• Save
Seguridad en Cloud Computing - Segu-Info
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Seguridad en Cloud Computing - Segu-Info

on

  • 7,866 views

Descripción de servicios en Cloud Computing y principales factores referidos a la seguridad a tener en cuenta cuando se considera la migración de servicios hacia la nube

Descripción de servicios en Cloud Computing y principales factores referidos a la seguridad a tener en cuenta cuando se considera la migración de servicios hacia la nube

Statistics

Views

Total Views
7,866
Views on SlideShare
7,799
Embed Views
67

Actions

Likes
10
Downloads
65
Comments
0

8 Embeds 67

http://lanube30.blogspot.com 37
http://ingmiguel2010.blogspot.com 13
https://twitter.com 5
http://ingmiguel2010.blogspot.com.es 5
http://www.lanube30.blogspot.com 3
http://lanube30.blogspot.com.es 2
http://www.linkedin.com 1
http://lanube30.blogspot.mx 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

CC Attribution-NonCommercial-ShareAlike LicenseCC Attribution-NonCommercial-ShareAlike LicenseCC Attribution-NonCommercial-ShareAlike License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • ISO 27000 y Gobernabilidad - 06/2010 www.segu-info.com.ar

Seguridad en Cloud Computing - Segu-Info Presentation Transcript

  • 1. Seguridad en Cloud Confusingmputing Mitos y realidades Lic. Cristian Borghello CISSP – MVP www.segu-info.com.ar
  • 2. Sobre Segu-Info y Cristian Borghello Cristian Borghello, es Licenciado en Sistemas, desarrollador, Certified Information Systems Security Professional (CISSP) y Microsoft MVP Security (Most Valuable Professional). Es Director de Segu-Info y se desempeña como consultor independiente en Seguridad de la Información. Segu-Info es la comunidad más grande de habla hispana sobre Seguridad de la Información. Brinda información libre y gratuita sobre la temática desde el año 2000.
  • 3. Licencia de uso Creative Commons 2.5 Ud. puede: Copiar, distribuir, exhibir, y ejecutar la obra Hacer obras derivadas Bajo las siguientes condiciones: Atribución. Debe atribuir la obra en la forma especificada por el autor No Comercial. No puede usar esta obra con fines comerciales Compartir Obras Derivadas Igual. Si altera, transforma, o crea sobre esta obra, sólo podrá distribuir la obra derivada resultante bajo una licencia idéntica a ésta http://creativecommons.org/licenses/by-nc-sa/2.5/ar/
  • 4. En la nube nosotros confiamos ¿Qué es la nube?
  • 5. Cloud Computing (CC) Buzzword de moda Nuevo modelo o paradigma que permite ofrecer servicios a través de Internet (la nube)
  • 6. Definición formal • CC es un modelo que permite el acceso bajo demanda a un conjunto compartido de recursos informáticos configurables, de los cuales se puede disponer rápidamente con una gestión mínima de esfuerzos • Promueve la disponibilidad y se compone de distintas características, modelos de servicio e implementación Definición de Cloud Computing de NIST http://bit.ly/d6J8pk
  • 7. Servicios en la Nube
  • 8. Barómetro de ISACA • En 2010 utilizarán CC: 30% de las organizaciones en LA 25% de las organizaciones de EE.UU. 18% de las organizaciones europeas • 41% de los profesionales de LA considera que los riesgos de CC superan los beneficios • 17% opina lo contrario • 42% creen que los beneficios y los riesgos están equilibrados 2010 ISACA IT Risk/Reward Barometer - Latin America Edition http://bit.ly/aym1KF
  • 9. Ventajas para el proveedor Mayor número “Inmediatez” de servicios del servicio disponibles Servicios Ahorro en estándares y “sin tecnología reinventar la rueda” Mayor escalabilidad Mayor adaptabilidad de los servicios Unificación ofrecidos/recibidos de sistemas
  • 10. Ventajas para el cliente Servicio Simplicidad de disponible en implementación cualquier lugar Precios más Integración ya flexibles probada por la industria Mayor escalabilidad Mínima cantidad de tiempo fuera de Actualizaciones servicio automáticas
  • 11. Permite centrarse en el negocio Menos riesgos y ahorro de costes e inversión
  • 12. Arquitectura “As a Service” En la nube todo es un S e r v i c i o (SPI)
  • 13. Arquitectura “As a Service” IBM: Cloud Security Guidance http://bit.ly/bDlhrf
  • 14. Software as a Service SaaS es la capa más alta y es una aplicación que se ofrece como un servicio, que se ejecuta en la infraestructura del proveedor y es posible acceder a la aplicación desde cualquier dispositivo y un navegador
  • 15. Plataforma as a Service PaaS encapsula y abstrae un ambiente de desarrollo que contiene los lenguajes de programación y las bases de datos. Es capaz de brindar servicios a todas las fases del ciclo de desarrollo de software
  • 16. Infraestructura as a Service IaaS entrega almacenamiento, conexiones, poder de procesamiento y servicios de red generalmente virtualizados para que el cliente pueda disponer de ellos
  • 17. Tipos de nube Públicas: manejadas completamente por terceras partes. El cliente no conoce qué servicios o clientes se ejecutan en el entorno Privadas: se ejecutan en una infraestructura a demanda. El cliente controla el servidor, la red, el espacio, las aplicaciones, los servicios y los usuarios que pueden acceder Comunitarias: son compartidas por varias organizaciones con objetivos similares Híbridas: combinan los modelos anteriores y permiten configurar o escalar algunos servicios
  • 18. “Creemos que CC representa la plataforma para la próxima generación de negocios” Microsoft “Pienso que CC es una de las bases para la próxima generación de computadoras” Tim O’Reilly
  • 19. “Hay restricciones en CC en Europa. No va a matar el negocio, pero su evolución será mas lenta comparada con EE.UU.” Bob Lindsay Director de privacidad de HP “CC es una trampa destinada a obligar a la gente a adquirir sistemas propietarios, bloqueados, que costarán más conforme pase el tiempo” Richard Stallman
  • 20. ¡PUFFF! Más de lo mismo ¿No estamos siendo simplistas? ¿No olvidamos nada? ¿Son todas ventajas? Todo lo que brilla ¿es oro?
  • 21. Los servicios brindados son una caja negra y se debe “confiar” en ellos
  • 22. Seguridad en la nube (I) • La nube deja en manos del proveedor la responsabilidad del almacenamiento de datos y su control • No se consideran la legislación, las normas y las regulaciones • La cadena de provisión de servicio no es evaluada • Los tres pilares (CID) de la Seguridad de la Información pueden comprometerse
  • 23. Seguridad en la nube (II) • Existen problemas de Insiders • Sistemas compartidos por distintos clientes • Fallas “masivas” pueden dañar a múltiples clientes • Servicios compartidos son ¿vulnerabilidades compartidas? • Se conoce al proveedor por una interface • No se conocen los activos del proveedor • Riesgo del proveedor desconocido para el cliente
  • 24. Confidencialidad • Verificar dónde se alojan los datos para evitar problemas de ubicuidad legislación internacional y geolocalización • Conocer quién accede a la información almacenada • El cifrado debe realizarse en la información almacenada, en tránsito y en backup • Verificar si se retiene o se destruye la información al finalizar el contrato con el proveedor
  • 25. Ejemplos de Confidencialidad
  • 26. Integridad • Analizar quién puede acceder, modificar o eliminar información del centro de datos • Verificar si la información permanece o se elimina logica/físicamente (remanencia) • Posibilidad de que datos de distintos clientes se “mezclen” • Restore incorrecto, inconsistente o incompleto • Sistema de análisis de malware
  • 27. Ejemplo de Integridad
  • 28. Disponibilidad • Los servicios no estarán disponibles 24x7 • Los proveedores ofrecen 99.999% de disponibilidad (5,25 min./año sin servicio) • Pueden existir ataques de DDoS (Distributed Denial of Service) • El servicio es SPOF (Single Point of Failure) • Backup y restore no satisfactorio Ej: Bitbucket (servicio provisto por EC2 de Amazon) estuvo 19 horas caído en octubre 2009
  • 29. DDoS
  • 30. Ejemplos de Disponibilidad
  • 31. Virtualización • Los riesgos asociados a CID son los mismos que en sistemas físicos más los propios de la virtualización • La “mezcla” de máquinas virtuales de diferente sensibilidad representa un riesgo • Se debe analizar la seguridad por capas del proveedor
  • 32. Gestión de Riesgos • No se conocen los activos • No se conocen las amenazas • Se pueden conocer algunas vulnerabilidades (a través de la interface) • No se puede medir el riesgo • No se puede implementar controles y por lo tanto se deben fortalecer las medidas contractuales
  • 33. El modelo de Gestión de Riesgo debe cambiar Si antes no se evaluaba el Riesgo ¿Ahora lo haremos?
  • 34. Contratos • Considerar la jurisdicción • Evaluar la aplicabilidad de disposiciones nacionales e internacionales • Recolectar y revisar los requisitos legales y normativos necesarios para ambas partes • Evaluar si los términos del proveedor cumplen los requisitos del cliente • Estipular todo lo necesario en los SLA (Service Level Agreement) • Analizar el sistema de penalizaciones
  • 35. Certificaciones y Compliance • Los proveedores deberían contar con una certificación de auditoría (SAS 70) al menos • Se recomienda un SGSI y la certificación de ISO 27000 (sobre todo en servicios críticos) • Verificar certificaciones internacionales de continuidad de negocio como BS 25999 • Existen otras normas que pueden ser requeridas (NIST, SOX, PCI, FISMA, HIPAA…) • Próximamente la certificación Trusted Cloud Initiative (13 dominios de seguridad)
  • 36. Ejemplo de Certificaciones
  • 37. Conclusiones (I) • Ante la duda pensar estos servicios como externos porque son más conocidos (offshoring o outsourcing) • Evaluar los contratos de servicio • Evaluar que las políticas actuales de la empresa coincidan con el proveedor • Lograr la interacción entre legales y IT • Parte de lo ahorrado debe invertirse en examinar las capacidades del servicio de CC
  • 38. Conclusiones (II) • Lo importante no es el nombre (buzzword) sino entender la transformación (revolución) que implica el cambio • Existen servicios que por su criticidad no pueden ser trasladados a la nube • Evaluar que aún no es posible garantizar el cumplimiento normativo • Requerir herramientas de administración centralizadas
  • 39. Conclusiones (III) • Exigir el uso y aplicación de certificaciones y estándares • Se deben evaluar las decisiones de negocio por sobre las decisiones del IT • Tomar decisiones en base a la medición de riesgos previa
  • 40. No debemos permitir que el “bajo” costo y la “simplicidad” de CC no nos permita ver la tormenta en la nube Analicemos los riesgos
  • 41. Referencias • Cloud Computing en Segu-Info http://bit.ly/segu-cloud • Cloud Security Alliance (EN - ES) http://bit.ly/95LKUu - http://bit.ly/9PCnoh • Gartner: Cloud Computing Security Risks http://bit.ly/avxvor http://bit.ly/buJcMa • ENISA: Cloud Computing: benefits and risks http://bit.ly/bjlFSY • NIST: Cloud Computing http://bit.ly/d6J8pk • IBM: Cloud Security Guidance http://bit.ly/bDlhrf
  • 42. Agradecimientos A la Comunidad de Segu-Info que todos los días [me] aporta conocimiento a través de los distintos grupos de discusión
  • 43. ¡Gracias! Lic. Cristian Borghello CISSP – MVP www.segu-info.com.ar