Resumo Security+ Capítulo 10 - Virtualização e Dispositivos Móveis

🎯 CONCEITOS MAIS IMPORTANTES PARA PROVA:

Hypervisor Type 1 (Bare Metal): ESXi, Hyper-V, Xen - executa direto no hardware
Hypervisor Type 2 (Hosted): VirtualBox, Workstation - executa sobre SO
VM Escape: ataque onde VM compromete o hypervisor
SaaS vs PaaS vs IaaS: SaaS (software), PaaS (plataforma), IaaS (infraestrutura)
MDM vs MAM: MDM gerencia dispositivo, MAM gerencia aplicações

1️⃣ Virtualização - Conceitos Fundamentais

Definição

Instalar e executar múltiplos sistemas operacionais concorrentemente em uma única máquina física.

Componentes de Virtualização

🖥️ Physical Machine (Host OS)

Máquina física com hardware: HDD, RAM, motherboard

💿 Virtual Machine (Guest OS)

Implementação de software de um computador, aparece como sistema autônomo

💾 Virtual Hard Disk (VHD)

Arquivo dentro do host OS que simula hard disk para VM

🧠 Hypervisor

Camada fina de software entre guest OS e hardware

Tipos de Hypervisors

Type I (Bare Metal)

Interface diretamente com hardware
Melhor performance e segurança
Exemplos: VMware ESXi, Hyper-V, KVM, Xen

Type II (Hosted)

Roda como aplicação em SO convencional
Usado para development sandbox
Exemplos: VirtualBox, VMware Workstation

Containerization

Alternativa ao hypervisor - reforça separação no nível do SO
OS define "células" isoladas para cada instância
Containers rodam distribuições ligeiramente diferentes, não tipos diferentes de SO
Docker: produto mais conhecido
Suporta microservices e serverless architecture

2️⃣ Vantagens e Desvantagens da Virtualização

✅ Vantagens

Flexibilidade: VMs podem ser facilmente movidas entre hosts
Segurança: honeypots e honeynets para análise de ataques
Testes: ambiente lab que espelha produção
Server Consolidation: P2V Migration, reduz consumo de energia
Isolamento: sandboxing para executar malware com risco mínimo
Application Virtualization: navegadores virtualizados protegem SO físico

❌ Desvantagens

Ataques: ataque no host compromete todos guests
Bottleneck: falha em hardware compartilhado afeta múltiplas VMs
Complexidade: requer novas habilidades de administração
Server Sprawl: muitas VMs dificultam gerenciamento de patches
VM Escape: atacante escapa da VM para host (ex: Cloudburst CVE-2009-1244)
Resource Reuse: dados sensíveis podem vazar entre VMs se não sanitizados

⚠️ VM Escape: Vulnerabilidade crítica onde malware dentro da VM interage diretamente com hypervisor. Mitigação: patches regulares, apenas recursos necessários instalados.

3️⃣ Virtual Networking

Conceitos

Rede virtual composta de uma ou mais VMs configuradas para acessar recursos de rede
VMs suportam número ilimitado de redes virtuais
Múltiplas redes virtuais podem ser associadas a único adaptador físico

Tipos de Virtualização de Rede

🏠 Internal Network Virtualization

Configura sistema único com containers ou pseudo-interfaces
Emula rede física com software
Melhora eficiência de sistema único

🌐 External Network Virtualization

Combina uma ou mais LANs em redes virtuais
VLANs separadas em mesma LAN física
LANs separadas combinadas em VLAN única

Dispositivos de Virtual Networking

Dispositivo	Função
Virtual Switch (vSwitch)	Facilita comunicação entre VMs e redes físicas (camada 2)
Virtual Router (vRouter)	Replica funcionalidade de roteador físico em software
Virtual Firewall Appliance (VFA)	Software que funciona como firewall de rede
VMM/Hypervisor	Cria e roda VMs, gerencia execução dos guest OSes

SDN (Software-Defined Networking)

Usa software para configurar e controlar rede, não arquivos de configuração estática
Controller: gerencia dispositivos, inventaria hardware, coleta estatísticas

Arquitetura SDN (3 Camadas)

Application Layer: comunicação via northbound APIs
Control Layer: recebe requisições, fornece instruções
Physical Layer: dispositivos de rede, comunicação via southbound APIs

4️⃣ Cloud Computing

Tipos de Clouds

☁️ Public Cloud

Acessível por qualquer pessoa. Ex: Google (Gmail, Docs)

🏢 Private Cloud

Recursos para organização única, acesso restrito

👥 Community Cloud

Compartilhada por várias organizações, custo dividido

🔄 Hybrid Cloud

Combina recursos de clouds públicas, privadas e community

Modelos de Serviço Cloud

Modelo	Descrição	Exemplos
IaaS	Infraestrutura como Serviço: processamento, armazenamento, redes	AWS EC2, Azure VMs
PaaS	Plataforma como Serviço: tudo que desenvolvedor precisa	Heroku, Google App Engine
SaaS	Software como Serviço: aplicações entregues via internet	Office 365, Salesforce
SECaaS	Security as a Service: autenticação, antivírus, anti-malware	Serviços de segurança em nuvem

CASB (Cloud Access Security Broker)

Ferramenta de software entre organização e cloud service provider
Garante que comunicação e acesso cumprem políticas de segurança
Atua como gatekeeper para cloud storage

5️⃣ Threat Actors e Attack Surfaces

Attack Surface

Todos pontos onde threat actor pode tentar explorar vulnerabilidade
Qualquer localização onde pode interagir com porta de rede, app, computador ou usuário

Supply Chain

Processo end-to-end de design, fabricação, distribuição
Serviços cloud são link na supply chain
Ao invés de atacar alvo diretamente, atacante infiltra via companhias na supply chain
Complexidade: fornecedores, desenvolvedores, revendedores, entregadores

MSP (Managed Services Provider)

Provisiona e suporta recursos de TI (redes, segurança, infraestrutura web)
Difícil monitorar MSP, funcionários são fontes potenciais de insider threat

6️⃣ VDI (Virtual Desktop Infrastructure)

Definição

Desktops de usuário virtualizadas, rodam em hardware high-end no data center
Workstation física meramente estabelece conexão remota
Thin client deployment: maior parte do poder de computação nos servidores

Vantagens

💰 Custos Reduzidos

Apenas hardware mínimo de workstation requerido

🔒 Proteção Centralizada

Dados protegidos centralmente, backup dos hypervisors

🔄 Recuperação de Falhas

Se workstation física falha, nenhum dado é perdido

⚡ Re-imaging Rápido

Infecção de malware pode ser rapidamente re-imaged no hypervisor

7️⃣ Cloud Storage

Características

Modelo de armazenamento fornecido por terceiro
Providers: Google Cloud, AWS, Microsoft Azure
Acesso via web service API

Vantagens

💰 Custo

Paga apenas por armazenamento usado (OpEx)

⚡ Flexibilidade

Opções off-premises e on-premises

🔋 Eficiência Energética

Redução de até 70% no consumo

🛡️ Disponibilidade

Fault tolerance por redundância e distribuição

📋 Manutenção

Responsabilidade do service provider

💾 Backup e DR

Backup de VM para cloud, disaster recovery

8️⃣ Mobile Device Management (MDM)

Desafios

Dispositivos móveis não podem ser unidos a domínio Windows
Group Policy não pode ser usado para empurrar configurações

Opções de Gerenciamento

Opção	Descrição
Configuração Manual	Não recomendado, consome tempo
Configuration Profile (iOS)	Profile distribuído para usuários instalarem, não dinâmico
MDM Solution	Empurra políticas via rede, enforcement remoto

Windows Intune

Solução MDM baseada em cloud
Gerencia dispositivos móveis e desktops (Windows 7+)
Não gerencia Windows Server

SOs Suportados

Apple: iOS 8.0+, macOS 10.9+
Windows: Windows 10, 10 Mobile, 8.1, Phone 8.1, RT
Google: Android 4.0+, Android for Work

9️⃣ MDM vs MAM vs EMM vs UEM

Solução	Descrição
MDM	Gerencia dispositivo: rastrear, push apps, configurações de segurança, remote wipe
MAM	Gerencia aplicações: instalar/desinstalar remotamente, atualizar, limitar funcionalidade
EMM	Combina MDM + MAM. Ex: Microsoft Intune
UEM	Unifica gerenciamento: workstations, printers, mobile, IoT, wearables

Intune Application Life Cycle

Add: adicionar apps (Windows Store, LOB, web, built-in)
Deploy: atribuir a usuários/dispositivos, monitorar
Configure: atualizar apps com novas versões
Protect: conditional access, app protection policies
Retire: remover apps desatualizados

🔟 BYOD Security

Problemas de Segurança

🦠 Malware Propagation

Dispositivo infectado pode espalhar na rede

Remédio: NAC, guest wireless isolada

🔓 Loss of Sensitive Data Control

Dados copiados para dispositivo pessoal

Remédio: AUP, MDM, criptografia

👤 Malicious Insider Attacks

Câmera, microfone, transferência de dados

Remédio: AUP, proibir em áreas seguras

📱 Device Management

Quem gerencia updates, antivírus?

Remédio: NAC, políticas claras

🛠️ Support

Quem fornece suporte?

Remédio: AUP define responsabilidades

Estratégias de Dispositivo

Estratégia	Descrição
Corporate-Owned	Empresa possui, monitora, controla. Pode restringir uso ao trabalho
COPE	Corporate-Owned, Personally Enabled - controle significativo, uso pessoal permitido
CYOD	Choose Your Own Device - funcionário escolhe de lista limitada
VDI	Usado com qualquer modelo, desktop virtualizado, segurança aprimorada

1️⃣1️⃣ Embedded and Specialized Systems

Tipos de Dispositivos Embutidos

📺 Appliances (eletrodomésticos smart)

🌡️ Environment Controls (HVAC, Nest)

🏢 Building Automation (luzes, fechaduras)

⌚ Wearable Devices (relógios, fitness)

🚗 Automobiles (sistemas in-vehicle)

🏭 Industrial Equipment (SCADA, ICS)

💻 Mainframe Computer

⏱️ RTOS (Real-Time OS)

📱 SoC (System on a Chip - Raspberry Pi)

🖥️ MFD (Multi-Function Display)

🏥 Medical Devices

✈️ UAV (Drones)

📷 Digital Cameras

🎮 Media Gateways

🖱️ Wireless Keyboards and Mice

🖨️ Multifunction Printers (MFPs)

💾 External Storage Devices

🔌 Arduino

⚙️ FPGA (Field Programmable Gate Array)

📞 VoIP

Security Risks (Embedded Systems)

Pouco ou nenhum controle sobre tecnologia smart
Vendors lentos para proteger produtos
Dispositivos são atrativos para hackers

Medidas de Segurança

Dispositivos com updates manuais: manter firmware atualizado
Dispositivos que não podem ser atualizados: segmentar rede (VLANs), criptografar comunicações

1️⃣2️⃣ Email Security

Ameaças

Virus: malware distribuído via attachments
Usuários ativam clicando no attachment

Mitigação

Instalar software antivírus em todo sistema
Instalar software antivírus no servidor de email
Best practice: detectar antes da entrega

💡 DICAS FINAIS PARA PROVA:

Hypervisor Type 1: bare metal (ESXi, Hyper-V) | Type 2: hosted (VirtualBox)
VM Escape = VM compromete hypervisor (crítico!)
SaaS: cliente não gerencia nada | PaaS: gerencia app+dados | IaaS: gerencia OS+app+dados
Public Cloud (multi-tenant) vs Private Cloud (single-tenant)
CASB: Cloud Access Security Broker (gatekeeper)
MDM: gerencia dispositivo | MAM: gerencia apps
EMM: MDM + MAM | UEM: unifica todos dispositivos
BYOD: traga seu dispositivo - riscos de malware, perda de dados
COPE: dispositivo da empresa com uso pessoal
VDI: desktop virtualizado, dados centralizados
SCADA/ICS: sistemas industriais, segmentação é crítica

📘 Capítulo 10: Virtualização e Dispositivos Móveis

1️⃣ Virtualização - Conceitos Fundamentais

Definição

Componentes de Virtualização

🖥️ Physical Machine (Host OS)

💿 Virtual Machine (Guest OS)

💾 Virtual Hard Disk (VHD)

🧠 Hypervisor

Tipos de Hypervisors

Containerization

2️⃣ Vantagens e Desvantagens da Virtualização

✅ Vantagens

❌ Desvantagens

3️⃣ Virtual Networking

Conceitos

Tipos de Virtualização de Rede

🏠 Internal Network Virtualization

🌐 External Network Virtualization

Dispositivos de Virtual Networking

SDN (Software-Defined Networking)

Arquitetura SDN (3 Camadas)

4️⃣ Cloud Computing

Tipos de Clouds

Modelos de Serviço Cloud

CASB (Cloud Access Security Broker)

5️⃣ Threat Actors e Attack Surfaces

Attack Surface

Supply Chain

MSP (Managed Services Provider)

6️⃣ VDI (Virtual Desktop Infrastructure)

Definição

Vantagens

💰 Custos Reduzidos

🔒 Proteção Centralizada

🔄 Recuperação de Falhas

⚡ Re-imaging Rápido

7️⃣ Cloud Storage

Características

Vantagens

💰 Custo

⚡ Flexibilidade

🔋 Eficiência Energética

🛡️ Disponibilidade

📋 Manutenção

💾 Backup e DR

8️⃣ Mobile Device Management (MDM)

Desafios

Opções de Gerenciamento

Windows Intune

SOs Suportados

9️⃣ MDM vs MAM vs EMM vs UEM

Intune Application Life Cycle

🔟 BYOD Security

Problemas de Segurança

🦠 Malware Propagation

🔓 Loss of Sensitive Data Control

👤 Malicious Insider Attacks

📱 Device Management

🛠️ Support

Estratégias de Dispositivo

1️⃣1️⃣ Embedded and Specialized Systems

Tipos de Dispositivos Embutidos

Security Risks (Embedded Systems)

Medidas de Segurança

1️⃣2️⃣ Email Security

Ameaças

Mitigação