Seguridad para Cloud Computing

Cloud Computing:¿Cielos despejados o alerta meteorológica para los negocios?
Gabriel Marcos
Product Manager – Datacenter, Security & Outsourcing
Global Crossing Latin America

Agenda
Quées Cloud Computing?
Public Cloud
Private Cloud
Modelos de Servicio
IaaS
PaaS
SaaS
Seguridad en lasnubes
Gestión del Riesgo
Desafíos
Conclusiones

© 2009 – Global Crossing
Qué es cloudcomputing?

Es un nuevo modelo de servicios, no un nuevo servicio.
No existe un standard que lo defina. Las características son:
Escalabilidad sobre demanda
Infraestructura compartida (“multi-tenant”) :
Virtualización / Grid Computing / Clusters
Independencia de ubicaciones físicas
Precio por consumo
Delivery inmediato / Auto-provisioning
Reliability (“Confianza”) = Redundancia + Disponibilidad
ServiceLevelAgreements (“SLA”)

Por qué ahora?... por la intersección de distintos factores:
Evolución de la conectividad a Internet
Infraestructura de Data Centers
Menor
Time-to-Market
Tecnologías de optimización de infraestructura
Necesidades del Negocio
Herramientas de Gestión y Monitoreo
Reducción de costos
Modelos de Outsourcing y Servicios en IT

Conceptos tradicionales:
Empresa “A”
Red Pública
No pertenece a ninguna empresa
Empresa “B”
Internet
Red Privada
Empresa “C”
Pertenece a una empresa

Conceptos de infraestructura “Cloud Computing”:
Empresa “A”
Empresa “B”
Internet
Private Cloud
Grupo de usuarios conocido
Empresa “C”
“salesforce.com”

Conceptos de infraestructura “Cloud Computing”:
Public Cloud
Empresa “A”
Grupo de usuarios desconocido
“gmail.com”
Empresa “B”
Internet
Private Cloud
Grupo de usuarios conocido
Empresa “C”
“salesforce.com”

Cloud Computing en la actualidad
Fuente:
F5 Networks: Cloud Computing Survey: June - July 2009
Resultados:
Public Cloud:
51%: actualmente utilizándolo.
18%: en implementación.
Principal interés: Eficiencia (77%)
Private Cloud:
45%: actualmente utilizándolo.
22%: en implementación.
Principal interés: Reducción de costos (63%)
69% de adopción
67% de adopción

MODELOS DE Servicio

Modelos de Servicio
Los tres modelos de servicio más consolidados son:
Aparecen también otros conceptos, como evolución o mezcla de los anteriores:
DaaS: Data as a Service
IPMaaS: Identity & Policy Management as a Service
NaaS: Network as a Service
SaaS
Software
as a Service
PaaS
Platform
as a Service
IaaS
Infrastructure as a Service

Modelos de ServicioIaaS: Infrastructure as a Service
Infraestructura standard: bloques configurables pre-diseñados
$0 CAPEX: sin infraestructura propia
Salaries&Wages: sin recursos humanos para administrar la infraestructura, sí para las aplicaciones, desarrollo y soporte
Se paga por el uso de la infraestructura: CPU, Memoria, Disco, Backup, Monitoreo, Seguridad, etc.
Ejemplos:
Virtual Hosting (www.globalcrossing.com)
GoGrid
CloudWorks
Cloud Enabler

Modelos de ServicioPaaS: Platform as a Service
$0 OPEX: sin licencias de software de base
Salaries&Wages: sin recursos humanos para administrar la infraestructura y las aplicaciones, sí para el desarrollo y el soporte
Se paga por el uso de la plataforma: requerimientos de hardware y software.
Ejemplos:
Force.com
Windows Azure
Cloud Enabler

Modelos de ServicioSaaS: Software as a Service
Funcionalidad standard: sin desarrollo
$0 OPEX: sin licencias
$0 Salaries&Wages: sin recursos humanos, excepto para el soporte
“Pay as you go”: se paga por el uso del software (cantidad de usuarios, transacciones)
Ejemplos:
Salesforce.com
Microsoft Live Meeting
Cloud Provider

Modelos de ServicioResumen
Proveedor
Proveedor
Proveedor
Cliente
Cliente
Cliente
Proveedor
Cliente
Proveedor
Cliente
Hard. & Soft.
Middleware
Desarrollo
Servicio
Conectividad
Protocolos
Delivery
Soporte
SaaS: Software as a Service
Proveedor
Cliente
PaaS: Platform as a Service
Proveedor
Cliente
IaaS: Infrastructure as a Service
Proveedor
Cliente

SEGURIDAD EN LAS NUBES

Seguridad en las nubes
Desde el punto de vista del cliente, ¿qué podría pasar?…
No conocemos los procesos de gestión del proveedor
No tenemos acceso a la infraestructura
No podemos auditar el código
No analizamos logs de autenticación / autorización
No estamos monitoreando ningún componente de base
No conocemos a todos los usuarios
Resumiendo:
Necesitamos nuevos procesos de Gestión del Riesgo para servicios basados en Cloud Computing

Seguridad en las nubesGestión del Riesgo
Modelotradicional:
Identificar activos
Identificar Amenazas
Identificar Vulnerabilidades
Medir riesgo
Implementar controles

Seguridad en las nubes Gestión del Riesgo
Modelotradicional:
Cloud Computing:
Identificar activos
Los activos no son conocidos,
solamente las interfases
Medir riesgo

Modelotradicional:
Cloud Computing:
solamente las interfaces
Identificar activos
No se conocen ni se tiene acceso a la infraestructura ni a las ubicaciones físicas
Medir riesgo

Modelotradicional:
Cloud Computing:
Identificar activos
Solamente a través de las interfases, tanto las públicas como las privadas
Medir riesgo

Modelo tradicional:
Cloud Computing:
Identificar activos
Medir riesgo
Desde el punto de vista del negocio, analizando el impacto de cada servicio

Seguridad en las nubesGestión del Riesgo
Modelo tradicional:
Cloud Computing:
Identificar activos
Medir riesgo
Desde el punto de vista del negocio, analizando el impacto de cada servicio
Necesidad de nuevas metodologías…

DESAFIOS

Desafíos
Desafíos de seguridad asociados con Cloud Computing:
(1) Amenazas y vulnerabilidades
(2) Aspectos regulatorios
(3) Confidencialidad
(4) Integridad
(5) Disponibilidad
(6) Evidencias de auditoria
Necesidad de delegar en el proveedor parte del proceso de Gestión del Riesgo.

Recomendaciones(1) Amenazas y vulnerabilidades
Cliente
Proveedor
IaaS: evaluación recurrente de vulnerabilidades (Auditoria Externa).
PaaS: solicitud de registros de Auditoria Interna, Certificaciones, etc.
SaaS: evaluación recurrente de vulnerabilidades en las interfases.
Evaluación independiente de vulnerabilidades (Auditoria Interna): infraestructura, código fuente, interfases.
Implementación de metodologías de mejora continua y gestión del riesgo (ISO 27000, BS 25999, ISO 20000).

Desafíos
(4) Integridad
(5) Disponibilidad
Leyes de protección de datos, locales a cada país, regulan los servicios de IT y compiten con el concepto de “ubicuidad”.

Recomendaciones(2) Aspectos regulatorios
Cliente
Proveedor
IaaS: ownership de los Datos y gestión de la información en cada sitio.
PaaS: independencia de la ubicación en el desarrollo, pero no en el procesamiento.
SaaS: integración del modelo de software del proveedor con la infraestructura local propia del cliente.
Interconectividad para soportar múltiples orígenes de datos.
Locación física de activos en cumplimiento con regulaciones locales.
Integración de los departamentos de legales durante todo el ciclo del contrato.

Desafíos
(4) Integridad
(5) Disponibilidad
¿Quién tiene acceso a la información, y cómo se controla?

Recomendaciones(3) Confidencialidad
Cliente
Proveedor
IaaS: preferencia de proveedores “dueños” ante “integradores”.
PaaS: mitigación de los riesgos a través de NDAs (acuerdos de confidencialidad) y seguros.
SaaS: utilización del modelo de servicios para aplicaciones no críticas.
Certificación de normas internacionales para aumentar el nivel de control y confianza.
Gestión integral del riesgo, incluyendo a clientes, empleados y terceros.
Soporte para APIs y protocolos de encripción propietarios del cliente.

Desafíos
(4) Integridad
(5) Disponibilidad
¿Qué procesos y personas, desconocidas para el cliente, pueden modificar la información, y qué registros quedan?

Recomendaciones(4) Integridad
Cliente
Proveedor
IaaS: control del acceso a la información en cada sitio.
PaaS: separación de ambientes y pruebas de concepto.
SaaS: análisis detallado de la integración de los servicios con la información crítica.
Implementación de herramientas centralizadas y mejores prácticas para control de acceso.
Reportes a medida para trazabilidad de accesos.
Diseño de infraestructura de almacenamiento y procesamiento para optimizar las técnicas de forensics.

Desafíos
(4) Integridad
(5) Disponibilidad
Infraestructura siempre disponible, entre muchas locaciones físicas.

Recomendaciones(5) Disponibilidad
Cliente
Proveedor
IaaS: redundancia en la arquitectura base, y garantía de escalabilidad en los vínculos públicos y privados.
PaaS: garantía de escalabilidad del software y del middleware.
SaaS: SLA con los principales parámetros de disponibilidad necesarios para el negocio.
Concepto “N+1” aplicado a todos los componentes de la arquitectura.
Formalización de las métricas de Disponibilidad en los SLAs.
Alto nivel de estandarización de procesos e infraestructura entre todas las locaciones físicas.

Desafíos
(4) Integridad
(5) Disponibilidad
¿Cómo almacenar, filtrar y distribuir el gran volumen de información necesario para el cumplimiento regulatorio, de una infraestructura que no es propia?

Recomendaciones(6) Evidencias de auditoria
Cliente
Proveedor
IaaS: almacenamiento local de la información, y acceso distribuido.
PaaS: separación de ambientes de análisis y recolección de evidencias con la prestación del servicio.
SaaS: planificación de auditorias externas periódicas pautadas en el SLA.
Análisis detallado de la información necesaria para cada cliente, documentado en los SLA.
Dimensionamiento de la capacidad necesaria, bajo el mismo modelo de servicio.
Herramientas específicas para análisis y correlación de eventos de seguridad.

CONCLUSIONES

Cloud Computing a futuro
Fuente:
Yankee Group Anywhere Enterprise: 2009 U.S. Transforming Infrastructure and Transforming Applications Survey
Resultados:
Principales motivaciones para usar SaaS:
43%: ahorro de costos en infraestructura.
29%: manejo eficiente de capacidades.
23%: DisasterRecovery / Business Continuity.
Asignación del 50% del presupuesto en Cloud Computing:
Próximos 12 meses: 2% de Grandes Empresas / 7% PYMES
Próximos 24 meses: 9% de Grandes Empresas / 17% PYMES

Seguridad de la InformaciónparaCloud Computing
Oportunidades:
Mayor foco en el negocio de la organización (“Core Business”)
Generalmente, el proveedoresmásseguroque los clientes
Disminución del riesgo a través de SLAs “másrobustos”
Reducción de costoscomprobada
Amenazas:
Eliminación de la información: pocas garantías…
Inversión en certificaciones: riesgo de pérdida de valor
Governance: riesgo de ceder demasiado (“exceso de confianza”)
Time-to-market vs. seguridad: ¿qué tan seguro es el código?

¡Muchas GRACIAS!
¿Quién TIENE LA
PRIMERA PREGUNTA?
gabriel.marcos@globalcrossing.com
http://latamnews.globalcrossing.com/
http://blogs.globalcrossing.com/
Datos de contacto:

http://www.slideshare.net	38
http://b1nary0.blogspot.com	14
http://facebook.slideshare.com	3

Seguridad para Cloud Computing

by Gabriel Marcos on Nov 27, 2009

Accessibility

Categories

Tags

Upload Details

Usage Rights

3 Embeds 55

Statistics

Seguridad para Cloud Computing — Presentation Transcript