seminário sd cloud security
TRANSCRIPT
Cloud Computing:Ameaças e Proteções
Alef Kruschewsky
UNIFESP2015
IntroduçãoA expressão cloud computing
começou a ganhar força em 2008, mas, conceitualmente, as ideias por trás da denominação existem há muito mais tempo. Também conhecida no Brasil como computação nas nuvens ou computação em nuvem, a cloud computing se refere, essencialmente, à noção de utilizarmos, em qualquer lugar e independente de plataforma, as mais variadas aplicações por meio da internet com a mesma facilidade de tê-las instaladas em computadores locais.
Software as a Service (Saas)
“Software Como um Serviço” é um modelo de distribuição de software, no qual a aplicação não precisa ser instalada localmente, pois é liberado o acesso ao software oferecido através da internet.
Infrastructure as a Service (IaaS)
A ideia é a mesma do modelo SaaS, porém neste caso o que é “vendido” é o uso de uma estrutura virtual, ou seja, ao invés de utilizar servidores físicos, você pode hospedar seus arquivos e aplicações em servidores virtuais.
Platform as a Service (PaaS)
Este modelo utiliza elemtnos dos outros dois citados anteriormente, proporcionando uma plataforma mais robusta e flexível, onde é possível a utilização de softwares de maneira mais flexível, sendo possível desenvolver suas próprias aplicações baseadas em alguma tecnologia (framework, linguagem etc.) e utilizar a infraestrutura necessária.
Vulnerabilidade X Ameaça
Vulnerabilidade: falha ou fraqueza do sistema que pode ser acidentamente ou propositalmente explorada, resultando em uma brecha de segurança ou violação da política de segurança do sistema;
Ameaça: possibilidade de um agente (fonte de ameaça) explorar acidentamente ou propositalmente uma vulnerabilidade específica.
Vulnerabilidades relacionadas a dados (V3):
● Hospedagem de dados em servidores compartilhados "mal particionados”;
● Remoção incompleta;● Dados podem estar em locais com leis diferentes;● Geralmente os usuários não possuem conhecimento da localização
exata dos dados.
Vulnerabilidades
Vulnerabilidades em máquinas virtuais (V4):
● Migração sem controle;● Snapshots sem controle;● AS VMs podem ter IPs visíveis para qualquer um que utilize a mesma
Cloud, permitindo que agentes realizam a “Cartografia de Nuvem”.
Vulnerabilidade em redes virtuais (V7):
● Compartilhamento de bridges entre as VMs de um mesmo servidor.
Vulnerabilidades
Ameaças e ContramedidasRelacionadas a dados
- Data Scavenging: Como não há 100% de certeza que os dados foram removidos do servidor, é possível que agentes consigam acessar estas informações.
Contramedida:
- Especificar estratégias de destruição de dispositivos nos SLAs (Acordo de níveis de serviço). [?]
Ameaças e ContramedidasRelacionadas a dados
- Data Leakage: Vazamento de dados que pode ocorrer enquanto são armazenados, transferidos, processados ou auditados.
Contramedidas:
- Criptografia;- Técnica FRS: Quebrar os dados em fragmentos insignificantes e
espalhá-los em diferentes posições;- Assinaturas digitais: RSA citado várias vezes como um algoritmo
eficiente para proteção dos dados na nuvem;- Criptografia homomórfica: Manipular (salvar, mover ou processar)
dados criptografados;
Ameaças e ContramedidasEm Máquinas Virtuais
- Data Leakage: citada anteriormente;
- VM Hopping: é o risco de uma VM conseguir acesso a outra, explorando alguma vulnerabilidade do virtualizador;
Contramedidas:
- Utilização de firewalls;- Manter as VMs devidamente separadas.
Ameaças e ContramedidasEm Máquinas Virtuais
- Insecure VM migration: A transferência de VMs pode expor o conteúdo. Um atacante pode acessar os dados e/ou transferir a VM para um host comprometido.
Contramedidas:
- Protocolo PALM: propõe uma técnica de migração segura, com criptografia da VM. protótipo desenvolvido utilizando Linux e Xen.
Ameaças e ContramedidasEm Redes Virtuais
- Data Leakage (citada anteriormente);
- Sniffing das redes virtuais: Uma VM maliciosa pode “escutar” a rede de outra, ou até mesmo redirecionar pacotes de/para outras VMs.
Contramedida:
- Framework em estudo baseado nos modos de rede Xen (hypervisor). [?]
Tabela de Vulnerabilidades
Tabela de Ameaças
Relação Vulnerabilidades x Ameaças x Contramedidas
Considerações Finais- Cloud Computing ainda é uma tecnologia relativamente “nova”, que provê
diversas vantagens aos usuários. Porém, apresenta também vulnerabilidades que fazem com que certas pessoas e empresas fiquem receosas em aderí-la;
- O que é necessário para uma maior segurança “nas nuvens”, além de novas técnicas de segurança, é uma reavaliação das técnicas atuais, pensando nas arquiteturas utilizadas pela Cloud;
- A maior preocupação das pessoas, com relação ao uso da Cloud Computing, é o fato de suas informações ficarem hospedadas em um servidor compartilhado por diversas pessoas.
Referências- http://antonioricardo.org/2013/03/28/o-que-e-saas-iaas-e-paas-em-cloud-
computing-conceitos-basicos/ ;
- http://www.explainthatstuff.com/cloud-computing-introduction.html ;
- Hashizume et al. Journal of Internet Services and Applications 2013, 4:5 ;