• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Seguridad en la nube   exposicion completa
 

Seguridad en la nube exposicion completa

on

  • 1,000 views

 

Statistics

Views

Total Views
1,000
Views on SlideShare
1,000
Embed Views
0

Actions

Likes
1
Downloads
56
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Seguridad en la nube   exposicion completa Seguridad en la nube exposicion completa Presentation Transcript

    • INTEGRANTESLic. Pedro J. Salomon Lic. Efraín SantosLic. Enmanuel Santos Lic. Leandro Frías Toribio
    • Indice de temas a tratarCLOUD COMPUTINGTipos de Infraestructuras Cloud Público Privado Comunitario HíbridosTipos de servicios Cloud Software como Servicio (SaaS) Plataforma como Servicio (PaaS) Infraestructura como Servicio (IaaS)
    • SEGURIDAD EN CLOUDAmenazas según CSA (Cloud Security Alliance) Abuso y mal uso del cloud computing Interfaces y API poco seguros Amenaza interna Problemas derivados de las tecnologías compartidas Perdida o fuga de información Secuestro de sesión o servicio Riesgos por desconocimientoRiesgos detectados por Gartner Accesos de usuarios con privilegios Cumplimento normativo Localización de los datos Aislamiento de datos Recuperación Soporte investigativo Viabilidad a largo plazo
    • Aspectos clave de seguridad en cloud segúnNIST Gobernanza Cumplimiento Confianza Arquitectura Identidad y control de acceso Aislamiento de Software Protección de Datos Disponibilidad Respuesta a incidentesRecomendaciones de seguridad según NIST 28
    • Tipos de Infraestructura CloudPúblicoEs aquel tipo de cloud en el cual la infraestructura y losrecursos lógicos que forman parte del entorno seencuentran disponibles para el público en general através de Internet.Suele ser propiedad de un proveedor que gestiona lainfraestructura y el servicio o servicios que se ofrecen. VENTAJAS INCONVENIENTES Escalabilidad. Se comparte la infraestructura con más organizaciones. Eficiencia de los recursos Poca transparencia para el cliente, mediante los modelos de pago por ya que no se conoce el resto de uso. servicios que comparten recursos, almacenamiento, etc. Gran ahorro de tiempo y costes. Dependencia de la seguridad de un tercero.
    • Tipos de Infraestructura CloudPrivadoEste tipo de infraestructuras cloud se crean con losrecursos propios de la empresa que lo implanta,generalmente con la ayuda de empresasespecializadas en este tipo de tecnologías. VENTAJAS INCONVENIENTES Cumplimiento de las políticas Elevado coste material. internas.Facilidad para trabajo colaborativo Dependencia de la infraestructura entre contratada. sedes distribuidas. Control total de los recursos. Retorno de inversión lento dado su carácter de servicio interno.
    • Tipos de Infraestructura CloudComunitarioUn cloud comunitario se da cuando dos o másorganizaciones forman una alianza para implementaruna infraestructura cloud orientada a objetivossimilares y con un marco de seguridad y privacidadcomún. VENTAJAS INCONVENIENTES Cumplimiento con las políticas Seguridad dependiente del internas. anfitrión de la infraestructura.Reducción de costes al compartir Dependencia de la infraestructura la infraestructura y recursos. contratada. Rápido retorno de inversión.
    • Tipos de Infraestructura CloudHíbridosEste es un término amplio que implica la utilizaciónconjunta de varias infraestructuras cloud de cualquierade los tres tipos anteriores, que se mantienen comoentidades separadas pero que a su vez se encuentranunidas por la tecnología estandarizada opropietaria, proporcionando una portabilidad de datos yaplicaciones.En este caso las ventajas e inconvenientes son losmismos que los relativos a los tipos de cloud queincluya la infraestructura.
    • Tipos de Servicios CloudSoftware como servicio (SaaS)Este modelo, Software como servicio o SaaS (delinglés, Software as a Service) consiste en undespliegue de software en el cual las aplicaciones ylos recursos computacionales se han diseñado paraser ofrecidos como servicios de funcionamiento bajodemanda, con estructura de servicios llave en mano.De esta forma se reducen los costes tanto desoftware como hardware, así como los gastos demantenimiento y operación.Las consideraciones de seguridad son controladaspor el proveedor del servicio. El suscriptor delservicio únicamente tiene acceso a la edición de laspreferencias y a unos privilegios administrativoslimitados.
    • Tipos de Servicios CloudPlataforma como servicio (PaaS)Este es el modelo de Plataforma como servicio oPaaS (del inglés, Platform as a Service) en el cual elservicio se entrega como bajodemanda, desplegándose el entorno (hardware ysoftware) necesario para ello. De esta forma, sereducen los costes y la complejidad de la compra, elmantenimiento, el almacenamiento y el control delhardware y el software que componen la plataforma.El suscriptor del servicio tiene control parcial sobrelas aplicaciones y la configuración del entorno ya quela instalación de los entornos dependerá de lainfraestructura que el proveedor del servicio hayadesplegado. La seguridad se comparte entre elproveedor del servicio y el suscriptor.
    • Tipos de Servicios CloudInfraestructura como Servicio (IaaS)El fin principal de este modelo es evitar la compra derecursos por parte de los suscriptores, ya que elproveedor ofrece estos recursos como objetosvirtuales accesibles a través de un interfaz deservicio.El suscriptor mantiene generalmente la capacidad dedecisión del sistema operativo y del entorno queinstala. Por lo tanto, la gestión de la seguridad correprincipalmente a cargo del suscriptor.
    • Enmanuel SantosSeguridad en Cloud
    • Amenazas segúnCSA Security Alliance Cloud  Abuso y mal uso del cloud computing: afecta principalmente a los modelos IaaS y PaaS. ◦ Cualquier persona puede acceder a la nube.  Recomendaciones: ◦ Implementar un sistema de registro de acceso más restrictivo. ◦ Monitorizar el trafico de clientes para la detección de posibles actividades ilícitas. ◦ Comprobar las listas negras públicas para identificar si los rangos IP de la infraestructura han entrado en ellas.
    •  Interfaces y API poco seguros: ◦ Los servicios de control, monitorización y provisión se realizan a través de las API, las cuales muestran debilidades por parte de los proveedores.  Ejemplos: ◦ Permitir acceso anónimo, reutilización de tokens, autenticación sin cifrar, etc. ◦ Limitaciones a la hora de gestión de logs (registros de actividad) y monitorización.  Recomendaciones: ◦ Analizar los problemas de seguridad de las interfaces de los proveedores de servicio. ◦ Asegurarse que la autenticación y los controles de acceso se implementan teniendo en cuenta el cifrado de los datos.
    •  Amenaza interna : ◦ La amenaza que suponen los usuarios es una de las más importantes, ya que estos pueden desencadenar incidentes de seguridad provocados por empleados desconectados, accidentes por error o desconocimiento. Recomendaciones: ◦ Especificar cláusulas legales y de confidencialidad en los contratos laborales. ◦ Los proveedores de servicio deberán proveer a los consumidores del servicio de medios y métodos para el control de las amenazas internas. Problemas derivados de las tecnologías compartidas: ◦ Esta amenaza afecta a los modelos IaaS, ya que en un modelo de Infraestructura como Servicio los componentes físicos (CPU, GPU, etc.) no fueron diseñados específicamente para una arquitectura de aplicaciones compartidas. Recomendaciones: ◦ Monitorizar los entornos para detectar cambios no deseados en las configuraciones o la actividad. ◦ Proporcionar autenticación fuerte y control de acceso para el acceso de administración.
    •  Pérdida o fuga de información: ◦ En la nube, aumenta el riesgo de que los datos se vean comprometidos ya que el número de interacciones entre ellos se multiplica debido a la propia arquitectura de la misma. ◦ mal uso de las claves de cifrado y de software ◦ autenticación, autorización y auditoria débil Recomendaciones: ◦ implementar API potentes para el control de acceso. ◦ proteger el tránsito de datos mediante el cifrado de los mismos. ◦ analizar la protección de datos tanto en tiempo de diseño como en tiempo de ejecución. ◦ proporcionar mecanismos potentes para la generación de claves, el almacenamiento y la destrucción de la información. ◦ definir, por contrato, la destrucción de los datos antes de que los medios de almacenamiento sean.
    •  Secuestro de sesión o servicio: ◦ En un entorno en la nube, si un atacante obtiene las credenciales de un usuario del entorno puede acceder a actividades y transacciones, manipular datos, devolver información falsificada o redirigir a los clientes a sitios maliciosos.  Recomendaciones: ◦ prohibir, mediante políticas, compartir credenciales entre usuarios y servicios ◦ aplicar técnicas de autenticación de doble factor siempre que sea posible ◦ monitorizar las sesiones en busca de actividades inusuales Riesgos por desconocimiento : ◦ Uno de los pilares de las infraestructuras cloud es reducir la cantidad de software y hardware que tienen que adquirir y mantener las compañías, para así poder centrarse en el negocio. Recomendaciones: ◦ tener acceso a los logs (registros de actividad) de aplicaciones y datos ◦ estar al corriente, total o parcialmente, de los detalles de la infraestructura
    • Riesgos Detectados por Gartner Gartner S.A. es una compañía de investigación y consultoría de tecnologías de la información, con sede en Stamford, Connecticut, Estados Unidos. Se conocía como Grupo Gartner hasta 2001. Accesos de usuarios con privilegios: ◦ El procesamiento o tratamiento de datos sensibles fuera de las instalaciones de la empresa conlleva un riesgo inherente, ya que es posible que estos servicios externos sorteen los controles físicos, lógicos y humanos siendo, por este motivo, necesario conocer quién maneja dichos datos. Cumplimento normativo: ◦ Los clientes son en última instancia responsables de la seguridad e integridad de sus datos, aunque estos se encuentren fuera de las instalaciones y gestionados por un proveedor de servicios cloud. Localización de los datos: ◦ Se debe consultar con los proveedores cuál es el marco regulatorio aplicable al almacenamiento y procesado de datos, siendo una buena práctica cerrar un acuerdo con el proveedor para que el tratamiento de los datos se subyugue al marco legal del país del
    •  Aislamiento de datos: ◦ Los datos en los entornos cloud comparten infraestructura con datos de otros clientes. ◦ El prestador del servicio debe garantizar que los datos en reposo estarán correctamente aislados y que los procedimientos de cifrado de la información se realizarán por personal experimentado, ya que el cifrado de los datos mal realizado también puede producir problemas con la disponibilidad de los datos o incluso la pérdida de los mismos. Recuperación: ◦ Los proveedores de servicio deben tener una política de recuperación de datos en caso de desastre. ◦ Se debe exigir a los proveedores los datos sobre la viabilidad de una recuperación completa y el tiempo que podría tardar.
    •  Soporte investigativo: ◦ La investigación de actividades ilegales en entornos cloud puede ser una actividad casi imposible, porque los datos y logs (registros de actividad) de múltiples clientes pueden estar juntos e incluso desperdigados por una gran cantidad de equipos y centros de datos. Viabilidad a largo plazo: ◦ En un entorno ideal un proveedor de servicios cloud siempre permanecerá en el mercado dando un servicio de calidad y con una disponibilidad completa, pero el mercado es cambiante y cabe la posibilidad de que el proveedor sea comprado o absorbido por alguno con mayores recursos. ◦ El cliente debe asegurarse que podrá recuperar sus datos aún en el caso de que el proveedor sea comprado o absorbido por otro o bien contemplar la posibilidad de que los datos puedan ser migrados a la nueva infraestructura.
    • Aspectos de Seguridad SegúnNIST  Efraín Santos
    • seguridad en Clud según El Instituto Nacional de Normas y Tecnología (NIST por sus siglas en inglés, National Institute of Standards and Technology) es una agencia de la Administración de Tecnología del Departamento de Comercio de los Estados Unidos. La misión de este instituto es promover la innovación y la competencia industrial en Estados Unidos mediante avances en metrología, normas y tecnología de forma que mejoren la estabilidad económica y la calidad de vida. Dicha institución ha publicado una guía «Guidelines on Security and Privacy in Public Cloud Computing» en las que propone unosNIST refuerzos de seguridad centrándose en una clasificación particular. Se resume a continuación:
    • Aspectos clave de seguridad en Cloud según NIST Gobernanza Cumplimiento ◦ Ubicación de los datos ◦ Investigación electrónica Confianza ◦ Acceso desde dentro ◦ Propiedad de los datos ◦ Servicios complejos ◦ Visibilidad ◦ Gestión de riesgo
    • Gobernanzaobernanza
    • La gobernanza implica el control y la supervisión de laspolíticas, los procedimientos y los estándares para eldesarrollo de aplicaciones, así como el diseño, laimplementación, las pruebas y la monitorización de losservicios distribuidos. El cloud, por su diversidad deservicios y su amplia disponibilidad, amplifica lanecesidad de una buena gobernanza.Garantizar que los sistemas son seguros y que losriesgos están gestionados es un reto en cualquierentorno cloud. Es un requisito de seguridad instalaradecuadamente los mecanismos y herramientas deauditoría para determinar cómo se almacenan losdatos, cómo se protegen y cómo se utilizan tanto paravalidar los servicios y como para verificar elcumplimiento de las políticas.
    • CumplimientoEl cumplimiento obliga a la conformidad conespecificaciones estándares, normas o leyesestablecidas. La legislación y normativa relativaa privacidad y seguridad varía mucho según lospaíses con diferencias, en ocasiones, a nivelnacional, regional o local haciendo muycomplicado el cumplimiento en cloudcomputing.
    • Ubicación de los datosEn cloud computing la ausencia de información acercade cómo se ha implantado la infraestructura, por lo cualel suscriptor no tiene prácticamente información de cómoy dónde son almacenados los datos ni de cómo seprotegen los mismos. La posesión de certificaciones deseguridad o la realización de auditorías externas porparte del proveedor mitiga, en parte, el problema aunquetampoco es una solución.Cuando la información se mueve por diferentespaíses, sus marcos legales y regulatorios cambian yesto, obviamente, afecta a la forma de tratar los datos.Por ejemplo, las leyes de protección de datos imponenobligaciones adicionales a los procedimientos de manejoy procesamiento de datos que se transfieren a EEUU.
    • Investigación electrónicaLa investigación electrónica se ocupa de laidentificación, la recolección, el procesamiento, elanálisis y la producción de los documentos en lafase de descubrimiento de un procedimientojudicial. Las organizaciones también tienenobligaciones para la preservación y la generaciónde los documentos, tales como cumplir con lasauditorías y solicitudes de información. Estosdocumentos no sólo incluyen correos electrónicos,adjuntos del correo y otros datos almacenados enlos sistemas, sino también metadatos como fechasde creación y modificación.
    • Confianz aEn cloud computing la organización cede el controldirecto de muchos aspectos de la seguridadconfiriendo un nivel de confianza sin precedentes alproveedor de cloud.Acceso desde dentroLos datos almacenados fuera de los límites de unaorganización están protegidos por cortafuegos yotros controles de seguridad que conllevan en símismos un nivel de riesgo inherente. Las amenazasinternas son un problema conocido por la mayoríade las organizaciones y aunque su nombre no lorefleje aplica también en los servicios cloud.
    • Al traspasar los datos a un entorno cloudoperado por un proveedor, las amenazasinternas se extienden no sólo al personal delproveedor sino también a los consumidoresdel servicio. Un ejemplo de esto se demostrópor una denegación de servicio realizada porun atacante interno. El ataque fue realizadopor un suscriptor que creó 20 cuentas yRiesgos y amenazas en Cloud Computing.Lanzó una instancia de máquina virtual porcada una de ellas, a su vez cada una deestas cuentas seguía creando 20 cuentascada una haciendo que el crecimientoexponencial llevase los recursos a los límitesde fallo.
    • Servicios complejosLos servicios cloud en sí mismos suelen estarformados por la colaboración y unión de otrosservicios. El nivel de disponibilidad de unservicio cloud depende de la disponibilidad delos servicios que lo componen. Aquellosservicios que dependan de terceros para sufuncionamiento deben considerar elestablecimiento de un marco de control condichos terceros para definir lasresponsabilidades y las obligaciones, asícomo los remedios para los posibles fallos.
    • VisibilidadLa migración a servicios cloud públicos cede el controlde los sistemas de seguridad a los proveedores queoperan los datos de la organización. Laadministración, los procedimientos y los controlesusados en el cloud deben guardar cierta analogía conlos implantados en la propia organización interna paraevitar posibles agujeros de seguridad.Los proveedores de cloud suelen ser bastantecelosos para dar los detalles de sus políticas deseguridad y privacidad, ya que dicha informaciónpodría ser utilizada para realizar un ataque. Por logeneral, los detalles de la red y los niveles demonitorización de los sistemas no forman parte de los
    • Gestión de riesgosCon los servicios basados en cloud muchos componentes de lossistemas de información quedan fuera del control directo de laorganización suscriptora. Mucha gente se siente mejor con un riesgosiempre y cuando tengan mayor control sobre los procesos y losequipos involucradosValorar y gestionar riesgos en sistemas que utilizan servicios cloudpuede llegar a ser un desafío. Para llevarlo a la práctica, laorganización debe confirmar que los controles de seguridad estánimplementados correctamente y cumplen con los requisitos deseguridad de la empresa. El establecimiento de un nivel deconfianza depende del grado de control que una organización estédispuesta a delegar en el proveedor para que sea éste el queimplemente los controles de seguridad necesarios para la protecciónde los datos y las aplicaciones de la organización, así como las
    • ArquitecturaLa arquitectura de una infraestructura cloudcomprende tanto hardware como software. Lasmáquinas virtuales se utilizan como unidades dedistribución del software asociadas a dispositivosde almacenamiento. Las aplicaciones son creadasmediante las interfaces de programación. Suelenenglobar a múltiples componentes de lainfraestructura que se comunican entre sí a travésde estas interfaces. Esta comunicación global dela infraestructura puede derivar en fallos deseguridad.
    • aArquitectur  Superficie de ataque  Protección de la red virtual  Datos Auxiliares  Protección del cliente  Protección del servidor
    • Superficie de ataqueEl hipervisor de las máquinas virtuales se superponecomo una capa extra de software entre el sistemaoperativo y los recursos hardware y se utiliza paraejecutar las máquinas virtuales multiusuario. Lainclusión de estos hipervisores supone añadir un puntode ataque extra con respecto a las arquitecturastradicionales. Riesgos y amenazas en CloudComputing Son ejemplos de posibles incidentes larevelación de datos sensibles al realizar la migraciónde máquinas virtuales o la ejecución de códigoarbitrario en el equipo anfitrión al explotarvulnerabilidades en productos de virtualización.
    • Protección dela red virtualLa mayoría de los productos de virtualización soportan lacreación de conmutadores de red virtuales yconfiguraciones de red como parte del entorno. Asímismo, soportan la creación de subredes privadas para lacomunicación entre las maquinas virtuales alojadas en unmismo servidor. Este tráfico no puede ser monitorizadopor los elementos físicos típicos de la red(cortafuegos, sistemas de prevención deintrusiones, etc.). Por ello, se deben extremar lasprecauciones de la seguridad de la red en estasconexiones internas para evitar ataques desde dentro deestas redes virtuales.
    • Datos auxiliaresLo más normal es que la seguridad en estos entornos secentre en los datos que gestiona la aplicación, perotambién existen otros datos no considerados tan críticoscuya alteración, robo o revelación puede producir seriosincidentes de seguridad (por ejemplo: bases de datos declientes, ficheros de pagos, información deusuarios, etc.).Otro de los problemas puede producirse al no proteger elacceso a los repositorios de las plantillas de lasmáquinas virtuales que contienen las configuraciones pordefecto de las mismas. Compartir este tipo de datos esuna práctica bastante común en entornos cloud.
    • Protección del cliente Los navegadores, como parte primordial de los entornos cloud (ya que típicamente los accesos se realizan vía web), pueden llevar extensiones o plugins con importantes brechas de seguridad. Mantener la seguridad lógica y física de la parte del cliente puede ser complicado especialmente para entornos móviles ya que, por su tamaño y portabilidad, pueden perderse o ser sustraídos. Así mismo, los sistemas de escritorio no son actualizados de forma sistemática provocando que las vulnerabilidades puedan producir brechas de seguridad importantes.
    • Protección del servidorLos servidores en los entornos cloud debenser protegidos tanto física comológicamente, de forma que los mismos esténsegmentados y separados para que no sepuedan producir accesos desde zonas noautorizadas.Del mismo modo, en la parte del cliente hayque asegurar el parcheo de los servidorespara que no tengan vulnerabilidades quecomprometan la seguridad del entorno.
    • Leandro Frías T.Aspectos clave de Seguridad en Cloud según NIST Cont.
    • Aspectos clave de Seguridad en Cloud según NISTIdentidad y Control de Acceso• Autenticación Creciente número de proveedores cloud están soportando el estándar SAML* para autenticación federada utilizando el protocolo SOAP *.• Control de Acceso Es Necesario un control de acceso a recursos utilizando el estándar XACML*, el cual complementa a SAML, para una autenticación mas segura.SAML: Security Assertion Markup LanguageSOAP: Simple Object Access ProtocolXACML: eXtensible Access Control Markup Language
    • Aspectos clave de Seguridad en Cloud según NISTAislamiento de Software• Hipervisor o supervisor de máquina virtual Ejecuta múltiples servidores virtuales en un mismo servidor físico esto permite aislar el software de forma mas segura.• Vectores de ataque • Códigos maliciosos que puede salir de una VM e interferir con otras VM o con el hipervisor. • Desbordamiento de buffer para realizar denegación de servicios. • Ataque del hombre en el medio en el proceso de migración de VM para modificar el código de autenticación. • Instalación de rootkits para VM durante la migración de las mismas.
    • Aspectos clave de Seguridad en Cloud según NISTProtección de Datos• Aislamiento de datos En los entornos cloud las bases de datos se componen de un único gestor de base de datos con una instancia por VM, siendo responsable el proveedor de la seguridad y configuración. Estos datos son protegidos mediante criptografía.• Saneamiento de datos Eliminación de datos que dejan de ser utilizados. En entornos cloud el medio de almacenamiento es compartido por varios clientes, por lo cual el saneamiento se debe realizar con cautela.
    • Aspectos clave de Seguridad enCloud según NISTDisponibilidad• Fallos temporales Con una fiabilidad de 99.95% se producirían 4,38 horas de caída en un año, excluyendo las paradas por mantenimiento.• Fallos prolongados y permanentes Esto se puede presentar en proveedores que experimentan problemas serios como la bancarrota o la perdida de sus proveedores.• Denegación de Servicios La distribución dinámica de recursos en entornos cloud habilita posibilidades mayores de que puedan sufrir ataques.• Valor concentrado Los entornos cloud concentran gran cantidad de información
    • Aspectos clave de Seguridad en Cloud según NIST• Respuesta a incidentes • Verificación • Análisis del ataque • Contención • Recolección de evidencias • Aplicación de remedios • Restauración del servicio
    • Recomendaciones de seguridad por área segúnNIST
    • Recomendaciones de seguridad por área segúnNIST
    • Preguntas….