SlideShare ist ein Scribd-Unternehmen logo

Segurança, gestão e sustentabilidade para cloud computing

PET Computação
PET Computação

O documento discute segurança na computação em nuvem. Apresenta as ameaças à confidencialidade, integridade e disponibilidade dos dados na nuvem, incluindo desvio de sessão, fuga da virtualização e injeção de código malicioso. Também aborda os desafios de criptografia, gerenciamento de identidades e acesso em ambientes multi-locatários.

Bildung
1 von 33
Downloaden Sie, um offline zu lesen
Segurança na Computação em Nuvem LRG – Laboratório de Redes e Gerência Carla Merkle Westphall carlamw@inf.ufsc.br Carlos Becker Westphall westphal@inf.ufsc.br
2 Roteiro • Ambiente • Ameaças • Desafios
3 Segurança  CID – confidencialidade, integridade, disponibilidade  Ameaças – condições ou eventos que forneçam potencial de violação de segurança  Vulnerabilidade – falha ou característica indevida que pode ser explorada  Ataque – conjunto de ações feitas por entidade não autorizada visando violações de segurança
4 Computação em nuvem Hardware e Software entregues: • Sob demanda na forma de auto-atendimento • Independente de dispositivo e de localização Recursos necessários • Compartilhados • Dinamicamente escaláveis • Alocados rapidamente e liberados com interação mínima com o provedor de serviço • Virtualizados Usuários pagam pelo serviço usado
5
6 http://cloudtaxonomy.opencrowd.com/taxonomy/
7 Tecnologias usadas • Aplicações e serviços Web • Virtualização • Criptografia
8 Segurança e economia • Em larga escala implementar segurança é mais barato (filtros, gerenciamento de patches, proteção de máquinas virtuais) • Grandes provedores de cloud podem contratar especialistas • Atualizações são mais rápidas em ambientes homogêneos para responder aos incidentes • Imagens padrão de VMs e softwares podem ser atualizados com configurações de segurança e patches “Mesmo valor de investimentos em segurança compra uma proteção melhor"
9 Defesas de ambientes de nuvem podem ser mais robustas, escaláveis e ter uma relação custo-benefício melhor, mas… ....a concentração grande de recursos e dados são um alvo mais atraente para atacantes
10 Ameaças • Desvio de sessão (session hijacking): o atacante consegue se apoderar de uma sessão HTTP válida para obter acesso não autorizado
11 Ameaças • Fuga da virtualização: o atacante consegue sair do ambiente virtualizado e obter acesso à máquina física
12 Ameaças • Criptografia insegura e obsoleta: ▫ avanços na criptoanálise, protocolos e algoritmos antes considerados seguros passam a ser obsoletos e vulneráveis ▫ gerenciamento e armazenamento de muitas chaves, hardware não é fixo, difícil ter HSM • Amazon S3 (serviço de storage) usa 256-bit Advanced Encryption Standard (AES-256)
13 Ameaças • Acesso não autorizado à interface de gerência: com o auto-atendimento o gerenciamento de clouds geralmente é feito em uma interface web, sendo mais fácil para um atacante obter acesso não autorizado
14 Ameaças • Vulnerabilidades do IP: acesso via Internet, rede não confiável, IP possui problemas de segurança (scanning IaaS proibido) • Vulnerabilidades de recuperação de dados: devido a realocação de recursos é possível que um usuário tenha acesso a recursos de armazenamento e memória previamente utilizados que ainda podem conter dados
15 Ameaças • Injeção de código malicioso: ▫ injeção de SQL – comando SQL é adicionado ou substitui dados fornecidos pelo usuário que são interpretados (e executados) ▫ Cross-Site Scripting - permite a execução de códigos (scripts) no browser do lado do cliente
16 SQL Injection – Ilustração "SELECT * FROM Conta :: Contas Conta accounts WHERE Knowledge Mgmt Communication Administration Legacy Systems Bus. Functions Application Layer Human Resrcs E-Commerce Transactions Web Services SKU: acct=‘’ OR Directories Accounts Conta:5424-6066-2134-4334 Databases Finance HTTP Billing HTTP SQL DB Table Conta:4128-7574-3921-0192 response  1=1--’" request query Conta:5424-9383-2039-4029 APPLICATION    Conta:4128-0004-1234-0293  ATTACK  Custom Code 1. Aplicação apresenta um formulário para o atacante 2. Atacante envia um ataque nos dados do formulário App Server 3. Aplicação encaminha o ataque Web Server para o BD em uma consulta SQL Hardened OS 4. Banco de dados executa a Network Layer consulta contendo o ataque e envia resultados cifrados de volta para a Firewall Firewall aplicação 5. Aplicação decifra dados como normais e envia resultados para o usuário OWASP - 2010
17 Cross-Site Scripting - Ilustração 1 Atacante envia uma armadilha – atualize o meu perfil Aplicação com vulnerabilidade Atacante envia um XSS armazenada script malicioso em uma página web que armazena os dados no Communication Bus. Functions Administration servidor E-Commerce Transactions Knowledge 2 Vítima viu página – viu o perfil do atacante Accounts Finance Mgmt Custom Code Script executa no browser da vítima com acesso completo ao DOM e cookies 3 Script envia silenciosamente o cookie de sessão da vítima para o atacante OWASP - 2010
18 Ameaças • Uso nefasto e abusivo (Iaas, PaaS): poder computacional, rede e armazenamentos ilimitados são usados por usuário cadastrado. Usuário pode ser spammer, distribuir código malicioso ou outro criminoso. É só ter cartão de crédito ! Crack de senhas e chaves, disparo de ataques, DDOS (X-DoS, H-DoS), comando e controle de botnet (Zeus botnet)
19
20 Ameaças • Interfaces e APIs inseguras (Iaas, PaaS, SaaS) Acesso anônimo e ou tokens ou senha reusáveis, autenticação ou transmissão de dados sem criptografia, autorização imprópria, monitoramento e log limitados, dependências de APIs e serviços desconhecidas
21 Ainda... • Usuários não conseguem monitorar a segurança de seus recursos na nuvem • Possibilidade de auditoria da segurança insuficiente • Não existem padrões de medidas específicas para cloud • A computação nas nuvens separa os componentes de sua localização e isso cria questões de segurança que resultam desta falta de perímetro
22
23
24 Cloud Security Alliance • Domínios de governança • Domínios operacionais 1. Segurança tradicional, planos de continuidade e recuperação de desastres 2. Operações dos datacenters 3. Tratamento de incidentes 4. Segurança das aplicações 5. Criptografia e gerenciamento de chaves 6. Gerenciamento de identidades e de acesso 7. Virtualização 8. Segurança como serviço
25 Desafios - Criptografia • Criptografia forte • Gerenciamento de chaves escalável ▫ uma única chave por usuário? ▫ uma única chave para todos os usuários? ▫ múltiplas chaves para o mesmo usuário? • Usuários e provedores devem cifrar todos os dados em trânsito e também dados estáticos
26 Desafios - Multi-tenancy • Diferentes quanto a segurança, SLA, governança, políticas
27 Desafios – Aplicações e IAM • Segurança de aplicações (IaaS, PaaS, SaaS) • Gerenciamento de Identidades e de Acesso (Identity and Access Management) ▫ Proliferação de identidades ▫ Autenticação única (Single Sign On) ▫ Federação de identidades ▫ Privacidade do usuário ▫ Controle de acesso
28 Tecnologias • SAML, XACML • XML-Encryption, XML-Signature • WS (Web Services) Security ▫ WS-Trust ▫ WS-Policy ▫ ... • OpenID, Google, Shibboleth, ...
29 Amazon EC2 http://aws.amazon.com/security/ • PCI DSS (Payment Card Industry Data Security Standard) Level 1 • ISO 27001 • FISMA (Federal Information Security Management Act) Moderate • HIPAA (Health Insurance Portability and Accountability Act) • SAS 70 (Statement on Auditing Standards) Type II
30 Amazon EC2 http://aws.amazon.com/security/ • Segurança física e operacional • Criptografia no sistema de arquivos • Uso do SSL (https) • Gerência de chaves: usuário cuida • Gerenciamento de Identidades e de Acesso ▫ Criar e gerenciar usuários ▫ Identidades federadas ▫ Credenciais para autorização ▫ APIs de programação
31 Pesquisas • Muito trabalho a ser feito • Vários assuntos de pesquisa • No LRG: ▫ Gerenciamento de identidade e acesso na computação em nuvem ▫ Dissertações de mestrado no PPGCC ▫ TCC ▫ Bolsas Pibic/CNPq
32 Referências • Grobauer, B.; Walloschek, T.; Stocker, E. (2011) "Understanding Cloud Computing Vulnerabilities," Security & Privacy, IEEE , vol.9, no.2, pp.50-57, March-April 2011. • Chaves, S.; Westphal, C. B.; Westphall, C. M.; Gerônimo, G. A. “Customer Security Concerns in Cloud Computing,” ICN 2011, pp. 7- 11, 2011. • Gonzalez, N.; Miers, C.; Redigolo, F.; Carvalho, T.; Simplicio, M.; Naslund, M.; Pourzandi, M.; , "A Quantitative Analysis of Current Security Concerns and Solutions for Cloud Computing,“ IEEE CloudCom, pp.231-238, 2011. • CSA (2011). Security Guidance for Critical Areas of Focus in Cloud Computing – v3.0. Cloud Security Alliance. https://cloudsecurityalliance.org/ • CSA (2010). Top Threats to Cloud Computing V1.0. • CSA BR - https://chapters.cloudsecurityalliance.org/brazil/
33 Obrigada!

Empfohlen

Seguranca web
Seguranca webSeguranca web
Seguranca webPhilippe Guillaume, MBA,CISSP, COBIT
 
Beste Altersvorsorge
Beste Altersvorsorge Beste Altersvorsorge
Beste Altersvorsorge Alexander Schulze-Fielitz
 
Praesentation
PraesentationPraesentation
Praesentationslowhand_11
 
Renten auf einen Blick 2015
Renten auf einen Blick 2015Renten auf einen Blick 2015
Renten auf einen Blick 2015OECD Berlin Centre
 
Auszahlung lebensversicherung – diese fehler solltest du unbedingt vermeiden!
Auszahlung lebensversicherung – diese fehler solltest du unbedingt vermeiden!Auszahlung lebensversicherung – diese fehler solltest du unbedingt vermeiden!
Auszahlung lebensversicherung – diese fehler solltest du unbedingt vermeiden!Erik Renk
 
Barmenia Berufsunfähigkeitsversicherung (SoloBU) 2012
Barmenia Berufsunfähigkeitsversicherung (SoloBU) 2012Barmenia Berufsunfähigkeitsversicherung (SoloBU) 2012
Barmenia Berufsunfähigkeitsversicherung (SoloBU) 2012Barmenia Versicherungen Düsseldorf
 
Die Zukunft der Altersvorsorge - Eine Studie von Prognos und HRI im Auftrag d...
Die Zukunft der Altersvorsorge - Eine Studie von Prognos und HRI im Auftrag d...Die Zukunft der Altersvorsorge - Eine Studie von Prognos und HRI im Auftrag d...
Die Zukunft der Altersvorsorge - Eine Studie von Prognos und HRI im Auftrag d...Gesamtverband der Deutschen Versicherungswirtschaft e.V.
 
Selbstgenutztes Wohneigentum - lohnt es sich?
Selbstgenutztes Wohneigentum - lohnt es sich?Selbstgenutztes Wohneigentum - lohnt es sich?
Selbstgenutztes Wohneigentum - lohnt es sich?Erik Renk
 

Empfohlen

Seguranca web
Seguranca webSeguranca web
Seguranca webPhilippe Guillaume, MBA,CISSP, COBIT
 
Beste Altersvorsorge
Beste Altersvorsorge Beste Altersvorsorge
Beste Altersvorsorge Alexander Schulze-Fielitz
 
Praesentation
PraesentationPraesentation
Praesentationslowhand_11
 
Renten auf einen Blick 2015
Renten auf einen Blick 2015Renten auf einen Blick 2015
Renten auf einen Blick 2015OECD Berlin Centre
 
Auszahlung lebensversicherung – diese fehler solltest du unbedingt vermeiden!
Auszahlung lebensversicherung – diese fehler solltest du unbedingt vermeiden!Auszahlung lebensversicherung – diese fehler solltest du unbedingt vermeiden!
Auszahlung lebensversicherung – diese fehler solltest du unbedingt vermeiden!Erik Renk
 
Barmenia Berufsunfähigkeitsversicherung (SoloBU) 2012
Barmenia Berufsunfähigkeitsversicherung (SoloBU) 2012Barmenia Berufsunfähigkeitsversicherung (SoloBU) 2012
Barmenia Berufsunfähigkeitsversicherung (SoloBU) 2012Barmenia Versicherungen Düsseldorf
 
Die Zukunft der Altersvorsorge - Eine Studie von Prognos und HRI im Auftrag d...
Die Zukunft der Altersvorsorge - Eine Studie von Prognos und HRI im Auftrag d...Die Zukunft der Altersvorsorge - Eine Studie von Prognos und HRI im Auftrag d...
Die Zukunft der Altersvorsorge - Eine Studie von Prognos und HRI im Auftrag d...Gesamtverband der Deutschen Versicherungswirtschaft e.V.
 
Selbstgenutztes Wohneigentum - lohnt es sich?
Selbstgenutztes Wohneigentum - lohnt es sich?Selbstgenutztes Wohneigentum - lohnt es sich?
Selbstgenutztes Wohneigentum - lohnt es sich?Erik Renk
 
Apresentação netconsulting nov12
Apresentação netconsulting nov12Apresentação netconsulting nov12
Apresentação netconsulting nov12Evandro Alves
 
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de MicroservicesDeep Tech Brasil
 
Garantindo o sucesso da experiência do usuário por Carlos bertozzi
Garantindo o sucesso da experiência do usuário por Carlos bertozziGarantindo o sucesso da experiência do usuário por Carlos bertozzi
Garantindo o sucesso da experiência do usuário por Carlos bertozziJoao Galdino Mello de Souza
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazOWASP Brasília
 
Microservices Architecture Workshop
Microservices Architecture WorkshopMicroservices Architecture Workshop
Microservices Architecture WorkshopClaudio Acquaviva
 
3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdf3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdfDimas Francisco
 
AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...
AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...
AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...Amazon Web Services LATAM
 
Nagios
NagiosNagios
NagiosEvandro Júnior
 
I-SCode
I-SCodeI-SCode
I-SCodeJoao Rosado Pereira‍
 
OWASP Top Ten 2004
OWASP Top Ten 2004OWASP Top Ten 2004
OWASP Top Ten 2004Carlos Serrao
 
AAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcambAAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcambMicrosoft Brasil
 
AAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcambAAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcambguest34ed8ec
 
HOTNOC - WEB Network Operation System Monitoring by IdeaValley
HOTNOC - WEB Network Operation System Monitoring by IdeaValleyHOTNOC - WEB Network Operation System Monitoring by IdeaValley
HOTNOC - WEB Network Operation System Monitoring by IdeaValleyIdeaValley Sergio Cabral Cavalcanti
 
Introdução a Gerência de Redes
Introdução a Gerência de RedesIntrodução a Gerência de Redes
Introdução a Gerência de RedesFrederico Madeira
 
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011TI Safe
 
Apresentação Dominit 2012
Apresentação Dominit 2012Apresentação Dominit 2012
Apresentação Dominit 2012Dominit - Soluções e Processos em TI
 
Windows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-ProsWindows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-ProsMarkus Christen
 
Aula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídos
Aula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídosAula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídos
Aula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídosMessias Batista
 
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdf
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdfBR - Fabric Connect Workshop LAB Slides v0 PTBR.pdf
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdfodairjose23
 
Banner fernando & everton 03-11
Banner fernando & everton 03-11Banner fernando & everton 03-11
Banner fernando & everton 03-11Everton Jean Moro
 
Refactoring like a boss
Refactoring like a bossRefactoring like a boss
Refactoring like a bossPET Computação
 
Linux em tempo real
Linux em tempo realLinux em tempo real
Linux em tempo realPET Computação
 

Weitere ähnliche Inhalte

Ähnlich wie Segurança, gestão e sustentabilidade para cloud computing

Apresentação netconsulting nov12
Apresentação netconsulting nov12Apresentação netconsulting nov12
Apresentação netconsulting nov12Evandro Alves
 
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de MicroservicesDeep Tech Brasil
 
Garantindo o sucesso da experiência do usuário por Carlos bertozzi
Garantindo o sucesso da experiência do usuário por Carlos bertozziGarantindo o sucesso da experiência do usuário por Carlos bertozzi
Garantindo o sucesso da experiência do usuário por Carlos bertozziJoao Galdino Mello de Souza
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazOWASP Brasília
 
Microservices Architecture Workshop
Microservices Architecture WorkshopMicroservices Architecture Workshop
Microservices Architecture WorkshopClaudio Acquaviva
 
3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdf3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdfDimas Francisco
 
AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...
AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...
AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...Amazon Web Services LATAM
 
AAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcambAAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcambMicrosoft Brasil
 
AAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcambAAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcambguest34ed8ec
 
Introdução a Gerência de Redes
Introdução a Gerência de RedesIntrodução a Gerência de Redes
Introdução a Gerência de RedesFrederico Madeira
 
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011TI Safe
 
Windows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-ProsWindows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-ProsMarkus Christen
 
Aula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídos
Aula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídosAula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídos
Aula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídosMessias Batista
 
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdf
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdfBR - Fabric Connect Workshop LAB Slides v0 PTBR.pdf
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdfodairjose23
 
Banner fernando & everton 03-11
Banner fernando & everton 03-11Banner fernando & everton 03-11
Banner fernando & everton 03-11Everton Jean Moro
 

Ähnlich wie Segurança, gestão e sustentabilidade para cloud computing (20)

Apresentação netconsulting nov12
Apresentação netconsulting nov12Apresentação netconsulting nov12
Apresentação netconsulting nov12
 
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices
[DTC21] Thiago Lima - Do Zero ao 100 no Mundo de Microservices
 
Garantindo o sucesso da experiência do usuário por Carlos bertozzi
Garantindo o sucesso da experiência do usuário por Carlos bertozziGarantindo o sucesso da experiência do usuário por Carlos bertozzi
Garantindo o sucesso da experiência do usuário por Carlos bertozzi
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio Braz
 
Microservices Architecture Workshop
Microservices Architecture WorkshopMicroservices Architecture Workshop
Microservices Architecture Workshop
 
3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdf3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdf
 
AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...
AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...
AWS Innovate 2020 - Entenda como o Data Flywheel pode apoiá-lo em sua estraté...
 
Nagios
NagiosNagios
Nagios
 
I-SCode
I-SCodeI-SCode
I-SCode
 
OWASP Top Ten 2004
OWASP Top Ten 2004OWASP Top Ten 2004
OWASP Top Ten 2004
 
AAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcambAAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcamb
 
AAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcambAAB309 - SQL Azure Database - wcamb
AAB309 - SQL Azure Database - wcamb
 
HOTNOC - WEB Network Operation System Monitoring by IdeaValley
HOTNOC - WEB Network Operation System Monitoring by IdeaValleyHOTNOC - WEB Network Operation System Monitoring by IdeaValley
HOTNOC - WEB Network Operation System Monitoring by IdeaValley
 
Introdução a Gerência de Redes
Introdução a Gerência de RedesIntrodução a Gerência de Redes
Introdução a Gerência de Redes
 
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
 
Apresentação Dominit 2012
Apresentação Dominit 2012Apresentação Dominit 2012
Apresentação Dominit 2012
 
Windows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-ProsWindows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-Pros
 
Aula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídos
Aula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídosAula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídos
Aula03 Sistemas Distribuídos - Arquiteturas de sistemas distribuídos
 
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdf
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdfBR - Fabric Connect Workshop LAB Slides v0 PTBR.pdf
BR - Fabric Connect Workshop LAB Slides v0 PTBR.pdf
 
Banner fernando & everton 03-11
Banner fernando & everton 03-11Banner fernando & everton 03-11
Banner fernando & everton 03-11
 

Mehr von PET Computação

Cooperação e Codificação de Rede Aplicadas as RSSF Industriais
Cooperação e Codificação de Rede Aplicadas as RSSF IndustriaisCooperação e Codificação de Rede Aplicadas as RSSF Industriais
Cooperação e Codificação de Rede Aplicadas as RSSF IndustriaisPET Computação
 
Redes de Sensores e Robôs: Um novo paradigma de Monitoramento e Atuação
Redes de Sensores e Robôs: Um novo paradigma de Monitoramento e AtuaçãoRedes de Sensores e Robôs: Um novo paradigma de Monitoramento e Atuação
Redes de Sensores e Robôs: Um novo paradigma de Monitoramento e AtuaçãoPET Computação
 
MapReduce: teoria e prática
MapReduce: teoria e práticaMapReduce: teoria e prática
MapReduce: teoria e práticaPET Computação
 
Processamento e visualização tridimensional de imagens de Satelite e Radar
Processamento e visualização tridimensional de imagens de Satelite e RadarProcessamento e visualização tridimensional de imagens de Satelite e Radar
Processamento e visualização tridimensional de imagens de Satelite e RadarPET Computação
 
Software Evolution: From Legacy Systems, Service Oriented Architecture to Clo...
Software Evolution: From Legacy Systems, Service Oriented Architecture to Clo...Software Evolution: From Legacy Systems, Service Oriented Architecture to Clo...
Software Evolution: From Legacy Systems, Service Oriented Architecture to Clo...PET Computação
 
Testes de escalabilidade usando cloud
Testes de escalabilidade usando cloudTestes de escalabilidade usando cloud
Testes de escalabilidade usando cloudPET Computação
 
Bancos de dados nas nuvens: uma visão geral
Bancos de dados nas nuvens: uma visão geralBancos de dados nas nuvens: uma visão geral
Bancos de dados nas nuvens: uma visão geralPET Computação
 
Uma reflexão sobre os 28 anos de pesquisa no laboratório de integração de sof...
Uma reflexão sobre os 28 anos de pesquisa no laboratório de integração de sof...Uma reflexão sobre os 28 anos de pesquisa no laboratório de integração de sof...
Uma reflexão sobre os 28 anos de pesquisa no laboratório de integração de sof...PET Computação
 
Cloud computing: evolution or redefinition
Cloud computing: evolution or redefinitionCloud computing: evolution or redefinition
Cloud computing: evolution or redefinitionPET Computação
 
Rastreamento de objetos utilizando ar drone
Rastreamento de objetos utilizando ar droneRastreamento de objetos utilizando ar drone
Rastreamento de objetos utilizando ar dronePET Computação
 
Processamento e visualização tridimensional de imagens de satelite e radar
Processamento e visualização tridimensional de imagens de satelite e radarProcessamento e visualização tridimensional de imagens de satelite e radar
Processamento e visualização tridimensional de imagens de satelite e radarPET Computação
 
Evoluindo dot project em alinhamento ao pmbok
Evoluindo dot project em alinhamento ao pmbokEvoluindo dot project em alinhamento ao pmbok
Evoluindo dot project em alinhamento ao pmbokPET Computação
 
Apresentação geral do gqs - Usabilidade na convergência digital - Customizaç...
Apresentação geral do gqs - Usabilidade na convergência digital - Customizaç...Apresentação geral do gqs - Usabilidade na convergência digital - Customizaç...
Apresentação geral do gqs - Usabilidade na convergência digital - Customizaç...PET Computação
 
Com a cabeça nas nuvens: montando ambientes para aplicações elásticas
Com a cabeça nas nuvens: montando ambientes para aplicações elásticas Com a cabeça nas nuvens: montando ambientes para aplicações elásticas
Com a cabeça nas nuvens: montando ambientes para aplicações elásticasPET Computação
 

Mehr von PET Computação (20)

Refactoring like a boss
Refactoring like a bossRefactoring like a boss
Refactoring like a boss
 
Linux em tempo real
Linux em tempo realLinux em tempo real
Linux em tempo real
 
Cooperação e Codificação de Rede Aplicadas as RSSF Industriais
Cooperação e Codificação de Rede Aplicadas as RSSF IndustriaisCooperação e Codificação de Rede Aplicadas as RSSF Industriais
Cooperação e Codificação de Rede Aplicadas as RSSF Industriais
 
Redes de Sensores e Robôs: Um novo paradigma de Monitoramento e Atuação
Redes de Sensores e Robôs: Um novo paradigma de Monitoramento e AtuaçãoRedes de Sensores e Robôs: Um novo paradigma de Monitoramento e Atuação
Redes de Sensores e Robôs: Um novo paradigma de Monitoramento e Atuação
 
MapReduce: teoria e prática
MapReduce: teoria e práticaMapReduce: teoria e prática
MapReduce: teoria e prática
 
Processamento e visualização tridimensional de imagens de Satelite e Radar
Processamento e visualização tridimensional de imagens de Satelite e RadarProcessamento e visualização tridimensional de imagens de Satelite e Radar
Processamento e visualização tridimensional de imagens de Satelite e Radar
 
Software Evolution: From Legacy Systems, Service Oriented Architecture to Clo...
Software Evolution: From Legacy Systems, Service Oriented Architecture to Clo...Software Evolution: From Legacy Systems, Service Oriented Architecture to Clo...
Software Evolution: From Legacy Systems, Service Oriented Architecture to Clo...
 
Planejamento automático
Planejamento automáticoPlanejamento automático
Planejamento automático
 
Testes de escalabilidade usando cloud
Testes de escalabilidade usando cloudTestes de escalabilidade usando cloud
Testes de escalabilidade usando cloud
 
Bancos de dados nas nuvens: uma visão geral
Bancos de dados nas nuvens: uma visão geralBancos de dados nas nuvens: uma visão geral
Bancos de dados nas nuvens: uma visão geral
 
Uma reflexão sobre os 28 anos de pesquisa no laboratório de integração de sof...
Uma reflexão sobre os 28 anos de pesquisa no laboratório de integração de sof...Uma reflexão sobre os 28 anos de pesquisa no laboratório de integração de sof...
Uma reflexão sobre os 28 anos de pesquisa no laboratório de integração de sof...
 
Cloud computing: evolution or redefinition
Cloud computing: evolution or redefinitionCloud computing: evolution or redefinition
Cloud computing: evolution or redefinition
 
Rastreamento de objetos utilizando ar drone
Rastreamento de objetos utilizando ar droneRastreamento de objetos utilizando ar drone
Rastreamento de objetos utilizando ar drone
 
Processamento e visualização tridimensional de imagens de satelite e radar
Processamento e visualização tridimensional de imagens de satelite e radarProcessamento e visualização tridimensional de imagens de satelite e radar
Processamento e visualização tridimensional de imagens de satelite e radar
 
Evoluindo dot project em alinhamento ao pmbok
Evoluindo dot project em alinhamento ao pmbokEvoluindo dot project em alinhamento ao pmbok
Evoluindo dot project em alinhamento ao pmbok
 
Ensinar com jogos
Ensinar com jogosEnsinar com jogos
Ensinar com jogos
 
Apresentação geral do gqs - Usabilidade na convergência digital - Customizaç...
Apresentação geral do gqs - Usabilidade na convergência digital - Customizaç...Apresentação geral do gqs - Usabilidade na convergência digital - Customizaç...
Apresentação geral do gqs - Usabilidade na convergência digital - Customizaç...
 
Latex
LatexLatex
Latex
 
Ferramenta git
Ferramenta gitFerramenta git
Ferramenta git
 
Com a cabeça nas nuvens: montando ambientes para aplicações elásticas
Com a cabeça nas nuvens: montando ambientes para aplicações elásticas Com a cabeça nas nuvens: montando ambientes para aplicações elásticas
Com a cabeça nas nuvens: montando ambientes para aplicações elásticas
 

Kürzlich hochgeladen

TCC_MusicaComoLinguagemNaAlfabetização-ARAUJOfranklin-UFBA.pdf
TCC_MusicaComoLinguagemNaAlfabetização-ARAUJOfranklin-UFBA.pdfTCC_MusicaComoLinguagemNaAlfabetização-ARAUJOfranklin-UFBA.pdf
TCC_MusicaComoLinguagemNaAlfabetização-ARAUJOfranklin-UFBA.pdfamarianegodoi
 
LENDA DA MANDIOCA - leitura e interpretação
LENDA DA MANDIOCA - leitura e interpretaçãoLENDA DA MANDIOCA - leitura e interpretação
LENDA DA MANDIOCA - leitura e interpretaçãoLidianePaulaValezi
 
Aula 25 - A america espanhola - colonização, exploraçãp e trabalho (mita e en...
Aula 25 - A america espanhola - colonização, exploraçãp e trabalho (mita e en...Aula 25 - A america espanhola - colonização, exploraçãp e trabalho (mita e en...
Aula 25 - A america espanhola - colonização, exploraçãp e trabalho (mita e en...MariaCristinaSouzaLe1
 
aula de bioquímica bioquímica dos carboidratos.ppt
aula de bioquímica bioquímica dos carboidratos.pptaula de bioquímica bioquímica dos carboidratos.ppt
aula de bioquímica bioquímica dos carboidratos.pptssuser2b53fe
 
Texto dramático com Estrutura e exemplos.ppt
Texto dramático com Estrutura e exemplos.pptTexto dramático com Estrutura e exemplos.ppt
Texto dramático com Estrutura e exemplos.pptjricardo76
 
Tema de redação - As dificuldades para barrar o casamento infantil no Brasil ...
Tema de redação - As dificuldades para barrar o casamento infantil no Brasil ...Tema de redação - As dificuldades para barrar o casamento infantil no Brasil ...
Tema de redação - As dificuldades para barrar o casamento infantil no Brasil ...AnaAugustaLagesZuqui
 
Slides Lição 6, CPAD, As Nossas Armas Espirituais, 2Tr24.pptx
Slides Lição 6, CPAD, As Nossas Armas Espirituais, 2Tr24.pptxSlides Lição 6, CPAD, As Nossas Armas Espirituais, 2Tr24.pptx
Slides Lição 6, CPAD, As Nossas Armas Espirituais, 2Tr24.pptxLuizHenriquedeAlmeid6
 
classe gramatical Substantivo apresentação..pptx
classe gramatical Substantivo apresentação..pptxclasse gramatical Substantivo apresentação..pptx
classe gramatical Substantivo apresentação..pptxLuciana Luciana
 
QUIZ ensino fundamental 8º ano revisão geral
QUIZ ensino fundamental 8º ano revisão geralQUIZ ensino fundamental 8º ano revisão geral
QUIZ ensino fundamental 8º ano revisão geralAntonioVieira539017
 
A Revolução Francesa. Liberdade, Igualdade e Fraternidade são os direitos que...
A Revolução Francesa. Liberdade, Igualdade e Fraternidade são os direitos que...A Revolução Francesa. Liberdade, Igualdade e Fraternidade são os direitos que...
A Revolução Francesa. Liberdade, Igualdade e Fraternidade são os direitos que...DirceuNascimento5
 
Monoteísmo, Politeísmo, Panteísmo 7 ANO2.pptx
Monoteísmo, Politeísmo, Panteísmo 7 ANO2.pptxMonoteísmo, Politeísmo, Panteísmo 7 ANO2.pptx
Monoteísmo, Politeísmo, Panteísmo 7 ANO2.pptxFlviaGomes64
 
Cartão de crédito e fatura do cartão.pptx
Cartão de crédito e fatura do cartão.pptxCartão de crédito e fatura do cartão.pptx
Cartão de crédito e fatura do cartão.pptxMarcosLemes28
 
6ano variação linguística ensino fundamental.pptx
6ano variação linguística ensino fundamental.pptx6ano variação linguística ensino fundamental.pptx
6ano variação linguística ensino fundamental.pptxJssicaCassiano2
 
Cópia de AULA 2- ENSINO FUNDAMENTAL ANOS INICIAIS - LÍNGUA PORTUGUESA.pptx
Cópia de AULA 2- ENSINO FUNDAMENTAL ANOS INICIAIS - LÍNGUA PORTUGUESA.pptxCópia de AULA 2- ENSINO FUNDAMENTAL ANOS INICIAIS - LÍNGUA PORTUGUESA.pptx
Cópia de AULA 2- ENSINO FUNDAMENTAL ANOS INICIAIS - LÍNGUA PORTUGUESA.pptxSilvana Silva
 
Sistema de Bibliotecas UCS - Cantos do fim do século
Sistema de Bibliotecas UCS - Cantos do fim do séculoSistema de Bibliotecas UCS - Cantos do fim do século
Sistema de Bibliotecas UCS - Cantos do fim do séculoBiblioteca UCS
 
Expansão Marítima- Descobrimentos Portugueses século XV
Expansão Marítima- Descobrimentos Portugueses século XVExpansão Marítima- Descobrimentos Portugueses século XV
Expansão Marítima- Descobrimentos Portugueses século XVlenapinto
 
3 2 - termos-integrantes-da-oracao-.pptx
3 2 - termos-integrantes-da-oracao-.pptx3 2 - termos-integrantes-da-oracao-.pptx
3 2 - termos-integrantes-da-oracao-.pptxMarlene Cunhada
 
Aula prática JOGO-Regencia-Verbal-e-Nominal.pdf
Aula prática JOGO-Regencia-Verbal-e-Nominal.pdfAula prática JOGO-Regencia-Verbal-e-Nominal.pdf
Aula prática JOGO-Regencia-Verbal-e-Nominal.pdfKarinaSouzaCorreiaAl
 
M0 Atendimento – Definição, Importância .pptx
M0 Atendimento – Definição, Importância .pptxM0 Atendimento – Definição, Importância .pptx
M0 Atendimento – Definição, Importância .pptxJustinoTeixeira1
 
E a chuva ... (Livro pedagógico para ser usado na educação infantil e trabal...
E a chuva ... (Livro pedagógico para ser usado na educação infantil e trabal...E a chuva ... (Livro pedagógico para ser usado na educação infantil e trabal...
E a chuva ... (Livro pedagógico para ser usado na educação infantil e trabal...andreiavys
 

Kürzlich hochgeladen (20)

TCC_MusicaComoLinguagemNaAlfabetização-ARAUJOfranklin-UFBA.pdf
TCC_MusicaComoLinguagemNaAlfabetização-ARAUJOfranklin-UFBA.pdfTCC_MusicaComoLinguagemNaAlfabetização-ARAUJOfranklin-UFBA.pdf
TCC_MusicaComoLinguagemNaAlfabetização-ARAUJOfranklin-UFBA.pdf
 
LENDA DA MANDIOCA - leitura e interpretação
LENDA DA MANDIOCA - leitura e interpretaçãoLENDA DA MANDIOCA - leitura e interpretação
LENDA DA MANDIOCA - leitura e interpretação
 
Aula 25 - A america espanhola - colonização, exploraçãp e trabalho (mita e en...
Aula 25 - A america espanhola - colonização, exploraçãp e trabalho (mita e en...Aula 25 - A america espanhola - colonização, exploraçãp e trabalho (mita e en...
Aula 25 - A america espanhola - colonização, exploraçãp e trabalho (mita e en...
 
aula de bioquímica bioquímica dos carboidratos.ppt
aula de bioquímica bioquímica dos carboidratos.pptaula de bioquímica bioquímica dos carboidratos.ppt
aula de bioquímica bioquímica dos carboidratos.ppt
 
Texto dramático com Estrutura e exemplos.ppt
Texto dramático com Estrutura e exemplos.pptTexto dramático com Estrutura e exemplos.ppt
Texto dramático com Estrutura e exemplos.ppt
 
Tema de redação - As dificuldades para barrar o casamento infantil no Brasil ...
Tema de redação - As dificuldades para barrar o casamento infantil no Brasil ...Tema de redação - As dificuldades para barrar o casamento infantil no Brasil ...
Tema de redação - As dificuldades para barrar o casamento infantil no Brasil ...
 
Slides Lição 6, CPAD, As Nossas Armas Espirituais, 2Tr24.pptx
Slides Lição 6, CPAD, As Nossas Armas Espirituais, 2Tr24.pptxSlides Lição 6, CPAD, As Nossas Armas Espirituais, 2Tr24.pptx
Slides Lição 6, CPAD, As Nossas Armas Espirituais, 2Tr24.pptx
 
classe gramatical Substantivo apresentação..pptx
classe gramatical Substantivo apresentação..pptxclasse gramatical Substantivo apresentação..pptx
classe gramatical Substantivo apresentação..pptx
 
QUIZ ensino fundamental 8º ano revisão geral
QUIZ ensino fundamental 8º ano revisão geralQUIZ ensino fundamental 8º ano revisão geral
QUIZ ensino fundamental 8º ano revisão geral
 
A Revolução Francesa. Liberdade, Igualdade e Fraternidade são os direitos que...
A Revolução Francesa. Liberdade, Igualdade e Fraternidade são os direitos que...A Revolução Francesa. Liberdade, Igualdade e Fraternidade são os direitos que...
A Revolução Francesa. Liberdade, Igualdade e Fraternidade são os direitos que...
 
Monoteísmo, Politeísmo, Panteísmo 7 ANO2.pptx
Monoteísmo, Politeísmo, Panteísmo 7 ANO2.pptxMonoteísmo, Politeísmo, Panteísmo 7 ANO2.pptx
Monoteísmo, Politeísmo, Panteísmo 7 ANO2.pptx
 
Cartão de crédito e fatura do cartão.pptx
Cartão de crédito e fatura do cartão.pptxCartão de crédito e fatura do cartão.pptx
Cartão de crédito e fatura do cartão.pptx
 
6ano variação linguística ensino fundamental.pptx
6ano variação linguística ensino fundamental.pptx6ano variação linguística ensino fundamental.pptx
6ano variação linguística ensino fundamental.pptx
 
Cópia de AULA 2- ENSINO FUNDAMENTAL ANOS INICIAIS - LÍNGUA PORTUGUESA.pptx
Cópia de AULA 2- ENSINO FUNDAMENTAL ANOS INICIAIS - LÍNGUA PORTUGUESA.pptxCópia de AULA 2- ENSINO FUNDAMENTAL ANOS INICIAIS - LÍNGUA PORTUGUESA.pptx
Cópia de AULA 2- ENSINO FUNDAMENTAL ANOS INICIAIS - LÍNGUA PORTUGUESA.pptx
 
Sistema de Bibliotecas UCS - Cantos do fim do século
Sistema de Bibliotecas UCS - Cantos do fim do séculoSistema de Bibliotecas UCS - Cantos do fim do século
Sistema de Bibliotecas UCS - Cantos do fim do século
 
Expansão Marítima- Descobrimentos Portugueses século XV
Expansão Marítima- Descobrimentos Portugueses século XVExpansão Marítima- Descobrimentos Portugueses século XV
Expansão Marítima- Descobrimentos Portugueses século XV
 
3 2 - termos-integrantes-da-oracao-.pptx
3 2 - termos-integrantes-da-oracao-.pptx3 2 - termos-integrantes-da-oracao-.pptx
3 2 - termos-integrantes-da-oracao-.pptx
 
Aula prática JOGO-Regencia-Verbal-e-Nominal.pdf
Aula prática JOGO-Regencia-Verbal-e-Nominal.pdfAula prática JOGO-Regencia-Verbal-e-Nominal.pdf
Aula prática JOGO-Regencia-Verbal-e-Nominal.pdf
 
M0 Atendimento – Definição, Importância .pptx
M0 Atendimento – Definição, Importância .pptxM0 Atendimento – Definição, Importância .pptx
M0 Atendimento – Definição, Importância .pptx
 
E a chuva ... (Livro pedagógico para ser usado na educação infantil e trabal...
E a chuva ... (Livro pedagógico para ser usado na educação infantil e trabal...E a chuva ... (Livro pedagógico para ser usado na educação infantil e trabal...
E a chuva ... (Livro pedagógico para ser usado na educação infantil e trabal...
 

Segurança, gestão e sustentabilidade para cloud computing

  • 1. Segurança na Computação em Nuvem LRG – Laboratório de Redes e Gerência Carla Merkle Westphall carlamw@inf.ufsc.br Carlos Becker Westphall westphal@inf.ufsc.br
  • 3. 3 Segurança  CID – confidencialidade, integridade, disponibilidade  Ameaças – condições ou eventos que forneçam potencial de violação de segurança  Vulnerabilidade – falha ou característica indevida que pode ser explorada  Ataque – conjunto de ações feitas por entidade não autorizada visando violações de segurança
  • 4. 4 Computação em nuvem Hardware e Software entregues: • Sob demanda na forma de auto-atendimento • Independente de dispositivo e de localização Recursos necessários • Compartilhados • Dinamicamente escaláveis • Alocados rapidamente e liberados com interação mínima com o provedor de serviço • Virtualizados Usuários pagam pelo serviço usado
  • 5. 5
  • 7. 7 Tecnologias usadas • Aplicações e serviços Web • Virtualização • Criptografia
  • 8. 8 Segurança e economia • Em larga escala implementar segurança é mais barato (filtros, gerenciamento de patches, proteção de máquinas virtuais) • Grandes provedores de cloud podem contratar especialistas • Atualizações são mais rápidas em ambientes homogêneos para responder aos incidentes • Imagens padrão de VMs e softwares podem ser atualizados com configurações de segurança e patches “Mesmo valor de investimentos em segurança compra uma proteção melhor"
  • 9. 9 Defesas de ambientes de nuvem podem ser mais robustas, escaláveis e ter uma relação custo-benefício melhor, mas… ....a concentração grande de recursos e dados são um alvo mais atraente para atacantes
  • 10. 10 Ameaças • Desvio de sessão (session hijacking): o atacante consegue se apoderar de uma sessão HTTP válida para obter acesso não autorizado
  • 11. 11 Ameaças • Fuga da virtualização: o atacante consegue sair do ambiente virtualizado e obter acesso à máquina física
  • 12. 12 Ameaças • Criptografia insegura e obsoleta: ▫ avanços na criptoanálise, protocolos e algoritmos antes considerados seguros passam a ser obsoletos e vulneráveis ▫ gerenciamento e armazenamento de muitas chaves, hardware não é fixo, difícil ter HSM • Amazon S3 (serviço de storage) usa 256-bit Advanced Encryption Standard (AES-256)
  • 13. 13 Ameaças • Acesso não autorizado à interface de gerência: com o auto-atendimento o gerenciamento de clouds geralmente é feito em uma interface web, sendo mais fácil para um atacante obter acesso não autorizado
  • 14. 14 Ameaças • Vulnerabilidades do IP: acesso via Internet, rede não confiável, IP possui problemas de segurança (scanning IaaS proibido) • Vulnerabilidades de recuperação de dados: devido a realocação de recursos é possível que um usuário tenha acesso a recursos de armazenamento e memória previamente utilizados que ainda podem conter dados
  • 15. 15 Ameaças • Injeção de código malicioso: ▫ injeção de SQL – comando SQL é adicionado ou substitui dados fornecidos pelo usuário que são interpretados (e executados) ▫ Cross-Site Scripting - permite a execução de códigos (scripts) no browser do lado do cliente
  • 16. 16 SQL Injection – Ilustração "SELECT * FROM Conta :: Contas Conta accounts WHERE Knowledge Mgmt Communication Administration Legacy Systems Bus. Functions Application Layer Human Resrcs E-Commerce Transactions Web Services SKU: acct=‘’ OR Directories Accounts Conta:5424-6066-2134-4334 Databases Finance HTTP Billing HTTP SQL DB Table Conta:4128-7574-3921-0192 response  1=1--’" request query Conta:5424-9383-2039-4029 APPLICATION    Conta:4128-0004-1234-0293  ATTACK  Custom Code 1. Aplicação apresenta um formulário para o atacante 2. Atacante envia um ataque nos dados do formulário App Server 3. Aplicação encaminha o ataque Web Server para o BD em uma consulta SQL Hardened OS 4. Banco de dados executa a Network Layer consulta contendo o ataque e envia resultados cifrados de volta para a Firewall Firewall aplicação 5. Aplicação decifra dados como normais e envia resultados para o usuário OWASP - 2010
  • 17. 17 Cross-Site Scripting - Ilustração 1 Atacante envia uma armadilha – atualize o meu perfil Aplicação com vulnerabilidade Atacante envia um XSS armazenada script malicioso em uma página web que armazena os dados no Communication Bus. Functions Administration servidor E-Commerce Transactions Knowledge 2 Vítima viu página – viu o perfil do atacante Accounts Finance Mgmt Custom Code Script executa no browser da vítima com acesso completo ao DOM e cookies 3 Script envia silenciosamente o cookie de sessão da vítima para o atacante OWASP - 2010
  • 18. 18 Ameaças • Uso nefasto e abusivo (Iaas, PaaS): poder computacional, rede e armazenamentos ilimitados são usados por usuário cadastrado. Usuário pode ser spammer, distribuir código malicioso ou outro criminoso. É só ter cartão de crédito ! Crack de senhas e chaves, disparo de ataques, DDOS (X-DoS, H-DoS), comando e controle de botnet (Zeus botnet)
  • 19. 19
  • 20. 20 Ameaças • Interfaces e APIs inseguras (Iaas, PaaS, SaaS) Acesso anônimo e ou tokens ou senha reusáveis, autenticação ou transmissão de dados sem criptografia, autorização imprópria, monitoramento e log limitados, dependências de APIs e serviços desconhecidas
  • 21. 21 Ainda... • Usuários não conseguem monitorar a segurança de seus recursos na nuvem • Possibilidade de auditoria da segurança insuficiente • Não existem padrões de medidas específicas para cloud • A computação nas nuvens separa os componentes de sua localização e isso cria questões de segurança que resultam desta falta de perímetro
  • 22. 22
  • 23. 23
  • 24. 24 Cloud Security Alliance • Domínios de governança • Domínios operacionais 1. Segurança tradicional, planos de continuidade e recuperação de desastres 2. Operações dos datacenters 3. Tratamento de incidentes 4. Segurança das aplicações 5. Criptografia e gerenciamento de chaves 6. Gerenciamento de identidades e de acesso 7. Virtualização 8. Segurança como serviço
  • 25. 25 Desafios - Criptografia • Criptografia forte • Gerenciamento de chaves escalável ▫ uma única chave por usuário? ▫ uma única chave para todos os usuários? ▫ múltiplas chaves para o mesmo usuário? • Usuários e provedores devem cifrar todos os dados em trânsito e também dados estáticos
  • 26. 26 Desafios - Multi-tenancy • Diferentes quanto a segurança, SLA, governança, políticas
  • 27. 27 Desafios – Aplicações e IAM • Segurança de aplicações (IaaS, PaaS, SaaS) • Gerenciamento de Identidades e de Acesso (Identity and Access Management) ▫ Proliferação de identidades ▫ Autenticação única (Single Sign On) ▫ Federação de identidades ▫ Privacidade do usuário ▫ Controle de acesso
  • 28. 28 Tecnologias • SAML, XACML • XML-Encryption, XML-Signature • WS (Web Services) Security ▫ WS-Trust ▫ WS-Policy ▫ ... • OpenID, Google, Shibboleth, ...
  • 29. 29 Amazon EC2 http://aws.amazon.com/security/ • PCI DSS (Payment Card Industry Data Security Standard) Level 1 • ISO 27001 • FISMA (Federal Information Security Management Act) Moderate • HIPAA (Health Insurance Portability and Accountability Act) • SAS 70 (Statement on Auditing Standards) Type II
  • 30. 30 Amazon EC2 http://aws.amazon.com/security/ • Segurança física e operacional • Criptografia no sistema de arquivos • Uso do SSL (https) • Gerência de chaves: usuário cuida • Gerenciamento de Identidades e de Acesso ▫ Criar e gerenciar usuários ▫ Identidades federadas ▫ Credenciais para autorização ▫ APIs de programação
  • 31. 31 Pesquisas • Muito trabalho a ser feito • Vários assuntos de pesquisa • No LRG: ▫ Gerenciamento de identidade e acesso na computação em nuvem ▫ Dissertações de mestrado no PPGCC ▫ TCC ▫ Bolsas Pibic/CNPq
  • 32. 32 Referências • Grobauer, B.; Walloschek, T.; Stocker, E. (2011) "Understanding Cloud Computing Vulnerabilities," Security & Privacy, IEEE , vol.9, no.2, pp.50-57, March-April 2011. • Chaves, S.; Westphal, C. B.; Westphall, C. M.; Gerônimo, G. A. “Customer Security Concerns in Cloud Computing,” ICN 2011, pp. 7- 11, 2011. • Gonzalez, N.; Miers, C.; Redigolo, F.; Carvalho, T.; Simplicio, M.; Naslund, M.; Pourzandi, M.; , "A Quantitative Analysis of Current Security Concerns and Solutions for Cloud Computing,“ IEEE CloudCom, pp.231-238, 2011. • CSA (2011). Security Guidance for Critical Areas of Focus in Cloud Computing – v3.0. Cloud Security Alliance. https://cloudsecurityalliance.org/ • CSA (2010). Top Threats to Cloud Computing V1.0. • CSA BR - https://chapters.cloudsecurityalliance.org/brazil/