Resumo Devido episdios referentes ao caso Snowden a segurana em cloud computer ficou muito abalada, gerando duvidas sobre

a segurana dessas solues, afinal, empresas trabalham com ativos de muito valor que em nenhum momento deve ser ameaado, mas ser o motivo das empresas deixarem as soluoes de cloud computer e buscarem ter sua prpria infraestrutura de TI, no caso, seria uma soluo muita cara e pederia fatores importantes dentro dessa estrutura, a parti desse contexto analisaremos a questo da segurana digital e as possveis solues para metigar a ao de ameaas contra os dados da uma empresa neste ambiente.

Abstract The case Snowden left safety in cloud computer very vunerable, grand doubt was create around this matter, therefore, companies that work with critical data can't to be threat in neither moment, but would the case to companies left cloud computer and create your own IT infraestructure?Thus, could a very expensive solution and would lose strong point this environment.For this context, we will study about issue digital security and possible solutions to metigate the action of threat against them.

...A arte da guerra nos ensina a no confiar na probabilidade de o nimigo no est vindo, mas na nossa prpria prontido para receb-lo;no na chance de ele nos atacar, mas no fato de que fizemos nossa prpria posio inatacvel. Sun Tzun, Arte da guerra.

Introduo A preocupao com segurana do servio em computao em nuvem, tem grande relevncia e atualmente sabendo que governos, grupos hackes e outros agentes poderiam buscar essa informao dentro desses grandes centros, ento, como as empresarias podem proteger seus ativos sem perder as vantagens que a computao na nuvem dar para seus clietes?Atualmente, sabe-se que tecnologias como o PRISM eram capazes de derrubar protocolos de segurana com SSL e os TSL, usualmente usado em padres de segurana. Poderia-se ento procurar usar a DeepWeb 1,a verso undergroud da nossa internet, que se utiliza de uma tcnica difusa de comunicao, com vrios estagios de criptografao, mas mesmo assim isso no seria suficiente para parar sistemas como o PRISM, no geral, a verdade em que se chega e que praticamente impossivel guarda qualquer informao digital com 100% segurana, pelo menos falando sobre a velha tecnologia criada sobre a arquitetura de Von Neuman. Neste contexto, necessario achar uma soluo que pelo menos mitigue a ao desses agentes externos aos dados de uma empresa, a soluo teorica seria empresas de cloud computer desenvolver tecnologia de segurana proprietrios que utilizem ao mximo o processamanento das mquinas,exingindo da empresas mquinas avanadas para esse tipo de processamento e uma constante busca da melhorias na solues de segurana para seus clientes usando tecnologia de ponta. O problema que as empresas na busca incessantemente por solues acessveis com time to market procurando ser competitivas e diminuindo custos, e muitas vezes aproveitam informaes j bem divulgadas no mercado para desenvolver seus produtos, como um exemplo basico uma noticia divulgada no New York Times A agncia (NSA 2)usava sua influncia como a mais experiente criadora de cdigos no mundo para implementar secretamente fragilidades nos padres de criptografia seguidos por desenvolvedores de hardware e software em todo o mundo Os autores do livro Criptografia em Software e Hardware j caracterizavam a situao ocorrida pelo PRISM em 2005 neste contexto,um invasor que trabalhe secretamente, provavelmente no seria capaz de reunir a fora de centenas de computadores e talvez no possua uma mquina especialmente construida para quebrar um algoritimo em particular.Para a maioria dos invasores, essa a razo pelo qual o tempo que leva para quebrar a chave ser sigficativamente muito alto, Por outro lado, se o invasor for uma agencia governamental com grandes recursos a situo seria diferente.( Edward David Moreno, Fbio Dacncio Peereira e Rodolfo Barros Chiaramonto,2005)

Contextualizao do Problema Solues em cloud computer est crescendo cada vez mais, mesmo com aes de espionagem de governo de Estado, essa uma tendncia que no vai parar, devido as grandes vantagens que tem para as empresas. O uso de cloud computer gera decises de marketing, reduz custos, balanceia a carga de informaes,gera controle operacional eficientes.Mas gera outros problemas complexos quanto a questo de segurana. Ciber ataques como: Malware vunerabilidades Dia Zero Ataque contra senhas ataque de recuperao de dados ataque de reconstruo de memria Ameaas avanadas Persistentes (APTs) Etc Na mesma proporo das complexidades das ameas, tambm deve ser a complexidade das defesas de um servio de computao nas nuvens.Neste trabalho ser apresentado ma sequncia de aes conjugados com servios do mercado de TI, de forma que posso metigar ao mximo a ao de ameaas a ativos do servio de cloud.

Objetivo

Objetivos Gerais O objetivo geral desse trabalho fornecer as empresas,solues de segurana que vo metigar ao mximo a ao de cibercriminosos em cloud computer,atravs de um conjunto de solues de mercados com este objetivo e a formao de uma concincia de segurana na empresa. Objetivos Especficos Entender como funciona a ao de ameaas contra os ativos da empresa em um ambiente de nuvem atravs de uma documentao extensiva e aplicar as solues atualmente existente no mercado na segurana dos ativos desta empresa. O modelo de segurana deve ser do seguinte modo: Utilizar discos rigidos com tecnologias de encriptao; criptografao na camada 2 com criptografia via hardware; servios mutimidias e e-mail com criptografao; Utilizar a ltima palavra em tecnologia anti-threat; Conscientizao das ameaas pela empresa.

Justificativa As solues apresentadas, demonstram a ltima palavra em tecnologia de segurana para cloud computers em que se encontram, empresas com nomes de peso dentro de suas respectivas reas como Seagate Secure(hard disk), Silent circle(Phil Zimmermann),Senetas(tecnologia de ponta em alta velocidade de encriptao e tunelamento), Trend Micro (Cloud Leader Experton Group 2013).Que tero suas solues analisadas aqui neste trabalho.

Fundamentao Teorica Uma Breve Explicao do modelo atual de segurana em cloud Computer H alguns anos atrs, o relacionamento com cloud com as empresas fazia dos data centers meros repositorios de arquivos de grande volume, e nestes datacenters instalava-se o antivirus do momento e pronto tinha um cloud computer(que naquela poca nem tinha esse nome). Atualmente mais de 90% das organizaes que tem seus ativos em cloud desconhecem o fato de estarem espostas a ameas e at mesmo j estarem com estas ameaas na sua interao com o cloud. Trs claras tendncias esto emergindo no ambiente de TI Consumerizao Com dispositivos mveis superando PCs e aplicaes baseadas em cloud sendo usadas para compartilhar informaes, consumerizao uma realidade, existe um fluxo constante de informaes entre colaboladores e suas empresas, aonde colaborador e empresa podem interagir em qualquerponto no mundo. Cloud e virtualizao - O movimento de virtualizao em cloud diminuindo gasto e aumentando a qualidade do servio, que comprovadamente diminue os custos de operao de ativos da empresa nos datacenters e flexibilizando servios. Ciber Threats A evoluo dos Ciber-threats com objetvos de ataque est tendo um dramatico impacto nos negcios das empresas. Os ciber-threats desenvolvem sistemas de ataques sofisticados que atuam especificamente naquela empresa, e a necessidade de produzir tecnologia de segurana efetivas contra essas ameaas emergente. Estratgia de segurana corrente A estrategia atual das organizaes adicionar ao tradicional perimetro de segurana da desta uma segurana adicional em tecnologia, descentralizando a monitoria e consumindo recursos de tempo para gerenciar diferenes tecnolgia. Proteo inteligente As Organizaes devem reconhecer que a informao uma comodite estratgica, que deve ser protegida no importa aonde ou que dispositivo ou plataforma cruze. Eles querem uma efetiva soluo de segurana que seja fcil de gerenciar e instalar, baixo custo e com flexibilidade para seus endereos de ngocio no mundo. As organizaes procuram por inteligantes, simples e segura proteo

Proteo em camadas Informao deve ser protegida todo o tempo independente da locao do dispositivo.Proteo inteligente requer camadas contendo mltiplas linhas de segurana para prover segurana da informao, como camadas gerais temos trs camadas The end user(usurio final), Network infrastructure(infraestrutura de rede), servers(servidores). Primeira linha de defesa Usurio final (End User) No passado, TI tinha um fcil time lidando com empregados e todos as suas atividades, usuarios enviavam e-mails, surfavam na web, e criavam documentos localmente ou em servidores de arquivos, bem como drives usb, quase exclusivamente usando windows e microsoft aplications. A segurana de acesso para os usurios era suficiente. No atual ambiente TI um lugar com mltiplos dispositivos e usando aplicaes em cloud para compartilhar informaes, a casa uma extenso do trabalho, os usurios misturam dispositivos e aplicaes para o trabalho e casa, isto cria mais riscos.Um cada cinco usurios pe em risco a corporao por usar uma conta pessoal no Dropbox3, tudo mostra que a segurana deve ser focada sobreo usuario e no sobre dispositivos, dispositivos so meramente locaes onde o usurio guarda seus dados e precisa ser tratado como tal, criando-se uma imagem onde o usuario loga para ter sua rea de trabalho independente da plataforma, essa imagem pode ser tratada um software de proteo inteligente,centralizado,controlado e monitarado por uma central de segurana em TI, garantindo a proteo do usurio e da organizao. Segunda linha de defesa Infraestrutura de Rede (Network Infraestructure) No passado, uma rede corporativa estava composta de roteadores que separavam a rede interna da rede externa, switchs somente controlavam a passagem de trfego de redes na camada 2, sem muita mais o que fazer, uma faixa de IP era usada para gerenciar a rede e um tradicional perimetro de segurana era suficiente.Hoje, roteadores no so o principal ponto da rede, Redes esto sendo extendidas atravs de VPNs, gateways e empregados devem nem mesmo usar uma rede corporativa, mas uma rede pblica que so disponiveis em muitos locais, adicionalmente, infraestrutura em cloud tal como a Amazom Web Services, e cloud-base aplicaes tal como o Salesforce tem extendidos suas bordas de rede corporativa, segurana precisa ser conhecida,capaz de analisar complexos trficos de rede,entender quem, o que e onde est ocorrendo atividades de rede, este deve monitorar potenciais ataques, bem como analisar o trafico interno gerado de usuarios finais e servidores e tambm ser capaz de analisar em tempo real se o conteudos gerado legitimo ou malicioso.

Terceira linha de defesa- Servidores (Servers) Antes, servidores de datacenters eram usados para guarda e exportar dados, tal como um servidor de arquivo, servidore de e-mail ou servidor de banco de dados entre outros, Estes estavam estticos, e ficavam dentro de um escritrio ou fisico datacenters, protegido pelo seu perimetro de segurana de rede e um antivros compartilhado na rede eram suficientes.Hoje, servidores so usados para muito mais tarefas,performace de pesquisas,classificao e correlacionando vrios tipos de dados.Etes analizam e reportam a performace do negcio e operaes provendo crtica informaes vitais para a estratgia das corporaes. Um servidor que no observa as condies de segurana atuais, poder significar a perda de milhes de dolares. Estes servidores so dinmicos virtualizado para mover entre diferentes segmentos de redes e datacenters,eles esto sitiados na borda da rede, na face externa para prover Web-base acesso para scios e clientes. Desenvolvendo para pblico cloud, tal como Amazom, para tratar economia de escala. Hoje as organizaes precisam de proteo de servidores inteligentes, que trabalham atravs de todos os servidores: fsico,virtual, privado e pblico cloud servidores da mesma forma.Eles precisam de de uma monitoria de segurana que podem dinamicamente seguir os servidores, protegendo de vunerabilidades e tempo real de monitoramento. Interconexo No suficiente ter standalones somente com camadas de proteo, cada camada deveser interconectada e trablhar juntos.se um ataque ou um problema detectado na camada de red, todas as outras camadas devem se instataneamente avisadas desta ameaa e determinar a devida proteo destas camadas. Tempo Real Proteo inteligente deve ser em tempo real, com updates providos via cloud ao invs do tradicional modelo de update desktop. Update gerenciado periodicamente por padres de arquivo e Patch Tuesday4 para tratar vunerabilidades. No caso, este modelo no suficiente para tratar a corrente e constante proliferao de ameaas para ativos da empresa em cloud, Organizaes precisam de grandes tcnicas para tratar a larga quantidade global de ameaas e vunerabilidades de dados e prover proativa segurana. Transparncia efetiva segurana dever ser o mais trasparente possvel para o usurio na ordem de minimizar a interrupo do fluxo dos trabalhos ou possvel questes de perfomace.Similarmente, administradores precisam ter completa visibilidade atravs de suas informaes das organizaes, de dispositivos de usurios finais, todo o caminho do do seu cloud e datacenter system.Isto importante para a segurana profissional, obter uma viso holstica das informaes da sua organizao e contruir um monitoramento de segurana do lugar de forma inteira e no particionda, com um gerenciamento centralizado

Simples flexibilidade para implatao e gerenciamento Uma proteo estratgica inteligente requer solues que so simples e flexveis para instalao e gerenciamento. O disparate entre a soluo de TI e perimetro de segurana no sistema antigamente introduzia a riscos e desafios de gerenciamento, manuteno excessiva e limitada visibilidade. Hoje organizaes precisam simplificar operaes com solues que tratam a realidade dos negcios, fazendo mais com cada vez menos e poucos recursos. Centralizao Uma centralizada visibilidade e controle de segurana de estatus atravs de mltiplas camadas, necessrio para facilitar o risco livre de gerenciamento, Administradores precisam ter uma viso de toda a sade da organizao e estar alerta quando parmetros move alm do range determinado, isso reduz o tempo das resolues de questes de segurana na organizao e mitiga o risco. Automao Introduzir mquinas virtuais ou cloud instncias em um datacenter rpido e fcil mais fcil do que antigamente, constantemente trocando servidores de datacenter precisam ser automaticamente detctados e protegidos na rede da corporao, Sem interveno de equipes de TI ou mesmo prvio conhecimento.Isto ganha tempo, dinheiro, e permite a segurana da organizao mudar com a mesma flidez do datacenter. Rpida e fcil de instalar Segurana deve ser leve, rpida e fcil de instalar e gerenciar, com o mnimo impacto na eficiencia da rede do servidor, reduzindo os custos de propriedade, Segurana contruida em sistemas fisicos ,trazem efeito adverso aos servidores em cloud, as organizaes precisam otimizar o trabalho eficiente e efetivo com ambiente seguro.Sem necessidade de grandes modificaes ou gatilhos. Flexibilidade As organizaes tambm precisam de uma soluo de segurana com a flexibilidade de seus requisitos para diferentes ambientes, hardwares e plataformas, quanto mais flexivel for esta soluo, melhor para as organizaes. Abertura, otimizao e independencia a soluo de ser aberta a diversas plataforma de mecado, de fcil integrao com novas tecnologias e precisa ser independente do ambiente em que se encontra.

Cloud compurter A computao em nuvem, ou algo estar na nuvem, uma expresso usada para descrever uma variedade de diferentes tipos de conceitos de computao que envolvem um grande nmero de computadores conectados atravs de uma rede de comunicao em tempo real como a Internet.O cloud computer a ltima extenso da evoluao computao distribuida que toma a vantagem de avanada tecnologia. Os clouds descendem dos antigos mainframes processadores,que quando usurios conectavam para compartilhar recursos de computao atravs de terminais.Com o advento de velozes microprocessadores, RAM(Radon access memorie) e discos de armazenamento, trouxeram a computao para dentro do modelo cliente servidor. Eventualmente, as empresas aproveitaram vantagens do alto throuput a reexaminar a necessidade de datacenters no local monolticas. Acessando servidores virtualmente, atravs de uma janela do navegador apresenta vantagens substanciais em software e manuteno de hardware. Os fornecedores de software comearam a capitalizar sobre o conceito de que um datacenter em escala tambm poderia entregar contedo remoto aos clientes quase que imediatamente a um custo reduzido, dando origem a sob demanda Software-as-a-Service. Plataformas de virtualizao maduros de hoje permitem agora a computao em nuvem contempornea: um novo modelo de rpido, on-demand, de baixo custo, a computao em al-a-carte. No presente momento, cloud computing caracteriza-se por uma multido de usurios conectados a recursos de computao sobre internet. Cloud computing entrega software e servios sobre a rede, dependendo de um fluxo constante de throughput 5 e de virtualizao de datacenter nesta ordem para manter alta qualidade de servios. Graas a escalabilidade da virtualizao, cloud computing dar a usurios para um conjunto de recursos de computao compartilhado com os seguintes atributos: Multi alocao Alta escalabilidaade e elasticidade Auto-Provisionado Modelo de preo Pay-per-use

Em contraste com um significante capital gasto e levando em conta os gastos com compra e proviso do empreendimento de uma tradicional oprao, bem como os meses gastos de tempo e esforo envolvidos, cloud computing deixa os administradores livres para arranjar seu servidores. Eles poder ter recursos necessrio para empreender seu negocios em questo de minutos ou poucas horascom baixo custos.

Tipos de clouds Existem diversos tipos de servios de cloud, atualmente uma linha de servios tem ganhado fora no mercado por conta de sua modularizao de produtos do tipo pay-per-use que so os (xxx-as-aService ) no lugar do x pode-se colocar diversos servios como: Software-as-a-Service Platform-as-a-Service Infraestructure-as-a-Service Desenvolvimento-as-a-Service Etc

Software-as-a-Service(software como servio) Em Outubro de 2009, uma publicao de Peter Mell e Tim Grace do U.S National Institutes of Standard e Technology(NIST) definiram o Software-as-a-Service(software como servio), como a capacidade de um consumidor usar os servios de aplicaes rodando em uma infraestrutura em cloud. As aplicaaes so acessadas de vrios dispositivos de clientes atravs de uma interface tal como um browse.Ocliente no gerencia ou controla a infraestrutura de cloud s utilza uma limitada aplicao taxada pelo seu uso. Platform-as-a-Service(plataforma como servio) Prov um cloud com capacidade de instalao de aplicaes usando ferramentas, linguagues de progamao, que so suportadas pelo provedor de cloud. O consumidor de cloud no gerencia ou controla a infraestrutura do cloud, mas instala,controla e gerencia suas aplicaes.Um exemplo deste modelo o windows Azure e o Google App Engine. Infrastructure-as-a-Service(Infraestrutura como servio) Entrega ao cloud usurio o controle dos servios de infraestrutura, processando processos, storage, redes e outros recursos de computao fundamentais.Onde o cloud usurio capacitado a instalar e rodar todo tipo de software. Usurios de IaaS, so tipicamente responsveis pela segurana de suas prprias mquinas virtuais, aplicaes residentes na Amazon EC2 ou VCloud so exemplos de IaaS.

Modelos de Clouds Um Estudo da NIST em 2009,apresenta os modelos existente de clouds, a seguir: Nuvem Privada (private cloud) Infraestrutura de operao somente para uma organizao e gerenciada por esta. Nuvem Comunitria (Community cloud) Infraestrutura de cloud compartilhada por varias organizaoes que compartilham interesses Nuvem Pblica (Public cloud) Infraestrutura feita para o pblico em geral e grandes grupos industrias e propriedade de uma determinada organizao que vende seuservios de cloud Nuvem hibrida(Hibrid Cloud) a infraestrutura compostade duas ou mais clouds (privada,comunitaria ou publica) que permanecem como uma nica entidade que permanencem juntas por padro ou tecnologia proprietria que habilita dados e aplicaes portveis. Exemplo cloud bursting para balanceamento de carga entre nuvens.

Desafios da segurana de cmputao em Nuvem Em datacenters tradicionais, os gerentes de TI colocar procedimentos e controles no lugar para construir um permetro forte em torno da infra-estrutura e os dados que deseja proteger. Esta configurao relativamente fcil de gerir, uma vez que as organizaes tm o controle de localizao de seus servidores e utilizar o hardware fsico inteiramente para si. Na nuvem privada e pblica, no entanto, permetro de limites so obscuros e o controle sobre a segurana diminui medida que as aplicaes se mover de forma dinmica e organizaes compartilham o mesmo hardware fsico localizado remotamente com estranhos. Multi-Alocao Usurios de cloud computing compartilham fisicos recursos com outros atravs de softwares comuns em camadas de virtualizao. Estes compatilhemantos introduzem um risk na pilha de recursos.Por exemplo, um servio de um usurio desconhece completamente outros servios que rodam na mesma cloud, estes servios deoutrs usurios podem estar rodando servios maliciosos, que podem estar esperando para atacar outras hipervisor alocaes ou snifando comunicaes atravs do sistema. Controle e mobilidade de Dados Movimentao de dados de servidores fsicos estticos para volumes virtuais torna extremamente mvel,e os dados armazenados na nuvem pode viver em qualquer lugar do mundo virtual.Os administradores de armazenamento pode facilmente transferir ou replicar as informaes dos usurios atravs de centros de dados para facilitar a manuteno do servidor,HA/DR ou planejamento de capacidade,com pouca ou nenhuma interrupo de servio ou aviso aos proprietrios dos dados. Isso cria uma srie de complicaes legais para usurios da nuvem.Legislao,como a Lei de Privacidade UE probe processamento de dados ou armazenamento de dados dos moradores dentro de centros de dados externos. Controles cuidadosos devem ser aplicados a dados em ambientes de computao em nuvem para garantir que os provedores de nuvem no inadvertidamente quebre essas regras, migrando informaes geograficamente sensveis para alm das fronteiras polticas. Alm disso, h legislao, como a Lei Ato Patriota dos EUA permite que as agncias federais possam solicitar os fornecedores com intimaes e aproveitar os dados (que pode incluir segredos comerciais e conversas eletrnicos sensveis),sem informar ou obter o consentimento dos proprietrios dos dados. Dados remanencentes Embora a reciclagem de recursos de armazenamento uma prtica comum na nuvem, no existe norma clara sobre como os provedores de servios em nuvem deve reciclar memria ou espao em disco. Em muitos casos, hardware desocupado simplesmente readaptado com pouco controle de segurana para reaproveitamento hardware. O risco de um inquilino nuvem ser capaz de reunir pedaos de dados dos inquilinos anteriores alta quando os recursos no esto devidamente reciclados. resolver o questo da remanencencia de dados com freqncia pode consumir considervel tempo negociado, ao estabelecer acordos de servio entre uma empresa e um fornecedor de servios de nuvem.

Privacidade de dado A natureza pblica da computao em nuvem representa implicaes significativas para a privacidade e a confidencialidade dos dados. Dados em nuvem muitas vezes armazenadas em texto simples, e poucas empresas tm uma compreenso absoluta dos nveis de sensibilidade que seus armazenamentos de dados possuem. Violaes de dados so embaraosas e caras. Na verdade, um relatrio recente da Cloud Security Alliance apresenta perda de dados e vazamento como uma das principais preocupaes de segurana na nuvem. Novas leis, regulamentaes e frameworks de conformidade agrava os riscos; empresas infratoras pode ser responsabilizadas pela perda de dados confidenciais e podem enfrentar pesadas multas sobre violaes de dados. Impactos desse tipo de negocio tambm prejudicar a nvel pessoal. registros mdicos perdido ou roubado, nmeros de carto de crdito ou informaes bancrias podem causar a runa emocional e financeira, as repercusses de que poderia levar anos para reparar. Os dados sensveis armazenados em ambientes de nuvem devem ser salvaguardados para proteger seus donos e assuntos semelhantes. Criptografia A criptografia pode ser entendida como um conjunto de mtodos e tcnicas para cifrar ou codificar informaes legveis atravs de um algoritmo, convertendo um texto original em um texto ilegvel, sendo possvel atravs do processo inverso recuperar as informaes originais, ver processo na figura 1.1.

Pode-se criptografar informaes basicamente atravs de cdigos ou de cifras. Os cdigos protegem as informaes trocando partes da informao por cdigos predefinidos. Sendo que todas as pessoas autorizadas a ter acesso uma determinada informao devem conhecer os cdigos utilizados.As cifras so tcnicas nas quais a informao cifrada atravs da transposio e/ou substituio das letras da mensagem original. Assim, as pessoas autorizadas podem ter acesso s informaes originais conhecendo o processo de cifragem.

A privacidade da Informao A privacidade importante para pessoas e para as empresas. Muitos problemas podem acontecer se uma pessoa no autorizada tiver acesso a dados pessoais como:contracheque, saldo bancrio, faturas do carto de crdito, diagnsticos de sade e senhas bancrias ou de credito automtico. No caso de empresas, os danos podem ser de maior magnitude, atingindo a organizao e os prprios funcionrios.Dados estratgicos da empresa, previso de venda, detalhes tcnicos de produtos, resultados.Para impedir o acesso a informao privada pode-se utilizar a proteo por criptografia. A proteo por criptografia uma soluo prtica para proteger informaes sigilosas, independente do algoritmo criptogrfico utilizado sempre ocorrer uma transformao de um texto legvel em um ilegvel. Mesmo que o invasor obtenha o contedo de um arquivo, este ser ilegvel. Para ter acesso informao original, o invasor ter que resolver um problema matemtico de difcil soluo. A criptografia pode adicionar tambm maior segurana ao processo de identificao de pessoas, criando identidades digitais fortes. De modo algum a criptografia a nica ferramenta necessria para assegurar a segurana de dados, nem resolver todos os problemas de segurana. um instrumento entre vrios outros. Alm disso, a criptografia no prova de falhas.Toda criptografia pode ser quebrada e, sobretudo, se for implementada incorretamente, ela no agrega nenhuma segurana real. Criptografia por Chaves Alm do algoritmo, utiliza-se uma chave. A chave na criptografia computadorizada um nmero ou um conjunto de nmeros. A chave protege a informao cifrada.Para decrifrar o texto cifrado o algoritmo deve ser alimentado com a chave correta. Na criptografia de chave simtrica os processos de cifragem e decifragem so feitoscom uma nica chave, ou seja, tanto o remetente quanto o destinatrio usam amesma chave. Em algoritmos simtricos, como por exemplo o DES (DataEncription Standard), ocorre o chamado "problema de distribuio de chaves". A chave tem de ser enviada para todos os usurios autorizados antes que as mensagens possam ser trocadas. Isso resulta num atraso de tempo e possibilita que a chave chegue a pessoas no autorizadas. A criptografia assimtrica contorna o problema da distribuio de chaves atravs do uso de chaves pblicas. A criptografia de chaves pblicas foi inventada em 1976 por Whitfield Diffie e Martin Hellman a fim de resolver o problema da distribuio de chaves. Neste novo sistema, cada pessoa tem um par de chaves chamadas: chave pblica e chave privada. A chave pblica divulgada enquanto que a chave privada deixada em segredo. Para mandar uma mensagem privada, o transmissor cifra a mensagem usando a chave pblica do destinatrio pretendido, que dever usar a sua respectiva chave privada para conseguir recuperar a mensagem original. Atualmente, um dos mecanismos de segurana mais usados a assinatura digital, a qual precisa dos conceitos de criptografia assimtrica. A assinatura digital uma mensagem que s uma pessoa poderia produzir, mas que todos possam verificar.Normalmente autenticao se refere ao uso de assinaturas digitais: a assinatura um conjunto inforjvel de dados assegurando o nome do autor que funciona como uma assinatura de documentos, ou seja, que determinada pessoa concordou com o que estava escrito. Isso tambm evita

que a pessoa que assinou a mensagem depois possa se livrar de responsabilidades, alegando que a mensagem foi forjada. Um exemplo de criptossistema de chave pblica o RSA (Rivest-Shamir-Adelman). Sua maior desvantagem a sua capacidade de canal limitada, ou seja, o nmero de bits de mensagem que ele pode transmitir por segundo.

A parti dessas informaes, definiu-se um modelo hibrido,ou seja, que aproveitasse as vantagens de cada tipo de algoritmo. O algoritmo simtrico, por ser muito mais rpido, utilizado no ciframento da mensagem em si, enquanto o assimtrico, embora lento, permite implementar a distribuio de chaves e em alguns a assinatura digital.

Tipos de protocolos que usam criptografia IPSEC - um padro de protocolo desenvolvido para IPV6.Realiza tunelamento de IP sobre IP, definido comoum futuro pado para todas as formas deVPN(Virtual Network Private). SSL e TLS Oferecem suporte de segurana criptografica para protocolos NTTP,HTTP,SMTP e Telnet.Permitem utilizar diferentes algoritmos simtricos, message digest6 e mtodos de autenticao e gerncia de chaves para algoritmos assimtricos. SSL(security socket layer) o protocolo mais conhecido para trasaes via WEB e atualmente domina o mercado, estando presente em vendas online envolvendo carto de crdito.Foi criado pela Netscape, sendo o padro livre para uso pessoal e comercial. J o TSL (transport security Layer) uma verso posterior ao SSL mas as estruturas continuam sendo a mesma. PGP usado para criptografia de e-mail, suporta MD5 e SH-1.O S/MIME(Secure Multiporpose Mail Extensions) criando por um consrcio de empresas, entre elas a Microsoft, par adicionar segurana as mensagens no formato MIME. SET um conjunto de padres e protocolos para realizar transaes financeiras seguras, como as realizadas com cartes de crdito na internet. Oferece um canal seguro entre todos os envolvidos na transao, bem como autenticidade e privacidade entre as partes envolvidas. A especificao X.509 define o relacionamento entre as autoridades de

certificao.Baseado em criptografia de chave pblica e assinatura digital.

Tempo gasto para quebrar uma chave. Um mtodo, conhecido como ataque de fora bruta, consiste em tentar todas aspossveis chaves at que a correta seja identificada. Ele funciona dessa maneira.Suponha que a chave seja um nmero entre 0 e 1.000.000 (um milho). O invasor pega o texto cifrado e alimenta o algoritmo de criptografia junto com a suposta chave de valor 0. O algoritmo realiza seu trabalho e produz um resultado. Se os dados resultantes parecerem razoveis, 0 provavelmente a chave correta. Se for um texto sem sentido, 0 no a verdadeira chave. Nesse caso, ele tenta outro valor, por exemplo 1 e em seguida 2, 3, 4 e assim por diante.Um algoritmo simplesmente realiza os passos, independentemente da entrada. Ele no tem nenhuma maneira de saber se o resultado que ele produz o correto. Mesmo se o valor for um prximo da chave, talvez errado em apenas 1, o resultado ser um texto sem sentido.Assim, necessrio examinar o resultado e compar-lo para identificar algum sentido e assim informar se o valor usado como chave pode ser a chave realmente usada para cifrar as mensagens. interessante perceber que esse tempo de procura est fortemente associado ao tamanho da chave. Chaves criptogrficas so medidas em bits. O intervalo de possveis respostas para identificar uma chave est em correspondncia ao nmero 2 , onde TC o Tamanho da Chave em bits. Assim, tendo-se uma chave de 2 bits significa que o intervalo de possveis valores de 0 at 2 =4. Uma chave de 40 bits significa que o intervalo dos possveis valores de 0 at aproximadamente 1 trilho (2 40). Uma chave de 56 bits de 0 at aproximadamente 72 quatrilhes (2 ). O intervalo de uma chave de 128 bits to grande que mais fcil apenas dizer que ela uma chave de 128 bits (nmero de possibilidades igual a 2 ). Cada bit adicionado ao tamanho da chave dobrar o tempo requerido para um ataque de fora bruta. Se uma chave de 40 bits levasse trs horas para ser quebrada, uma chave de 41 bits levaria seis horas, uma chave de 42 bits, 12 horas e assim por diante. Isso acontece pois cada bit adicional da chave dobra o nmero de chaves possveis, (lembrar que esse nmero est em funo de 2TC). Assim ao adicionar um bit o nmero de chaves possveis dobrado. Dobrando o nmero de chaves possveis, o tempo mdio que um ataque de fora bruta leva para encontrar a chave correta tambm dobrado.
TC 2 56 128

A tabela abaixo, mostra-se o impacto de se aumentar o tamenho da chave e o respectivo impacto no tempo de quebra da chve por fora bruta. Nessa tabela, o termo 2s significa 2 segundos; 200ms siginifica que o tempo dado em milisegundos (10 segundos); 200 us significa que o tempo dado em microsegundos (isto , 10 segundos).
-3 -6

Importante lembrar que o poder computacional dobra a cada 1.5 anos, e que o tempo de existncia do universo, segundo os ltimos estudos cientficos, est em torno de 10 10e10 anos. Assim, chega-se concluso que sempre possvel decrifrar uma determinada mensagem, pois sempre ser possvel descobrir a chave: basta testar todas as chaves possveis, somente uma questo de tempo. Mas pode demorar mais que o tempo de durao do Universo. Atualmente, 128 bits o tamanho de chave simtrica mais comumente utilizado. Se a tecnologia avanar e os invasores de fora bruta puderem melhorar esses nmeros (talvez eles possam reduzir para alguns anos o tempo das chaves de 128 bits), ento precisar-se- de chaves de 256 bits ou ainda maiores. IDS/IPS IPS a sigla para "Intrusion Prevention System" ou sistema de preveno de invaso. IDS a sigla para "Intrusion Detection System" ou sistema de deteco de invaso. Ambos so termos chave, entre outros, no contexto de "invaso" de computadores, redes e sistemas de informao. Termo usado em segurana de computadores, a deteco de intruso (ou invaso) se refere aos processos de monitoramento de atividades em computadores e redes e de anlise dos eventos na busca por sinais de invaso nos sistemas relacionados.Uma questo importante, um foco, na procura por invases ou acessos no autorizados alertar os profissionais de TI e os administradores de sistemas da organizao para potenciais ameaas e falhas de segurana dos sistemas ou das redes. De modo geral, IDS uma soluo passiva de segurana ao passo que IPS uma soluo ativa de segurana. Porm, vale notar que h sistemas passivos e reativos. Em um sistema passivo, O IDS detecta uma potencial violao da segurana, registra a informao (log) e dispara um alerta. Em um sistema reativo, o IDS responde atividade suspeita finalizando a sesso de usurio ou reprogramando o Firewall para bloquear o trfego de rede da fonte maliciosa suspeitada.

IPS uma soluo ativa de segurana. IPS ou sistema de preveno de invaso , definitivamente, o nvel seguinte de tecnologia de segurana com sua capacidade para fornecer segurana em todos os nveis de sistemas, desde o ncleo do sistema operacional at os pacotes de dados da rede. O IPS prov polticas e regras para o trfego de rede juntamente com um IDS para emitir alertas para administradores de sistemas e redes em caso de trfego suspeito,mas permite tambm que administradores executem aes relacionadas ao alerta dado. Enquanto o IDS informa sobre um potencial ataque, o IPS promove tentativas de parar o ataque. Um outro grande avano sobre o IDS que o IPS tem a capacidade de prevenir invases com assinaturas conhecidas,mas tambm pode impedir alguns ataques no conhecidos,devido a sua base de dados de comportamentos de ataques genricos. Visto como uma combinao de IDS e de uma camada de aplicao Firewall para proteo, o IPS geralmente considerado a gerao seguinte do IDS. DMZ(zona demilitarizada) Com a finalidade de prover uma camada adicional de segurana, os engenheiros de redes desenvolveram um conceito de "screened subnet based on creating a buffer network" uma pequena rede com filtros e cache localizada entre duas zonas de segurana conhecida como DMZ (Zona Desmilitarizada). Uma DMZ fica localizada entre uma rede interna e uma rede externa:

Conforme a figura os servidores WEB, de arquivos e de Email podem ser acessados de ambas as redes. Normalmente administradores de redes no permitem que qualquer trfego passe diretamente atravs de uma DMZ. Uma DMZ pode ser implementada com fitros de rede configurados nas suas bordas, estes filtros so responsveis por realizar o controle de acesso do que entra e do que sai da DMZ e podem ser do tipo packet filtering, stateful packet filtering e de cache como servidores de proxy conhecidos como ALGs (Application Layer Gateway).

O Packet filtering limita o trfego dentro da rede baseado no destino e na origem de endereos IPs, portas e outras flags que podem ser utilizadas na implementao das regras de filtro.O Stateful packet filtering filtra o trfego baseado no destino e na origem dos endereos IPs, portas, flags alm de realizar stateful inspection uma inspeo de pacotes que permite o armazenamento de dados de cada conexo em uma tabela de sesso. Esta tabela armazena o estado do fluxo de pacotes e serve como ponto de referncia para determinar se os pacotes pertencem a uma conexo existente ou se so pacotes de uma fonte no autorizada.As ALGs funcionam no nvel da aplicao e interceptam e estabelecem conexes dos hosts da rede interna com a rede externa, autorizando ou no a conexo. As DMZs podem possuir a capacidade de conter um ataque e limitar os danos na rede. Uma das arquiteturas mais utilizadas so as DMZs que utilizam uma soluo de defesa em camadas. As multiplas camadas de segurana que uma DMZ oferee so distribuidos entre pontos de servios e de filtragem: Os pontos de filtragem inicialmente servem para proteger os servios. Se os servios da rede so comprometidos, a capacidade de um ataque prosseguir fica limitado. Tanto o trfego que entra e sai da DMZ filtrado, seja por roteadores ou por meio de firewalls;

Os servidores pblicos que ficam localizados na DMZ exigem medidas de segurana adequadas. Os servios so duramente protegidos, aumentando a dificuldade de um invasor comprometer os servios disponveis dentro do permetro da DMZ; As ALGs (servidores de proxy) localizados em uma DMZ, servem como intermedirios entre os hosts da rede interna e as redes externas como Internet. possvel impor restries de acesso com base no horrio, login, endereo IP entre outros. Uma ALG serve tambm como cache de rede, armazenando as informaes de pginas e arquivos j acessados. Quando um ataque consegue entrar na DMZ, o ataque no capaz de passar para a rede interna devido aos pontos de filtragem que oferecem uma defesa adicional. A implementao de funcionalidades tais como VLANs podem ajudar a combater estes ataques. Para implementar uma DMZ pode-se utilizar diversos tipos de dispositivos, sendo que o nvel de segurana pode ser variado dependendo das funcionalidades disponveis em cada dispositivo. Em roteadores SOHO possvel criar uma DMZ rapidamente porem este tipo de DMZ somente libera o acesso de um dispositivo da rede interna para a rede externa sem adicionar funciolalidades avanadas de segurana. Quanto aos equipamentos para implementao de uma DMZ, pode-se utilizar roteadores com sistema operacional que permita funes avanadas de segurana, appiliances de segurana especficos ou servidores linux com iptables ou pfsense, bem como utilizar um servidores de proxy como o squid. Dentro das caractersticas das DMZ podemos citar: Servidores que precisam ser acessados externamente so posicionados dentro de uma DMZ; As DMZs so estabelecidas entre duas zonas de segurana; Em uma DMZ pode-se posicionar dispositivos para realizarem um cache de rede; As DMZs realizam o controle do trfego do que entra e do que sai da rede; A DMZ pode conter um ataque sem que o mesmo passe para dentro da rede.

Consideraes para ambientes em cloud computing Mike Janke especialista em segurana e co-fundador da Silente Circle explica neste texto traduzido em parte o que realmente est acontecendo no cenrio de cloud com a NSA e o mundo tecnologico: Ns, Silent Circle acreditamos que estas revelaes e divulgaes so algumas das melhores coisas que poderia acontecer para o setor de tecnologia. Na verdade, a batalha pela sua alma digital virou fortemente para ponto da privacidade porque agora sabemos o que estamos enfrentando. Estamos comeando a definir as capacidades e tticas de mquina de vigilncia do mundo. Antes de tudo isso, ns especulvamos, e crivamos hipteses do que era mau para todos e estvamos longe do que era real. No importa, vamos ganhar a guerra. No compre o hype7. Confie na matemtica e criptografia forte. Um dos maiores especialistas em segurana de tecnologia do mundo, Bruce Schneier, escrevi alguns artigos terrivelmente claras e concisas sobre estas revelaes e , talvez, a melhor posio para esclarecer o que essas divulgaes recentes significam. Ele analisou todos os documentos de Snowden. Aqui est uma citao de seu artigo no The Guardian h poucos dias que resume a realidade da situao: Honestamente, eu sou ctico. Seja qual for a NSA tem as mangas ultra-secretos, a matemtica da criptografia ainda vai ser a parte mais segura de qualquer sistema de criptografia. Eu me preocupo muito mais sobre os produtos mal projetados, bugs de software de criptografia, senhas ruins, as empresas que colaboram com a NSA a vazar todo ou parte das chaves, e os computadores e as redes inseguras. Essas so onde as vulnerabilidades so reais, e onde a NSA gasta a maior parte de seus esforos.

Outra anlise feita sobre dados em cloud foi feita por Phil Zimmermann neste texto: Tenho falado sobre isso nos anos anteriores 11/9 que a maior ameaa privacidade foi a Lei de Moore. A populao humana no pode estar dobrando a cada 18 meses, mas a capacidade de computadores para rastrear nos dobra a cada 18 meses. A lei de Moore quase como uma fora cega da natureza. Aps 9/11, voc tem foras cegas da Lei de Moore ligados a uma poltica focalizada de vigilncia e que uma combinao terrvel. No texto seguinte zimmermann fala do processamento dos dados como uma fora cega da natureza e da sua natural tendncia a est abertamente acessivel a quem tiver tecnologia suficiente para extrair essas informaes. O que eu disse sobre a Lei de Moore ser uma ameaa privacidade e de ser uma fora cega da natureza - bem agora a Lei de Moore est sendo acelerado em uma direo especfica por presses polticas. A presso poltica de criao de mais fiscalizao, como resposta aos ataques de 9/11. Podemos ser habilmente para mudar alguns dos que, mas a tendncia natural da Lei de dados e de Moore que os dados quer ser livre. O fluxo natural da tecnologia tende a se mover na direo de tornar a vigilncia mais fcil.

Desenvolvimento Proteo de Hard Disk No nvel mais bsico, na questo de guarda dados encontramos os hard disk, que atual numa cloud guadando grandes volumes de dados e acessando os mesmo.Em uma hipottica situao que agentes federais ou um tribunal possa exigir os dados de certas organizaes. Os hard disk teriam que garantir o singilo dos dados ou at mesmo apaga-los assim que fossem retirados da cabine onde se encontra instalado,at uns tempos atrs isso era praticamente improvvel de existir.Mas com A crescente onda de segurana empresas se dedicaram a desenvolver tais modelos de hard disk. A empresa Seagate desenvolveu um modelo de hard disk a prova de Terceiros os disco usa criptografia automtica chamada (SED) que tem enomes vantagens para garantir o CID (confidencialidade,integridade, disponibilidade) das organizaes.aqui mais caracteristicas: A tecnologia Secure Erase torna todos os dados no disco rgidos ilegveis em menos de um segundo por meio de um apagamento criptogrfico da chave de criptografia de dados. Assim, voc pode devolver, reutilizar ou se desfazer do disco com segurana.

O recurso de bloqueio automtico bloqueia o disco automaticamente e protege os seus dados assim que ele removido do sistema ou no momento em que o disco ou sistema desligado.1 Discos com criptografia automtica FIPS 140-2 Validated so certificados pelos governos dos Estados Unidos e do Canad para proteger dados importantes, mas no confidenciais e protegidos.1,2 Os discos com criptografia automtica (SED) da Seagate protegem dados em repouso(data-at-rest) e reduzem os custos de retirada dos discos de circulao.Os SEDs FIPS da Seagate,alm disso,tambm ajudam a alcanar conformidade com o FIPS para ter uma vantagem competitiva proteger o valor da sua marca. Tenha a fora do Seagate Secure suficiente para a segurana nacional,mas fcil o bastante para o departamento de TI. Notas:
1. As

opes SED, FIPS/SED e bloqueio automtico no esto disponveis em todos os modelos ou pases. Alguns modelos podem requerer suporte a controladora ou host compatvel com TCG. Os modelos SED FIPS e opo de bloqueio automtico requerem suporte a controladora ou host compatvel com TCG. TM: O logotipo do FIPS uma marca de certificao do NIST, o que no implica o endosso do produto pelo NIST nem pelos governos dos Estados Unidos ou do Canad.
2.

Criptografia/FIPS Os discos com criptografia automtica (SEDs) e validao FIPS 140-2 foram certificados pelo NIST (U.S. National Institute of Standards and Technology, Instituto Nacional de Padres e Tecnologia dos EUA) e pelo CSE (Canadian Communications Security Establishment, Estabelecimento de Segurana das Comunicaes Canadense) como em conformidade com os requisitos de segurana Nvel 2 para mdulos criptogrficos, conforme definido na publicao 140-2 do FIPS (Federal Information Processing Standards, Padro Federal de Processamento de Informaes). Modelos com criptografia FIPS no esto disponveis em todos os modelos ou pases.

Proteo na camada 2 Seria muito bom, para as organizaes que ela no precisassem se precupar tanto com as questes trafego da rede, sujeitas a sniffers, anlise por software malicioso, ou um sistema PRISM ou com qualquer outro nome rolando pela redes afora e que no uso de softwares de criptografao no entupissem a rede com centenas de tunelamento e sobrecarregassem os processamentos dos computadores seja eles cloud ou no.Neste ponto que entra a empresa Senetas, que tem uma incrivel soluo de ponta para criptografao dos dados na saida da rede e se previnindo de assdios de agentes extenos com altissimo rendimento do processamento sem sobrecarregar os computadores da sua rede ou de um cloud. A linha de produtos da senetas tem uma completa linha que antende altos requisistos dos sistema de uma empresa ou cloud,aqui alguns dos produtos que atende a uma necessidade especifica do cliente :

A linha de produtos Senentas trabalha com criptografao AES 256 bits em tempo real, trabalhando com tunelamento nico, garantindo alto rendimento da rede. A senetas tambm trababalha com critografao na camada 3. Comparativo tunelamento tradicional e tunelamento Senetas

Solues de criptografia em mutimedia Muitas vezes conversas via skipe, smartphones, reunies telepreseciais,devem ser absolutamente sigilosas,mas todos essas informaes estam trafegando pela rede. Para resolver essas questo podemos obter os produtos para criptografia de alto singilo da Silent Cirle que garante o absoluto singilo at mesmo da prpria empresa. Em resumo ningum sabe das informaes da sua organizao alm dela prpria. Silent Phone Fcil uso de encriptao em voz e video de chamadas de dispositivos mveis.App disponivel para IOS e andoid. Pode ser usado com WiFi,Edge,3G ou 4Gem qulquerlugar do mundo. Silent Text Desenvolve um controle sobre mesagem de texto, tomando o controle queimando as mensagens quando ambos emissor e receptor tiverem finalizado as mensagens. Silent Eyes Encriptao Voip (video e voz)Teleconferencia para laptops e sistemas de conferncia atravs do silent cicler's custom HD Network. Disponivel para windows e Mac.

Proteo Via Software para ambiente Cloud Dentre todas as solues j apresentadas de proteo e segurana para ambientes clouds, com atuao dinmica e em tempo real detectando vrios tipos ao maliciosas de agentes externo e uma das mais complexas solues de software para ambientes crticos em que no se pode perder praticamente nenhum dados ou tempo. Nesta categoria poucas empresas conseguem ter um know how to completo quanto a Trend Micro.Para esse tipo de situao a Trend micro possui vrios servios mas como o que nos interessa um servio de ponta, a trend Micro tem a as joias da Coroa que so as solues Deep cloud e SecureCloud. Deep Security O Trend Micro Deep Security fornece uma plataforma de segurana completa para servidores, projetada para proteger seu data center virtualizado contra violaes de dados e interrupes dos negcios, ao mesmo tempo em que garante conformidade. Essa soluo sem agentes simplifica as operaes de segurana e acelera o ROI dos projetos de virtualizao e nuvem. Mdulos totalmente integrados ampliam facilmente a plataforma para garantir a segurana do servidor, dos aplicativos e dos dados nos servidores fsicos, virtuais, em nuvem, alm de desktops virtuais. Com ele, voc pode ter uma segurana personalizada com qualquer combinao de proteo com ou sem agentes, incluindo antimalware, reputao web, firewall, preveno de intruso, monitoramento de integridade e inspeo de registros. O resultado uma plataforma de segurana para servidores adaptvel e eficiente, que protege os aplicativos e dados de misso crtica da empresa contra violaes e interrupes sem custosos patches emergenciais. Principais Recursos Otimize a Reduo do Custo Operacional Reduz a complexidade com uma completa integrao com os consoles de gerenciamento da Trend Micro, VMware e diretrios corporativos Fornece proteo de vulnerabilidades para priorizar codificaes seguras e implementaes rentveis de correes no agendadas Um nico software multifuncional ou appliance virtual, gerenciado centralmenteelimina o custo de implementar mltiplos clientes de softwares Reduz custos de gerenciamento automatizando tarefas de segurana rotineiras e de uso intensivo de recursos, reduzindo alertas de falsos-positivos e permitindo o fluxo de respostas aos incidentes de segurana Reduz significativamente a complexidade de gerenciar o monitoramento de integridade de arquivos com uma whitelisting de eventos confiveis, na nuvem

Impede violao de Dados e interrupes de Negcios Detecta e remove malwares em tempo real com um impacto mnimo no desempenho Bloqueia malwares que tentam escapar da deteco desinstalando ou interrompendo o programa de segurana Blinda vulnerabilidades conhecidas e desconhecidas na web e nos aplicativos e sistemas operacionais da empresa Detecta e alerta atividades maliciosas ou suspeitas para acionar medidas proativas e preventivas Utiliza os recursos de reputao da web de uma das maiores bases de dados mundial de reputao de domnio, impedindo que os usurios acessem sites infectados

Obtem conformidade Rentvel Atende os principais requisitos de conformidade como PCI DSS 2.0, HIPAA, NIST e SAS 70 com uma soluo integrada e acessvel Fornece relatrios auditveis e detalhados que documentam ataques bloqueados e o status da conformidade Reduz o tempo e o esforo de preparao para auditorias Apoia as iniciativas de conformidade internas aumentando a visibilidade da atividade da rede interna Utiliza tecnologia certificada com Common Criteria EAL 4+

Modulos da plataforma Deep Security Antimalware Integra-se s APIs VMware vShield Endpoint para proteger as mquinas virtuais VMware contra vrus, spywares, cavalos de Troia e outros malwares com impacto zero nos guests Entrega um agente anti-malware para ampliar a proteo para os servidores fsicos e tambm para os servidores em nuvens pblicas Agora inclui um desempenho aprimorado atravs do nvel ESX de cachinge deduplicao Otimiza as operaes de segurana para evitar sobrecargas de antivrus normalmente vistas em varreduras e atualizaes de vacinas completas Segurana prova de violao por ataques sofisticados em ambientes virtuais isolando o malware do antimalware

Monitoramento de Integridade Monitora sistemas operacionais e arquivos de aplicativos crticos, como diretrios, chaves de registros e valores para detectar e relatar mudanas maliciosas e inesperadas, em tempo real Utiliza a tecnologia Intel TPM/TXT para realizar monitoramento de integridade do hypervisor Monitora em busca de mudanas no autorizadas no hypervisor estendendo a segurana e conformidade dos sistemas virtualizados no hypervisor Reduz a sobrecarga administrativa com tags de eventos confiveis que automaticamente replicam aes para eventos similares em todo o data center Simplifica bastante a administrao reduzindo o nmero de bons eventos conhecidos atravs de whitelisting automtica na nuvem do Certified Safe Software Service da Trend Micro

Reputao na Web Integra-se com os recursos de reputao web da Trend Micro Smart Protection Network para reforar a proteo dos servidores e desktops virtuais Fornece reputao da web sem agentes no mesmo appliancevirtual para uma maior segurana do servidor virtual, sem impacto adicional

Proteo e Deteco de Intruso Protege contra ataques conhecidos e de dia zero blindando vulnerabilidades conhecidas de exploraes ilimitadas Examina todo o trfego de entrada e de sada em busca de desvios de protocolos, violaes de polticas ou contedo que sinaliza um ataque Blinda automaticamente vulnerabilidades recm descobertas em poucas horas, repassando a proteo para milhares de servidores em questo de minutos, sem reiniciar o sistema Auxilia a conformidade (PCI DSS 6.6) para proteger aplicativos da web e os dados que eles processam Defende contra ataques de SQL injections, cross-site scripting e outras vulnerabilidades de aplicativos da web Blinda vulnerabilidades at que o cdigo de correo possa ser completado Inclui proteo imediata de vulnerabilidades para todos os principais sistemas operacionais e mais de 100 aplicativos, inclusive base de dados, web, email e servidores FTP Fornece maior visibilidade interna ou controle sobre os aplicativos que acessam a rede

Firewall Statefull bidirecional Diminui a superfcie de ataque dos servidores fsicos, virtuais e em nuvem com um filtro de granulao fina. Elabora polticas por rede e reconhecimento de local para todos os protocolos baseados em IP e tipos de estruturas. Gerencia centralmente a poltica do firewall do servidor, incluindo templatespara tipos comuns de servidores Impede ataques de negao de servio e detecta varreduras de reconhecimento

Inspeo de Registros Coleta e analisa o sistema operacional e registros de aplicativos em busca de

comportamento suspeito, eventos de segurana e administrativos em todo seu data center Auxilia a conformidade (PCI DSS 10.6) para otimizar a identificao de eventos de segurana importantes escondidos em entradas mltiplas de registros Encaminha eventos suspeitos para um sistema SIEM ou para um servidor de registros central para correlacionar, relatar e arquivar

Esquemtico do Software Deep Security

Arquitetura da plataformas Deep Security Virtual Appliance - Impe, com transparncia, as polticas de segurana nas mquinas virtuais do VMware vSphere para os recursos sem agentes de anti-malware, reputao web,reveno de intruso, monitoramento de integridade e proteo de firewall. Caso desejado, coordena com o Deep Security Agent para inspeo de registros e defesa em profundidade. Deep Security Agent - Esse pequeno componente de software implementado no servidor ou mquina virtual a ser protegida refora a poltica de segurana do data center (antimalware,reputao web, preveno deintruso, firewall, monitoramento de integridade e inspeo de registros). Deep Security Manager - Gerenciamento centralizado avanado permite que os administradores criem perfis de segurana e os apliquem nos servidores, monitorem alertas e aes preventivas tomadas em resposta a ameaas, distribuam atualizaes de segurana para os servidores e gerem relatrios. O recurso de Event Tagging simplifica o gerenciamento de eventos de grande volume. Smart Protection Network - O Deep Security integra-se a esta infraestrutura de ltima gerao cliente-nuvem para entregar proteo em tempo real contra novas ameaas,avaliando ecorrelacionando constantemente ameaas e inteligncia de reputao nos sites, fontes de emails e arquivos.

Implementao e Integrao Rpida implementao aproveita investimento de TI e segurana existente A integrao com as APIs vShield Endpoint e VMsafe, e tambm com o VMware vCenter, possibilita uma implementao rpida nos servidores ESX como um appliancevirtual para, de forma imediata e transparente, proteger as mquinas virtuais vSphere. Eventos de segurana detalhados no nvel do servidor so fornecidos para um sistema SIEM, incluindo ArcSight, Intellitactics, NetIQ, RSA Envision, Q1Labs, Loglogic e outros sistemas atravs de mltiplas opes de integrao. Integrao de diretrios de nvel com solues de nvel de segurana, inclusive microsoft Active Direct. Software agente pode ser implementado facilmente atravs de mecanismos de distribuio de softwares padro como Microsoft SMS, Novel Zenworks e Altiris

SecureCloud Mais empresas esto se voltando para a computao em nuvem e virtualizao para fornecer provisionamento rpido, agilidade e reduo de custos. No entanto, esses benefcios tambm introduzir privacidade e riscos de segurana as empresas no pode sempre saber onde seus dados ou quem pode acess-lo. Trend Micro SecureCloud fornece proteo de dados distintos para nuvem e ambientes virtuais usando criptografia com gerenciamento de chaves baseado em polticas e validao de servidor exclusivo Essa proteo com segurana e facilidade protege os dados sensveis armazenados com os principais provedores de servios em nuvem, incluindo Amazon EC2, Dell, Eucalyptus e NTT America , bem como VMware vCloud e um ambiente virtual. SecureCloud fornece um sistema de gerenciamento de patente pendente, a chave que lhe permite definir polticas que determinam onde e quando os dados criptografados podem ser acessados. Alm disso, a validao do servidor aplica-se as regras de identidade e integridade quando os servidores de solicitar o acesso a garantir volumes de armazenamento. Abordagem simples de SecureCloud oferece segurana as chaves de criptografia para dispositivos vlidos, sem a necessidade de implantar um sistema de arquivo inteiro e infra-estrutura de gesto. SecureCloud,voc pode proteger as informaes sensveis em nuvem e ambientes virtuais de roubo,a exposio no autorizada,ou no aprovada a migrao geogrfica a outros centros de dados.Esta proteo ajuda a apoiar a governana interna e garantir a conformidade com regulamentaes como HIPAA,HITECH,Sarbanes-Oxley,GLB e PCI DSS SecureCloud tambm possui certificao FIPS 140-2 para apoiar as agncias governamentais e as empresas que os alto padres. A gesto SecureCloud chave e soluo de criptografia de dados est disponvel como Software as a Service (SaaS) ou como uma aplicao de software. Ao dar o seu controle de negcios de suas prprias chaves, SecureCloud lhe d a liberdade para criptografar dados em data centers virtuais ou na nuvem, e at mesmo para mover-se entre os fornecedores de nuvem sem estar vinculado a qualquer sistema de criptografia de um provedor.

Caracteristicas Avanada Tecnica de segurana Features FIPS 140-2 certification and FIPS approved AES encryption Encrypts and decrypts information in real time, so data at rest is always protected Applies whole volume encryption to secure all data, metadata, and associated structures without impacting application functionality

Controle de Autenticao de acesso Employs role-based management to help ensure proper separation of duties Automates key release and virtual machine authorization for rapid operations or requires manual approval for increased security Offers cloud provider credential rotation

Gerenciamento de chave por Monitoria Uses identity- and integrity-based policy enforcement to ensure only authorized virtual machines receive keys and access secure volumes Integrates with Deep Security Manager to further validate the environment security posture Enables the use of policies to determine when and where information is accessed

Robusta audio,reportagem e alerta Logs actions in the management console for audit purposes Provides detailed reporting and alerting features with incident-based and interval-based notifications

Comentrios sobre o tema Segurana em Cloud Computing. Ao longo da pesquisa encontrou-se certa dificuldade em encontrar solues nacionais para o tema em questo, verificou-se uma demanda grande para a produo de solues de proteo abertas com facil integrao. Todas as solues so de produo de empresas internacionais que tem a marca de propriedade sobre o produto deixando assim o cliente em situao de Lock-in na maioria dos casos, a questo da proteo com solues open-source demonstrou-se interessante, j que existe uma demanda muito grande para o sevio de segurana em cloud. Concluso O intenso assdio de agentes externo em ativos das organizaes, faz o setor de segurana em cloud computing ficar cada vez mas necessitado de geniais solues para proteo desse ativos, todas as solues encontras para organizaes foram de solues proprietrias o que parece ser o nico setor em que solues open-soucer ainda no atigiram um significante resultando e no parece que vai obter to cedo, j que normalmente sistemas open-soucer custuma ter vrias limitaes. Tambm compreendemos que a proteo pode ser atingida sim sem medo de grandes agentes externos,Pois existem profissionais comprometidos com os negcios das organizaes. O Setor de segurana demontrou-se extremamentente necessitado de solues que metigue a todo o instante a ao de agentes que tem a seu favor a prpria fora cega da natureza dos dados comentadas antes pelo especialista em segurana Phil Zimmermann. As solues apresentadas so de empresas com grande know how no negcio em que elas atuam sendo todos os seus produtos certificados pelos principais organismo de auditoria do mundo. Tembm percebeu-se que no existe uma soluo nica para a resoluo em completo do tema proposto, j que cada empresa tem nkow how em determinado assunto.

Referncias Trend micro http://www.trendmicro.com.br/ Silent Circle https://silentcircle.com/ Artigo http://canaltech.com.br/noticia/espionagem/Dicas-como-proteger-seu-computadordo-programa-de-espionagem-PRISM/ Artigo http://idgnow.uol.com.br/ti-corporativa/2013/09/26/empresa-lanca-servico-decompartilhamento-com-protecao-a-la-prism/ Artigo http://www.alertasecurity.com.br/noticias/116-espionagem-governos-se-calamusuarios-se-mexem Artigo http://www.apublica.org/2013/05/beaba-codigo/ Wikipedia http://en.wikipedia.org/wiki/Phil_Zimmermann Artigo http://cio.uol.com.br/tecnologia/2013/06/19/tecnologia-nao-e-suficiente-paraenfrentar-o-prism-afirma-criador-do-pgp/ G1 http://g1.globo.com/platb/seguranca-digital/2013/06/12/e-possivel-fugir-do-prism-omonitoramento-dos-estados-unidos/ Artigo http://www.comprova.com/empresas-tropicalizam-solucoes-para-garantir-segurancaon-line/ Artigo http://www.itproportal.com/2013/07/15/interview-mateo-meier-from-artmotion-onprism-privacy-issues-switzerlands-legendary-neutrality-and-much-more/ revista Segurana digital http://segurancadigital.info/sdinfo_downloads/revista_sd/10_edicao_abril_01_04_2013.pdf Estado http://www.estadao.com.br/noticias/internacional,eua-atuam-para-minarferramentas-que-protegem-privacidade-na-internet,1071728,0.htm CSABR https://chapters.cloudsecurityalliance.org/brazil/tag/cloud-computing/ Info http://info.abril.com.br/noticias/blogs/download-da-hora/seguranca/5-solucoes-paracriptografar-seus-dados/ SecurStar http://www.securstar.com/products_drivecryptpp_MC.php Seagate http://www.seagate.com/br/pt/tech-insights/protect-data-with-seagate-secure-selfencrypting-drives-master-ti/ IBM http://pic.dhe.ibm.com/infocenter/wasinfo/v8r5/index.jsp?topic= %2Fcom.ibm.websphere.zseries.doc%2Fae%2Fcwbs_cryptodev.html&lang%3Dpt_BR Senetas http://www.senetas-europe.com/encryptor_div/layer2.html ComputerWorld http://computerworld.uol.com.br/seguranca/2011/08/26/dpl-vale-a-penainvestir-na-tecnologia-para-proteger-dados/ Artigo http://seumicroseguro.com/2011/06/30/hips-e-bloqueador-de-comportamento-qual-adiferenca-entre-eles/ Tecmundo http://www.tecmundo.com.br/seguranca/2142-dia-zero-entenda-o-que-e-e-comoe-explorada-essa-falha-de-seguranca.htm Artigo http://www.significados.com.br/roi/ Ebook criptografia e segurana de redes Wiliam Stalling

Notas: Deep web1 - http://pt.wikipedia.org/wiki/Deep_web NSA2 (National Security Agency) - http://www.nsa.gov/ Dropbox3 - https://www.dropbox.com/ Patch tuesday4 - http://pt.wikipedia.org/wiki/Patch_Tuesday Throuput5- http://pt.wikipedia.org/wiki/Throughput message digest6 (MD5) - http://pt.wikipedia.org/wiki/MD5 Hype7 - http://pt.wikipedia.org/wiki/Hype