![Page 1: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/1.jpg)
1
Anchises M. G. de Paula iDefense Intelligence Analyst [email protected]
Fog Computing As falhas e riscos da Computação em Nuvem
![Page 2: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/2.jpg)
2
#FAIL
Mar. 13, 2010!Car Crash Triggers Amazon Power Outage!By Datacenter Knowledge!Amazonʼs EC2 cloud computing service suffered its fourth power outage in a week on Tuesday, with some customers in its US East Region losing service for about an hour. The incident was triggered when a vehicle crashed into a utility pole near one of the companyʼs data centers, and a transfer switch failed to properly manage the shift from utility power to the facilityʼs generators.!
Apr. 29, 2011!Amazon cloud outage was triggered by configuration error!By Computerworld!Amazon has released a detailed postmortem and mea culpa about the partial outage of its cloud services platform last week and identified the culprit: A configuration error made during a network upgrade. !During this configuration change, a traffic shift "was executed incorrectly," Amazon said (…).!
![Page 3: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/3.jpg)
3
Mesmo estando na Nuvem, seu
site pode evaporar ?
Picture source: sxc.hu!
#FAIL
![Page 4: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/4.jpg)
4
Agenda
• Overview - Cloud Computing
• Conhecendo os riscos de Cloud Computing
• Novos riscos na Nuvem
font
e: s
xc.h
u!
![Page 5: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/5.jpg)
5
Overview de Cloud Computing
![Page 6: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/6.jpg)
6 6!
Overview
• Cloud Computing se tornou um termo popular em TI e negócios
20/1/10!Cloud Computing for Business and Society!by Brad Smith, The Huffington Post!(…)!According to a recent survey conducted by Microsoft, more than 90 percent of Americans are using some form of cloud computing; nearly all of us are connected to the cloud. !
![Page 7: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/7.jpg)
7
O que é Cloud Computing?
“A style of computing where massively scalable IT-enabled capabilities are provided "as a service" to external customers using Internet technologies…
… where the consumers of the services need only care about what the service does for them, not how it is implemented” Gartner!
font
e: s
xc.h
u!
![Page 8: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/8.jpg)
8 8!
Overview
• Cloud Computing representa uma mistura e evolução de várias tecnologias
Grid Computing!Utility Computing!
Software as a Service!
Cloud Computing!
1990!
2008!
font
e: O
xfor
d !
![Page 9: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/9.jpg)
9
Overview
Fonte: iDefense!
![Page 10: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/10.jpg)
10
Overview
• Três categorias básicas de Cloud Computing:
• Infrastructure as a Service (IaaS)
• Platform as a Service (PaaS)
• Software as a Service (SaaS)
10!
![Page 11: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/11.jpg)
11
§ Três categorias básicas de Cloud Computing:!
– Infrastructure as a Service (IaaS)!!!
– Platform as a Service (PaaS)!
– Software as a Service (SaaS)!
Overview
11!
S E G U R A N Ç A
Provedor!
Cliente!
![Page 12: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/12.jpg)
12
Conhecendo os Riscos de Cloud Computing
![Page 13: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/13.jpg)
13
Cloud Computing é seguro?
• Depende...
• Seguro comparado com o que? • Precisamos de
um contexto
font
e: s
xc.h
u!
![Page 14: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/14.jpg)
14
Computação em nuvem é um termo em evolução • Preocupação com segurança crescendo conforme surgem necessidades e incidentes específicos.
Computação em Nuvem
fonte: infosuck.org!
![Page 15: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/15.jpg)
15
Estratégia para Análise de Riscos
• Identificar o ativo para implantação na nuvem
• Entender as necessidades e os riscos
• Mapear o ativo com o modelo de implantação
• Avaliar os modelos de serviços e fornecedores
• Selecionar estratégias de mitigação
15!
fonte: sxc.hu!
![Page 16: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/16.jpg)
16
Riscos de Cloud Computing
• Cloud Computing herda vários riscos associados às tecnologias que utiliza
• Conjunto específico de atributos que tornam a análise de riscos mais complexa • Novos paradigmas • Detalhes obscuros do
CSP fonte: sxc.hu!
![Page 17: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/17.jpg)
17 17!
Riscos Tradicionais
“Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”!
![Page 18: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/18.jpg)
18 18!
Riscos Tradicionais
• Riscos : • Terceiros • Perda de governança • Aderência Regulatória • Acesso privilegiado • Usuário interno malicioso • Acesso físico ao ambiente
“Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”!
![Page 19: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/19.jpg)
19 19!
Riscos Tradicionais
• Riscos : • Novas vulnerabilidades e
gestão de atualizações • Acesso privilegiado • Comprometimento da
administração • Exaustão dos recursos
“Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”!
![Page 20: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/20.jpg)
20 20!
Riscos Tradicionais
• Riscos: • Novas vulnerabilidades • Acesso privilegiado • Segregação de dados • Roubo de dados • Recuperação
“Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”!
![Page 21: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/21.jpg)
21 21!
Riscos Tradicionais
• Riscos: • Disponibilidade • Performance • Interceptação de dados • DDoS
“Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”!
![Page 22: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/22.jpg)
22
Novos riscos na Nuvem
![Page 23: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/23.jpg)
23
Novos paradigmas de segurança
• “Nuvem” significa perder parte do controle • Sem controles físicos
• Repensar a segurança de perímetro • Sem time de segurança dedicado
• Foco na estratégia de segurança
font
e: s
xc.h
u!
![Page 24: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/24.jpg)
24
Riscos
• Proteção dos dados • Práticas de gestão de dados do Cloud Provider • Múltiplas transferências de dados • Interceptação dos dados
• Em trânsito • Intra-nuvem
24!
Fonte: iDefense!
![Page 25: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/25.jpg)
25
Riscos
• Proteção dos dados • Práticas de gestão de dados do Cloud Provider • Múltiplas transferências de dados • Interceptação dos dados • Segregação dos dados • Remoção insegura ou incompleta
25!
Fonte: iDefense!
![Page 26: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/26.jpg)
26
Mitigação
• Proteção dos dados • Práticas de gestão de dados do Cloud Provider • Múltiplas transferências de dados • Interceptação dos dados • Segregação dos dados • Remoção insegura ou incompleta
• Mitigação • Criptografia de dados • Criptografia da comunicação • Avaliar os procedimentos do CSP • Auditoria e SLA
26!
Fonte: iDefense!
![Page 27: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/27.jpg)
27
Riscos
• Localização física dos dados • Localização e aspectos regulatórios • Regiões voláteis representam
maior risco • Governos hostis / sem ética e
risco de exposição dos dados
27!
![Page 28: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/28.jpg)
28
Mitigação
• Localização física dos dados • Localização e aspectos regulatórios • Regiões voláteis representam
maior risco • Governos hostis / sem ética e
risco de exposição dos dados
• Mitigação • Identificar a localização dos dados • Escolha CSPs que garantam a localização dos dados • Evite CSPs com data centers em países hostis • Use CSPs baseados no mesmo país
28!
![Page 29: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/29.jpg)
29
Riscos
• Disponibilidade • Exige conectividade constante • Perda de dados e risco de
downtime • Ataques DDoS globais
29!
Fonte: iDefense!
![Page 30: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/30.jpg)
30
Riscos
• Disponibilidade • Exige conectividade constante • Perda de dados e risco de
downtime • Ataques DDoS globais
30!
06/05/10!US Treasury site hit by attack on cloud host!Finextra.com!A US Treasury Web site has been suspended after its cloud computing host was hacked, redirecting users to a malicious site in the Ukraine. !
Fonte: iDefense!
![Page 31: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/31.jpg)
31
Mitigação
• Mitigação • Conhecer a infraestrutura
do CSP’s • Investimento na conexão
Internet local • Evitar pontos de falha • Private clouds • Service-level agreements (SLAs)
com os CSPs • Assuma pelo menos uma falha.
Qual o impacto?
31!
Fonte: iDefense!
![Page 32: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/32.jpg)
32
Riscos
• Portabilidade da Nuvem e “Lock-in” • Não existem padrões para
formato de dados, ferramentas e interfaces
• Como garantir portabilidade dos dados, aplicações e serviços?
• Alta dependência do CSP
32!
A!
B!
Apr. 30, 2009!Cloud Computing Forerunner Facing Bankruptcy!Eweek Europe!Cassatt, the infrastructure management software company started by BEA Systems founder Bill Coleman, is running out of money.!
![Page 33: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/33.jpg)
33
Open Cloud Manifesto
1. Cloud providers must … ensure that the challenges to cloud adoption … are addressed through open collaboration and the appropriate use of standards.
2. Cloud providers must not use their market position to lock customers …
3. Cloud providers must use and adopt existing standards wherever appropriate...
4. When new standards … are needed, … avoid creating too many standards.
5. Any community effort around the open cloud should be driven by customer needs...
Source: www.opencloudmanifesto.org!
Principles of an Open Cloud!
![Page 34: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/34.jpg)
34
Riscos
• Aspectos Legais • Leis no local do CSP
• Leis e regulamentações conflitantes • Compliance do CSP • Contrato com terceiros • Falha de compliance: riscos legais
34!
![Page 35: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/35.jpg)
35
Mitigação
• Aspectos Legais • Leis no local do CSP
• Leis e regulamentações conflitantes • Compliance do CSP • Contrato com terceiros • Falha de compliance: riscos legais
• Mitigação • Conheça suas obrigações • Conheça as obrigações do CSP • Contratos e SLA
35!
FISMA !HIPAA !SOX!PCI !SAS 70 Audits!
![Page 36: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/36.jpg)
36
Riscos
• Suporte Investigativo • Forense na “nuvem”? • Múltiplos clientes, logs agregados • Capacidade de resposta a incidentes • Dependência do CSP para dados
forenses e investigação
36!
![Page 37: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/37.jpg)
37
Mitigação
• Suporte Investigativo • Forense na “nuvem”? • Múltiplos clientes, logs agregados • Capacidade de resposta a incidentes • Dependência do CSP para dados
forenses e investigação
• Mitigação • Definir políticas e procedimentos com o CSP • Evite CSPs que não participem de uma investigação
37!
![Page 38: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/38.jpg)
38
Conclusão
![Page 39: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/39.jpg)
39
Conclusão
• Segurança na “nuvem” não é muito diferente das necessidades “pré-nuvem”
• Cloud computing é fundamentalmente sobre cedendo controle • Controles de segurança x Vantagens para o
negócio • Segurança do CSP versus necessidade de
segurança
font
e: s
xc.h
u!
![Page 40: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/40.jpg)
40
Segurança de Cloud Computing
• Análise de Riscos é fundamental • Compare os Provedores de
Cloud • Faça auditoria e “due
diligence” • Adote estratégias de
mitigação
Fonte: vidadeprogramador.com.br!
![Page 41: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/41.jpg)
41
Previsão do Tempo
• Muitas nuvens a frente
• Sujeito a chuvas e
trovoadas esporádicas
• Tenha sempre um guarda-chuva próximo
fonte: Wikimedia Commons!
![Page 42: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/42.jpg)
42
Referências
• Cloud Security Alliance (CSA) http://www.cloudsecurityalliance.org
• Cloud Security Alliance – Capítulo Brasil https://chapters.cloudsecurityalliance.org/brazil
![Page 43: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/43.jpg)
43
Referências
• “Security Guidance for Critical Areas of Focus in Cloud Computing”http://www.cloudsecurityalliance.org/guidance/csaguide.pdf
• “Top Threats to Cloud Computing V1.0” http://www.cloudsecurityalliance.org/topthreats.html
• “CSA Cloud Controls Matrix V1.2” http://cloudsecurityalliance.org/cm.html
43!
![Page 44: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/44.jpg)
44
Referências
• NIST Cloud Computing Project http://csrc.nist.gov/groups/SNS/cloud-computing/index.html
• Relatório da ENISA “Cloud Computing: Benefits, risks and recommendations for information security http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment
• iDefense Topical Research Paper: “Cloud Computing”
44!
![Page 45: Fog Computing - Falhas e Riscos da Computação em Nuvem](https://reader033.vdocuments.site/reader033/viewer/2022051609/546c4388b4af9f8e2c8b50b0/html5/thumbnails/45.jpg)
Thank You
© 2011 VeriSign, Inc. All rights reserved. VERISIGN and other trademarks, service marks, and designs are registered or unregistered trademarks of VeriSign, Inc. and its subsidiaries in the United States and in foreign countries. All other trademarks are property of their respective owners.