Segurança na Nuvem Privada

1. Segurança na Nuvem Privada Yuri Diogenes Senior Technical Writer Server and Cloud Division iXSolutions/Foundations Group - Security

2. Agenda Considerações Finais Modelo de Referência de Segurança na Nuvem Privada Desafios da Segurança na Nuvem – Características Essenciais Principios de Segurança em uma Nuvem Privada Principais Diferenças de Segurança em uma Nuvem Privada Visão Geral da Segurança na Nuvem Evolução do Datacenter Segurança da Nuvem Privada

3. Evolução doDatacenter

4. Evolução do Datacenter Computação na Nuvem Virtualização de Servidores Nuvem Potencial para Crescimento • Virtualização de Servidores • Servidores dedicados • Nada virtualizado • Computação, armazenamento e rede compartilhados • Modelo de Multi-Inquilino & isolamento • Convergência de redes Características • Isolamento de hardware • Consolidação de servidores • Maior escala • Hardware de servidores heterogeneo • Eficiência na utilização da infra-estrutura • Automação da instalação / Migração de aplicações, VM’s e Serviços • Escalonamento de rede e armazenamento Benefícios Microsoft Confidential

5. Visão Geral da Segurança na Nuvem

6. Desafios Perda de controle físico Vazamento de dados Desvio de tráfego • Confiar no modelo de segurança do provedor • Obter suporte para investigação • Responsabilidade pela administração indireta Ameaças Internas Segurança “On-premise” Proteção do cliente (endpoint)

7. Quanto a Segurança “On-Premise”, ela é mesmoimportante? • Partes fundamentais da solução continuam nas premissas do cliente • Partes estas que se forem comprometidas podem afetar a segurança da solução por completo • A rede do cliente é possivelmente o ponto mais fraco do modelo de segurança como um todo • Usuários maliciosos vão tirar proveito da parte mais fraca da cadeia explorando tais vulnerabilidades

8. Defensa em Profundidade na Nuvem Verificar se o provedor tem um programa de segurança e qual seria Alcançar os requisitos de regulamentação e conformidade Forçar as políticas de segurança Reforçar a Segurança On-Premise Treinamento Básico de Segurança para todos colaboradores On-premises Produtividade com Segurança Online Multiple Layers of Protection

9. Principais diferenças de segurança na nuvem privada

10. Responsabilidade de Segurança

11. Modelo de Compartilhamento de Inquilinos Host A Host B VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM Host C Host D VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM

12. Plataforma de Virtualização

13. Princípios de Segurança na Nuvem Privada

14. Os Onze Princípios de Segurança Aplicar melhores práticas Princípios fornecem regras gerais e diretrizes para suportar a evolução de uma infra-estrutura segura de nuvem. Eles são sólidos, informam e suportam a forma com que você vai tornar seguro a nuvem privada. Estes princípios formam a base com que a segurança de uma nuvem privada é planejada, desenhada e criada. Forçar isolamento Segurança embutida Ataques vem de dentro (autorizado e autenticado) Todos dados precisam estar acessíveis Uso de criptografia Automatizar operações de segurança Auditar de forma extensiva Empregar Governança, Conformidade e Gerenciamento de Risco Limitar rotas de acesso Minimizar a superfície de ataque

15. Desafios da Segurança na Nuvem – Caracaterísticas Essenciais

16. Resource Pooling

17. On-Demand Self-Service Erros na disponibilização de recursos Processo de Limpeza Acordo no Nível de Serviço explícito

18. Rapid Elasticity Automação de recursos Prevenção de uso malicioso ou indevido Monitoramento de recursos Políticas de cotas

19. Broad Network Access Requisitos de acesso universal x controle do dispositivo

20. Broad Network Access – Redefinição do Perímetro Ataques autenticados Tipos de Clientes Defesa em profundidade

21. Modelo de Segurança da Nuvem Privada

22. Modelo de Segurança da Nuvem Privada

23. Modelo de Segurança

24. Considerações Finais

25. Pilha de Virtualização WindowsKernel OSKernel DeviceDrivers Windows hypervisor VMBus Segurança na Virtualização • Microkernel Hypervisor • Isolamento entre partições • Sem uso de drivers de terceiros • Partição Raiz • Orquestra todo acesso ao hypervisor • Servidor core minimiza a superfície de ataque • ~50% menos no requisito de patch • Guests não podem interferir entre eles • “Workers processes” dedicado • Canal VMBus dedicado PartiçãoRaiz Partição Guest Anel 3 Anel 3 Aplicações Guest VM WorkerProcesses Servidor Core Anel 0 Anel 0 Storage NIC Pseudo Anel“-1” CPU

26. Drivers Drivers Segurança na Virtualização VM 1 (Admin) VM 2 VM 3 • Hypervisor Monolitico: • Pilha de virtualizaçao e drivers de terceirosrodamemmodoprivilegiado • Códigomaior • Maiordificuldade de hardening • Maisexposto VM 1 VM 2 RootPartition GuestPartition GuestPartition Virtual ization Stack Hypervisor Virtualization Stack Hypervisor Hardware Hardware “The fact is, the absolute last place you want to see drivers is in the hypervisor, not only because the added abstraction layer is inevitably a big performance problem, but because hardware and drivers are by definition buggier than "generic" code that can be tested.” Linus Torvalds, https://lists.linux-foundation.org/pipermail/desktop_architects/2007-August/002446.html

27. Isolamento da Rede • Hosts e VMs devem suportar 802.1Q (VLAN tagging) • VLAN ID • Forçar isolamento • Uso de Firewalls para permitir tráfego inter-VLAN de acordo com a política • Isolamento de: • Host dos guests • Tráfego de gerenciamento com tráfico dos inquilinos

28. Isolamento de Rede Lógica • Host-based firewall habilitado • Bloquear todas conexões inbound para serviços não essenciais • Isolamento de Domínio usando IPSec Data Center’s Physical Servers Guest OS Data-Center Network Autenticação no nível de rede

29. Próximos Passos http://social.technet.microsoft.com/wiki/contents/articles/6642.a-solution-for-private-cloud-security.aspx

30. Perguntas

31. Contato Twitter: @yuridiogenes Blog (ENG): blogs.technet.com/yuridiogenes Blog (PT-BR): yuridiogenes.wordpress.com