Fog Computing - Falhas e Riscos da Computação em Nuvem

1

Anchises M. G. de Paula iDefense Intelligence Analyst adepaula@verisign.com

Fog Computing As falhas e riscos da Computação em Nuvem

2

#FAIL

Mar. 13, 2010!Car Crash Triggers Amazon Power Outage!By Datacenter Knowledge!Amazonʼs EC2 cloud computing service suffered its fourth power outage in a week on Tuesday, with some customers in its US East Region losing service for about an hour. The incident was triggered when a vehicle crashed into a utility pole near one of the companyʼs data centers, and a transfer switch failed to properly manage the shift from utility power to the facilityʼs generators.!

Apr. 29, 2011!Amazon cloud outage was triggered by configuration error!By Computerworld!Amazon has released a detailed postmortem and mea culpa about the partial outage of its cloud services platform last week and identified the culprit: A configuration error made during a network upgrade. !During this configuration change, a traffic shift "was executed incorrectly," Amazon said (…).!

3

Mesmo estando na Nuvem, seu

site pode evaporar ?

Picture source: sxc.hu!

#FAIL

4

Agenda

•  Overview - Cloud Computing

•  Conhecendo os riscos de Cloud Computing

•  Novos riscos na Nuvem

font

e: s

xc.h

u!

5

Overview de Cloud Computing

6 6!

Overview

•  Cloud Computing se tornou um termo popular em TI e negócios

20/1/10!Cloud Computing for Business and Society!by Brad Smith, The Huffington Post!(…)!According to a recent survey conducted by Microsoft, more than 90 percent of Americans are using some form of cloud computing; nearly all of us are connected to the cloud. !

7

O que é Cloud Computing?

“A style of computing where massively scalable IT-enabled capabilities are provided "as a service" to external customers using Internet technologies…

… where the consumers of the services need only care about what the service does for them, not how it is implemented” Gartner!

font

e: s

xc.h

u!

8 8!

Overview

•  Cloud Computing representa uma mistura e evolução de várias tecnologias

Grid Computing!Utility Computing!

Software as a Service!

Cloud Computing!

1990!

2008!

font

e: O

xfor

d !

9

Overview

Fonte: iDefense!

10

Overview

•  Três categorias básicas de Cloud Computing:

•  Infrastructure as a Service (IaaS)

•  Platform as a Service (PaaS)

•  Software as a Service (SaaS)

10!

11

§  Três categorias básicas de Cloud Computing:!

– Infrastructure as a Service (IaaS)!!!

– Platform as a Service (PaaS)!

– Software as a Service (SaaS)!

Overview

11!

S E G U R A N Ç A

Provedor!

Cliente!

12

Conhecendo os Riscos de Cloud Computing

13

Cloud Computing é seguro?

•  Depende...

•  Seguro comparado com o que? •  Precisamos de

um contexto

font

e: s

xc.h

u!

14

Computação em nuvem é um termo em evolução •  Preocupação com segurança crescendo conforme surgem necessidades e incidentes específicos.

Computação em Nuvem

fonte: infosuck.org!

15

Estratégia para Análise de Riscos

•  Identificar o ativo para implantação na nuvem

•  Entender as necessidades e os riscos

•  Mapear o ativo com o modelo de implantação

•  Avaliar os modelos de serviços e fornecedores

•  Selecionar estratégias de mitigação

15!

fonte: sxc.hu!

16

Riscos de Cloud Computing

•  Cloud Computing herda vários riscos associados às tecnologias que utiliza

•  Conjunto específico de atributos que tornam a análise de riscos mais complexa •  Novos paradigmas •  Detalhes obscuros do

CSP fonte: sxc.hu!

17 17!

Riscos Tradicionais

“Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”!

18 18!

Riscos Tradicionais

•  Riscos : •  Terceiros •  Perda de governança •  Aderência Regulatória •  Acesso privilegiado •  Usuário interno malicioso •  Acesso físico ao ambiente

“Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”!

19 19!

Riscos Tradicionais

•  Riscos : •  Novas vulnerabilidades e

gestão de atualizações •  Acesso privilegiado •  Comprometimento da

administração •  Exaustão dos recursos

“Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”!

20 20!

Riscos Tradicionais

•  Riscos: •  Novas vulnerabilidades •  Acesso privilegiado •  Segregação de dados •  Roubo de dados •  Recuperação

“Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”!

21 21!

Riscos Tradicionais

•  Riscos: •  Disponibilidade •  Performance •  Interceptação de dados •  DDoS

“Cloud is an on-demand service model for IT provision, often based on virtualization and distributed computing technologies.”!

22

Novos riscos na Nuvem

23

Novos paradigmas de segurança

•  “Nuvem” significa perder parte do controle •  Sem controles físicos

•  Repensar a segurança de perímetro •  Sem time de segurança dedicado

•  Foco na estratégia de segurança

font

e: s

xc.h

u!

24

Riscos

•  Proteção dos dados •  Práticas de gestão de dados do Cloud Provider •  Múltiplas transferências de dados •  Interceptação dos dados

•  Em trânsito •  Intra-nuvem

24!

Fonte: iDefense!

25

Riscos

•  Proteção dos dados •  Práticas de gestão de dados do Cloud Provider •  Múltiplas transferências de dados •  Interceptação dos dados •  Segregação dos dados •  Remoção insegura ou incompleta

25!

Fonte: iDefense!

26

Mitigação

•  Proteção dos dados •  Práticas de gestão de dados do Cloud Provider •  Múltiplas transferências de dados •  Interceptação dos dados •  Segregação dos dados •  Remoção insegura ou incompleta

•  Mitigação •  Criptografia de dados •  Criptografia da comunicação •  Avaliar os procedimentos do CSP •  Auditoria e SLA

26!

Fonte: iDefense!

27

Riscos

•  Localização física dos dados •  Localização e aspectos regulatórios •  Regiões voláteis representam

maior risco •  Governos hostis / sem ética e

risco de exposição dos dados

27!

28

Mitigação

•  Localização física dos dados •  Localização e aspectos regulatórios •  Regiões voláteis representam

maior risco •  Governos hostis / sem ética e

risco de exposição dos dados

•  Mitigação •  Identificar a localização dos dados •  Escolha CSPs que garantam a localização dos dados •  Evite CSPs com data centers em países hostis •  Use CSPs baseados no mesmo país

28!

29

Riscos

•  Disponibilidade •  Exige conectividade constante •  Perda de dados e risco de

downtime •  Ataques DDoS globais

29!

Fonte: iDefense!

30

Riscos

•  Disponibilidade •  Exige conectividade constante •  Perda de dados e risco de

downtime •  Ataques DDoS globais

30!

06/05/10!US Treasury site hit by attack on cloud host!Finextra.com!A US Treasury Web site has been suspended after its cloud computing host was hacked, redirecting users to a malicious site in the Ukraine. !

Fonte: iDefense!

31

Mitigação

•  Mitigação •  Conhecer a infraestrutura

do CSP’s •  Investimento na conexão

Internet local •  Evitar pontos de falha •  Private clouds •  Service-level agreements (SLAs)

com os CSPs •  Assuma pelo menos uma falha.

Qual o impacto?

31!

Fonte: iDefense!

32

Riscos

•  Portabilidade da Nuvem e “Lock-in” •  Não existem padrões para

formato de dados, ferramentas e interfaces

•  Como garantir portabilidade dos dados, aplicações e serviços?

•  Alta dependência do CSP

32!

A!

B!

Apr. 30, 2009!Cloud Computing Forerunner Facing Bankruptcy!Eweek Europe!Cassatt, the infrastructure management software company started by BEA Systems founder Bill Coleman, is running out of money.!

33

Open Cloud Manifesto

1.  Cloud providers must … ensure that the challenges to cloud adoption … are addressed through open collaboration and the appropriate use of standards.

2.  Cloud providers must not use their market position to lock customers …

3.  Cloud providers must use and adopt existing standards wherever appropriate...

4.  When new standards … are needed, … avoid creating too many standards.

5.  Any community effort around the open cloud should be driven by customer needs...

Source: www.opencloudmanifesto.org!

Principles of an Open Cloud!

34

Riscos

•  Aspectos Legais •  Leis no local do CSP

•  Leis e regulamentações conflitantes •  Compliance do CSP •  Contrato com terceiros •  Falha de compliance: riscos legais

34!

35

Mitigação

•  Aspectos Legais •  Leis no local do CSP

•  Leis e regulamentações conflitantes •  Compliance do CSP •  Contrato com terceiros •  Falha de compliance: riscos legais

•  Mitigação •  Conheça suas obrigações •  Conheça as obrigações do CSP •  Contratos e SLA

35!

FISMA !HIPAA !SOX!PCI !SAS 70 Audits!

36

Riscos

•  Suporte Investigativo •  Forense na “nuvem”? •  Múltiplos clientes, logs agregados •  Capacidade de resposta a incidentes •  Dependência do CSP para dados

forenses e investigação

36!

37

Mitigação

•  Suporte Investigativo •  Forense na “nuvem”? •  Múltiplos clientes, logs agregados •  Capacidade de resposta a incidentes •  Dependência do CSP para dados

forenses e investigação

•  Mitigação •  Definir políticas e procedimentos com o CSP •  Evite CSPs que não participem de uma investigação

37!

38

Conclusão

39

Conclusão

•  Segurança na “nuvem” não é muito diferente das necessidades “pré-nuvem”

•  Cloud computing é fundamentalmente sobre cedendo controle •  Controles de segurança x Vantagens para o

negócio •  Segurança do CSP versus necessidade de

segurança

font

e: s

xc.h

u!

40

Segurança de Cloud Computing

•  Análise de Riscos é fundamental •  Compare os Provedores de

Cloud •  Faça auditoria e “due

diligence” •  Adote estratégias de

mitigação

Fonte: vidadeprogramador.com.br!

41

Previsão do Tempo

•  Muitas nuvens a frente

•  Sujeito a chuvas e

trovoadas esporádicas

•  Tenha sempre um guarda-chuva próximo

fonte: Wikimedia Commons!

42

Referências

•  Cloud Security Alliance (CSA) http://www.cloudsecurityalliance.org

•  Cloud Security Alliance – Capítulo Brasil https://chapters.cloudsecurityalliance.org/brazil

43

Referências

•  “Security Guidance for Critical Areas of Focus in Cloud Computing”http://www.cloudsecurityalliance.org/guidance/csaguide.pdf

•  “Top Threats to Cloud Computing V1.0” http://www.cloudsecurityalliance.org/topthreats.html

•  “CSA Cloud Controls Matrix V1.2” http://cloudsecurityalliance.org/cm.html

43!

44

Referências

•  NIST Cloud Computing Project http://csrc.nist.gov/groups/SNS/cloud-computing/index.html

•  Relatório da ENISA “Cloud Computing: Benefits, risks and recommendations for information security http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment

•  iDefense Topical Research Paper: “Cloud Computing”

44!

Thank You

© 2011 VeriSign, Inc. All rights reserved. VERISIGN and other trademarks, service marks, and designs are registered or unregistered trademarks of VeriSign, Inc. and its subsidiaries in the United States and in foreign countries. All other trademarks are property of their respective owners.