Cloud security risk and readiness

Ferreira, Luís Paulo Teixeira

Cloud security risk and readiness

Detalhes bibliográficos
Autor(a) principal:	Ferreira, Luís Paulo Teixeira
Data de Publicação:	2017
Tipo de documento:	Dissertação
Idioma:	eng
Título da fonte:	Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
Texto Completo:	http://hdl.handle.net/10451/31251
Resumo:	Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2017

Metadados do item

id	RCAP_81cbf1e4b79321b74daac9f126526890
oai_identifier_str	oai:repositorio.ul.pt:10451/31251
network_acronym_str	RCAP
network_name_str	Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository_id_str	7160
spelling	Cloud security risk and readinessSegurançaNuvemRiscoAssesssmentReadinessTeses de mestrado - 2017Departamento de InformáticaTese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2017Num mundo cada vez mais dependente da informação trocada através de meios digitais, é visível a evolução do paradigma das soluções informáticas tradicionais para o tema emergente, e cada vez mais convincente, da Computação em Nuvem. Tal facto deve-se não só às características diferenciadoras deste tipo de estrutura (e.g. on-demand self-service, ubiquidade, rápida elasticidade, flexibilidade, entre outros) e à maior eficácia na gestão e utilização de recursos de TI, mas também, de um ponto de vista empresarial, aos benefícios comerciais inerentes, como contenção de despesas (capitais e/ou operacionais), que se enquadram perfeitamente nas constantes mudanças das necessidades de negócio das organizações. Um conceito chave relativamente a esta matéria é o facto dos clientes conseguirem, de um modo geral, reduzir custos em recursos como licenciamento de software, hardware ou até outros serviços como o email, visto que conseguem usufruir de toda uma panóplia de serviços do mesmo fornecedor. A Computação na Nuvem é um modelo de computação que permite o acesso a um conjunto partilhado de recursos computacionais configuráveis (e.g. Rede, servidores, aplicações e serviços) de uma forma ubíqua e conveniente, sendo que estes recursos podem ser rapidamente aprovisionados e desaprovisionados sem encargos de gestão relevantes assim como sem interação com o fornecedor de serviço. De forma mais ampla, o paradigma da Computação em Nuvem parte do princípio de que todos os recursos de infraestrutura de tecnologias de informação (hardware, software e gestão de dados e informação), até então tratados como ativos pelas organizações que os utilizam, passam a ser alojados numa infraestrutura dum fornecedor de tecnologia como um serviço (ou fornecedor de serviços tecnológicos) e acedidos e administrados por estas através da internet com o uso de um simples browser web. A Computação em Nuvem fornece uma camada de abstração entre os recursos de computação e a arquitetura de baixo nível que se encontra subjacente. Esta camada de abstração é um argumento muito atraente para organizações que apenas se querem focar nos recursos relevantes para o seu negócio sem necessitarem de fazer investimentos avultados em infraestrutura física e recursos humanos internos para gerir essa mesma infraestrutura. Ou seja, nos dias que correm, os clientes podem apenas fazer subscrições de serviços com fornecedores de Computação em Nuvem, o que lhes concede acesso aos mesmos recursos e infraestrutura, no entanto de uma forma mais imediata e alinhada com as condições e necessidades de negócio (em constante mutação). Este modelo de computação “as-a-service” tem alterado drasticamente a forma de atuar das organizações, tal como a forma como os departamentos de informática dessas mesmas organizações obtêm recursos computacionais e de armazenamento para garantir um elevado indice de escalabilidade. No entanto, à medida que mais organizações movem dados e infraestrutura para a Nuvem, a segurança vai-se revelando cada vez mais um tópico de especial relevância. De uma forma genérica, muitos fornecedores de Computação em Nuvem não transmitem aos seus clientes a transparência necessária relativamente aos controlos de segurança que utilizam para mitigar os eventuais riscos e ameaças de segurança inerentes a estes ambientes (em parte devido ao elevado grau de exposição dos serviços em Nuvem relativamente à Internet). Neste contexto, o modelo de Computação em Nuvem reveste-se de particularidades que o distinguem dos tradicionais modelos de computação, na medida em que os riscos são diferentes para cada modelo de serviço na Nuvem (IaaS, PaaS, SaaS) assim como para cada modelo de implementação (Privada, Pública, Comunitária, Híbrida). Por outro lado, os clientes também não estão devidamente preparados para esta realidade, de um ponto de vista de segurança e de adaptação do modelo de governo, para utilizar estes serviços. O nível global de segurança de uma organização é caracterizado pela maturidade dos controlos implementados para mitigar o risco. Estes controlos são implementados em várias camadas, desde a segurança física, segurança de redes, segurança de recursos humanos, até à segurança da informação e das aplicações (segurança aplicacional). Nos ambientes de Computação em Nuvem as responsabilidades dos consumidores pelos vários domínios de segurança e respetivos controlos variam consoante o modelo de serviço utilizado. Se uma determinada entidade está a considerar utilizar algum tipo de serviço de Computação em Nuvem, esta deveria aferir os riscos associados ao(s) modelo(s) de serviço/implementação aplicáveis e, consequentemente, identificar casos de uso que representem um nível de risco aceitável para assim poder avançar para a adoção deste modelo computacional em Nuvem. Todavia, devido aos requisitos de imediatismo (geralmente impostos pelos executivos das organizações) relacionados com as necessidades de negócio, a análise e avaliação de riscos (assim como a sua mitigação) é, de um modo geral, negligenciada pelas equipas internas (de informática e segurança) aquando de uma migração de ativos de informação para a Nuvem. Embora este mercado esteja a crescer, apesar dos potenciais problemas de segurança adjacentes, a projeção da taxa de crescimento relativa ao consumo de serviços em Nuvem poderia ser maior se as organizações começassem a implementar processos internos mais adequados para a avaliação do seu grau de maturidade ao nível dos controlos de segurança aplicáveis em ambientes de Computação na Nuvem. Esta avaliação permitiria uma melhor gestão de risco relativamente à segurança de dados, assim como a identificação de possíveis melhorias em áreas específicas de segurança. Essas melhorias depois de implementadas traduzem-se em mais confiança e motivação das organizações para usufruir das vantagens da Computação em Nuvem. De salientar que este tipo de análise e avaliação de maturidade e riscos por parte de consumidores, tendo em conta os diferentes fornecedores de serviços em Nuvem, devem ser balanceados com uma revisão dos possíveis benefícios de escala provenientes deste modelo, especificamente em termos de segurança (e.g. Mais meios de deteção de anomalias, assim como melhor capacidade de resposta a incidentes de segurança). A Computação em Nuvem tem um potencial significante para melhorar a segurança e resiliência de organizações que não possuem um nível de maturidade de segurança satisfatório tendo em conta essas áreas. Tendo em conta os tópicos abordados, o autor do presente trabalho acredita que existia a necessidade de criação de uma metodologia que, não só suportasse a tomada de decisão das organizações relativamente à implementação de mecanismos apropriados de gestão e mitigação de risco, mas que também permitisse aferir o nível de maturidade de segurança em Nuvem de uma forma holística, ou seja, cobrindo de um modo geral as diversas áreas de segurança mais relevantes. Esta dissertação propõe uma abordagem que, através de um modelo de avaliação de maturidade, permitirá aos clientes de serviços em Nuvem responder às necessidades já mencionadas no âmbito das diversas áreas de segurança (como conformidade ou proteção de dados). Este modelo também incorpora componentes que permitem a identificação de potenciais fatores de risco resultantes da utilização dos diferentes modelos de serviço e implementação da Computação em Nuvem. O modelo criado é traduzido da teoria para a prática através dum protótipo desenvolvido pelo autor. Além das funcionalidades de avaliação do nível de maturidade de segurança em Nuvem e identificação de possíveis fatores de risco, o protótipo também fornece dashboards que contêm informações relevantes sobre os resultados da avaliação. Os resultados obtidos devem permitir que uma organização compare diferentes fornecedores de serviços de Computação em Nuvem, ajudando desta forma a tomada de decisão por parte dos quadros superiores, assim como negoceie de uma forma mais consciente e fundamentada os acordos de nível de serviço (SLAs) com os fornecedores, obtendo desta forma algum tipo de garantias de segurança por parte dos mesmos. Uma primeira avaliação realizada por especialistas nas áreas de Computação em Nuvem e segurança revelou que o protótipo é uma contribuição importante para as avaliações de segurança em Nuvem, assim como tem aplicabilidade em ambientes organizacionais com requisitos de segurança e compliance elevados.Within the “Information Era”, the world has become increasingly dependent on information exchanged through digital media and it is clear that the paradigm of traditional IT solutions is evolving rapidly to emerging areas (and more and more convincing) like Cloud Computing. This is due not only to the differentiating characteristics of Cloud Computing services (e.g. on-demand self-service, ubiquity, rapid elasticity, flexibility, among others) and to the greater effectiveness in the management and use of IT resources, but also, from a business point of view, it is due to the inherent commercial benefits, such as cost containment (both capital and operational costs), which fit perfectly into the constantly changing business needs of organizations. Although the advantages of using Cloud Computing services are easily identified from a business point of view, many potential consumers are reluctant to use these services to host their information assets due to the fact that, at least at the first stage, they will have to deal with the unknown (their being used to traditional computing environments), as well as due to the risks and security threats inherent to these environments resulting from the high degree of exposure to the Internet. In this context, the Cloud Computing model has particularities that distinguish it from the traditional computing models insofar as the risks are different for each service model in the Cloud (IaaS, PaaS, SaaS) as well as for each implementation model (Private, Public, Community, Hybrid). Based on that, there is a need for a methodology which, from an IT and information security perspective, not only supports the decision-making of the organizations that consume cloud services with regards to the implementation of appropriate risk management and mitigation mechanisms, but also which enables the organizations to assess its maturity level regarding the implemented controls (that will help mitigate cloud security risks) and, consequently, the forecasting of security areas that should be improved. This, in turn, helps the organizations to achieve a satisfactory mature state that enables the use of cloud services in a more proper and secure way (“security readiness”). This dissertation proposes a holistic approach which, through a designed assessment model, will enable Cloud services customers to tackle the aforementioned needs across several different security areas (such as compliance, governance or data protection), as well as will allow the identification of potential risk factors related with the use of Cloud Computing. This theoretical model is translated into practise through a prototype tool developed by the author. Apart from the Cloud security maturity assessment and potential risk factors identification functionalities, the prototype also provides dashboards that give valuable insights about the assessment results. A first evaluation performed by experts in the cloud and security fields revealed that the prototype is an important contribution for Cloud Security assessments in organizational environments.Respício, Ana Luísa do Carmo Correia, 1965-Sá, Sérgio Valentim Costa deRepositório da Universidade de LisboaFerreira, Luís Paulo Teixeira2018-01-30T11:26:34Z201720172017-01-01T00:00:00Zinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttp://hdl.handle.net/10451/31251TID:201870126enginfo:eu-repo/semantics/openAccessreponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãoinstacron:RCAAP2023-11-08T16:24:42Zoai:repositorio.ul.pt:10451/31251Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireopendoar:71602024-03-19T21:46:47.743569Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãofalse
dc.title.none.fl_str_mv	Cloud security risk and readiness
title	Cloud security risk and readiness
spellingShingle	Cloud security risk and readiness Ferreira, Luís Paulo Teixeira Segurança Nuvem Risco Assesssment Readiness Teses de mestrado - 2017 Departamento de Informática
title_short	Cloud security risk and readiness
title_full	Cloud security risk and readiness
title_fullStr	Cloud security risk and readiness
title_full_unstemmed	Cloud security risk and readiness
title_sort	Cloud security risk and readiness
author	Ferreira, Luís Paulo Teixeira
author_facet	Ferreira, Luís Paulo Teixeira
author_role	author
dc.contributor.none.fl_str_mv	Respício, Ana Luísa do Carmo Correia, 1965- Sá, Sérgio Valentim Costa de Repositório da Universidade de Lisboa
dc.contributor.author.fl_str_mv	Ferreira, Luís Paulo Teixeira
dc.subject.por.fl_str_mv	Segurança Nuvem Risco Assesssment Readiness Teses de mestrado - 2017 Departamento de Informática
topic	Segurança Nuvem Risco Assesssment Readiness Teses de mestrado - 2017 Departamento de Informática
description	Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2017
publishDate	2017
dc.date.none.fl_str_mv	2017 2017 2017-01-01T00:00:00Z 2018-01-30T11:26:34Z
dc.type.status.fl_str_mv	info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv	info:eu-repo/semantics/masterThesis
format	masterThesis
status_str	publishedVersion
dc.identifier.uri.fl_str_mv	http://hdl.handle.net/10451/31251 TID:201870126
url	http://hdl.handle.net/10451/31251
identifier_str_mv	TID:201870126
dc.language.iso.fl_str_mv	eng
language	eng
dc.rights.driver.fl_str_mv	info:eu-repo/semantics/openAccess
eu_rights_str_mv	openAccess
dc.format.none.fl_str_mv	application/pdf
dc.source.none.fl_str_mv	reponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação instacron:RCAAP
instname_str	Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron_str	RCAAP
institution	RCAAP
reponame_str	Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
collection	Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository.name.fl_str_mv	Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
repository.mail.fl_str_mv
_version_	1799134392948359168

Cloud security risk and readiness

Registros relacionados