PDF de programación - Nubes Borrascosas: La seguridad redefinida en la nube

Nubes Borrascosas: La seguridad

redefinida en la nube

Raúl Zárate Symantec Monterrey

Estamos listos para el cambio?

Symantec Mega Trends – Cloud Computing (© Symantec 2011)

Agenda

• Situación Actual
• Estudio sobre el estado de la Nube
• Asegurando la Nube



Situación Actual

Viviendo la Nube hoy en día

Amenaza?

Oportunidad

?

Que es cómputo en la Nube?

6

Que es cómputo en la Nube?

7

Cloud Computing es persistente en el mercado

de consumo

Cloud Computing es persistente en el mercado

de consumo

Ningun logo
fué dañado en
la creación del
banner

Cloud Computing es persistente en el mercado

de consumo

Cloud computing …

Tecnología y
Habilidades

ACME
Widgets Inc

“It’s computing Jim,

but not as we knew it”

Nuestra definición - SOME
HARED
Multi-tenant, no dedicada, virtualizada (pero más que eso)

S

O

NLINE
Entregada sobre IP, internet o red privada

M

ETERED
Pay as you go, basada en consumo, renta no compra, no assets

E

LASTIC
Rápidamente escalable, rápidamente aprovisionada, automatizada

12

Las Personas Son El Nuevo Perímetro

iPad

Laptop

Smartcards

Desktop

PDA

PDA

Consumidor

r

Desktop

Laptop

Empleados

PDA

iPad

Corporate

Kiosk

Laptop

Gobierno

3&4G

Networks

VPN

Wi-Fi

WiMAX

Laptop

PDA

iPad

Desktop

Socios

13

Maneras de entregar servicios TI

On Premise

Servicios Administrados

Nube

Clientes sin dueños del HW
y SW

Clientes/Proveedores son
dueños de HW y SW

Proveedor es dueño de HW
y SW

Infraestructura dedicada
para soportar los picos de
volumen

Infraestructura dedicada
diseñada para picos de
volumenes

Costos Fijos

Cuota fija mensual
recurrente

Infraestructura compartida
(multi-tenant)
aprovisionamiento basado
en USO

Precio basado por USO

CAPEX-Intensivos

Mueve CAPEX a OPEX

OPEX-Intensivo

Clientes dueños del Riesgo

Se comparte el Riesgo

Proveedor es dueño del
Riesgo

Maneras de entregar servicios TI

On Premise

Servicios Administrados

Nube

Clientes sin dueños del HW
y SW

Clientes/Proveedores son
dueños de HW y SW

Proveedor es dueño de HW
y SW

Infraestructura dedicada
para soportar los picos de
volumen

Infraestructura dedicada
diseñada para picos de
volumenes

Costos Fijos

Cuota fija mensual
recurrente

Infraestructura compartida
(multi-tenant)
aprovisionamiento basado
en USO

Precio basado por USO

CAPEX-Intensivos

Mueve CAPEX a OPEX

OPEX-Intensivo

Clientes dueños del Riesgo

Se comparte el Riesgo

Proveedor es dueño del
Riesgo

Tipos de Servicios en la Nube

Software (SaaS)

Platform (PaaS)

Infrastructure (IaaS)

 Modelo de autoservicio

 Escalable y elástico

 Recursos compartidos

 Pay-as-you-go

Modelos de Despliegue de Nube

Público

Servicios disponibles al

público en general

Privado

Servicios provistos
por una entidad a

nombre de esa

entidad

Híbrido

Servicios públicos y
privados combinados

para crear una

solución

El Mercado de la Nube

Finding Opportunities in the Cloud

Cuáles son las oportunidades?

Cloud Service

Providers

Empresas en
busca de SaaS

Enterprises

construyendo
nubes Privadas


l

o
r
t
n
o
c
/
o
t
s
o
C

Varios modelos de despliegue

Servicios provistos por una
entidad para esa entidad

Servicios de nube virtuales
privados y de comunidad

Servicios disponibles al
público en general

Privada

Mayor control y

ownership

Híbrida

Mejor

apalancamiento

técnico y financiero

Comunidad

Pública

Apalancamiento/Flexibilidad

Cloud Computing Hoy

Problemas se

aproximan!

Estudio sobre el Estado de la Nube 2011
Hallazgos Principales – México y América

Latina



Metodología

Encuesta realizada por Applied Research

•
• 5,300 organizaciones a nivel global

– 500 de América Latina (150 de México)

• Diversas industrias
•

Se encuestó a:
– PyME: persona a cargo de los recursos

informáticos

– Grandes empresas: gerencia de TI táctica

y estratégica, gerencia de ciberseguridad
y profesionales de nivel “C”



2
3

Hallazgos Principales

❶

Seguridad: Principal Objetivo y

Preocupación

Seguridad en la nube: Principal objetivo y la preocupación #1

•

•

Para las organizaciones que están implementando la nube, mejorar la seguridad es un objetivo
principal, aunque…

– La mayoría de los encuestados en América Latina (86%) cree que la nube no impactará ni mejorará en

realidad su posición de seguridad (México = 85%)

Aun así, califican a la seguridad como una máxima preocupación. ¿Los principales modelos de
amenaza?


México = 56% México = 53%

México = 58%

México = 58%

❷

El personal de TI no está listo para la nube

•

El staff de TI no está listo para migrar a la nube
En LAM, menos de la mitad de quienes respondieron la encuesta califica a su
personal de TI como “poco preparado” para manejar la nube (México = 50%
promedio)


❸

Más palabras que acciones

Mucho debate...

• Organizaciones que se trasladan
agresivamente a todas los tipos
de nube
En América Latina, al menos tres
cuartos (77-82%) de las
organizaciones debate sobre la
nube

•

México = entre 78 y 83%

❹

La realidad difiere de las expectativas

Realidad vs Expectativas
• Grandes diferencias entre los objetivos esperados y los

Objetivos esperados contra alcanzados para el

cómputo en nube

alcanzados



– Mayor agilidad de TI

– Mayor preparación para recuperación

ante desastres

– Mayor eficiencia de cómputo (85%) (46%)

– Menores gastos operativos

– Mayor seguridad

(%) México



Asegurando la Nube

Tomando uno a uno los futuros retos





Cloud: Oportunidad y reto

Private
Cloud

Cloud

‘Se debería impulsar la Nube para
responder a las necesidades de negocio
,mejorar la agilidad en el negocio y
mejorar la administración de costos’

Reto

‘Nos falta tener una forma de controlar el acceso,
seguridad y cumplimiento en el total de los servicios y
aplicaciones en la nube’

Cloud

Móvil

Reto

‘Se deberían adoptar modelos
BYOD,BYOA y las nuevas
plataformas móviles para
aumentar productividad e
innovacióin de negocio’

‘Cómo establecemos una capa de protección común
en la Nube y Móviles sin afectar la experiencia de
usuario’

Cómo resolver el reto de la protección Nube –

Móvil?
• Un único punto de

control:

– Para todas Apps/Servicios en la

nube

– Para todos los usuarios

– Para todos los dispositivos

– Para cumplimiento

Una nueva plataforma de protección de



información
En la Nube

Access
Control

Information
Protection

Cloud
Visibility

Symantec O3™

Control

Security

Compliance

Private
Cloud

Control
• Capa adicional de protección de la información
• Trabaja con aplicaciones web federadas y no-federadas
• Infraestructura de seguridad comprobada con excelencia



operacional



Conveniencia
• Utiliza la infraestrutura existente
• No hay requerimiento de agentes
• Móvil desde el día 1


Cumplimiento
• Captura de eventos de seguridad
• Correlación de inteligencia de seguridad

Control

Conveniencia

Cumplimiento


• Único punto de
control
• Basado en contexto
• Seguridad en capas
“as-a-service”


•Fácil Acceso/SSO
para
cloud/web apps
• Usa las apps que te
gusten
•Cualquier dispositivo,
incluidos móviles

• SIEM y forensica
para la nube
• Administración de
logs y rastros de
auditoría
• Auditoría de
póliticas y reportes

Zonas Seguras

CCSK

https://ccsk.cloudsecurityalliance.org/

Preguntas?

Gracias!

Raúl Zárate

www.symantec.com/la/estadonube