segurança nas nuvens
TRANSCRIPT
Segurança nas Nuvens Onde Coloco Meus Dados?
Uma abordagem prática e sensata de usar os
Serviços em Nuvem de forma segura.
Expectativa de 20 minutos
Segurança nas Nuvens
O Que o Governo Pensa Sobre os Dados em Nuvem?
Leis, Artigos, Decretos e Melhores Práticas
O que é ? Quais as Vantagens das Nuvens?
Colocando meus dados onde posso “ver”
Informações na Nuvem, Quais os Desafios?
Desafios Reais em um Mundo Virtual
E a Nuvem do Serpro, é Segura, eu Posso Usar?
Diferenciais da Nuvem do Serpro
Dúvidas ?
O que é ? Quais as Vantagens das Nuvens Públicas?
Economia de Recursos Físicos
O que é ? Quais as Vantagens das Nuvens Públicas?
Virtualizando Tudo
O que é ? Quais as Vantagens das Nuvens Públicas?
Virtualização o Inicio de Tudo
IaaS – Infraestrutura Como Serviço
PaaS – Plataforma Como Serviço
SaaS – Software Como Serviço
O que é ? Quais as Vantagens das Nuvens Públicas?
Infraestrutura Transparente
O que é ? Quais as Vantagens das Nuvens Públicas?
Aplicação
Dados
Software Básico
Sistema Operacional
Virtualização
Servidores
Storage
Rede
Modelo Tradicional
Aplicação
Dados
Software Básico
Sistema Operacional
Virtualização
Servidores
Storage
Rede
IAAS
Aplicação
Dados
Software Básico
Sistema Operacional
Virtualização
Servidores
Storage
Rede
PAAS
Aplicação
Dados
Software Básico
Sistema Operacional
Virtualização
Servidores
Storage
Rede
SAAS
Qual Modelo Escolher para meu Negócio?
Não confiar dados ao setor privado. Em busca de evitar
perda de dados através de hackers ou virus esquecemos que
em um Serviço de Nuvem os dados na integra estão com o
prestador de Serviço.
Facilidade de contratação. Conhecidamente, e em ambito
nacional o Serpro e a DataPrev oferecem o serviço de Nuvem
Publica, em qualquer destas empresas existe a possibilidade
de dispensa de licitação.
Manter a custodia dos dados no Brasil. A migração de
dados de governo para empresas estrangeiras é comum e
real, e as leis não se flexibilizam para aceitar os termos das
normas brasileiras.
Atendimento as Leis e Decretos. A interpretacao das leis e
decretos mostra que não é permitido a uma orgão público usar
recursos em Nuvem Privada para armazenar informações de
governo.
Devo Migrar para a Nuvem?
O que é ? Quais as Vantagens das Nuvens Públicas?
O pessoal-chave se concentra mais na área fim. Retirando
parte da carga associada ao gerenciamento de vários recursos
por toda a empresa, a equipe pode se concentrar mais em
produzir valor e inovação para o negócio.
Melhor aproveitamento dos investimentos em hardware.
Um dos pilares da computação em nuvem é a consolidação
dos recursos de hardware para que eles possam ser
aproveitados ao máximo e gerenciados de forma inteligente.
Agilidade ao negócio. A padronização e a automação
garantem à nuvem a agilidade na contratação e no
provisionamento do serviço.
Mobilidade. Os programas e arquivos não ficam mais
armazenados nos computadores e/ou servidores locais, mas
sim na nuvem. As pessoas tem acesso de qualquer lugar,
basta estarem conectados à Internet.
Devo Migrar para a Nuvem?
O que é ? Quais as Vantagens das Nuvens Públicas?
Nuvem e Suas Facilidades
Transparência Física
Controle Total do Cliente
Rápida Escalabilidade
Economia de Recursos
Alta Disponibilidade
Facilidade de
Provisionamento
O que é ? Quais as Vantagens das Nuvens Públicas?
O Que o Governo Pensa
Sobre os Dados em Nuvem?
Norma
Complementar
IN14 - Orientacoes
Especificas para
Publicação de
Informacoes de
Governo em Nuvens
Publicas.
Decreto
7962
Para dispor sobre a
contratação no
comércio eletrônico.
Cloud Security
Alliance – PT
Guia de Seguranca
para Areas Criticas
Focado em
Computacao em
Nuvem
Decreto
8135
Documento, indica
que o governo deve
contratar servicos de
comunicacao de
dados e infraestrutura
apenas de entes
publicos.
Norma, Decreto e Melhores Práticas
O Que o Governo Pensa
Sobre os Dados em Nuvem?
Norma
Complementar
IN14 - Orientacoes
Especificas para
Publicação de
Informacoes de
Governo em Nuvens
Publicas.
Norma Complementar IN14
O Que o Governo Pensa
Sobre os Dados em Nuvem?
Norma
Complementar
IN14 - Orientações
Especificas para
Publicação de
Informacoes de
Governo em Nuvens
Publicas.
5.1.3. As diretrizes do processo de Gestão de Continuidade de
Negócios nos aspectos relacionados à SIC;
5.2.2. A legislação brasileira prevaleça sobre qualquer outra,
de modo a ter todas as garantias legais enquanto tomadora
do serviço e proprietária das informações hospedadas na
nuvem;
5.2.3. O contrato de prestação de serviço, quando for o caso,
deve conter cláusulas que garantam a disponibilidade, a
integridade, a confidencialidade e a autenticidade das
informações hospedadas na nuvem, em especial aquelas sob
custódia e gerenciamento do prestador de serviço;
Norma Complementar IN14
O Que o Governo Pensa
Sobre os Dados em Nuvem?
Decreto
8135
Documento, indica que
o governo deve
contratar servicos de
comunicacao de
dados e infraestrutura
apenas de entes
publicos.
“De acordo com o diretor-presidente do Serpro Marcos
Mazoni, o novo serviço cumpre um papel importante que
é o de garantir a viabilidade do decreto no 8135 da
presidenta da República, Dilma Rouseff. O documento,
com vistas à preservação da segurança nacional, indica
que o governo deve contratar serviços de comunicação
de dados e infraestrutura apenas de entes públicos.
“Estamos dando concretude à determinação da
presidenta, nos apresentando ao governo como
fornecedor também de infraestrutura”, acrescenta.”
Decreto N. 8135
O Que o Governo Pensa
Sobre os Dados em Nuvem?
Cloud Security
Alliance – PT
Guia de Seguranca
para Areas Criticas
Focado em
Computacao em
Nuvem
Melhores Práticas
O Que o Governo Pensa
Sobre os Dados em Nuvem?
Cloud Security
Alliance – PT
Guia de Seguranca
para Areas Criticas
Focado em
Computacao em
Nuvem
Seção I. Arquitetura da Nuvem
Domínio 1: Framework da Arquitetura de Computação em Nuvem
Seção II. Governança na Nuvem
Domínio 2: Governança e Gestão de Risco Corporativo
Domínio 3: Aspectos Legais
Domínio 4: Conformidade e Auditoria
Domínio 5: Gerenciamento do Ciclo de Vida das Informações
Domínio 6: Portabilidade e Interoperabilidade
Seção III. Operando na Nuvem
Domínio 7: Segurança Tradicional, Continuidade de Negócios
Dominio 8: Operações e Data center
Domínio 9: Resposta a Incidente, Notificação e Remediação
Domínio 12: Gerenciamento de Identidade e Acesso ;
Domínio 13 – Virtualização
Melhores Práticas
Informações Na Nuvem, Quais os Desafios?
Desafios!
Pouca Segregação
Muito Poder ao Administrador
Flutuação da Informação
Novo Conceito
Firewall Intra MV
Ataques em CD Virtuais
Inquilino Malicioso
Liberdade x Segurança
OS de Responsabilidade do
Cliente
Aplicações Frágeis
Portas Abertas
Monitoração e Backup
Informações Na Nuvem, Quais os Desafios?
Segurança em Camadas
Segurança de Borda
Segurança Intra MV
Segurança no SO
E a Nuvem do Serpro, é Segura, eu Posso Usar?
Segurança Sob Demanda
E a Nuvem do Serpro, é Segura, eu Posso Usar?
Segurança Agregada
Anti DDOS IPS / IDS Firewall
Aumento dos
Links
Clear Links
3GB para
10gb
McAfee para
SourceFire
Firewall de
Borda
Controle para
Portas
Auditoria Externa
Correlacionamento de Eventos
Monitoração no Centro de Comando 24x7
Internet
E a Nuvem do Serpro, é Segura, eu Posso Usar?
Vantagens
Vantagens do Serviço
Sem Degradação de Equipamento Rápida Escalabildiade
Rápida Adesão HA, CPD, Segurança Física
Maior proteção dos dados, ao confiá-los a uma Empresa Pública em detrimento das
privadas. O Serpro é uma empresa de TI extremamente reconhecida e sólida, com 49
anos de prestação de serviços de TI para o governo brasileiro.
Agilidade no processo de contratação. Em função de ser um serviço padronizado, o
contrato também é padrão e estará disponível de forma online para as URCs
preencherem e encaminharem aos clientes.
E a Nuvem do Serpro, é Segura, eu Posso Usar?
Segurança Sob Demanda
Anti DDOS IPS / IDS Firewall
Proteção contra ataques de acessos
provenientes da Internet ou da rede local aos serviços
publicados em redes do SERPRO e de
seus Clientes
Configuração de regras de tráfego
de rede entre ambientes do SERPRO e de seus clientes
Monitoração, detecção e
mitigação de anomalias no
acesso aos sítios que são alvos de
ataques de negação de
serviço.
Bloqueio aos acessos a sites não ligados aos
negócios da empresa ou que
estejam definidos em suas políticas
de acesso
Acesso remoto de clientes e usuários
aos serviços localizados na
Intranet do cliente de forma segura,
através da Internet
Assegura a autenticidade e não repudio da
identidade digital do cidadão para envio e acesso a informações de forma privada.
Teste de Penetração
Analise de Vulnerabilidade - Caixa Branca - Caixa Preta - Em Servidor - Em Código
- Em Aplicação
Certificado Digital Filtro Web
Acesso Remoto
Benefícios Para o Cliente
E a Nuvem do Serpro, é Segura, eu Posso Usar?
O cliente seria desonerado, liberando pessoal para
desenvolvimento de suas atividades fins;
Reduziria a necessidade de investimento em
pessoal capacitado em TI;
Transferiria a responsabilidade pelo gerenciamento
da infraestrutura de TI para o Prestador; e
Teria seus níveis de serviço garantidos pelo
Prestador.
Finalizado com sucesso...
Duvidas?