Segurana Informtica ISTEC 1718 6 Parte Segurana na

Segurança Informática / ISTEC - 17/18 6ª Parte – Segurança na Computação na Nuvem 294

6. 1 – Computação na Nuvem n Segurança Informática / ISTEC - 17/18 Computação na Nuvem (Cloud Computing) * A tecnologia Cloud Computing (computação na nuvem) é caracterizada por possibilitar às organizações o acesso a recursos de software e/ou hardware remotos, dedicados ou partilhados, físicos ou virtuais, (geral/) via internet (cloud): • Exemplo de recursos: CPU, storage, capacidade de servidores, bases de dados, etc • Localização de recusursos remotos: data centers de fornecedores de serviços na nuvem • Exemplo de empresa pioneira fornecedora de serviços na nuvem: Amazon * Impulsionada por: • Competitividade entre empresas => necessidade de optimizar as suas estruturas tecnológicas => +produtividade/-custos • Evolução tecnológica: – virtualização de plataformas – computação distribuída – acessos à Internet de maior velocidade – mecanismos de segurança 295

6. 1 – Computação na Nuvem Segurança Informática / ISTEC - 17/18 • Data Center de Nuvem: ação ar orm a inf sp pena A 296

6. 1 – Computação na Nuvem n Segurança Informática / ISTEC - 17/18 Computação na Nuvem (Cloud Computing) * Principais objetivos para clientes de serviços de computação na nuvem: • Maior flexibilidade/agilidade para adaptação a diferentes cenários de negócio em mercados cada vez mais competitivos: – A não necessidade de adquirir plataformas de hardware e software próprias deverá contribuir para acelerar expansões de capacidade e o acesso de mais clientes a serviços na nuvem – Alargar às empresas as tendências de webização inicialmente disponibilizadas nas aplicações e plataformas dirigidas a clientes individuais (ex. home banking) <=> Saa. S (Software as a Service) • Redução de custos: – Poupança de custos de investimento em plataformas de hardware e software próprios – Redução de custos operacionais devido ao efeito de economia de escala e à utilização das infra-estruturas na nuvem – Possibilitar negócios a empresas com orçamentos reduzidos 297

6. 1 – Computação na Nuvem Segurança Informática / ISTEC - 17/18 n Computação na Nuvem (Cloud Computing) * Principais objetivos para fornecedores de serviços: • Escalabilidade / Satisfação de novos pedidos de clientes: – Redução do tempo e custos para satisfazer requisitos de clientes relativamente ao cenário de uso de plataformas próprias: • Novos clientes • Expansão da capacidade atribuída a clientes já existentes • Garantia de Segurança: – O fornecedor dos serviços da nuvem deverá implementar mecanismos de segurança eficazes de modo a fiabilizar e credibilizar o uso desses serviços • Garantir boa reputação do fornecedor de serviços na nuvem – Nível de segurança deverá ser igual ou superior ao cenário de rede com infraestrutura própria 298

Segurança Informática / ISTEC - 17/18 n Computação na Nuvem (Cloud Computing) * Principais objetivos para clientes e fornecedores: • Desempenho: – Fornecedor: garantir capacidade e recursos para satisfazer diferentes requisitos de diferentes clientes +Desempenho => +Recursos dedicados => +Custo (geral/) – Cliente: minimizar tempo de acesso à infra-estrutura na nuvem • Tendencialmente superior ao tempo de acesso a plataformas próprias • Usar preferencialmente redes de acesso que suportem o maior ritmo de transmissão de dados possível (ex. fibra óptica) 299

6. 2 – Serviços na Nuvem n Segurança Informática / ISTEC - 17/18 Serviços da computação na nuvem: ação ar orm a inf sp pena A Software na nuvem Plataforma na nuvem Infra-estrutura na nuvem 300

6. 1 – Computação na Nuvem n Segurança Informática / ISTEC - 17/18 Computação na Nuvem (Cloud Computing) ação orm a inf ar sp pena A Terminais de clientes de serviços na nuvem Fornecedor de serviços na nuvem Exemplos: Webmail (Saa. S) Bases de dados (Saa. S) Sites de empresas (Paa. S) PBX Vo. IP (Iaa. S) Terminais de clientes de serviços na nuvem 301

6. 2 – Serviços na Nuvem Segurança Informática / ISTEC - 17/18 ação ar orm a inf sp pena A 302

6. 2 – Serviços na Nuvem n Segurança Informática / ISTEC - 17/18 Computação na Nuvem (Cloud Computing) * Serviços da computação na nuvem: • Software as a Service (Saa. S): – Modelo caracterizado por o fornecedor do serviço disponibilizar ao seu cliente o seu software da aplicação a partir da sua infraestrutura (nuvem) – Não necessidade de investimento em infra-estrutura local própria de suporte: • facilitar o seu acesso a partir de diferentes tipos de terminais, redes de acesso e até clientes – 1º serviço a usar o conceito de computação na nuvem: • Apropriado para utilizadores individuais – Exemplos de Saa. S: • Dropbox, BD remota para armazenamento de ficheiros pessoais • Webmail, serviço de e-mail remoto via browser 303

6. 2 – Serviços na Nuvem n Segurança Informática / ISTEC - 17/18 Computação na Nuvem (Cloud Computing) * Serviços da computação na nuvem: • Platform as a Service (Paa. S): – Modelo caracterizado pela utilização de um conjunto de software e ferramentas (ex. linguagens de programação) que permitem o desenvolvimento e gestão de serviços pelo cliente e que deverão estar disponíveis numa infra-estrutura (plataforma) do fornecedor de serviços na nuvem – Exemplo de Paa. S: • Sites de empresas, ex. site de istec está armazenado em hosting provider claranet (tracert www. istec. pt) 304

6. 2 – Serviços na Nuvem n Segurança Informática / ISTEC - 17/18 Computação na Nuvem (Cloud Computing) * Serviços da computação na nuvem: • Infrastructure as a Service (Iaa. S): – Modelo caracterizado por possibilitar aos clientes o acesso a toda a infra-estrutura de suporte a um serviço (ou conjunto de serviços) na nuvem – Exemplo de Iaa. S: • IP Centrex, serviço empresarial de voz sobre IP gerido até à extensão telefónica dos colaboradores • Elimina a necessidade da empresa investir na aquisição de uma central telefónica privada (PBX Vo. IP) 305

6. 2 – Serviços na Nuvem n Segurança Informática / ISTEC - 17/18 Tipos de nuvens: Publica (-segura/-custo) e Privada (+segura/+custo) ação na Ape Geral/ Saa. S 306 s form in para Geral/ Paa. S e Ias. S

6. 3 – Segurança na Nuvem Segurança Informática / ISTEC - 17/18 Exemplo de arquitectura de redes de nuvem: ação orm a inf ar sp pena A FW VPN: Comunicação Segura Redundância física de recursos Datacenter em rede de nuvem Isolamento de dados de =/=s clientes FW FW: Controlo de acessos 307 FW: Firewall

6. 3 – Segurança na Nuvem n Segurança Informática / ISTEC - 17/18 Principais riscos de segurança da nuvem • Nuvem rede privada partilhada e remota, geral/ acedida via internet => Serem tomadas medidas de segurança em conformidade • Garantir comunicação segura de dados privados: – Solução => uso de VPN, se acesso for via redes públicas (internet): • Autenticação • Encriptação • Controlo de integridade • Controlo de acessos a recursos na nuvem: – Soluções => • Uso de Firewall de rede para controlo de acessos externo • Garantir isolamento de recursos de diferentes clientes * Permissões com autenticação nos acessos => Impedir acessos a dados privados de outros clientes * Uso de VLANs para separação de fluxos de tráfego de diferentes clientes 308

6. 3 – Segurança na Nuvem n Segurança Informática / ISTEC - 17/18 Principais riscos de segurança: * Indisponibilidade de serviços / Isolamento de falhas: • A existência de mecanismos que efetuam a gestão de recursos que poderão ser partilhados (ex. discos, cpu) entre vários clientes poderá potenciar que uma falha nesses recursos afete a disponibilidade de vários clientes: – Soluções (podem ter custo adicional para cliente): • Usar redundância de recursos • Realizar backups periódicos de dados * Perda de Controlo: • Em virtude de na utilização de uma infra-estrutura na nuvem o cliente ceder necessariamente a terceiros (fornecedor do serviço) o controlo dos seus dados/serviços: – Ex. Eliminação de informação de forma incompleta/insegura – Solução: comprometer fornecedor a cumprir contrato 309

6. 3 – Segurança na Nuvem n Segurança Informática / ISTEC - 17/18 Principais riscos de segurança: Interface de gestão: • Interface de gestão de serviço remoto disponibilizada ao cliente via Internet poderá potenciar possíveis vulnerabilidades provenientes de browsers de clientes: • Soluções: • Controlo de acessos rigoroso (Firewall aplicacional) • Uso de anti-virus actualizado 310