25-11-2015
Segurança na nuvem
Consolidação / elasticidade / segurança
Nuvem… Como começou?
1
25-11-2015
Começou em 2003
→ Amazon tinha um problema para resolver.
→ As necessidades de negocio obrigavam a um crescimento de
infra estrutura muito grande com elevados custos operacionais
associados.
→ Tinha de se encontrar uma otimização dos recursos vs capital
investido.
Solução!!
→ Aumentar a infraestrutura para fazer face as necessidades de
negocio e encontrar um método de passar os custos
operacionais para terceiros.
2
25-11-2015
Quais os serviços oferecidos?
→ Software as a Service
 E.g.: Outlook, Salesforce
→ Platform as a Service
 E.g.: Microsoft Azure
→ Infrastructure as a Service
 E.g.: Amazon web Services
Matriz de responsabilidades
SaaS
6 - Aplicações
5 - Suporte a aplicações
PaaS
IaaS
5 - Suporte a aplicações
2 - Virtualização
4 - Serviços Básicos
4 - Serviços Básicos
3 - Sistema operativo
3 - Sistema operativo
2 - Virtualização
1 - Centro de Dados
2 - Virtualização
1 - Centro de Dados
1 - Centro de Dados
3
25-11-2015
Principal requisito de Segurança?
→ Confiança
→ Todos estes serviços estão dependentes de uma relação de
confiança entre varias entidades a começar pelo cliente e o
fornecedor de serviços.
Aproximação Holística
Awareness
Classification
Certification
Trust
Policy and
Regulation
Technology
Standards
4
25-11-2015
Ameaças comuns 2010
→ Abuso do Poder de computação
→ Interfaces inseguros e API
→ Funcionários Maliciosos
→ Problema de Partilha de tecnologias.
→ Perda / fuga de informação
→ Roubo de contas ou serviços
→ (Dados da Cloud Security Alliance –
www.cloudsecurityalliance.org)
Ameacas comuns 2013
→ Fuga de dados
→ Perda de dados
→ Roubo de credenciais
→ Aplicações inseguras
→ Negação de Serviço
→ Funcionários Maliciosos
→ Abuso dos Serviços
→ Insuficiente “due diligence”
→ Problemas de partilha de tecnologia
→ Dados da cloud Security Alliance
(www.cloudsecurityaliance.org)
5
25-11-2015
Controlos para mitigar os Riscos Anteriores
1.
2.
3.
4.
5.
6.
7.
8.
Data Governance
Segurança de Informação
Arquitetura de Segurança
Gestão de Operações
Compliance
Recursos Humanos
Gestão de Risco
Resiliência
Data Governance
1.
Data Governance
1.
2.
3.
4.
5.
6.
7.
8.
9.
Politicas de retenção
Destruição segura dos dados
Non-Production Data
Fugas de informação
Analise de Risco
Ownership Stewardship
Manuseamento de dados
Classificação de dados
Politicas de Segurança
6
25-11-2015
Segurança de Informação
1.
Segurança de Informação
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
Cifra de dados
Gestão das chaves de cifra.
Gestão de incidentes
Revisão de acessos de utilizadores
Revogação de acessos.
Restrição / Autorização de acessos.
Politicas de acessos.
Configurações mínimas (Base Line Requirements)
“Policy Enforcement”
Atribuição de papéis e responsabilidades (Roles / Responsibilities)
Segregação de tarefas
Ferramentas de auditoria e acessos.
Politicas de Utilização aceitável.
Preparação legal para resposta a incidentes
Conhecimento das normas da industria
Security Architecture
1.
Arquitetura de Segurança
1.
2.
3.
4.
5.
6.
7.
Credenciais de utilizadores
Integridade e segurança dos dados
Ambientes de produção e não produção.
Autenticação com mais de um factor
Detecção de intrusões / Auditar registos
Segurança da aplicação
Segmentação / isolamento
7
25-11-2015
Gestão de Operações
1.
Gestão de Operações
1.
2.
Planeamento de capacidade
Automatização
Compliance / Recursos Humanos
1.
Compliance
1.
2.
Auditoria por terceiros
Recursos Humanos
1.
Verificação dos recursos
8
25-11-2015
Gestão de Risco / Resiliência
1.
Gestão de Riscos
1.
2.
2.
Auditoria
Implementar um programa de gestão de riscos.
Resiliência
1.
2.
3.
Programa de gestão
Analise de impacto
Continuidade de Negocio.
Como Proteger?
→ Cifrar os dados em transito sempre que possível.
 Cisco Next Generation Encription
→ Cifrar storage.
 Cisco Storage Media Encription (SME)
→ Garantir que o nosso provedor tem um sistema de “Degauss”
para destruir o conteúdo dos discos.
→ Garantir que a entidade que fornece suporte à storage tem
politicas de destruição de dados idênticas ou mais restritas do
que necessitamos.
→ Cifrar dados na base de dados
→ Identificar os possíveis fluxos de informação na rede.
→ Identificar quem tem acesso a manutenção e leitura dos dados
com base na sua classificação.
→ Criar politicas de segurança fortes e de acordo com o que
queremos proteger.
9
25-11-2015
Proteger os nossos dados do provedor
→ Estão os dados protegidos do provedor de serviços?
→ “Holy grail of cloud security”– homomorphic encryption. (PHE
ou FHE) – não tem aplicação pratica ainda…
→ Realidade: temos de confiar no provedor
→ Dropbox - https://www.dropbox.com/help/27
“Os funcionários do Dropbox são proibidos de acessar o conteúdo dos arquivos que você armazena na sua conta. Os nossos
funcionários podem acessar metadados de arquivos (por exemplo, nomes de arquivos e locais) quando têm um motivo
legítimo para tal, como prestar atendimento técnico. Como a maioria dos serviços on-line, temos alguns funcionários que
precisam ter acesso aos dados dos usuários pelos motivos explicados na nossa Política de privacidade (por exemplo, quando
há uma obrigação legal de fazê-lo). Mas isso é uma rara exceção, não a regra.”
→ “Temos políticas e controles de acesso técnico rigorosos que proíbem o acesso de funcionários, exceto nessas raras
circunstâncias.”
→
→ Possível solução para este caso – “Encryption Gateway”
→ Problema – Perca de usabilidade ou violação de termos de
utilização.
Gestão da Defesa
→ Manutenção das chaves de cifra / password vaulting /
Priviledge Identity Management / User Management.



Cyberark
Forefront Identity Management
Cisco Identity Services Engine / Trust and Identity Management
Solutions
→ Resposta a incidentes eficiente equipa treinada e
multidisciplinar para primeira intervenção.
→ Implementar no mínimo 2 factores de autenticação.


RSA
Nordic edge
→ Boa solução de SIEM / Concentrador de Logs
 Splunk, Logrhythm
10
25-11-2015
Integridade
→ Implementar solução de “File Integrity Management”
 Tripwire
 Logrhythm
→ Implementar melhores praticas no desenvolvimento das
aplicações.
→ Cisco Integrity Verification Services
 Validam a integridade do hardware e software cisco.
Segmentação / Isolamento
→ Implementação de Firewall física ou Virtuais
 Cisco ASA / ASAv, Virtual Security Gateway
→ Implementação de IPDS
 Cisco NGIPSv / NGIPS / Snort / Sourcefire
→ Cisco Trustsec Software defined Segmentation
→ VRF – Virtual Routing and Forwarding
→ Validação das regras se estão em acordo com as politicas e
não quebram o isolamento dos clientes.

Algosec
11
25-11-2015
Negacão de Serviço
→ Implementação das melhores praticas
→ Planeamento de capacidade
→ Redundância
→ Contratação de serviços de terceiros para ajudar a mitigar
problema. (Volumétrico)
→ Web Application Firewall (Aplicacional Layer7)
→ Implementar solução híbrida (não requer partilha de chaves
privadas)




Imperva
Akamai
Cloudflare
Radware
Automação
→ Criar definições mínimas para melhor controlo do software a
ser instalado.
→ Utilizar apenas o necessário e documentar
→ Utilizar as melhores praticas para estas definições mínimas.
→ Documentar
→ Garantir que todos os clientes apenas partilham a infra
estrutura física e não virtual.
→ Todos devem ter as mesmas politicas de segurança
implementadas
→ Gestão centralizada da automação e gestão de recursos

Cisco UCS Director
12
25-11-2015
Então e a nuvem?
→ Não existe grande diferença entre a segurança na nuvem e
fora da nuvem.
→ Principais diferenças estão nos seguintes tópicos:
1.
2.
3.
4.
5.
Confiança
Automação
Isolamento de cada cliente
Recuperação de um desastre.(lado do cliente)
Custos
Confiança
→ O mais importante passo em qualquer negocio da nuvem.
→ Estabelecer uma relação de confiança forte entre o provedor
de serviço e o cliente.
→ Muito difícil para muitas empresas.
13
25-11-2015
Automação
→ Qualquer nuvem necessita de ter um provisionamento de infra
estrutura automático e eficiente.
→ A automação tem de ter capacidade para provisionar os serviços
utilizando as definições mínimas de segurança correspondentes as
politicas do provedor de serviços / termos de utilização.
→ Requisitos obrigatórios de segurança são forçados e validados nesta
fase.
→ Qualquer alteração no ambiente (elasticidade) tem de passar pela
automação para garantir que cumpre todas as regras e que não foge
as normas
→ Gestão de Capacidade e Planeamento de Carga com base no que o
cliente pede / necessita
Recuperação de um Desastre
→ Não existe diferença do planos normais de desastre excepto no lado
do cliente
→ Serviços são vendidos quase como sendo a prova de tudo...
→ E se o provedor de serviços abre falência e nos deixamos de
conseguir aceder aos dados?
→ Como recuperar tudo nessas condições?
→ Como evitar o “Vendor Lock in”
14
25-11-2015
Custos
→ Cliente tem Visibilidade quase instantânea dos custos das suas atividades...
→ Podem escalar rapidamente se não tiverem tectos
→ Se tiverem tectos podem causar uma negação de serviço...
→ Provedor tem de garantir que o sistema é robusto e que custos de um cliente
não pode ser imputados a outro.
Isolamento
→ Provedor de Serviço tem de garantir que qualquer alteração num cliente
não afecta os outros clientes.
→ Ao mesmo tempo tem de permitir o cliente usufruir de todos os serviços
ao máximo.
→ Complicada de obter quando o cliente tem requisitos específicos e não
quer usufruir dos “standards existentes”





Virtual Device Contexts
Virtual Routing and Forward
Virtual Port Channels
Overlay Transport Virtualization
EoMPLS
→ Desafios decorrentes da consolidação (wire once and walk away)
 Virtual networks
 Data Center Bridging
→ Garantir a Separação do Controle dos dados

openflow
15
25-11-2015
Referências
→ Definições mínimas de segurança
 https://benchmarks.cisecurity.org/downloads/benchmarks/
→ Cisco UCS Director
 http://www.cisco.com/c/en/us/support/servers-unifiedcomputing/ucs-director-5-4/model.html
→ Next Generation Firewall
 http://www.cisco.com/c/en/us/products/security/asafirepower-services/index.html
→ Servers Unified Computing
 http://www.cisco.com/c/en/us/products/servers-unifiedcomputing/index.html
→ Next Generation IPDS
 http://www.cisco.com/c/en/us/products/security/ngips/index.h
tml
→ www.cloudsecurityaliance.org
Formação
→ 300-504 CLDINF
→
→
→
→
→
→
→
→
→
→
→
→
→
Implementing and Troubleshooting the Cisco Cloud
Infrastructure (CLDINF)
300-505 CLDDES
Designing the Cisco Cloud (CLDDES)
300-506 CLDAUT
Automating the Cisco Enterprise Cloud (CLDAUT)
300-507 CLDACI
Building the Cisco Cloud with Application Centric
Infrastructure (CLDACI)
210-451 CLDFND
Understanding Cisco Cloud Fundamentals (CLDFND)
210-455 CLDADM
Introducing Cisco Cloud Administration (CLDADM)
640-911 DCICN Introducing Cisco Data Center Networking (DCICN)
640-916 DCICT Introducing Cisco Data Center Technologies (DCICT)
642-999 DCUCI Implementing Cisco Data Center Unified Computing
(DCUCI)
642-997 DCUFI Implementing Cisco Data Center Unified Fabric (DCUFI)
642-998 DCUCD Designing Cisco Data Center Unified Computing (DCUCD)
642-996 DCUFD Designing Cisco Data Center Unified Fabric (DCUFD)
642-035 DCUCT Troubleshooting Cisco Data Center Unified Computing
(DCUCT)
642-980 DCUFT Troubleshooting Cisco Data Center Unified Fabric (DCUFT)
16
25-11-2015
17
25-11-2015
18