O documento discute os desafios e oportunidades da segurança na nuvem. Apresenta pesquisas que mostram preocupações com compartilhamento de recursos e vazamentos de dados, e ameaças como contas comprometidas. Também destaca padrões de segurança oferecidos e riscos inerentes como falhas humanas. Por fim, discute como serviços de segurança na nuvem podem complementar as defesas, mas é necessário avaliar cuidadosamente cada provedor.
2. O que preocupa os chefes de segurança?
http://www.ncircle.com/index.php?s=resources_security-trends-surveys
3. Pesquisa na RSA Conference 2013
Sua Empresa usa Serviços Cloud na
Gestão de Sistemas Críticos?
Quem Gerencia a Segurança dos
Serviços Cloud Contratados?
http://www.accelops.com/pdf/Cloud%20Security%20Survey%20Report
4. Padrões de Segurança Prometidos em Cloud
AUTENTICAÇÃO
FORTE
CERTIFICAÇÃO
ISO27001
ISOLAMENTO &
MULTI TENANT
FIREWALLS &
IPS’s
VPN & IPSEC
IDENTITY
MANAGEMENT
INTEGRAÇÃO
COM BACKUPS
FÍSICOS
PATCHING
MONITORAMENTO
5. Ameaças à Própria Cloud: CSA*
Tecnologias
compartilhada
s
Perda ou
vazamento
de
informação
Sequestro
de contas
Insiders malintencionado
s
Falha de
Hardware
Interfaces e
APIs
inseguras
Abuso ou
uso
fraudulento
Cloud Security Alliance - bit.ly/HOdgTL
Unknown Risk
Profile
Desastres
Naturais
FALHAS E
INCIDENTE
S
Fechamento
do Serviço
9. “A Cloud que contratamos possui serviço de backup”
Você já teve a experiência
de não conseguir
recuperar dados em sua
cloud com a opção de
backups contratado?
http://www.symantec.com/content/en/us/about/media/pdfs/b-state-of-cloud-global-results-2013.en-us.pdf
10. Minha empresa não adotou Cloud. Tem Certeza?
http://www.symantec.com/content/en/us/about/media/pdfs/b-state-of-cloud-global-results-2013.en-us.pdf
11. Projetos de “Rogue” Cloud
75%
• dizem que suas empresas têm esse
problema
83%
• Se considerarmos apenas as grandes
corporações.
40%
• declararam exposição de informações
confidenciais
25%
• tiveram situações de roubo de logins,
invasões em seus sites ou perda de ativos
http://www.symantec.com/content/en/us/about/media/pdfs/b-state-of-cloud-global-results-2013.en-us.pdf
12.
13. Serviços de Segurança em Cloud
WAF – Cloud as Security Service
Tráfego
filtrado
INTERNET
ataque
COMPAN
Y
WEBAPP
s
As aplicações web só recebem requisições após o
filtro aplicado pela empresa no Web Application
14. Serviços de Segurança em Cloud
Antispam – AV
Tráfego
filtrado
INTERNET
MAIL
COMPAN
Y
Mail
Servers
A empresa só recebe e-mails “limpos”
15. Serviços de Segurança em Cloud
Proxy – Navegação Segura
Acesso
Internet
INTERNET
COMPAN
Y
Users
Acesso
Tráfego
Limpo
Nesse caso a navegação de usuários é avaliada em
servidores externos, permitindo somente a entrada de
17. + Cloud + Segurança
Menor
Capacidade própria em
Segurança e/ou
velocidade de
implantação
Mais interessante o uso de
serviços cloud
18. Em Resumo
•
•
•
De fato, provedores sérios de Cloud possuem grande
capacidade de oferecer segurança em seus serviços
Entre no detalhe das arquiteturas e recursos de segurança
oferecidos para analisar os concorrentes
Não use certificações e auditorias independentes como
meio de escolher a Cloud mais segura