de pesquisa no laboratório de integração de sof...
Uma reflexão sobre os 28 anos de pesquisa no laboratório de integração de sof...
 
Cloud computing: evolution or redefinition
Cloud computing: evolution or redefinitionCloud computing: evolution or redefinition
Cloud computing: evolution or redefinition
 
Rastreamento de objetos utilizando ar drone
Rastreamento de objetos utilizando ar droneRastreamento de objetos utilizando ar drone
Rastreamento de objetos utilizando ar drone
 
Processamento e visualização tridimensional de imagens de satelite e radar
Processamento e visualização tridimensional de imagens de satelite e radarProcessamento e visualização tridimensional de imagens de satelite e radar
Processamento e visualização tridimensional de imagens de satelite e radar
 
Evoluindo dot project em alinhamento ao pmbok
Evoluindo dot project em alinhamento ao pmbokEvoluindo dot project em alinhamento ao pmbok
Evoluindo dot project em alinhamento ao pmbok
 
Ensinar com jogos
Ensinar com jogosEnsinar com jogos
Ensinar com jogos
 
Apresentação geral do gqs - Usabilidade na convergência digital - Customizaç...
Apresentação geral do gqs - Usabilidade na convergência digital - Customizaç...Apresentação geral do gqs - Usabilidade na convergência digital - Customizaç...
Apresentação geral do gqs - Usabilidade na convergência digital - Customizaç...
 
Latex
LatexLatex
Latex
 
Ferramenta git
Ferramenta gitFerramenta git
Ferramenta git
 
Com a cabeça nas nuvens: montando ambientes para aplicações elásticas
Com a cabeça nas nuvens: montando ambientes para aplicações elásticas Com a cabeça nas nuvens: montando ambientes para aplicações elásticas
Com a cabeça nas nuvens: montando ambientes para aplicações elásticas
 

Último

O estudo do controle motor nada mais é do que o estudo da natureza do movimen...
O estudo do controle motor nada mais é do que o estudo da natureza do movimen...O estudo do controle motor nada mais é do que o estudo da natureza do movimen...
O estudo do controle motor nada mais é do que o estudo da natureza do movimen...
azulassessoria9
 
O desenvolvimento é um conceito mais amplo, pode ter um contexto biológico ou...
O desenvolvimento é um conceito mais amplo, pode ter um contexto biológico ou...O desenvolvimento é um conceito mais amplo, pode ter um contexto biológico ou...
O desenvolvimento é um conceito mais amplo, pode ter um contexto biológico ou...
azulassessoria9
 
ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
azulassessoria9
 
ATIVIDADE 3 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
ATIVIDADE 3 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024ATIVIDADE 3 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
ATIVIDADE 3 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
azulassessoria9
 
Slide - SAEB. língua portuguesa e matemática
Slide - SAEB. língua portuguesa e matemáticaSlide - SAEB. língua portuguesa e matemática
Slide - SAEB. língua portuguesa e matemática
sh5kpmr7w7
 

Último (20)

O estudo do controle motor nada mais é do que o estudo da natureza do movimen...
O estudo do controle motor nada mais é do que o estudo da natureza do movimen...O estudo do controle motor nada mais é do que o estudo da natureza do movimen...
O estudo do controle motor nada mais é do que o estudo da natureza do movimen...
 
Slides Lição 06, Central Gospel, O Anticristo, 1Tr24.pptx
Slides Lição 06, Central Gospel, O Anticristo, 1Tr24.pptxSlides Lição 06, Central Gospel, O Anticristo, 1Tr24.pptx
Slides Lição 06, Central Gospel, O Anticristo, 1Tr24.pptx
 
INTERTEXTUALIDADE atividade muito boa para
INTERTEXTUALIDADE atividade muito boa paraINTERTEXTUALIDADE atividade muito boa para
INTERTEXTUALIDADE atividade muito boa para
 
Polígonos, Diagonais de um Polígono, SOMA DOS ANGULOS INTERNOS DE UM POLÍGON...
Polígonos, Diagonais de um Polígono, SOMA DOS ANGULOS INTERNOS DE UM POLÍGON...Polígonos, Diagonais de um Polígono, SOMA DOS ANGULOS INTERNOS DE UM POLÍGON...
Polígonos, Diagonais de um Polígono, SOMA DOS ANGULOS INTERNOS DE UM POLÍGON...
 
O desenvolvimento é um conceito mais amplo, pode ter um contexto biológico ou...
O desenvolvimento é um conceito mais amplo, pode ter um contexto biológico ou...O desenvolvimento é um conceito mais amplo, pode ter um contexto biológico ou...
O desenvolvimento é um conceito mais amplo, pode ter um contexto biológico ou...
 
Missa catequese para o dia da mãe 2025.pdf
Missa catequese para o dia da mãe 2025.pdfMissa catequese para o dia da mãe 2025.pdf
Missa catequese para o dia da mãe 2025.pdf
 
E a chuva ... (Livro pedagógico para ser usado na educação infantil e trabal...
E a chuva ... (Livro pedagógico para ser usado na educação infantil e trabal...E a chuva ... (Livro pedagógico para ser usado na educação infantil e trabal...
E a chuva ... (Livro pedagógico para ser usado na educação infantil e trabal...
 
Cartão de crédito e fatura do cartão.pptx
Cartão de crédito e fatura do cartão.pptxCartão de crédito e fatura do cartão.pptx
Cartão de crédito e fatura do cartão.pptx
 
Questões de Língua Portuguesa - gincana da LP
Questões de Língua Portuguesa - gincana da LPQuestões de Língua Portuguesa - gincana da LP
Questões de Língua Portuguesa - gincana da LP
 
ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
 
ATIVIDADE 3 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
ATIVIDADE 3 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024ATIVIDADE 3 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
ATIVIDADE 3 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
 
Sopa de letras | Dia da Europa 2024 (nível 1)
Sopa de letras | Dia da Europa 2024 (nível 1)Sopa de letras | Dia da Europa 2024 (nível 1)
Sopa de letras | Dia da Europa 2024 (nível 1)
 
AULÃO de Língua Portuguesa para o Saepe 2022
AULÃO de Língua Portuguesa para o Saepe 2022AULÃO de Língua Portuguesa para o Saepe 2022
AULÃO de Língua Portuguesa para o Saepe 2022
 
MESTRES DA CULTURA DE ASSARÉ Prof. Francisco Leite.pdf
MESTRES DA CULTURA DE ASSARÉ Prof. Francisco Leite.pdfMESTRES DA CULTURA DE ASSARÉ Prof. Francisco Leite.pdf
MESTRES DA CULTURA DE ASSARÉ Prof. Francisco Leite.pdf
 
Slides Lição 6, Betel, Ordenança para uma vida de obediência e submissão.pptx
Slides Lição 6, Betel, Ordenança para uma vida de obediência e submissão.pptxSlides Lição 6, Betel, Ordenança para uma vida de obediência e submissão.pptx
Slides Lição 6, Betel, Ordenança para uma vida de obediência e submissão.pptx
 
Slide - SAEB. língua portuguesa e matemática
Slide - SAEB. língua portuguesa e matemáticaSlide - SAEB. língua portuguesa e matemática
Slide - SAEB. língua portuguesa e matemática
 
Historia de Portugal - Quarto Ano - 2024
Historia de Portugal - Quarto Ano - 2024Historia de Portugal - Quarto Ano - 2024
Historia de Portugal - Quarto Ano - 2024
 
M0 Atendimento – Definição, Importância .pptx
M0 Atendimento – Definição, Importância .pptxM0 Atendimento – Definição, Importância .pptx
M0 Atendimento – Definição, Importância .pptx
 
Pesquisa Ação René Barbier Livro acadêmico
Pesquisa Ação René Barbier Livro acadêmicoPesquisa Ação René Barbier Livro acadêmico
Pesquisa Ação René Barbier Livro acadêmico
 
Aula 1 - Psicologia Cognitiva, aula .ppt
Aula 1 - Psicologia Cognitiva, aula .pptAula 1 - Psicologia Cognitiva, aula .ppt
Aula 1 - Psicologia Cognitiva, aula .ppt
 

Segurança, gestão e sustentabilidade para cloud computing

  • 1. Segurança na Computação em Nuvem LRG – Laboratório de Redes e Gerência Carla Merkle Westphall carlamw@inf.ufsc.br Carlos Becker Westphall westphal@inf.ufsc.br
  • 3. 3 Segurança  CID – confidencialidade, integridade, disponibilidade  Ameaças – condições ou eventos que forneçam potencial de violação de segurança  Vulnerabilidade – falha ou característica indevida que pode ser explorada  Ataque – conjunto de ações feitas por entidade não autorizada visando violações de segurança
  • 4. 4 Computação em nuvem Hardware e Software entregues: • Sob demanda na forma de auto-atendimento • Independente de dispositivo e de localização Recursos necessários • Compartilhados • Dinamicamente escaláveis • Alocados rapidamente e liberados com interação mínima com o provedor de serviço • Virtualizados Usuários pagam pelo serviço usado
  • 5. 5
  • 7. 7 Tecnologias usadas • Aplicações e serviços Web • Virtualização • Criptografia
  • 8. 8 Segurança e economia • Em larga escala implementar segurança é mais barato (filtros, gerenciamento de patches, proteção de máquinas virtuais) • Grandes provedores de cloud podem contratar especialistas • Atualizações são mais rápidas em ambientes homogêneos para responder aos incidentes • Imagens padrão de VMs e softwares podem ser atualizados com configurações de segurança e patches “Mesmo valor de investimentos em segurança compra uma proteção melhor"
  • 9. 9 Defesas de ambientes de nuvem podem ser mais robustas, escaláveis e ter uma relação custo-benefício melhor, mas… ....a concentração grande de recursos e dados são um alvo mais atraente para atacantes
  • 10. 10 Ameaças • Desvio de sessão (session hijacking): o atacante consegue se apoderar de uma sessão HTTP válida para obter acesso não autorizado
  • 11. 11 Ameaças • Fuga da virtualização: o atacante consegue sair do ambiente virtualizado e obter acesso à máquina física
  • 12. 12 Ameaças • Criptografia insegura e obsoleta: ▫ avanços na criptoanálise, protocolos e algoritmos antes considerados seguros passam a ser obsoletos e vulneráveis ▫ gerenciamento e armazenamento de muitas chaves, hardware não é fixo, difícil ter HSM • Amazon S3 (serviço de storage) usa 256-bit Advanced Encryption Standard (AES-256)
  • 13. 13 Ameaças • Acesso não autorizado à interface de gerência: com o auto-atendimento o gerenciamento de clouds geralmente é feito em uma interface web, sendo mais fácil para um atacante obter acesso não autorizado
  • 14. 14 Ameaças • Vulnerabilidades do IP: acesso via Internet, rede não confiável, IP possui problemas de segurança (scanning IaaS proibido) • Vulnerabilidades de recuperação de dados: devido a realocação de recursos é possível que um usuário tenha acesso a recursos de armazenamento e memória previamente utilizados que ainda podem conter dados
  • 15. 15 Ameaças • Injeção de código malicioso: ▫ injeção de SQL – comando SQL é adicionado ou substitui dados fornecidos pelo usuário que são interpretados (e executados) ▫ Cross-Site Scripting - permite a execução de códigos (scripts) no browser do lado do cliente
  • 16. 16 SQL Injection – Ilustração "SELECT * FROM Conta :: Contas Conta accounts WHERE Knowledge Mgmt Communication Administration Legacy Systems Bus. Functions Application Layer Human Resrcs E-Commerce Transactions Web Services SKU: acct=‘’ OR Directories Accounts Conta:5424-6066-2134-4334 Databases Finance HTTP Billing HTTP SQL DB Table Conta:4128-7574-3921-0192 response  1=1--’" request query Conta:5424-9383-2039-4029 APPLICATION    Conta:4128-0004-1234-0293  ATTACK  Custom Code 1. Aplicação apresenta um formulário para o atacante 2. Atacante envia um ataque nos dados do formulário App Server 3. Aplicação encaminha o ataque Web Server para o BD em uma consulta SQL Hardened OS 4. Banco de dados executa a Network Layer consulta contendo o ataque e envia resultados cifrados de volta para a Firewall Firewall aplicação 5. Aplicação decifra dados como normais e envia resultados para o usuário OWASP - 2010
  • 17. 17 Cross-Site Scripting - Ilustração 1 Atacante envia uma armadilha – atualize o meu perfil Aplicação com vulnerabilidade Atacante envia um XSS armazenada script malicioso em uma página web que armazena os dados no Communication Bus. Functions Administration servidor E-Commerce Transactions Knowledge 2 Vítima viu página – viu o perfil do atacante Accounts Finance Mgmt Custom Code Script executa no browser da vítima com acesso completo ao DOM e cookies 3 Script envia silenciosamente o cookie de sessão da vítima para o atacante OWASP - 2010
  • 18. 18 Ameaças • Uso nefasto e abusivo (Iaas, PaaS): poder computacional, rede e armazenamentos ilimitados são usados por usuário cadastrado. Usuário pode ser spammer, distribuir código malicioso ou outro criminoso. É só ter cartão de crédito ! Crack de senhas e chaves, disparo de ataques, DDOS (X-DoS, H-DoS), comando e controle de botnet (Zeus botnet)
  • 19. 19
  • 20. 20 Ameaças • Interfaces e APIs inseguras (Iaas, PaaS, SaaS) Acesso anônimo e ou tokens ou senha reusáveis, autenticação ou transmissão de dados sem criptografia, autorização imprópria, monitoramento e log limitados, dependências de APIs e serviços desconhecidas
  • 21. 21 Ainda... • Usuários não conseguem monitorar a segurança de seus recursos na nuvem • Possibilidade de auditoria da segurança insuficiente • Não existem padrões de medidas específicas para cloud • A computação nas nuvens separa os componentes de sua localização e isso cria questões de segurança que resultam desta falta de perímetro
  • 22. 22
  • 23. 23
  • 24. 24 Cloud Security Alliance • Domínios de governança • Domínios operacionais 1. Segurança tradicional, planos de continuidade e recuperação de desastres 2. Operações dos datacenters 3. Tratamento de incidentes 4. Segurança das aplicações 5. Criptografia e gerenciamento de chaves 6. Gerenciamento de identidades e de acesso 7. Virtualização 8. Segurança como serviço
  • 25. 25 Desafios - Criptografia • Criptografia forte • Gerenciamento de chaves escalável ▫ uma única chave por usuário? ▫ uma única chave para todos os usuários? ▫ múltiplas chaves para o mesmo usuário? • Usuários e provedores devem cifrar todos os dados em trânsito e também dados estáticos
  • 26. 26 Desafios - Multi-tenancy • Diferentes quanto a segurança, SLA, governança, políticas
  • 27. 27 Desafios – Aplicações e IAM • Segurança de aplicações (IaaS, PaaS, SaaS) • Gerenciamento de Identidades e de Acesso (Identity and Access Management) ▫ Proliferação de identidades ▫ Autenticação única (Single Sign On) ▫ Federação de identidades ▫ Privacidade do usuário ▫ Controle de acesso
  • 28. 28 Tecnologias • SAML, XACML • XML-Encryption, XML-Signature • WS (Web Services) Security ▫ WS-Trust ▫ WS-Policy ▫ ... • OpenID, Google, Shibboleth, ...
  • 29. 29 Amazon EC2 http://aws.amazon.com/security/ • PCI DSS (Payment Card Industry Data Security Standard) Level 1 • ISO 27001 • FISMA (Federal Information Security Management Act) Moderate • HIPAA (Health Insurance Portability and Accountability Act) • SAS 70 (Statement on Auditing Standards) Type II
  • 30. 30 Amazon EC2 http://aws.amazon.com/security/ • Segurança física e operacional • Criptografia no sistema de arquivos • Uso do SSL (https) • Gerência de chaves: usuário cuida • Gerenciamento de Identidades e de Acesso ▫ Criar e gerenciar usuários ▫ Identidades federadas ▫ Credenciais para autorização ▫ APIs de programação
  • 31. 31 Pesquisas • Muito trabalho a ser feito • Vários assuntos de pesquisa • No LRG: ▫ Gerenciamento de identidade e acesso na computação em nuvem ▫ Dissertações de mestrado no PPGCC ▫ TCC ▫ Bolsas Pibic/CNPq
  • 32. 32 Referências • Grobauer, B.; Walloschek, T.; Stocker, E. (2011) "Understanding Cloud Computing Vulnerabilities," Security & Privacy, IEEE , vol.9, no.2, pp.50-57, March-April 2011. • Chaves, S.; Westphal, C. B.; Westphall, C. M.; Gerônimo, G. A. “Customer Security Concerns in Cloud Computing,” ICN 2011, pp. 7- 11, 2011. • Gonzalez, N.; Miers, C.; Redigolo, F.; Carvalho, T.; Simplicio, M.; Naslund, M.; Pourzandi, M.; , "A Quantitative Analysis of Current Security Concerns and Solutions for Cloud Computing,“ IEEE CloudCom, pp.231-238, 2011. • CSA (2011). Security Guidance for Critical Areas of Focus in Cloud Computing – v3.0. Cloud Security Alliance. https://cloudsecurityalliance.org/ • CSA (2010). Top Threats to Cloud Computing V1.0. • CSA BR - https://chapters.cloudsecurityalliance.org/brazil/