Segurança na Nuvem (Rodrigo Medeiros)

Segurança na Nuvemaspectos de segurança em cloud computing

Definição de nuvem

Computação em nuvem é um tipo de computação baseada em Internet, que dá acesso a um pool de recursos computacionais configuráveis, que podem ser provisionados com pouco ou nenhum esforço.

242 bilhõesde dólares em 2017 e o gasto de segurança em

TI como um todo superou **73 bilhões de dólares em 2016

Segundo a Gartner*, o mercado de cloud computing deve chegar até a cifra de

*Gartner Says Worldwide Public Cloud Services Market to Grow 18 Percent in 2017, Fev/17 - http://www.gartner.com/newsroom/id/3616417**Worldwide Revenue for Security Technology Forecast to Surpass $100 Billion in 2020 - http://www.idc.com/getdoc.jsp?containerId=prUS41851116

Características básicas da nuvem

- Ambiente self-service sob demanda- Amplo acesso a recursos de rede- Pool de recursos- Modelo multilocatário- Serviços monitorados

*(NIST - Instituto Nacional de Padrões de Tecnologia - Departamento de Comércio dos Estados Unidos) - http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf

Modelos de serviço

- Software como Serviço (SaaS)

- Disponibiliza os recursos através de uma aplicação web ou mobile. Wordpress, Salesforce, Gmail

- Plataforma como Serviço (PaaS)

- Permite utilizar os recursos via linguagem de programação

ou APIHeroku, Microsoft Azure

*(NIST - Instituto Nacional de Padrões de Tecnologia - Departamento de Comércio dos Estados Unidos) - http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf

Modelos de serviço

- Infraestrutura como Serviço (IaaS)

- Permite acesso granular aos recursos computacionais ( rede, armazenamento e processamento ), alto nível de automação, maior flexibilidade de arquitetura e mais controle sobre componentes de rede.AWS, Google Cloud Platform

*(NIST - Instituto Nacional de Padrões de Tecnologia - Departamento de Comércio dos Estados Unidos) - http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf

Modelos de implantação

- Nuvem Pública

- A infraestrutura é disponibilizada ao público em geral e, é propriedade de uma organização que vende os serviços em nuvem

- Nuvem Privada- Provê serviços para um ou mais clientes dentro de uma mesma

organização. Pode ser gerenciada pela própria organização ou por terceiros e, o datacenter pode estar dentro ou fora da rede interna da organização

*(NIST - Instituto Nacional de Padrões de Tecnologia - Departamento de Comércio dos Estados Unidos) - http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf

Modelos de implantação

- Nuvem Comunitária

- A infraestrutura em nuvem é disponibilizada para organizações de uma comunidade específica, que tenham interesses em comum

- Nuvem Híbrida- Possui características de dois tipos de implantações em nuvem

diferentes

*(NIST - Instituto Nacional de Padrões de Tecnologia - Departamento de Comércio dos Estados Unidos) - http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf

Segurança na nuvem

Segurança na nuvem é o nome dado ao conjunto de políticas, tecnologias e dispositivos de controle utilizados para proteger dados, aplicações e a infraestrutura associada a ambos, em um ambiente de computação em nuvem.

Responsabilidade compartilhada

https://aws.amazon.com/pt/compliance/shared-responsibility-model/

Provedor e cliente devem atuar juntos para manter o

ambiente cloud seguro

Segurança em um provedor cloud

- Gerenciamento de Identidade- Segurança física- Segurança de pessoal- Privacidade- Virtualização

Segurança em um provedor cloud

- Gerenciamento de Identidade

- O provedor deve disponibilizar um sistema para controlar o acesso a informações e recursos de computação rede.

Importante também ter um mecanismo de acesso baseado em token (two-factor authentication), *identificação biométrica ou semelhante, que assegura a identificação do usuário.

*http://www.concretesolutions.com.br/2017/03/16/biometria-senha-nao-mudar/

Segurança em um provedor cloud

- Segurança física

- Os provedores devem proteger o hardware (servidores, roteadores, cabos, etc.) contra acesso não autorizado, interferências, roubo, incêndios, etc.

- Assegurar que os suprimentos essenciais (como eletricidade) sejam suficientemente robustos para minimizar a possibilidade de interrupção

Segurança em um provedor cloud

- Segurança de pessoal

- Preocupações de segurança da informação relativas aos profissionais de TI e outros profissionais associados aos serviços em nuvem são normalmente tratadas através de ações como, asserções pré e pós atividade, campanhas de conscientização de segurança e programas de treinamento

Segurança em um provedor cloud

- Privacidade

- Assegurar que todos os dados críticos (por exemplo, números de cartão de crédito) sejam mascarados ou encriptados e que apenas os utilizadores autorizados tenham acesso aos dados na sua totalidade.

Além disso, as identidades e credenciais digitais devem ser protegidas, assim como qualquer dado que o provedor colete ou produza sobre a atividade do cliente na nuvem

Segurança em um provedor cloud

- Virtualização

- Devido ao uso extenso de virtualização em serviços na nuvem, os provedores devem assegurar que o software controlador ( hipervisor ) esteja íntegro, atualizado e protegido de ataques externos

https://aws.amazon.com/pt/security/security-bulletins/

Controles de segurança

- Impeditivos- Preventivos- Investigativos- Corretivos

Controles de segurança

- Controles Impeditivos

- Desestimulam ou retardam ataques à infraestrutura em nuvem

- Controles Preventivos

- Fortalecem o sistema contra incidentes, geralmente reduzindo ou eliminando por completo uma vulnerabilidade

Controles de segurança

- Controles Corretivos

- Visam diminuir o impacto causado em um eventual incidente

- Controles Preventivos

- Visam detectar e alertar em casos de possíveis incidentes. Confirmando uma ameaça real deve acionar outros controles, preventivos ou corretivos.

Riscos de Segurança

- Definição- Classificação

Risco de segurança é qualquer potencial interação, que não

tenha sido previamente planejada para o sistema

Classificação do risco

- Local- interno ou externo

- Motivação- proposital, acidental

- Agente- humano, tecnológico ou

força-maior

ISSS - Informations Security Society Switzerland - Threat Modeling in Security Architecture -- The Nature of Threats (https://www.isss.ch/fileadmin/publ/agsa/ISSS-AG-Security-Architecture__Threat-Modeling_Lukas-Ruf.pdf)

Classificação de risco

- Local

- Interno: a ameaça tem origens em partes confiáveis do sistema. Ex: ex-funcionário, servidor interno.

- Externo: a ameaça é externa à infraestrutura

- Motivação

- Proposital: quando existe intenção de gerar dano à organização (direta ou indiretamente)

- Acidental: quando não existe intenção de dolo

ISSS - Informations Security Society Switzerland - Threat Modeling in Security Architecture -- The Nature of Threats (https://www.isss.ch/fileadmin/publ/agsa/ISSS-AG-Security-Architecture__Threat-Modeling_Lukas-Ruf.pdf)

Classificação de risco

- Agente

- Humano: para todos os cenários resultantes de decisão humana.

- Tecnológico: para casos onde ocorra falhas devido a degradação química ou física de equipamentos

- Força-maior: fenômenos da natureza, catástrofes e outros eventos que ponham em risco a vida.

ISSS - Informations Security Society Switzerland - Threat Modeling in Security Architecture -- The Nature of Threats (https://www.isss.ch/fileadmin/publ/agsa/ISSS-AG-Security-Architecture__Threat-Modeling_Lukas-Ruf.pdf)

12 maiores riscos de segurança na nuvem*

*The Treacherous Twelve: Cloud Computing Top Threats in 2016 - (https://cloudsecurityalliance.org/group/top-threats/)

1- Violações de dados 2- Senhas fracas, políticas de gerenciamento de credenciais e acesso insuficientes

3- APIs e interfaces de usuário inseguras

4- Vulnerabilidades de Sistemas e Aplicações

5- Seqüestro de conta 6- Agentes maliciosos internos

7- Ameaças Persistentes Avançadas (APTs)

8- Perda de dados 9- Diligência insuficiente

10- Abuso e uso nefasto de serviços em nuvem

11- Negação de Serviço 12- Vulnerabilidade de tecnologia compartilhada

DREAD

- Dano em Potencial- Reproducibilidade- Explorabilidade- Alcance de usuários- Detectabilidade

Compliance - Padrão de indústria que certifica um sistema como seguro,

Ex: ISO 27001, SOC 1,2,3 e PCI DSS.CASB's

- Agentes de monitoramento de acesso à nuvem são software ou serviços que asseguram que uma infraestrutura está conforme um ou mais padrão de compliance. Ex. Cloudlock, CipherCloud, Skyhigh

Compliance & CASB's Cloud Access Security Brokers

PCI DSS - Payment Card Industry Data Security Standard

É um padrão, cuja primeira versão lançada em 2004, uniu os esforços de cinco bandeiras de cartão ( Visa, Mastercard, Amex, Discover, JCB) de assegurar que os lojistas protejam as informações dos portadores cartão de crédito e seguiam um conjunto de melhores práticas.

Possui quatro níveis ( 4 sendo o menos restrito ) que dependem da quantidade de transações e histórico do lojista.

https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2.pdf

PCI DSS - Payment Card Industry Data Security Standard

https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2.pdf

Construir e manter a segurança de rede e sistemas

1. Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão

Implementar medidas rigorosas de controle de acesso

7. Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio

2. Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança

8. Identificar e autenticar o acesso aos componentes do sistema

Proteger os dados do titular do cartão

3. Proteger os dados armazenados do titular do cartão

9. Restringir o acesso físico aos dados do titular do cartão

4. Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas

Monitorar e testar as redes regularmente

10. Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão

Manter um programa de gerenciamento de vulnerabilidades

5. Proteger todos os sistemas contra malware e atualizar regularmente programas ou software antivírus

11. Testar regularmente os sistemas e processos de segurança

6. Desenvolver e manter sistemas e aplicativos seguros

Manter uma política de segurança de informações

12. Manter uma política que aborde a segurança da informação para todas as equipes

Demonstração

Nessus

O Nessus é um scanner de vulnerabilidade desenvolvido pela Tenable Network Security. É gratuito para uso pessoal em ambientes não empresariais.

(USE APENAS NO SEU COMPUTADOR DE CASA)

● Download : https://www.tenable.com/products/nessus/select-your-operating-system

● Registre-se : https://www.tenable.com/products/nessus-home

Referênciashttps://github.com/cloudsecurityalliance/CSA-Guidancehttps://chapters.cloudsecurityalliance.org/brazil/files/2017/02/Guia-CSA-v-3.0.1-PT-BR-Final.pdf

https://aws.amazon.com/pt/compliance/https://www.microsoft.com/en-us/trustcenter/compliance/complianceofferings

http://www.opensecurityarchitecture.org/https://www.owasp.org/

https://cve.mitre.org/http://seclists.org/bugtraq/

PCI DSS Compliance For Dummies®, WhiteHat Security Special Edition, Susan Cook, 2016https://www.whitehatsec.com/resources/pci-dss-compliance-for-dummies-2/https://www.pcicomplianceguide.org/

www.concretesolutions.com.br

Ajudamos empresas a criar produtos digitais de sucesso

Belo Horizonte - Av. Getúlio Vargas, 671 8º andar, sala 800 - Savassi - (31) 3360-8900

Rio de Janeiro - Rua São José, 90 - cj. 2121Centro - (21) 2240-2030

São Paulo - Av. Nações Unidas, 11.5413º andar - Brooklin - (11) 4119-0449

Rodrigo MedeirosDevOps

[email protected]/in/rodrigomma