Computação em Nuvem

Aula 3: Questões de segurança em computação em nuvem

Apresentação
A segurança de sistemas de computação envolve um conjunto amplo e complexo de tecnologias, regulações e
comportamentos que, colaborativamente, protegem a integridade do acesso a sistemas e dados. Medidas de segurança
de TI buscam defender contra ameaças e interferências advindas tanto de má-fé quanto de erro não intencional do
usuário.

Nesta aula, apresentaremos os termos e conceitos que descrevem questões básicas de segurança da informação em
ambientes de nuvem.

Em seguida, abordaremos os tipos mais comuns de ameaças e ataques a ambientes em nuvem.

Objetivos
Identi car os termos e conceitos básicos sobre segurança em nuvem, bem como os principais agentes de ameaças;

Examinar vulnerabilidades mais comuns de ambientes em nuvem;

Investigar considerações adicionais.

 Segurança em nuvem: conceitos e terminologia básica

O sistema está seguro?

Em sistemas de computação, diz-se que a segurança de um sistema existe, se algumas características permanecem não
violadas, como: a con dencialidade, a integridade, a autenticidade e a disponibilidade.

Veja a seguir o signi cado de cada um deles.

Confidencialidade
É o termo usado para representar a ideia de que alguma coisa é acessível somente às partes autorizadas. Em ambientes de
nuvem, a con dencialidade é garantida pela restrição do acesso de entidades não autorizadas a dados em trânsito ou
armazenados.

Integridade
É o termo que representa a ideia de que dados não serão alterados por terceiros não autorizados. Um importante desa o
relacionado à integridade de dados em ambientes de nuvem é se um consumidor de nuvem tem garantias de que o dado
transmitido para um serviço de nuvem é o mesmo que será recebido se estes foram solicitados de volta.

Autenticidade
Quando garantimos que algo (ex: dado, recurso) foi disponibilizado a partir de uma parte autorizada, sem que um terceiro não
autorizado consiga ngir ser a parte autorizada, dizemos que há autenticidade. Uma consequência da autenticidade é que a
parte autorizada não pode repudiar a interação dizendo que não foi feita por ela, o que é comumente chamado de não repúdio
1
.

Disponibilidade
É garantida quando os recursos necessários estão acessíveis e usáveis durante um dado período. Em ambientes de nuvem, a
disponibilidade de serviços em nuvem podem ser uma responsabilidade que é compartilhada entre o provedor de nuvem e o
consumidor de nuvem. Por exemplo, o consumidor precisa garantir que sua conexão com a internet é estável e veloz o
su ciente para os requisitos das aplicações.

 O que faz o sistema car inseguro e quais são as medidas de segurança?

 Clique no botão acima.

O que faz o sistema car inseguro e quais são as medidas de segurança?

Sistema inseguro

Vulnerabilidade
Qualquer característica do sistema ou de um recurso, que possa ser usada para violar um ou mais pilares da
segurança (con dencialidade, integridade, autenticidade, disponibilidade), é considerada uma vulnerabilidade. Em
outras palavras, é um problema conhecido que pode ser explorado. Por exemplo, se um colaborador é desligado, e a
organização não desabilita suas contas de acesso aos sistemas, temos uma vulnerabilidade.

Ameaça
Uma ameaça (threat) é uma pessoa ou evento com potencial de impactar a segurança por meio da violação de pelo
menos um de seus pilares. No exemplo do parágrafo anterior, a ameaça seria o evento de o colaborador desligado
resolver acessar o sistema.

Como devem ter notado, há uma relação entre vulnerabilidade e ameaças. Em algumas situações, pode ser mais
vantajoso investigar cada potencial ameaça para determinar até que ponto o sistema está vulnerável a cada ameaça
analisada. Em outros casos, pode ser mais interessante identi car as vulnerabilidades presentes, sem uma ameaça
especí ca em mente. Uma boa política de segurança envolve a análise da segurança sob ambas as perspectivas.

Risco
É a possibilidade de prejuízos ou danos causados por uma atividade. Em geral, o risco é dimensionado de acordo com
o nível de ameaça e o número de vulnerabilidades possíveis ou conhecidas. Para determinar o risco de um recurso de
TI, podemos citar duas métricas principais:

A probabilidade de uma ameaça explorar uma vulnerabilidade de um recurso de TI;

A perda esperada caso um recurso de TI seja comprometido.

Medidas de segurança

Contramedidas
Conhecidas também como controles de segurança, são ações tomadas para prevenir ou responder a ameaças à
segurança ou reduzir/prevenir riscos. Os detalhes sobre contramedidas são normalmente descritos no documento de
políticas de segurança, que contém um rol de práticas e regras que especi cam como implementar um sistema,
serviço, ou plano de segurança, para maximizar a proteção de recursos de TI.

Mecanismos de segurança
Contramedidas normalmente são descritas em termos de mecanismos de segurança, que são componentes descritos
por um arcabouço defensivo que protege recursos de TI.

Políticas de segurança
O conjunto estabelecido de regras e regulamentos de segurança é denominado políticas de segurança.
Frequentemente, políticas de segurança de nirão como as regras e regulações são implementadas e impostas.
 Agentes de Ameaças

Um agente de ameaça é uma entidade que impõe uma ameaça, pois ele é capaz de realizar um ataque. Ameaças à
computação em nuvem podem ser originadas de agentes endógenos e exógenos, e podem partir de pessoas ou de softwares.
A Figura 1 ilustra o papel que um agente de ameaça assume em relação à vulnerabilidades, ameaças, riscos, contramedidas e
políticas de segurança.
 Figura 1: Agentes da segurança da informação, e seus papéis

 Agentes de ameaças à segurança da informação e seus papéis

 Clique no botão acima.

 Agentes de ameaças à segurança da informação e seus papéis

Atacante anônimo
Softwares (ou usuários) externos ao ambiente de nuvem que geram ataques em nível de rede a nuvens públicas são
denominados atacante anônimo. Quando um atacante anônimo possui informação limitada sobre as políticas de
segurança e defesa, existe baixa probabilidade de ele formular um ataque efetivo. Portanto, atacantes anônimos
frequentemente recorrem a ações como roubar credenciais de usuários ou contornar processos de login, enquanto
usam técnicas que minimizam chances de que ele seja identi cado.

Agentes maliciosos de serviço

São entidades (como dispositivos de rede) localizados no caminho entre o consumidor e o provedor de nuvem, que
estão comprometidos com códigos (instruções) maliciosos. Um agente malicioso de serviço também pode ser um
software externo capaz de remotamente interceptar e potencialmente comprometer conteúdos de mensagens.

Atacante confiável
É uma entidade que possui credenciais de acesso legítimas, mas que as usa para comprometer (atacar) recursos de
TI. Atacantes con áveis (também chamados de inquilinos maliciosos) podem usar recursos de TI baseados em
nuvem para um amplo espectro de explorações, incluindo o hackeamento de processos fracos de autenticação,
quebra de criptogra a, geração de spams via e-mail, ou lançar ataques em massa, como os DDoS (Distributed Denial
of Service), ou ataque de negação de serviço distribuído.

Quando o atacante é um colaborador (ou ex-colaborador) do consumidor ou provedor de nuvem, e usa credenciais
ativas para comprometer a segurança de recursos de TI, temos o que é chamado de malicioso interno. Esse tipo de
agente de ameaça é o que impõe maior potencial de dano, dado que ele pode ter até privilégios administrativos para
acessar recursos de TI de consumidores de nuvem.

Ameaças à segurança do ambiente em nuvem

Quando os dados estão transferidos da/para a nuvem, e um agente malicioso de serviço tem acesso aos dados transmitidos,
então temos uma escuta/interceptação de tráfego. Note que este caso trata especi camente de uma interceptação passiva,
ou seja, uma escuta. Por ser uma ameaça passiva, é mais difícil detectá-la. Observe a gura 2.
 Figura 2: Escuta maliciosa

Se além de escutar a mensagem, o agente malicioso alterá-la de alguma forma, e comprometer um dos pilares da segurança
(ex: con dencialidade ou integridade), então, a ameaça é denominada intermediário malicioso, ilustrado na Figura 3.

 Figura 3: Intermediário malicioso

Ataques de Negação de serviço objetivam sobrecarregar recursos de TI ao ponto em que não há capacidade su ciente para
atender consumidores legítimos. Esse tipo de ataque pode ser lançado principalmente de três formas:

1 Envio de alto número de requisições repetidas para sobrecarregar serviços de nuvem;

Envio de alta intensidade de tráfego através da conexão do ambiente de nuvem com a internet, de forma a prejudicar seu
2 desempenho;
3 Envio de requisições de serviços de nuvem que consomem alta quantidade de recursos de memória ou processamento.

Na Figura 4, temos um exemplo de ataque de negação de serviço. O usuário malicioso A envia solicitações ao servidor virtual
A, demandando quantidade incomum de recursos, o que sobrecarrega o servidor físico. O ataque acaba gerando
indisponibilidade (negação de serviço) no servidor virtual B, impactando o consumidor legítimo B.

 Figura 4: Intermediário malicioso

Em ataques de autorização insu ciente, o atacante acessa recursos de TI que deveriam estar protegidos, mas o acesso foi
permitido devido à con guração errônea de privilégios.

A Figura 5 ilustra esse caso, mostrando um exemplo em que o consumidor B não possui contrato de acesso direto ao banco de
dados, que só deveria estar disponível via web service, conforme o usuário A está usando.
 Figura 5: Exemplo de ataque de autorização insuficiente

Considerado uma variação da autorização insu ciente, o ataque da autenticação fraca pode ocorrer quando senhas
frágeis/fracas ou contas indevidamente compartilhadas são usadas, conforme ilustrado na Figura 5 e 6.

Nesse caso, o atacante quebrou uma senha fraca do consumidor A, e passou a usar serviços indevidos de nuvem.
 Figura 6: Exemplo de ataque de autorização insuficiente

Ataques à virtualização
O fato de usuários terem privilégios administrativos traz um risco inerente que consumidores de nuvem possam abusar desse
acesso para atacar recursos físicos de TI.

Um exemplo desse tipo de ataque é apresentado na Figura 7. O atacante acessa o servidor virtual para comprometer o servidor
físico ao qual ele está associado. Mesmo sabendo que o consumidor atacante não objetivava afetar outros usuários, esse
cenário pode ser especialmente danoso em nuvens públicas em que um recurso físico de TI é compartilhado por diversos
consumidores de nuvem (múltiplos inquilinos).
 Figura 7: Ataque de virtualização

Se o consumidor atacante atacar recursos físicos compartilhados com a intenção deliberada de comprometer recursos com
limites de con ança sobrepostos, então temos uma variação denominada ataque de limites de con ança sobrepostos. Estes
ataques exploram o fato de que em sistemas de múltiplos inquilinos, como comumente é o caso de ambientes em nuvens
públicas, os limites de con ança são sobrepostos. A consequência é que alguns ou todos os outros consumidores de nuvem
que compartilham o mesmo limite de con ança podem ser impactados por tal ação.

Ataque à contêiner
A conteinerização, abordada na aula anterior, introduz a falta de isolamento no sistema operacional (S.O.) host. Contêineres
implantados no mesmo hardware compartilham o mesmo S.O. host e as ameaças à segurança são especialmente
importantes, pois um ataque pode resultar em acesso integral ao S.O. host. Nesse caso, se o S.O. host também for
comprometido, todos os contêineres em execução podem ser impactados.

Implementação falha
Se o software e/ou o hardware do provedor de nuvem possuir falhas de seguranças inerentes ou fragilidades operacionais,
atacantes poderão explorar essas vulnerabilidades para impactar os pilares da segurança dos recursos de TI disponibilizados
aos consumidores. Portanto, é fundamental que projeto, implementação e con guração de ambientes em nuvem sigam os
padrões e boas práticas.

Disparidades na política de segurança

Quando um consumidor usa recursos de TI de um provedor de nuvem pública, ele precisará aceitar que as diretrizes descritas
de nidas por suas políticas de segurança podem ser signi cativamente diferentes das do provedor de nuvem.

Haverá necessidade de estudar essa incompatibilidade com o objetivo de garantir que os recursos de TI e dados hospedados
na nuvem estão adequadamente protegidos. Por exemplo, quando contrata soluções IaaS (infraestrutura como um serviço), o
consumidor pode não ter privilégios de controle su cientes ou qualquer in uência sobre as políticas de segurança
disponibilizados pelo provedor aos recursos contratados. Isso ocorre, pois, os recursos ainda são, legalmente, de propriedade
do provedor, e continuam sob sua responsabilidade.

A situação ca ainda mais delicada se considerarmos que alguns provedores de nuvem pública podem terceirizar serviços
como corretores de seguro e autoridades certi cadoras, que podem introduzir suas próprias políticas de segurança e boas
práticas.
 Contratos
Consumidores de nuvem precisam examinar cuidadosamente os contratos e Acordos de Nível de Serviço (ANS), ou Service
Level Agreements (SLA) disponibilizados por provedores de nuvem para garantir que políticas e outras garantias relevantes
sejam satisfatórias quando se trata de segurança de ativos.

É necessário veri car se a linguagem usada é clara e precisa, e se indica quais responsabilidades assumidas pelo provedor de
serviço. Quanto maior for a responsabilidade assumida pelo provedor de serviço, menor será o risco para o consumidor.

Outro aspecto de obrigação contratual a ser considerado é onde é desejada a linha de fronteira que divide os ativos do
consumidor e do provedor de nuvem. Um consumidor de nuvem que implanta sua solução sobre uma infraestrutura fornecida
pelo provedor de nuvem produzirá uma arquitetura de tecnologia com componentes de propriedade tanto do consumidor
quanto do provedor. Se uma brecha de segurança ou algum tipo de falha de operação ocorrer, como a responsabilidade será
determinada?

Além disso, se o consumidor de nuvem deseja aplicar suas próprias políticas de segurança às suas soluções, mas o provedor
de nuvem insiste que a infraestrutura disponibilizada será governada pelas políticas do próprio provedor (que podem ser
incompatíveis), como essa disparidade poderá ser contornada?

Em alguns casos, a melhor solução será olhar para diferentes provedores à procura de políticas de segurança que sejam
su cientemente compatíveis com a do consumidor.

Gerenciamento de risco
Durante a avaliação dos impactos e desa os potenciais inerentes à adoção de computação em nuvem, consumidores de
nuvem devem realizar uma avaliação formal de riscos como parte de uma estratégia de gerenciamento de riscos.

O gerenciamento de risco é um processo executado ciclicamente para reduzir riscos estratégicos, composto por um conjunto
de atividades coordenadas de avaliação.

As principais atividades em geral são de nidas como avaliação de risco, tratamento de risco e controle de risco, conforme
indicado na Figura 8.
 Figura 8: Ciclo do processo de gerenciamento de riscos

Conheça a seguir, as principais atividades do ciclo de gerenciamento de riscos.

 Ciclo do processo de gerenciamento de riscos

 Clique no botão acima.

 Ciclo do processo de gerenciamento de riscos

Avaliação de riscos
O ambiente de nuvem é analisado para identi car potenciais vulnerabilidades que possam ser exploradas.

O provedor de nuvem pode ser provocado a produzir estatísticas e outras informações sobre ataques a tentativas de
ataques passados ocorridos em sua nuvem.

Os riscos identi cados são quanti cados e quali cados de acordo com a probabilidade de ocorrência e o grau de
gravidade do impacto em relação a como o consumidor de nuvem planeja utilizar recursos de TI do provedor.

Tratamento de riscos
Nesse estágio, políticas e planos de mitigação são desenhados com o objetivo de tratar com sucesso ataques
identi cados durante a fase de avaliação de riscos.

Alguns riscos podem ser eliminados, outros apenas mitigados, enquanto outros podem ser tratados por meio de
terceirização ou, até mesmo, com seguros. O provedor de nuvem pode concordar em assumir responsabilidades como
parte de suas obrigações contratuais.

Controle de riscos
A ideia, nesse estágio, é basicamente realizar o monitoramento de riscos, um processo em três passos, composto de
levantamento de eventos relacionados, revisão dos eventos para determinar a efetividade de tratamentos e
avaliações anteriores para, então, identi car ajustes necessários nas políticas de segurança.

Dependendo da natureza do processo de monitoramento requerido, esse estágio pode ser delegado ou compartilhado
com o provedor de nuvem.

Os agentes de ameaças e ameaças à segurança abordados nesta aula podem ser identi cados e documentados
como parte de um estágio de avaliação de riscos.

Técnicas e mecanismos de segurança em nuvem podem ser documentados e referenciados como parte do estágio de
tratamento de riscos correspondentes.

Atividade
1) Marque a opção que representa as características de um sistema computacional que devem prevalecer para que o sistema
seja considerado seguro.

a) Controle de segurança, disponibilidade, políticas de segurança, integridade.

b) Confidencialidade, mecanismos de segurança, autenticidade, disponibilidade.
c) Controles de segurança, mecanismos de segurança, políticas de segurança.
d) Ameaça, vulnerabilidade, risco.
e) Confidencialidade, integridade, autenticidade, disponibilidade.
 2) Nesta aula, abordamos quatro tipos de agentes de ataque: atacante anônimo, agente de serviço malicioso, atacante
con ável (inquilino malicioso), e malicioso interno. Diferencie atacante con ável de malicioso interno.

3) O que diferencia um ameaça denominada escuta de tráfego de uma ameaça classi cada como intermediário malicioso?

4) A sobreposição de limites de con ança é um sub-tipo de ameaça à qual categoria de ameaças à segurança de ambientes de
nuvem?

a) Escuta de tráfego
b) Intermediário malicioso
c) Ataque de virtualização
d) Negação de serviço
e) Autorização insuficiente

5) Avaliação, controle e tratamento são estágios do processo de gerenciamento de:

a) Contratos
b) Disparidades de políticas de segurança
c) Implementações falhas
d) Riscos
e) Sobreposição de limites/barreias de confiança

Notas

Não repúdio 1
Referências
O não repúdio serve como prova de que as interações de fato foram feitas pelas partes interessadas e autorizadas.

AMAZON. Documentação sobre segurança na Nuvem da Amazon AWS. Disponível em: https://aws.amazon.com/pt/security/
Acesso em 9 ago. 2019.

GOOGLE. Documentação sobre segurança na Nuvem do Google Cloud. Disponível em: https://cloud.google.com/security/?
hl=pt-br Acesso em 9 ago. 2019.

MICROSOFT. Documentação sobre segurança na Nuvem do Microsoft Azure. Disponível em: https://azure.microsoft.com/pt-
br/overview/security/ Acesso em 9 ago. 2019.

NATIONAL INSTITUTE OF STANDARDS AND TECHOLOGY. Framework formal de gerenciamento de riscos do NIST. Disponível
em: https://www.nist.gov/news-events/news/2018/05/nist-updates-risk-management-framework-incorporate-privacy-
considerations. Acesso em 9 ago. 2019.

NETO, Manuel V de S. Computação Em Nuvem - Nova Arquitetura de TI. 1. ed. Rio de Janeiro: Brasport, 2015.
 Leitura do livro didático base, disponível na Biblioteca Virtual Estácio:
- Capítulo 2, item 2.6: Conceitos na prática: Modelo para Segurança da CSA
- Capítulo 8, item 8.2.6: Segurança no AWS
- Capítulo 10, item 10.5.6: Considerações de segurança

Próxima aula

Modelos mais comuns de arquitetura de computação em nuvem;

Exemplos de cenários habituais de uso de ambientes baseados em nuvem.

Explore mais

Assista aos vídeos:

Uma jornada com segurança para a nuvem (Microsoft)

Webinar: Práticas para aumentar seu nível de segurança (Amazon)

Palestra: Segurança e con ança para o Google Cloud

(Habilite a legenda e ative a tradução automática para o português).