resumo executivo: quatro obstÁculos para a ?· virtualização da função de rede, estão...

Download RESUMO EXECUTIVO: QUATRO OBSTÁCULOS PARA A ?· virtualização da função de rede, estão facilitando…

Post on 07-Nov-2018

214 views

Category:

Documents

0 download

Embed Size (px)

TRANSCRIPT

  • RESUMO EXECUTIVO: QUATRO OBSTCULOS PARA A OBTENO DA SEGURANA EM NUVEM PBLICA/PRIVADAAnlise das armadilhas de segurana que ameaam os ambientes virtuais atuais

    ResumoA virtualizao e as arquiteturas em nuvem podem reduzir os custos e aumentar a eficincia e a agilidade operacional, mas enfrentam ameaas como malware cada vez maiores. A rea de TI deve aplicar oramentos limitados para proteger os ambientes em nuvem pblica/privada das armadilhas comuns de segurana, incluindo:

    Incapacidade de visualizao do trfego dentro da VM

    Proliferao de polticas

    Proliferao virtual

    Restries em nuvens pblica

    Iniciativas de negcio que esto impulsionando a migrao para a virtualizao

    Diante dos mercados em rpida evoluo, da concorrncia feroz e de um ambiente de negcio acelerado, as organizaes devem proteger a participao no mercado e tambm crescer.

    Mais do que nunca, a tecnologia da informao desempenha um papelcentral.

    No "back-end", espera-se que a rea de TI acompanhe as inovaes tecnolgicas, modernize os data centers e o ambiente de TI e otimize os servios de TI para posicionar a organizao para o sucesso. Isso inclui projetar, implementar e novas aplicaes que capacitem os negcios corporativos, ferramentas e servios de produtividade de usurios e arquiteturas de rede, como computao em nuvem pblica/privada/hbrida, virtualizao de funes de rede (NFV) e mobilidade. Igualmente importante, a rea de TI tambm deve oferecer suporte e proteger esse ambiente de rede dinmico e a equipe de trabalho mvel com um oramento uniforme, se no reduzido.

    No "front-end", a rea de TI deve ter xito em garantir que os engajamentos na Web, os servios e o suporte da empresa estejam on-line 24horas por dia, 7 dias por semana, 365 dias por ano. Isso envolve manter todas as propriedades da Web da organizao seguras, sem interrupes e com seu melhor desempenho. A rea de TI busca uma defesa de segurana acessvel e inflexvel. Isso exige uma segurana dinmica que possa prevenir ataques

  • 2

    e fornecer a anlise para proteo e resposta em toda a infraestrutura fsica e virtual da organizao. A rea de TI deve insistir em uma segurana flexvel, seja ela com fio/wireless ou em nuvem pblica/privada e de seu escritrio central para seus campus remotos, filiais, subsidirias ou ambientes de parceiros.

    As vantagens e as desvantagens davirtualizao

    H mais de uma dcada, a virtualizao de servidores transformou a parte de computao da infraestrutura de TI do mundo fsico para o mundo virtualizado. A virtualizao ainda proeminente hoje, pois continua avanando e aumentando os benefcios operacionais e econmicos de todo o data center, reduzindo os custos operacionais e de capital e permitindo que a equipe se concentre na infraestruturacrtica.

    Os avanos contnuos nas ferramentas e nos servios de virtualizao, como a virtualizao da funo de rede, esto

    facilitando e agilizando o desenvolvimento e a colocao de cargas de trabalho virtualizadas em qualquer lugar da rede virtual (VN) pelos departamentos de TI. Alm disso, a virtualizao fornece para a rea de TI mais recursos de autogerenciamento e programabilidade da rede, assim como a velocidade de provisionamento necessria para operar o data center com a eficincia aprimorada. Isso permite que as equipes de rede e aplicaes personalizem e forneam novos servios e iniciem, movam, copiem, clonem, restaurem ou excluam instantaneamente os servios hospedados em mquinas virtuais a qualquer momento para atender s necessidades operacionais especficas do seu data center. Esse nvel mais alto de elasticidade e agilidade operacional reduz significativamente o custo do fornecimento de servios de aplicaes para toda a empresa.

    Entretanto, apesar dessas muitas vantagens, o outro lado do uso de tecnologias de virtualizao so as muitas

    implicaes e preocupaes de segurana que a rea de TI deve enfrentar. (Consulte a Tabela 2 abaixo.) A virtualizao, por sua prpria natureza, acrescenta muitas camadas de infraestrutura e complexidade operacional. Questes como uso compartilhado de armazenamento, dispositivos de roteamento, segmentos de rede e canais de comunicao demonstraram ser vulnerveis a ataques cibernticos, como ataques de uso indevido de recursos compartilhados, ataques a mquinas virtuais cruzadas, ataques de canal lateral e vulnerabilidades comuns de aplicaes e protocolos baseados em rede. Essas ameaas atingem todas as partes da estrutura virtual, incluindo hypervisor ou monitor de mquina virtual (VMM), mquinas virtuais (VMs), sistemas operacionais (OSs) em VMs, aplicaes em execuo nesses OSs e os componentes de rede virtual do ambiente virtualizado. A proteo incorreta de todo o ambiente virtual pode resultar em prejuzos imensurveis para uma organizao.

    Fonte: "Segurana da rede virtual: ameaas, contramedidas e desafios" (Em ingls) Journal of Internet Services and Applications, dezembro de 2015

    Tabela 2 Relacionamentos entre vulnerabilidades e ameaas em ambientes de virtualizao da rede

    Categorias de ameaas Vulnerabilidades Ameaas

    Divulgao

    Vazamento de informaesAusncia de proteo da tabela ARP Envenenamento da tabela ARP

    Insero de regras de firewall em ns virtuais Subverso de regras de firewall

    Interceptao de informaes

    Ausncia de proteo da tabela ARP Envenenamento da tabela ARP

    Transmisso de dados em padres previsveis Ataques de anlise de trfego

    Manipulao no controlada de mltiplas solicitaes sequenciais de rede virtual de uma nica entidade

    Inferncia e divulgao de informaes topolgicas confidenciais

    Troca desprotegida de informaes de roteamento entre roteadores virtuais

    Divulgao de informaes confidenciais de roteamento

    Explorao de introspeco Introspeco no controlada Roubo de dados

    Fraude

    Fraude de identidade

    Tratamento incorreto de identidades:

    em redes individuais Injeo de mensagens maliciosas com fontes falsificadas

    entre redes federadas Atendimento de segundo nvel de privilgios

    durante procedimentos de migraoAbuso de remoo de n e readio para obter novas identidades (limpas)

    Perda de entradas do registro Operaes no controladas de reverso Perda de entradas do registro

    Ataques de reproduo Ausncia de identificadores exclusivos de mensagem Ataques de reproduo

    Interrupes

    Sobrecarga dos recursosfsicos

    Alocao no controlada de recursosQueda de desempenho

    Consumo abusivo de recursos

    Tratamento no controlado das solicitaes da rede virtualEsgotamento de recursos em partes especficas da infraestrutura

    Ausncia de estratgias proativas ou reativas de recuperao Ataques de negao de servio

    Falha de recursos fsicosAusncia de estratgias proativas ou reativas de recuperao Falha de roteadores/redes virtuais

    Realocao no controlada de recursos aps falhas Sobrecarga dos roteadores virtuais restantes aps falhas

    UsurpaoFraude de identidade Tratamento incorreto de identidades e privilgios associados Atendimento de segundo nvel de privilgios

    Explorao de vulnerabilidades do software

    Atendimento de segundo nvel de privilgio em monitores de mquina virtual

    Controle no autorizado de roteadores fsicos

    https://link.springer.com/article/10.1186/s13174-014-0015-z#citeas
  • 3

    Os danos podem incluir:

    Controle no autorizado dos sistemas virtuais para execuo de aesmaliciosas

    Acesso no autorizado a ativos de dadosprotegidos

    Roubo de informaes

    Interrupo ou degradao do servio de parte ou de todo o ecossistemavirtual

    A virtualizao atualmente um campo ativo de pesquisa de ameaas e vulnerabilidades na academia, programas de recompensa por bugs, hacking tico e comunidades organizadas de crimes cibernticos. Novas ameaas so identificadas regularmente. A vulnerabilidade VENOM, CVE-2015-3456, um desses exploits que afetam plataformas populares de virtualizao, como Xen e KVM.

    Por isso, a rea de TI tem motivos para se preocupar intensamente com sua postura atual de segurana. Muitas organizaes acreditam que o sistema de defesa atual no tem os recursos e os controles dinmicos de segurana necessrios para proteger adequadamente as infraestruturas de rede virtual de forma contnua. Isso dificulta a garantia do tempo de atividade operacional, do fornecimento e disponibilidade de servios e da conformidade com os requisitos regulamentares para a rea de TI.

    Cenrio prtico

    Para fornecer uma perspectiva mais prticas, vamos analisar um cenrio no qual o ambiente virtual de uma organizao reside em uma arquitetura de segurana de firewall fsico. A Figura 1 (acima direita) descreve o canal do fluxo de comunicao da VM da aplicao para a VM do banco de dados na mquina host da VM. A aplicao pode ser um Microsoft SharePoint realizando uma leitura/gravao em um banco de dados SQL. Neste cenrio, a rea de TI deve garantir o fornecimento seguro dos servios daaplicao.

    Ambiente virtual com firewall fsico

    A rea de TI tem duas abordagens de inspeo com mtodos legados. Um caminho possvel rotear o trfego entre as VMs por meio do switch virtual (vSwitch) ao norte para a malha de roteamento externa e, em seguida, para um firewall externo que retorna o mesmo canal ao sul. O direcionamento do trfego dessa forma apresenta muitos hops e pode causar problemas como degradao do desempenho, latncia, perda de pacotes e as preocupaes de controle de segurana mencionadas anteriormente. A segunda abordagem usar um firewall baseado em software e execut-los como agentes em cada VM. Esse mtodo apresenta desafios semelhantes, com baixo desempenho e aumento da complexidade de gerenciamento medida que a quantidade de VMs aumenta.

    Ao analisar o desafio de segurana dos firewalls fsicos em um mundo dinmico virtualizado, as armadilhas comuns que a rea de TI vai enfrentar so:

    1. Incapacidade de visualizao do trfego entre as mquinas virtuais

    2. Proliferao de polti