Palestra Daniel Peres - Modelo de Responsabilidade compartilhada AWS e as implicações de segurança

bhackconference 174 views 26 slides Dec 04, 2017
Slide 1
Slide 1 of 26
Slide 1
1
Slide 2
2
Slide 3
3
Slide 4
4
Slide 5
5
Slide 6
6
Slide 7
7
Slide 8
8
Slide 9
9
Slide 10
10
Slide 11
11
Slide 12
12
Slide 13
13
Slide 14
14
Slide 15
15
Slide 16
16
Slide 17
17
Slide 18
18
Slide 19
19
Slide 20
20
Slide 21
21
Slide 22
22
Slide 23
23
Slide 24
24
Slide 25
25
Slide 26
26

About This Presentation

Palestra ministrada em 18/11/2017.

Size: 851.47 KB
Language: pt
Added: Dec 04, 2017
Slides: 26 pages

Slide Content

Modelo de responsabilidade
compartilhada AWS e as
implicações de segurança
Daniel Peres

•2006 Lançamento oficial
•2007 180,000
desenvolvedores
•2010 Mudança da
Amazon.com para AWS
•2015 faturamento de
1.57 bilhões primeiro
quadrimestre
Oque é AWS

Onde está AWS

Modelo de responsabilidade

Um modelo para todos os
serviços ?
•Serviços de infra estrutura

•Serviços Tipo containers
•Serviços Abstratos

Serviços de infra estrutura

Serviços tipo containers

Serviços abstratos

Proporção de
responsabilidade

Falha ao armazenar
AWSkeys?

Falha ao armazenar
AWSkeys?

Politicas de armazenamento

Politicas de armazenamento

Caso de uma Fintech nacional

Caso de uma Fintech nacional

Caso de uma Fintech nacional
•Sugestão de correção
–Chaves de acesso AWS para cada conta
cliente
–ID sequencial por UUID

Meta dados EC2
http://169.254.169.254/latest/meta-data/
AMI ID
IP Privado
Tipo de instancia
Região

Nimbostratus
•Tools for fingerprinting and exploiting
Amazon cloud infrastructures

Nimbostratus

Nimbostratus

Construindo uma infraestrutura
AWS segura
•Use o IAM em vez da sua conta root
•Diferentes usuários para diferentes
tarefas
•Usar perfis de instância
•Auditoria de usuários e grupos
•Use Parameter Store em suas
instancias EC2

Obrigado
Contato
[email protected]

Referencias
•https://pt.slideshare.net/AmazonWebServices/the-aws-shared-security-
responsibility-model-in-practice-59677577?next_slideshow=1
•http://www.fidelis.work/roubando-contratos-bancarios-de-uma-fintech-
brasileira/
•https://www.theregister.co.uk/2015/01/06/dev_blunder_shows_github_crawli
ng_with_keyslurping_bots/
•http://vertis.io/2013/12/16/unauthorised-litecoin-mining.html
•https://wptavern.com/ryan-hellyers-aws-nightmare-leaked-access-keys-
result-in-a-6000-bill-overnight
•https://forums.aws.amazon.com/thread.jspa?threadID=189450
•https://www.quora.com/My-AWS-account-was-hacked-and-I-have-a-50-000-
bill-how-can-I-reduce-the-amount-I-need-to-pay
•https://hack4fun.club/2017/09/20/dados-sensiveis-da-viacom-e-chave-de-
acesso-secreto-no-servidor-da-amazon-sem-garantia/
•http://minutodaseguranca.blog.br/dados-de-14milhoes-de-clientes-da-
verizon-sao-expostos-na-amazon-aws-e-podem-ser-permitir-sequestro-
outras-contas-on-line/

Referencias
•https://www.threatstack.com/blog/73-of-companies-have-critical-aws-
security-misconfigurations/
•https://andresriancho.github.io/nimbostratus/pivoting-in-amazon-clouds.pdf
•artigos
•https://cloudacademy.com/blog/aws-shared-responsibility-model-security/
•http://www.datacenterknowledge.com/archives/2017/07/06/surviving-fallout-
deep-root-leak-best-practices-aws
•https://nakedsecurity.sophos.com/pt/2017/06/22/deep-root-what-can-we-
learn-from-the-gops-data-leak/
•https://itforum365.com.br/seguranca/ameacas/acesso-a-dados-dos-
servidores-amazon-expoe-falhas-de-seguranca
•http://www.luizguarino.com.br/site/seguranca_informacao/02%20-
%20A6%20-%20Exposicao%20de%20Dados%20Sensiveis.pdf
•https://www.darkreading.com/cloud/amazon-tackles-security-of-data-in-s3-
storage-/d/d-id/1329628?piddl_msgid=329422
•https://rhinosecuritylabs.com/penetration-testing/aws-security-
vulnerabilities-and-the-attackers-perspective/
Tags
bhack conf bhack conference bhack palestra daniel peres talk
Categories
Business
Download
Download Slideshow Get the original presentation file
Quick Actions
Statistics
  • Views 174
  • Slides 26
  • Favorites 1
  • Age 2940 days
Related Slideshows
DTI BPI Pivot Small Business - BUSINESS START UP PLAN 1
DTI BPI Pivot Small Business - BUSINESS START UP PLAN
MeljunCortes
44 views
CATHOLIC EDUCATIONAL Corporate Responsibilities 1
CATHOLIC EDUCATIONAL Corporate Responsibilities
MeljunCortes
42 views
Karin Schaupp – Evocation; lançamento: 2000 11
Karin Schaupp – Evocation; lançamento: 2000
alfeuRIO
43 views
Pillars of Biblical Oneness in the Book of Acts 10
Pillars of Biblical Oneness in the Book of Acts
JanParon
40 views
7-10. STP + Branding and Product & Services Strategies.pptx 31
7-10. STP + Branding and Product & Services Strategies.pptx
itsyash298
51 views
Business Legislation PPT - UNIT 1 jimllpkggg 44
Business Legislation PPT - UNIT 1 jimllpkggg
slogeshk98
43 views
View More in This Category