311
Segurança Informática / ISTEC - 19/20
6ª Parte – Segurança na Computação na Nuvem
Segurança Informática / ISTEC - 19/20
Computação na Nuvem (Cloud Computing)
* A tecnologia Cloud Computing (computação na nuvem) é caracterizada por possibilitar às organizações o acesso a recursos de software e/ou hardware remotos (cloud), dedicados ou partilhados, físicos ou virtuais, (geral/) via internet:
• Exemplo de recursos: CPU, storage, memória de servidores, etc
• Localização de recusursos remotos: data centers de fornecedores de serviços na nuvem
• Exemplo de empresa pioneira fornecedora de serviços na nuvem: Amazon (AWS: Amazon Web Services)
* Impulsionada por:
• Competitividade entre empresas => necessidade de optimizar as suas estruturas tecnológicas => +produtividade/-custos
• Evolução tecnológica:
– acessos à Internet de maior velocidade – virtualização de plataformas
– computação distribuída – mecanismos de segurança 6.1 – Computação na Nuvem
313
Segurança Informática / ISTEC - 19/20
Computação na Nuvem (Cloud Computing)
* Principais objetivos para fornecedores de serviços:
• Escalabilidade de recursos para satisfazer novos pedidos de (novos) clientes:
– Redução do tempo e custos (efeito de economia de escala) para satisfazer requisitos de clientes, relativamente ao cenário de uso de plataformas próprias (desses clientes):
• Atribuição de recursos a novos clientes
• Expansão da capacidade atribuída a clientes já existentes
• Garantia de Segurança:
– Necessária para reduzir riscos adicionais da computação na nuvem
• Para os clientes as vantagens da computação na nuvem deverão ser superiores a riscos de segurança da mesma
• Necessário implementar mecanismos de segurança eficazes de modo a fiabilizar e credibilizar o uso dos serviços na nuvem
– Nível de segurança deverá ser igual ou superior ao cenário de rede com infraestrutura própria
6.1 – Computação na Nuvem
Segurança Informática / ISTEC - 19/20
6.3 – Segurança na Nuvem
FW FW
FW FW
FW: Firewall
Exemplo de arquitectura de redes de nuvem:
Datacenter em rede de nuvem
FW: Controlo de acessos
VPN:
Comunicação Segura
Isolamento de recursos de
=/=s clientes Redundância
física de recursos
FW:Autenticação no acesso ao DC
Autenticação no acesso a
recursos
Clientes
315
Segurança Informática / ISTEC - 19/20
Principais requisitos de segurança da nuvem
• Segurança é o maior risco da computação na nuvem
• Nuvem rede privada partilhada e remota, geral/ acedida via internet
=> Serem tomadas medidas de segurança em conformidade 1.Garantir comunicação segura de dados privados:
– Solução => uso de VPN, mandatorio se acesso for via redes públicas (internet) com os seguintes requisitos para os dados transmitidos:
• Autenticação, encriptação e controlo de integridade 2.Controlo de acessos a recursos na nuvem:
– Soluções =>
• Uso de Firewall de rede para controlo de acessos e autenticação de utilizadores externos
• Garantir isolamento de recursos de diferentes clientes:
* Uso de permissões com autenticação nos acessos =>
Impedir acessos a dados privados de outros clientes
* Uso de VLANs para separação de fluxos de tráfego de diferentes clientes entre diferentes recursos
6.3 – Segurança na Nuvem
Segurança Informática / ISTEC - 19/20
Principais requisitos de segurança:
3. Disponibilidade de serviços / Isolamento de falhas:
• A existência de recursos que poderão ser partilhados entre vários clientes (ex. CPU, memória, discos) poderá potenciar que uma falha nesses recursos afete a disponibilidade de vários clientes => efetuar controlo rigoroso do funcionamento dos recursos
– Garantir uma resposta rápida em cenários de deteção de problemas
• Necessidade de monitorização adequada dos diversos recursos de HW
=> facilitar tarefas de trouble-shooting e minimizar impacto de problemas – Soluções (podem ter custo adicional para cliente):
• Definição de SLAs (Service Level Agreement) em contrato c\ cliente:
* Tempo máximo tolerável de indisponibilidade de recursos
* Requisitos de desempenho/QoS (Quality of Service) de cada serviço
• Usar redundância de recursos
• Realizar backups periódicos de dados .
6.3 – Segurança na Nuvem
317
Segurança Informática / ISTEC - 19/20
Principais requisitos de segurança:
4. Minimizar perda de Controlo:
• Em virtude de na utilização de uma infra-estrutura na nuvem o cliente ceder necessariamente a terceiros (fornecedor do serviço) o controlo dos seus dados/serviços:
– Ex. eliminação de informação de forma incompleta/insegura – Solução: comprometer fornecedor no contrato
5. Cumprimento de SLAs de serviços acordados com clientes:
• Garantir bom funcionamento de serviços com maiores exigências de desempenho:
– Ex. serviços de comunicações multimédia=>mais exigentes em termos de:
• Requisitos de QoS: ex. tráfego de media dos serviços real-time
• Capacidade de processamento: ex. transcoding – Soluções (podem ter custo adicional para cliente):
• Uso de HW específico e de melhor desempenho, mais apropriado para funcionalidades mais exigentes
• Monitorização da ocupação dos recursos e, se necessário, antecipar expansões de recursos
6.3 – Segurança na Nuvem
Segurança Informática / ISTEC - 19/20
6.5 – Riscos da virtualização
Principais riscos da virtualização (adicionais os riscos da computação na nuvem)
* Partilha da infraestrutura:
• Isolamento seguro dos recursos de diferentes clientes:
– Impedir o acesso a recursos de outros clientes
Uso de descritores pré-definidos com elementos de configuração (ex. endereços IP’s, VLANs, fluxos de comunicações)
• Eficiência na reserva e alocação de recursos para serviços de clientes:
– Impedir o incumprimento dos requisitos de QoS de serviços ou até mesmo a falha completa dos mesmos, por má gestão de recursos partilhados
Uso de descritores pré-definidos com os requisitos de QoS de cada VM/Serviço, ex. vCPU, vMem, vNIC
319
Segurança Informática / ISTEC - 19/20
6.5 – Riscos da virtualização
Principais riscos da virtualização
• Vulnerabilidades em componentes de SW, exemplos:
• Falhas de isolamento em hypervisors:
• podem ser exploradas para possibilitar o acesso ao espaço de disco e à memória de outras máquinas/clientes
• Cross-VM attacks:
• tentativas de estabelecer canais de comunicação entre VMs (máquinas virtuais) de diferentes clientes para facilitar o acesso a dados de forma ilícita
* Garantir comunicação segura entre recursos de SW e HW que suportam serviços virtualizados do mesmo cliente:
• Uso de protocolos de comunicação segura
– Ex. uso de VPN com protocolos IPSec ou TLS, mandatório nas comunicação em troços via redes públicas e aconselhável nas comunicações internas
• Separação de fluxos de tráfego internos de diferentes clientes com uso de VLANs (Virtual Local Area Network)
Segurança Informática / ISTEC - 19/20
6.6 – Segurança na nuvem/IoT
Internet das Coisas / Internet of Things (IoT)
* Rede de comunicação entre dispositivos (things), onde se incluem as comunicações:
• M2M: Machine-to-Machine
• M2P: Machine-to-Person e P2M: Person-to-Machine
* Coloca objetos/maquinas inanimados (dispositivos) a comunicar via redes IP/Internet:
• Dispositivos contendo chips e sensores capazes de processar, armazenar e comunicar informação
* Objetivo: satisfação dos consumidores + suporte a novas áreas de negócio
• Impulsionadas pelo incremento da facilidade de comunicação sem fios via internet (+ velocidade/- custos), exemplos:
– Sistemas residenciais, por exemplo, contador de electricidade que comunica resultados de contagem para central, via rede celular (M2M) – Dispositivos pessoais wearable, por exemplo, Smart Watch que permite
monitorizar e comunicar informações para utilizador seguidor (M2P)
321
Segurança Informática / ISTEC - 19/20
6.6 – Segurança na nuvem/IoT
Segurança na IoT
* IoT sujeita a todos os riscos das comunicações via internet e acessos (geral/) sem fios
* Riscos adicionais originados pela grande quantidade e variedade de novos dispositivos:
• Novos dispositivos c\ novo SW => potenciar vulnerabilidades/ataques de malware:
– Necessário usar mecanismos de segurança e upgrades periódicos de SW
• Necessário proteger informação pessoal e privada lida por dispositivos e transmitida na cadeia IoT até servidores de analise e processamento de dados recolhidos na nuvem
Aquisição de dados Transporte de dados
Analise de dados