Your SlideShare is downloading. ×
	Cloud Computing:¿Cielos despejados o alerta 	meteorológica para los negocios?<br />Gabriel Marcos<br />Product Manager – ...
Agenda<br /><ul><li>Quées Cloud Computing?
Public Cloud
Private Cloud
Modelos de Servicio
IaaS
PaaS
SaaS
 Seguridad en lasnubes
Gestión del Riesgo
Desafíos
Conclusiones</li></li></ul><li>© 2009 – Global Crossing<br />Qué es cloudcomputing?<br />
Quées Cloud Computing?<br /><ul><li> Es un nuevo modelo de servicios, no un nuevo servicio.
 No existe un standard que lo defina. Las características son:
Escalabilidad sobre demanda
Infraestructura compartida (“multi-tenant”) :
Virtualización / Grid Computing / Clusters
Independencia de ubicaciones físicas
Precio por consumo
Delivery inmediato / Auto-provisioning
Reliability (“Confianza”) = Redundancia + Disponibilidad
ServiceLevelAgreements (“SLA”)</li></li></ul><li>Quées Cloud Computing?<br /><ul><li> Por qué ahora?... por la intersecció...
Quées Cloud Computing?<br /><ul><li> Conceptos tradicionales:</li></ul>Empresa “A”<br />Red Pública<br />No pertenece a ni...
Quées Cloud Computing?<br /><ul><li> Conceptos de infraestructura “Cloud Computing”:</li></ul>Empresa “A”<br />Empresa “B”...
Quées Cloud Computing?<br /><ul><li> Conceptos de infraestructura “Cloud Computing”:</li></ul>Public Cloud<br />Empresa “A...
Cloud Computing en la actualidad<br /><ul><li> Fuente:
F5 Networks: Cloud Computing Survey: June - July 2009
 Resultados:
Public Cloud:
51%: actualmente utilizándolo.
18%: en implementación.
Principal interés: Eficiencia (77%)
Private Cloud:
45%: actualmente utilizándolo.
22%: en implementación.
Principal interés: Reducción de costos (63%)</li></ul>69% de adopción<br />67% de adopción<br />
© 2009 – Global Crossing<br />MODELOS DE Servicio<br />
Modelos de Servicio<br /><ul><li> Los tres modelos de servicio más consolidados son:
 Aparecen también otros conceptos, como evolución o mezcla de los anteriores:
DaaS: Data as a Service
Upcoming SlideShare
Loading in...5
×

Seguridad para Cloud Computing

4,769

Published on

¿Cielos despejados o alerta meteorológica para los negocios?

Published in: Technology, Business
1 Comment
12 Likes
Statistics
Notes
No Downloads
Views
Total Views
4,769
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
1
Likes
12
Embeds 0
No embeds

No notes for slide

Transcript of "Seguridad para Cloud Computing"

  1. 1. Cloud Computing:¿Cielos despejados o alerta meteorológica para los negocios?<br />Gabriel Marcos<br />Product Manager – Datacenter, Security & Outsourcing<br /> Global Crossing Latin America<br />
  2. 2. Agenda<br /><ul><li>Quées Cloud Computing?
  3. 3. Public Cloud
  4. 4. Private Cloud
  5. 5. Modelos de Servicio
  6. 6. IaaS
  7. 7. PaaS
  8. 8. SaaS
  9. 9. Seguridad en lasnubes
  10. 10. Gestión del Riesgo
  11. 11. Desafíos
  12. 12. Conclusiones</li></li></ul><li>© 2009 – Global Crossing<br />Qué es cloudcomputing?<br />
  13. 13. Quées Cloud Computing?<br /><ul><li> Es un nuevo modelo de servicios, no un nuevo servicio.
  14. 14. No existe un standard que lo defina. Las características son:
  15. 15. Escalabilidad sobre demanda
  16. 16. Infraestructura compartida (“multi-tenant”) :
  17. 17. Virtualización / Grid Computing / Clusters
  18. 18. Independencia de ubicaciones físicas
  19. 19. Precio por consumo
  20. 20. Delivery inmediato / Auto-provisioning
  21. 21. Reliability (“Confianza”) = Redundancia + Disponibilidad
  22. 22. ServiceLevelAgreements (“SLA”)</li></li></ul><li>Quées Cloud Computing?<br /><ul><li> Por qué ahora?... por la intersección de distintos factores:</li></ul>Evolución de la conectividad a Internet<br />Infraestructura de Data Centers<br />Menor <br />Time-to-Market<br />Tecnologías de optimización de infraestructura<br />Necesidades del Negocio<br />Herramientas de Gestión y Monitoreo<br />Reducción de costos<br />Modelos de Outsourcing y Servicios en IT<br />
  23. 23. Quées Cloud Computing?<br /><ul><li> Conceptos tradicionales:</li></ul>Empresa “A”<br />Red Pública<br />No pertenece a ninguna empresa<br />Empresa “B”<br />Internet<br />Red Privada<br />Empresa “C”<br />Pertenece a una empresa<br />
  24. 24. Quées Cloud Computing?<br /><ul><li> Conceptos de infraestructura “Cloud Computing”:</li></ul>Empresa “A”<br />Empresa “B”<br />Internet<br />Private Cloud<br />Grupo de usuarios conocido<br />Empresa “C”<br />“salesforce.com”<br />
  25. 25. Quées Cloud Computing?<br /><ul><li> Conceptos de infraestructura “Cloud Computing”:</li></ul>Public Cloud<br />Empresa “A”<br />Grupo de usuarios desconocido<br />“gmail.com”<br />Empresa “B”<br />Internet<br />Private Cloud<br />Grupo de usuarios conocido<br />Empresa “C”<br />“salesforce.com”<br />
  26. 26. Cloud Computing en la actualidad<br /><ul><li> Fuente:
  27. 27. F5 Networks: Cloud Computing Survey: June - July 2009
  28. 28. Resultados:
  29. 29. Public Cloud:
  30. 30. 51%: actualmente utilizándolo.
  31. 31. 18%: en implementación.
  32. 32. Principal interés: Eficiencia (77%)
  33. 33. Private Cloud:
  34. 34. 45%: actualmente utilizándolo.
  35. 35. 22%: en implementación.
  36. 36. Principal interés: Reducción de costos (63%)</li></ul>69% de adopción<br />67% de adopción<br />
  37. 37. © 2009 – Global Crossing<br />MODELOS DE Servicio<br />
  38. 38. Modelos de Servicio<br /><ul><li> Los tres modelos de servicio más consolidados son:
  39. 39. Aparecen también otros conceptos, como evolución o mezcla de los anteriores:
  40. 40. DaaS: Data as a Service
  41. 41. IPMaaS: Identity & Policy Management as a Service
  42. 42. NaaS: Network as a Service</li></ul>SaaS<br />Software <br />as a Service<br />PaaS<br />Platform <br />as a Service<br />IaaS<br />Infrastructure as a Service<br />
  43. 43. Modelos de ServicioIaaS: Infrastructure as a Service<br /><ul><li>Infraestructura standard: bloques configurables pre-diseñados
  44. 44. $0 CAPEX: sin infraestructura propia
  45. 45. Salaries&Wages: sin recursos humanos para administrar la infraestructura, sí para las aplicaciones, desarrollo y soporte
  46. 46. Se paga por el uso de la infraestructura: CPU, Memoria, Disco, Backup, Monitoreo, Seguridad, etc.
  47. 47. Ejemplos:
  48. 48. Virtual Hosting (www.globalcrossing.com)
  49. 49. GoGrid
  50. 50. CloudWorks</li></ul>Cloud Enabler<br />
  51. 51. Modelos de ServicioPaaS: Platform as a Service<br /><ul><li>$0 CAPEX: sin infraestructura propia
  52. 52. $0 OPEX: sin licencias de software de base
  53. 53. Salaries&Wages: sin recursos humanos para administrar la infraestructura y las aplicaciones, sí para el desarrollo y el soporte
  54. 54. Se paga por el uso de la plataforma: requerimientos de hardware y software.
  55. 55. Ejemplos:
  56. 56. Force.com
  57. 57. Windows Azure</li></ul>Cloud Enabler<br />
  58. 58. Modelos de ServicioSaaS: Software as a Service<br /><ul><li>Funcionalidad standard: sin desarrollo
  59. 59. $0 CAPEX: sin infraestructura propia
  60. 60. $0 OPEX: sin licencias
  61. 61. $0 Salaries&Wages: sin recursos humanos, excepto para el soporte
  62. 62. “Pay as you go”: se paga por el uso del software (cantidad de usuarios, transacciones)
  63. 63. Ejemplos:
  64. 64. Salesforce.com
  65. 65. Microsoft Live Meeting</li></ul>Cloud Provider<br />
  66. 66. Modelos de ServicioResumen<br />Proveedor<br />Proveedor<br />Proveedor<br />Cliente<br />Cliente<br />Cliente<br />Proveedor<br />Cliente<br />Proveedor<br />Cliente<br />Hard. & Soft.<br />Middleware<br />Desarrollo<br />Servicio<br />Conectividad<br />Protocolos<br />Delivery<br />Soporte<br />SaaS: Software as a Service<br />Proveedor<br />Cliente<br />PaaS: Platform as a Service<br />Proveedor<br />Cliente<br />IaaS: Infrastructure as a Service<br />Proveedor<br />Cliente<br />
  67. 67. © 2009 – Global Crossing<br />SEGURIDAD EN LAS NUBES<br />
  68. 68. Seguridad en las nubes<br /><ul><li> Desde el punto de vista del cliente, ¿qué podría pasar?…
  69. 69. No conocemos los procesos de gestión del proveedor
  70. 70. No tenemos acceso a la infraestructura
  71. 71. No podemos auditar el código
  72. 72. No analizamos logs de autenticación / autorización
  73. 73. No estamos monitoreando ningún componente de base
  74. 74. No conocemos a todos los usuarios
  75. 75. Resumiendo:
  76. 76. Necesitamos nuevos procesos de Gestión del Riesgo para servicios basados en Cloud Computing</li></li></ul><li>Seguridad en las nubesGestión del Riesgo<br /><ul><li>Modelotradicional:</li></ul>Identificar activos<br />Identificar Amenazas<br />Identificar Vulnerabilidades<br />Medir riesgo<br />Implementar controles<br />
  77. 77. Seguridad en las nubes Gestión del Riesgo<br /><ul><li>Modelotradicional:
  78. 78. Cloud Computing:</li></ul>Identificar activos<br />Los activos no son conocidos, <br />solamente las interfases<br />Identificar Amenazas<br />Identificar Vulnerabilidades<br />Medir riesgo<br />Implementar controles<br />
  79. 79. Seguridad en las nubes Gestión del Riesgo<br /><ul><li>Modelotradicional:
  80. 80. Cloud Computing:</li></ul>Los activos no son conocidos,<br />solamente las interfaces<br />Identificar activos<br />Identificar Amenazas<br />No se conocen ni se tiene acceso a la infraestructura ni a las ubicaciones físicas<br />Identificar Vulnerabilidades<br />Medir riesgo<br />Implementar controles<br />
  81. 81. Seguridad en las nubes Gestión del Riesgo<br /><ul><li>Modelotradicional:
  82. 82. Cloud Computing:</li></ul>Identificar activos<br />Los activos no son conocidos,<br />solamente las interfaces<br />No se conocen ni se tiene acceso a la infraestructura ni a las ubicaciones físicas<br />Identificar Amenazas<br />Identificar Vulnerabilidades<br />Solamente a través de las interfases, tanto las públicas como las privadas<br />Medir riesgo<br />Implementar controles<br />
  83. 83. Seguridad en las nubes Gestión del Riesgo<br /><ul><li> Modelo tradicional:
  84. 84. Cloud Computing:</li></ul>Identificar activos<br />Los activos no son conocidos,<br />solamente las interfaces<br />Identificar Amenazas<br />No se conocen ni se tiene acceso a la infraestructura ni a las ubicaciones físicas<br />Identificar Vulnerabilidades<br />Solamente a través de las interfases, tanto las públicas como las privadas<br />Medir riesgo<br />Desde el punto de vista del negocio, analizando el impacto de cada servicio<br />Implementar controles<br />
  85. 85. Seguridad en las nubesGestión del Riesgo<br /><ul><li> Modelo tradicional:
  86. 86. Cloud Computing:</li></ul>Identificar activos<br />Los activos no son conocidos,<br />solamente las interfaces<br />Identificar Amenazas<br />No se conocen ni se tiene acceso a la infraestructura ni a las ubicaciones físicas<br />Identificar Vulnerabilidades<br />Solamente a través de las interfases, tanto las públicas como las privadas<br />Medir riesgo<br />Desde el punto de vista del negocio, analizando el impacto de cada servicio<br />Implementar controles<br />Necesidad de nuevas metodologías…<br />
  87. 87. © 2009 – Global Crossing<br />DESAFIOS<br />
  88. 88. Desafíos<br /><ul><li> Desafíos de seguridad asociados con Cloud Computing:
  89. 89. (1) Amenazas y vulnerabilidades
  90. 90. (2) Aspectos regulatorios
  91. 91. (3) Confidencialidad
  92. 92. (4) Integridad
  93. 93. (5) Disponibilidad
  94. 94. (6) Evidencias de auditoria</li></ul>Necesidad de delegar en el proveedor parte del proceso de Gestión del Riesgo.<br />
  95. 95. Recomendaciones(1) Amenazas y vulnerabilidades<br />Cliente<br />Proveedor<br /><ul><li> IaaS: evaluación recurrente de vulnerabilidades (Auditoria Externa).
  96. 96. PaaS: solicitud de registros de Auditoria Interna, Certificaciones, etc.
  97. 97. SaaS: evaluación recurrente de vulnerabilidades en las interfases.
  98. 98. Evaluación independiente de vulnerabilidades (Auditoria Interna): infraestructura, código fuente, interfases.
  99. 99. Implementación de metodologías de mejora continua y gestión del riesgo (ISO 27000, BS 25999, ISO 20000).</li></li></ul><li>Desafíos<br /><ul><li> Desafíos de seguridad asociados con Cloud Computing:
  100. 100. (1) Amenazas y vulnerabilidades
  101. 101. (2) Aspectos regulatorios
  102. 102. (3) Confidencialidad
  103. 103. (4) Integridad
  104. 104. (5) Disponibilidad
  105. 105. (6) Evidencias de auditoria</li></ul>Leyes de protección de datos, locales a cada país, regulan los servicios de IT y compiten con el concepto de “ubicuidad”.<br />
  106. 106. Recomendaciones(2) Aspectos regulatorios<br />Cliente<br />Proveedor<br /><ul><li>IaaS: ownership de los Datos y gestión de la información en cada sitio.
  107. 107. PaaS: independencia de la ubicación en el desarrollo, pero no en el procesamiento.
  108. 108. SaaS: integración del modelo de software del proveedor con la infraestructura local propia del cliente.
  109. 109. Interconectividad para soportar múltiples orígenes de datos.
  110. 110. Locación física de activos en cumplimiento con regulaciones locales.
  111. 111. Integración de los departamentos de legales durante todo el ciclo del contrato.</li></li></ul><li>Desafíos<br /><ul><li> Desafíos de seguridad asociados con Cloud Computing:
  112. 112. (1) Amenazas y vulnerabilidades
  113. 113. (2) Aspectos regulatorios
  114. 114. (3) Confidencialidad
  115. 115. (4) Integridad
  116. 116. (5) Disponibilidad
  117. 117. (6) Evidencias de auditoria</li></ul>¿Quién tiene acceso a la información, y cómo se controla?<br />
  118. 118. Recomendaciones(3) Confidencialidad<br />Cliente<br />Proveedor<br /><ul><li>IaaS: preferencia de proveedores “dueños” ante “integradores”.
  119. 119. PaaS: mitigación de los riesgos a través de NDAs (acuerdos de confidencialidad) y seguros.
  120. 120. SaaS: utilización del modelo de servicios para aplicaciones no críticas.
  121. 121. Certificación de normas internacionales para aumentar el nivel de control y confianza.
  122. 122. Gestión integral del riesgo, incluyendo a clientes, empleados y terceros.
  123. 123. Soporte para APIs y protocolos de encripción propietarios del cliente.</li></li></ul><li>Desafíos<br /><ul><li> Desafíos de seguridad asociados con Cloud Computing:
  124. 124. (1) Amenazas y vulnerabilidades
  125. 125. (2) Aspectos regulatorios
  126. 126. (3) Confidencialidad
  127. 127. (4) Integridad
  128. 128. (5) Disponibilidad
  129. 129. (6) Evidencias de auditoria</li></ul>¿Qué procesos y personas, desconocidas para el cliente, pueden modificar la información, y qué registros quedan?<br />
  130. 130. Recomendaciones(4) Integridad<br />Cliente<br />Proveedor<br /><ul><li>IaaS: control del acceso a la información en cada sitio.
  131. 131. PaaS: separación de ambientes y pruebas de concepto.
  132. 132. SaaS: análisis detallado de la integración de los servicios con la información crítica.
  133. 133. Implementación de herramientas centralizadas y mejores prácticas para control de acceso.
  134. 134. Reportes a medida para trazabilidad de accesos.
  135. 135. Diseño de infraestructura de almacenamiento y procesamiento para optimizar las técnicas de forensics.</li></li></ul><li>Desafíos<br /><ul><li> Desafíos de seguridad asociados con Cloud Computing:
  136. 136. (1) Amenazas y vulnerabilidades
  137. 137. (2) Aspectos regulatorios
  138. 138. (3) Confidencialidad
  139. 139. (4) Integridad
  140. 140. (5) Disponibilidad
  141. 141. (6) Evidencias de auditoria</li></ul>Infraestructura siempre disponible, entre muchas locaciones físicas.<br />
  142. 142. Recomendaciones(5) Disponibilidad<br />Cliente<br />Proveedor<br /><ul><li>IaaS: redundancia en la arquitectura base, y garantía de escalabilidad en los vínculos públicos y privados.
  143. 143. PaaS: garantía de escalabilidad del software y del middleware.
  144. 144. SaaS: SLA con los principales parámetros de disponibilidad necesarios para el negocio.
  145. 145. Concepto “N+1” aplicado a todos los componentes de la arquitectura.
  146. 146. Formalización de las métricas de Disponibilidad en los SLAs.
  147. 147. Alto nivel de estandarización de procesos e infraestructura entre todas las locaciones físicas.</li></li></ul><li>Desafíos<br /><ul><li> Desafíos de seguridad asociados con Cloud Computing:
  148. 148. (1) Amenazas y vulnerabilidades
  149. 149. (2) Aspectos regulatorios
  150. 150. (3) Confidencialidad
  151. 151. (4) Integridad
  152. 152. (5) Disponibilidad
  153. 153. (6) Evidencias de auditoria</li></ul>¿Cómo almacenar, filtrar y distribuir el gran volumen de información necesario para el cumplimiento regulatorio, de una infraestructura que no es propia?<br />
  154. 154. Recomendaciones(6) Evidencias de auditoria<br />Cliente<br />Proveedor<br /><ul><li>IaaS: almacenamiento local de la información, y acceso distribuido.
  155. 155. PaaS: separación de ambientes de análisis y recolección de evidencias con la prestación del servicio.
  156. 156. SaaS: planificación de auditorias externas periódicas pautadas en el SLA.
  157. 157. Análisis detallado de la información necesaria para cada cliente, documentado en los SLA.
  158. 158. Dimensionamiento de la capacidad necesaria, bajo el mismo modelo de servicio.
  159. 159. Herramientas específicas para análisis y correlación de eventos de seguridad.</li></li></ul><li>© 2009 – Global Crossing<br />CONCLUSIONES<br />
  160. 160. Cloud Computing a futuro<br /><ul><li> Fuente:
  161. 161. Yankee Group Anywhere Enterprise: 2009 U.S. Transforming Infrastructure and Transforming Applications Survey
  162. 162. Resultados:
  163. 163. Principales motivaciones para usar SaaS:
  164. 164. 43%: ahorro de costos en infraestructura.
  165. 165. 29%: manejo eficiente de capacidades.
  166. 166. 23%: DisasterRecovery / Business Continuity.
  167. 167. Asignación del 50% del presupuesto en Cloud Computing:
  168. 168. Próximos 12 meses: 2% de Grandes Empresas / 7% PYMES
  169. 169. Próximos 24 meses: 9% de Grandes Empresas / 17% PYMES</li></li></ul><li>Seguridad de la InformaciónparaCloud Computing<br /><ul><li> Oportunidades:
  170. 170. Mayor foco en el negocio de la organización (“Core Business”)
  171. 171. Generalmente, el proveedoresmásseguroque los clientes
  172. 172. Disminución del riesgo a través de SLAs “másrobustos”
  173. 173. Reducción de costoscomprobada
  174. 174. Amenazas:
  175. 175. Eliminación de la información: pocas garantías…
  176. 176. Inversión en certificaciones: riesgo de pérdida de valor
  177. 177. Governance: riesgo de ceder demasiado (“exceso de confianza”)
  178. 178. Time-to-market vs. seguridad: ¿qué tan seguro es el código?</li></li></ul><li>© 2009 – Global Crossing<br />¡Muchas GRACIAS!<br />¿Quién TIENE LA <br />PRIMERA PREGUNTA?<br />gabriel.marcos@globalcrossing.com<br />http://latamnews.globalcrossing.com/<br />http://blogs.globalcrossing.com/<br />Datos de contacto:<br />

×