Aceleração Global Dev 21 - GFT

Type here if add
info needed for

every slide
Aceleração Global Dev #21

Segurança da Informação
© 2021 | GFT Technologies SE and its affiliates. All rights reserved.

Shaping the Type here if add
future of digital info needed for
business every slide
Agenda
1. CISSP - Certified Information Systems Security
Professional
 Que tipo de profissional é esse
 Recomendações de segurança de software
2. Segurança de API
 Identidade e Identificação (Identity and Identification)
 Três “A”s da Segurança: Authentication, Authorization and Accounting
 Tipos de autenticação de APIs: OAuth 2.0, OpenID, SAML
3. As questões de segurança nas nuvens

 Modelo de responsabilidades compartilhadas
 Gestão de credenciais em cofres (Vault)
gft.com 19 February 2022 2

CISSP
Certified Information Systems Security Professional

CISSP - Que tipo de profissional é

esse
 Um CISSP é um profissional de Segurança da
Informação que define a arquitetura, design, gestão
e/ou controles que garantem a segurança de
ambientes corporativos
 A vasta amplitude de conhecimentos e experiências
necessários é o que diferencia um CISSP
 A credencial demonstra um nível de reconhecimento
internacional de competência fornecido pelo CBK®
do (ISC)2®
 cobre tópicos críticos em segurança atual
 computação em nuvem
 segurança móvel
 segurança no desenvolvimento de aplicativos
 gestão de riscos

CISSP - Recomendações de
segurança de software
 Utilize métodos seguros de transferência e
armazenamento de dados
 Tenha um ambiente de desenvolvimento seguro
 Use métodos de desenvolvimento seguros
 Sempre revise o código em busca de brechas
 Use métricas para atribuir padrões e avaliar a
segurança no projeto
 Adote um Ciclo de Desenvolvimento Seguro (SDL do
inglês - Security Development Lifecycle)

 Treinamento: envolve o treinamento de todos os
membros da equipe de tal forma que todos estejam
cientes dos princípios e tendências de segurança e
privacidade modernos
 Requisitos: consiste na verificação dos requisitos
necessários para garantir que a segurança e a
privacidade do usuário seja total. Além disso, é
estabelecido um sistema de rastreamento de bugs
de segurança para garantir a resolução rápida de
problemas
 Design: utilizada para analisar a superfície de ataque
da aplicação e produzir um modelo com as principais
ameaças do software

 Implementação: criação de um código com técnicas
de programação defensiva com padrões de
codificação que reduzem a vulnerabilidade do
sistema
 Verificação: desenvolvida para a realização de
testes, verificação de código e inspeção da
documentação. Ela pode ser feita por meio de
ferramentas automatizadas ou por profissionais
terceirizados
 Lançamento: envolve a criação de um plano de ação
que vai preparar a equipe de suporte a solucionar
problemas. A equipe responsável pelo tratamento de
incidentes mais graves que envolvam a segurança
da informação também deve estar preparada para
minimizar danos rapidamente

 Resposta: nessa etapa, quaisquer bugs ou falhas
encontradas após a distribuição do software são
rastreadas e tratadas
 Confiabilidade e estabilidade

Intel SDL (Security Development Lifecycle)

Intel SDL (Security Development Lifecycle)

Segurança de API

Identity and Identification
 A “conta” ou “nome de usuário único” (unique username) que identifica

um ator dentro de um sistema
 A identificação acontece quando um usuário – ou outra individualidade,
uma Conta de Serviço (Service Account) por exemplo – reivindica uma
identidade
 Pode ser usado para identidade um nome de usuário, Conta de Serviço,
Smart Card, ou qualquer outra coisa que seja unicamente identificável

Authentication
 É o processo de validar uma identificação, acontece quando o detentor da

identidade apresenta suas credenciais que podem ser:
 Alguma coisa que você conhece – ex.: senha
 Alguma coisa que você possui – ex.: Token RSA
 Alguma coisa que você tem – ex.: Impressões digitais
 Baseado na quantidade de elementos de autenticação necessárias para
validar uma identidade, podemos ter as seguintes classificações:
 Single-Factor Authentication
 Two-Factor Authentication
 Multi-Factor Authentication
 A grosso modo, a autenticação estabelece a validade de uma identidade
que está sendo reivindicada.

Authorization
 É uma técnica de segurança usada para determinar os privilégios de uma

determinada identidade, ou, elegibilidade de uma identidade para
executar uma tarefa específica em um determinado sistema
 Especifica quais papéis uma determinada identidade irá possuir no sistema
depois que ela foi autentidada como um candidato elegível
 Representa as ações que uma identidade tem permissão de realizar dentre
do Sistema, uma vez que a identidade já foi validada no processo de
autenticação, por exemplo:
 Permissões específicas de acesso a objetos
 Papéis dessa identidade no Sistema: Administrador, Usuário de funcionalidade X, Y, Z…

Accounting
 É o procedimento padrão de segurança de gravar as atividades que os

atores identificáveis desempenham em um sistema
 Os dados coletados são gravados com segurança em Backup para análises posteriores
de auditoria
 O ponto é que se algo acontecer no sistema os dados estarão salvos e poderão ser
analisados e restaurados ao ponto de interesse
 Estes dados geralmente contém informações confidenciais que devem ser mantidas em
locais muito restritos em seguros o tempo todo
 As consequências de um acesso não autorizado pode ser catastrófico e devastador para
muitas empresas, desde o roubo de identidades até a perda irreparável de dados vitais
para as companias

OAuth 2.0
 É um framework de autorização desenvolvido para aplicações rodando sob o protocol

HTTP
 Introduz uma camada de autenticação independente do servidor de authorização para
uso de um determinado recurso
 O processo complete está descrito na RFC6749
 https://datatracker.ietf.org/doc/html/rfc6749

OAuth 2.0

OAuth 2.0

OpenID Connect
 Adiciona uma camada de identidade em cima do OAuth 2.0

 Isso permite que as aplicações possam verificar as identidades através de serviços de
autenticação de terceiros
 As aplicações podem receber as informações básicas da identidade sendo que isso é
interoperável
 Um exemplos de uso é quando um sistema é desenvolvido obtendo a autenticação do
Google, Facebook, Twitter… etc…

SAML File
 Security Assertion Markup Language

 É um padrão aberto anterior ao Oauth 2.0 mas ainda amplamente utilizado
em aplicações atualmente
 Usado em muitas aplicações corporativas para o SSO (Single Sign-On)
 Ex.: Jira, Kimble, Confluence… etc…
 O Azure Active Directory utiliza SAML para Federar outros provedores de
serviços de Cloud (GCP, AWS, Alibaba… etc)

SAML File

As questões de segurança
nas nuvens

Modelo de Responsabilidades Compartilhadas
 Um modelo de responsabilidades compartilhadas é um framework de

segurança dos provedores de serviços em nuvem
 Estabelece quais são as obrigações do provedor de computação em nuvem
e quais são as obrigações dos usuários (contratantes desses serviços)
 Em suma os provedores de nuvem são responsáveis por proteger a
infraestrutura que roda todos os serviços oferecidos para seus clientes
 Já os contratantes dos serviços em cloud possuem diferentes níveis de
responsabilidade, mas sempre serão responsáveis por:
 Administrar a segurança dos dados e informações (incluindo criptografia)
 Gerenciar seus ativos
 E aplicar as permissões de acesso adequadamente

Modelo de Responsabilidades Compartilhadas - AWS

Modelo de Responsabilidades Compartilhadas - Azure

Modelo de Responsabilidades Compartilhadas - GCP

Gestão de credenciais em cofres

(Vault)
 Digamos que sua API irá rodar em três ambientes
diferentes antes de ir para produção: (1)
Desenvolvimento, (2) Testes do time de QA, (3)
Testes de aceitação do cliente (UAT)
 Onde ficam as credenciais de acesso as diferentes
bases de dados?
 Incorporar as credenciais no código fonte da API?
 Variável de ambiente?
 Um gerenciador de credenciais permite a
substituição de credenciais codificadas no seu
código por uma chamada de API
 Dessa forma é fácil recuperar o segredo de forma
programática
 A equipe de desenvolvimento não tem acesso às
credenciais, evitando vazamento de dados
 Os administradores podem rotacionar as credenciais
conforme sua política interna
AWS Secrets Manager - Scenário básico do Gerenciamento

de Credenciais

AWS Secrets Manager - Scenário

básico do Gerenciamento de
Credenciais
 O administrador do banco de dados cria um conjunto
de credenciais no banco de dados de Pessoal para
uso por um aplicativo chamado MyCustomApp
 O administrador também configura essas credenciais
com as permissões necessárias para o aplicativo
acessar o banco de dados de Pessoal
 O administrador do banco de dados armazena as
credenciais como um segredo no Secrets Manager,
denominado MyCustomAppCreds
 Em seguida, o Secrets Manager criptografa e
armazena as credenciais no segredo como o texto
de segredo protegido

AWS Secrets Manager - Scenário

básico do Gerenciamento de
Credenciais
 Quando o MyCustomApp acessa o banco de dados,
a aplicação consulta o Secrets Manager para obter o
segredo denominado MyCustomAppCreds.
 O Secrets Manager recupera o segredo,
descriptografa o texto de segredo protegido e retorna
o segredo à aplicação cliente por meio de um canal
seguro (HTTPS com TLS)
 O aplicativo cliente analisa as credenciais, a string
de conexão e todas as outras informações
necessárias da resposta e usa as informações para
acessar o servidor do banco de dados

AWS Secrets Manager

Azure Key Vault

GCP Secret
Manager

HashiCorp Vault – Multi-cloud Secrets Management

Gerenciar
segredos
centralmente
para reduzir
a dispersão
de segredos
 O desafio é que os
segredos para
aplicativos e
sistemas precisam
ser centralizados e
as soluções estáticas
baseadas em IP não
são dimensionadas
em ambientes
dinâmicos com
aplicativos e
máquinas que
mudam com
frequência.

Gerenciar
segredos
centralmente
para reduzir
a dispersão
de segredos
 A solução com o
Vault Multi-cloud da
Hashicorp é que ele
gerencia e impõe de
forma centralizada o
acesso a segredos e
sistemas com base
em fontes confiáveis
de aplicativo e
identidade do
usuário.

Shaping the future
of digital business
Aceleração Global Dev #21 - GFT
GFT Brasil
Fábio Andrey Salles
Consultor de Sistemas
Ed. Trinity Corporate - Rebouças
Avenida Sete de Setembro, 2451
80.250-210 Curitiba, Brasil
T +55 41 4009-5752
fabio.salles@gft.com
© 2021 | GFT Technologies SE and its affiliates. All rights reserved.

Aceleração Global Dev 21 - GFT

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Aceleração Global Dev 21 - GFT

Enviado por

Direitos autorais:

Formatos disponíveis

Type here if add

info needed for

Aceleração Global Dev #21

© 2021 | GFT Technologies SE and its affiliates. All rights reserved.

3. As questões de segurança nas nuvens

gft.com 19 February 2022 2

gft.com 19 February 2022 3

CISSP - Que tipo de profissional é

gft.com 19 February 2022 4

gft.com 19 February 2022 5

gft.com 19 February 2022 6

gft.com 19 February 2022 7

gft.com 19 February 2022 8

Intel SDL (Security Development Lifecycle)

gft.com 19 February 2022 9

Intel SDL (Security Development Lifecycle)

gft.com 19 February 2022 10

gft.com 19 February 2022 11

Identity and Identification

 A “conta” ou “nome de usuário único” (unique username) que identifica

gft.com 19 February 2022 12

 É o processo de validar uma identificação, acontece quando o detentor da

gft.com 19 February 2022 13

 É uma técnica de segurança usada para determinar os privilégios de uma

gft.com 19 February 2022 14

 É o procedimento padrão de segurança de gravar as atividades que os

gft.com 19 February 2022 15

 É um framework de autorização desenvolvido para aplicações rodando sob o protocol

gft.com 19 February 2022 16

gft.com 19 February 2022 17

gft.com 19 February 2022 18

 Adiciona uma camada de identidade em cima do OAuth 2.0

gft.com 19 February 2022 19

 Security Assertion Markup Language

gft.com 19 February 2022 20

gft.com 19 February 2022 21

gft.com 19 February 2022 22

Modelo de Responsabilidades Compartilhadas

 Um modelo de responsabilidades compartilhadas é um framework de

gft.com 19 February 2022 23

Modelo de Responsabilidades Compartilhadas - AWS

gft.com 19 February 2022 24

Modelo de Responsabilidades Compartilhadas - Azure

gft.com 19 February 2022 25

Modelo de Responsabilidades Compartilhadas - GCP

gft.com 19 February 2022 26

Gestão de credenciais em cofres

AWS Secrets Manager - Scenário básico do Gerenciamento

gft.com 19 February 2022 28

AWS Secrets Manager - Scenário

gft.com 19 February 2022 29

AWS Secrets Manager - Scenário

gft.com 19 February 2022 30

AWS Secrets Manager

gft.com 19 February 2022 31

Azure Key Vault

gft.com 19 February 2022 32

gft.com 19 February 2022 33

HashiCorp Vault – Multi-cloud Secrets Management

gft.com 19 February 2022 34

gft.com 19 February 2022 35

gft.com 19 February 2022 36

© 2021 | GFT Technologies SE and its affiliates. All rights reserved.

Você também pode gostar