segurança na nuvem privada

31
Segurança na Nuvem Privada Yuri Diogenes Senior Technical Writer Server and Cloud Division iX Solutions/Foundations Group - Security

Upload: freya

Post on 20-Jan-2016

28 views

Category:

Documents


0 download

DESCRIPTION

Segurança na Nuvem Privada. Yuri Diogenes Senior Technical Writer Server and Cloud Division iX Solutions/Foundations Group - Security. Agenda. Considerações Finais. Modelo de Referência de Segurança na Nuvem Privada. Desafios da Segurança na Nuvem – Características Essenciais. - PowerPoint PPT Presentation

TRANSCRIPT

Page 1: Segurança na Nuvem Privada

Segurança na Nuvem Privada

Yuri DiogenesSenior Technical WriterServer and Cloud Division iX Solutions/Foundations Group - Security

Page 2: Segurança na Nuvem Privada

Agenda

Evolução do Datacenter

Visão Geral da Segurança na Nuvem

Principais Diferenças de Segurança em uma Nuvem Privada

Desafios da Segurança na Nuvem – Características Essenciais

Modelo de Referência de Segurança na Nuvem Privada

Principios de Segurança em uma Nuvem Privada

Considerações Finais

Page 3: Segurança na Nuvem Privada

Evolução doDatacenter

Page 4: Segurança na Nuvem Privada

Microsoft Confidential 4

Evolução do DatacenterComputação na Nuvem

Virtualização de Servidores

• Virtualização de Servidores

• Computação, armazenamento e rede compartilhados

• Modelo de Multi-Inquilino & isolamento

• Convergência de redes

• Consolidação de servidores• Maior escala• Hardware de servidores

heterogeneo

• Eficiência na utilização da infra-estrutura

• Automação da instalação / Migração de aplicações, VM’s e Serviços

• Escalonamento de rede e armazenamento

• Isolamento de hardware

Nuvem

• Servidores dedicados• Nada virtualizado

Bene

fício

s

Potencial para Crescimento

Cara

cter

ístic

as

Page 5: Segurança na Nuvem Privada

Visão Geral da Segurança na Nuvem

Page 6: Segurança na Nuvem Privada

Desafios

Confiar no modelo de segurança do provedorObter suporte para investigaçãoResponsabilidade pela administração indireta

Ameaças InternasSegurança “On-premise”Proteção do cliente (endpoint)

Perda de controle físicoVazamento de dadosDesvio de tráfego

Page 7: Segurança na Nuvem Privada

Quanto a Segurança “On-Premise”, ela é mesmoimportante?• Partes fundamentais da solução continuam nas

premissas do cliente– Partes estas que se forem comprometidas podem

afetar a segurança da solução por completo• A rede do cliente é possivelmente o ponto mais

fraco do modelo de segurança como um todo• Usuários maliciosos vão tirar proveito da parte mais

fraca da cadeia explorando tais vulnerabilidades

Page 8: Segurança na Nuvem Privada

Defensa em Profundidade na Nuvem

Produtividade com Segurança

On-premises

OnlineMultiple Layers of

ProtectionForçar as

políticas de segurança

Reforçar a Segurança On-Premise

Alcançar os requisitos de regulamentaç

ão e conformidade

Verificar se o provedor

tem um programa

de segurança e qual seria

Treinamento Básico de Segurança para todos

colaboradores

Page 9: Segurança na Nuvem Privada

Principais diferenças de segurança na nuvem privada

Page 10: Segurança na Nuvem Privada

Resp

onsa

bili

dade d

e

Segu

rança

Page 11: Segurança na Nuvem Privada

Modelo de Compartilhamento de Inquilinos

•Múltiplas orgs e divisõesMúltiplos

Inquilinos em uma nuvem privada

•Autenticação

•Autorização

•Controle de Acesso

Requer separação lógica

Host B

Host C Host D

Host A

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

Page 12: Segurança na Nuvem Privada

Plataforma de Virtualização

Workload Móveis

Mobilidade Automatizada

Desvínculo do Físico

Ferramentas de Segurança

Tentando se adequar

Virtualização e Controles de Segurança

• Integração com a fábrica da nuvem privada• Fornecer interfaces separadas de

configuração• Fornecer elasticidade programável e sobre

demanda para os serviços• Suportar políticas que governam atributos

lógicos• Habilitar zonas de confiança separadas para

múltiplos inquilinos em um ambiente dinâmico

Page 13: Segurança na Nuvem Privada

Princípios de Segurança na Nuvem Privada

Page 14: Segurança na Nuvem Privada

Princípios fornecem regras gerais e diretrizes para suportar a evolução de uma infra-estrutura segura de nuvem. Eles são

sólidos, informam e suportam a forma com que você vai tornar seguro a nuvem privada. Estes princípios formam a

base com que a segurança de uma nuvem privada é planejada, desenhada e criada.

Os Onze Princípios de Segurança

Limitar rotas de acesso

Uso de criptografia

Minimizar a superfície de

ataque

Auditar de forma

extensiva

Empregar Governança,

Conformidade e Gerenciamento de

Risco

Automatizar operações de

segurança

Segurança embutida

Todos dados precisam

estar acessíveis

Ataques vem de dentro

(autorizado e autenticado)

Forçar isolamento

Aplicar melhores práticas

Page 15: Segurança na Nuvem Privada

Desafios da Segurança na Nuvem – Caracaterísticas

Essenciais

Page 16: Segurança na Nuvem Privada

Resource Pooling

Como um consumidor (inquilino) dos serviços oferecidos pela nuvem privada na minha empresa tenho o requisito de que meus dados estejam seguros, nimguém

pode acessá-los e os dados precisam estar salvos caso algo inesperado ocorra.

Prevenir vazamento entre

Inquilinos

AAA

Também se aplica aos

administradores

RBAC

Page 17: Segurança na Nuvem Privada

On-Demand Self-Service

Como o arquiteto, designer ou operador de uma solução de

nuvem privada, como eu posso controlar quem tem acesso a

minha nuvem privada e como eu posso monitorar e auditar o uso

dos meus serviços? Quem tem autoridade para:

Demandar Disponibilizar Usar Liberar

Erros na disponibilização de recursos

Processo de

Limpeza

Acordo no Nível de Serviço explícito

Page 18: Segurança na Nuvem Privada

Rapid Elasticity

Eu estou preocupado que uma aplicação defeituosa, um cliente ou um ataque do tipo DoS possa comprometer a

estabilidade do datacenter através de um pedido massivo de recursos. Como posso reconciliar a

percepção de recursos infinitos com a realidade?

Automação de recursosPrevenção de uso malicioso ou indevidoMonitoramento de recursosPolíticas de cotas

Page 19: Segurança na Nuvem Privada

Broad Network Access

Como um arquiteto de uma solução de nuvem privada, eu quero ter

certeza que o nível apropriado de segurança é aplicado independente da localização física e da forma de acesso. Estes requisitos aplicam-se para o gerenciamento da nuvem e

das aplicações.

BYOD

Acessar o estado do dispositivo

Controle de acesso da aplicação

Dados no dispositivo

Requisitos de acesso universal x controle do dispositivo

Page 20: Segurança na Nuvem Privada

Broad Network Access – Redefinição do Perímetro

Driven By:

• IPv6• Queijo Suiço• Eterna busca de

portas• Custo/benefício

Ataques autenticado

s

Tipos de Clientes

Defesa em profundidade

Page 21: Segurança na Nuvem Privada

Modelo de Segurança da Nuvem Privada

Page 22: Segurança na Nuvem Privada

Modelo de Segurança da Nuvem Privada

Domínios de Segurança

Funcionalidade

Infra-estrutura

Plataforma

Software

Entrega do Serviço

Gerenciamento

Cliente

Conformidade

Page 23: Segurança na Nuvem Privada

Modelo

de

Segura

nça

Page 24: Segurança na Nuvem Privada

Considerações Finais

Page 25: Segurança na Nuvem Privada

Segurança na Virtualização

WindowsKernel

Servidor Core

Pilha de Virtualização

DeviceDrivers

Windows hypervisor

VM WorkerProcesses

Partição Guest

Anel 0

Anel 3

OSKernel

VMBus

Aplicações Guest

Partição Raiz

CPUStorage NIC

Anel 0

Anel 3

Pseudo Anel “-1”

Microkernel HypervisorIsolamento entre partiçõesSem uso de drivers de terceiros

Partição RaizOrquestra todo acesso ao hypervisorServidor core minimiza a superfície de ataque

~50% menos no requisito de patch

Guests não podem interferir entre eles

“Workers processes” dedicadoCanal VMBus dedicado

Page 26: Segurança na Nuvem Privada

Segurança na VirtualizaçãoHypervisor Monolitico:

Pilha de virtualizaçao e drivers de terceiros rodam em modo privilegiado

Código maiorMaior dificuldade de hardeningMais exposto

Hardware

Hypervisor

VM 1 VM 2

Virtual

ization

Stack

RootPartitio

n

Drivers

GuestPartitio

n

GuestPartitio

n

Hypervisor

VM 1(Admin)

VM 2 VM 3

Hardware

Drivers

Virtualization Stack

“The fact is, the absolute last place you want to see drivers is in the hypervisor, not only because the added abstraction layer is inevitably a big performance problem, but because hardware and drivers are by definition buggier than "generic" code that can be tested.”Linus Torvalds, https://lists.linux-foundation.org/pipermail/desktop_architects/2007-August/002446.html

Page 27: Segurança na Nuvem Privada

Hosts e VMs devem suportar 802.1Q (VLAN tagging)

VLAN IDForçar isolamentoUso de Firewalls para permitir tráfego inter-VLAN de acordo com a política

Isolamento de:Host dos guestsTráfego de gerenciamento com tráfico dos inquilinos

Isolamento da Rede

Page 28: Segurança na Nuvem Privada

Data Center’sPhysical Servers

Guest OS

Data-Center Network

Isolamento de Rede Lógica

Host-based firewall habilitadoBloquear todas conexões inbound para serviços não essenciaisIsolamento de Domínio usando IPSec

Autenticação no nível de rede

Page 30: Segurança na Nuvem Privada

Perguntas

Page 31: Segurança na Nuvem Privada

Contato

Twitter: @yuridiogenesBlog (ENG): blogs.technet.com/yuridiogenesBlog (PT-BR): yuridiogenes.wordpress.com