UNIVERSIDADE 7 DE SETEMBRO UNI7

CURSO DE GRADUAO EM SISTEMAS DE INFORMAO

SEGURANA DA INFORMAO EM NUVENS PRIVADAS

ANALISANDO TCNICAS E METODOLOGIAS PARA PROTEO DOS
AMBIENTES

MARCOS JOS DE CASTRO SARAIVA FILHO

FORTALEZA
2017
 MARCOS JOS DE CASTRO SARAIVA FILHO

SEGURANA DA INFORMAO EM NUVENS PRIVADAS

ANALISANDO TCNICAS E METODOLOGIAS PARA PROTEO DOS
AMBIENTES

Projeto de Monografia apresentada Universidade 7 de

Setembro como requisito parcial para obteno do
ttulo de Bacharel em Sistemas de Informao.
Orientador: HERLESON Pontes, Me.

FORTALEZA
2017
 RESUMO

O trabalho tem como objetivo abordar metodologias e tcnicas para proteo de ativos e dados
existentes em um ambiente de computao em nuvem privada, descrevendo os tipos de ataques
utilizados atualmente por agentes maliciosos e formas de mitig-los. Surgiu a partir da
observao do crescimento da utilizao dessa modalidade de computao por parte das
corporaes. Verificou-se que por consequncia desse fenmeno, tambm tem se elevado o
nmero e tipo de ataques destinados a afetar negativamente essas corporaes.

Palavras chave: Segurana da Informao, Infosec, Nuvem Privada, Computao em Nuvem,

Segurana de Dados, Ataques Cibernticos, Hacking

ABSTRACT

This work aims to address methodologies and techniques for asset and data protection residing
in a private cloud environment, describing the types of attacks currently utilized by malicious
agents and showing ways to mitigate it. It arose from observing the ongoing growth of the
utilization of this type of computing by corporations. It was found that due to this growth, the
number and type of attacks destined to negatively affect these corporations has also escalated.

Keywords: Information Security, Infosec, Private Cloud, Cloud Computing, Cybernetic

Attacks, Hacking
 SUMRIO

1 INTRODUO ......................................................................................................... 4
2 JUSTIFICATIVA ...................................................................................................... 4
3 OBJETIVOS.............................................................................................................. 5
3.1 OBJETIVO GERAL ................................................................................................. 5
3.2 OBJETIVOS ESPECFICOS ................................................................................... 5
4 FUNDAMENTAO TERICA ............................................................................ 5
5 METODOLOGIA ..................................................................................................... 7
6 CRONOGRAMA ...................................................................................................... 7
7 RESULTADOS ESPERADOS.................................................................................. 7
8 REFERNCIAS BIBLIOGRFICAS ..................................................................... 7
 4

1 INTRODUO
A Segurana da Informao um tema recorrente nos dias atuais. Mesmo em momentos
de crise financeira, como por exemplo vive o Brasil atualmente, as organizaes no deixam de
investir em medidas que possam minimizar a superfcie suscetvel a ataques de agentes
maliciosos sob seus sistemas de informao, seja atravs da utilizao de softwares e/ou
hardwares especializados, contratao de pessoal capacitado na rea, melhoria nos processos,
ou at mesmo um conjunto dessas medidas. Segundo pesquisa da consultoria IDC, os
investimentos em segurana da informao devem superar os US$ 360 milhes at o final do
ano de 2017.
O rpido avano tecnolgico, aliado a reduo do custo de equipamentos, propiciou nos
ltimos anos o surgimento de grandes nuvens pblicas, tendo gigantes da computao como
Amazon, Google e Microsoft como os maiores participantes desse crescente mercado. Estas
empresas oferecem servios que vo desde o armazenamento remoto de arquivos oferta de
recursos computacionais, para que outras empresas tenham seus sistemas fora de sua
infraestrutura, com a promessa de maior disponibilidade e segurana, aumentando a eficincia
do negcio. No entanto, algumas organizaes receiam ter suas informaes guardadas por
terceiros por diversos motivos, como por exemplo a possibilidade de que um governo
estrangeiro tenha acesso a essas informaes. Outras so impedidas por fora de lei, que
regulamentam o controle sobre os dados que possuem. Por esse motivo, essas organizaes
optam por criar suas prprias nuvens, cujo uso restrito para estas, buscando as melhorias da
computao em nuvem, sem ceder a gerncia plena sob suas prprias informaes.

2 JUSTIFICATIVA
A proposta do trabalho que ser desenvolvido apresentar pontos importantes de
segurana da informao para os quais as organizaes devem atentar ao implementar suas
nuvens privadas, passando por todas as camadas que podem sofrer ataques, como por exemplo
o hardware, hypervisor de virtualizao, sistema operacional, aplicaes e arquitetura de rede.
Apesar de existir material sobre o tema, o trabalho buscar condensar as informaes de forma
que possa servir como um material de referncia sobre segurana na construo de uma
arquitetura na modalidade de computao abordada. Sero discutidas as vulnerabilidades
existentes nessas camadas, e propostas medidas que podem reduzir os riscos, dentro das
melhores prticas existentes na literatura corrente sobre o assunto. Exemplos prticos sero
utilizados para ilustrar cenrios de ataque e defesa. Por se tratar de um tema de bastante
 5

relevncia para os dias atuais, a expectativa que o trabalho possa contribuir para aumentar a
conscincia da importncia da segurana da informao na construo das nuvens privadas.
3 OBJETIVOS

3.1 OBJETIVO GERAL

Aumentar a visibilidade da questo da segurana da informao na criao de uma
arquitetura de computao em nuvem, mais especificamente em sua modalidade privada, de
uso exclusivo de uma nica corporao. As questes sero apresentadas de forma didtica,
buscando abordar o tema atravs de exemplos prticos.

3.2 OBJETIVOS ESPECFICOS

Abordar as melhores prticas de segurana da informao que devem ser
aplicadas na arquitetura de uma nuvem privada;
Abordar o gerenciamento de riscos na computao em nuvem privada;
Abordar os tipos mais comuns de ataques cibernticos aos quais esta arquitetura
est suscetvel;
Apresentar tcnicas para mitigao e preveno desses ataques;
Mostrar que segurana da informao um ato contnuo e que no envolve
somente aspectos tecnolgicos, mas tambm pessoas e processos;

4 FUNDAMENTAO TERICA
Cloud Computing, conforme definido por Winkler, o modelo de Tecnologia de
Informao (TI) para computao, onde todos os recursos (hardware, software infraestrutura
de rede e servios) necessrios para o desenvolvimento de aplicaes so abstrados, sendo
entregues em forma de servios em nuvem, transportados via Internet ou por uma rede privada.
Esses servios variam desde Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS)
e Software-as-a-Service a qualquer outro que utiliza um destes mais bsicos para criar outros
mais complexos.
H tipos distintos de computao em nuvem, sendo mais comumente classificados entre
pblicas, privadas, hbridas e comunitrias. Estes diferentes tipos compartilham de
preocupaes semelhantes no que diz respeito ao aspecto de segurana desses ambientes, sendo
alguns deles:
Disponibilidade de rede
 6

Privacidade e dados
Controle sobre os dados
Incidentes de segurana
Recuperao de desastres e continuidade de negcio:
Vulnerabilidades de sistema e risco de ataques
Nuvens privadas so aquelas dedicadas para uma nica organizao. Entretanto,
diversos departamentos dessa organizao compartilham dos mesmos recursos. O trabalho que
ser escrito ir abordar todos esses aspectos de segurana nesse tipo de ambiente, tanto na
elaborao de sua arquitetura quanto em sua operao. (WINKLER; 2011).

4.1 ARQUITETURA DE COMPUTAO EM NUVEM

A figura abaixo mostra uma arquitetura tpica dos componentes de um ambiente de
computao em nuvem.

Fig.1 Arquitetura de Computao em Nuvem

O trabalho desenvolvido buscar abordar as caractersticas de segurana em cada um

dos componentes da figura, dando mais nfase para aqueles que so mais suscetveis a sofrerem
ataques por parte de agentes maliciosos. Sero tratados os aspectos de implementao e
operao desses dispositivos.
 7

5 METODOLOGIA
O trabalho ter carter qualitativo de levantamento bibliogrfico, coletando e
interpretando as contribuies cientficas existentes sobre o assunto. Tambm o abordar
quantitativamente quando tratar dos diferentes tipos de cibercrimes. Alm disso, ter carter de
estudo de caso quando abordar experincias vividas e vistas pelo autor durante sua carreira
como analista de infraestrutura de TI.

6 CRONOGRAMA
Etapa / Ms AGO SET OUT NOV
Levantamento X
Bibliogrfico
Fichamento de X
textos
selecionados
Desenvolvimento X X X
do trabalho
Entrega do TCC X
Apresentao do X
trabalho

7 RESULTADOS ESPERADOS
Como resultado desse trabalho, espera-se aumentar a conscientizao das corporaes,
na figura dos seus gestores, alm dos profissionais de TI em geral, quanto a importncia do
aspecto da segurana da informao na criao e utilizao de uma nuvem privada, o que levar
a diminuio dos eventos ruins, ou pelo menos a uma melhor resposta a estes quando ocorrerem.
Alm disso, a expectativa que o trabalho possa servir de base para uma pesquisa mais
aprofundada sobre o assunto por parte do autor em um futuro mestrado.

8 REFERNCIAS BIBLIOGRFICAS
IDC Brasil. Public Release. Disponvel em: <http://www.idcbrasil.com.br/releases/news.aspx?id=2129>. Acesso
25/04/2017.

CLOUDVIEWS. Porque as empresas tem medo da nuvem. Disponvel em :

<https://corporate.canaltech.com.br/noticia/cloud-computing/Infografico-Quem-tem-medo-da-nuvem-de-
arquivos/>. Acesso em 25/04/2017.

LEI N 8.159, de 8 de Janeiro de 1991. Dispe sobre a poltica nacional de arquivos pblicos e privados e d
outras providncias. Disponvel em: <http://www.planalto.gov.br/ccivil_03/leis/L8159.htm>. Acesso em
25/04/2017.
 8

WINKLER, Vic (j.r.). Securing the Cloud: Cloud Computer Security Techniques and Tactics. Waltham:
Syngress, 2011.

F5 Networks. The Application Delivery Firewall Paradigm. Disponvel em:

<https://f5.com/resources/white-papers/the-application-delivery-firewall-paradigm>. Acesso em
03/06/2017.

JESUS, Andr. Hipteses, Justificativa, Objetivo. Disponvel em:

<http://magisterandre.blogspot.com.br/2014/01/hipoteses.html>. Acesso em 03/06/2017.

MACKENZIE. Manual para elaborao do TCC em formato Monografia. Disponvel em:

<http://up.mackenzie.br/fileadmin/ARQUIVOS/PUBLIC/SITES/UP_MACKENZIE/unidades_academicas
/ccl/2015/TCC/Manual_Monografia_1_2015.pdf>. Acesso em 03/06/2017.