☁️ Capítulo 10

Virtualização, Cloud, Mobile, IoT e Email Security

🧠 0 Flashcards
❓ 90 Questões no pool
✅ 0% Dominado
Card 1 de 15 0 dominados
FRENTE
👆 Clique para virar

📋 Resumo — Capítulo 10

Virtualização, Cloud, Mobile, IoT e Email Security

🎯 Pontos-Chave para a Prova

  • Type 1 (bare metal) = direto no hardware | Type 2 (hosted) = sobre SO existente
  • VM Escape = VM compromete o hypervisor (crítico) | VM Sprawl = proliferação descontrolada
  • Container compartilha kernel do host — mais leve que VM, menos isolado
  • SDN Control Plane = decisões | Data Plane = encaminhamento
  • SaaS = provider gerencia tudo | PaaS = provider gerencia plataforma | IaaS = provider gerencia hardware
  • CASB = proxy de segurança entre usuários e provedores cloud
  • Shared Responsibility: em IaaS o cliente é responsável pelo SO e acima
  • MDM = gerencia dispositivo | MAM = gerencia apenas apps
  • BYOD = maior risco | COPE = empresa controla tudo | CYOD = lista aprovada
  • SPF = DNS lista IPs autorizados | DKIM = assinatura digital | DMARC = política de falha
  • SCADA/ICS: isolamento (air gap) é a principal proteção
  • IoT: segmentar em VLAN separada, trocar senhas padrão

1️⃣ Virtualização

🖥️ Hypervisor Type 1 (Bare Metal)

  • Executa diretamente no hardware
  • Melhor performance e segurança
  • Usado em produção/datacenter
  • Exemplos: VMware ESXi, Hyper-V, Xen, KVM

💻 Hypervisor Type 2 (Hosted)

  • Executa sobre um SO existente
  • Menor performance, mais simples
  • Usado em dev, teste, workstations
  • Exemplos: VMware Workstation, VirtualBox, Parallels

Ameaças em Virtualização

AmeaçaDescriçãoImpacto
VM EscapeVM compromete o hypervisor ou hostCrítico — acesso a todas as VMs
VM SprawlProliferação descontrolada de VMsPatches não aplicados, inventário perdido
HyperjackingAtacante instala hypervisor rogue abaixo do legítimoControle total e invisível do sistema
Live VM MigrationMigração de VM por canal não criptografadoInterceptação de dados em trânsito
Resource ReuseDados residuais de VM desativada em memória/discoExposição de dados de outra VM

Containers vs VMs

CaracterísticaVMContainer
Isolamento✅ Completo (SO próprio)⚠️ Compartilha kernel do host
LevezaPesado (GB)Leve (MB)
BootMinutosSegundos
ExemploVMware ESXi, Hyper-VDocker, Kubernetes
RiscoVM EscapeContainer Escape (kernel compartilhado)

2️⃣ Redes Virtuais e SDN

Componentes de Rede Virtual

  • vSwitch: Switch virtual que conecta VMs entre si e à rede física
  • NIC Teaming (Bonding): Agrupa múltiplas NICs para balanceamento de carga e failover
  • VLAN: Segmentação lógica — separa domínios de broadcast sem hardware adicional
  • Microsegmentação: VLANs granulares no nível de workload, não apenas de subnet

SDN — Software-Defined Networking

PlanoFunçãoImplementação
Control PlaneToma decisões de roteamento/encaminhamentoSoftware centralizado (SDN Controller)
Data PlaneExecuta o encaminhamento de pacotesHardware (switches, roteadores)
Management PlaneConfiguração e monitoramentoInterface de gerenciamento
  • APIs Northbound: Control Plane ↔ Aplicações (automação, orquestração) — geralmente REST
  • APIs Southbound: Control Plane ↔ Dispositivos de rede — ex: OpenFlow, NETCONF

3️⃣ Cloud Computing

Modelos de Serviço (XaaS)

ModeloCliente gerenciaProvider gerenciaExemplos
SaaSApenas usoTudoGmail, Office 365, Salesforce
PaaSApp + DadosRuntime, SO, InfraHeroku, Google App Engine
IaaSSO, App, DadosVirtualização, HardwareAWS EC2, Azure VMs, GCP
FaaSFunções/códigoInfra completaAWS Lambda, Azure Functions

Modelos de Implantação

ModeloDescriçãoSegurança
Public CloudMulti-tenant, internet, pay-per-useMenor controle
Private CloudDedicado a uma organizaçãoMaior controle
Hybrid CloudPública + Privada com portabilidadeBalanceia custo/controle
Community CloudCompartilhado por organizações similaresCustos e políticas compartilhados

⚠️ Shared Responsibility Model

  • SaaS: Provider responsável por quase tudo. Cliente: dados e acesso
  • PaaS: Cliente: aplicação e dados. Provider: todo o resto
  • IaaS: Cliente: SO, middleware, apps, dados. Provider: hardware e virtualização
  • Segurança é SEMPRE responsabilidade compartilhada — o cliente NUNCA está isento

Segurança em Cloud

  • CASB (Cloud Access Security Broker): Proxy entre usuários e provedores cloud — aplica políticas, detecta shadow IT, DLP
  • CSPM (Cloud Security Posture Management): Identifica misconfigurações em ambientes cloud
  • CWPP (Cloud Workload Protection Platform): Proteção de workloads em runtime
  • Serverless Security: Funções efêmeras com superfície de ataque reduzida mas sem visibilidade tradicional
  • API Gateway: Ponto central de controle para APIs cloud — autenticação, rate limiting, logging

4️⃣ Segurança Mobile

Políticas de Dispositivo

PolíticaQuem é donoControle empresaRisco
BYODFuncionárioLimitadoAlto
COPEEmpresaTotalBaixo
CYODEmpresaAltoBaixo/Médio
COBOEmpresaTotal (só trabalho)Mínimo

Gerenciamento Mobile

  • MDM (Mobile Device Management): Gerencia o dispositivo inteiro — políticas, remote wipe, apps, inventário
  • MAM (Mobile Application Management): Gerencia apenas aplicações específicas — sem controle do dispositivo pessoal
  • UEM (Unified Endpoint Management): MDM estendido para todos endpoints (mobile, desktop, IoT)
  • Containerização: Separa ambiente corporativo do pessoal em BYOD

Ameaças Mobile

  • Jailbreaking (iOS) / Rooting (Android): Remove restrições do SO — expõe a malware
  • Sideloading: Instalar apps fora da loja oficial — risco de malware
  • Rogue App: App malicioso na loja ou fora dela
  • SMS Phishing (Smishing): Phishing via SMS
  • Baseband Attack: Exploração do processador de rádio (modem)
  • Evil Twin Wi-Fi: Redes falsas para interceptar tráfego mobile

5️⃣ IoT e Sistemas Embarcados

SistemaDescriçãoProteção Principal
IoTDispositivos conectados — câmeras, sensores, smart devicesSegmentar em VLAN, trocar senhas padrão
SCADA/ICSControle industrial (energia, água, manufatura)Air gap, monitoramento dedicado
RTOSSO de tempo real — determinismo > performancePatches rígidos, isolamento
SoCProcessador+memória+periféricos em 1 chipSecure boot, firmware signing
ICSIndustrial Control System — supervisão de processosProtocolo OT separado de IT
HVACControle de temperatura/ambiente em datacentersSegmentar da rede principal

🏭 Por que SCADA/ICS é crítico?

Sistemas SCADA controlam infraestrutura crítica nacional (energia elétrica, água, oleodutos). Um ataque bem-sucedido pode ter impacto físico real. Protocolo Modbus/DNP3 são legados e sem segurança nativa.

6️⃣ Email Security

Autenticação de Email (SPF, DKIM, DMARC)

ProtocoloMecanismoO que previne
SPFRegistro DNS TXT com IPs autorizados a enviarSpoofing de envelope (Return-Path)
DKIMAssinatura criptográfica no header do emailSpoofing + adulteração em trânsito
DMARCPolítica de o que fazer quando SPF/DKIM falhamPhishing — define: none, quarantine, reject

Outros Controles de Email

  • S/MIME: Criptografia e assinatura digital de email ponta a ponta (certificados PKI)
  • PGP/GPG: Criptografia de email com web of trust (sem CA central)
  • Email Gateway: Filtra spam, malware e phishing antes de chegar ao usuário
  • Anti-Spam: Filtragem por reputação, conteúdo, SPF/DKIM/DMARC
  • Email DLP: Previne vazamento de dados via email
  • MX Record: Registro DNS que define os servidores de email do domínio

🎯 Dicas Finais para a Prova

  • Type 1 vs Type 2: Type 1 = datacenter (bare metal). Type 2 = dev (sobre SO)
  • VM Escape ≠ VM Sprawl: Escape = ataque ao hypervisor. Sprawl = gestão inadequada
  • Container ≠ VM: Container compartilha kernel — menos isolado mas mais eficiente
  • CASB é o controle de segurança específico para cloud (não confundir com firewall)
  • Northbound = apps (REST) | Southbound = dispositivos (OpenFlow)
  • SPF = DNS | DKIM = assinatura | DMARC = política
  • MDM gerencia dispositivo inteiro | MAM gerencia apenas apps específicas
  • BYOD = maior risco | COBO = menor risco
  • Air gap é a proteção mais forte para SCADA/ICS

❓ Quiz — Capítulo 10

15 questões sorteadas do pool de 90 • Aprovação: 80%

🎉

APROVADO!

0%