Seguridad en
Cloud Confusingmputing
    Mitos y realidades




                  Lic. Cristian Borghello
                 ...
Sobre Segu-Info y
      Cristian Borghello
Cristian Borghello, es Licenciado en Sistemas,
desarrollador, Certified Informa...
Licencia de uso
   Creative Commons 2.5
Ud. puede:
   Copiar, distribuir, exhibir, y ejecutar la obra
   Hacer obras deriv...
En la nube nosotros confiamos



      ¿Qué es la nube?
Cloud Computing (CC)
     Buzzword de moda

    Nuevo modelo o
paradigma que permite
ofrecer servicios a través
  de Inter...
Definición formal
• CC es un modelo que permite el acceso
bajo demanda a un conjunto compartido de
recursos informáticos c...
Servicios en la Nube
Barómetro de ISACA
• En 2010 utilizarán CC:
    30% de las organizaciones en LA
    25% de las organizaciones de EE.UU.
  ...
Ventajas para el proveedor
  Mayor número           “Inmediatez”
   de servicios           del servicio
   disponibles
   ...
Ventajas para el cliente
     Servicio          Simplicidad de
  disponible en       implementación
 cualquier lugar
     ...
Permite
  centrarse en
   el negocio
Menos riesgos y
ahorro de costes
  e inversión
Arquitectura “As a Service”




   En la nube todo es un
     S e r v i c i o (SPI)
Arquitectura “As a Service”




       IBM: Cloud Security Guidance
            http://bit.ly/bDlhrf
Software as a Service
SaaS es la capa más alta y es una aplicación
que se ofrece como un servicio, que se
ejecuta en la in...
Plataforma as a Service
PaaS encapsula y abstrae un ambiente de
desarrollo que contiene los lenguajes de
programación y la...
Infraestructura as a Service
 IaaS entrega almacenamiento, conexiones,
 poder de procesamiento y servicios de red
 general...
Tipos de nube
Públicas: manejadas completamente por terceras
partes. El cliente no conoce qué servicios o
clientes se ejec...
“Creemos que CC representa la
 plataforma para la próxima
   generación de negocios”
                    Microsoft
 “Piens...
“Hay restricciones en CC en Europa. No
va a matar el negocio, pero su evolución
será mas lenta comparada con EE.UU.”
     ...
¡PUFFF! Más
       de lo mismo
¿No estamos siendo simplistas?
    ¿No olvidamos nada?
     ¿Son todas ventajas?



 Todo l...
Los servicios brindados son
 una caja negra y se debe
     “confiar” en ellos
Seguridad en la nube (I)
• La nube deja en manos del proveedor
la responsabilidad del almacenamiento
de datos y su control...
Seguridad en la nube (II)
• Existen problemas de Insiders
• Sistemas compartidos por distintos clientes
• Fallas “masivas”...
Confidencialidad
• Verificar dónde se alojan los datos para
  evitar problemas de ubicuidad legislación
  internacional y ...
Ejemplos de Confidencialidad
Integridad
• Analizar quién puede acceder, modificar o
  eliminar información del centro de datos
• Verificar si la inform...
Ejemplo de Integridad
Disponibilidad
• Los servicios no estarán disponibles 24x7
• Los proveedores ofrecen 99.999% de
  disponibilidad (5,25 min...
DDoS
Ejemplos de Disponibilidad
Virtualización
• Los riesgos asociados a CID son los mismos
  que en sistemas físicos más los propios de la
  virtualizaci...
Gestión de Riesgos
• No se conocen los activos
• No se conocen las amenazas
• Se pueden conocer algunas vulnerabilidades
 ...
El modelo de
Gestión de Riesgo
 debe cambiar
Si antes no se evaluaba
       el Riesgo
  ¿Ahora lo haremos?
Contratos
• Considerar la jurisdicción
• Evaluar la aplicabilidad de disposiciones
  nacionales e internacionales
• Recole...
Certificaciones y Compliance
  • Los proveedores deberían contar con una
    certificación de auditoría (SAS 70) al menos
...
Ejemplo de Certificaciones
Conclusiones (I)
• Ante la duda pensar estos servicios como
  externos porque son más conocidos
  (offshoring o outsourcin...
Conclusiones (II)
• Lo importante no es el nombre (buzzword)
  sino entender la transformación (revolución)
  que implica ...
Conclusiones (III)
• Exigir el uso y aplicación de certificaciones y
  estándares
• Se deben evaluar las decisiones de neg...
No debemos permitir que
    el “bajo” costo y la
 “simplicidad” de CC no
    nos permita ver la
  tormenta en la nube
 Ana...
Referencias
• Cloud Computing en Segu-Info
  http://bit.ly/segu-cloud
• Cloud Security Alliance (EN - ES)
   http://bit.ly...
Agradecimientos

 A la Comunidad de Segu-Info
que todos los días [me] aporta
 conocimiento a través de los
 distintos grup...
¡Gracias!



       Lic. Cristian Borghello
                 CISSP – MVP
         www.segu-info.com.ar
Seguridad en Cloud Computing - Segu-Info
Upcoming SlideShare
Loading in...5
×

Seguridad en Cloud Computing - Segu-Info

6,982

Published on

Descripción de servicios en Cloud Computing y principales factores referidos a la seguridad a tener en cuenta cuando se considera la migración de servicios hacia la nube

Published in: Technology
0 Comments
12 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
6,982
On Slideshare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
65
Comments
0
Likes
12
Embeds 0
No embeds

No notes for slide
  • ISO 27000 y Gobernabilidad - 06/2010 www.segu-info.com.ar
  • Seguridad en Cloud Computing - Segu-Info

    1. 1. Seguridad en Cloud Confusingmputing Mitos y realidades Lic. Cristian Borghello CISSP – MVP www.segu-info.com.ar
    2. 2. Sobre Segu-Info y Cristian Borghello Cristian Borghello, es Licenciado en Sistemas, desarrollador, Certified Information Systems Security Professional (CISSP) y Microsoft MVP Security (Most Valuable Professional). Es Director de Segu-Info y se desempeña como consultor independiente en Seguridad de la Información. Segu-Info es la comunidad más grande de habla hispana sobre Seguridad de la Información. Brinda información libre y gratuita sobre la temática desde el año 2000.
    3. 3. Licencia de uso Creative Commons 2.5 Ud. puede: Copiar, distribuir, exhibir, y ejecutar la obra Hacer obras derivadas Bajo las siguientes condiciones: Atribución. Debe atribuir la obra en la forma especificada por el autor No Comercial. No puede usar esta obra con fines comerciales Compartir Obras Derivadas Igual. Si altera, transforma, o crea sobre esta obra, sólo podrá distribuir la obra derivada resultante bajo una licencia idéntica a ésta http://creativecommons.org/licenses/by-nc-sa/2.5/ar/
    4. 4. En la nube nosotros confiamos ¿Qué es la nube?
    5. 5. Cloud Computing (CC) Buzzword de moda Nuevo modelo o paradigma que permite ofrecer servicios a través de Internet (la nube)
    6. 6. Definición formal • CC es un modelo que permite el acceso bajo demanda a un conjunto compartido de recursos informáticos configurables, de los cuales se puede disponer rápidamente con una gestión mínima de esfuerzos • Promueve la disponibilidad y se compone de distintas características, modelos de servicio e implementación Definición de Cloud Computing de NIST http://bit.ly/d6J8pk
    7. 7. Servicios en la Nube
    8. 8. Barómetro de ISACA • En 2010 utilizarán CC: 30% de las organizaciones en LA 25% de las organizaciones de EE.UU. 18% de las organizaciones europeas • 41% de los profesionales de LA considera que los riesgos de CC superan los beneficios • 17% opina lo contrario • 42% creen que los beneficios y los riesgos están equilibrados 2010 ISACA IT Risk/Reward Barometer - Latin America Edition http://bit.ly/aym1KF
    9. 9. Ventajas para el proveedor Mayor número “Inmediatez” de servicios del servicio disponibles Servicios Ahorro en estándares y “sin tecnología reinventar la rueda” Mayor escalabilidad Mayor adaptabilidad de los servicios Unificación ofrecidos/recibidos de sistemas
    10. 10. Ventajas para el cliente Servicio Simplicidad de disponible en implementación cualquier lugar Precios más Integración ya flexibles probada por la industria Mayor escalabilidad Mínima cantidad de tiempo fuera de Actualizaciones servicio automáticas
    11. 11. Permite centrarse en el negocio Menos riesgos y ahorro de costes e inversión
    12. 12. Arquitectura “As a Service” En la nube todo es un S e r v i c i o (SPI)
    13. 13. Arquitectura “As a Service” IBM: Cloud Security Guidance http://bit.ly/bDlhrf
    14. 14. Software as a Service SaaS es la capa más alta y es una aplicación que se ofrece como un servicio, que se ejecuta en la infraestructura del proveedor y es posible acceder a la aplicación desde cualquier dispositivo y un navegador
    15. 15. Plataforma as a Service PaaS encapsula y abstrae un ambiente de desarrollo que contiene los lenguajes de programación y las bases de datos. Es capaz de brindar servicios a todas las fases del ciclo de desarrollo de software
    16. 16. Infraestructura as a Service IaaS entrega almacenamiento, conexiones, poder de procesamiento y servicios de red generalmente virtualizados para que el cliente pueda disponer de ellos
    17. 17. Tipos de nube Públicas: manejadas completamente por terceras partes. El cliente no conoce qué servicios o clientes se ejecutan en el entorno Privadas: se ejecutan en una infraestructura a demanda. El cliente controla el servidor, la red, el espacio, las aplicaciones, los servicios y los usuarios que pueden acceder Comunitarias: son compartidas por varias organizaciones con objetivos similares Híbridas: combinan los modelos anteriores y permiten configurar o escalar algunos servicios
    18. 18. “Creemos que CC representa la plataforma para la próxima generación de negocios” Microsoft “Pienso que CC es una de las bases para la próxima generación de computadoras” Tim O’Reilly
    19. 19. “Hay restricciones en CC en Europa. No va a matar el negocio, pero su evolución será mas lenta comparada con EE.UU.” Bob Lindsay Director de privacidad de HP “CC es una trampa destinada a obligar a la gente a adquirir sistemas propietarios, bloqueados, que costarán más conforme pase el tiempo” Richard Stallman
    20. 20. ¡PUFFF! Más de lo mismo ¿No estamos siendo simplistas? ¿No olvidamos nada? ¿Son todas ventajas? Todo lo que brilla ¿es oro?
    21. 21. Los servicios brindados son una caja negra y se debe “confiar” en ellos
    22. 22. Seguridad en la nube (I) • La nube deja en manos del proveedor la responsabilidad del almacenamiento de datos y su control • No se consideran la legislación, las normas y las regulaciones • La cadena de provisión de servicio no es evaluada • Los tres pilares (CID) de la Seguridad de la Información pueden comprometerse
    23. 23. Seguridad en la nube (II) • Existen problemas de Insiders • Sistemas compartidos por distintos clientes • Fallas “masivas” pueden dañar a múltiples clientes • Servicios compartidos son ¿vulnerabilidades compartidas? • Se conoce al proveedor por una interface • No se conocen los activos del proveedor • Riesgo del proveedor desconocido para el cliente
    24. 24. Confidencialidad • Verificar dónde se alojan los datos para evitar problemas de ubicuidad legislación internacional y geolocalización • Conocer quién accede a la información almacenada • El cifrado debe realizarse en la información almacenada, en tránsito y en backup • Verificar si se retiene o se destruye la información al finalizar el contrato con el proveedor
    25. 25. Ejemplos de Confidencialidad
    26. 26. Integridad • Analizar quién puede acceder, modificar o eliminar información del centro de datos • Verificar si la información permanece o se elimina logica/físicamente (remanencia) • Posibilidad de que datos de distintos clientes se “mezclen” • Restore incorrecto, inconsistente o incompleto • Sistema de análisis de malware
    27. 27. Ejemplo de Integridad
    28. 28. Disponibilidad • Los servicios no estarán disponibles 24x7 • Los proveedores ofrecen 99.999% de disponibilidad (5,25 min./año sin servicio) • Pueden existir ataques de DDoS (Distributed Denial of Service) • El servicio es SPOF (Single Point of Failure) • Backup y restore no satisfactorio Ej: Bitbucket (servicio provisto por EC2 de Amazon) estuvo 19 horas caído en octubre 2009
    29. 29. DDoS
    30. 30. Ejemplos de Disponibilidad
    31. 31. Virtualización • Los riesgos asociados a CID son los mismos que en sistemas físicos más los propios de la virtualización • La “mezcla” de máquinas virtuales de diferente sensibilidad representa un riesgo • Se debe analizar la seguridad por capas del proveedor
    32. 32. Gestión de Riesgos • No se conocen los activos • No se conocen las amenazas • Se pueden conocer algunas vulnerabilidades (a través de la interface) • No se puede medir el riesgo • No se puede implementar controles y por lo tanto se deben fortalecer las medidas contractuales
    33. 33. El modelo de Gestión de Riesgo debe cambiar Si antes no se evaluaba el Riesgo ¿Ahora lo haremos?
    34. 34. Contratos • Considerar la jurisdicción • Evaluar la aplicabilidad de disposiciones nacionales e internacionales • Recolectar y revisar los requisitos legales y normativos necesarios para ambas partes • Evaluar si los términos del proveedor cumplen los requisitos del cliente • Estipular todo lo necesario en los SLA (Service Level Agreement) • Analizar el sistema de penalizaciones
    35. 35. Certificaciones y Compliance • Los proveedores deberían contar con una certificación de auditoría (SAS 70) al menos • Se recomienda un SGSI y la certificación de ISO 27000 (sobre todo en servicios críticos) • Verificar certificaciones internacionales de continuidad de negocio como BS 25999 • Existen otras normas que pueden ser requeridas (NIST, SOX, PCI, FISMA, HIPAA…) • Próximamente la certificación Trusted Cloud Initiative (13 dominios de seguridad)
    36. 36. Ejemplo de Certificaciones
    37. 37. Conclusiones (I) • Ante la duda pensar estos servicios como externos porque son más conocidos (offshoring o outsourcing) • Evaluar los contratos de servicio • Evaluar que las políticas actuales de la empresa coincidan con el proveedor • Lograr la interacción entre legales y IT • Parte de lo ahorrado debe invertirse en examinar las capacidades del servicio de CC
    38. 38. Conclusiones (II) • Lo importante no es el nombre (buzzword) sino entender la transformación (revolución) que implica el cambio • Existen servicios que por su criticidad no pueden ser trasladados a la nube • Evaluar que aún no es posible garantizar el cumplimiento normativo • Requerir herramientas de administración centralizadas
    39. 39. Conclusiones (III) • Exigir el uso y aplicación de certificaciones y estándares • Se deben evaluar las decisiones de negocio por sobre las decisiones del IT • Tomar decisiones en base a la medición de riesgos previa
    40. 40. No debemos permitir que el “bajo” costo y la “simplicidad” de CC no nos permita ver la tormenta en la nube Analicemos los riesgos
    41. 41. Referencias • Cloud Computing en Segu-Info http://bit.ly/segu-cloud • Cloud Security Alliance (EN - ES) http://bit.ly/95LKUu - http://bit.ly/9PCnoh • Gartner: Cloud Computing Security Risks http://bit.ly/avxvor http://bit.ly/buJcMa • ENISA: Cloud Computing: benefits and risks http://bit.ly/bjlFSY • NIST: Cloud Computing http://bit.ly/d6J8pk • IBM: Cloud Security Guidance http://bit.ly/bDlhrf
    42. 42. Agradecimientos A la Comunidad de Segu-Info que todos los días [me] aporta conocimiento a través de los distintos grupos de discusión
    43. 43. ¡Gracias! Lic. Cristian Borghello CISSP – MVP www.segu-info.com.ar

    ×