Segurana em Cloud Computing Alfredo Santos

Segurana em solues que utilizam Cloud Computing Alfredo Santos

2012

www.alfredosantos.com.br

1 www.alfredosantos.com.br

Segurana em Cloud Computing Alfredo Santos

Segurana em Cloud Computing Como se preparar para esta, que est deixando de ser tendncia para virar padro? Primeiramente devemos considerar e entender os trs modelos de computao na nuvem: SaaS, PaaS e IaaS. IaaS (Infraestrutura como servio) - Onde a infraestrutura bsica oferecida pelo provedor e os demais componentes e aplicativo so de responsabilidade do contratante. Nesta modalidade o sistema operacional disponibilizado, mas servidores de aplicao e aplicao so responsabilidade do cliente instalar, configurar e manter. PaaS (Plataforma como servio) - Onde o contratante entra com a soluo de aplicao e os demais servios so responsabilidades do provedor de servios. Nesta modalidade at o servidor de aplicao disponibilizado, menos a aplicao em si, ou seja, o aplicativo em si e suas eventuais vulnerabilidades so de responsabilidade do cliente. SaaS (Software como servio) - Onde toda soluo responsabilidade do provedor de servios, o que no diminui a responsabilidade do dono da informao. Basicamente, indo de IaaS passando por PaaS at o SaaS, a responsabilidade de segurana transita do contratante para o provedor, onde no modelo SaaS faz-se necessrio um contrato muito bem completo e elaborado. Vale lembrar tambm que, independente do modelo, o contratante sempre o dono da informao. Agora que temos mapeados os modelos, vamos s recomendaes, estas que podem variar de acordo com o modelo, onde o provedor deve: 1. Estabelecer em contrato os SLAs incluindo os casos de incidentes de segurana muito importante um detalhamento forte de SLA nos contratos pois o controle sai totalmente do time interno de TI e Segurana. Qualquer indisponibilidade de infraestrutura, ataques de negao de servio, vulnerabilidades e outros incidentes de segurana, se no estiverem bem estabelecidos em contrato, no podero ter o devido tratamento em tempo hbil, impedindo penalidades e multas. 2. Fornecer o desenho da arquitetura de segurana O fornecedor deve alinhar com voc (e detalhar em contrato) a arquitetura de segurana empregada no ambiente dele. Ele no necessariamente deve informar o fabricante, mas deve garantir que possui por exemplo: Firewall segregando ambientes (Internet, Operao, dados de cartes, etc.). Antivrus Solues de deteco de intruso Etc. 3. Possuir protees especializadas de permetro, como por exemplo, IPS e Firewall de aplicao.

2 www.alfredosantos.com.br

Segurana em Cloud Computing Alfredo Santos Segurana tecnolgica no se resume a Firewall. necessrio que seu parceiro de negcio que est disponibilizando as solues na nuvem, esteja preparado para proteger o permetro de forma mais efetiva. Se for uma soluo de e-mail na nuvem: Antivrus AntiSpam Controle de vazamento de informao Possibilidade de se criar regras especficas de bloqueio, incluindo anexos. Monitorao dos e-mails Se for uma soluo de aplicativo na nuvem: Ferramenta de deteco de intruso (IPS) Firewall de aplicao Firewall de nova gerao Ferramenta de mitigao de ataques DDOS Controle de vazamento de informao Correlao de logs Rede de entrega de contedo (CDN) 4. Possuir firewall de rede segregando todas as redes, separando inclusive usurios operadores do ambiente de servidores. Agora um ponto de ateno em relao ao tradicional firewall o correto posicionamento dele, sendo que importante posicionar segregando alm do permetro: Servidores de aplicao x Base de dados geral Bases de dados x dados de carto de crdito Ambiente de operao x ambiente de servidores 5. Segregao de funo dentro do provedor, onde por exemplo, quem atua dentro do datacenter no a mesma pessoa que opera o sistema O objetivo deste ponto garantir que uma pessoa com acesso direto a um equipamento no tenha acesso lgico ao mesmo, isso minimiza problemas diversos, como por exemplo, a pessoa conectar um HD externo e copiar informao privilegiada, ou acessar diretamente um servidor e manipular arquivos de configurao do mesmo. 6. Permitir Anlises de Vulnerabilidade e Ethical Hacking O provedor de soluo na nuvem dever permitir em contrato que sejam feitas anlises de vulnerabilidade e Ethical Hacking em cima do ambiente, devidamente agendados visando garantir disponibilidade do ambiente. Este tipo de anlise poder ser feita por uma empresa terceira contratada pelo fornecedor, mas desde que seja reconhecida a credibilidade por voc contratante. 7. Permitir acesso ao log do ambiente e sistemas Alinhar com o provedor quais sero os mecanismos para acesso a log do ambiente. necessrio ter viso de toda rastreabilidade de administrao de usurios e perfis de acesso, incluindo criao, alterao, excluso, troca de senha, alm de registros de quem realizou determinadas transaes criticas. Isso pode ser disponibilizado por um portal por exemplo. 3 www.alfredosantos.com.br

Segurana em Cloud Computing Alfredo Santos

8. Permitir o uso de ferramentas de correlao e reteno de log O provedor deve permitir o uso de coletores de log para envio para ferramentas de correlao e reteno de log que ficam dentro de sua empresa (on premises). Depois disso, fica a cargo do correlacionador cruzar este log com outros logs para identificar ameaas de segurana. 9. Ter um focal de segurana para atender o contratante durante toda vigncia do contrato O provedor deve possuir uma pessoa que seja a ponte de aspectos de segurana com o cliente final. Esta pessoa a responsvel por gerenciar as demandas e problemas que possam vir a acontecer com segurana. Esta pessoa tambm responsvel por organizar os relatrios de segurana para o contratante. 10. Realizar uma gesto de vulnerabilidades, ameaas e riscos alinhada com o contratante. Basicamente o ciclo de gesto de vulnerabilidades, ameaas e riscos deve ser alinhado com a rea de segurana da informao do contratante para que a empresa contratante tenha controle dos riscos de segurana sem ficar no escuro. Este o ponto mais complicado, pois os fornecedores no se sentem confortveis em compartilhar isso, ento o item anterior de Anlise de Vulnerabilidades e Ethical Hacking fundamental para suprir parte de eventuais deficincias deste item. 11. Compartilhar a politica de continuidade de negcios e plano de recuperao de desastres O recomendado neste caso uma apresentao de como o fornecedor gerencia estes pontos e SLAs voltados para continuidade de negcio estabelecidos em contrato. 12. Ter a certificao SAS70 ou similar SAS70 e certificaes novas similares so certificaes voltadas para datacenter e no necessariamente para solues na nuvem. Ento considerem que este tipo de certificao obrigatrio para um datacenter, mas no suficiente para no checar os demais itens de computao na nuvem. 13. Detalhar em contrato o processo de termino de atividades Basicamente se resume em detalhar no contrato como ser tratada a informao no caso de fim de contratao do servio na nuvem. Deve ser considerada a questo de exportao e entrega da informao e destruio de backups e rastros de dados que ficariam no provedor. 14. Detalhar em contrato o processo de descarte de dados Em contrato devem ser estabelecidos os mtodos utilizados para descarte de dados considerando storage de servidores e fitas de backup relacionadas a seu negcio. 4 www.alfredosantos.com.br

Segurana em Cloud Computing Alfredo Santos

15. Detalhar em contrato o processo de respostas a demandas legais Um provedor de servios na nuvem, eventualmente pode sofrer uma demanda legal de entrega de informaes (Isso pode variar muito de acordo com as leis de cada pais). necessrio estabelecer um processo de comunicao para o contratante nos casos de demanda legal, onde o mesmo deve ser avisado, no caso da necessidade de entrega de ativos de informao. 16. Detalhar em contrato o processo de backup e guarda de fitas Outro item importante que deve ser claramente detalhado em contrato. A frequncia de backup (dirio, mensal e anual por exemplo) deve ser acordada e colocada no contrato e a guarda do backup deve ficar em local seguro, externo a empresa do provedor. 17. Detalhar o quanto o ambiente/infraestrutura compartilhado com outros clientes Este ponto precisa ser claramente estabelecido entre as partes e claramente documentado em contrato. Existem diversas possibilidades de segregao que podem ocorrer em um ambiente de soluo na nuvem. Seguem alguns exemplos: Infraestrutura (Firewall, rede, servidores web) compartilhados e dados em servidores separados. Infraestrutura e dados em ambientes compartilhados Dados segregados em lgica de programao (pior caso), onde o cdigo do programa define o que vai exibir para cada cliente. Este um dos maiores pontos de confidencialidade da segurana na nuvem, pois uma vulnerabilidade de cdigo ou de infraestrutura pode expor dados de forma indevida. Deve-se analisar possibilidades de segregao de dados e como encriptar estes dados para que no caso de um vazamento de informao no possam ser utilizados. 18. Informar como gerenciam o controle de vazamento de informao Sua informao est em um local sem seu controle e operado por outras pessoas. necessrio entender (E sempre colocar em contrato) como o vazamento de informao gerenciado pela contratada. Pode ser um ambiente muito restrito, onde os operadores no acessam internet ou mdias removveis (USB, CD, DVD, etc.) ou um ambiente com soluo de DLP instalada. 19. Detalhar procedimentos em casos de ataques DDOS Detalhar em contrato como funciona a preveno a DDOS (Caso exista) e como funciona o procedimento de comunicao para o contratante. 20. Identificar onde ficar o datacenter ou os datacenters da soluo para atender ou se preocupar com particularidades legais locais Basicamente importante constar em contrato a localizao dos datacentes onde ficaro os dados da soluo em nuvem, pois isso influenciar a questo de atendimento a demandas legais que podem variar de acordo com o pais. 5 www.alfredosantos.com.br

Segurana em Cloud Computing Alfredo Santos

21. Demonstrar o processo de gesto de chaves criptogrficas Esta uma das partes mais importantes de segurana em computao na nuvem pois decisiva em relao confidencialidade de dados. O mais correto que os dados sejam criptografados e que as chaves de criptografia fiquem em poder do contratante, pois caso fiquem em poder do contratado, existe um risco maior de que algum roube ou utilize as mesmas. 22. Controle de acesso Imagine que sua aplicao est fora agora da sua empresa. Como fica a questo de gesto de usurios (Criao, Excluso, Alterao) e perfis de acesso? Um caminho a gesto por meio da interface fornecida pelo contratado, outro meio, a utilizao de um recurso conhecido como federao. Basicamente federao consiste em uma base de usurios confiar em bases externas. Ou seja, a aplicao na nuvem pode consultar um usurio dentro da sua empresa na sua base de rede por exemplo. Isso te d uma srie de vantagens, como por exemplo, ter o controle dos usurios mais prximos, facilidade para bloquear um usurio, senha nica, etc. Outra preocupao em relao a controle de acesso o uso de autenticao forte, pois considerando que o servio ficar mais exposto na internet, o ideal que o usurio utilize algo mais, alm do par tradicional, usurio e senha. Neste caso, recomendo: Token fsico Carto de senhas Certificado digital Biometria Senha por SMS 23. Permisso de auditorias externas Aps o fornecedor prometer os diversos itens acima, chegada a hora de considerarem em contrato que voc contratante pode realizar visitas de auditorias peridicas para comprovar o andamento dos compromissos de contrato relacionados segurana. Para isto ser mais efetivo, sugiro o uso de um checklist. Este checklist pode ser utilizado para o momento de contratao e para estas auditorias peridicas. Tenho uma sugesto de checklist em anexo, disponvel para uso livre nos trabalhos com segurana na nuvem.

6 www.alfredosantos.com.br

Segurana em Cloud Computing Alfredo Santos Glossrio: 1. Anlise de vulnerabilidade Anlises realizadas de forma manual ou automatizada com aplicativos visando identificar vulnerabilidades em ambientes tecnolgicos que possam ser exploradas 2. AntiSpam Ferramenta que visa bloquear o envio ou recebimento de mensagens indesejadas 3. Antivrus Ferramenta para identificao e bloqueio de vrus no ambiente tecnolgico 4. Biometria Mecanismo que possibilita autenticar o acesso de uma pessoa baseado em caractersticas fsicas nicas, como por exemplo, uma digital. 5. Carto de senhas Carto fsico com uma sequencia de senhas que pode ser utilizado para compor um acesso a um sistema, junto de um usurio e uma senha pessoal. 6. Certificado digital Certificado utilizado para autenticar um equipamento ou pessoa para acesso a um ambiente 7. Controle de vazamento de informao (DLP) Processos e ferramentas para controle de vazamento de informaes que pode ser composto por bloqueio de uso de USB e acesso a internet restrito ou at o uso de ferramenta que monitore palavras chaves em documentos sensveis. 8. Correlao de logs Cruzamento de informaes de diversos logs visando identificar comportamentos com anormalidade. 9. Ethical Hacking Simulao de forma tica de tcnicas empregadas para ataques em ambientes corporativos. Visa entender potenciais pontos de melhoria. 10. Ferramenta de deteco de intruso (IPS) Ferramentas que analisando o trfego de rede, entendem comportamentos maliciosos e realizam o bloqueio destas atividades. 11. Ferramenta de mitigao de ataques DDOS So ferramentas focadas para entender o comportamento de ataques de negao de servio (DDOS) e mitigar os mesmos. 12. Ferramenta de reteno de logs Ferramentas que realizam a compactao e guarda de registro de usos de sistemas 13. Firewall de aplicao Firewalls especializados em comportamentos de aplicao e no s rede, que possuem assinaturas de tipos de ataques para bloquear os mesmos. 14. Firewall de nova gerao So firewalls de rede com inteligncia para anlise de contedo dos pacotes, possvel, por exemplo, bloquear apenas troca de arquivos em um aplicativo de troca de mensagens.

7 www.alfredosantos.com.br

Segurana em Cloud Computing Alfredo Santos 15. Rede de entrega de contedo (CDN) So redes de computadores que podem realizar armazenamento de dados estticos como imagens para entregar de forma rpida sem precisar consultar sempre o computador principal da soluo. 16. SMS Servio de mensagens curtas que funciona por meio das operadoras de celular. 17. Token fsico Equipamento fsico pequeno gerador de senhas aleatrias

8 www.alfredosantos.com.br

Segurana em Cloud Computing Alfredo Santos

REQUISITOS DE SEGURANA PARA PROJETOS DE COMPUTAO NA NUVEM

Nome do Parceiro: Responsvel pelas informaes: N 1 2 3 4 5 6 7 8 9 10

DESCRIO

VALIDAO

Estabelecer em contrato os SLAs incluindo os casos de incidentes de segurana. Fornecer o desenho da arquitetura de segurana para nosso conhecimento. Possui Firewall de aplicao e IPS? Possui Firewall de rede segregando borda e usurios finais dos servidores? Quem opera fisicamente um equipamento no pode ser a mesma pessoa que opera logicamente. Permite anlises de vulnerabilidades programadas pelo nosso time ou realizar anlises de vulnerabilidade por empresas terceiras com reputao comprovada? Permite acesso aos logs quando solicitado por nossa equipe? Permitir no futuro a instalao de coletores de logs para ferramentas de SIEM? Ter um focal de segurana da informao para CVC. Favor informar nome e telefone no campo "Observao". Compartilhar os processos de gesto de riscos, vulnerabilidades e ameaas para atestarmos a eficincia dos mesmos.

11 Comunicar-nos regularmente do estado do Risco de Segurana do Ambiente. 12 13 14 15 16 17 18 19 20 Entregar resultados dos planos de tratamento de riscos. Compartilhar a Politica de BCP e DRP. Enviar da cpia da certificao SAS70. Detalhar no contrato o processo para termino de contrato. Detalhar o processo de descarte de dados Detalhar o processo de resposta a demanda. Detalhar processo de backup e guarda de fitas Detalhar o contrato dos funcionrios (CLT/PJ). Detalhar eventual compartilhamento de infraestrutura. Como gerenciado o vazamento de informao? Descrever no campo 21 "Observao".

9 www.alfredosantos.com.br

Segurana em Cloud Computing Alfredo Santos

22 Detalhar qual ser o procedimento em caso de deteco de DDOS. 23 Garante que o datacenter no Brasil? 24 Demonstrar conformidade de licenciamento de software. 25 Podemos usar o Single Sign On Solutions? 26 Podemos usar a autenticao forte, como RSA token Certificado ou Token SMS? 27 Voc tem logs de processo de negcio crtico? 28 Logs de acesso ao sistema do usurio 29 Voc tem logs de processo de negcio crtico? 30 Voc poderia detalhar o gerenciamento de perfil de sua soluo? 31 Permite auditoria no sistema? 32 Voc tem um ISO / IEC 27001/27002 Certificao / Roteiro 33 possvel exportar os dados do sistema em um formato de troca, como XML? DEMAIS INFORMAES

10 www.alfredosantos.com.br

Segurana em Cloud Computing Alfredo Santos

Este trabalho foi licenciado com a Licena Creative Commons Atribuio - NoComercial SemDerivados 3.0 No Adaptada. Para ver uma cpia desta licena, visite http://creativecommons.org/licenses/by-nc-nd/3.0/ ou envie um pedido por carta para Creative Commons, 444 Castro Street, Suite 900, Mountain View, California, 94041, USA.

11 www.alfredosantos.com.br