Palestra Daniel Peres - Modelo de Responsabilidade compartilhada AWS e as implicações de segurança

Palestra ministrada em 18/11/2017.

Technologie

Modelo de responsabilidade
compartilhada AWS e as
implicações de segurança
Daniel Peres

• 2006 Lançamento oficial
• 2007 180,000
desenvolvedores
• 2010 Mudança da
Amazon.com para AWS
• 2015 faturamento de
1.57 bilhões primeiro
quadrimestre
Oque é AWS

Um modelo para todos os
serviços ?
• Serviços de infra estrutura
• Serviços Tipo containers
• Serviços Abstratos

Caso de uma Fintech nacional
• Sugestão de correção
–Chaves de acesso AWS para cada conta
cliente
–ID sequencial por UUID

Meta dados EC2
http://169.254.169.254/latest/meta-data/
AMI ID
IP Privado
Tipo de instancia
Região

Nimbostratus
• Tools for fingerprinting and exploiting
Amazon cloud infrastructures

Construindo uma infraestrutura
AWS segura
• Use o IAM em vez da sua conta root
• Diferentes usuários para diferentes
tarefas
• Usar perfis de instância
• Auditoria de usuários e grupos
• Use Parameter Store em suas
instancias EC2

Referencias
• https://pt.slideshare.net/AmazonWebServices/the-aws-shared-security-
responsibility-model-in-practice-59677577?next_slideshow=1
• http://www.fidelis.work/roubando-contratos-bancarios-de-uma-fintech-
brasileira/
• https://www.theregister.co.uk/2015/01/06/dev_blunder_shows_github_crawli
ng_with_keyslurping_bots/
• http://vertis.io/2013/12/16/unauthorised-litecoin-mining.html
• https://wptavern.com/ryan-hellyers-aws-nightmare-leaked-access-keys-
result-in-a-6000-bill-overnight
• https://forums.aws.amazon.com/thread.jspa?threadID=189450
• https://www.quora.com/My-AWS-account-was-hacked-and-I-have-a-50-000-
bill-how-can-I-reduce-the-amount-I-need-to-pay
• https://hack4fun.club/2017/09/20/dados-sensiveis-da-viacom-e-chave-de-
acesso-secreto-no-servidor-da-amazon-sem-garantia/
• http://minutodaseguranca.blog.br/dados-de-14milhoes-de-clientes-da-
verizon-sao-expostos-na-amazon-aws-e-podem-ser-permitir-sequestro-
outras-contas-on-line/

Referencias
• https://www.threatstack.com/blog/73-of-companies-have-critical-aws-
security-misconfigurations/
• https://andresriancho.github.io/nimbostratus/pivoting-in-amazon-clouds.pdf
• artigos
• https://cloudacademy.com/blog/aws-shared-responsibility-model-security/
• http://www.datacenterknowledge.com/archives/2017/07/06/surviving-fallout-
deep-root-leak-best-practices-aws
• https://nakedsecurity.sophos.com/pt/2017/06/22/deep-root-what-can-we-
learn-from-the-gops-data-leak/
• https://itforum365.com.br/seguranca/ameacas/acesso-a-dados-dos-
servidores-amazon-expoe-falhas-de-seguranca
• http://www.luizguarino.com.br/site/seguranca_informacao/02%20-
%20A6%20-%20Exposicao%20de%20Dados%20Sensiveis.pdf
• https://www.darkreading.com/cloud/amazon-tackles-security-of-data-in-s3-
storage-/d/d-id/1329628?piddl_msgid=329422
• https://rhinosecuritylabs.com/penetration-testing/aws-security-
vulnerabilities-and-the-attackers-perspective/

Weitere ähnliche Inhalte

Ähnlich wie Palestra Daniel Peres - Modelo de Responsabilidade compartilhada AWS e as implicações de segurança

Segurança de ponta a ponta na AWS

"Computação Serverless permite que você construa e execute aplicações sem a necessidade de provisionar ou gerenciar servidores. Com a computação Serverless você pode construir aplicações web, mobile e IoT backends, executar processamento em streams de dados ou em big data, criar chatbots e mais. Nessa sessão você será iniciado nos caminhos da computação Serverless através do AWS Lambda, que lhe permite executar código sem provisionar ou gerenciar servidores. Nós o demonstraremos as bases de construção de aplicações em Lambda e como tirar vantagens de benefícios como elasticidade contínua, alta disponibilidade nativa, inúmeras integrações com apps AWS e de terceiros e precificação por frações de segundo. Nós também apresentaremos um portifólio de serviços AWS que lhe auxiliarão na construção de aplicações Serverless em conjunto com o lambda, como API Gateway, Amazon DynamoDB, AWS Step Functions e mais." https://aws.amazon.com/pt/lambda/

Iniciando com AWS Lambda e serverless em cloud

Segurança

Melhores práticas de workloads Microsoft na AWS

Bruno Luiz Pereira da Silva

Preparando sua arquitetura para microservicos

Webinar: O que é computação em nuvem com a AWS?

Amazon Web Services

Introducao a aws storage backup e archiving

Cloud & AWS: Da teoria à prática

Ricardo Martins ☁

Conhecendo as opcoes de Storage na Nuvem da AWS

AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf

Você está pensando em disponibilizar workloads Microsoft na AWS? Precisa entender mais como funciona o licenciamento na nuvem? Essa sessão tem como objetivo de expor sobre questões de arquitetura, boas práticas de implementações. Para executar aplicações do Microsoft Windows Server, SQL Server, Exchange, SharePoint e Lync, bem como aplicações .NET personalizadas, você pode contar com a infraestrutura global segura da Amazon Web Services para executar facilmente aplicações com base no Windows Server na nuvem.

Raising the bar #5 - Melhores práticas de workloads Microsoft

Arquiteturas híbridas - onde parte de um aplicativo roda em um data center, e outras partes rodam em um ou mais serviços de nuvens, públicas e privadas - oferecem o melhor de vários mundos: integração, segurança, alta disponibilidade, recuperação de desastres, otimização de custos. Nesta apresentação exploramos as alternativas, mostrando como a Abril, maior editora do Brasil, vem fazendo sua integração à nuvem AWS de forma consistente e exitosa.

Integrando infraestruturas híbridas

Aws – não técnica amazon web services by kdw

kdwinfo

Webinar: Como explorar os recursos de aprendizagem da AWS

Secure your data lake- A Financial industry perspective - SVC203 - São Paulo ...

Amazon Web Services

Desenvolvendo aplicações móveis na Nuvem

Jose Papo, MSc

Rodando SAP na AWS

A nuvem reforça alguns conceitos antigos de criação de arquiteturas da Internet altamente escaláveis e introduz alguns novos conceitos que mudam completamente o modo pelo qual os aplicativos são criados e implantados. Para usufruir do benefício completo de Nuvem, incluindo a sua flexibilidade e escalabilidade, é importante compreender os serviços, recursos e melhores práticas em Cloud Computing. Esta palestra fornece uma visão geral técnica e destaca melhores práticas arquiteturais para ajudá-lo a projetar arquiteturas eficientes e escaláveis.

Melhores práticas para Arquitetura em Cloud Computing

Daniel Checchia

Cada trajetória até a nuvem da AWS é única. Alguns clientes estão migrando aplicações existentes, enquanto outros estão criando novas aplicações usando serviços nativos da nuvem. Ao longo de cada uma dessas trajetórias, o gerenciamento de identidades e acesso ajuda os clientes a protegerem suas aplicações e recursos. Nesta sessão, você aprenderá que os serviços de identidade AWS fornecem uma solução segura, flexível e fácil para gerenciar identidades e acesso na nuvem da AWS. Com os serviços de identidade AWS, você não precisa se adaptar à AWS. Pelo contrário, você pode escolher entre uma variedade de serviços pensados para atender às suas necessidades ao longo de sua jornada rumo à nuvem da AWS.

Visão Geral dos Serviços de Identidade, Diretório e Acesso da AWS - SID201 -...

Amazon Web Services

5. rodando containers docker na aws

Ähnlich wie Palestra Daniel Peres - Modelo de Responsabilidade compartilhada AWS e as implicações de segurança (20)

Segurança de ponta a ponta na AWS

Iniciando com AWS Lambda e serverless em cloud

Segurança

Melhores práticas de workloads Microsoft na AWS

Preparando sua arquitetura para microservicos

Webinar: O que é computação em nuvem com a AWS?

Introducao a aws storage backup e archiving

Cloud & AWS: Da teoria à prática

Conhecendo as opcoes de Storage na Nuvem da AWS

AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf

Raising the bar #5 - Melhores práticas de workloads Microsoft

Integrando infraestruturas híbridas

Aws – não técnica amazon web services by kdw

Webinar: Como explorar os recursos de aprendizagem da AWS

Secure your data lake- A Financial industry perspective - SVC203 - São Paulo ...

Desenvolvendo aplicações móveis na Nuvem

Rodando SAP na AWS

Melhores práticas para Arquitetura em Cloud Computing

Visão Geral dos Serviços de Identidade, Diretório e Acesso da AWS - SID201 -...

5. rodando containers docker na aws

Mehr von BHack Conference

Palestra William Costa - Pentester Raiz vs Pentester Goumert

Palestra Murilo Santana - Ownando sistemas por uma porta USB

Palestra Filipi Pires - Ransomware – Existe proteção para isso?

Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...

Palestra Pedro Lopes e Victor Martins - Incidentes na Segurança da Informação...

Palestra Jeferson Propheta - Wanna Cry more

Em reuniões que participo com alguns clientes estratégicos, a sua principal narrativa é: "Eu quero uma rede IP/MPLS onde eu conecto minhas Filias à Matriz em circuitos privados, e assim não preciso me preocupar com a segurança do tráfego oriundo das filiais. Uma vez que todo tráfego é redirecionado para o ponto concentrador, meu FIREWALL fica responsável por controlar todo o acesso à Internet, assim eu administro quem entra e que saia da rede." Parece uma boa solução, entretanto, eu faço algumas perguntas: "Você controla o acesso físico de todos os elementos de rede da sua empresa?", "Possui pelo menos alguma política de 'port-security' (ou similar) aplicada no Switches?" Ou ainda "Já possui 802.1x na sua LAN ?". A resposta para quase todas é "SIM". Parece clichê, mas o que fazer quando o 802.1x (sozinho) não consegue me proteger? Por isso meu tema é: Como o 802.1x e 802.1ae reforçam a segurança das redes corporativas.

Palestra Lucas França - 802.1x e 802.1ae

Palestra Walter Capanema - Liberdade de expressão na internet

Palestra Regilberto Girão - Segurança digital em camadas – Digital layered se...

Infelizmente, talvez pela alta carga de disciplinas necessárias, talvez pelo foco total no "resolver", segurança ainda é um assunto pouco tratado em graduações. Nisso formamos programadores prontos para fazer, mas pouco prontos em fazer de forma segura. Essa apresentação visa tratar sobre algumas coisas básicas que eu gostaria de saber lá atrás e que me fariam quebrar menos a cabeça ao longo da minha carreira em segurança da informação.

Palestra Rafael Correia - O que eu deveria ter aprendido sobre segurança na g...

Árvores binárias são uma das estruturas de dados mais fundamentais e poderosas na ciência da computação, essenciais para o entendimento e aplicação de algoritmos eficientes. Elas permitem operações de busca, inserção e remoção em tempos de execução competitivos, especialmente quando estão balanceadas. Uma árvore binária é uma estrutura de dados em que cada nó possui no máximo dois filhos, que são referenciados como subárvore esquerda e subárvore direita. Considerando os conceitos fundamentais de uma árvore binária, defina o conceito de PROFUNDIDADE de uma árvore binária e discuta como essa medida impacta as operações realizadas na estrutura.

Mehr von BHack Conference (10)

Palestra William Costa - Pentester Raiz vs Pentester Goumert

Palestra Murilo Santana - Ownando sistemas por uma porta USB

Palestra Filipi Pires - Ransomware – Existe proteção para isso?

Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...

Palestra Pedro Lopes e Victor Martins - Incidentes na Segurança da Informação...

Palestra Jeferson Propheta - Wanna Cry more

Palestra Lucas França - 802.1x e 802.1ae

Palestra Walter Capanema - Liberdade de expressão na internet

Palestra Regilberto Girão - Segurança digital em camadas – Digital layered se...

Palestra Rafael Correia - O que eu deveria ter aprendido sobre segurança na g...

Kürzlich hochgeladen

ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx

A margem de contribuição é uma medida fundamental para entender a lucratividade de um produto, serviço, departamento ou da empresa como um todo. Ela representa o valor que sobra da receita depois de subtrair os custos e despesas variáveis associados à produção ou venda desse produto ou serviço. Essa quantia é chamada de "margem de contribuição" porque é a parte do dinheiro que efetivamente contribui para cobrir os custos fixos e gerar lucro. Fonte: FRAGALLI, Adriana Casavechia; CASTRO, Silvio Cesar de. Custos da Produção. Maringá - PR.: Unicesumar, 2022. Dado o contexto fornecido sobre os Margem de Contribuição dentro de uma empresa, é possível expandir a análise para que seja apurada de diferentes formas dentro de uma organizacional. Essas apurações podem ser (1) Global da Empresa, (2) Global de uma filial, (3) Divisão de Negócios, (4) Departamental, (5) Total por produto e (6) Unitário. Neste sentido, explique como cada uma dessas apurações consiste no contexto prático de margem de contribuição.

Padrões de Projeto: Proxy e Command com exemplo

Danilo Pinotti

ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx

LOGÍSTICA EMPRESARIAL — ATIVIDADE DE ESTUDO 1 Olá, estudante! Iniciamos, agora, a Atividade 1. Prepare-se para colocar em prática os conceitos estudados durante a disciplina! Caso surjam dúvidas, não hesite em contatar os professores da disciplina. Desejamos sucesso na sua atividade! "A gestão da cadeia de abastecimento, também conhecida como Supply Chain Management, envolve as práticas gerenciais necessárias para que todas as empresas agreguem valor ao cliente ao longo de todo o processo, desde a fabricação dos materiais até a distribuição e entrega final dos bens e serviços (MARTINS; LAUGENI, 2015, p. 189). Essa abordagem busca integrar os diversos atores da cadeia, proporcionando uma visão abrangente e contínua de todo o processo produtivo, desde a aquisição da matéria-prima até a entrega ao cliente final. A evolução do supply chain culminou na concepção da cadeia logística integrada. a) Relacione as fases de evolução do Supply Chain Management, apresentando suas principais características. b) Descreva, de forma detalhada, o fluxo de informação da Logística Integrada. c) Quais estratégias as empresas podem adotar para integrar de forma eficaz a tecnologia da informação na cadeia logística?

Boas práticas de programação com Object Calisthenics

Danilo Pinotti

ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx

No mundo digital atual, a informação é considerada uma das principais matérias-primas para o desenvolvimento econômico e social. Com a evolução tecnológica e a disseminação da internet, a quantidade de dados gerados e disponíveis diariamente cresce de forma exponencial. Nesse contexto, a gestão da informação assume um papel fundamental para as organizações, uma vez que permite a captação, armazenamento, processamento, análise e disseminação dos dados de forma estruturada e eficiente. Saes, Danillo Xavier. Gestão da Informação. Maringá-Pr.: UniCesumar, 2019. [Unidade I, p. 16 a 28] Para que possamos construir uma reflexão significativa sobre a gestão da informação no mundo organizacional, vamos realizar a presente atividade em 2 momentos. 1. Defina e diferencie: DADO, INFORMAÇÃO e CONHECIMENTO. 2. Faça uma reflexão sobre o uso da informação no contexto organizacional que está inserido na sociedade do conhecimento, destacando qual a relevância do uso das tecnologias digitais como apoio para a gestão da informação.

ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx