Segurança na Nuvem Privada
description
Transcript of Segurança na Nuvem Privada
![Page 1: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/1.jpg)
Segurança na Nuvem Privada
Yuri DiogenesSenior Technical WriterServer and Cloud Division iX Solutions/Foundations Group - Security
![Page 2: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/2.jpg)
Agenda
Evolução do Datacenter
Visão Geral da Segurança na Nuvem
Principais Diferenças de Segurança em uma Nuvem Privada
Desafios da Segurança na Nuvem – Características Essenciais
Modelo de Referência de Segurança na Nuvem Privada
Principios de Segurança em uma Nuvem Privada
Considerações Finais
![Page 3: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/3.jpg)
Evolução doDatacenter
![Page 4: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/4.jpg)
Microsoft Confidential 4
Evolução do DatacenterComputação na Nuvem
Virtualização de Servidores
• Virtualização de Servidores
• Computação, armazenamento e rede compartilhados
• Modelo de Multi-Inquilino & isolamento
• Convergência de redes
• Consolidação de servidores• Maior escala• Hardware de servidores
heterogeneo
• Eficiência na utilização da infra-estrutura
• Automação da instalação / Migração de aplicações, VM’s e Serviços
• Escalonamento de rede e armazenamento
• Isolamento de hardware
Nuvem
• Servidores dedicados• Nada virtualizado
Bene
fício
s
Potencial para Crescimento
Cara
cter
ístic
as
![Page 5: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/5.jpg)
Visão Geral da Segurança na Nuvem
![Page 6: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/6.jpg)
Desafios
Confiar no modelo de segurança do provedorObter suporte para investigaçãoResponsabilidade pela administração indireta
Ameaças InternasSegurança “On-premise”Proteção do cliente (endpoint)
Perda de controle físicoVazamento de dadosDesvio de tráfego
![Page 7: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/7.jpg)
Quanto a Segurança “On-Premise”, ela é mesmoimportante?• Partes fundamentais da solução continuam nas
premissas do cliente– Partes estas que se forem comprometidas podem
afetar a segurança da solução por completo• A rede do cliente é possivelmente o ponto mais
fraco do modelo de segurança como um todo• Usuários maliciosos vão tirar proveito da parte mais
fraca da cadeia explorando tais vulnerabilidades
![Page 8: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/8.jpg)
Defensa em Profundidade na Nuvem
Produtividade com Segurança
On-premises
OnlineMultiple Layers of
ProtectionForçar as
políticas de segurança
Reforçar a Segurança On-Premise
Alcançar os requisitos de regulamentaç
ão e conformidade
Verificar se o provedor
tem um programa
de segurança e qual seria
Treinamento Básico de Segurança para todos
colaboradores
![Page 9: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/9.jpg)
Principais diferenças de segurança na nuvem privada
![Page 10: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/10.jpg)
Resp
onsa
bili
dade d
e
Segu
rança
![Page 11: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/11.jpg)
Modelo de Compartilhamento de Inquilinos
•Múltiplas orgs e divisõesMúltiplos
Inquilinos em uma nuvem privada
•Autenticação
•Autorização
•Controle de Acesso
Requer separação lógica
Host B
Host C Host D
Host A
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
![Page 12: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/12.jpg)
Plataforma de Virtualização
Workload Móveis
Mobilidade Automatizada
Desvínculo do Físico
Ferramentas de Segurança
Tentando se adequar
Virtualização e Controles de Segurança
• Integração com a fábrica da nuvem privada• Fornecer interfaces separadas de
configuração• Fornecer elasticidade programável e sobre
demanda para os serviços• Suportar políticas que governam atributos
lógicos• Habilitar zonas de confiança separadas para
múltiplos inquilinos em um ambiente dinâmico
![Page 13: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/13.jpg)
Princípios de Segurança na Nuvem Privada
![Page 14: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/14.jpg)
Princípios fornecem regras gerais e diretrizes para suportar a evolução de uma infra-estrutura segura de nuvem. Eles são
sólidos, informam e suportam a forma com que você vai tornar seguro a nuvem privada. Estes princípios formam a
base com que a segurança de uma nuvem privada é planejada, desenhada e criada.
Os Onze Princípios de Segurança
Limitar rotas de acesso
Uso de criptografia
Minimizar a superfície de
ataque
Auditar de forma
extensiva
Empregar Governança,
Conformidade e Gerenciamento de
Risco
Automatizar operações de
segurança
Segurança embutida
Todos dados precisam
estar acessíveis
Ataques vem de dentro
(autorizado e autenticado)
Forçar isolamento
Aplicar melhores práticas
![Page 15: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/15.jpg)
Desafios da Segurança na Nuvem – Caracaterísticas
Essenciais
![Page 16: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/16.jpg)
Resource Pooling
Como um consumidor (inquilino) dos serviços oferecidos pela nuvem privada na minha empresa tenho o requisito de que meus dados estejam seguros, nimguém
pode acessá-los e os dados precisam estar salvos caso algo inesperado ocorra.
Prevenir vazamento entre
Inquilinos
AAA
Também se aplica aos
administradores
RBAC
![Page 17: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/17.jpg)
On-Demand Self-Service
Como o arquiteto, designer ou operador de uma solução de
nuvem privada, como eu posso controlar quem tem acesso a
minha nuvem privada e como eu posso monitorar e auditar o uso
dos meus serviços? Quem tem autoridade para:
Demandar Disponibilizar Usar Liberar
Erros na disponibilização de recursos
Processo de
Limpeza
Acordo no Nível de Serviço explícito
![Page 18: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/18.jpg)
Rapid Elasticity
Eu estou preocupado que uma aplicação defeituosa, um cliente ou um ataque do tipo DoS possa comprometer a
estabilidade do datacenter através de um pedido massivo de recursos. Como posso reconciliar a
percepção de recursos infinitos com a realidade?
Automação de recursosPrevenção de uso malicioso ou indevidoMonitoramento de recursosPolíticas de cotas
![Page 19: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/19.jpg)
Broad Network Access
Como um arquiteto de uma solução de nuvem privada, eu quero ter
certeza que o nível apropriado de segurança é aplicado independente da localização física e da forma de acesso. Estes requisitos aplicam-se para o gerenciamento da nuvem e
das aplicações.
BYOD
Acessar o estado do dispositivo
Controle de acesso da aplicação
Dados no dispositivo
Requisitos de acesso universal x controle do dispositivo
![Page 20: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/20.jpg)
Broad Network Access – Redefinição do Perímetro
Driven By:
• IPv6• Queijo Suiço• Eterna busca de
portas• Custo/benefício
Ataques autenticado
s
Tipos de Clientes
Defesa em profundidade
![Page 21: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/21.jpg)
Modelo de Segurança da Nuvem Privada
![Page 22: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/22.jpg)
Modelo de Segurança da Nuvem Privada
Domínios de Segurança
Funcionalidade
Infra-estrutura
Plataforma
Software
Entrega do Serviço
Gerenciamento
Cliente
Conformidade
![Page 23: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/23.jpg)
Modelo
de
Segura
nça
![Page 24: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/24.jpg)
Considerações Finais
![Page 25: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/25.jpg)
Segurança na Virtualização
WindowsKernel
Servidor Core
Pilha de Virtualização
DeviceDrivers
Windows hypervisor
VM WorkerProcesses
Partição Guest
Anel 0
Anel 3
OSKernel
VMBus
Aplicações Guest
Partição Raiz
CPUStorage NIC
Anel 0
Anel 3
Pseudo Anel “-1”
Microkernel HypervisorIsolamento entre partiçõesSem uso de drivers de terceiros
Partição RaizOrquestra todo acesso ao hypervisorServidor core minimiza a superfície de ataque
~50% menos no requisito de patch
Guests não podem interferir entre eles
“Workers processes” dedicadoCanal VMBus dedicado
![Page 26: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/26.jpg)
Segurança na VirtualizaçãoHypervisor Monolitico:
Pilha de virtualizaçao e drivers de terceiros rodam em modo privilegiado
Código maiorMaior dificuldade de hardeningMais exposto
Hardware
Hypervisor
VM 1 VM 2
Virtual
ization
Stack
RootPartitio
n
Drivers
GuestPartitio
n
GuestPartitio
n
Hypervisor
VM 1(Admin)
VM 2 VM 3
Hardware
Drivers
Virtualization Stack
“The fact is, the absolute last place you want to see drivers is in the hypervisor, not only because the added abstraction layer is inevitably a big performance problem, but because hardware and drivers are by definition buggier than "generic" code that can be tested.”Linus Torvalds, https://lists.linux-foundation.org/pipermail/desktop_architects/2007-August/002446.html
![Page 27: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/27.jpg)
Hosts e VMs devem suportar 802.1Q (VLAN tagging)
VLAN IDForçar isolamentoUso de Firewalls para permitir tráfego inter-VLAN de acordo com a política
Isolamento de:Host dos guestsTráfego de gerenciamento com tráfico dos inquilinos
Isolamento da Rede
![Page 28: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/28.jpg)
Data Center’sPhysical Servers
Guest OS
Data-Center Network
Isolamento de Rede Lógica
Host-based firewall habilitadoBloquear todas conexões inbound para serviços não essenciaisIsolamento de Domínio usando IPSec
Autenticação no nível de rede
![Page 29: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/29.jpg)
Próximos Passos
http://social.technet.microsoft.com/wiki/contents/articles/6642.a-solution-for-private-cloud-security.aspx
![Page 30: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/30.jpg)
Perguntas
![Page 31: Segurança na Nuvem Privada](https://reader035.fdocument.pub/reader035/viewer/2022062222/56814f9d550346895dbd5ab4/html5/thumbnails/31.jpg)
Contato
Twitter: @yuridiogenesBlog (ENG): blogs.technet.com/yuridiogenesBlog (PT-BR): yuridiogenes.wordpress.com