cloud computing-curso-dia3

Material disponível em: http://slideshare.net/ademarfreitas


Ademar [email protected]@demafrFounder e CTO – VIZION Gestão de Negócios EmpresariaisVice Presidente de Sistemas de Informação – SUCESUMSConselheiro Diretoria de Eventos StartupMS


Curso

CLOUD COMPUTINGDIA 3

Gerenciamento e Segurança – Parte II

Implementando

Padrões e Melhores Práticas – Parte I


GERENCIAMENTO E SEGURANÇA

EM CLOUD COMPUTING...

Ameaças de segurança são amplificadas pois espalham-se mais rapidamente em Cloud

Infraestrutra Cloud é maior, comparativamente aos métodos tradicionais;

A similaridade de componentes, procedimentos empregados por fornecedores de Cloud

aumentam a velocidade que os danos são causados;

Por isso, os fornecedores precisam adotar muito

mais itens de segurança



Na Cloud, o fornecedor detêm o conteúdo, mas não é dono dele;

Em Cloud Pública, a preocupação é que pode acessar o conteúdo;

Ainda assim, Dados podem ser protegidos através de criptografia!


Dados que ficam na “Mão” do fornecedor cloud e são de extrema importância:

Dados de identidade pessoal – e-mail, contatos telefonicos, endereços,

preferencias...

Detalhes de serviços e ações realizadas pelos clientes;

Dados proprietários de clientes – Imagens, arquivos pessoais...

Dados em repouso;

O fornecedor de cloud deve garantir que esses dados estarão seguros e não serão

divulgados;

Requer observância na legislação local;



GERENCIAMENTO E SEGURANÇAAmeças mais comuns

VM TheaftOu VM escape

Hyperjacking

Data Leakage Denial ofService


VM Theaft ou VM escape

Falhas nos controles de acessos;

Falhas em permissões;

Como prevenir:

VM`s devem ser assinadas para rodar somente em um

determinado servidor;

Usar a combinação de gerenciamento de virtualização e de

armazenamento;



Hyperjacking

Hackers podem rodar aplicativos não autorizados em que o sistema

operacional perceba;

O atacante pode controlar as interações entre as VM`s e o SO;

Formas comuns de segurança são ineficazes;

Mensurar ataques incluem:

Analisar desempenho de hardware;

Avaliar a integridade do emulador de VM's a nivel de hardware

para localizar o atacante;



Data Leakage

Geralmente por engenharia social;

Ataques por Brute-Force;

Padrões de processamento de informação;

Requer políticas fortes de acesso, senhas, proteção física...

O resultado é o vazamento de senhas, listas...



Hyperjacking

Tem a intenção unicamente de impedir que usuários acessem determinado

serviço;

O ataque envolve:

Forçar exaustivamente recursos de rede e aplicativos até que sejam

derrubados;

Explorar vulnerabilidades para atrapalhar a comunicação, ex.: resetar

conexões, corromper caminhos DNS...

Utiliza de “Zumbis” para realizar os ataques;

Algumas maneiras de prevenir são a utilização de filtros e limitações no

consumo de recursos;



A Nivel Computacional

Segurança Física;

Segurança do Virtualizador;

Segurança de VM`s;

Isomento;

Criptografia;

Alterar os “padrões de fábrica”

Segurança do SO;

Manter serviços e programas atualizados;

Segurança do Aplicativo;

GERENCIAMENTO E SEGURANÇAMecanismos de Segurança a serem adotados


A Nivel de Rede

Utilização de Firewalls;

Desmilitarized Zones;



A Nivel de Dados

Utilização de Apis para transferencia de informações;

Criptografia para transferencia informações;

Isolamento de Bases de Dados para acesso local somente;



Definir o Tipo de serviço prestado;

Qual o serviço me atende?

Meu serviço é global?

Tenho necessidade de baixa latência?

Não é para todos os negócios!

Tenho necessidade de alta disponibilidade?

Meus dados podem ficar expostos obedecendo padrões de

privacidade de terceiros?

Esses dados são protegidos por leis de privacidades?

Tenho dificuldades de conexão de internet?

IMPLEMENTANDONuvem Pública


IMPLEMENTANDONuvem Pública – Situação do Brasil (2013)


http://cloudscorecard.bsa.org/2013/assets/PDFs/BSA_GlobalCloudScorecard2013.pdf


Ter em mente o “Custo” de uma

rede privada

Custo Operacional

Custo em Ativos;

Obedecer características

essenciais da nuvem (The NIST

Definition of Cloud Computing):

Sob demanda, self-

service; amplo acesso

aos recursos de rede;

implantação de novos

recursos; elasticidade;

serviços mensuraveis;

IMPLEMENTANDONuvem Privada

Global Foundation Services (GFS) - Microsoft


Euclyptus

OpenNebula

Nimbus

OpenStack


Camada de hardwareinstalações do datacenter e os sistemas mecânicos, bem como a estrutura de armazenamento, de rede e de computação. Cada um desses elementos deve fornecer interfaces de gerenciamento que permitam interagir com níveis superiores da arquitetura.

Camada de VirtualizaçãoPermite usar as máquinas virtuais (VMs) e a rede com VLANs, e fornecer armazenamento por meio de volumes compartilhados do cluster e discos virtuais. A camada de virtualização nos ajuda a atingir várias das características essenciais do NIST, como pool de recursos e elasticidade.

Camada de AutomaçãoFornecem a interface entre os sistemas de gerenciamento superior e os recursos físicos e virtuais.

Camada de GerenciamentoUtilizam as tecnologias da camada de automação para realizar tarefas de gerenciamento, como controlar a conformidade de patches, implantar patches e verificar a instalação. A camada de gerenciamento fornece automação de processo básico, mas geralmente é limitada a um aspecto do ciclo de vida do gerenciamento do servidor (como implantação, aplicação de patch, monitoramento, backup e assim por diante).

Camada de OrquestraçãoA camada de orquestração geralmente não é vista em ambientes de TI tradicionais, mas é crítica para fornecer atributos de nuvem. A camada de orquestração vincula vários produtos, tecnologias e processos para permitir um processo de automação de TI fim a fim.


Open Source Cloud Controllers

Euclyptus

Open Nebula

Nimbus

OpenStack

O OpenStack é um conjunto de ferramentas livres que possibilita a criação de uma nuvem computacional IaaS, incluindo serviços de armazenamento de dados. Os maiores contribuidores, para que o OpenStack atingisse o grau de desenvolvimento atual, foram a NASA e a empresa Rackspace.

O OpenStack é organizado em três famílias de serviços: Compute Infrastructure (Nova), Storage Infrastructure (Swift) e Imaging Service (Glance). Cada uma dessas famílias possui um ou mais utilitários respon- sáveis por desempenharem determinada função dentro da nuvem.


NORMAS, PADRÕES E MELHORES PRÁTICAS

Busca fornecer uniformidade e portabilidade;

Organizações de padrões incluem:

Organização Internacional para Normatização (ISO/IEC);

NIST – National Institute of Standard and Technology - US Departament of

Commerce;

Organizações não Governamentais

OCC – Open Cloud Consortium

BSA – Business Software Alliance;



Busca fornecer uniformidade e portabilidade;

Organizações de padrões incluem:

Organização Internacional para Normatização (ISO/IEC);

NIST – National Institute of Standard and Technology - US Departament of

Commerce;

Organizações não Governamentais

OCC – Open Cloud Consortium

BSA – Business Software Alliance;


NORMAS

COBIT®, do inglês, Control Objectives for Information and related Technology, é um guia de

boas práticas apresentado como framework, teste dirigido para a gestão de tecnologia de informação (TI).1

Mantido pelo ISACA (Information Systems Audit and Control Association), possui uma série de recursos que

podem servir como um modelo de referência para gestão da TI, incluindo um sumário executivo, um

framework, objetivos de controle, mapas de auditoria, ferramentas para a sua implementação e

principalmente, um guia com técnicas de gerenciamento.1


ISO 38500

Estabelecer responsabilidades facilmente compreensíveis para a TI; Planejar a TI para que ela ofereça o melhor suporte à organização; Validar as aquisições de TI; Garantir a melhor performance da TI sempre que necessário; Garantir a conformidade da TI junto às regras formais; Garantir que a utilização dos recursos de TI respeitem os fatores humanos.


BiSL® - Negócios

A estrutura do Business information Services Library (BiSL®) - desenvolvida pela ASL BiSL Foundation - fornece instruções sobre a adoção de uma abordagem sistemática e profissional na gestão da informação de negócios.

Enquanto a TI garante que a informação seja armazenada, processada e disponibilizada, a gestão efetiva da informação de negócios garante a capacidade da organização de responder às necessidades específicas do negócio.


ISO/IEC 20000 – EstratégicoISO/IEC 27001 – Gerenciamento de SegurançaAplication services Library – ASL® - Normas e boas práticas para

desenvolver e gerir aplicativosIEEE - Instituto de Engenheiros Eletricistas e Eletrônicos

Melhores práticas internas – Por fornecedor:http://d36cz9buwru1tt.cloudfront.net/pt/wp/AWS_Security_Best_Practices_01042011.pdf


http://awshub.com.br

http://www.ibm.com/developerworks/cloud/

http://www.windowsazure.com/en-us/documentation/

http://aws.amazon.com/pt/activate/


OBRIGADO!

cloud computing-curso-dia3

Documents