A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Segurança na Nuvem Privada. Agenda Evolução do Datacenter Visão Geral da Segurança na Nuvem Principais Diferenças de Segurança em uma Nuvem Privada Desafios.

Apresentações semelhantes


Apresentação em tema: "Segurança na Nuvem Privada. Agenda Evolução do Datacenter Visão Geral da Segurança na Nuvem Principais Diferenças de Segurança em uma Nuvem Privada Desafios."— Transcrição da apresentação:

1 Segurança na Nuvem Privada

2 Agenda Evolução do Datacenter Visão Geral da Segurança na Nuvem Principais Diferenças de Segurança em uma Nuvem Privada Desafios da Segurança na Nuvem – Características Essenciais Modelo de Referência de Segurança na Nuvem Privada Principios de Segurança em uma Nuvem Privada Considerações Finais

3

4 Evolução do Datacenter Microsoft Confidential4 Computação na Nuvem Virtualização de Servidores Computação, armazenamento e rede compartilhados Modelo de Multi-Inquilino & isolamento Convergência de redes Consolidação de servidores Maior escala Hardware de servidores heterogeneo Eficiência na utilização da infra-estrutura Automação da instalação / Migração de aplicações, VM’s e Serviços Escalonamento de rede e armazenamento Isolamento de hardware Nuvem Servidores dedicados Nada virtualizado Benefícios Potencial para Crescimento Características

5

6 Desafios Confiar no modelo de segurança do provedor Obter suporte para investigação Responsabilidade pela administração indireta Ameaças Internas Segurança “On-premise” Proteção do cliente (endpoint) Perda de controle físico Vazamento de dados Desvio de tráfego

7 Quanto a Segurança “On-Premise”, ela é mesmo importante? Partes fundamentais da solução continuam nas premissas do cliente – Partes estas que se forem comprometidas podem afetar a segurança da solução por completo A rede do cliente é possivelmente o ponto mais fraco do modelo de segurança como um todo Usuários maliciosos vão tirar proveito da parte mais fraca da cadeia explorando tais vulnerabilidades

8 Defensa em Profundidade na Nuvem Produtividade com Segurança On-premises Online Multiple Layers of Protection Forçar as políticas de segurança Reforçar a Segurança On-Premise Alcançar os requisitos de regulamentaçã o e conformidade Verificar se o provedor tem um programa de segurança e qual seria Treinamento Básico de Segurança para todos colaboradores

9

10 Responsabilidade de Segurança

11 Modelo de Compartilhamento de Inquilinos Múltiplas orgs e divisões Múltiplos Inquilinos em uma nuvem privada Autenticação Autorização Controle de Acesso Requer separação lógica VMVM VMVM VMVM VMVM VMVM VMVM VMVM VMVM VMVM VMVM VMVM

12 Plataforma de Virtualização Workload Móveis Mobilidade Automatizada Desvínculo do Físico Ferramentas de Segurança Tentando se adequar Virtualização e Controles de Segurança Integração com a fábrica da nuvem privada Fornecer interfaces separadas de configuração Fornecer elasticidade programável e sobre demanda para os serviços Suportar políticas que governam atributos lógicos Habilitar zonas de confiança separadas para múltiplos inquilinos em um ambiente dinâmico

13

14 Princípios fornecem regras gerais e diretrizes para suportar a evolução de uma infra-estrutura segura de nuvem. Eles são sólidos, informam e suportam a forma com que você vai tornar seguro a nuvem privada. Estes princípios formam a base com que a segurança de uma nuvem privada é planejada, desenhada e criada. Os Onze Princípios de Segurança Limitar rotas de acesso Uso de criptografia Minimizar a superfície de ataque Auditar de forma extensiva Empregar Governança, Conformidade e Gerenciamento de Risco Automatizar operações de segurança Segurança embutida Todos dados precisam estar acessíveis Ataques vem de dentro (autorizado e autenticado) Forçar isolamento Aplicar melhores práticas

15

16 Resource Pooling Como um consumidor (inquilino) dos serviços oferecidos pela nuvem privada na minha empresa tenho o requisito de que meus dados estejam seguros, nimguém pode acessá-los e os dados precisam estar salvos caso algo inesperado ocorra. Prevenir vazamento entre Inquilinos AAA Também se aplica aos administradores RBAC

17 On-Demand Self-Service Como o arquiteto, designer ou operador de uma solução de nuvem privada, como eu posso controlar quem tem acesso a minha nuvem privada e como eu posso monitorar e auditar o uso dos meus serviços? Quem tem autoridade para: DemandarDisponibilizarUsarLiberar

18 Rapid Elasticity Eu estou preocupado que uma aplicação defeituosa, um cliente ou um ataque do tipo DoS possa comprometer a estabilidade do datacenter através de um pedido massivo de recursos. Como posso reconciliar a percepção de recursos infinitos com a realidade?

19 Broad Network Access Como um arquiteto de uma solução de nuvem privada, eu quero ter certeza que o nível apropriado de segurança é aplicado independente da localização física e da forma de acesso. Estes requisitos aplicam-se para o gerenciamento da nuvem e das aplicações. BYOD Acessar o estado do dispositivo Controle de acesso da aplicação Dados no dispositivo Requisitos de acesso universal x controle do dispositivo

20 Broad Network Access – Redefinição do Perímetro Driven By: IPv6 Queijo Suiço Eterna busca de portas Custo/benefício

21

22 Modelo de Segurança da Nuvem Privada Domínios de Segurança Funcionalidade Infra-estrutura Plataforma Software Entrega do Serviço Gerenciamento Cliente Conformidade

23 Modelo de Segurança

24

25 Segurança na Virtualização Windows Kernel Servidor Core Pilha de Virtualização Device Drivers Windows hypervisor VM Worker Processes Partição Guest Anel 0 Anel 3 OS Kernel VMBus Aplicações Guest Partição Raiz CPU Storage NIC Anel 0 Anel 3 Pseudo Anel “-1” Microkernel Hypervisor Isolamento entre partições Sem uso de drivers de terceiros Partição Raiz Orquestra todo acesso ao hypervisor Servidor core minimiza a superfície de ataque ~50% menos no requisito de patch Guests não podem interferir entre eles “Workers processes” dedicado Canal VMBus dedicado

26 Segurança na Virtualização Hypervisor Monolitico: Pilha de virtualizaçao e drivers de terceiros rodam em modo privilegiado Código maior Maior dificuldade de hardening Mais exposto Hardware Hypervisor VM 1VM 2 Virtual ization Stack Root Partition Drivers Guest Partition Hypervisor VM 1 (Admin) VM 2VM 3 Hardware Drivers Virtualization Stack “The fact is, the absolute last place you want to see drivers is in the hypervisor, not only because the added abstraction layer is inevitably a big performance problem, but because hardware and drivers are by definition buggier than "generic" code that can be tested.” Linus Torvalds, https://lists.linux-foundation.org/pipermail/desktop_architects/2007-August/ html

27 Hosts e VMs devem suportar 802.1Q (VLAN tagging) VLAN ID Forçar isolamento Uso de Firewalls para permitir tráfego inter-VLAN de acordo com a política Isolamento de: Host dos guests Tráfego de gerenciamento com tráfico dos inquilinos Isolamento da Rede

28 Data Center’s Physical Servers Guest OS Data-Center Network Isolamento de Rede Lógica Host-based firewall habilitado Bloquear todas conexões inbound para serviços não essenciais Isolamento de Domínio usando IPSec

29 Próximos Passos cloud-security.aspx

30 Perguntas

31 Contato Blog (ENG): blogs.technet.com/yuridiogenes Blog (PT-BR): yuridiogenes.wordpress.com


Carregar ppt "Segurança na Nuvem Privada. Agenda Evolução do Datacenter Visão Geral da Segurança na Nuvem Principais Diferenças de Segurança em uma Nuvem Privada Desafios."

Apresentações semelhantes


Anúncios Google