Seguridad en la Nube (cloud computing)

Seguridad en la Nube  (cloud computing)      Administración y Seguridad de Sistemas ­ 2016            Raúl Speroni   CI: 4.177.047­8  Martín Ber

2 downloads 217 Views 536KB Size

Story Transcript

Seguridad en la Nube  (cloud computing)   

 

Administración y Seguridad de Sistemas ­ 2016     

     

Raúl Speroni  

CI: 4.177.047­8 

Martín Berguer 

CI: 4.500.322­5 

Martín Steglich 

CI: 4.607.084­9 

Cristian Bauza 

CI: 4.529.320­4 

 

 

  Cloud Computing ­ Administración y Seguridad de Sistemas ­ 2016                                  ​   1/28  Facultad de Ingeniería ­ Universidad de la República 

Indice  Indice  Introducción [1]  Marco Conceptual  Definiciones de cloud computing ­ Definición [2]  Principales Características [3]  Acceso Ubicuo a los Datos  Aspectos Económicos  Escalabilidad y Flexibilidad  Deslocalización de Datos y Procesos  Dependencia de Terceros  Terminología [4]  Cloud Service Provider (CSP)  Multi­tenant  Modelos de Deployment [4]  Private cloud  Community cloud  Public cloud  Hybrid cloud  Modelos de servicio [4]  Software como Servicio (SaaS):  Plataforma como servicio (PaaS)  Infraestructura como Servicio (IaaS)  Mitos sobre seguridad en cloud computing [5]  Cloud computing es inherentemente inseguro  Existen más ataques a los proveedores de cloud computing  No es necesario ocuparse de la seguridad en entornos cloud  No hay forma de saber lo que los proveedores hacen con los datos  Buenas prácticas y experiencias en cloud computing [6]  Estado de situación  Tecnología  Personas  Procesos  Riesgos y amenazas en cloud computing [7]  Amenazas según CSA [8]  Abuso y mal uso del cloud computing  Interfaces y APIs poco seguras  Amenaza interna  Problemas derivados de las tecnologías compartidas  Pérdida o fuga de información  Secuestro de sesión o servicio    Cloud Computing ­ Administración y Seguridad de Sistemas ­ 2016                                  ​   2/28  Facultad de Ingeniería ­ Universidad de la República 

Riesgos por desconocimiento  Riesgos detectados por Gartner [9]  Accesos de usuarios con privilegios  Cumplimento normativo  Localización de los datos  Aislamiento de datos  Recuperación  Soporte investigativo  Viabilidad a largo plazo  Aspectos clave de seguridad en cloud según NIST [10]  Gobernanza  Cumplimiento  Confianza  Arquitectura  Identidad y control de acceso  Aislamiento de Software  Protección de datos  Disponibilidad  Respuesta a incidentes  Recomendaciones de seguridad según NIST  Conclusiones  Referencias 

   

 

  Cloud Computing ­ Administración y Seguridad de Sistemas ­ 2016                                  ​   3/28  Facultad de Ingeniería ­ Universidad de la República 

Introducción ​ [1]  A  medida  que  la  tecnología  avanza  en  nuestro  entorno  y  nuestras  necesidades  comienzan a incrementarse, es necesario adaptar la forma de trabajo al contexto.  Históricamente, si observamos la evolución de los sistemas, podemos ver que los datos  en  un  inicio  se  almacenaban  en  los  ordenadores  centrales  que  recolectaban  toda  la  información,  luego  comenzó  a  surgir  la arquitectura  cliente­servidor,  y  en la  actualidad  ya es una realidad el modelo ​ cloud­computing.  El  concepto  de  cloud  computing  surge  del  aprovechamiento  de  las  capacidades  generadas  por  los  avances  en  las  redes,   altas  disponibilidades  de  conectividad  a  grandes velocidades  y  gigantes centros  de  datos  de  gran  capacidad de procesamiento  y  almacenamiento,  lo  que  generó  el  ambiente  ideal  para  poder  tener  almacenada  la  información  y  nuestros  sistemas  en  estos  centros  de   datos  pudiendo  acceder  a  ella  desde cualquier parte, en cualquier momento y de manera segura.  En la  actualidad,  es  una  realidad  que la  nube se ha  convertido  en  una alternativa  para  la  infraestructura  de   los  sistemas.  Un  gran  número  de  compañías  ya  tienen  sus  sistemas  funcionando  en  la  nube,  ya  sea  total o  parcialmente,  lo  que en  principio  trae  muchos  beneficios,   por  dar  algunos  ejemplos,  desentenderse  del   cuidado de  los data  center, y en muchos casos ahorrar dinero. Pero como todo, tiene sus pro y sus contras,  uno de  los  temas  importantes  que se introduce con  la nube  es  el de  la seguridad, este  tema  es  uno  de  los  grandes  cuestionamientos  que  se  hacen  algunas  empresas  que  aún se rehúsan  a  migrar sus sistemas y datos a la nube, sobre todo cuando se trata de  empresas  que  manejan  información  sensible.  La  idea  de  este  artículo es tratar el tema  de  la  seguridad  en  la  nube  de  una manera  amplia  y  analizar  qué  tan  peligroso  puede  ser, y qué medidas hay que tomar para prevenir posibles problemas.      

 

  Cloud Computing ­ Administración y Seguridad de Sistemas ­ 2016                                  ​   4/28  Facultad de Ingeniería ­ Universidad de la República 

Marco Conceptual  En  esta  sección  presentaremos  un  breve  marco  teórico  de  los  conceptos  que  se  utilizarán  a  lo  largo  del  documento,  lo  que  permitirá  una  comprensión  más  ágil  del  mismo. 

Definiciones de cloud computing ­ Definición ​ [2]  Podemos  decir  que  el  término  cloud  computing  refiere  tanto  a  las  aplicaciones  entregadas  como  servicios  a  través  de  Internet,  como   al  el  hardware  y  software  de  sistemas (alojados en los centros de datos) que proporcionan estos servicios.   El hardware y el software del centro de datos es lo que llamaremos una "​ nube​ ".   Desde  el  punto  de  vista  del  hardware,  cloud  computing  introduce  entre  otros,  tres  nuevos aspectos que son fundamentales:  ● La ilusión de recursos informáticos infinitos, disponibles bajo demanda.  ● La  libertad  de  las empresas de comenzar poco  a  poco  y  aumentar los  recursos   de hardware a medida que aumenten sus necesidades.  ● La  capacidad  de  pagar  por  el  uso  de  los  recursos  informáticos  a  corto  plazo,  según  sea  necesario  (por  ejemplo, procesadores por hora y el  almacenamiento  por el día) y liberarlos cuando sea necesario. 

Principales Características ​ [3]  Acceso Ubicuo a los Datos  Una  de  las principales  características  de  la  nube  es  la  disponibilidad  de las datos, solo  hace falta  un dispositivo  y  una  conexión  a  internet  para tener acceso a aplicaciones en  la  nube  en cualquier momento. En  la  actualidad,  los dispositivos móviles son  una parte  importante  del  modelo  de  negocios  de  una  empresa,  los  cuales  combinados  con  los 

  Cloud Computing ­ Administración y Seguridad de Sistemas ­ 2016                                  ​   5/28  Facultad de Ingeniería ­ Universidad de la República 

dispositivos  fijos  brindan  nuevas  oportunidades  de  desarrollo  en  la  actividad  empresarial.   Aunque es importante puntualizar una desventaja, siempre será necesario tener acceso  a  internet  para  el  correcto  funcionamiento,   y   por  otra  parte,  la  performance  de  una  aplicación de escritorio es mejor que la de una aplicación web. 

Aspectos Económicos  En general desplegar un nuevo servicio en un modelo informático basado en la nube  es  más  económico  que  la  tradicional  forma,  ya  que  por  ejemplo,  no  se  necesita   una  inversión  inicial  en  un  centro  de  datos,  si  no  que  podemos  comprar  los  recursos  necesarios para un comienzo e ir escalando los mismos a medida sea necesario.  

Escalabilidad y Flexibilidad  Esto  es una clara  ventaja contra  el modelo  tradicional, en  el modelo  cloud,  es  trivial  el  poder agregar  o  quitar  recursos a una instancia de un sistema, pero también es posible  en  muchos  casos  replicar  ese  sistema,  lo  que  se  llama  escalabilidad  horizontal,  en  cambio  en  el  sistema  tradicional,  tendríamos  que  seguir  un  protocolo  para  poder  comprar componentes y a su vez  en  muchos  casos  luego  hay que bajar el sistema por  un  lapso  de  tiempo  para  agregar  los  recursos y hacer las  configuraciones  necesarias.  En  el  modelo  cloud,  los sistemas siguen funcionando  aún cuando  estamos agregando  algún  recurso.  Del  mismo  modo,  si  después  de  un  tiempo  vemos  que  el  servicio  no   necesita tanta capacidad, podemos reducir la misma sin inconvenientes. 

Deslocalización de Datos y Procesos  En  un  entorno  tradicional,  podemos  saber  en  que  servidor  estan  los  datos  o  está  corriendo  un   proceso,  en  el  entorno  cloud,  con  las  tecnologías  de  virtualización  perdemos  la  localización  de  estos,  esto,  no  significa  una  desventaja  en  sí,  ya  que  podemos decidir quién puede acceder o modificar los datos.  

  Cloud Computing ­ Administración y Seguridad de Sistemas ­ 2016                                  ​   6/28  Facultad de Ingeniería ­ Universidad de la República 

En  el  contexto   de  una  empresa  que  brinda  servicios  globales,  esto  puede  ser  muy  beneficiosos,  por  ejemplo,  se podrían  colocar los  servicios  distintos  puntos  del  planeta  y  asi  poder  mejorar localmente los tiempos de respuesta. También facilita las copias de  seguridad, no solo de los datos, si no del servidor entero.  Una  desventaja  es  que  hay  que  ver  el   marco  jurídico  correspondiente,  ya  que  en  muchos  casos,  por  ejemplo  podríamos  estar violando  alguna  norma al  transferir  datos  personales internacionalmente. 

Dependencia de Terceros  En general,  al considerar una  forma  de  trabajo con una  plataforma  basada  en la nube,  existirá 

una  empresa  tercerizada  contratada  para  brindar  los  servicios 

correspondientes.  El  principal  beneficio  de  esto,  es  que  nos  deslindamos  completamente  del  mantenimiento  de  hardware  todos  los  cuidados  relacionados,  dígase recintos especiales, personal capacitado, suministro eléctrico, conectividad, etc.  Los  proveedores  de  servicio  en  la  nube,  no  solo  brindan  servidores  virtuales,  si  no  también  acceso  a   procesos  de  copias  de  seguridad,  replicación,  escalabilidad  entre  otros,  con  lo  que  de  alguna  manera,   comparten  su  control  con  el  usuario  u  organización.  Establecer un  nivel  adecuado de transparencia en el mercado a la hora de negociar los  términos  y  condiciones  en  los  contratos  es  fundamental  para  contrarrestar  la  falta  de  control  derivada  de  la dependencia  de  terceros que muchas veces  son  intangibles,  ya  que  no  firmamos  un  contrato  escrito  bajo  las  normas  jurídicas  del  país  en  el  que  recidimos, si no que simplemente se contrata a traves de internet.   

  Cloud Computing ­ Administración y Seguridad de Sistemas ­ 2016                                  ​   7/28  Facultad de Ingeniería ­ Universidad de la República 

Terminología ​ [4]  Cloud Service Provider (CSP)  Un  proveedor   externo  que  brinda  servicios  de  hosting,  monitoreo  y  otros  servicios  a  través  de  la  computación  en  nube.  Una  sola  organización  puede  tener  múltiples  relaciones contractuales con los CSP en función de sus necesidades. 

Multi­tenant  Con  la  mayoría  de  los  CSP,  un  cliente  es  un  solo  uno  de  los  muchos  "inquilinos"  (clientes que  hacen uso de  servicios brindados  por  un CSP) que comparten recursos y  tecnologías  comunes.  El  concepto  de  multi­tenant  afecta  a  cómo  se  organizan  y  se  proporcionan  los  recursos  entre  los  clientes  del  CSP.  Por  ejemplo,  los  datos  de  un  cliente  en  la  nube  podrían  ser alojados en una única plataforma de almacenamiento de   datos  de  gran  tamaño  que  se  comparte  con  los  datos  de  múltiples  inquilinos  de  la  misma solución en la nube. 

Modelos de Deployment ​ [4]  Los  tipos  más  comunes  de  modelos  de  deployments  según  “National  Institute  of  Standards of Technology” de EEUU son: 

Private cloud  La infraestructura  de la  nube es operada únicamente  por  una  organización individual  y   administrada  por  la  organización  o  por  un  tercero;  puede  existir  dentro  o   fuera  de  la  ubicación de la organización. 

Community cloud  La  infraestructura  de la  nube es compartida  por  varias organizaciones  y  es  compatible  con una  grupo  específico  de organizaciones que tiene intereses comunes (por ejemplo,  requisitos  de  la  misión,  la  colaboración de  la industria, o de  cumplimiento).  Podría ser    Cloud Computing ­ Administración y Seguridad de Sistemas ­ 2016                                  ​   8/28  Facultad de Ingeniería ­ Universidad de la República 

gestionado  por  las  organizaciones  del  grupo  o  por un tercero  y  puede existir dentro  o  fuera de las instalaciones. 

Public cloud  La  infraestructura  de la  nube está  disponible  para  el público  en  general o  de  un  grupo  grande  de  la  industria  y  es  propiedad  de  una  organización  que  vende  servicios  en  la  nube. 

Hybrid cloud  La  infraestructura  de  nube  se  compone  de  dos  o  más  nubes  (Private,  Community  o  Public) que permanecen a  entidades únicas, pero están desarrolladas bajo un estándar  de carácter propietario, que permite portabilidad de aplicaciones y datos. 

Modelos de servicio ​ [4]  Los servicios  que ofrece  un  CSP en la  nube,  generalmente se denominan como “cloud  service delivery models”, y los más comunes son: 

Software como Servicio (SaaS):  Este  modelo  es  aplicado  cuando  el  usuario  encuentra  en  la  nube  las  herramientas  finales con las que puede implementar directamente los procesos de su empresa. 

Plataforma como servicio (PaaS)  Entornos  de  desarrollo  para  la  construcción  y  despliegue  de  aplicaciones.  El  CSP  ofrece  a  sus  clientes   alguna  herramienta  de  carácter  frecuentemente  propietario  que  facilite  la  creación  de  sistemas  de  aplicaciones,   programas,  etc.  de  modo  que  éstos  operen con infraestructura del CSP. 

Infraestructura como Servicio (IaaS)  En  ese  caso  el  proveedor  proporciona  capacidades  de  almacenamiento  y  proceso  en  bruto,  sobre  las  que  el  usuario  ha  de  construir  las  aplicaciones  que  necesita  su  empresa  sin  ningun  valor  agregado.  Se  puede decir  que  éste  el modelo  más  primitivo  de nube. 

   

Cloud Computing ­ Administración y Seguridad de Sistemas ­ 2016                                  ​   9/28  Facultad de Ingeniería ­ Universidad de la República 

En  el  siguiente  esquema  vemos  las  diferencias  en  cuanto a la  responsabilidad  y  el  control que se puede tener dependiendo del Modelo de servicio elegido: 

 

Desde  el  punto  de  vista  de  una  organización  que  quiere  tener  el  control  de  su  aplicación, en caso de utilizar:  ● Un  servidor  propietario  o  mantenido  por  la  organización,  tendrá  el  control  total  sobre  la  aplicación,  la máquina virtual donde  se  encuentre  alojada la aplicación,  el servidor y almacenamiento.  ● Un  modelo  tipo  IaaS,  tendrá  el  control  total  de  la  aplicación  sin  embargo  el  mantenimiento  de  la  máquina  virtual  está  compartido  con  el  CSP  y  no  tendrá  control  sobre  el   servidor  ni  el  almacenamiento  que  se  utilice  para  alojar  la  aplicación.  ● Un  modelo  tipo  PaaS,  tendrá  el  control  parcial  de  la  aplicación  y  la  máquina  virtual  y  en  contrapartida  el  CSP  tendrá  control  parcial  sobre  estas  dos  y  a  su  vez control total del servidor y el almacenamiento.  ● Un  modelo  tipo  SaaS,  no  tendrá  ningun  control  sobre  ninguno   de  los  mencionados  anteriormente  y  será  CSP  el  encargado  de  su  mantenimiento,  control, etc.      Cloud Computing ­ Administración y Seguridad de Sistemas ­ 2016                                  ​   10/28  Facultad de Ingeniería ­ Universidad de la República 

Mitos sobre seguridad en cloud computing ​ [5]  Cloud computing es inherentemente inseguro  Es común escuchar que los datos en data centers propios están más seguros que en la  Nube, dicha  afirmación parte  de  la  percepción de muchos técnicos, basándose  en que  un mayor  control  de  la red y de los servidores equivale a mayor seguridad de los datos.  Sin  embargo  éste   tipo  de  afirmaciones se pueden  rebatir  exponiendo  el hecho  de  que  las  grandes  empresas  proveedoras  de  este   tipo  de  servicios  frecuentemente  invierten  una  gran  cantidad  de  recursos  para  asegurar  sus  ambientes  y  lo  hacen  con  una  experiencia  técnica  y  tecnologías  difícilmente  comparables  con  los  recursos  con  los  que cuentan las pequeñas empresas enfocadas en sus negocios particulares.  Lo  anterior  es  reforzado  por  el  concepto  de  ​ economía  de  escala​ :  mientras  que  las  empresas  pequeñas  deben  abarcar  todos  los  aspectos  del  negocio  dificultando  la  especialización,  los  proveedores  de  cloud  computing  se  especializan  sólo  en  uno.  Su  negocio  y  su  escala, les  permiten  invertir  en  calidad y cantidades prohibitivas para otro  tipo de empresas. 

Existen más ataques a los proveedores de cloud computing  Según  el informe  ​ 2014 de  Alert  Logic​ ,  tanto los  proveedores  de cloud computing como  los  data  centers  privados  sufrieron  un  incremento  en  las  vulnerabilidades detectadas.  Los  proveedores  cloud  tuvieron  un  incremento  levemente  mayor  que  los  datacenters  privados pero éstos demostraron ser más susceptibles.  Expertos  concluyen  que  los  riesgos  en  internet  son  iguales  para  ambos  tipos  de  infraestructuras, siempre que  se  utilicen  los  mecanismos  de  prevención  y detección de  ataques  de  última  generación,  aspecto  que  es  favorecido  en  los proveedores cloud  a  causa de la economía de escala. 

  Cloud Computing ­ Administración y Seguridad de Sistemas ­ 2016                                  ​   11/28  Facultad de Ingeniería ­ Universidad de la República 

No es necesario ocuparse de la seguridad en entornos cloud  A  menudo  se  cree  que  como  la infraestructura  en la  nube es un servicio,  la seguridad  de  dicha  infraestructura  es  también  un  servicio  por  defecto  y por lo  tanto  los  técnicos  del cliente no deben ocuparse de ella.  Sin  embargo  la seguridad  en la  nube requiere la  misma  disciplina que la  seguridad  en  infraestructuras  privadas.  Los  servidores  clouds  son  tan  buenos  como  se  pueda  esperar,  pero  las  debilidades  vienen  de  las  políticas  o  la  falta  de éstas.  Es  necesario  delimitar  correctamente las  responsabilidades, en general todo lo referente al hardware  y  la  red  es  responsabilidad  del  proveedor,  y  todo  lo  demás  es  responsabilidad  del  cliente. 

No hay forma de saber lo que los proveedores hacen con los  datos  Al  almacenar  los  datos  en  la  nube  es  necesario  confiar  no  sólo  en  los  empleados  propios  sino  también  en  los  empleados  de  el  proveedor,  esto  se  debe  a  existe  la  posibilidad que  los proveedores examinen los datos en formas no deseadas invadiendo  así la privacidad corporativa o de los empleados.    Sin  embargo  existen  mecanismos para evitar que dicha intrusión suceda, solicitando al  proveedor  la  configuración de  logs de acceso  y  auditoría así como  en casos sensibles  verificando  la  identidad  y  antecedentes  de  las  personas  que  pudieran  tener  acceso  a  los datos.     

  Cloud Computing ­ Administración y Seguridad de Sistemas ­ 2016                                  ​   12/28  Facultad de Ingeniería ­ Universidad de la República 

Buenas prácticas y experiencias en cloud computing​  ​ [6]  Estado de situación  La adopción de la  computación en  la  nube por parte  de  organizaciones y empresas de  todo  tamaño   se  ha  incrementado  notablemente,  de  hecho  una  investigación  del  año  2012  encontró  que  el  71%  de  las  organizaciones  está  usando,  planea  usar  o  está  investigando sobre cloud computing.  Éste  incremento  en  la  adopción  de  computación  en  la  nube  así  como  del  interés  en  dicho  tipo de infraestructura se ha visto reflejado en un aumento sustancial del gasto en  infraestructura. Se  estima  que  a  nivel mundial  el mercado de infraestructura para cloud  computing  privadas  crecerá  de  más  de  12  billones  en  2013  a  22.2  billones  en  2017.  Esto  representa   un  crecimiento  anual  del 17.6%  para  el  periodo 2012­2017. El  mismo  orden de gasto se espera para el mercado del cloud computing público.  Se  espera  que  cada  vez  más  organizaciones  de  tecnología  vean  el  cloud Computing  privado  como  el  próximo  paso  lógico  luego  de  la  virtualización  de  servidores.  Los  servicios,  herramientas  de  análisis,  el  almacenamiento   para  big  data  así  como  el  software  necesario  para  construir  y  operar  infraestructura  cloud  madurará  cada  vez  más,  volviéndose  más  simples  de  implementar  y  usar.  Asimismo  una  serie  de  estándares  de  la  industria,  como  OpenStack también se  irán  imponiendo y madurando  con  el  fin  de  promover  mayor  interoperabilidad  y  portabilidad  ayudando  a  crear  una  capa de software que pueda proveer un servicio más flexible y barato. 

Tecnología  ● En  general  se  considera  una  buena  práctica  tecnológica  ​ construir  primero  infraestructura  cloud  privada   y  posteriormente  implementar  soluciones  públicas  o  híbridas​ .  Se  ha  visto  que  es  más  sencillo  para  las  organizaciones  comenzar  con  soluciones  cloud  que  les  permitan  tener  sus  datos  e    Cloud Computing ­ Administración y Seguridad de Sistemas ­ 2016                                  ​   13/28  Facultad de Ingeniería ­ Universidad de la República 

infraestructura  dentro de  la organización por razones de seguridad y comodidad,  contando  en  todo  caso  con  pequeñas  partes  del  negocio  en  soluciones  cloud  públicas  de   forma  separada.  Eventualmente  cuando  la  organización  se asienta  en  el  uso  de  éstas  nuevas  tecnologías   el  objetivo  pasa  a  ser  contar  con  única  solución cloud de tipo federada que integre todas las partes existentes.  ● También  es  recomendable  ​ virtualizar  la  infraestructura  antes  de  migrar  a  cloud​ .  Desde  un  punto  de  vista  tecnológico  el  modelo  de  cloud  Computing  comienza  con  la virtualización, de  manera de  abstraer la capa física del resto de  los  sistemas.  Dicha  virtualización  es  la base  para  ofrecer  una  solución cloud  de  Infraestructura  como  servicio.  Recién  cuando  se  completa  esa  etapa  se puede  pensar  en  ofrecer   ​ plataformas  como  servicio​ ,  esto  es  capas  superiores  que  provean  por  ejemplo  manejadores  de  bases  de  datos  para  ambientes  de  desarrollo y testeo.  ● Se debe ​ elegir cuidadosamente la plataforma de cloud computing​ , si bien es   cierto  que  los  hipervisores  de  virtualización son la  base del  cloud  computing, la  emergente  capa  de  software  a  veces  referido como “sistema operativo cloud” es  la  verdadera  plataforma  base,  y  la capa más crítica para el software. Dicha capa  se  abstraerá  de  grandes  pools  de  cómputo,  almacenamiento  y  redes  para  proveer  de  mecanismos  automáticos  para  el  manejo  de  recursos  dinámicos  a  través  de  api’s  ​ (del  inglés,  Application  Programming  Interface)  ​ disponibles  a  los   usuarios.  La elección  de  dicha  plataforma  determinará  las funcionalidades  de la  infraestructura  cloud   privada  así  como  la  posibilidad  de  interoperar  con  proveedores de cloud públicos.  ● Es  buena  idea  ​ apuntar  a  nuevas  aplicaciones,  en  fases  de  desarrollo  o  testing  para  obtener mayores ganancias y menor riesgo. En todas las etapas de  adopción  de cloud  computing;  el proceso de  decidir qué  proyectos desplegar en  la  nube  es  muy  complejo  y  varía dependiendo  de  la organización  y  la industria.  Hoy  en  día  la  mayor  parte de las aplicaciones corriendo en ambientes cloud son  nuevas  aplicaciones  que  fueron  diseñadas  con  éste  propósito.  Se ha  visto  que 

  Cloud Computing ­ Administración y Seguridad de Sistemas ­ 2016                                  ​   14/28  Facultad de Ingeniería ­ Universidad de la República 

las  nuevas  aplicaciones  se  pueden  desplegar  y  testear  más  rápidamente  en  ambientes  cloud  lo  que  acelera  el  proceso  de desarrollo, además  la  posibilidad  de  prototipado  y  pruebas  de  concepto  sin  tener  que  solicitar  recursos  de  antemano aceleran y favorecen la innovación. 

Personas  ● Con  frecuencia  el cambio  es  más  costoso  en las Personas que en la tecnología,  es  recomendable  ​ promover  nuevos  roles,  tareas  y  liderazgos  alrededor  de  cloud Computing​ . El éxito a  largo plazo de la adopción de tecnologías cloud no  sólo  requiere  competencias  técnicas  sino  una   cultura  orientada  a  los servicios.  Las  organizaciones  maduras,  por  lo  general  han  pasado  por  procesos  de  reestructura  o  reorganización  en  la  adopción  de  cloud,  con  frecuencia creando  roles  que  habiliten  nuevos  liderazgos.  Últimamente la  experiencia  y  habilidades  con  tecnologías  cloud  es  vista  como  un  requisito  para  las  áreas  de  infraestructura.  ● Es posible  que sea necesario ​ reasignar roles​ ; con la creciente automatización y  estandarización  que  trae  el  cloud  computing  las  organizaciones  por  lo   general  detectan  que  recursos  que  antes  se  dedicaban  a  tareas  manuales  y  de  mantenimiento  se  encuentran  libres.  Estos  recursos  pueden  ser  reasignados  para invertir más en innovación logrando obtener resultados más rápidamente. 

Procesos  ● Es  importante  la  ​ gestión  de  servicios  end  to  end​ .  La  administración  de  servicios  cloud  requiere  una  transición  desde  el  modelo  tradicional  a  uno  llamado  end  to  end  que  define  y  administra  las  capacidades  tecnológicas  en  términos de políticas, acuerdos de calidad y servicios (SLA’s).  ● Es  fundamental  el  ​ establecimiento  de  una  arquitectura  a nivel  de empresa.  En  las  primeras  etapas  de  la  adopción  de  soluciones  cloud  se  ve  una 

  Cloud Computing ­ Administración y Seguridad de Sistemas ­ 2016                                  ​   15/28  Facultad de Ingeniería ­ Universidad de la República 

consideración mínima  por  el impacto en la  arquitectura de  TI de  la empresa. En  etapas  posteriores  los  arquitectos  se  aseguran  de  establecer  requerimientos  y  estándares,  internos  y  externos  de  manera  de  proveer  un  servicio  de  forma  segura en toda la organización.  ● Idealmente  ​ los  entornos  cloud  deben   usar  estándares  siempre  que  sea  posible​ ,  su  uso  habilita  la  interoperabilidad  y  la  portabilidad  de  información  a  través  de  un  amplio  abanico  de  recursos  internos  y  externos.  Lamentablemente  no  existe  un  único set  de estándares  con respecto  a  las  tecnologías  cloud pero  pueden  tomarse  medidas  para  su  uso.  OpenStack  por  ejemplo  es  un proyecto  open source que  utiliza  estándares  donde es posible. En  los aspectos donde no  exista  estandarización  el  uso  de código  abierto  es preferido  dada su capacidad  para ser auditado y comprendido.         

 

  Cloud Computing ­ Administración y Seguridad de Sistemas ­ 2016                                  ​   16/28  Facultad de Ingeniería ­ Universidad de la República 

  Riesgos y amenazas en cloud computing ​ [7] En  esta  sección  se  muestra  lo  más  importante  del  artículo  ​ "Riesgos  y  Amenazas  en  cloud  computing" ​ escrito por  el  Instituto Nacional de Tecnología de  la Comunicación de  España (INTECO) en Marzo de 2011.     En  éste  artículo  se  analizan  las  amenazas,   riesgos  y  recomendaciones  que  han  descrito  diferentes  organizaciones  del  sector  como  son  la  organización  internacional  CSA (Cloud  Security Alliance), la  consultora Gartner  y el instituto norteamericano NIST  (National Institute of Standards and Technology). 

Amenazas según CSA ​ [8]  La CSA se define como una organización internacional sin fines de  lucro para promover  el  uso  de  mejores  prácticas  para  garantizar  la  seguridad en cloud,  en  Marzo de  2010  publicó un informe sobre las siete mayores amenazas de la infraestructura cloud.  

Abuso y mal uso del cloud computing  Esta  amenaza afecta  a  los modelos  de  servicios ​ IaaS y PaaS​ . Está relacionada con un  registro  de  acceso a éstas plataformas con pocas restricciones, esto puede llevar a que  cualquiera  pueda  acceder  al  servicio,  acompañado  de  una  gran  cantidad  de  spam,  código malicioso, etc.  Las recomendaciones que plantea la CSA son:  ● Implementar un sistema de registro de acceso más restrictivo.  ● Coordinar y monitorear el fraude en tarjetas de crédito.  ● Monitorizar el tráfico de clientes para la detección de posibles actividades ilícitas.  ● Comprobar  las  listas  negras  públicas  para  identificar  si  los  rangos  IP  de  la  infraestructura han entrado en ellas. 

  Cloud Computing ­ Administración y Seguridad de Sistemas ­ 2016                                  ​   17/28  Facultad de Ingeniería ­ Universidad de la República 

Interfaces y APIs poco seguras  Los proveedores de servicios en la  nube, por lo general, ofrecen interfaces y APIs para  interactuar con  los diferentes  recursos  provistos.  Dado  que todo  se realiza  a  través  de  estas herramientas, es necesario que las mismas estén diseñadas de forma segura.   Algunos  de  los  ejemplos  que  se  plantean  para  esta  amenaza  son  permitir  el  acceso  anónimo, la reutilización de tokens, autenticación sin cifrar, etc.  Las recomendaciones que plantea la CSA para este problema son:  ● Analizar  los  problemas  de  seguridad  de  las  interfaces  de  los  proveedores  de  servicio  ● Asegurarse  que   la  autenticación  y  los  controles  de  acceso  se  implementan  teniendo en cuenta el cifrado de los datos. 

Amenaza interna  En  todo  sistema  de  información,  la  amenaza  más  importante  es  la  que  incluye  a  los  propios usuarios, ya que estos tienen acceso a los datos y aplicaciones de la empresa.   Una  de  las principales causas de esta amenaza es que los encargados de dar de alta o  baja  a  los  usuarios  son  los  propios  proveedores  y  esto  puede  causar   una  desactualización  sobre  el personal de la empresa permitiendo así el acceso a personas  que no deberían tenerlo.  Las recomendaciones que plantea la CSA para este problema son:  ● Especificar cláusulas legales y de confidencialidad en los contratos laborales.  ● Determinar posibles problemas en los procesos de notificación. 

Problemas derivados de las tecnologías compartidas  Esta  amenaza afecta a los modelos IaaS, ya  que en un modelo de Infraestructura como  Servicio  los  componentes  físicos  (CPU,  GPU,  etc)  no  fueron  diseñados  específicamente   para  una  arquitectura  de   aplicaciones  compartidas,  provocando  así  posibles  incidentes  de  seguridad por  el  mal  uso  de los  recursos compartidos entre  las  aplicaciones.        Cloud Computing ­ Administración y Seguridad de Sistemas ­ 2016                                  ​   18/28  Facultad de Ingeniería ­ Universidad de la República 

Las recomendaciones que plantea la CSA para esta amenaza son:    ● Diseñar buenas prácticas para la instalación y configuración.  ● Monitorizar  los  entornos  para  detectar  cambios  no  deseados  en  las  configuraciones o la actividad.  ● Proporcionar  autenticación  fuerte  y  control  de  acceso  para  el  acceso  de  administración. 

Pérdida o fuga de información  Una  pérdida de datos puede  ocurrir  al  realizar  un  borrado  o  modificación  sin tener una  copia  de  seguridad  de  los mismos.  En la  nube,  este  riesgo  aumenta  ya  que el número  de interacciones entre ellos es mayor debido a la arquitectura de la misma.   Esta  amenaza  puede  causar  serios  problemas  a  la  empresa,  como  ser  daños  económicos o problemas legales si se trata de una fuga de información.  Las recomendaciones que plantea la CSA para evitar esta amenaza son:    ● Implementar APIs potentes para el control de acceso  ● Proteger el tránsito de datos mediante cifrado de los mismos  ● Analizar  la  protección  de  datos  tanto  en  tiempo  de  diseño  como  en  tiempo  de  ejecución  ● Proporcionar  mecanismos  potentes  para  la  generación  de  claves,  el  almacenamiento y la destrucción de la información.  ● Definir  por  contrato,  la  destrucción  de  los  datos  antes  de  que  los  medios  de  almacenamiento  sean  eliminados  de  la  infraestructura,  así  como  la  política  de  copias de seguridad. 

Secuestro de sesión o servicio  En  un  entorno  cloud,  si  un  atacante  obtiene  las  credenciales  de  un  usuario  puede  acceder  a  actividades  y  transacciones,  manipular  datos,  devolver  información  falsificada o redirigir a los clientes a sitios maliciosos.  Las recomendaciones que plantea la CSA son: 

  Cloud Computing ­ Administración y Seguridad de Sistemas ­ 2016                                  ​   19/28  Facultad de Ingeniería ­ Universidad de la República 

● Prohibir, mediante políticas, compartir credenciales entre usuarios y servicios.  ● Aplicar técnicas de autenticación de doble factor siempre que sea posible.  ● Monitorizar las sesiones en busca de actividades inusuales. 

Riesgos por desconocimiento  Para  asistir  en  la  toma  de  decisiones  sobre  las  medidas  de  seguridad  que   se  van  a  implantar  en  un  sistema  cloud  es  conveniente  conocer  la  información  técnica  de  la  plataforma.  Datos  cómo  con  quién  se  comparte   la  infraestructura  o  los  intentos  de  acceso no autorizados pueden resultar muy importantes a la hora de elegir la estrategia  de  seguridad.   La  carencia  de  información  de  este  tipo  puede  derivar  en  brechas  de  seguridad desconocidas por el afectado.    Las recomendaciones que plantea la CSA son:  ● Tener acceso a los logs de aplicaciones y datos  ● Estar al tanto, total o parcialmente, de los detalles de la infraestructura  ● Recibir alertas sobre el uso de información crítica. 

 Riesgos detectados por Gartner ​ [9]  Gartner S.A. es una compañía de investigación y consultoría de tecnologías de la  información, con sede en Estados Unidos.    

Accesos de usuarios con privilegios  Permitir  que los  datos  sensibles  sean accesibles  desde fuera de las instalaciones de la  empresa  conlleva  cierto  riesgo  ya  que  es  posible  que no  existan  los  controles  físicos,  lógicos o humanos que  sí existen  dentro de la  empresa. Por este motivo, es necesario  saber quiénes manejan dichos datos.  

  Cloud Computing ­ Administración y Seguridad de Sistemas ­ 2016                                  ​   20/28  Facultad de Ingeniería ­ Universidad de la República 

Por  esto,  es  necesario  arreglar  con  el  proveedor  qué  usuarios  tendrán acceso  a  esos  datos, para así  minimizar  los riesgos  de  que haya usuarios con muchos privilegios que  no deberían tener acceso a los datos. 

Cumplimento normativo  La  seguridad  e  integridad  de  los  datos  de  los  clientes  es  su  responsabilidad,  aún  cuando  los  datos  se  encuentren  fuera  de  sus  instalaciones,  siendo  gestionados por un   proveedor de servicios cloud.   Así  como  los prestadores  de  servicios tradicionales, los proveedores de servicios cloud  deben  estar  sujetos  a  auditorías  externas  y  certificaciones  de  seguridad,  siendo  esto  una condición fundamental para la contratación del servicio.   

Localización de los datos  No  siempre  es  transparente  la  localización  exacta  de  los  datos  alojados  en  servicios  cloud.  Por  esto,  es  una  buena  práctica  incluir  en  los  contratos  y  acuerdos  un  marco  regulatorio  para  el  almacenamiento  y  procesado  de  datos,  adecuado  al  país  del  suscriptor del servicio. 

Aislamiento de datos  Dentro  de un sistema cloud  la  infraestructura es compartida por muchos clientes por lo  que  es  importante  que  los  datos  se  encuentren  cifrados  cuando  los  mismos   se  encuentran  en  reposo,  ya  que  hacerlo  durante el  uso de los  datos  puede resultar  una  operación costosa.  El  prestador del servicio debe asegurar que los datos en reposo se encuentran aislados  para  los  diferentes  clientes  y  que  los  procedimientos  de  cifrado  se  realizan  correctamente  ya  que  un  error  en  el  proceso  puede  causar  problemas  con  la  disponibilidad de los datos o una pérdida de los mismos. 

  Cloud Computing ­ Administración y Seguridad de Sistemas ­ 2016                                  ​   21/28  Facultad de Ingeniería ­ Universidad de la República 

Recuperación  Los  proveedores  de  servicios  cloud  deben   proveer  una  política  de  recuperación  de  datos  en  caso  de  algún  problema. También  se  recomienda fuertemente  que los  datos  sean replicados en  diferentes infraestructuras,  como forma  de  prevenir un fallo general  que pueda afectarlos.  Dentro  de  la  política  de  recuperación  de  datos  se  debe  incluir  el  tiempo  que  podría  tardar dicha recuperación completa de los datos. 

Soporte investigativo  Dentro  de  un  ambiente  cloud  es  muy  difícil  la investigación  de  actividades  ilegales  ya  que  los  datos  y  logs  de  los  diferentes  clientes  pueden  encontrarse  todos  juntos  o  desperdigados por una gran cantidad de equipo y data centers.  El  proveedor  del servicio cloud debe garantizar que los logs y los datos se gestionan de  una forma centralizada​ . 

Viabilidad a largo plazo  Lo  ideal  sería  que  un  proveedor  de   servicios  cloud  permaneciera  siempre  en  el  mercado  dando  servicios  de  calidad,  pero  como  el  mercado  es  cambiante  existe  la  posibilidad  de  que  un  proveedor  sea  comprado  o  absorbido  por  alguno  con  mayores  recursos.  Por  esto  es  conveniente  que  el  cliente  se  asegure  que  podrá  recuperar  o  migrar sus datos en caso de que esto ocurra.   

 

  Cloud Computing ­ Administración y Seguridad de Sistemas ­ 2016                                  ​   22/28  Facultad de Ingeniería ­ Universidad de la República 

Aspectos clave de seguridad en cloud según NIST ​ [10]  El  Instituto  Nacional   de  Normas  y  Tecnología  (NIST,  por  sus  siglas en  inglés) es  una  agencia  de  la  Administración  de  Tecnología  del  Departamento  de  Comercio  de  los  Estados Unidos.  La misión de este instituto es promover la innovación y la competencia  industrial en Estados Unidos mediante avances en metrología, normas y tecnología que  mejoren la estabilidad económica y la calidad de vida. 

Gobernanza  La gobernanza  implica  el control y la  supervisión  de las  políticas,  los procedimientos  y  los  estándares  para  el  desarrollo  de  aplicaciones,  así  como  también  el  diseño,  la  implementación, las pruebas y la monitorización de los servicios distribuidos.   Garantizar  que  los  sistemas  sean  seguros  y  que  los  riesgos  estén  correctamente  gestionados es un reto importante para cualquier entorno cloud. 

Cumplimiento  El  cumplimiento  obliga  a  la  conformidad  con  especificaciones,  estándares,  normas  o  leyes  establecidas,  las  cuales  pueden  variar  según  los  países  y  en  ocasiones a nivel  nacional o regional, provocando que esto sea difícil de cumplir en cloud computing.  Algunos de los problemas de los servicios cloud son:    ● Ubicación  de  los   datos:  Ausencia  de  información  acerca  de  cómo  se  ha  implantado  la infraestructura,  sin tener, el  cliente,  información alguna de  cómo y  dónde  son  almacenados  sus  datos.  La principal  preocupación  del cumplimiento  radica en  conocer  los límites en los que deja de aplicar la legislación del país del  cliente  y  comienza  a  aplicar  la  legislación  del  país   en  donde  se  encuentran  alojados los datos.  ● Investigación  electrónica:  Las  investigación   electrónica  se  ocupa  de  la  identificación,  recolección,  procesamiento,  análisis  y  producción  de  los  documentos  en  una  fase  de  descubrimiento  de  un  procedimiento  judicial.  A  su    Cloud Computing ­ Administración y Seguridad de Sistemas ­ 2016                                  ​   23/28  Facultad de Ingeniería ­ Universidad de la República 

vez,  las  organizaciones  también  tienen  obligaciones  para  la  preservación  y  la  generación  de  documentos  (cumplir  con auditorías, por ejemplo), por lo tanto las  capacidades  de  un  proveedor  cloud  y  las  herramientas  de  investigación  disponibles  pueden  afectar  al  cumplimiento  de  las  obligaciones  de  la  organización. 

Confianza  En  cloud  computing,  la  organización  cede  el  control  de  muchos  aspectos  de  la  seguridad, dándole un nivel de confianza importante al proveedor cloud.  

Arquitectura  La arquitectura  de  una infraestructura  cloud comprende tanto hardware como software.  Las  aplicaciones  son  creadas  mediante  interfaces  de  programación,  las  cuales  son  utilizadas para la  comunicación  entre  los  diferentes  componentes  de  la  infraestructura.  Esta comunicación global puede derivar en fallos de seguridad.  

Identidad y control de acceso  Los datos  sensibles y la privacidad se han convertido en la principal preocupación en lo  que  respecta  a  la  protección  de  las  organizaciones  y  el  acceso  no  autorizado  a  los  recursos de información.    

Aislamiento de Software  Para  alcanzar  altas  tasas  de  eficiencia,  los  proveedores  deben  asegurar  el  correcto  funcionamiento   de  la  concurrencia  de  los  diferentes  usuarios,  para  esto  se  utiliza  la  multiplexación  de  la ejecución de las máquinas virtuales para los diferentes usuarios en  un mismo servidor físico. 

  Cloud Computing ­ Administración y Seguridad de Sistemas ­ 2016                                  ​   24/28  Facultad de Ingeniería ­ Universidad de la República 

Protección de datos  Generalmente, los  datos  que se almacenan en entornos cloud residen en equipamiento  compartido  por  varios  clientes,  por  ello  las  organizaciones  que  gestionan  datos  confidenciales  en  sistemas  cloud deben  preocuparse  por  la forma  en  que  se accede  a  estos datos y garantizar que estén almacenados de forma segura. 

Disponibilidad  La disponibilidad puede ser interrumpida de forma temporal o permanente. Los ataques  de  denegación  de  servicio,  fallos  del  equipamiento  y  desastres  naturales  son  todas  amenazas a la disponibilidad. 

Respuesta a incidentes  Tras  la  ocurrencia  de  algún incidente de seguridad, los proveedores de servicios deben  realizar  verificación,  análisis  del  ataque,  contención,  recolección  de  evidencias,  aplicación de remedios y restauración del servicio.   La  ayuda  de  los  clientes  para  la  detección y reconocimiento  de  los incidentes es muy  importante para la seguridad y la privacidad en cloud computing. 

   

 

  Cloud Computing ­ Administración y Seguridad de Sistemas ­ 2016                                  ​   25/28  Facultad de Ingeniería ­ Universidad de la República 

Recomendaciones de seguridad según NIST  Según el NIST estas son algunas recomendaciones generales por área:  Área  Gobernanza 

Recomendación  Implantar  políticas  y  estándares  de  monitorización.  Establecer  mecanismos  de  auditoría  y  herramientas  para  asegurar  que  se  cumplan  las  políticas  de  la  organización durante el  ciclo  de  vida  de la misma. 

Cumplimiento 

Entender  los  distintos  tipos  de leyes  y  regulaciones y su posible  impacto en los entornos cloud.  

Confianza 

Incorporar mecanismos en el  contrato que  permitan controlar  los  procesos y controles de privacidad utilizados por el proveedor. 

Arquitectura 

Comprender  las  tecnologías  que  sustentan  la infraestructura  del  proveedor  para  comprender  las  implicaciones  de  privacidad  y  seguridad de los controles técnicos. 

Identidad 

y  Asegurar  los  mecanismos  necesarios  para  hacer  segura  la 

control de acceso  autenticación,  la  autorización  y  las  funciones  de  control  de  acceso  Aislamiento 

del  Entender  la  virtualización  y  otras  técnicas  de  aislamiento que el 

software 

proveedor emplee y valorar los riesgos implicados. 

Disponibilidad 

Asegurarse que  durante una interrupción prolongada del  servicio,  las  operaciones  críticas  pueden  reanudarse  inmediatamente  y  todo el resto de las operaciones en un tiempo prudente. 

Respuesta 

a  Entender  y  negociar  los  contratos  de  los  proveedores  así  como 

incidentes 

los  procedimientos  para  las  respuesta  a  incidentes  requeridos 

  Cloud Computing ­ Administración y Seguridad de Sistemas ­ 2016                                  ​   26/28  Facultad de Ingeniería ­ Universidad de la República 

por la organización. 

Conclusiones  Podemos  concluir  que  el  modelo  de  cloud  computing  surgió  de  la  mano  con  las  grandes  mejoras  en  cuanto  a  capacidad  de  procesamiento  y  de  capacidad  de  comunicación  de  las  redes  de  internet,  en   la  actualidad  este  modelo  es  una  realidad  que  está  muy  afianzada  y  muchas  empresas  lo  utilizan  o  lo  piensan  utilizar  al  corto  plazo.  En  la  evaluación de  las principales  características  del modelo, podemos  concluir en  la  mayoría  que  se  tiene  un  beneficio  con  respecto  al  modelo  tradicional,  por  otra  parte,  existe  flexibilidad   a  la  hora  de  contratar  algún  producto  en  la  nube,  ya  que  existen  distintos modos de  servicio de los  cuales alguno se puede adaptar mejor que otro a las  necesidades del caso.  En  el  ámbito  económico,  el  uso  de  la  nube  puede  beneficiar a sus clientes brindando  una  solución  rápida  y  con  bajo  costo  inicial,  punto  a  favor  que  puede  marcar  la  diferencia en el éxito de muchos emprendimientos.   La seguridad  es  un punto fundamental a tener  en  cuenta antes de utilizar este modelo;  al  usar  esta  infraestructura,  es  necesario  tener  las  mismas  consideraciones  que  al  utilizar infraestructura privada.  Los  riesgos  existentes  al  utilizar  cloud  computing  si  bien  son  conocidos  y  hasta  predecibles,  siguen  sucediendo  y  es  necesario  tener  presente  las  buenas  prácticas  y  las  recomendaciones  planteadas  en éste  documento  para  minimizar los  problemas de  seguridad que puedan aparecer en el futuro.                    Cloud Computing ­ Administración y Seguridad de Sistemas ­ 2016                                  ​   27/28  Facultad de Ingeniería ­ Universidad de la República 

   

Referencias    [​ 1​ ] ​ Cloud Computing   [​ 2​ ] ​ Above the Clouds: A Berkeley View of Cloud Computing  [​ 3​ ] ​ Guía para empresas: seguridad y privacidad del cloud computing   [​ 4​ ] ​ Enterprise Risk Management for Cloud Computing  [​ 5​ ]​  Cloud Computing, Myths  [​ 6​ ] ​ Best practices for cloud computing adoption  [​ 7​ ]​  Riesgos y amenazas en Cloud Computing  [​ 8​ ] ​ Cloud Security Alliance  [​ 9​ ]​  Gartner  [​ 10​ ]​  NIST   

  Cloud Computing ­ Administración y Seguridad de Sistemas ­ 2016                                  ​   28/28  Facultad de Ingeniería ­ Universidad de la República 

Get in touch

Social

© Copyright 2013 - 2024 MYDOKUMENT.COM - All rights reserved.