Aula 6 - Segurança em Nuvem_parte2

Prévia do material em texto

Segurança na Nuvem
aspectos de segurança em cloud computing
Prof. Alysson Ramirez
(Aula passada falamos sobre...)
Segurança em um provedor cloud
- Gerenciamento de Identidade
- Segurança física
- Segurança de pessoal
- Privacidade
- Virtualização
Controles de segurança
- Impeditivos
- Preventivos
- Investigativos
- Corretivos
Controles de segurança
- Controles Impeditivos
- Desestimulam ou retardam ataques à infraestrutura
em nuvem.
- Controles Preventivos
- Fortalecem o sistema contra incidentes,
geralmente reduzindo ou eliminando por
completo uma vulnerabilidade.
Controles de segurança
- Controles Corretivos
- Visam diminuir o impacto causado em um eventual 
incidente
- Controles Preventivos
- Visam detectar e alertar em casos de possíveis incidentes.
Confirmando uma ameaça real deve acionar outros 
controles, preventivos ou corretivos.
Riscos de Segurança
- Definição
- Classificação
Classificação do risco
- Local
- interno ou externo
- Motivação
- proposital, acidental
- Agente
- humano, tecnológico ou 
força-maior
ISSS - Informations Security Society Switzerland - Threat Modeling in Security Architecture -- The Nature of Threats 
(https://www.isss.ch/fileadmin/publ/agsa/ISSS-AG-Security-Architecture Threat-Modeling_Lukas-Ruf.pdf)
https://www.isss.ch/fileadmin/publ/agsa/ISSS-AG-Security-Architecture__Threat-Modeling_Lukas-Ruf.pdf
Classificação de risco
- Local
- Interno: a ameaça tem origens em partes confiáveis
do sistema. Ex: ex-funcionário, servidor interno.
- Externo: a ameaça é externa à infraestrutura.
- Motivação
- Proposital: quando existe intenção de gerar dano à
organização (direta ou indiretamente);
- Acidental: quando não existe intenção de dolo.
Classificação de risco
- Agente
- Humano: para todos os cenários resultantes de
decisão humana.
- Tecnológico: para casos onde ocorra falhas
devido a degradação química ou física de
equipamentos.
- Força-maior: fenômenos da natureza, catástrofes e
outros eventos que ponham em risco a vida.
12 maiores riscos de segurança na nuvem*
1- Violações de dados 2- Senhas fracas, políticas
de gerenciamento de
credenciais e acesso
insuficientes
3- APIs e interfaces de
usuário inseguras
4- Vulnerabilidades de
Sistemas e Aplicações
5- Seqüestro de conta 6- Agentes maliciosos internos
7- Ameaças
Persistentes
Avançadas (APTs)
8- Perda de dados 9- Diligência insuficiente
10- Abuso e uso nefasto
de serviços em nuvem
11- Negação de Serviço 12- Vulnerabilidade de
tecnologia
compartilhada
DREAD
- Dano em Potencial
- Reproducibilidade
- Explorabilidade
- Alcance de usuários
- Detectabilidade
Compliance
- Padrão de indústria que certifica um sistema como
seguro, Ex: ISO 27001, SOC 1,2,3 e PCI DSS.
CASB's
- Agentes de monitoramento de acesso à nuvem são
software ou serviços que asseguram que uma
infraestrutura está conforme um ou mais padrão de
compliance. Ex. Cloudlock, CipherCloud, Skyhigh
Compliance & CASB's Cloud Access Security Brokers
PCI DSS - Payment Card Industry Data Security Standard
É um padrão, cuja primeira versão lançada em 2004, uniu os
esforços de cinco bandeiras de cartão ( Visa, Mastercard, Amex,
Discover, JCB) de assegurar que os lojistas protejam as
informações dos portadores cartão de crédito e seguiam um
conjunto de melhorespráticas.
Possui quatro níveis ( 4 sendo o menos restrito )que dependem da 
quantidade de transações e histórico do lojista.
https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2.pdf
https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2.pdf
PCI DSS - Payment Card Industry Data Security Standard
https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2.pdf
Construir e manter a
segurança de rede e
sistemas
1.Instalar e manter uma configuração de firewall 
para proteger os dados do titular do cartão
Implementar medidas 
rigorosas de controle 
de acesso
7. Restringir o acesso aos dados do titular do 
cartão de acordo com a necessidade de 
conhecimento para onegócio
2. Não usar padrões disponibilizados pelo 
fornecedor para senhas do sistema e outros 
parâmetros de segurança
8. Identificar e autenticar o acesso aos 
componentes do sistema
Proteger os dados 
do titular docartão
3. Proteger os dados armazenados do titular do 
cartão
9. Restringir o acesso físico aos dados do 
titular do cartão
4. Criptografar a transmissão dos dados do titular 
do cartão em redes abertas e públicas
Monitorar etestar as 
redes regularmente
10. Acompanhar e monitorar todos os acessos 
com relação aos recursos da rede e aos dados 
do titular do cartão
Manter um 
programa de 
gerenciamento de 
vulnerabilidades
5. Proteger todos os sistemas contra malware e 
atualizar regularmente programas ou software 
antivírus
11. Testar regularmente os sistemas e 
processos de segurança
6. Desenvolver e manter sistemas e aplicativos 
seguros
Manter uma política de 
segurança de 
informações
12. Manter uma política que aborde a 
segurança da informação para todas as 
equipes
https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2.pdf
Referências
https://github.com/cloudsecurityalliance/CSA-Guidance 
https://chapters.cloudsecurityalliance.org/brazil/files/2017/02/Guia-CSA-v-3.0.1-PT-B 
R-Final.pdf
https://aws.amazon.com/pt/compliance/
https://www.microsoft.com/en-us/trustcenter/compliance/complianceofferings
http://www.opensecurityarchitecture.org/ 
https://www.owasp.org/
https://cve.mitre.org/ 
http://seclists.org/bugtraq/
PCI DSS Compliance For Dummies®,
WhiteHat Security Special Edition, Susan Cook, 2016 
https://www.whitehatsec.com/resources/pci-dss-compliance-for-dummies-2/ 
https://www.pcicomplianceguide.org/
https://github.com/cloudsecurityalliance/CSA-Guidance
https://chapters.cloudsecurityalliance.org/brazil/files/2017/02/Guia-CSA-v-3.0.1-PT-BR-Final.pdf
https://chapters.cloudsecurityalliance.org/brazil/files/2017/02/Guia-CSA-v-3.0.1-PT-BR-Final.pdf
https://aws.amazon.com/pt/compliance/
https://www.microsoft.com/en-us/trustcenter/compliance/complianceofferings
http://www.opensecurityarchitecture.org/
https://www.owasp.org/
https://cve.mitre.org/
http://seclists.org/bugtraq/
https://www.whitehatsec.com/resources/pci-dss-compliance-for-dummies-2/
https://www.pcicomplianceguide.org/