uff tech 2013 - segurança no cloud - Álvaro teófilo, produban (banco santander)
DESCRIPTION
PalestTRANSCRIPT
CLOUD VS. SECURITYOU CLOUD + SECURITY?Rio de Janeiro, 13 de Novembro de
2013
O que preocupa os chefes de segurança?
http://www.ncircle.com/index.php?s=resources_security-trends-surveys
Pesquisa na RSA Conference 2013
http://www.accelops.com/pdf/Cloud%20Security%20Survey%20Report.pdf
Sua Empresa usa Serviços Cloud na Gestão de Sistemas Críticos?
Quem Gerencia a Segurança dos Serviços Cloud Contratados?
Padrões de Segurança Prometidos em Cloud
AUTENTICAÇÃO FORTE
CERTIFICAÇÃO ISO27001
ISOLAMENTO & MULTI TENANT
FIREWALLS & IPS’s VPN & IPSEC IDENTITY
MANAGEMENT
INTEGRAÇÃO COM BACKUPS
FÍSICOSPATCHING MONITORAMEN
TO
Ameaças à Própria Cloud: CSA*
FALHAS E INCIDENT
ES
Abuso ou uso
fraudulento
Interfaces e APIs
inseguras
Insiders mal-
intencionados
Tecnologias compartilhad
as
Perda ou vazamento
de informação
Sequestro de contas Unknown Risk
Profile
Falha de Hardware
Desastres Naturais
Fechamento do
Serviço
Cloud Security Alliance - bit.ly/HOdgTL
Isolamento
O efeito “Noisy Neighbor”
Cloud e Fraudes Eletrônicas
“A Cloud que contratamos possui serviço de backup”
http://www.symantec.com/content/en/us/about/media/pdfs/b-state-of-cloud-global-results-2013.en-us.pdf
Você já teve a experiência de não conseguir recuperar dados em sua cloud com a opção de backups contratado?
Minha empresa não adotou Cloud. Tem Certeza?
http://www.symantec.com/content/en/us/about/media/pdfs/b-state-of-cloud-global-results-2013.en-us.pdf
Projetos de “Rogue” Cloud
http://www.symantec.com/content/en/us/about/media/pdfs/b-state-of-cloud-global-results-2013.en-us.pdf
• dizem que suas empresas têm esse problema75%
• Se considerarmos apenas as grandes corporações.83%
• declararam exposição de informações confidenciais40%
• tiveram situações de roubo de logins, invasões em seus sites ou perda de ativos
25%
Serviços de Segurança em Cloud
COMPANY
WEBAPPs
WAF – Cloud as Security Service
INTERNET
ataque
ataque
ataque
Tráfego filtrado
As aplicações web só recebem requisições após o filtro aplicado pela empresa no Web Application Firewall
Serviços de Segurança em Cloud
COMPANY
Mail Servers
Antispam – AV
INTERNET
Tráfego filtrado
A empresa só recebe e-mails “limpos”
Serviços de Segurança em Cloud
COMPANY
Users
Proxy – Navegação Segura
INTERNET
Acesso
Acesso
Acesso
Acesso Internet
Nesse caso a navegação de usuários é avaliada em servidores externos, permitindo somente a entrada de tráfego confiável.
Tráfego Limpo
Gestão Anti-Fraudes na Cloud
+ Cloud + Segurança
MenorCapacidade própria em
Segurança e/ou velocidade de implantação
Mais interessante o uso de serviços
cloud
Em Resumo
• De fato, provedores sérios de Cloud possuem grande capacidade de oferecer segurança em seus serviços
• Entre no detalhe das arquiteturas e recursos de segurança oferecidos para analisar os concorrentes
• Não use certificações e auditorias independentes como meio de escolher a Cloud mais segura