Segurança Informática / ISTEC - 19/20. 6ª Parte Segurança na Computação na Nuvem

(1)

311

Segurança Informática / ISTEC - 19/20

6ª Parte – Segurança na Computação na Nuvem

(2)

Computação na Nuvem (Cloud Computing)

* A tecnologia Cloud Computing (computação na nuvem) é caracterizada por possibilitar às organizações o acesso a recursos de software e/ou hardware remotos (cloud), dedicados ou partilhados, físicos ou virtuais, (geral/) via internet:

• Exemplo de recursos: CPU, storage, memória de servidores, etc

• Localização de recusursos remotos: data centers de fornecedores de serviços na nuvem

• Exemplo de empresa pioneira fornecedora de serviços na nuvem: Amazon (AWS: Amazon Web Services)

* Impulsionada por:

• Competitividade entre empresas => necessidade de optimizar as suas estruturas tecnológicas => +produtividade/-custos

• Evolução tecnológica:

– acessos à Internet de maior velocidade – virtualização de plataformas

– computação distribuída – mecanismos de segurança 6.1 – Computação na Nuvem

(3)

313

Computação na Nuvem (Cloud Computing)

* Principais objetivos para fornecedores de serviços:

• Escalabilidade de recursos para satisfazer novos pedidos de (novos) clientes:

– Redução do tempo e custos (efeito de economia de escala) para satisfazer requisitos de clientes, relativamente ao cenário de uso de plataformas próprias (desses clientes):

• Atribuição de recursos a novos clientes

• Expansão da capacidade atribuída a clientes já existentes

• Garantia de Segurança:

– Necessária para reduzir riscos adicionais da computação na nuvem

• Para os clientes as vantagens da computação na nuvem deverão ser superiores a riscos de segurança da mesma

• Necessário implementar mecanismos de segurança eficazes de modo a fiabilizar e credibilizar o uso dos serviços na nuvem

– Nível de segurança deverá ser igual ou superior ao cenário de rede com infraestrutura própria

6.1 – Computação na Nuvem

(4)

6.3 – Segurança na Nuvem

FW FW

FW: Firewall

Exemplo de arquitectura de redes de nuvem:

Datacenter em rede de nuvem

FW: Controlo de acessos

VPN:

Comunicação Segura

Isolamento de recursos de

=/=s clientes Redundância

física de recursos

FW:Autenticação no acesso ao DC

Autenticação no acesso a

recursos

Clientes

(5)

315

Principais requisitos de segurança da nuvem

• Segurança é o maior risco da computação na nuvem

• Nuvem  rede privada partilhada e remota, geral/ acedida via internet

=> Serem tomadas medidas de segurança em conformidade 1.Garantir comunicação segura de dados privados:

– Solução => uso de VPN, mandatorio se acesso for via redes públicas (internet) com os seguintes requisitos para os dados transmitidos:

• Autenticação, encriptação e controlo de integridade 2.Controlo de acessos a recursos na nuvem:

– Soluções =>

• Uso de Firewall de rede para controlo de acessos e autenticação de utilizadores externos

• Garantir isolamento de recursos de diferentes clientes:

* Uso de permissões com autenticação nos acessos =>

Impedir acessos a dados privados de outros clientes

* Uso de VLANs para separação de fluxos de tráfego de diferentes clientes entre diferentes recursos

(6)

Principais requisitos de segurança:

3. Disponibilidade de serviços / Isolamento de falhas:

• A existência de recursos que poderão ser partilhados entre vários clientes (ex. CPU, memória, discos) poderá potenciar que uma falha nesses recursos afete a disponibilidade de vários clientes => efetuar controlo rigoroso do funcionamento dos recursos

– Garantir uma resposta rápida em cenários de deteção de problemas

• Necessidade de monitorização adequada dos diversos recursos de ^HW

=> facilitar tarefas de trouble-shooting e minimizar impacto de problemas – Soluções (podem ter custo adicional para cliente):

• Definição de SLAs (Service Level Agreement) em contrato c\ cliente:

* Tempo máximo tolerável de indisponibilidade de recursos

* Requisitos de desempenho/QoS (Quality of Service) de cada serviço

• Usar redundância de recursos

• Realizar backups periódicos de dados .

(7)

317

Principais requisitos de segurança:

4. Minimizar perda de Controlo:

• Em virtude de na utilização de uma infra-estrutura na nuvem o cliente ceder necessariamente a terceiros (fornecedor do serviço) o controlo dos seus dados/serviços:

– Ex. eliminação de informação de forma incompleta/insegura – Solução: comprometer fornecedor no contrato

5. Cumprimento de SLAs de serviços acordados com clientes:

• Garantir bom funcionamento de serviços com maiores exigências de desempenho:

– Ex. serviços de comunicações multimédia=>mais exigentes em termos de:

• Requisitos de QoS: ex. tráfego de media dos serviços real-time

• Capacidade de processamento: ex. transcoding – Soluções (podem ter custo adicional para cliente):

• Uso de HW específico e de melhor desempenho, mais apropriado para funcionalidades mais exigentes

• Monitorização da ocupação dos recursos e, se necessário, antecipar expansões de recursos

(8)

6.5 – Riscos da virtualização

Principais riscos da virtualização (adicionais os riscos da computação na nuvem)

* Partilha da infraestrutura:

• Isolamento seguro dos recursos de diferentes clientes:

– Impedir o acesso a recursos de outros clientes

 Uso de descritores pré-definidos com elementos de configuração (ex. endereços IP’s, VLANs, fluxos de comunicações)

• Eficiência na reserva e alocação de recursos para serviços de clientes:

– Impedir o incumprimento dos requisitos de QoS de serviços ou até mesmo a falha completa dos mesmos, por má gestão de recursos partilhados

 Uso de descritores pré-definidos com os requisitos de QoS de cada VM/Serviço, ex. vCPU, vMem, vNIC

(9)

319

6.5 – Riscos da virtualização

Principais riscos da virtualização

• Vulnerabilidades em componentes de SW, exemplos:

• Falhas de isolamento em hypervisors:

• podem ser exploradas para possibilitar o acesso ao espaço de disco e à memória de outras máquinas/clientes

• Cross-VM attacks:

• tentativas de estabelecer canais de comunicação entre VMs (máquinas virtuais) de diferentes clientes para facilitar o acesso a dados de forma ilícita

* Garantir comunicação segura entre recursos de SW e HW que suportam serviços virtualizados do mesmo cliente:

• Uso de protocolos de comunicação segura

– Ex. uso de VPN com protocolos IPSec ou TLS, mandatório nas comunicação em troços via redes públicas e aconselhável nas comunicações internas

• Separação de fluxos de tráfego internos de diferentes clientes com uso de VLANs (Virtual Local Area Network)

(10)

6.6 – Segurança na nuvem/IoT

Internet das Coisas / Internet of Things (IoT)

* Rede de comunicação entre dispositivos (things), onde se incluem as comunicações:

• M2M: Machine-to-Machine

• M2P: Machine-to-Person e P2M: Person-to-Machine

* Coloca objetos/maquinas inanimados (dispositivos) a comunicar via redes IP/Internet:

• Dispositivos contendo chips e sensores capazes de processar, armazenar e comunicar informação

* Objetivo: satisfação dos consumidores + suporte a novas áreas de negócio

• Impulsionadas pelo incremento da facilidade de comunicação sem fios via internet (+ velocidade/- custos), exemplos:

– Sistemas residenciais, por exemplo, contador de electricidade que comunica resultados de contagem para central, via rede celular (M2M) – Dispositivos pessoais wearable, por exemplo, Smart Watch que permite

monitorizar e comunicar informações para utilizador seguidor (M2P)

(11)

321

6.6 – Segurança na nuvem/IoT

Segurança na IoT

* IoT sujeita a todos os riscos das comunicações via internet e acessos (geral/) sem fios

* Riscos adicionais originados pela grande quantidade e variedade de novos dispositivos:

• Novos dispositivos c\ novo SW => potenciar vulnerabilidades/ataques de malware:

– Necessário usar mecanismos de segurança e upgrades periódicos de SW

• Necessário proteger informação pessoal e privada lida por dispositivos e transmitida na cadeia IoT até servidores de analise e processamento de dados recolhidos na nuvem

Aquisição de dados Transporte de dados

Analise de dados