Académique Documents
Professionnel Documents
Culture Documents
FORTALEZA
2017
MARCOS JOS DE CASTRO SARAIVA FILHO
FORTALEZA
2017
RESUMO
O trabalho tem como objetivo abordar metodologias e tcnicas para proteo de ativos e dados
existentes em um ambiente de computao em nuvem privada, descrevendo os tipos de ataques
utilizados atualmente por agentes maliciosos e formas de mitig-los. Surgiu a partir da
observao do crescimento da utilizao dessa modalidade de computao por parte das
corporaes. Verificou-se que por consequncia desse fenmeno, tambm tem se elevado o
nmero e tipo de ataques destinados a afetar negativamente essas corporaes.
ABSTRACT
This work aims to address methodologies and techniques for asset and data protection residing
in a private cloud environment, describing the types of attacks currently utilized by malicious
agents and showing ways to mitigate it. It arose from observing the ongoing growth of the
utilization of this type of computing by corporations. It was found that due to this growth, the
number and type of attacks destined to negatively affect these corporations has also escalated.
1 INTRODUO ......................................................................................................... 4
2 JUSTIFICATIVA ...................................................................................................... 4
3 OBJETIVOS.............................................................................................................. 5
3.1 OBJETIVO GERAL ................................................................................................. 5
3.2 OBJETIVOS ESPECFICOS ................................................................................... 5
4 FUNDAMENTAO TERICA ............................................................................ 5
5 METODOLOGIA ..................................................................................................... 7
6 CRONOGRAMA ...................................................................................................... 7
7 RESULTADOS ESPERADOS.................................................................................. 7
8 REFERNCIAS BIBLIOGRFICAS ..................................................................... 7
4
1 INTRODUO
A Segurana da Informao um tema recorrente nos dias atuais. Mesmo em momentos
de crise financeira, como por exemplo vive o Brasil atualmente, as organizaes no deixam de
investir em medidas que possam minimizar a superfcie suscetvel a ataques de agentes
maliciosos sob seus sistemas de informao, seja atravs da utilizao de softwares e/ou
hardwares especializados, contratao de pessoal capacitado na rea, melhoria nos processos,
ou at mesmo um conjunto dessas medidas. Segundo pesquisa da consultoria IDC, os
investimentos em segurana da informao devem superar os US$ 360 milhes at o final do
ano de 2017.
O rpido avano tecnolgico, aliado a reduo do custo de equipamentos, propiciou nos
ltimos anos o surgimento de grandes nuvens pblicas, tendo gigantes da computao como
Amazon, Google e Microsoft como os maiores participantes desse crescente mercado. Estas
empresas oferecem servios que vo desde o armazenamento remoto de arquivos oferta de
recursos computacionais, para que outras empresas tenham seus sistemas fora de sua
infraestrutura, com a promessa de maior disponibilidade e segurana, aumentando a eficincia
do negcio. No entanto, algumas organizaes receiam ter suas informaes guardadas por
terceiros por diversos motivos, como por exemplo a possibilidade de que um governo
estrangeiro tenha acesso a essas informaes. Outras so impedidas por fora de lei, que
regulamentam o controle sobre os dados que possuem. Por esse motivo, essas organizaes
optam por criar suas prprias nuvens, cujo uso restrito para estas, buscando as melhorias da
computao em nuvem, sem ceder a gerncia plena sob suas prprias informaes.
2 JUSTIFICATIVA
A proposta do trabalho que ser desenvolvido apresentar pontos importantes de
segurana da informao para os quais as organizaes devem atentar ao implementar suas
nuvens privadas, passando por todas as camadas que podem sofrer ataques, como por exemplo
o hardware, hypervisor de virtualizao, sistema operacional, aplicaes e arquitetura de rede.
Apesar de existir material sobre o tema, o trabalho buscar condensar as informaes de forma
que possa servir como um material de referncia sobre segurana na construo de uma
arquitetura na modalidade de computao abordada. Sero discutidas as vulnerabilidades
existentes nessas camadas, e propostas medidas que podem reduzir os riscos, dentro das
melhores prticas existentes na literatura corrente sobre o assunto. Exemplos prticos sero
utilizados para ilustrar cenrios de ataque e defesa. Por se tratar de um tema de bastante
5
relevncia para os dias atuais, a expectativa que o trabalho possa contribuir para aumentar a
conscincia da importncia da segurana da informao na construo das nuvens privadas.
3 OBJETIVOS
4 FUNDAMENTAO TERICA
Cloud Computing, conforme definido por Winkler, o modelo de Tecnologia de
Informao (TI) para computao, onde todos os recursos (hardware, software infraestrutura
de rede e servios) necessrios para o desenvolvimento de aplicaes so abstrados, sendo
entregues em forma de servios em nuvem, transportados via Internet ou por uma rede privada.
Esses servios variam desde Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS)
e Software-as-a-Service a qualquer outro que utiliza um destes mais bsicos para criar outros
mais complexos.
H tipos distintos de computao em nuvem, sendo mais comumente classificados entre
pblicas, privadas, hbridas e comunitrias. Estes diferentes tipos compartilham de
preocupaes semelhantes no que diz respeito ao aspecto de segurana desses ambientes, sendo
alguns deles:
Disponibilidade de rede
6
Privacidade e dados
Controle sobre os dados
Incidentes de segurana
Recuperao de desastres e continuidade de negcio:
Vulnerabilidades de sistema e risco de ataques
Nuvens privadas so aquelas dedicadas para uma nica organizao. Entretanto,
diversos departamentos dessa organizao compartilham dos mesmos recursos. O trabalho que
ser escrito ir abordar todos esses aspectos de segurana nesse tipo de ambiente, tanto na
elaborao de sua arquitetura quanto em sua operao. (WINKLER; 2011).
5 METODOLOGIA
O trabalho ter carter qualitativo de levantamento bibliogrfico, coletando e
interpretando as contribuies cientficas existentes sobre o assunto. Tambm o abordar
quantitativamente quando tratar dos diferentes tipos de cibercrimes. Alm disso, ter carter de
estudo de caso quando abordar experincias vividas e vistas pelo autor durante sua carreira
como analista de infraestrutura de TI.
6 CRONOGRAMA
Etapa / Ms AGO SET OUT NOV
Levantamento X
Bibliogrfico
Fichamento de X
textos
selecionados
Desenvolvimento X X X
do trabalho
Entrega do TCC X
Apresentao do X
trabalho
7 RESULTADOS ESPERADOS
Como resultado desse trabalho, espera-se aumentar a conscientizao das corporaes,
na figura dos seus gestores, alm dos profissionais de TI em geral, quanto a importncia do
aspecto da segurana da informao na criao e utilizao de uma nuvem privada, o que levar
a diminuio dos eventos ruins, ou pelo menos a uma melhor resposta a estes quando ocorrerem.
Alm disso, a expectativa que o trabalho possa servir de base para uma pesquisa mais
aprofundada sobre o assunto por parte do autor em um futuro mestrado.
8 REFERNCIAS BIBLIOGRFICAS
IDC Brasil. Public Release. Disponvel em: <http://www.idcbrasil.com.br/releases/news.aspx?id=2129>. Acesso
25/04/2017.
LEI N 8.159, de 8 de Janeiro de 1991. Dispe sobre a poltica nacional de arquivos pblicos e privados e d
outras providncias. Disponvel em: <http://www.planalto.gov.br/ccivil_03/leis/L8159.htm>. Acesso em
25/04/2017.
8
WINKLER, Vic (j.r.). Securing the Cloud: Cloud Computer Security Techniques and Tactics. Waltham:
Syngress, 2011.