Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança na Nuvem aspectos de segurança em cloud computing Prof. Alysson Ramirez (Aula passada falamos sobre...) Segurança em um provedor cloud - Gerenciamento de Identidade - Segurança física - Segurança de pessoal - Privacidade - Virtualização Controles de segurança - Impeditivos - Preventivos - Investigativos - Corretivos Controles de segurança - Controles Impeditivos - Desestimulam ou retardam ataques à infraestrutura em nuvem. - Controles Preventivos - Fortalecem o sistema contra incidentes, geralmente reduzindo ou eliminando por completo uma vulnerabilidade. Controles de segurança - Controles Corretivos - Visam diminuir o impacto causado em um eventual incidente - Controles Preventivos - Visam detectar e alertar em casos de possíveis incidentes. Confirmando uma ameaça real deve acionar outros controles, preventivos ou corretivos. Riscos de Segurança - Definição - Classificação Classificação do risco - Local - interno ou externo - Motivação - proposital, acidental - Agente - humano, tecnológico ou força-maior ISSS - Informations Security Society Switzerland - Threat Modeling in Security Architecture -- The Nature of Threats (https://www.isss.ch/fileadmin/publ/agsa/ISSS-AG-Security-Architecture Threat-Modeling_Lukas-Ruf.pdf) https://www.isss.ch/fileadmin/publ/agsa/ISSS-AG-Security-Architecture__Threat-Modeling_Lukas-Ruf.pdf Classificação de risco - Local - Interno: a ameaça tem origens em partes confiáveis do sistema. Ex: ex-funcionário, servidor interno. - Externo: a ameaça é externa à infraestrutura. - Motivação - Proposital: quando existe intenção de gerar dano à organização (direta ou indiretamente); - Acidental: quando não existe intenção de dolo. Classificação de risco - Agente - Humano: para todos os cenários resultantes de decisão humana. - Tecnológico: para casos onde ocorra falhas devido a degradação química ou física de equipamentos. - Força-maior: fenômenos da natureza, catástrofes e outros eventos que ponham em risco a vida. 12 maiores riscos de segurança na nuvem* 1- Violações de dados 2- Senhas fracas, políticas de gerenciamento de credenciais e acesso insuficientes 3- APIs e interfaces de usuário inseguras 4- Vulnerabilidades de Sistemas e Aplicações 5- Seqüestro de conta 6- Agentes maliciosos internos 7- Ameaças Persistentes Avançadas (APTs) 8- Perda de dados 9- Diligência insuficiente 10- Abuso e uso nefasto de serviços em nuvem 11- Negação de Serviço 12- Vulnerabilidade de tecnologia compartilhada DREAD - Dano em Potencial - Reproducibilidade - Explorabilidade - Alcance de usuários - Detectabilidade Compliance - Padrão de indústria que certifica um sistema como seguro, Ex: ISO 27001, SOC 1,2,3 e PCI DSS. CASB's - Agentes de monitoramento de acesso à nuvem são software ou serviços que asseguram que uma infraestrutura está conforme um ou mais padrão de compliance. Ex. Cloudlock, CipherCloud, Skyhigh Compliance & CASB's Cloud Access Security Brokers PCI DSS - Payment Card Industry Data Security Standard É um padrão, cuja primeira versão lançada em 2004, uniu os esforços de cinco bandeiras de cartão ( Visa, Mastercard, Amex, Discover, JCB) de assegurar que os lojistas protejam as informações dos portadores cartão de crédito e seguiam um conjunto de melhorespráticas. Possui quatro níveis ( 4 sendo o menos restrito )que dependem da quantidade de transações e histórico do lojista. https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2.pdf https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2.pdf PCI DSS - Payment Card Industry Data Security Standard https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2.pdf Construir e manter a segurança de rede e sistemas 1.Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão Implementar medidas rigorosas de controle de acesso 7. Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para onegócio 2. Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança 8. Identificar e autenticar o acesso aos componentes do sistema Proteger os dados do titular docartão 3. Proteger os dados armazenados do titular do cartão 9. Restringir o acesso físico aos dados do titular do cartão 4. Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas Monitorar etestar as redes regularmente 10. Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão Manter um programa de gerenciamento de vulnerabilidades 5. Proteger todos os sistemas contra malware e atualizar regularmente programas ou software antivírus 11. Testar regularmente os sistemas e processos de segurança 6. Desenvolver e manter sistemas e aplicativos seguros Manter uma política de segurança de informações 12. Manter uma política que aborde a segurança da informação para todas as equipes https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2.pdf Referências https://github.com/cloudsecurityalliance/CSA-Guidance https://chapters.cloudsecurityalliance.org/brazil/files/2017/02/Guia-CSA-v-3.0.1-PT-B R-Final.pdf https://aws.amazon.com/pt/compliance/ https://www.microsoft.com/en-us/trustcenter/compliance/complianceofferings http://www.opensecurityarchitecture.org/ https://www.owasp.org/ https://cve.mitre.org/ http://seclists.org/bugtraq/ PCI DSS Compliance For Dummies®, WhiteHat Security Special Edition, Susan Cook, 2016 https://www.whitehatsec.com/resources/pci-dss-compliance-for-dummies-2/ https://www.pcicomplianceguide.org/ https://github.com/cloudsecurityalliance/CSA-Guidance https://chapters.cloudsecurityalliance.org/brazil/files/2017/02/Guia-CSA-v-3.0.1-PT-BR-Final.pdf https://chapters.cloudsecurityalliance.org/brazil/files/2017/02/Guia-CSA-v-3.0.1-PT-BR-Final.pdf https://aws.amazon.com/pt/compliance/ https://www.microsoft.com/en-us/trustcenter/compliance/complianceofferings http://www.opensecurityarchitecture.org/ https://www.owasp.org/ https://cve.mitre.org/ http://seclists.org/bugtraq/ https://www.whitehatsec.com/resources/pci-dss-compliance-for-dummies-2/ https://www.pcicomplianceguide.org/
Compartilhar