Seg cloud 1_0

362 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
362
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
10
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Seg cloud 1_0

  1. 1. Estudio de la seguridad en sistemas Cloud Computing para la asignatura de Seguridad de la InformaciónUniversidad Francisco Vitoria SEGURIDAD EN CLOUD COMPUTING CONTROL DOCUMENTALTÍTULO SEGURIDAD EN CLOUD COMPUTINGPROYECTO Seguridad de la informaciónENTIDAD DE DESTINO Universidad Francisco VitoriaPÁGINAS 25 páginasPALABRAS 6107 palabrasCÓDIGO DE REFERENCIAVERSIÓN 1.0FECHA DE CREACIÓN lunes, 23 de enero de 2012ULTIMA MODIFICACIÓN lunes, 23 de enero de 2012NOMBRE DEL ARCHIVO SEG_CLOUD_1_0.DOCXTAMAÑO DEL ARCHIVO 848098 bytesHERRAMIENTA/S DE EDICION Microsoft Word 2010AUTOR/ES Enrique Sánchez Acosta Estudio de la seguridad en sistemas Cloud ComputingRESUMEN DEL DOCUMENTO para la asignatura de Seguridad de la Información Seguridad de la información | Enrique Sánchez Acosta
  2. 2. SEGURIDAD EN CLOUD COMPUTING Universidad Francisco Vitoria RESUMEN La evolución del Software hacia el Cloud Computing no ha sido más que una externalización de losservicios existentes hacia lo que se dio en llamar la nube. En primera instancia fueron los productos los quetuvieron que evolucionar a la nube, a internet a no estar en las máquinas de los clientes, para posteriormenteplantearse el tema de los servicios. Está claro que un servicio es algo mucho más complejo, ¿Cómo se puede externalizar un serviciocomo puede ser una función, o un componente Software? En un principio se vio como algo muy complejo,pero poco a poco se fueron superando los retos y todo ha ido creciendo hacia el Cloud Computing, y no parani parará de crecer. Ahora es algo más fácil desarrollar algo en Cloud Computing y venderlo, pero claro, ahoraes cuando empieza a surgir el problema real. La seguridad. En este documento trato de dar unas pautas de los problemas que podemos encontrarnos con cualquierservicio en Cloud Computing. Tanto los que puedan tener que ver con el proveedor de estos servicios, comolos que se encuentra el cliente al contratarlos. El tema es mucho mas extenso y complicado de lo que parece por lo que no trato aquí de dar unainformación excesivamente compleja y extensa sino de introducir al lector del presente documento en el temade la seguridad y en todos los puntos que esta conlleva, para que se haga una idea de la importancia de laseguridad en Cloud Computing y de todos las posibles ramas que esta esta toca, no solo en cuanto a software,sino también en cuanto a los sistemas legales actuales de la sociedad, que a mi punto de vista no está bienpreparada para todo este crecimiento del Cloud Computing.Seguridad de la información | Enrique Sánchez Acosta Página 2 de 25
  3. 3. SEGURIDAD EN CLOUD COMPUTING Universidad Francisco Vitoria ÍNDICE Contenido 1. Definición .................................................................................................................. 5 1. Ejemplos de Cloud Computing.................................................................................................... 5 2. Tipologías .................................................................................................................................... 6 3. Ventajas ..................................................................................................................................... 10 A. Proveedor ........................................................................................................................... 10 B. Cliente................................................................................................................................ 11 4. Inconvenientes ........................................................................................................................... 12 A. Proveedor ........................................................................................................................... 12 B. Cliente................................................................................................................................ 12 2. Estudios de Seguridad ............................................................................................. 14 A. Amenazas y vulnerabilidades ............................................................................................ 14 a. Cliente.................................................................................................................................... 14 b. Proveedor ........................................................................................................................... 14 B. Aspectos legales ................................................................................................................ 14 a. Cliente.................................................................................................................................... 14 b. Proveedor ........................................................................................................................... 14 C. Confidencialidad................................................................................................................ 15 a. Cliente.................................................................................................................................... 15 b. Proveedor ........................................................................................................................... 15 D. Integridad ........................................................................................................................... 15 a. Cliente.................................................................................................................................... 15 b. Proveedor ........................................................................................................................... 15 E. Disponibilidad ....................................................................................................................... 15 a. Cliente.................................................................................................................................... 15 b. Proveedor ........................................................................................................................... 15 F. Evidencias de auditoría.......................................................................................................... 16 a. Cliente.................................................................................................................................... 16 b. Proveedor ........................................................................................................................... 16 3. Privacidad ................................................................................................................ 17 1. Integridad ................................................................................................................................... 17 A. Control de integridad ......................................................................................................... 17 B. Gestión de cambios............................................................................................................ 17Seguridad de la información | Enrique Sánchez Acosta Página 3 de 25
  4. 4. SEGURIDAD EN CLOUD COMPUTING Universidad Francisco Vitoria C. Las copias de seguridad ..................................................................................................... 18 2. Confidencialidad........................................................................................................................ 18 3. Confianza ................................................................................................................................... 18 4. Certificaciones ........................................................................................................................... 18 4. Marco Legal............................................................................................................. 20 5. Riesgos y amenazas ................................................................................................. 22 A. Amenazas y vulnerabilidades ............................................................................................ 22 B. Aspectos legales ................................................................................................................ 22 C. Confidencialidad................................................................................................................ 22 D. Integridad ........................................................................................................................... 23 E. Disponibilidad ....................................................................................................................... 23 F. Evidencias de auditoría.......................................................................................................... 23 A. Accesos de usuarios con privilegios .................................................................................. 23 B. Cumplimento normativo .................................................................................................... 23 C. Localización de los datos ................................................................................................... 23 D. Aislamiento de datos ......................................................................................................... 24 E. Recuperación ......................................................................................................................... 24 F. Soporte investigativo ............................................................................................................. 24 G. Viabilidad a largo plazo ..................................................................................................... 24Seguridad de la información | Enrique Sánchez Acosta Página 4 de 25
  5. 5. SEGURIDAD EN CLOUD COMPUTING Universidad Francisco Vitoria1. DEFINICIÓN En primer lugar tenemos que de definir e introducir el nuevo concepto de Cloud Computing: e nuevo Se trata de una tecnología emergente de la computación que utiliza internet y serservidores centralesremotos para el mantenimiento de datos y aplicaciones, aunque quizá una definición mas extensa sea q es queuna tecnología que ofrece servicios a través de internet, los usuarios de este servicio tienen acceso de forma osgratuita o de pago y responde a múltiples características integradas. El “Cloud Computing” nació para dar respuesta a los problemas de los primeros grandes proveedoresde servicio de Internet a gran escala (Google, Amazon AWS, etc.). Todos ellos construyeron su propia infraestructura y emergió una arquitectura(Cloud Computing) para infraestructuradar solución a sus problemas a la hora de dar servicio a tantos usuarios. 1. EJEMPLOS DE CLOUD COMPUTING Muchas grandes empresas se han dedicado a ofrecer estos servicios de Cloud Computing Computing,promoviendo el fácil acceso a la información y muchas características que nos hace pensar en la comodidadque nos brindan, entre ellas podemos mencionar: • Google Apps: brinda el servicio de aplicaciones para empresas como Gmail, Google Talk, Google Calendar y Google Docs, etc. dar • Amazon Web Services: los servicios que ofrece son el Amazon EC2™, Amazon S3™, SimpleDB™, Amazon SQS™. • Azure de Microsoft: ofrece servicios de sistema operativo, hosting, sistemas para desarrollo. • eyeOS con su proyecto eyeOS: es un escritorio virtual multiplataforma, libre y gratuito, scritorio basado sobre el estilo del escritorio de un sistema operativo. El paquete básico de aplicaciones que vienen por defecto, incluye toda la estructura de un sistema operativo y algunas aplicaciones de tipo suite ofimática como un procesador de textos, un calendario, un gestor de archivos, un mensajero, un navegador, una calculadora y más.Seguridad de la información | Enrique Sánchez Acosta Página 5 de 25
  6. 6. SEGURIDAD EN CLOUD COMPUTING Universidad Francisco Vitoria • Vmware con su proyecto vCloud: Con la que los usuarios tienen la seguridad de que las aplicaciones pueden gestionarse, moverse y que pueden correr en la Cloud de la misma forma que lo hacen internamente. 2. TIPOLOGÍAS Existen diferentes tipos de nubes en función de como sea su capa de Infraestructura, siguiendo alNIST (NationalInstituteofStandards and Technology podemos distinguir cuatro tipos: • Pública: En términos sencillos, los servicios Cloud públicos se caracterizan por estar disponibles para los clientes de un proveedor de servicios externo a través de Internet. • Privada: Una nube privada ofrece muchas de las ventajas de un entorno de Cloud Computing pública. La diferencia entre una nube privada y una nube pública es que en una Cloud privada, los datos y los procesos se gestionan dentro de la organización sin las restricciones de ancho de banda de red, riesgos de seguridad y requisitos legales que el uso de los servicios en una Cloud pública podría conllevar. • Comunitaria: Es controlada y utilizada por un grupo de organizaciones que tienen intereses comunes, tales como los requisitos específicos de seguridad o una función común. Los miembros de la comunidad comparten el acceso a los datos y aplicaciones en la nube. • Hibrida: Es una combinación de Clouds públicas y privadas que interactúan entre ellas. En este modelo los usuarios suelen externalizar la información no crítica para el negocio en la Cloud pública, manteniendo los servicios esenciales para la empresa y los datos bajo su control.Seguridad de la información | Enrique Sánchez Acosta Página 6 de 25
  7. 7. SEGURIDAD EN CLOUD COMPUTING Universidad Francisco Vitoria Sin embargo no sería este el único tipo de topología, ya que se trata de una tecnología aun muyreciente y varios autores tratan de clasificarla. Tenemos por otro lado otra clasificación de la topología del CCUS (Cloud Computing Use Cases) ungrupo formado por colaboradores de todo el mundo para definir y orientar esta tecnología. Este grupo divideel Cloud Computing según sus casos de uso, no según los requisitos como lo esta haciendo el NIST. • Del usuario a la nube: Aplicaciones ejecutándose en Cloud y accedidas por usuarios finales vía internet. Casos comunes son aplicaciones de hosted email y redes sociales. • Del usuario a la nube y vuelta al usuario: La empresa usa el Cloud para entregar datos y servicios al usuario final, pudiendo se este último un empleado o cliente. • De la empresa a la nube: Aplicaciones Cloud integradas con capacidades IT internas de la empresa. En este escenario la empresa usa servicios Cloud para complementar los recursos que necesita: o Usando almacenamiento en Cloud para backups o almacenamiento de datos de menor utilización. o Usando maquinas virtuales en la Cloud de cara a disponer de procesamiento adicional para manejar picos de carga (con la posibilidad de apagar estos VMs cuando no sean necesitados). o Usando aplicaciones en el Cloud (SaaS) para ciertas funciones empresariales (email, CRM, etc.). o Usando Bases de Datos en Cloud como parte del procesamiento de aplicaciones. Podria ser útil para compartir bases de datos con partners, agencias gubernamentales, etc.Seguridad de la información | Enrique Sánchez Acosta Página 7 de 25
  8. 8. SEGURIDAD EN CLOUD COMPUTING Universidad Francisco Vitoria • De la empresa a la nube y vuelta a la empresa: Este caso implica dos empresas utilizando la misma Cloud, de forma que las aplicaciones de ambas empresas puedan interoperar. El más claro ejemplo es una cadena de suministro. • Privada: Similar a la definición aportada por NIST. • Cambio de proveedores: Una organización utilizando servicios Cloud decide cambiar a otro proveedor o trabajar con proveedores adicionales. Este caso trata uno de los principales puntos defendidos por esta asociación que es la interoperabilidad y portabilidad entre diferentes entornos Cloud, evitando el lock in o la imposibilidad de migrar tus soluciones. • Híbrida: Similar a la definición aportada por NIST con la salvedad que en el documento se asocian los requerimientos para una Cloud comunitaria como un conjunto de los requerimientos de una Cloud hibrida. La tendencia principal de los últimos estudios de Cloud Computing es que sea precisamente estaúltima, la Híbrida la que más se está utilizando y la que probablemente triunfe en un futuro desbancando atodas las demás. A este sistema hibrido y a otros vistos anteriormente podemos añadirle además el concepto de CloudPrivada Virtual donde usuarios de Clouds privadas acceden a recursos de infraestructura IT de proveedoresCloud mediante VPNs expandiendo por tanto los límites del firewall corporativo hasta el proveedorCloud,permiten combinar recursos difícilmente escalables de la infraestructura tradicional, llevando aspectosespecíficos de la infraestructura IT como almacenamiento y computación a la Cloud pública, proveyendoescalabilidad, y agilidad mediante provisión bajo demanda. Amazon Web Services lanzó Amazon Virtual Private Cloud en 2009, el cual proporciona a través deAmazon Elastic un servicio de red privado a través de IPSec con una conexión de red privada virtual. También Google App Engine soporta una funcionalidad similar a través de SDC (SecureDataConnect), un producto lanzado por Google también en 2009.Seguridad de la información | Enrique Sánchez Acosta Página 8 de 25
  9. 9. SEGURIDAD EN CLOUD COMPUTING Universidad Francisco VitoriaSeguridad de la información | Enrique Sánchez Acosta Página 9 de 25
  10. 10. SEGURIDAD EN CLOUD COMPUTING Universidad Francisco Vitoria 3. VENTAJAS “Lo realmente innovador en Cloud Computing es el cambio de mentalidad que está produciendo para que la tecnología sea usada por la gente preocupándose únicamente de lo que puede hacer con ella, no por cómo implementarla”, Daryl C. Plummer. “Las ventajas del Cloud Computing son claras. El usuario final nota inmediatamente una mejora en la calidad del servicio y en su experiencia de uso. Por su parte las empresas se benefician de la posibilidad de atender una fuerte demanda en un momento dado y ajustar de forma dinámica los recursos dedicados, todo ello sin que aumente la complejidad en la gestión”, Luis Aguilar. No hay duda que muchos autores están describiendo las ventajas del Cloud Computing y como estácambiando la forma de entender la programación del futuro. Actualmente el mercado ofrece una ampliavariedad de soluciones de Cloud Computing. Pero hay que diferenciar las ventajas en dos factores, las que seaplican al proveedor y las que se aplican al cliente. A. Proveedor Empresas que llevan muchos años haciendo software tradicional de repente y de manera mágicaresulta que su software está ‘En la Nube’. Ahora todo es Cloud y el que pierda el tren se quedará sincompetitividad. En una primera instancia el proveedor se negaba a proporcionar a los clientes los serviciosCloud, siempre pensaron que podían proporcionar al cliente todo el software y el hardware necesario de formadedicada, sin necesidad que fuera Cloud. Esta es la etapa de la negación del proveedor: se asume que el cliente no sabe y que ha oído la últimapalabra de moda. Pero esto está comenzando a cambiar. Su modelo de negocio tradicional está cambiando y los clientes piden cosas que antes nunca pedían. Yademás o el proveedor les ofrece lo que quieren o el cambio a otra empresa Cloud es tan fácil e inmediato quese arriesgan a perder clientes. Algunos proveedores hoy en día están ofreciendo servicios Cloud sin serlo, ofrecen maquinascompletas dedicadas en la nube y las venden como un servicio Cloud simplemente porque está de moda y porqué no cuentan con la infraestructura de la empresa que les permita realizar bien el Cloud Computing. UnaIaaS (Infraestructure as a Service) no es un conjunto de servidores virtualizados. Una regla que todo proveedor debe utilizar para saber si está dando un servicio Cloud Computing es: ¿Puedo contratar un servicio de manera online y no volver a tratar con un técnico de soporte durante todo el ciclo de vida de despliegue de su solución? • No hay duda por tanto que el proveedor reportará grandes beneficios desmarcándose de las demás compañías, siendo el primero en adaptar el Cloud Computing. • Además aunque el proceso sea muy costoso al principio llegara a una gran cantidad de clientes nuevos proporcionándoles una facilidad de uso e implantación que antes no tenían.Seguridad de la información | Enrique Sánchez Acosta Página 10 de 25
  11. 11. SEGURIDAD EN CLOUD COMPUTING Universidad Francisco Vitoria B. Cliente El cliente sin embargo tiene muchas más ventajas que el proveedor: • Disminución de los costes: El Cloud Computing ofrece ventajas a las pymes en términos de reducción de costes. Pagaran por lo que usan. • Opciones de almacenamiento escalable: Puede ampliar las opciones de almacenamiento para cubrir las necesidades sin problema, en lugar de tener que salir a comprar hardware costoso. • Actualizaciones automáticas: No hay necesidad de que el departamento de IT tenga que preocuparse por el pago de actualizaciones futuras en términos de software y hardware. • Acceso remoto: Los empleados pueden tener acceso a información donde quiera que estén, en lugar de obligarlos a mantenerse en un solo lugar la mayor parte del tiempo para acceder a lo que necesitan. • Servicio ecológico: Cloud Computing utiliza menos energía que los centros de datos tradicionales lo cual es importante hoy en día. • Facilidad de implementación: No hay necesidad de implementar hardware y componentes que pueden tardar varias horas en instalarse. • El tiempo de respuesta: Cloud Computing logra un mejor tiempo de respuesta en la mayoría de los casos que en su hardware de servidor estándar. • Incluso igualdad de condiciones pymes: Esto permite que las pequeñas empresas compitan más eficazmente con algunas de las empresas más grandes. Esto equilibra el campo de juego. • Rendimiento y Durabilidad: Ejecutar sus sitios web y aplicaciones SaaS a un ritmo mucho más rápido con los beneficios de usar un servicio mucho más duradero.Seguridad de la información | Enrique Sánchez Acosta Página 11 de 25
  12. 12. SEGURIDAD EN CLOUD COMPUTING Universidad Francisco Vitoria 4. INCONVENIENTES A pesar de su continua evolución, esta tecnología sigue suscitando dudas. • ¿Son seguras las soluciones de Cloud Computing? • ¿Ofrecen una disponibilidad continua? • ¿Es posible mantener el control sobre sistemas y datos críticos que existen en la nube? • ¿es una solución con todo lo que necesita una empresa, que además está a la altura de lo que se espera de ella? A. Proveedor • El mayor inconveniente para el proveedor es el gasto a realizar en el cambio de infraestructura para conseguir una IaaS (Infraestructure as a Service). La inversión tanto en hardware como en software necesario y en un equipo de desarrollo formado en las últimas tecnologías hacen que sea muy arriesgado adentrarse en ello. • Habrá que ofrecer al cliente una gran calidad y un nombre importante por que muchos clientes optaran por empresas con mucho renombre ya que se van a vincular al servicio Cloud prácticamente para siempre. B. Cliente • Privacidad de los datos. El tráfico de los datos estará continuamente en manos de otros. Por eso es necesario ser muy escrupuloso con la elección del proveedor, debe ser una empresa de total confianza y con una gran solvencia pública. • Dependencia de una empresa que puede hundirse. Por eso vuelve a ser necesario elegir con mucho cuidado. Las soluciones de las grandes empresas tipo IBM del sector suelen ser una solución segura. Como todas las tecnologías lo mejor que tiene el Cloud Computing es que es una posibilidad más paraelegir, pero cada cual tiene que hacer balance y decidir cuál es la mejor elección para su negocio.Seguridad de la información | Enrique Sánchez Acosta Página 12 de 25
  13. 13. SEGURIDAD EN CLOUD COMPUTING Universidad Francisco VitoriaSeguridad de la información | Enrique Sánchez Acosta Página 13 de 25
  14. 14. SEGURIDAD EN CLOUD COMPUTING Universidad Francisco Vitoria2. ESTUDIOS DE SEGURIDAD Desde el punto de vista del cliente tendremos que tener en cuenta algunas cosas que nos haganreflexionar sobre la seguridad de nuestro proveedor de Cloud Computing: • No conocemos los procesos de gestión del proveedor • No tenemos acceso a la infraestructura • No podemos auditar el código • No podemos analizar los logs de autentificación y autorización • No podemos monitorizar los componentes • No conocemos a todos los usuarios Necesitaremos por lo tanto analizar bien en nuestra empresa la Gestión del riesgo para los serviciosque contratemos de Cloud Computing. Nos encontraremos entonces con diferentes desafíos a tener en cuenta cuando analicemos la seguridadde una infraestructura de Cloud Computing: A. Amenazas y vulnerabilidades a. Cliente • Evaluación recurrente de vulnerabilidades (una auditoría externa) • Solicitud de registros de Auditoría interna, certificaciones etc. • Evaluación recurrente de vulnerabilidades en las interfaces, importante para que no haya errores futuros con el cliente b. Proveedor • Evaluación independiente de vulnerabilidades (Auditoría interna) sobre la infraestructura, código fuente, interfaces etc. Para proporcionar al cliente • Implementación de metodologías de mejora continua, y gestión del riesgo como las ISO 27000, BS 25999, ISO 20000, etc. B. Aspectos legales a. Cliente • Gestión de la información en cada sitio y registro de dicha información • Independencia de la ubicación en el desarrollo pero no en el procesamiento de los datos • Integración del modelo de Software del proveedor con la infraestructura propia del cliente b. Proveedor • Interconectividad para soportar múltiples orígenes de datosSeguridad de la información | Enrique Sánchez Acosta Página 14 de 25
  15. 15. SEGURIDAD EN CLOUD COMPUTING Universidad Francisco Vitoria • Localización física de los activos cumpliendo las leyes locales de cada país • Integración de los departamentos legales durante todo el ciclo del contrato C. Confidencialidad a. Cliente • Preferencia de los proveedores ante los integradores • Mitigar los riesgos a través de acuerdos de confidencialidad • Utilizar modelos de servicios para las aplicaciones que no son criticas b. Proveedor • Certificación de normas internacionales para aumentar el nivel de control y confianza • Gestión integral del riesgo, incluyendo a clientes, empleados y terceros • Soporte de las API y protocolos de encriptación propietarios del cliente D. Integridad a. Cliente • Control del acceso a la información en cada ubicación • Separación de los ambientes y las pruebas • Análisis detallado de la integración de los servicios con la información cr´tica b. Proveedor • Implementación de herramientas centralizadas y mejores prácticas para el control del acceso • Logs a medida que permitan una trazabilidad de accesos de los clientes • Diseño de la infraestructura de almacenamiento y procesamiento. E. Disponibilidad a. Cliente • Redundancia en la arquitectura base que garantice la escalabilidad en los vínculos públicos y privados • Garantía de escalabilidad del software b. Proveedor • Aplicación del concepto “N+1” (ir un poco mas allá) aplicado a todos los componentes de la arquitectura • Formalizar las métricas de disponibilidadSeguridad de la información | Enrique Sánchez Acosta Página 15 de 25
  16. 16. SEGURIDAD EN CLOUD COMPUTING Universidad Francisco Vitoria • Alto nivel de estandarización de los procesos y la infraestructura entre todas las ubicaciones físicas F. Evidencias de auditoría a. Cliente • Almacenamiento local de la información y acceso distribuido • Separar el análisis y las prestaciones del servicio • Planificar auditorías externas periódicas b. Proveedor • Análisis detallado de la información necesaria para cada cliente • Dimensionamiento de la capacidad necesaria bajo el modelo de servicio • Herramientas especificas para el análisis y correlación de los eventos de seguridad Según un informe del NIST (NationalInstitute of StandardsanTecnology) estos serían los aspectosfundamentales de seguridad a tener en cuenta a la hora de implantar una infraestructura de Cloud ComputingÁrea RecomendacionesGobierno Implantar políticas y estándares en la provisión de servicios Cloud. Establecer mecanismos de auditoría y herramientas para que se sigan las políticas de la organización durante el ciclo de vida.Cumplimiento Entender los distintos tipos de leyes y regulaciones y su impacto potencial en los entornos Cloud. Revisar y valorar las medidas del proveedor con respecto a las necesidades de la organización.Confianza Incorporar mecanismos en el contrato que permitan controlar los procesos y controles de privacidad empleados por el proveedor.Arquitectura Comprender las tecnologías que sustentan la infraestructura del proveedor para comprender las implicaciones de privacidad y seguridad de los controles técnicos.Identidad y control de acceso Asegurar las salvaguardas necesarias para hacerseguras la autenticación, la autorización y las funciones de control de acceso.Aislamiento de software Entender la virtualización y otras técnicas de aislamiento que el proveedor emplee y valorar los riesgos implicadosDisponibilidad Asegurarse que durante una interrupción prolongada del servicio, las operaciones críticas se pueden reanudar inmediatamente y todo el resto de operaciones, en un tiempo prudente.Respuesta a incidentes Entender y negociar los contratos de los proveedores así como los procedimientos para la respuesta a incidentes requeridos por la organización.Seguridad de la información | Enrique Sánchez Acosta Página 16 de 25
  17. 17. SEGURIDAD EN CLOUD COMPUTING Universidad Francisco Vitoria3. PRIVACIDAD Actualmente la información se ha convertido en el principal activo de las organizaciones junto alpersonal. Asegurar la privacidad de dicha información es crucial para cualquier entidad. No solo hay queasegurar la información en su obtención sino a través de todo el ciclo de vida de la organización. Y porsupuesto es también crucial asegurar dicha privacidad en los servicios de Cloud Computing ucial El ciclo de vida de los datos cuando son procesados en la nube es el siguiente: Los datos son Los datos Los datos preparados "viajan" a la Los datos son finales vuelven para poder nube por la procesados en al usuario adaptarse a la conexción a la nube viajando por la nube internet nube Antes de migrar los datos por la nube es necesario preguntarse ¿Es realmente necesario que todos losdatos de la organización pases a estar en la nube? os 1. INTEGRIDAD Debido a las características de la computación en la nube, varios usuarios pueden estar accediendosimultáneamente y modificando determinada información. Por ello, deben implementarse los mecanismecanismos quegaranticen la correcta integridad de los datos. En el ámbito del Cloud Computing, la integridad de los datos es especialmente crítica: los datos están Computing,siendo transferidos constantemente entre los servicios en la nube y los distintos usuarios que a acceden a ellos. La mayor amenaza para la integridad de los datos en la nube es que los datos se acaben corrompiendodebido a errores en su manipulación. Para evitar que los datos en la nube no puedan utilizarse o que no estén disponibles se utilizanprincipalmente tres mecanismos: control de integridad, gestión de cambios y copias de seguridad. palmente A. Control de integridad Se obtiene un valor hash de los datos que viajan junto a estos. En el caso del Cloud Computing nosolo los ficheros tienen hash sino que también las maquinas virtuales o las copias de seguridad. también B. Gestión de cambiosSeguridad de la información | Enrique Sánchez Acosta Página 17 de 25
  18. 18. SEGURIDAD EN CLOUD COMPUTING Universidad Francisco Vitoria Mantener un historial de las modificaciones de modo que si se detecta un error en la integridad sepueda volver a la versión anterior C. Las copias de seguridad Hay que programarlas cada cierto tiempo, si hubiese un fallo en la integridad de estas, se puedesolucionar volviendo a la versión anterior. 2. CONFIDENCIALIDAD La confidencialidad del Cloud Computing se suele tratar a través del control de acceso a lainformación o al software proporcionado por el proveedor, a través de algún tipo de autentificación ya sea porclave de acceso o cualquier otro dispositivo hardware como el que utiliza e-DNI. Cuando una empresa o entidad utiliza las capacidades del Cloud Computing, necesita que eladministrador del sistema establezca un correcto control de acceso para garantizar que los usuarios soloutilizan los datos o procesos para los que han sido autorizados. 3. CONFIANZA La confianza juega un papel fundamental en la adopción del Cloud Computing. Es fundamental tenerconfianza en unos servicios sobre los que ya no se tendrá el control, no al menos como los departamentos deTI tienen por costumbre. Las relaciones de confianza entre los diversos interesados en la nube (usuarios, corporaciones, redes,proveedores de servicios, etc.) deben considerarse atentamente a medida que la Cloud Computing evolucionapara administrar datos empresariales delicados. Antes de que los datos delicados y reglamentados se trasladen a la nube, se deben enfrentar losproblemas de estándares de seguridad y compatibilidad, entre ellos, la autenticación sólida, la autorizacióndelegada, la administración de claves para datos encriptados, la protección contra la pérdida de datos y lacreación de informes reglamentarios. Estos aspectos y las certificaciones nos darán una estimación delproveedor necesaria para la confianza que debemos mantener hacia este. 4. CERTIFICACIONES En los últimos meses la demanda de profesionales en Cloud Computing se ha incrementado, tanto enlos ámbitos de investigación de la empresas líderes en el mercado de TI como en los ámbitos deimplementación y desarrollo. A pesar de ello, aún el mercado no cuenta con profesionales preparadosformalmente en este paradigma. Si bien hay experiencia, lo cual es importante, también es cierto que laexigencia ha crecido y los empleadores están buscando profesionales más competitivos y mejor preparados.Entonces, es hora de que elevemos nuestras competencias frente a esta nueva tendencia. Así, varias compañías han comenzado a ofrecer programas completos basados en la nube. Acontinuación detallo las más relevantes:Seguridad de la información | Enrique Sánchez Acosta Página 18 de 25
  19. 19. SEGURIDAD EN CLOUD COMPUTING Universidad Francisco VitoriaProveedor Descripción CertificacionesThe Art of Service Pty Independiente de la tecnología a usar y es Cloud Computing FoundationLtd uno de los programas de certificación mas Cloud Computing Specialist: SaaS populares en Cloud Computing + Web Applications Cloud Computing Specialist: Virtualization Cloud Computing Specialist: PaaS& Storage Management Cloud Computing: Managing Services in the Cloud Cloud Computing ExecutiveArcitura Education Inc Es uno de los programas más rigurosos que Certified Cloud Professional existen en Cloud Computing. Requiere un Certified Cloud Technology amplio conocimiento de plataformas y Professional tecnologías para la nube Certified Cloud Architect Certified Cloud Governance Specialist Certified Cloud Security Specialist Certified Cloud Storage SpecialistArcitura Education Inc Se basa en la aplicación de las tecnologías Certified SOA .NET Developer Microsoft: Windows Azure, SQL Azure, AppFabricService Bus, y Windows CommunicationFoundation 4.0, en apoyo de la Orientación a ServiciosMicrosoft Basados en el aprendizaje y uso de las MCPD: Windows AzureDeveloper tecnologías Microsoft: Windows Azure, 4 SQL Azure, AppFabricService Bus, y Windows CommunicationFoundation 4.0IBM Es uno de los exámenes más rigurosos de IBM Certified Solution Advisor - Cloud Computing. Se evalúa Cloud Computing Architecture V1 profundamente los conocimientos en las diferentes formas del Cloud y la capacidad de mapear los requerimientos del cliente a las tecnologías IBM Software Cloud ComputingRedHatInc Diseñado para profesionales de TI con Red Hat Certified Virtualization skills en despliegue de infraestructura Administrator Cloud Computing. El programa beneficia a administradores de sistemas Linux, Microsoft y Cisco3Tera Basado en 3Tera AppLogic, una plataforma 3Tera Certified Cloud Operator para Cloud Computing 3Tera Certified Cloud ArchitectCloud Security Alliance Es el primer programa de certificación de Certificate of Cloud Security seguridad en Cloud Computing KnowledgeSeguridad de la información | Enrique Sánchez Acosta Página 19 de 25
  20. 20. SEGURIDAD EN CLOUD COMPUTING Universidad Francisco Vitoria4. MARCO LEGAL El Cloud Computing conlleva numerosas implicaciones jurídicas, sobre todo cuando de lo quehablamos es que los datos se alojen en diferentes países, con diferentes legislaciones. Por ello, cuandoconvergen dos o más jurisdicciones surge la necesidad de determinar aspectos como la Ley aplicable, lostribunales competentes o las condicione exigibles para la transferencia de los datos a los sistemas delproveedor. Al firmar el correspondiente contrato o términos de uso, el cliente o contratante se vincula aaceptar una jurisdicción concreta. En primer lugar, tanto la empresa contratante de servicios como la proveedora deben tener en cuentala definición de dato personal que establece el artículo 3 de la LOPD: un dato personal es cualquierinformación concerniente a personas físicas identificadas o identificables. • Si los datos con los que se va a trabajar en la nube pertenecen a esta categoría, la empresa que los trate debe cumplir con carácter previo con el conjunto de obligaciones previstas en la LOPD: la inscripción de ficheros, deberes relacionados con la información en la recogida, el consentimiento y la calidad de los datos, garantía de los llamados derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) o la adopción de medidas de seguridad • Si los datos con los que se va a trabajar en la nube no son datos personales (son, por ejemplo, complejas operaciones matemáticas, cálculos físicos o químicos, etc.), se puede proceder sin que la LOPD señale impedimento alguno. En el caso del Cloud Computing es fundamental revisar las condiciones del contrato a in de garantizaruna adecuada previsión de las cuestiones relacionadas con la presencia de un encargado del tratamiento y/ouna transferencia internacional de datos personales. “En la prestación de servicios de Cloud Computing por terceros ajenos a la organizaciónresponsable se produce lo que la LOPD y su Reglamento de Desarrollo (RDLOPD) denominan un encargodel tratamiento. Esto es, una prestación de servicios en la que los datos son objeto de algún tipo detratamiento por parte del prestador/proveedor, quien pasa a ser el encargado del tratamiento.”Seguridad de la información | Enrique Sánchez Acosta Página 20 de 25
  21. 21. SEGURIDAD EN CLOUD COMPUTING Universidad Francisco Vitoria Esto es un resumen de los artículos mas importantes que deben tenerse en cuenta de la LOPD y laRDLOPD en el caso del Cloud Computing.Aspectos a contemplar Contenido de las cláusulas contractualesAcceso a los datos por cuenta de El responsable deberá:terceros • Supervisar que el encargado reúne las garantías para el cumplimiento de lo dispuesto por el RDLOPD. • Incluir una descripción del conjunto de instrucciones que el encargado aplica para tratar los datos. • Establecer las medidas de seguridad que el encargado del tratamiento está obligado a implantar. El encargado deberá: • Utilizar los datos exclusivamente para los fines contratados. En caso contrario, se convierte en responsable y debe responder por la infracción cometida. • No comunicar esta información a terceros, ni siquiera para su conservación. • Estar autorizado por el responsable para subcontratar y cumplir todos los requisitos de la LOPD y el RLOPD en esta materia. • Destruir o devolver la información tratada al responsable una vez finalizado el contrato. Cabe cumplir la obligación de devolución mediante la migración de los datos a un nuevo proveedor.Seguridad de los datos El responsable deberá: • Adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los ficheros. • Evitar que la información se pierda o que sea accedida o tratada por personal no autorizado. • Establecer medidas de prevención frente los distintos riesgos a los que se encuentran sometidos los datos, ya provengan de la acción humana, sean tecnológicos o dependan del entorno físico o natural.Seguridad de la información | Enrique Sánchez Acosta Página 21 de 25
  22. 22. SEGURIDAD EN CLOUD COMPUTING Universidad Francisco Vitoria5. RIESGOS Y AMENAZAS Como todo, lo de “estar en las nubes” tiene sus riesgos: • Abuso o uso ilegal de “la nube” • Interfaces no seguras • Espías maliciosos (internos y externos) • Vulnerabilidades tecnológicas compartidas • Pérdida/ filtración de datos • Secuestro de cuentas, servicios o tráfico. Hasta este momento conocíamos un modelo tradicional de Gestión del riesgo basado en una serie depuntos como los siguientes: 1. Identificación de activos 2. Identificación de amenazas 3. Identificar vulnerabilidades 4. Medir el riesgo 5. Implementar controles Pues bien, esto y no es suficiente cuando tenemos que hablar de Cloud Computing, tendremos quehacer un sistema de análisis de riesgo diferente o quizá fiarnos más de la empresa proveedora. Al finalprácticamente todo será una cuestión de confianza, ya que: o Los activos no son conocidos, solo conocemos las interfaces o Las amenazas no se conocen realmente, ni tenemos acceso a la infraestructura ni a las ubicaciones físicas ni como se encuentran o Las vulnerabilidades solo las conoceremos a nivel de las interfaces, tanto publicas como privadas o Para medir el riesgo solo podremos analizar el impacto de cada servicio contratado en el negocio o Y para implementar los controles necesitaremos alguna nueva metodología ya que ahora resulta mucho más complicado que con el modelo tradicional A. Amenazas y vulnerabilidades Necesitaremos delegar en el proveedor parte del proceso de la Gestión del riesgo. B. Aspectos legales Las leyes de protección de datos de cada país regulan el servicio de IT y compiten por el nuevoconcepto de “ubicuidad”, será complicado adecuarnos a este nuevo concepto. C. ConfidencialidadSeguridad de la información | Enrique Sánchez Acosta Página 22 de 25
  23. 23. SEGURIDAD EN CLOUD COMPUTING Universidad Francisco Vitoria ¿Quién tiene acceso de la información y como controlarla? D. Integridad ¿Qué procesos y personas desconocidas para el cliente pueden modificar la información y queregistros quedan de esas modificaciones? E. Disponibilidad La infraestructura tiene que estar siempre disponible, aunque se encuentre en muchas localizacionesfísicas F. Evidencias de auditoría ¿Cómo vamos a almacenar y distribuir la información necesaria para regular la infraestructura?Siendo esta una infraestructura que no nos pertenece claro. Las principales amenazas del Cloud Computing: La eliminación de la información nos ofrece pocas garantías La inversión en certificaciones nos produce una pérdida de valor en nuestra empresa Podemos caer en el exceso de confianza, en ceder demasiado a la empresa suministradora Conseguir un menor tiempo de posicionamiento en el mercado pero y la seguridad del código? ¿Cómode seguro es el código para nuestros usuarios? Otro estudio de los riesgos más importantes es el realizado por Gartner SA. A. Accesos de usuarios con privilegios El procesamiento o tratamiento de datos sensibles fuera de las instalaciones de la empresa conlleva unriesgo inherente, ya que es posible que estos servicios externos sorteen los controles físicos, lógicos yhumanos siendo, por este motivo, necesario conocer quién maneja dichos datos. Por tanto, se hace obligatorioconsensuar con el proveedor los usuarios que tendrán acceso a esos datos, para minimizar así los riesgos deque haya usuarios con elevados privilegios que no deberían tener acceso a los datos. B. Cumplimento normativo Los clientes son en última instancia responsables de la seguridad e integridad de sus datos, aunqueestos se encuentren fuera de las instalaciones y gestionados por un proveedor de servicios Cloud. Losprestadores de servicios tradicionales se hallan sujetos a auditorías externas y certificaciones de seguridad, porlo tanto los proveedores de servicios en la nube también deben acogerse a este tipo de prácticas. Si se negasena este tipo de auditorías no se les debería confiar los datos sensibles de la empresa. C. Localización de los datos Al utilizar entornos en la nube no se conoce de forma exacta en qué país están alojados. Se debeconsultar con los proveedores cuál es el marco regulatorio aplicable al almacenamiento y procesado de datos,Seguridad de la información | Enrique Sánchez Acosta Página 23 de 25
  24. 24. SEGURIDAD EN CLOUD COMPUTING Universidad Francisco Vitoriasiendo una buena práctica cerrar un acuerdo con el proveedor para que el tratamiento de los datos se subyugueal marco legal del país del suscriptor del servicio. D. Aislamiento de datos Los datos en los entornos Cloud comparten infraestructura con datos de otros clientes. El proveedordebe garantizar el aislamiento de los datos de los respectivos clientes. El cifrado de los datos es una buenapráctica, pero el problema es cómo aislar los datos cuando se encuentran en reposo ya que el cifrado, cuandono se hace uso de los datos, puede resultar una operación costosa. El prestador del servicio debe garantizar que los datos en reposo estarán correctamente aislados y quelos procedimientos de cifrado de la información se realizarán por personal experimentado, ya que el cifrado delos datos mal realizado también puede producir problemas con la disponibilidad de los datos o incluso lapérdida de los mismos. E. Recuperación Los proveedores de servicio deben tener una política de recuperación de datos en caso de desastre.Asimismo, es muy recomendable que los datos sean replicados en múltiples infraestructuras para evitar quesean vulnerables a un fallo general. Se debe exigir a los proveedores los datos sobre la viabilidad de una recuperación completa y eltiempo que podría tardar. F. Soporte investigativo La investigación de actividades ilegales en entornos Cloud puede ser una actividad casi imposible,porque los datos y logs (registros de actividad) de múltiples clientes pueden estar juntos e inclusodesperdigados por una gran cantidad de equipos y centros de datos. Lo recomendable será que el proveedorgarantice que los logs y los datos de los incidentes se gestionan de una forma centralizada. G. Viabilidad a largo plazo En un entorno ideal un proveedor de servicios Cloud siempre permanecerá en el mercado dando unservicio de calidad y con una disponibilidad completa, pero el mercado es cambiante y cabe la posibilidad deque el proveedor sea comprado o absorbido por alguno con mayores recursos. El cliente debe asegurarse que podrá recuperar sus datos aún en el caso de que el proveedor seacomprado o absorbido por otro o bien contemplar la posibilidad de que los datos puedan ser migrados a lanueva infraestructura.Seguridad de la información | Enrique Sánchez Acosta Página 24 de 25
  25. 25. SEGURIDAD EN CLOUD COMPUTING Universidad Francisco Vitoria BIBLIOGRAFÍA• Guía para empresas: Seguridad y privacidad en Cloud Computing por Instituto Nacional de Tecnología de la Comunicación.• Cloud Computing Use Cases White Paper por Cloud Computing Use Case DiscussionGroup• Guía de seguridad de las TIC por el Centro Criptológico Nacional• http://cloudusecases.org/• Casos de uso de Cloud Computing por Iván de Dios• Riesgos y amenazas en Cloud Computing por Inteco-CERT (Plan Avanza, Instituto Nacional de tecnología de la comunicación)• Certificaciones Cloud Computing por SOA – BPM - BISeguridad de la información | Enrique Sánchez Acosta Página 25 de 25

×