segurança nas nuvens

24
Segurança nas Nuvens Onde Coloco Meus Dados? Uma abordagem prática e sensata de usar os Serviços em Nuvem de forma segura. Expectativa de 20 minutos

Upload: duongminh

Post on 07-Jan-2017

221 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Segurança nas Nuvens

Segurança nas Nuvens Onde Coloco Meus Dados?

Uma abordagem prática e sensata de usar os

Serviços em Nuvem de forma segura.

Expectativa de 20 minutos

Page 2: Segurança nas Nuvens

Segurança nas Nuvens

O Que o Governo Pensa Sobre os Dados em Nuvem?

Leis, Artigos, Decretos e Melhores Práticas

O que é ? Quais as Vantagens das Nuvens?

Colocando meus dados onde posso “ver”

Informações na Nuvem, Quais os Desafios?

Desafios Reais em um Mundo Virtual

E a Nuvem do Serpro, é Segura, eu Posso Usar?

Diferenciais da Nuvem do Serpro

Dúvidas ?

Page 3: Segurança nas Nuvens

O que é ? Quais as Vantagens das Nuvens Públicas?

Economia de Recursos Físicos

Page 4: Segurança nas Nuvens

O que é ? Quais as Vantagens das Nuvens Públicas?

Virtualizando Tudo

Page 5: Segurança nas Nuvens

O que é ? Quais as Vantagens das Nuvens Públicas?

Virtualização o Inicio de Tudo

Page 6: Segurança nas Nuvens

IaaS – Infraestrutura Como Serviço

PaaS – Plataforma Como Serviço

SaaS – Software Como Serviço

O que é ? Quais as Vantagens das Nuvens Públicas?

Infraestrutura Transparente

Page 7: Segurança nas Nuvens

O que é ? Quais as Vantagens das Nuvens Públicas?

Aplicação

Dados

Software Básico

Sistema Operacional

Virtualização

Servidores

Storage

Rede

Modelo Tradicional

Aplicação

Dados

Software Básico

Sistema Operacional

Virtualização

Servidores

Storage

Rede

IAAS

Aplicação

Dados

Software Básico

Sistema Operacional

Virtualização

Servidores

Storage

Rede

PAAS

Aplicação

Dados

Software Básico

Sistema Operacional

Virtualização

Servidores

Storage

Rede

SAAS

Qual Modelo Escolher para meu Negócio?

Page 8: Segurança nas Nuvens

Não confiar dados ao setor privado. Em busca de evitar

perda de dados através de hackers ou virus esquecemos que

em um Serviço de Nuvem os dados na integra estão com o

prestador de Serviço.

Facilidade de contratação. Conhecidamente, e em ambito

nacional o Serpro e a DataPrev oferecem o serviço de Nuvem

Publica, em qualquer destas empresas existe a possibilidade

de dispensa de licitação.

Manter a custodia dos dados no Brasil. A migração de

dados de governo para empresas estrangeiras é comum e

real, e as leis não se flexibilizam para aceitar os termos das

normas brasileiras.

Atendimento as Leis e Decretos. A interpretacao das leis e

decretos mostra que não é permitido a uma orgão público usar

recursos em Nuvem Privada para armazenar informações de

governo.

Devo Migrar para a Nuvem?

O que é ? Quais as Vantagens das Nuvens Públicas?

Page 9: Segurança nas Nuvens

O pessoal-chave se concentra mais na área fim. Retirando

parte da carga associada ao gerenciamento de vários recursos

por toda a empresa, a equipe pode se concentrar mais em

produzir valor e inovação para o negócio.

Melhor aproveitamento dos investimentos em hardware.

Um dos pilares da computação em nuvem é a consolidação

dos recursos de hardware para que eles possam ser

aproveitados ao máximo e gerenciados de forma inteligente.

Agilidade ao negócio. A padronização e a automação

garantem à nuvem a agilidade na contratação e no

provisionamento do serviço.

Mobilidade. Os programas e arquivos não ficam mais

armazenados nos computadores e/ou servidores locais, mas

sim na nuvem. As pessoas tem acesso de qualquer lugar,

basta estarem conectados à Internet.

Devo Migrar para a Nuvem?

O que é ? Quais as Vantagens das Nuvens Públicas?

Page 10: Segurança nas Nuvens

Nuvem e Suas Facilidades

Transparência Física

Controle Total do Cliente

Rápida Escalabilidade

Economia de Recursos

Alta Disponibilidade

Facilidade de

Provisionamento

O que é ? Quais as Vantagens das Nuvens Públicas?

Page 11: Segurança nas Nuvens

O Que o Governo Pensa

Sobre os Dados em Nuvem?

Norma

Complementar

IN14 - Orientacoes

Especificas para

Publicação de

Informacoes de

Governo em Nuvens

Publicas.

Decreto

7962

Para dispor sobre a

contratação no

comércio eletrônico.

Cloud Security

Alliance – PT

Guia de Seguranca

para Areas Criticas

Focado em

Computacao em

Nuvem

Decreto

8135

Documento, indica

que o governo deve

contratar servicos de

comunicacao de

dados e infraestrutura

apenas de entes

publicos.

Norma, Decreto e Melhores Práticas

Page 12: Segurança nas Nuvens

O Que o Governo Pensa

Sobre os Dados em Nuvem?

Norma

Complementar

IN14 - Orientacoes

Especificas para

Publicação de

Informacoes de

Governo em Nuvens

Publicas.

Norma Complementar IN14

Page 13: Segurança nas Nuvens

O Que o Governo Pensa

Sobre os Dados em Nuvem?

Norma

Complementar

IN14 - Orientações

Especificas para

Publicação de

Informacoes de

Governo em Nuvens

Publicas.

5.1.3. As diretrizes do processo de Gestão de Continuidade de

Negócios nos aspectos relacionados à SIC;

5.2.2. A legislação brasileira prevaleça sobre qualquer outra,

de modo a ter todas as garantias legais enquanto tomadora

do serviço e proprietária das informações hospedadas na

nuvem;

5.2.3. O contrato de prestação de serviço, quando for o caso,

deve conter cláusulas que garantam a disponibilidade, a

integridade, a confidencialidade e a autenticidade das

informações hospedadas na nuvem, em especial aquelas sob

custódia e gerenciamento do prestador de serviço;

Norma Complementar IN14

Page 14: Segurança nas Nuvens

O Que o Governo Pensa

Sobre os Dados em Nuvem?

Decreto

8135

Documento, indica que

o governo deve

contratar servicos de

comunicacao de

dados e infraestrutura

apenas de entes

publicos.

“De acordo com o diretor-presidente do Serpro Marcos

Mazoni, o novo serviço cumpre um papel importante que

é o de garantir a viabilidade do decreto no 8135 da

presidenta da República, Dilma Rouseff. O documento,

com vistas à preservação da segurança nacional, indica

que o governo deve contratar serviços de comunicação

de dados e infraestrutura apenas de entes públicos.

“Estamos dando concretude à determinação da

presidenta, nos apresentando ao governo como

fornecedor também de infraestrutura”, acrescenta.”

Decreto N. 8135

Page 15: Segurança nas Nuvens

O Que o Governo Pensa

Sobre os Dados em Nuvem?

Cloud Security

Alliance – PT

Guia de Seguranca

para Areas Criticas

Focado em

Computacao em

Nuvem

Melhores Práticas

Page 16: Segurança nas Nuvens

O Que o Governo Pensa

Sobre os Dados em Nuvem?

Cloud Security

Alliance – PT

Guia de Seguranca

para Areas Criticas

Focado em

Computacao em

Nuvem

Seção I. Arquitetura da Nuvem

Domínio 1: Framework da Arquitetura de Computação em Nuvem

Seção II. Governança na Nuvem

Domínio 2: Governança e Gestão de Risco Corporativo

Domínio 3: Aspectos Legais

Domínio 4: Conformidade e Auditoria

Domínio 5: Gerenciamento do Ciclo de Vida das Informações

Domínio 6: Portabilidade e Interoperabilidade

Seção III. Operando na Nuvem

Domínio 7: Segurança Tradicional, Continuidade de Negócios

Dominio 8: Operações e Data center

Domínio 9: Resposta a Incidente, Notificação e Remediação

Domínio 12: Gerenciamento de Identidade e Acesso ;

Domínio 13 – Virtualização

Melhores Práticas

Page 17: Segurança nas Nuvens

Informações Na Nuvem, Quais os Desafios?

Desafios!

Pouca Segregação

Muito Poder ao Administrador

Flutuação da Informação

Novo Conceito

Firewall Intra MV

Ataques em CD Virtuais

Inquilino Malicioso

Liberdade x Segurança

OS de Responsabilidade do

Cliente

Aplicações Frágeis

Portas Abertas

Monitoração e Backup

Page 18: Segurança nas Nuvens

Informações Na Nuvem, Quais os Desafios?

Segurança em Camadas

Segurança de Borda

Segurança Intra MV

Segurança no SO

Page 19: Segurança nas Nuvens

E a Nuvem do Serpro, é Segura, eu Posso Usar?

Segurança Sob Demanda

Page 20: Segurança nas Nuvens

E a Nuvem do Serpro, é Segura, eu Posso Usar?

Segurança Agregada

Anti DDOS IPS / IDS Firewall

Aumento dos

Links

Clear Links

3GB para

10gb

McAfee para

SourceFire

Firewall de

Borda

Controle para

Portas

Auditoria Externa

Correlacionamento de Eventos

Monitoração no Centro de Comando 24x7

Internet

Page 21: Segurança nas Nuvens

E a Nuvem do Serpro, é Segura, eu Posso Usar?

Vantagens

Vantagens do Serviço

Sem Degradação de Equipamento Rápida Escalabildiade

Rápida Adesão HA, CPD, Segurança Física

Maior proteção dos dados, ao confiá-los a uma Empresa Pública em detrimento das

privadas. O Serpro é uma empresa de TI extremamente reconhecida e sólida, com 49

anos de prestação de serviços de TI para o governo brasileiro.

Agilidade no processo de contratação. Em função de ser um serviço padronizado, o

contrato também é padrão e estará disponível de forma online para as URCs

preencherem e encaminharem aos clientes.

Page 22: Segurança nas Nuvens

E a Nuvem do Serpro, é Segura, eu Posso Usar?

Segurança Sob Demanda

Anti DDOS IPS / IDS Firewall

Proteção contra ataques de acessos

provenientes da Internet ou da rede local aos serviços

publicados em redes do SERPRO e de

seus Clientes

Configuração de regras de tráfego

de rede entre ambientes do SERPRO e de seus clientes

Monitoração, detecção e

mitigação de anomalias no

acesso aos sítios que são alvos de

ataques de negação de

serviço.

Bloqueio aos acessos a sites não ligados aos

negócios da empresa ou que

estejam definidos em suas políticas

de acesso

Acesso remoto de clientes e usuários

aos serviços localizados na

Intranet do cliente de forma segura,

através da Internet

Assegura a autenticidade e não repudio da

identidade digital do cidadão para envio e acesso a informações de forma privada.

Teste de Penetração

Analise de Vulnerabilidade - Caixa Branca - Caixa Preta - Em Servidor - Em Código

- Em Aplicação

Certificado Digital Filtro Web

Acesso Remoto

Page 23: Segurança nas Nuvens

Benefícios Para o Cliente

E a Nuvem do Serpro, é Segura, eu Posso Usar?

O cliente seria desonerado, liberando pessoal para

desenvolvimento de suas atividades fins;

Reduziria a necessidade de investimento em

pessoal capacitado em TI;

Transferiria a responsabilidade pelo gerenciamento

da infraestrutura de TI para o Prestador; e

Teria seus níveis de serviço garantidos pelo

Prestador.

Page 24: Segurança nas Nuvens

Finalizado com sucesso...

Duvidas?