• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Seguridad para Cloud Computing
 

Seguridad para Cloud Computing

on

  • 5,570 views

¿Cielos despejados o alerta meteorológica para los negocios?

¿Cielos despejados o alerta meteorológica para los negocios?

Statistics

Views

Total Views
5,570
Views on SlideShare
5,468
Embed Views
102

Actions

Likes
11
Downloads
0
Comments
1

4 Embeds 102

http://190.86.175.42 47
http://www.slideshare.net 38
http://b1nary0.blogspot.com 14
http://facebook.slideshare.com 3

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel

11 of 1 previous next

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
  • interesante
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Seguridad para Cloud Computing Seguridad para Cloud Computing Presentation Transcript

    • Cloud Computing:¿Cielos despejados o alerta meteorológica para los negocios?
      Gabriel Marcos
      Product Manager – Datacenter, Security & Outsourcing
      Global Crossing Latin America
    • Agenda
      • Quées Cloud Computing?
      • Public Cloud
      • Private Cloud
      • Modelos de Servicio
      • IaaS
      • PaaS
      • SaaS
      • Seguridad en lasnubes
      • Gestión del Riesgo
      • Desafíos
      • Conclusiones
    • © 2009 – Global Crossing
      Qué es cloudcomputing?
    • Quées Cloud Computing?
      • Es un nuevo modelo de servicios, no un nuevo servicio.
      • No existe un standard que lo defina. Las características son:
      • Escalabilidad sobre demanda
      • Infraestructura compartida (“multi-tenant”) :
      • Virtualización / Grid Computing / Clusters
      • Independencia de ubicaciones físicas
      • Precio por consumo
      • Delivery inmediato / Auto-provisioning
      • Reliability (“Confianza”) = Redundancia + Disponibilidad
      • ServiceLevelAgreements (“SLA”)
    • Quées Cloud Computing?
      • Por qué ahora?... por la intersección de distintos factores:
      Evolución de la conectividad a Internet
      Infraestructura de Data Centers
      Menor
      Time-to-Market
      Tecnologías de optimización de infraestructura
      Necesidades del Negocio
      Herramientas de Gestión y Monitoreo
      Reducción de costos
      Modelos de Outsourcing y Servicios en IT
    • Quées Cloud Computing?
      • Conceptos tradicionales:
      Empresa “A”
      Red Pública
      No pertenece a ninguna empresa
      Empresa “B”
      Internet
      Red Privada
      Empresa “C”
      Pertenece a una empresa
    • Quées Cloud Computing?
      • Conceptos de infraestructura “Cloud Computing”:
      Empresa “A”
      Empresa “B”
      Internet
      Private Cloud
      Grupo de usuarios conocido
      Empresa “C”
      “salesforce.com”
    • Quées Cloud Computing?
      • Conceptos de infraestructura “Cloud Computing”:
      Public Cloud
      Empresa “A”
      Grupo de usuarios desconocido
      “gmail.com”
      Empresa “B”
      Internet
      Private Cloud
      Grupo de usuarios conocido
      Empresa “C”
      “salesforce.com”
    • Cloud Computing en la actualidad
      • Fuente:
      • F5 Networks: Cloud Computing Survey: June - July 2009
      • Resultados:
      • Public Cloud:
      • 51%: actualmente utilizándolo.
      • 18%: en implementación.
      • Principal interés: Eficiencia (77%)
      • Private Cloud:
      • 45%: actualmente utilizándolo.
      • 22%: en implementación.
      • Principal interés: Reducción de costos (63%)
      69% de adopción
      67% de adopción
    • © 2009 – Global Crossing
      MODELOS DE Servicio
    • Modelos de Servicio
      • Los tres modelos de servicio más consolidados son:
      • Aparecen también otros conceptos, como evolución o mezcla de los anteriores:
      • DaaS: Data as a Service
      • IPMaaS: Identity & Policy Management as a Service
      • NaaS: Network as a Service
      SaaS
      Software
      as a Service
      PaaS
      Platform
      as a Service
      IaaS
      Infrastructure as a Service
    • Modelos de ServicioIaaS: Infrastructure as a Service
      • Infraestructura standard: bloques configurables pre-diseñados
      • $0 CAPEX: sin infraestructura propia
      • Salaries&Wages: sin recursos humanos para administrar la infraestructura, sí para las aplicaciones, desarrollo y soporte
      • Se paga por el uso de la infraestructura: CPU, Memoria, Disco, Backup, Monitoreo, Seguridad, etc.
      • Ejemplos:
      • Virtual Hosting (www.globalcrossing.com)
      • GoGrid
      • CloudWorks
      Cloud Enabler
    • Modelos de ServicioPaaS: Platform as a Service
      • $0 CAPEX: sin infraestructura propia
      • $0 OPEX: sin licencias de software de base
      • Salaries&Wages: sin recursos humanos para administrar la infraestructura y las aplicaciones, sí para el desarrollo y el soporte
      • Se paga por el uso de la plataforma: requerimientos de hardware y software.
      • Ejemplos:
      • Force.com
      • Windows Azure
      Cloud Enabler
    • Modelos de ServicioSaaS: Software as a Service
      • Funcionalidad standard: sin desarrollo
      • $0 CAPEX: sin infraestructura propia
      • $0 OPEX: sin licencias
      • $0 Salaries&Wages: sin recursos humanos, excepto para el soporte
      • “Pay as you go”: se paga por el uso del software (cantidad de usuarios, transacciones)
      • Ejemplos:
      • Salesforce.com
      • Microsoft Live Meeting
      Cloud Provider
    • Modelos de ServicioResumen
      Proveedor
      Proveedor
      Proveedor
      Cliente
      Cliente
      Cliente
      Proveedor
      Cliente
      Proveedor
      Cliente
      Hard. & Soft.
      Middleware
      Desarrollo
      Servicio
      Conectividad
      Protocolos
      Delivery
      Soporte
      SaaS: Software as a Service
      Proveedor
      Cliente
      PaaS: Platform as a Service
      Proveedor
      Cliente
      IaaS: Infrastructure as a Service
      Proveedor
      Cliente
    • © 2009 – Global Crossing
      SEGURIDAD EN LAS NUBES
    • Seguridad en las nubes
      • Desde el punto de vista del cliente, ¿qué podría pasar?…
      • No conocemos los procesos de gestión del proveedor
      • No tenemos acceso a la infraestructura
      • No podemos auditar el código
      • No analizamos logs de autenticación / autorización
      • No estamos monitoreando ningún componente de base
      • No conocemos a todos los usuarios
      • Resumiendo:
      • Necesitamos nuevos procesos de Gestión del Riesgo para servicios basados en Cloud Computing
    • Seguridad en las nubesGestión del Riesgo
      • Modelotradicional:
      Identificar activos
      Identificar Amenazas
      Identificar Vulnerabilidades
      Medir riesgo
      Implementar controles
    • Seguridad en las nubes Gestión del Riesgo
      • Modelotradicional:
      • Cloud Computing:
      Identificar activos
      Los activos no son conocidos,
      solamente las interfases
      Identificar Amenazas
      Identificar Vulnerabilidades
      Medir riesgo
      Implementar controles
    • Seguridad en las nubes Gestión del Riesgo
      • Modelotradicional:
      • Cloud Computing:
      Los activos no son conocidos,
      solamente las interfaces
      Identificar activos
      Identificar Amenazas
      No se conocen ni se tiene acceso a la infraestructura ni a las ubicaciones físicas
      Identificar Vulnerabilidades
      Medir riesgo
      Implementar controles
    • Seguridad en las nubes Gestión del Riesgo
      • Modelotradicional:
      • Cloud Computing:
      Identificar activos
      Los activos no son conocidos,
      solamente las interfaces
      No se conocen ni se tiene acceso a la infraestructura ni a las ubicaciones físicas
      Identificar Amenazas
      Identificar Vulnerabilidades
      Solamente a través de las interfases, tanto las públicas como las privadas
      Medir riesgo
      Implementar controles
    • Seguridad en las nubes Gestión del Riesgo
      • Modelo tradicional:
      • Cloud Computing:
      Identificar activos
      Los activos no son conocidos,
      solamente las interfaces
      Identificar Amenazas
      No se conocen ni se tiene acceso a la infraestructura ni a las ubicaciones físicas
      Identificar Vulnerabilidades
      Solamente a través de las interfases, tanto las públicas como las privadas
      Medir riesgo
      Desde el punto de vista del negocio, analizando el impacto de cada servicio
      Implementar controles
    • Seguridad en las nubesGestión del Riesgo
      • Modelo tradicional:
      • Cloud Computing:
      Identificar activos
      Los activos no son conocidos,
      solamente las interfaces
      Identificar Amenazas
      No se conocen ni se tiene acceso a la infraestructura ni a las ubicaciones físicas
      Identificar Vulnerabilidades
      Solamente a través de las interfases, tanto las públicas como las privadas
      Medir riesgo
      Desde el punto de vista del negocio, analizando el impacto de cada servicio
      Implementar controles
      Necesidad de nuevas metodologías…
    • © 2009 – Global Crossing
      DESAFIOS
    • Desafíos
      • Desafíos de seguridad asociados con Cloud Computing:
      • (1) Amenazas y vulnerabilidades
      • (2) Aspectos regulatorios
      • (3) Confidencialidad
      • (4) Integridad
      • (5) Disponibilidad
      • (6) Evidencias de auditoria
      Necesidad de delegar en el proveedor parte del proceso de Gestión del Riesgo.
    • Recomendaciones(1) Amenazas y vulnerabilidades
      Cliente
      Proveedor
      • IaaS: evaluación recurrente de vulnerabilidades (Auditoria Externa).
      • PaaS: solicitud de registros de Auditoria Interna, Certificaciones, etc.
      • SaaS: evaluación recurrente de vulnerabilidades en las interfases.
      • Evaluación independiente de vulnerabilidades (Auditoria Interna): infraestructura, código fuente, interfases.
      • Implementación de metodologías de mejora continua y gestión del riesgo (ISO 27000, BS 25999, ISO 20000).
    • Desafíos
      • Desafíos de seguridad asociados con Cloud Computing:
      • (1) Amenazas y vulnerabilidades
      • (2) Aspectos regulatorios
      • (3) Confidencialidad
      • (4) Integridad
      • (5) Disponibilidad
      • (6) Evidencias de auditoria
      Leyes de protección de datos, locales a cada país, regulan los servicios de IT y compiten con el concepto de “ubicuidad”.
    • Recomendaciones(2) Aspectos regulatorios
      Cliente
      Proveedor
      • IaaS: ownership de los Datos y gestión de la información en cada sitio.
      • PaaS: independencia de la ubicación en el desarrollo, pero no en el procesamiento.
      • SaaS: integración del modelo de software del proveedor con la infraestructura local propia del cliente.
      • Interconectividad para soportar múltiples orígenes de datos.
      • Locación física de activos en cumplimiento con regulaciones locales.
      • Integración de los departamentos de legales durante todo el ciclo del contrato.
    • Desafíos
      • Desafíos de seguridad asociados con Cloud Computing:
      • (1) Amenazas y vulnerabilidades
      • (2) Aspectos regulatorios
      • (3) Confidencialidad
      • (4) Integridad
      • (5) Disponibilidad
      • (6) Evidencias de auditoria
      ¿Quién tiene acceso a la información, y cómo se controla?
    • Recomendaciones(3) Confidencialidad
      Cliente
      Proveedor
      • IaaS: preferencia de proveedores “dueños” ante “integradores”.
      • PaaS: mitigación de los riesgos a través de NDAs (acuerdos de confidencialidad) y seguros.
      • SaaS: utilización del modelo de servicios para aplicaciones no críticas.
      • Certificación de normas internacionales para aumentar el nivel de control y confianza.
      • Gestión integral del riesgo, incluyendo a clientes, empleados y terceros.
      • Soporte para APIs y protocolos de encripción propietarios del cliente.
    • Desafíos
      • Desafíos de seguridad asociados con Cloud Computing:
      • (1) Amenazas y vulnerabilidades
      • (2) Aspectos regulatorios
      • (3) Confidencialidad
      • (4) Integridad
      • (5) Disponibilidad
      • (6) Evidencias de auditoria
      ¿Qué procesos y personas, desconocidas para el cliente, pueden modificar la información, y qué registros quedan?
    • Recomendaciones(4) Integridad
      Cliente
      Proveedor
      • IaaS: control del acceso a la información en cada sitio.
      • PaaS: separación de ambientes y pruebas de concepto.
      • SaaS: análisis detallado de la integración de los servicios con la información crítica.
      • Implementación de herramientas centralizadas y mejores prácticas para control de acceso.
      • Reportes a medida para trazabilidad de accesos.
      • Diseño de infraestructura de almacenamiento y procesamiento para optimizar las técnicas de forensics.
    • Desafíos
      • Desafíos de seguridad asociados con Cloud Computing:
      • (1) Amenazas y vulnerabilidades
      • (2) Aspectos regulatorios
      • (3) Confidencialidad
      • (4) Integridad
      • (5) Disponibilidad
      • (6) Evidencias de auditoria
      Infraestructura siempre disponible, entre muchas locaciones físicas.
    • Recomendaciones(5) Disponibilidad
      Cliente
      Proveedor
      • IaaS: redundancia en la arquitectura base, y garantía de escalabilidad en los vínculos públicos y privados.
      • PaaS: garantía de escalabilidad del software y del middleware.
      • SaaS: SLA con los principales parámetros de disponibilidad necesarios para el negocio.
      • Concepto “N+1” aplicado a todos los componentes de la arquitectura.
      • Formalización de las métricas de Disponibilidad en los SLAs.
      • Alto nivel de estandarización de procesos e infraestructura entre todas las locaciones físicas.
    • Desafíos
      • Desafíos de seguridad asociados con Cloud Computing:
      • (1) Amenazas y vulnerabilidades
      • (2) Aspectos regulatorios
      • (3) Confidencialidad
      • (4) Integridad
      • (5) Disponibilidad
      • (6) Evidencias de auditoria
      ¿Cómo almacenar, filtrar y distribuir el gran volumen de información necesario para el cumplimiento regulatorio, de una infraestructura que no es propia?
    • Recomendaciones(6) Evidencias de auditoria
      Cliente
      Proveedor
      • IaaS: almacenamiento local de la información, y acceso distribuido.
      • PaaS: separación de ambientes de análisis y recolección de evidencias con la prestación del servicio.
      • SaaS: planificación de auditorias externas periódicas pautadas en el SLA.
      • Análisis detallado de la información necesaria para cada cliente, documentado en los SLA.
      • Dimensionamiento de la capacidad necesaria, bajo el mismo modelo de servicio.
      • Herramientas específicas para análisis y correlación de eventos de seguridad.
    • © 2009 – Global Crossing
      CONCLUSIONES
    • Cloud Computing a futuro
      • Fuente:
      • Yankee Group Anywhere Enterprise: 2009 U.S. Transforming Infrastructure and Transforming Applications Survey
      • Resultados:
      • Principales motivaciones para usar SaaS:
      • 43%: ahorro de costos en infraestructura.
      • 29%: manejo eficiente de capacidades.
      • 23%: DisasterRecovery / Business Continuity.
      • Asignación del 50% del presupuesto en Cloud Computing:
      • Próximos 12 meses: 2% de Grandes Empresas / 7% PYMES
      • Próximos 24 meses: 9% de Grandes Empresas / 17% PYMES
    • Seguridad de la InformaciónparaCloud Computing
      • Oportunidades:
      • Mayor foco en el negocio de la organización (“Core Business”)
      • Generalmente, el proveedoresmásseguroque los clientes
      • Disminución del riesgo a través de SLAs “másrobustos”
      • Reducción de costoscomprobada
      • Amenazas:
      • Eliminación de la información: pocas garantías…
      • Inversión en certificaciones: riesgo de pérdida de valor
      • Governance: riesgo de ceder demasiado (“exceso de confianza”)
      • Time-to-market vs. seguridad: ¿qué tan seguro es el código?
    • © 2009 – Global Crossing
      ¡Muchas GRACIAS!
      ¿Quién TIENE LA
      PRIMERA PREGUNTA?
      gabriel.marcos@globalcrossing.com
      http://latamnews.globalcrossing.com/
      http://blogs.globalcrossing.com/
      Datos de contacto: