Baixe o app para aproveitar ainda mais
Prévia do material em texto
Guia de SegurançaGuia de Segurança parapara Áreas Críticas Focado Áreas Críticas Focado emem Computação em Nuvem V2.1Computação em Nuvem V2.1 Preparado porPreparado por Cloud Security AllianceCloud Security Alliance Dezembro 2009Dezembro 2009 Traduzido porTraduzido por Cloud Security Alliance – Brazilian ChapterCloud Security Alliance – Brazilian Chapter Junho 2010Junho 2010 Guia de Segurança para Áreas Críticas Focado emGuia de Segurança para Áreas Críticas Focado em Computação em Nuvem V2.1Computação em Nuvem V2.1 Copyright Copyright © © 2009 2009 Cloud Cloud Security Security Alliance Alliance 33 IntroduçãoIntrodução O guia aqui fornecidoO guia aqui fornecido é a segunda versão do documento daé a segunda versão do documento da Cloud Security AllianceCloud Security Alliance,, “Guia de Segurança para Áreas Críticas Focado em Computação em Nuvem”“Guia de Segurança para Áreas Críticas Focado em Computação em Nuvem” (“(“Security Guidance for Critical Areas of Focus in Cloud ComputingSecurity Guidance for Critical Areas of Focus in Cloud Computing ”), o qual foi”), o qual foi originalmente lançado em Abril de 2009.originalmente lançado em Abril de 2009. Os locais de armazenamento para estesOs locais de armazenamento para estes documentos são:documentos são: http://www.cloudsecurityalliance.org/guidance/csaguide.v2.1.pdf http://www.cloudsecurityalliance.org/guidance/csaguide.v2.1.pdf (Versão (Versão em em inglêsinglês deste documento)deste documento) http://www.cloudsecurityalliance.org/guidance/csaguide.v1.0.pdf (Versão 1)http://www.cloudsecurityalliance.org/guidance/csaguide.v1.0.pdf (Versão 1) Partindo da primeira versão do nosso guia, foi tomada a decisão de separar o guiaPartindo da primeira versão do nosso guia, foi tomada a decisão de separar o guia básico dos básico dos domínios domínios principais principais de de pesquisa. pesquisa. Cada Cada domínio domínio de de pesquisa pesquisa está está sendosendo lançado em seu própriolançado em seu próprio white paper white paper . Estes. Estes white paperswhite papers e uas agendasde lançamentoe uas agendasde lançamento estão hospedadas em:estão hospedadas em: http://www.cloudsecurityalliance.org/guidance/domains/http://www.cloudsecurityalliance.org/guidance/domains/ Em outra mudança da nossa primeira versão, oEm outra mudança da nossa primeira versão, o Domínio 3: LegislaçãoDomínio 3: Legislação e e oo DomínioDomínio 4:4: Eletronic Eletronic DiscoveryDiscovery foram combinados em um único. Adicionalmente, o foram combinados em um único. Adicionalmente, o Domínio 6:Domínio 6: Gerenciamento do Ciclo de Vida da InformaçãoGerenciamento do Ciclo de Vida da Informação e e oo Domínio 14: ArmazenamentoDomínio 14: Armazenamento foram combinados em um único domínio, renomeado para Gerenciamento do Ciclo deforam combinados em um único domínio, renomeado para Gerenciamento do Ciclo de Vida de Dados. Vida de Dados. Isto causou uma Isto causou uma reordenação de domínios (13 na nreordenação de domínios (13 na nova versão).ova versão). © 2009 Cloud Security Alliance. Todos os direitos reservados.© 2009 Cloud Security Alliance. Todos os direitos reservados. Você pode baixar, armazenar, exibir no seu computador, visualizar, imprimirVocê pode baixar, armazenar, exibir no seu computador, visualizar, imprimir e referenciar ao Guia dae referenciar ao Guia da Cloud Security AllianceCloud Security Alliance emem www.cloudsecurityalliance.org/guidance/csaguide.v2.1.pdf desde que: (a) o guia sejawww.cloudsecurityalliance.org/guidance/csaguide.v2.1.pdf desde que: (a) o guia seja usado exclusivamente para fim pessoal e não comercial; (b) o guia não seja modificadousado exclusivamente para fim pessoal e não comercial; (b) o guia não seja modificado ou ou alterado alterado de de qualquer qualquer maneira; maneira; (c) (c) o o guia guia não não seja seja redistribuído; redistribuído; e e (d) (d) a a marcamarca registrada,registrada, copyright copyright ou outros avisos não sejam removidos.ou outros avisos não sejam removidos. Você pode citar partes doVocê pode citar partes do guia guia conforme conforme permitido permitido pelapela Fair Use provisions of the United States CopyrightFair Use provisions of the United States Copyright Act Act , desde que você atribua ao Guia da, desde que você atribua ao Guia da Cloud Security AllianceCloud Security Alliance Versão 2.1 (2009).Versão 2.1 (2009). Guia de Segurança para Áreas Críticas Focado emGuia de Segurança para Áreas Críticas Focado em Computação em Nuvem V2.1Computação em Nuvem V2.1 Copyright Copyright © © 2009 2009 Cloud Cloud Security Security Alliance Alliance 44 SumárioSumário IntroduçãoIntrodução ..................................................................................................................... ..................................................................................................................... 33 PrefácioPrefácio .......................................................................................................................... 5 .......................................................................................................................... 5 Carta dos EditoresCarta dos Editores ......................................................................................................... 9 ......................................................................................................... 9 Nota Editorial Sobre Risco: Decidindo O Que, Quando e Como Mover Para aNota Editorial Sobre Risco: Decidindo O Que, Quando e Como Mover Para a NuvemNuvem .......................................................................................................................... 11 .......................................................................................................................... 11 Seção I. Arquitetura da NuvemSeção I. Arquitetura da Nuvem .................................................................................. 1.................................................................................. 144 Domínio 1: Framework da Arquitetura de Computação em Nuvem ........................... 15Domínio 1: Framework da Arquitetura de Computação em Nuvem ........................... 15 Seção II. Governança na NuvemSeção II. Governança na Nuvem ................................................................................. 33 ................................................................................. 33 Domínio 2: Governança e Gestão de Risco Corporativo............................................. 34Domínio 2: Governança e Gestão de Risco Corporativo............................................. 34 Domínio 3: Aspectos Legais eDomínio 3: Aspectos Legais e Electronic Discovery Electronic Discovery .................................................. 39 .................................................. 39 DomíDomínio nio 4: 4: ConformConformidadidade e e e AudiAuditoria toria ....................................................................... 4....................................................................... 411 Domínio 5: Gerenciamento do Ciclo de Vida das Informações .................................. 44Domínio 5: Gerenciamento do Ciclo de Vida das Informações .................................. 44 DomíDomínio nio 6: 6: PortabiPortabilidlidade ade e e InteroperabInteroperabililidade ........................................................... idade ........................................................... 5050 Seção III. Operando na NuvemSeção III. Operando na Nuvem ................................................................................... 53................................................................................... 53 Domínio 7: Segurança Tradicional, Continuidade de Negócios e Recuperação deDomínio 7: Segurança Tradicional, Continuidade de Negócios e Recuperação de DesasDesastres tres ...................................................................................................................54................................................................................................................... 54 Domínio 8: Operações eDomínio 8: Operações e Data center Data center ......................................................................... 56 ......................................................................... 56 Domínio 9: Resposta a Incidente, Notificação e Remediação ..................................... 59Domínio 9: Resposta a Incidente, Notificação e Remediação ..................................... 59 DomíDomínio nio 10: 10: SeguranSegurança ça de de ApliAplicações cações ....................................................................... 6....................................................................... 622 Domínio 11: Criptografia e Gerenciamento de Chaves............................................... 65Domínio 11: Criptografia e Gerenciamento de Chaves............................................... 65 Domínio 12: Gerenciamento de Identidade e Acesso. ................................................ 68Domínio 12: Gerenciamento de Identidade e Acesso. ................................................ 68 DomíDomínio nio 13 13 - - ViVirtualirtualização zação ....................................................................................... ....................................................................................... 7373 ReferenciasReferencias .................................................................................................................. .................................................................................................................. 7575 Prefácio Bem vindo à segunda versão do “Guia de Segurança para Áreas Critícas Focado em Computação em Nuvem” da Cloud Security Alliance. Como a marcha da Cloud Security Alliance continua, temos novas oportunidades e novos desafios de segurança. Nós humildemente esperamos fornecer a vocês instruções e inspiração para suportar as necessidades do seu negócio enquanto gerenciam novos riscos. Embora a Cloud Security Alliance seja mais conhecida por este guia, ao longo dos próximos meses você verá uma ampla variedade de atividades, incluíndo capítulos internacionais, parcerias, novas pesquisas e atividades orientadas a promover nossa missão. Você pode acompanhar nossas atividades em www.cloudsecurityalliance.org. O caminho para proteger a Computação em Nuvem é de fato longo e exige a participação de um amplo conjunto de interessados e uma base global. Entretanto, devemos orgulhosamente reconhecer o progresso que estamos vendo: novas soluções de segurança na nuvem estão aparecendo regularmente, organizações estão utilizando nosso guia para contratar provedores de serviços de nuvem e uma discussão saudável sobre conformidade e questões de confiança surgiu pelo mundo. A vitória mais importante que conquistamos é que profissionais de segurança estão vigorosamente engajados em proteger o futuro, mais do que simplesmente proteger o presente. Por favor, continue engajado neste assunto, trabalhando conosco para completarmos essa importante missão. Atenciosamente, Jerry Archer Alan Boehme Dave Cullinane Paul Kurtz Nils Puhlmann Jim Reavis Diretoria Cloud Security Alliance Copyright © 2009 Cloud Security Alliance 6 Agradecimentos Editores Glenn Brunette Rich Mogull Colaboradores Adrian Seccombe Alex Hutton Alexander Meisel Alexander Windel Anish Mohammed Anthony Licciardi Anton Chuvakin Aradhna Chetal Arthur J. Hedge III Beau Monday Beth Cohen Bikram Barman Brian O’Higgins Carlo Espiritu Christofer Hoff Colin Watson David Jackson David Lingenfelter David Mortman David Sherry David Tyson Dennis Hurst Don Blumenthal Dov Yoran Erick Dahan Erik Peterson Ernie Hayden Francoise Gilbert Geir Arild Engh-Hellesvik Georg Hess Gerhard Eschelbeck Girish Bhat Glenn Brunette Greg Kane Greg Tipps Hadass Harel James Tiller Jean Pawluk Jeff Reich Jeff Spivey Jeffrey Ritter Jens Laundrup Jesus Luna Garcia Jim Arlen Jim Hietala Joe Cupano Joe McDonald Joe Stein Joe Wallace Joel Weise John Arnold Jon Callas Joseph Stein Justin Foster Kathleen Lossau Karen Worstell Lee Newcombe Luis Morales M S Prasad Michael Johnson Michael Reiter Michael Sutton Mike Kavis Nadeem Bukhari Pam Fusco Patrick Sullivan Peter Gregory Peter McLaughlin Philip Cox Ralph Broom Randolph Barr Rich Mogull Richard Austin Richard Zhao Sarabjeet Chugh Scott Giordano Scott Matsumoto Scott Morrison Sean Catlett Sergio Loureiro Copyright © 2009 Cloud Security Alliance 7 Shail Khiyara Shawn Chaput Sitaraman Lakshminarayanan Srijith K. Nair Subra Kumaraswamy Tajeshwar Singh Tanya Forsheit Vern Williams Warren Axelrod Wayne Pauley Werner Streitberger Wing Ko Yvonne Wilson Agradecimentos da versão Brasileira Diretoria Cloud Security Alliance – Brazilian Chapter Leonardo Goldim Jordan M. Bonagura Anchises Moraes Olympio Rennó Ribeiro Jr Jaime Orts Y Lugo Editores Hernan Armbruster Thiago Bordini Colaboradores Alessandro Trombini Alexandre Pupo Anchises Moraes Denyson Machado Dino Amaral Eder Alvares Pereira de Souza Filipe Villar Gabriel Negreira Barbosa Gilberto Sudré Guilherme Bitencourt Guilherme Ostrock Hernan Armbruster Jaime Orts Y Lugo Jimmy Cury Jordan M. Bonagura Julio Graziano Pontes Leonardo Goldim Luís Felipe Féres Santos Marcelo Carvalho Marcelo Pinheiro Masaishi Yoshikawa Miguel Macedo Milton Ferreira Nelson Novaes Neto Olympio Rennó Ribeiro Jr Rafael B. Brinhosa Raphael Sanches Reginaldo Sarraf Ricardo Makino Roney Médice Uélinton Santos Copyright © 2009 Cloud Security Alliance 20 que as soluções sem perímetros definidos em cada um dos quatro modelos. Também deve ser feita uma cuidadosa consideração à escolha entre as soluções proprietárias ou abertas pelos mesmos motivos. Multilocatário Embora esta não seja uma característica essencial da Computação em Nuvem no modelo do NIST , a CSA identificou a multilocação como um elemento importante da nuvem. A multilocação de serviços de nuvem implica na necessidade de forçar a aplicação de políticas, segmentação, isolamento, governança, níveis de serviço e modelos de cobrança retroativa/faturamento aplicados a diferentes grupos de consumidores. Os consumidores poderão utilizar serviços oferecidos por fornecedores de serviços de nuvem pública ou na verdade fazerem parte da mesma organização, como no caso de unidades de negócios diferentes, em vez de diferentes entidades organizacionais, mas ainda assim iriam compartilhar a infraestrutura. Figura 2 - Multilocatário Do ponto de vista de um provedor, a multilocação sugere uma abordagem de design e arquitetura que permita economia de escala, disponibilidade, gestão, segmentação, isolamento e eficiência operacional, aproveitando o compartilhamento da infraestrutura, dos dados, metadados, serviços e das aplicações através de muitos consumidores diferentes. A multilocação também pode ter definições diferentes, dependendo do modelo de serviço de nuvem do provedor, na medida em que pode implicar na viabilidade das capacidades descritas acima nos níveis da infraestrutura, do banco de dados, ou da aplicação. Um exemplo seria a diferença entre a implantação de uma aplicação multilocação em SaaS e IaaS. Modelos de implantação de nuvem têm importância diferenciada em multilocação. No entanto, mesmo no caso de uma nuvem privada, uma única organização pode ter um grande número de consultores e contratados terceirizados, bem como um desejo de um elevado grau de separação lógica entre as unidades de negócio. Assim, as preocupações da multilocação devem ser sempre consideradas. Copyright © 2009 Cloud Security Alliance 21 Modelos de Referência de Nuvem Entender as relações e dependências entre os modelos de Computação em Nuvem é fundamental para compreender os riscos de segurança. IaaS é o fundamento de todos os serviços de nuvem, com o PaaS sendo construído com base na IaaS, e SaaS por sua vez, sendo construído baseado no PaaS, como descrito no diagrama do Modelo de Referência de Nuvem. Desta forma,assim como as capacidades são herdadas, também são herdadas as questões de segurança da informação e o risco. É importante notar que provedores comerciais de nuvem podem não se encaixar perfeitamente nos modelos de serviços em camadas. No entanto, o modelo de referência é importante para estabelecer uma relação entre os serviços do mundo real e o framework arquitetônico, bem como a compreensão dos recursos e serviços que exigem análise de segurança. A IaaS inclui todos os recursos da pilha de infraestrutura desde as instalações até as plataformas de hardware que nela residem. Ela incorpora a capacidade de abstrair os recursos (ou não), bem como oferecer conectividade física e lógica a esses recursos. Finalmente, a IaaS fornece um conjunto de APIs que permitem a gestão e outras formas de interação com a infraestrutura por parte dos consumidores. A PaaS trabalha em cima da IaaS e acrescenta uma camada adicional de integração com frameworks de desenvolvimento de aplicativos, recursos de middleware e funções como banco de dados, mensagens e filas, o que permite aos desenvolvedores criarem aplicativos para a plataforma cujas linguagens de programação e ferramentas são suportadas pela pilha. O SaaS por sua vez, é construído sobre as pilhas IaaS e PaaS logo abaixo, e fornece um ambiente operacional autocontido usado para entregar todos os recursos do usuário, incluindo o conteúdo, a sua apresentação, a(s) aplicação(ções) e as capacidades de gestão. Consequentemente deve ficar claro que existem importantes compensações de cada modelo em termos das funcionalidades integradas, complexidade versus abertura (extensibilidade), e segurança. As compensações entre os três modelos de implantação da nuvem incluem: Geralmente, o SaaS oferece a funcionalidade mais integrada, construída diretamente baseada na oferta, com a menor extensibilidade do consumidor, e um nível r elativamente elevado de segurança integrada (pelo menos o fornecedor assume a responsabilidade pela segurança). Figura 3 – Modelo de Referência de Nuvem Copyright © 2009 Cloud Security Alliance 22 A PaaS visa permitir que os desenvolvedores criem seus próprios aplicativos em cima da plataforma. Como resultado, ela tende a ser mais extensível que o SaaS, às custas de funcionalidades previamente disponibilizadas aos clientes. Esta troca se estende às características e capacidades de segurança, onde as capacidades embutidas são menos completas, mas há maior flexibilidade para adicionar uma a camada de segurança extra. A IaaS oferece pouca ou nenhuma característica típica de aplicações, mas enorme extensibilidade. Isso geralmente significa menos recursos e funcionalidades integradas de segurança além de proteger a própria infraestrutura. Este modelo requer que os sistemas operacionais, aplicativos e o conteúdo possam ser gerenciados e protegidos pelo consumidor da nuvem. Uma conclusão fundamental sobre a arquitetura de segurança é que quanto mais baixo na pilha o prestador de serviços de nuvem parar, mais recursos de segurança e gestão os consumidores terão a responsabilidade de implementar e gerenciar por si próprios. No caso do SaaS, isso significa que os níveis de serviço, segurança, governança, conformidade, e as expectativas de responsabilidade do prestador de serviço estão estipuladas, gerenciadas e exigidas contratualmente. No caso de PaaS ou IaaS é de responsabilidade dos administradores de sistema do cliente gerenciar eficazmente o mesmo, com alguma compensação esperada pelo fornecedor ao proteger a plataforma e componentes de infraestrutura subjacentes que garantam o básico em termos de disponibilidade e segurança dos serviços. Deve ficar claro em qualquer caso que se pode atribuir / transferir a responsabilidade, mas não necessariamente a responsabilidade final. Estreitando o escopo ou capacidades específicas bem como funcionalidades dentro de cada um dos modelos de ofertas de nuvem, ou empregando o agrupamento funcional dos serviços e recursos entre eles, podemos produzir classificações derivadas. Por exemplo, o “armazenamento como um serviço” (“Storage as a Service”) é uma sub-oferta específica dentro da “família” do IaaS. Apesar de uma ampla revisão do crescente conjunto de soluções de Computação em Nuvem estar fora do escopo deste documento, a taxotomia do OpenCrowd Cloud Solutions na figura abaixo fornece um excelente ponto de partida. A taxonomia OpenCrowd demonstra os crescentes grupos de soluções disponíveis hoje em cada um dos modelos previamente definidos. Note que o CSA não endossa especificamente nenhuma das soluções ou as empresas exibidas abaixo, mas fornece o diagrama para demonstrar a diversidade de ofertas disponíveis hoje. Copyright © 2009 Cloud Security Alliance 23 Figura 4 - Taxonomia OpenCrowd Para uma excelente visão geral dos muitos casos de uso da Computação em Nuvem, o Cloud Computing Use Case Group elaborou um trabalho colaborativo para descrever e definir os casos comuns e demonstrar os benefícios da nuvem, com o objetivo de “... reunir consumidores de nuvem e fornecedores de nuvem para definir os casos de uso frequentes para a Computação em Nuvem... e destacar os recursos e as necessidades que precisam ser padronizados em um ambiente de nuvem para garantir a interoperabilidade, facilidade de integração e portabilidade.” Modelo de Referência de Segurança em Nuvem O modelo de referência de segurança em nuvem aborda as relações entre essas classes e as coloca no contexto das preocupações e controles de segurança relevantes. Para organizações e indivíduos que terão contato com a Computação em Nuvem pela primeira vez, é importante observar os pontos abaixo para evitar potenciais armadilhas e confusões: 1. A forma como os serviços de nuvem são implantados é frequentemente usada de maneira alternada com a idéia de onde eles são fornecidos e isso pode levar a confusões. Ambientes públicos ou privados de Computação em Nuvem, por exemplo, podem ser descritos como nuvens externas ou internas e isso pode não ser correto em todos os casos. 2. A maneira como os serviços de nuvem são consumidos é frequentemente descrita em relação ao perímetro de gestão ou de segurança de uma organização (geralmente definido pela presença de um firewall). Embora seja importante entender onde as fronteiras de Copyright © 2009 Cloud Security Alliance 28 serviço de nuvem que são empregados, os modelos operacionais e as tecnologias usadas para habilitar tais serviços, a Computação em Nuvem pode apresentar riscos diferentes para uma organização quando comparada com as soluções tradicionais de TI. A Computação em Nuvem envolve a lenta perda de controle ao mesmo tempo em que mantemos a responsabilidade, mesmo se a responsabilidade operacional recair sobre um ou mais terceiros. Uma postura de segurança da organização é caracterizada pela maturidade, eficácia e a plenitude dos controles de segurança implementados ajustados aos riscos. Esses controles são aplicados em uma ou mais camadas que vão desde as instalações (segurança física), à infraestrutura de rede (segurança da rede), até os sistemas de TI (segurança de sistemas), até a informação e as aplicações (segurança de aplicações). Além disso, os controles são aplicados nos níveis das pessoas e dos processos, tal como a separação de funções e de gestão de mudanças, respectivamente. Conforme descrito anteriormente neste documento, as responsabilidades de segurança do provedor e do consumidor diferem muito entre os modelos de serviços de nuvem. A oferta de infraestrutura como serviço da Amazon, AWS EC2, por exemplo, inclui a responsabilidade do fornecedor pela segurança até o hypervisor , o que significa que pode incidir apenas sobre os controles de segurança como a segurança física, segurança ambiental e segurança da virtualização. O consumidor, por sua vez, é responsável pelos controles de segurança que se relacionam com o sistema de TI (a instância), incluindo o sistema operacional, aplicativos e dados. O contrário é verdadeiro para aoferta SaaS de gestão de recursos de clientes (customer resource management , ou CRM) da Salesforce.com. Como toda a “pilha” é fornecida pela Salesforce.com, o provedor não é apenas responsável pelos controles de segurança física e ambiental, mas também deve abordar os controles de segurança na infraestrutura, nas aplicações e nos dados. Isso alivia muito da responsabilidade direta do consumidor pela operação. Uma das atrações da Computação em Nuvem é a eficiência de custos proporcionada pelas economias de escala, reutilização e padronização. Para viabilizar estas eficiências, os provedores de serviço de nuvem têm que prestar serviços que sejam flexíveis o suficiente para atender a maior base de clientes possível, maximizando o seu mercado-alvo. Infelizmente, integrar segurança nestas soluções é frequentemente percebido como torná-las mais rígidas. Essa rigidez se manifesta muitas vezes na incapacidade de ganhar a paridade na implantação de controles de segurança em ambientes de nuvem em comparação a TI tradicional. Isso decorre principalmente devido à abstração da infraestrutura e à falta de visibilidade e capacidade para integrar muitos controles familiares de segurança, especialmente na camada de rede. A figura abaixo ilustra estas questões: em ambientes SaaS, os controles de segurança e de seus escopos são negociados em contratos de serviços: os níveis de serviço, privacidade e conformidade são todos assuntos a serem tratados legalmente em contratos. Em uma oferta IaaS, enquanto a responsabilidade de proteger a infraestrutura básica e camadas de abstração pertence ao provedor, o restante da pilha é de responsabilidade do consumidor. PaaS oferece um equilíbrio em algum lugar no meio, onde garantir a própria plataforma cai sobre o provedor, mas a segurança das aplicações desenvolvidas para a plataforma e a tarefa de desenvolvê-las de forma segura pertencem ambas ao consumidor. Copyright © 2009 Cloud Security Alliance 29 Figura 7 – Como a Segurança é Integrada Entender o impacto dessas diferenças entre os modelos de serviço e como eles são implementados é fundamental para a gestão do posicionamento de uma organização frente ao risco. Além da Arquitetura: As Áreas de Atenção Crítica Os outros doze domínios, que incluem as demais áreas de preocupação para a Computação em Nuvem destacadas pelo guia da CSA são ajustados para abordar tanto os pontos estratégicos e táticos críticos de segurança dentro de um ambiente em nuvem e, podem ser aplicados a qualquer combinação de serviços e de modelos de implantação da nuvem. Os domínios são divididos em duas grandes categorias: governança e operações. Os domínios da governança são amplos e endereçam questões estratégicas e de política dentro de um ambiente de Computação em Nuvem, enquanto os domínios operacionais focam mais nas preocupações táticas de segurança e sua implementação dentro da arquitetura. Domínios de Governança Domínio O Guia trata de… Governança e Gestão de Riscos Corporativos A capacidade de uma organização para governar e medir o risco empresarial introduzido pela Computação em Nuvem. Ítens como a precedência legal em caso de violação de acordo, a capacidade de organizações usuárias para avaliar adequadamente o risco de um provedor de nuvem, a responsabilidade para proteger dados sensíveis quando o usuário e o Copyright © 2009 Cloud Security Alliance 30 provedor podem falhar e, como as fronteiras internacionais podem afetar estas questões, são alguns dos itens discutidos. Aspectos Legais e Electronic Discovery Problemas legais em potencial quando se utiliza Computação em Nuvem. Os assuntos abordados nesta seção incluem os requisitos de proteção da informação e de sistemas informáticos, leis de divulgação de violações de segurança, os requisitos regulatórios, requisitos de privacidade, as leis internacionais, etc. Conformidade e Auditoria Manutenção e comprovação de conformidade quando se faz uso da Computação em Nuvem. Questões relativas à avaliação da forma como a Computação em Nuvem afeta o cumprimento das políticas de segurança interna, bem como diversos requisitos de conformidade (regulatórios, legislativos e outros) são discutidos aqui. Este domínio inclui algumas orientações de como provar a conformidade durante uma auditoria. Gestão do Ciclo de Vida da Informação Gerenciamento de dados que são colocados na nuvem. Ítens em torno da identificação e controle de dados na nuvem, bem como controles compensatórios que podem ser usados para lidar com a perda de controle físico ao mover dados para a nuvem são discutidos aqui. Outros ítens, como quem é responsável pela confidencialidade, integridade e disponibilidade dos dados são mencionados. Portabilidade e Interoperabilidade A habilidade de mover dados / serviços de um provedor para outro, ou levá-lo totalmente de volta para a empresa. Problemas de interoperabilidade entre os fornecedores também são discutidos. Domínios Operacionais Segurança Tradicional, Continuidade de Negócios e Recuperação de Desastres Como a Computação em Nuvem afeta os processos e procedimentos operacionais atualmente usados para implementar a segurança, continuidade de negócios e recuperação de desastres. O foco é discutir e analisar os possíveis riscos da Computação em Nuvem, na esperança de aumentar o diálogo e debate sobre a grande procura de melhores modelos de gestão de riscos corporativos. Além disso, a seção aborda sobre como ajudar as pessoas a identificar onde a Computação em Nuvem pode ajudar a diminuir certos riscos de Copyright © 2009 Cloud Security Alliance 31 segurança, ou implica em aumento dos riscos em outras áreas. Operação do Data Center Como avaliar a arquitetura e a operação de um fornecedor de data center . Este capítulo é principalmente focado em ajudar os usuários a identificar características comuns de data centers que podem ser prejudiciais para os serviços em andamento, bem como características que são fundamentais para a estabilidade a longo prazo. Resposta a Incidentes, Notificação e Correção A correta e adequada detecção de incidentes, a resposta, notificação e correção. Pretende-se abordar itens que devem estar presentes tanto no nível dos prestadores e dos usuários para permitir bom tratamento de incidentes e forenses computacional. Este domínio vai ajudá-lo a compreender as complexidades que a nuvem traz para seu atual programa de gestão de incidentes. Segurança de Aplicação Protegendo o software aplicativo que está sendo executado ou sendo desenvolvido na nuvem. Isto inclui ítens tais como, se é apropriado migrar ou projetar um aplicativo para ser executado na nuvem, e em caso afirmativo, que tipo de plataforma em nuvem é mais adequada (SaaS, PaaS ou IaaS). Algumas questões de segurança específicas relacionadas com a nuvem também são discutidas. Gestão de Criptografia e de Chaves Identificar o uso de criptografia e gestão de chaves escalável. Esta seção não é prescritiva, mas é mais informativa em discutir por que eles são necessários e identificar as questões que surgem na utilização, tanto para proteger o acesso aos recursos, bem como para proteger os dados. Gestão da Identidade e do Acesso Gerenciamento de identidades e alavancando os serviços de diretório para fornecer controle de acesso. O foco está em questões encontradas quando se estende a identidade de uma organização para a nuvem. Esta seção fornece insights para avaliar a prontidão da organização para realizar a gestão da identidade e acesso ( Identity and Access Management , ou IAM ) baseados na nuvem. Virtualização O uso da tecnologia de virtualização em Computação em Nuvem. O domínio aborda ítens tais como os riscos associados com Copyright © 2009 Cloud Security Alliance 32 multilocação, o isolamento de VMs, a corresidência de VMs, vulnerabilidades no hypervisor , etc. Este domínio foca nas questões da segurança em torno do sistema / hardware de virtualização, ao invés de um levantamento mais geral de todas as formas de virtualização. Resumo A chavepara compreender como a arquitetura da nuvem impacta na arquitetura de segurança é um vocabulário comum e conciso, acompanhado de uma taxonomia consistente das ofertas através dos quais os serviços em nuvem e as arquiteturas podem ser desconstruídos, mapeados para um modelo de controles de segurança e operacionais de compensação, frameworks de avaliação de risco e de gestão e, em seguida, para padrões de conformidade. Entender como a arquitetura, tecnologia, processo e as necessidades de capital humano alteram ou permanecem os mesmos durante a implantação de serviços de Computação em Nuvem é fundamental. Sem uma compreensão clara e de alto nível das implicações na arquitetura, é impossível abordar racionalmente as questões mais detalhadas. Esta visão geral da arquitetura, juntamente com as doze outras áreas de foco crítico, vai proporcionar ao leitor uma base sólida para a avaliação, operacionalização, gerenciamento e governança da segurança em ambientes de Computação em Nuvem. Colaboradores da Versão Original: Glenn Brunette, Phil Cox, Carlo Espiritu, Christofer Hoff, Mike Kavis, Sitaraman Lakshminarayanan, Kathleen Lossau, Erik Peterson, Scott Matsumoto, Adrian Seccombe, Vern Williams, Richard Zhou Colaboradores da Versão Brasileira: Alessandro Trombini, Alexandre Pupo, Anchises Moraes, Denylson Machado, Jaime Orts Y. Lugo, Luís Felipe Féres Santos, Milton Ferreira, Olympio Rennó Ribeiro Jr Copyright © 2009 Cloud Security Alliance 33 Seção II. Governança na Nuvem Copyright © 2009 Cloud Security Alliance 34 Domínio 2: Governança e Gestão de Risco Corporativo A governança e o gerenciamento de risco corporativo eficazes em ambientes de Computação em Nuvem vêm dos processos de governança de segurança da informação bem definidos, como parte das determinações gerais de governança corporativa da organizaçãosobre os cuidados específicos necessários com os ativos. . Os processos de governança bem definidos devem resultar em programas de gerenciamento de segurança da informação que sejam escalonávies com o negócio, aplicáveis em toda a organização, mensuráveis, sustentáveis, defensáveis, continuamente melhorados e com orçamentos justificáveis. As questões fundamentais da governança e da gestão de riscos corporativo em Computação em Nuvem referem-se à identificação e implementação das estruturas organizacionais adequadas, processos e controles para manter a efetiva governança da segurança da informação, gestão de riscos e conformidade. As organizações também devem garantir a um nível razoável de segurança das informações em toda a cadeia de fornecimento da informação, envolvendo fornecedores e clientes de serviços de Computação em Nuvem e seus prestadores de serviço, em qualquer modelo de implantação de nuvem. Recomendações de Governança Uma parte da redução de custos decorrente da adoção de Computação em Nuvem deve ser direcionada para o aumento dos controles dos recursos de segurança do provedor, aplicação de controles de segurança e avaliações e auditorias detalhadas, para garantir que as exigências de proteção de dados estão sendo continuamente verificadas.. Tanto os clientes quanto os fornecedores de serviços de Computação em Nuvem devem desenvolver uma governança de segurança da informação robusta, independentemente do serviço ou modelo de implantação adotado. A governança de segurança da informação deve ser uma colaboração entre clientes e fornecedores para alcançar os objetivos acordados, que apoiam a missão da empresa e programas de segurança da informação. O modelo de negócio pode ajustar os papéis e responsabilidades colaborativamente na governança de segurança da informação e no gerenciamento de riscos (com base no respectivo âmbito de controle para o usuário e prestador de serviços), enquanto o modelo de implantação pode definir as responsabilidades e expectativas (com base na avaliação de risco). As organizações clientes devem incluir a revisão de determinados processos e estruturas de governança de segurança da informação, bem como de controles de segurança específicos, como parte de seus cuidados na seleção de provedores de serviço de nuvem. Os processos de governança de segurança e as atividades dos fornecedores devem ser avaliados sob sua capacidade de suportar os processos do cliente, bem como sua maturidade e coerência com os processos de gestão de segurança de informações. Os controles de segurança dos provedores de nuvem devem ser comprovadamente baseados no risco e claramente suportar estes processos de gestão. A estrutura e processos de governança colaborativa entre clientes e fornecedores devem ser identificadas como necessárias, tanto no âmbito da concepção e desenvolvimento de prestação de serviços, como avaliação de risco e de serviços e protocolos de gestão de risco e, em seguida incorporado nos acordos de serviço. Copyright © 2009 Cloud Security Alliance 35 Departamentos de segurança devem ser envolvidos durante o estabelecimento de Acordos de Nível de Serviço (SLA) e obrigações contratuais, para assegurar que os requisitos de segurança são contratualmente aplicáveis. Métricas e padrões para medir o desempenho e eficácia do gerenciamento de segurança da informação devem ser estabelecidos previamente à mudança para a Nuvem. Ao menos, as organizações devem entender e documentar suas métricas atuais e como elas mudam quando operações são movidas para a Nuvem, onde um provedor pode usar diferentes (e potencialmente incompatíveis) métricas. Sempre que possível, métricas e padrões de segurança (particularmente aquelas relacionadas a requisitos legais e de conformidade) devem ser incluídas em qualquer Acordo de Nível de Serviço (SLA) e contratos. Estas métricas e padrões devem ser documentadas e ser demonstráveis (auditáveis). Recomendações para gerenciamento de riscos corporativos Assim como em qualquer novo processo de negócios, é importante seguir as melhores práticas de gerenciamento de riscos. As práticas devem ser proporcionais às especificações dos serviços em nuvem, que podem variar de processamento inócuo de dados e tráfego de rede até processos de negócios de missão crítica lidando com informação altamente sensível. Uma discussão completa do gerenciamento de riscos corporativos e gerenciamento de risco da informação está além do escopo deste guia, mas aqui há algumas recomendações específicas da Nuvem que você pode incorporar em seus processos de gerenciamento de riscos existentes. Devido à falta de controle físico sobre a infraestrutura em muitas implantações de Computação em Nuvem; SLAs, requisitos de contratos e documentação dos provedores têm um papel em gerenciamento de riscos maior do que quando lidamos com a tradicional infraestrturua própria das empresas.. Devido ao provisionamento sob demanda e aos aspectos “multilocatário” de Computação em Nuvem, formas tradicionais de auditoria e avaliação podem não estar disponíveis ou podem ser modificadas. Por exemplo, alguns provedores restringem avaliações de vulnerabilidades ou testes de invasão, enquanto outros limitam disponibilidade de logs de auditoria e monitoramento de atividades. Se estes forem exigidos por suas políticas internas, você pode precisar procurar opções alternativas de avaliação, exceções contratuais específicas ou um provedor alternativo melhor alinhado com seus requisitos de gerenciamento de riscos. Com relação ao uso de serviços de Nuvem para funções críticas da organização, a abordagem de gerenciamento de riscos deve incluir a identificação e avaliação de ativos, identificação e análise de ameaças e vulnerabilidades e seu potencial impacto nos ativos (cenários de riscos e incidentes), análise de probabilidade de eventos/cenários, níveis e critérios de aceitação de gerenciamento de riscos aprovado e o desenvolvimento de planos de tratamento de riscos com múltiplas opções (controle, prevenção, transferência, aceitação). Os resultados dos planos de tratamento de riscos devem ser incorporados aos acordos de serviço. Abordagens de avaliaçãode riscos entre provedores e usuários devem ser consistentes, com consistência em critérios de análises de impacto e definição de probabilidades. O Copyright © 2009 Cloud Security Alliance 56 Domínio 8: Operações e Data center O número de provedores de Computação em Nuvem continua a aumentar à medida que empresas e consumidores de serviços de TI se movem para a nuvem. Houve um crescimento similar em data centers para atender à prestação de serviços de Computação em Nuvem. Provedores de nuvem de todos os tipos e tamanhos, inclusive líderes de tecnologia e milhares de iniciantes e empresas emergentes estão fazendo grandes investimentos nesta nova abordagem promissora para a prestação de serviços de TI. O compartilhamento de recursos de TI para criar eficiências e economias de escala não é um conceito novo. No entanto, o modelo de negócio na nuvem funciona melhor se os grandes investimentos, tradicionalmente, em operações de data centers são distribuídos a um número maior de consumidores. Historicamente, arquiteturas de data center foram deliberadamente superdimensionadas para superar picos de carga periódicos, o que significa que os recursos do Data center devem estar frequentemente sem utilização ou subutilizados, por longas extensões de tempo, durante os períodos de demanda baixa ou normal. Provedores de serviço de nuvem, por outro lado, procuram otimizar o uso de recursos, tanto humanos quanto tecnológicos, a fim de ganhar vantagem competitiva e maximizar as margens de lucro na operação. O desafio para consumidores de serviços de nuvem é descobrir o modo de avaliação das capacidades do provedor para executar serviços apropriados e de baixo custo, não deixando de proteger os próprios dados e interesses do cliente. Não presuma que o provedor tenha os melhores interesses de seus clientes como sua prioridade máxima. Com o modelo comum de operadora (carrier ) para entrega de serviços, do qual a Computação em Nuvem é uma forma, o provedor de serviço normalmente tem pouco ou nenhum acesso aos dados e sistemas que se situam além do nível contratado de gerenciamento, tampouco tem controle sobre eles. Certamente essa é a abordagem correta a se ter, mas algumas arquiteturas em nuvem tomam liberdades com a integridade e a segurança dos dados dos clientes que os deixariam desconfortáveis se delas eles estivessem cientes. Os consumidores devem educar-se acerca dos serviços sobre os quais estão pensando em contratar para fazerem perguntas apropriadas e, se familiarizarem com as arquiteturas básicas e as áreas com potenciais de vulnerabilidade de segurança. Ao tomar a decisão de mover toda ou parte das operações de TI para a nuvem, é útil primeiramente entender como um provedor de nuvem implementou as “Cinco Principais Características da Computação em Nuvem” do Domínio 1 e como essa arquitetura e infraestrutura tecnológica afeta a sua habilidade de satisfazer os acordos de nível de serviço e de endereçar preocupações com a segurança. A tecnologia específica da arquitetura tecnológica do provedor pode ser uma combinação de produtos de TI e outros serviços de nuvem como, por exemplo, se aproveitar vantajosamente do serviço de armazenamento IaaS de outro provedor. A arquitetura e a infraestrutura tecnológica dos provedores de serviço de nuvem podem variar, mas para satisfazer requisitos de segurança, todos eles devem poder demonstrar compartimentalização abrangente dos sistemas, dados, redes, gerenciamento, fornecimento e pessoal. Os controles separando cada camada da infraestrutura devem ser propriamente integrados para que elas não interfiram umas com as outras. Por exemplo, investigue se a compartimentagem do armazenamento pode ser facilmente ignorada por ferramentas de gestão ou mau gerenciamento de chaves. Por último, compreenda como o provedor de nuvem lida com a democratização e dinamismo dos recursos para melhor prever os níveis apropriados de disponibilidade do sistema e de desempenho Copyright © 2009 Cloud Security Alliance 57 durante as flutuações normais de negócio. Lembre-se, a teoria de Computação em Nuvem ainda excede, em alguma medida, a prática: muitos clientes fazem pressuposições incorretas sobre o nível de automação atualmente disponível. Na medida em que o recurso provisionado é consumido, o provedor é responsável por garantir que recursos adicionais são alocados imperceptivelmente para o cliente. Recomendações É imperativo que uma organização, considerando a compra de serviços de nuvem, sejam eles de qualquer tipo, esteja totalmente ciente do tipo exato de serviços que serão contratados e do que não está incluso. Abaixo está um sumário de informações que precisam ser revisadas como parte do processo de seleção do vendedor e questões adicionais para ajudar a qualificar os provedores e comparar melhor os seus serviços com as necessidades da organização. Quaisquer que sejam as certificações que os provedores de nuvem mantêm, é importante obter o compromisso e a permissão de conduzir auditorias feitas pelo cliente ou por terceiros. Os clientes de serviços de nuvem devem compreender como os provedores implementam as “Cinco Principais Características da Computação em Nuvem” do Domínio 1. Ainda que as arquiteturas tecnológicas dos provedores de nuvem variem, todos eles devem poder demonstrar divisão compreensiva de sistemas, redes, gerenciamento, provisão e pessoal. Compreenda como a democratização de recursos ocorre dentro da nuvem de seu provedor para prever melhor a disponibilidade e desempenho do sistema durante suas flutuações de negócios. Se possível, descubra os outros clientes do provedor de nuvem para avaliar o impacto que as flutuações de negócios deles podem ter sobre a sua vivência como cliente do provedor de nuvem. No entanto, isso não substitui a garantia de que os acordos acerca do nível de serviço estejam claramente definidos, mensuráveis, executáveis e adequados para a sua necessidade. Os clientes dos serviços de nuvem devem entender as políticas e procedimentos de correção do provedor e como eles podem influenciar os seus ambientes. Essa compreensão deve estar refletida no contrato. A contínua melhoria é particularmente importante em um ambiente de nuvem, pois qualquer melhoria nas políticas, processos e procedimentos, ou ferramentas para um cliente determinado podem resultar em melhoria do serviço para todos os clientes. Procure por provedores de nuvem com processos padrão de melhoria contínua. Suporte técnico ou central de serviço são frequentemente uma janela pela qual o cliente pode ver as operações do provedor. Para obter uma experiência de suporte suave e uniforme para seus usuários finais, é essencial assegurar que os processos, procedimentos, ferramentas e horário de suporte do provedor são compatíveis com as suas. Como no Domínio 7, reveja os planos de recuperação de desastres e de continuidade do negócio a partir da perspectiva de TI e perceba como eles se relacionam com pessoas e Copyright © 2009 Cloud Security Alliance 58 processos. Uma arquitetura tecnológica do provedor de nuvem pode usar novos métodos, porém não testados para tolerância a falhas, por exemplo. A continuidade do próprio negócio do cliente deve também abranger os impactos e limitações da Computação em Nuvem. Colaboradores da Versão Original: John Arnold, Richard Austin, Ralph Broom, Beth Cohen, Wing Ko, Hadass Harel, David Lingenfelter, Beau Monday, Lee Newcombe, Jeff Reich, Tajeshwar Singh, Alexander Windel, Richard Zhao. Colaboradores da Versão Original: Eder Alvares Pereira de Souza, Olympio Rennó Ribeiro Jr, Raphael Sanches Copyright © 2009 Cloud Security Alliance 59 Domínio 9: Resposta a Incidente, Notificação e Remediação O principio de Computação em Nuvem torna difícil determinar quem contatar em caso de incidente de segurança, vazamento de informação ou qualquer outro evento que necessite de investigação e resposta. Mecanismos padrão de resposta a incidentes de segurança podem ser adaptados para acomodar as mudanças requeridas pelasresponsabilidades compartilhadas de notificação. Este domínio provê um guia de como tratar desses incidentes. O problema para o cliente de Computação em Nuvem é que aplicações disponíveis em provedores de Computação em Nuvem nem sempre são desenhadas com os princípios de segurança e integridade de dados em mente. Isso pode resultar em aplicações vulneráveis sendo implementadas em ambientes de nuvem, desencadeando incidentes de segurança. Adicionalmente, falhas na arquitetura de infraestrutura, erros cometidos durante procedimentos de “hardening” e simples descuidos representam riscos significativos para operações em nuvem. Obviamente, vulnerabilidades semelhantes também põem sob risco operações tradicionais de data center. Experiência técnica obviamente é necessária na resposta a incidentes, porém, privacidade e questões legais têm muito a contribuir para segurança em nuvem. Ela também tem um papel importante na resposta a incidente referente à notificação, remediação e possível subsequente ação legal. Uma organização que cogita usar os serviços de Computação em Nuvem precisa revisar quais mecanismos foram implementados em relação ao acesso a dados de empregados que não são regidos por contratos de usuário e políticas de privacidade. Dados de aplicação que não são gerenciados por uma aplicação do próprio provedor de nuvem, tais como IaaS e arquiteturas PaaS, geralmente têm controles diferentes daqueles gerenciados pela aplicação de um provedor de SaaS. As complexidades de grandes provedores de Computação em Nuvem oferecendo SaaS, PaaS e IaaS criam problemas significativos de resposta a incidente, os quais devem ser analisados por potenciais clientes para um nível aceitável de serviço. Ao avaliar provedores de nuvem, é importante ter consciência de que o provedor pode estar hospedando centenas de milhares de instancias de aplicações. Do ponto de vista de monitoração de resposta a incidente, quaisquer aplicações externas aumentam a responsabilidade do centro de operações de segurança (do inglês SOC ). Normalmente um SOC monitora os alertas e outros indicadores de incidente, tais como aqueles produzidos por sistemas de detecção de intrusão e firewalls. Porém, o número de fontes de informação a serem monitoradas e o volume de notificações pode crescer exponencialmente num ambiente de “open cloud”, pois o SOC teria que monitorar a atividade entre clientes, assim como incidentes externos. Uma organização precisará entender a estratégia de resposta a incidente do provedor escolhido. Esta estratégia deve endereçar identificação e notificação, assim como oferecer opções para remedição de acesso não autorizado a dados de aplicação. Para tornar ainda mais complexa, a gestão de dados de aplicações e acessos têm significados e requisitos regulatórios diferentes conforme a localização física dos dados. Por exemplo, um incidente pode ocorrer envolvendo dados armazenados na Alemanha. Se os mesmos dados estivessem sendo armazenados nos Estados Unidos, esse mesmo evento poderia não ser considerado um incidente. Essa complicação torna a identificação de incidentes particularmente desafiadora. Copyright Copyright © © 2009 2009 Cloud Cloud Security Security Alliance Alliance 7373 Domínio 13 - VirtualizaçãoDomínio 13 - Virtualização A capacidade de prover serviços em nuvem multilocação no nível de infraestrutura, plataforma,A capacidade de prover serviços em nuvem multilocação no nível de infraestrutura, plataforma, ou aplicou aplicativo é fativo é frequentemente requentemente sustentada pelsustentada pela a habilidade em habilidade em prover algprover alguma forma deuma forma de virtualização para criar escala econômica. Contudo, o uso dessas tecnologias traz preocupaçõesvirtualização para criar escala econômica. Contudo, o uso dessas tecnologias traz preocupações adicionais adicionais relacionadas à segurança. Este relacionadas à segurança. Este domínio domínio relaciona-se a essas querelaciona-se a essas questões de segstões de segurança.urança. Enquanto existem diversas formas de virtualização, de longe a mais comum está relacionada aEnquanto existem diversas formas de virtualização, de longe a mais comum está relacionada a sistemsistemas operacionais virtualizados, e as operacionais virtualizados, e este é o foco este é o foco nesta versão do nosso guia. Se a nesta versão do nosso guia. Se a tecnologia detecnologia de máquina virtual (máquina virtual (VM VM ) está sendo usada na infraestrutura de serviços de nuvem, então devemos) está sendo usada na infraestrutura de serviços de nuvem, então devemos nos preocupar com a compartimentalização e elevação do nível de segurança destes sistemasnos preocupar com a compartimentalização e elevação do nível de segurança destes sistemas virtuais.virtuais. A realidade das práticas atuais relacionadas ao gerenciamento de sistemas operacionais virtuais éA realidade das práticas atuais relacionadas ao gerenciamento de sistemas operacionais virtuais é que muitos dos processos que fornecem segurança por padrão estão ausentes e atenção especialque muitos dos processos que fornecem segurança por padrão estão ausentes e atenção especial deve ser dada para substituí-los. O núcleo da tecnologia de virtualização por si só introduz novasdeve ser dada para substituí-los. O núcleo da tecnologia de virtualização por si só introduz novas interfaces de ataque nointerfaces de ataque no hypervisor hypervisor e outros componentes de gerenciamento, mas o mais e outros componentes de gerenciamento, mas o mais importante são os vários impactos que tem a virtualização na segurança de rede. Máquinasimportante são os vários impactos que tem a virtualização na segurança de rede. Máquinas virtuais agora se comunicam sobre umvirtuais agora se comunicam sobre um backplanebackplane de hardware, ao invés de rede. Como resultado, de hardware, ao invés de rede. Como resultado, controles padrão de segurança de rede não enxergam esse tráfego e não podem realizarcontroles padrão de segurança de rede não enxergam esse tráfego e não podem realizar monitoramentmonitoramento ou o ou bloqueio em linha. Esses bloqueio em linha. Esses controles precisacontroles precisam de m de uma nova forma parauma nova forma para funcionar dentro do afuncionar dentro do ambienmbiente virtual.te virtual. O agrupamento de dados em serviços centralizados e repositórios é O agrupamento de dados em serviços centralizados e repositórios é outra preocupação. Uma baseoutra preocupação. Uma base de dados centralizada e fornecida por um serviço de computação de nuvem deve teoricamentede dados centralizada e fornecida por um serviço de computação de nuvem deve teoricamente melhorar a segurança sobre os dados distribuídos sobre um vasto número e variedade de clientesmelhorar a segurança sobre os dados distribuídos sobre um vasto número e variedade de clientes finais. Contudo, isto também é uma centralização de risco, aumentando as consequências de umafinais. Contudo, isto também é uma centralização de risco, aumentando as consequências de uma falha na segurança.falha na segurança. Outra preocupação é o agrupamento de máquinas virtuais que manipulam informações deOutra preocupação é o agrupamento de máquinas virtuais que manipulam informações de diferentes níveis de sensibilidades e segurança. Em ambientes de Computação em Nuvem, odiferentes níveis de sensibilidades e segurança. Em ambientes de Computação em Nuvem, o menor denominador comum de segurança será compartilhado por todos os clientes/usuáriosmenor denominador comum de segurança será compartilhado por todos os clientes/usuários dentro do ambiente virtual a não ser que uma nova arquitetura de segurança possa ser alcançadadentro do ambiente virtual a não ser que uma nova arquitetura de segurança possa ser alcançada de modo que não esteja ade modo que não esteja amarrada a qualquer dependência de rede para marrada a qualquer dependência de rede para proteção.proteção. RecomendaçõesRecomendações Identificar quais tipos de virtualização seu provedor de nuvem usa, sehouver.Identificar quais tipos de virtualização seu provedor de nuvem usa, se houver. SistemSistemas as operacionoperacionais virtualizados devem ser protegidos por tecais virtualizados devem ser protegidos por tecnologia de terceiros paranologia de terceiros para fornecer controles de segurança em camadas e reduzir a dependência unicamente sobre ofornecer controles de segurança em camadas e reduzir a dependência unicamente sobre o provedor de pl provedor de plataforma.ataforma. Compreender quais controles de segurança estão implementados dentro das máquinasCompreender quais controles de segurança estão implementados dentro das máquinas virtuais além do isolamento incorporado dovirtuais além do isolamento incorporado do hypervisor hypervisor – tais como detecção de intrusões, – tais como detecção de intrusões, antivírus, escaneamento de vulnerabilidades, etc. Configuração segura por padrão deveantivírus, escaneamento de vulnerabilidades, etc. Configuração segura por padrão deve ser assegurada por seguir ou exceder os padrões definidos pelas melhores práticas daser assegurada por seguir ou exceder os padrões definidos pelas melhores práticas da indústria.indústria. Copyright Copyright © © 2009 2009 Cloud Cloud Security Security Alliance Alliance 7474 CompreendeCompreender quais controles de segurança estão imr quais controles de segurança estão implementados plementados externamenexternamente àste às máquinas virtuais para proteger interfaces administrativas (baseadas na web,máquinas virtuais para proteger interfaces administrativas (baseadas na web, APIs APIs, etc.), etc.) expostas para os clientes.expostas para os clientes. Validar a procedência e integridade de qualquer máquina virtual ou modelo originado doValidar a procedência e integridade de qualquer máquina virtual ou modelo originado do provedor de nuvem provedor de nuvem antes de utilizá-la.antes de utilizá-la. Mecanismos de segurança específicos de máquinas virtuais embarcados dentro dasMecanismos de segurança específicos de máquinas virtuais embarcados dentro das APIs APIs dodo hypervisor hypervisor devem ser utilizados para prover monitoração granular do tráfego devem ser utilizados para prover monitoração granular do tráfego atravessando osatravessando os backplanesbackplanes das máquinas virtuais, os quais são opacos aos controles das máquinas virtuais, os quais são opacos aos controles tradicionais de segurança de rede.tradicionais de segurança de rede. Acesso administrativo e controle de sistemas operacionais virtualizados são cruciais eAcesso administrativo e controle de sistemas operacionais virtualizados são cruciais e devem incluir autenticação forte integrada ao gerenciamento de identidade corporativo,devem incluir autenticação forte integrada ao gerenciamento de identidade corporativo, bem bem como como mecanismo mecanismo de de registro registro à à prova prova de de falsificação falsificação e e ferramentas ferramentas dede monitoramento de integridade.monitoramento de integridade. Considerar a eficácia e viabilidade de segregar máquinas virtuais criando zonas deConsiderar a eficácia e viabilidade de segregar máquinas virtuais criando zonas de segurança por tipo de uso (estação x servidor), etapas de produção (desenvolvimento,segurança por tipo de uso (estação x servidor), etapas de produção (desenvolvimento, produção, teste) e sen produção, teste) e sensibilidade dos dados em sibilidade dos dados em componentes físicocomponentes físicos de hardware separadoss de hardware separados como servidores, armazenamento, etc.como servidores, armazenamento, etc. Ter um mecanismo de relatórios que forneça evidências de isolação e emita alertas casoTer um mecanismo de relatórios que forneça evidências de isolação e emita alertas caso ocorra uma violação.ocorra uma violação. Estar ciente em situações de multilocação envolvendo suas máquinas virtuais ondeEstar ciente em situações de multilocação envolvendo suas máquinas virtuais onde preocupaçõe preocupações regulatórias podem reques regulatórias podem requerer sua segregação.rer sua segregação. ColaboradoreColaboradores ds da Versão Original:a Versão Original: Bikram Barman, Girish Bhat, Bikram Barman, Girish Bhat, Sarabjeet ChughSarabjeet Chugh, Philip Cox,, Philip Cox, Joe Cupano, Srijith K. Nair, Lee Newcombe, Brian O’Higgins.Joe Cupano, Srijith K. Nair, Lee Newcombe, Brian O’Higgins. ColaboradoreColaboradores ds da Versão a Versão Brasileira:Brasileira: Alessandro Trombini,Alessandro Trombini, Jimmy Cury, Jordan M. Jimmy Cury, Jordan M. BonBonagura,agura, Julio Graziano Pontes, Luís Felipe Féres SantosJulio Graziano Pontes, Luís Felipe Féres Santos Copyright Copyright © © 2009 2009 Cloud Cloud Security Security Alliance Alliance 7575 ReferenciasReferencias A A guide to guide to securitsecurity my metrics. SANS etrics. SANS Institute, June Institute, June 2006. 2006. http://www.sahttp://www.sans.orgns.org Amazon EC2 Amazon EC2 API API - - http://dohttp://docs.amazonwebservicescs.amazonwebservices.com/AWSEC2/2006-10-01.com/AWSEC2/2006-10-01/Develo/DeveloperGuide/perGuide/ Amazon Elastic Compute Cloud Developer Guide,Amazon Elastic Compute Cloud Developer Guide, http://dochttp://docs.amazonwebservices.amazonwebservices.com/AWSEC2/2009-03s.com/AWSEC2/2009-03-01/Develope-01/DeveloperGuide/rGuide/ Amazon Simple Queue Service Developer Guide,Amazon Simple Queue Service Developer Guide, http://dochttp://docs.amazonwebservices.amazonwebservices.com/AWSSims.com/AWSSimpleQueueServicepleQueueService/2008-01-/2008-01- 01/SQSDeveloperGuide/01/SQSDeveloperGuide/ Amazon Simple Storage Service Developer Guide,Amazon Simple Storage Service Developer Guide, http://dochttp://docs.amazonwebservices.amazonwebservices.com/AmazonS3/2006-0s.com/AmazonS3/2006-03-01/3-01/ Amazon SimpleDB Developer Guide,Amazon SimpleDB Developer Guide, http://dochttp://docs.amazonwebservices.amazonwebservices.com/AmazonSims.com/AmazonSimpleDB/2007-11-07/DevelopleDB/2007-11-07/DeveloperGuide/perGuide/ Amazon web services blog: Introducing amazon virtual private cloud (vpc), Amazon, AugustAmazon web services blog: Introducing amazon virtual private cloud (vpc), Amazon, August 2009. 2009. http://awhttp://aws.typepad.com/aws.typepad.com/aws/2009/08/ins/2009/08/introducing-amazon-virtual-privtroducing-amazon-virtual-private-cloud-vpc.htmlate-cloud-vpc.html Amazon Web Services: Overview of SAmazon Web Services: Overview of Security Processes, Septembeecurity Processes, September 2008r 2008 An Innovative Policy-based Cross Certification methodoloAn Innovative Policy-based Cross Certification methodology for gy for Public Key Infrastructures.Public Key Infrastructures. Casola V., Mazzeo ACasola V., Mazzeo A., Mazzocca N., Rak M. 2nd EuroPKI Wo., Mazzocca N., Rak M. 2nd EuroPKI Workshop. rkshop. SpringeSpringer-Verlag LNCSr-Verlag LNCS 35. Edito35. Editors: rs: D. ChadwickD. Chadwick, G. Zhao. 2005., G. Zhao. 2005. Auditing the Auditing the Cloud, Cloud, Grid GurGrid Gurus, us, http://ghttp://gridgurus.typepad.comridgurus.typepad.com/grid_gurus/2008/10/aud/grid_gurus/2008/10/auditing-the-iting-the- cl.html, October 20, cl.html, October 20, 20082008 Azure Azure Services Services Platform, Platform, http://mhttp://msdn.microsoft.comsdn.microsoft.com/en-us/library/dd16/en-us/library/dd163896.aspx3896.aspx Balanced Scorecard for Balanced Scorecard for Information Security IntroduInformation Security Introduction”, Published: March 06, ction”, Published: March 06, 2007,2007, http://technehttp://technet.microsoft.com/ent.microsoft.com/en-us/library/bb821240.as-us/library/bb821240.aspxpx BITS Kalculator and BITS Financial Services Shared Assessments Program (third party providerBITS Kalculator and BITS Financial Services Shared Assessments Program (third party provider assessment methodology)assessment methodology) Building Building SecuritSecurity y In In MaturMaturity ity Model, Model, http://www.bsi-http://www.bsi-mm.com/mm.com/ BusineBusiness case fss case fora comprehensive approach to identity and access or a comprehensive approach to identity and access managememanagement, May nt, May 20092009 https://wikhttps://wiki.caudit.edu.au/confi.caudit.edu.au/confluence/displayluence/display/CTSCIdMWG/Bu/CTSCIdMWG/Business+casesiness+case BusineBusiness Roundtable, ss Roundtable, PrinciplePrinciples of s of Corporate Governance, 2005Corporate Governance, 2005 BusineBusiness Roundtable, Statement on Corporate ss Roundtable, Statement on Corporate Governance, 1997.Governance, 1997. BusineBusiness Software Alliance, ss Software Alliance, Information Security Governance: Towards aInformation Security Governance: Towards a Framework Framework for Action for Action Centers for Medicare and Centers for Medicare and Medicaid Services Information Security Risk Assessment MethodologyMedicaid Services Information Security Risk Assessment Methodology Copyright Copyright © © 2009 2009 Cloud Cloud Security Security Alliance Alliance 7676 Cloud Computing andCloud Computing and Compliance: Compliance: Be Careful Up TheBe Careful Up There, Wood, Lamont, ITWorld, January 30,re, Wood, Lamont, ITWorld, January 30, 20092009 Cloud comCloud computing definitionputing definition, by P. Mell and T. Grance, NIST , by P. Mell and T. Grance, NIST June 2009.June 2009. http://csrc.nihttp://csrc.nist.gov/groups/SNS/clst.gov/groups/SNS/cloud-computinoud-computing/index.htmlg/index.html Cloud Computing is on the Up, but what are the Security Issues?, Mather, Tim, SecureCloud Computing is on the Up, but what are the Security Issues?, Mather, Tim, Secure Computing Magazine (UK), March 2, 2009.Computing Magazine (UK), March 2, 2009. Cloud Computing Use Case Group Whitepaper -http://www.scribd.com/doc/17929394/Cloud-Cloud Computing Use Case Group Whitepaper -http://www.scribd.com/doc/17929394/Cloud- Computing-Use-Cases-WhitepaperComputing-Use-Cases-Whitepaper Cloud computing use cases whitepaper, August 2009.Cloud computing use cases whitepaper, August 2009. http://wwwhttp://www.scribd.com/do.scribd.com/doc/17929394/Cloc/17929394/Cloud-Computing-Uud-Computing-Use-Cases-Whitepapese-Cases-Whitepaperr Cloud computing use cases whitepaper, August 2009.Cloud computing use cases whitepaper, August 2009. http://wwwhttp://www.scribd.com/do.scribd.com/doc/17929394/Cloc/17929394/Cloud-Computing-Uud-Computing-Use-Cases-Whitepapese-Cases-Whitepaperr Cloud computing vocabulary (cloud computing wiki)Cloud computing vocabulary (cloud computing wiki) http://sihttp://sites.google.comtes.google.com/site/cloudcom/site/cloudcomputingwiki/Homeputingwiki/Home/cloud-computing-vocabul/cloud-computing-vocabularyary Cloud Computing: Bill of Rights,Cloud Computing: Bill of Rights, http://wikhttp://wiki.cloudcompui.cloudcomputing.org/wiki/Cloting.org/wiki/CloudComputing:BudComputing:Bill_of_Righill_of_Rightsts Cloud Cube Model: Selecting Cloud Formations for Secure Collaboration, Jericho Forum, V 1.0,Cloud Cube Model: Selecting Cloud Formations for Secure Collaboration, Jericho Forum, V 1.0, April 2009April 2009 Cloud Security and Privacy – An Enterprise perspective on Risks andCloud Security and Privacy – An Enterprise perspective on Risks and Compliance from O’ReillyCompliance from O’Reilly - - http://ohttp://oreilly.com/catalogreilly.com/catalog/9780596802776/ -/9780596802776/ - Cloud Standards Organization - Cloud Standards Organization - http://clohttp://cloud-standards.org/ud-standards.org/ Cloud Storage Strategy, Steve LesemCloud Storage Strategy, Steve Lesem, July 19, , July 19, 2009,2009, http://wwwhttp://www.cloudstoragestrateg.cloudstoragestrategy.com/2009/07/cly.com/2009/07/cloud-storage-andoud-storage-and-the-innovators-dilem-the-innovators-dilemma.htmlma.html Common Configuration Scoring System (CCSS): Metrics for Software Security ConfigurationCommon Configuration Scoring System (CCSS): Metrics for Software Security Configuration VulnerabiliVulnerabilities (DRAFT), 2009. ties (DRAFT), 2009. http://csrc.nihttp://csrc.nist.gov/publicatist.gov/publications/drafts/nistions/drafts/nistir-7502/Draft-r-7502/Draft- NISTIR-7502.pd NISTIR-7502.pdff Contracting for Certified Information Security: Model Contracting for Certified Information Security: Model Contract Terms and Contract Terms and Analysis (publishedAnalysis (published by the Interne by the Internet Security Alliance and availt Security Alliance and available at www.cqdiscoveable at www.cqdiscovery.com)ry.com) Contracting for Information Security: Model Contract Terms (published by the InterContracting for Information Security: Model Contract Terms (published by the Internet Securitynet Security Alliance and available aAlliance and available at www.cqdiscovery.com)t www.cqdiscovery.com) CPMC ClearPoint Metric Catalog, 2009 Online Available:CPMC ClearPoint Metric Catalog, 2009 Online Available: http://wwwhttp://www.clearpointmetri.clearpointmetrics.com/newdev_v3/ccs.com/newdev_v3/catalog/MetricAatalog/MetricApplicationPackagepplicationPackage.aspx.aspx CVSS A Complete Guide to the Common Vulnerability Scoring System, Version 2.0, 2007CVSS A Complete Guide to the Common Vulnerability Scoring System, Version 2.0, 2007 Online Online Available: Available: http://wwwhttp://www.first.org/cvss/cvss-guide.first.org/cvss/cvss-guide.html.html Copyright © 2009 Cloud Security Alliance 77 Data Lifecycle Management Model Shows Risks and Integrated Data Flow, by Ernie Hayden, Information Security Magazine, July 2009 http://searchsecurity.techtarget.com/magazineFeature/0,296894,sid14_gci1321704_mem1,00.htm l Data Privacy Clarification Could Lead to Greater Confidence in Cloud Computing, Raywood, Dan, Secure Computing Magazine (UK), March 9, 2009. Defending Electronic Mail as Evidence—The Critical E-Discovery Questions, Jeffrey Ritter, (available at www.cqdiscovery.com) Does Every Cloud Have a Silver Compliance Lining?, Tom McHale, July 21, 2009 Online Available: http://blog.ca-grc.com/2009/07/does-every-cloud-have-a-silver-Compliance-lining/ Encryption of Data At-Rest: Step-by-step Checklist”, a whitepaper prepared by the Security Technical Working Group of the Storage Network Industry Association (SNIA). ENISA - http://www.enisa.europa.eu/ Fedora Infrastructure Metrics, 2008. http://fedoraproject.org/wiki/Infrastructure/Metrics Few Good Information Security Metrics, By Scott Berinato, July 2005 Online Available: http://www.csoonline.com/article/220462/A_Few_Good_Information_Security_Metrics Force.com Web Services API Developer’s Guide, http://www.salesforce.com/us/developer/docs/api/index.htm Global Privacy & Security, Francoise Gilbert, (Aspen Publishing 2009). GoGrid API - http://wiki.gogrid.com/wiki/index.php/API GSA to launch online storefront for cloud computing services, August 2009. http://www.nextgov.com/nextgov/ng_20090715_3532.php Guidelines for Media Sanitization,” NIST’s Special Publication 800-88 Hey, You, Get Off of My Cloud: Exploring Information Leakage in Third-Party Compute Clouds, T. Ristenpart, et al, http://blog.odysen.com/2009/06/security-and-identity-as-service-idaas.html http://blogs.forrester.com/srm/2007/08/two-faces-of-id.html http://blogs.intel.com/research/2008/10/httpseverywhere_encrypting_the.php http://code.google.com/apis/accounts/docs/AuthForWebApps.html http://code.google.com/apis/accounts/docs/OpenID.html http://csrc.nist.gov/groups/SNS/cloud-computing/index.html Copyright © 2009 Cloud Security Alliance 78 http://csrc.nist.gov/publications/nistpubs/800-53-Rev2/sp800-53-rev2-final.pdf http://csrc.nist.gov/publications/nistpubs/800-53-Rev3/sp800-53-rev3-final-errata.pdf http://csrc.nist.gov/publications/PubsSPs.html http://en.wikipedia.org/wiki/Statement_on_Auditing_Standards_No._70:_Service_Organizations http://www.aspeninstitute.org/publications/identity-age-cloud-computing-next-generation- internets-impact-business-governance-socia http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=kmip http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml http://www.sas70.comhttps://siswg.net/index.php?option=com_docman&task=cat_view&gid=21&Itemid=99999999 Information Security Governance: A Call to Action, National Cyber Security Summit Task Force, Corporate Governance Task Force Report, April 2004. Information Security Law: Emerging Standard for Corporate Compliance, Thomas Smedinghoff, (ITGP 2008). ISACA, IT Governance Institute, Control Objectives for Information and related Technology (CobiT), 4.1 ISO/IEC 19011:2002 Guidelines for quality and/or environmental management systems auditing ISO/IEC 20000-1:2005 Information technology—service management—Part 1: Specification ISO/IEC 20000-1:2005 Information technology—service management—Part 2: Code of practice ISO/IEC 21827:2008 Information technology—Systems Security Engineering—Capability Maturity Model (SSE-CMM®) ISO/IEC 27000:2009 Information technology—Security techniques—Information security management systems—Overview and vocabulary ISO/IEC 27001:2005 Information technology—Security techniques—Information security management systems—Requirements. ISO/IEC 27002:2005 Information technology—Security techniques—Code of practice for information security management ISO/IEC 27005:2008 Information technology—Information security techniques—Information security risk management ISO/IEC 27006:2007 Information technology—Security techniques—Requirements for bodies providing audit and certification of information security management systems Copyright © 2009 Cloud Security Alliance 81 The Force.com Workbook, http://wiki.developerforce.com/index.php/Forcedotcomworkbook The Institute of Internal Auditors, Critical Infrastructure Assurance Project, “Information Security Governance: What Directors Need to Know”, 2001 The International Grid Trust Federation (IGTF). http://www.igtf.net United States General Accounting Office, Information Security Risk Assessment Practices of Leading Organizations, 1999. United States Sentencing Commission, Guidelines Manual vCloud API - http://www.vmware.com/solutions/cloud-computing/vcloud-api.html Where We’re Headed: New Developments and Trends in the Law of Information Security, Thomas J. Smedinghoff, Privacy and Data Security Law Journal, January 2007, pps. 103-138 Windows Azure SDK, http://msdn.microsoft.com/en-us/library/dd179367.aspx Windows Cardspace - http://msdn.microsoft.com/en-us/library/aa480189.aspx WS-Federation : http://docs.oasis-open.org/wsfed/federation/v1.2/os/ws-federation-1.2-spec- os.html
Compartilhar