Embed Size (px)
Citation preview
Datacenter Próprio e Serviços em Nuvem
Desafios na Segurança
Alfredo Deak Junior
Diretor de Justiça e Segurança Pública - Microsoft
O ambiente de Nuvem está aí. Paradoxalmente o Governo precisa tirar proveito dessa nova era da tecnologia para
aumentar sua capacidade computacional sazonal e para isto o ambiente de Nuvem Pública tornou-se a solução, porém deve garantir a proteção de seus ativos digitais bem como proteger
a identidade e informações sensíveis do cidadão.
A segurança deve ser vista de maneira mais abrangente envolvendo os ativos em Nuvem Privada e os serviços em
Nuvem Pública de maneira unificada e monitorada centralizadamente
http://www.causabrasil.com.br/
Uma nova era de oportunidades para as cidades inovarem e prosperarem
Megatendências Tecnológicas
NuvemSocial Big dataMobilidade
Em 2016,
smartphones e tablets estarão nos bolsos de1
bilhão de cidadãos em
todo o mundo.
A Geração Y
representará75% da força de
trabalho americana
em 2025
O conteúdo digital
crescerá para 8ZB até 2015
crescendo em mais de 300%
desde 2011
70% das organizações estão usando ou estudando
soluções de computação em
nuvem
Como eu otimizo minha frota com base no clima ou nos padrões de tráfego?
ANÁLISE SOCIAL & WEB
FEED REAL DE DADOS
ANÁLISE AVANÇADA
Qual a aceitação social da minha gestão ou projeto?
Como posso prever melhor futuros resultados?
NOVOS TIPOS DE QUESTIONAMENTOS
Megatendências Tecnológicas
Ruptura construtiva
MEGATRENDS
On-premises
Cloud
Cloud computingLow-cost computing in the enterprise
Big Data analytics Innovation for growth Consumerization of IT
6
Ambiente centrado em identidade
Ataques direcionados
Computação em nuvem
Questões de conformidade/regulamentação
Consumerização de TI (BYOD)
Principais tendências que afetam a segurança
7
Você Gerencia Você Gerencia
Terceiros Gerenciam
Você Gerencia
Terceiros Gerenciam
Plataforma(as a Service)
Armazenamento
Servidores
Redes
O/S
Middleware
Virtualização
Aplicações
Runtime
Dados
Software(as a Service)
Armazenamento
Servidores
Redes
O/S
Middleware
Virtualização
Aplicações
Runtime
Dados
Infraestrutura(as a Service)
Armazenamento
Servidores
Redes
O/S
Middleware
Virtualização
Dados
Aplicações
Runtime
Você Gerencia
Terceiros Gerenciam
Em casa
Armazenamento
Servidores
Redes
O/S
Middleware
Virtualização
Dados
Aplicações
Runtime
Ambiente Próprio x Nuvem
Segurança Física
Sensores
Capacidade de crescimentoSegurança
de perímetro
Monitoração abrangente
Autenticação multi-fator
Supressão de incêndio
9
Procedimentos SegurosCertificados consolidados
Start = dense and mature marketsSCALE = based on lessons learned
ISO27001 Global GlobalEUMC Europe EuropeFERPA Education U.S.FISMA Government U.S.
SSAE/SOC Finance Global
PCI CardData GlobalHIPAA Healthcare U.S.
CERT MERCADO REGIÃO
HITECH Healthcare U.S.ITAR Defense U.S.
HMG IL2 Government UKCJIS Law Enforcement U.S.IRS 1075 Tax/Payroll U.S.
FFIEC Finance U.S.FISC Japan-Finance U.S.CNSS1253 Military U.S.
Certificados específicos
10
Por que ser verificado de forma independente?
Isto poupa aos clientes tempo e dinheiro
Transparência
“Confiança e credibilidade são conquistadas”
Alinhamento e adoção de padrões da
indústria garantindo um conjunto
abrangente de práticas e controles para
proteger dados confidenciais
As verificações independentes de terceiros
sobre controles de segurança, privacidade e
continuidade são imprescindíveis para a
credibilidade
11
Operações Automatizadas
12
Datacenter Nuvem
Rede de gestão e suporte
Lock Box: Role Based
Access Control
Concede privilégio mínimo necessário para completar a tarefa.Verifica elegibilidade, checando se:1. Background checks de funcionário
foi concluído2. Impressões digitais foram
coletadas3. Treinamento de segurança foi
concluído
Pedido de acesso
Concede Privilégios Temporários
Registrado como Service Request1. Auditável2. Disponível
como relatórios self-service
Framework de Gerenciamento de Conformidade
Política
Framework de Controle
Padrões
Procedimentos Operacionais
Regras de negócios para proteger informações e sistemas que armazenam e processam informações
Um processo ou sistema para garantir a implementação da política
Sistema ou requisitos procedurais específicos que devem ser atendidos
Procedimentos passo a passo
13
Evitar ViolaçãoPort scanning e remediação
Scanning de Perímetro para identificar Vulnerabilidades
Patching do Sistema Operacional
Detecção e prevenção de DDoS no nível de rede
MFA para acesso ao serviço
Auditoria de todo o acesso do operador e suas ações
Ferramentas automatizadas para atividades rotineiras
• Implantação, Debugging, Coleta de diagnósticos, Reiniciar de serviços
Senhas são criptografadas noPassword Store
Isolamento entre o ambiente de correio e acesso ao ambiente de produção para todos os funcionários
Nenhuma presença física no ambiente do serviço.• Somente no período de elevação
do privilégios de acesso
• Rejeição automática para concessão temporária de privilégios elevados de acesso à funcionários sem background checks validados
• Análise manual de aprovação para funcionários com background checks realizados
Exclusão de Conta Automática• Quando o funcionário sai
• Quando o funcionário se move grupo/função
• Falta de uso
14
Mitigação de violaçãoDetectar atividades inesperadas no servidorAlertas sobre processos fora da whitelistAlertas sobre as alterações de configuração/regkey
Wargame
Exercises
Red Teaming
Insider Attack
Simulation
Blue Teaming
Execute Post
Breach
Invest in Reactive Security Needs
Monitor Emerging ThreatsPattern analysis of attacks (ex APTs)
Análise de dados em larga escala para procurar padrões estranhos em andamento
Prática regular de resposta a incidentes
Simulação (Policia-Ladrão) regulares no qual testadores de invasão agem como insiders desonestos e já com acesso
Melhoria contínua dos playbooks, contenção, evacuação, MTTD, MTTR
Todo acesso ao serviço é auditadoCmdlets, Logins, Ações tomadas, Elevações, Criações de conta
15
Data Loss Prevention (DLP)
Impede que dados confidenciais deixem a organização
Fornece um Alerta quando dados tais como o número de CPF/CNPJ & cartão de crédito seja enviado por e-mail.
Alertas podem ser personalizadas pelo administrador para pegar Propriedade Intelectual sendo enviada para fora
Capacitar os usuários a gerenciar sua conformidade• Educação das politicas de DLP por contexto• Não interromper o fluxo de trabalho do
usuário• Funciona mesmo quando desconectado• Configurável e personalizável• Ações e texto personalizáveis pelo admin • Modelos internos com base em normas
comuns • Importe modelos de politicas para DLP de
parceiros de segurança ou construa o seu próprio
16
Dados de Clientes Isolados
DATA in Server
Ambiente Multi-tenant projetado para suportar o isolamento lógico de dados que vários clientes armazenam no mesmo hardware físico
Acesso intencional ou não de dados pertencentes a um cliente/tenant diferente é impedido pelo isolamento de dados.
Unidades organizacionais do Serviço de Diretório deve manter dados de clientes A isolados de dados do cliente B
17
Dados Criptografados
Criptografia de Dados em RepousoEncryption em todos os conteúdos
• Inclui mailbox database files, mailbox transaction log files, search content index files, transport database files, transport transaction log files e Page File no disco de sistema do Sistema Operacional.
RMS – Right Management System
Criptografia de Dados em TrânsitoTransport Layer Security (TLS)/ Secure Sockets Layer (SSL), S/MIME e tecnologias de terceiros como PGP
ONDE ARMAZENAR CHAVES PÚBLICAS E PRIVADAS?
Dados ilegíveis para partes não autorizadas.
• 18
Desenvolvimento Seguro (Security Development Lifecycle)Reduzir as vulnerabilidades, limitar a gravidade de exploração
Melhorias de Processo Contínuo
Treinamento Requerimentos Desenho Implementação Verificação Liberação Resposta
Educação
Treinamento em segurança
Processo
Conduzir o time no uso das melhores práticas
Controles
Controles de entrega
Respostas a incidentes
Treinamentos básicos
Entender padrões
Qualidade
Gestão de riscos.
Definir modelos
Vulnerabilidades
Ameaças
Controle de ferramentas
Corrigir vulnerabilidades
Análise estática
Análise dinâmica
Testes
Revisar vulnerabilidades
Plano de
Respostas a
Incidentes
Liberação
Executar o plano de respostas aincidentes
19
DevelopmentManagement Virtualization
Serviços em Nuvem
PRIVATE
PUBLIC
Identity
Traditional DatacenterHighly Virtualized Datacenter
Cyber Inteligência contra Ameaças
Rede global de sensores em consumidores, empresas, and serviços em nuvem – Bilhões
de devices
More than 250 million users worldwide
Malicious Software
Removal Tool
Millions of users worldwide using enterprise anti-malware
solutionsBillions of web-page
scans per month
More than 35 billion messages scanned monthlyDaily tracking of 600,000 addresses sending spam
Millions of consumersprotected worldwidePerforms billions of malware removals per year worldwide
More than 420 million active users
700 million computers reporting monthlyMore than 40 billion executions since 2005
Microsoft Confidential
Abordagem Centrada em PessoasEmpresas
Governo Cidadãos
Energia e Água
Governo Admin.Educação Transporte
Turismo,Lazer, Cultura
Serviços de Saúde e Sociais
Segurança Pública e Justiça
Edifícios, Infraestrutura
, Planejamento
TRANSFORMEOperações e Infraestrutura
ENVOLVACidadãos e Empresas
ACELEREInovação e
Oportunidade
Microsoft CityNext
Por que Microsoft?Amplo portfólio de softwares, dispositivos e serviços familiares e seguros para consumidores e empresas
Ecossistema diversificado e vasto de parceiros que escalam e replicam as ofertas em todo o mundo
Programas educacionais e sociais centrados no cidadão, com uma história de entrega de impacto real para um futuro melhor
Nuvem Análise e Big Data
Social
Plataforma de Dispositivos e ServiçosMobilidade
