PDF de programación - De qué SecaaS estamos hablando al decir Cloud Security?

¿ De qué SecaaS estamos

hablando al decir Cloud Security?

Adrián Palma, CISSP, CISA, CISM, CRISC, BSA

Director General de Integridata

[email protected]



Modelos de Servicio

•

Los tres modelos más consolidados son:



• Otros conceptos, como evolución o mezcla de los anteriores

SecaaS

Modelos de Servicio

• IaaS: Infrastructure as a Service

– Infraestructura estándar: bloques configurables prediseñados
– $0 CAPEX: sin infraestructura propia
– Sueldos y salarios: sin recursos humanos para administrar la

infraestructura, sólo para las aplicaciones, desarrollo y soporte
– Se paga por el uso de la infraestructura: CPU, Memoria, Disco,

Backup, Monitoreo, Seguridad, etc.

– Ejemplos:

• Virtual hosting
• GoGrid
• CloudWorks

Modelos de Servicio

• PaaS: Platform as a Service

– $0 CAPEX: sin infraestructura propia
– $0 OPEX: sin licencias de software de base
– Sueldos y salarios: sin recursos humanos para administrar la
infraestructura y las aplicaciones, sólo para el desarrollo y el
soporte

– Se paga por el uso de la plataforma: Requerimientos de

hardware y software

– Ejemplos:

• Force.com
• Windows Azure

Modelos de Servicio

• SaaS: Software as a Service

– Funcionalidad estándar: sin desarrollo
– $0 CAPEX: sin infraestructura propia
– $0 OPEX: sin licencias
– Sueldos y salarios: sin recursos humanos, excepto para

el soporte

– “Pay as you go”: se paga por el uso del software (cantidad de

usuarios, transacciones)

– Ejemplos:

• Salesforce.com
• Microsoft Live meeting

Security as a Service (SecaaS)

Outsourcing de Seguridad

Cloud Computing
Outsourcing de TI

SLA’s

SecaaS

Acuerdos de Nivel de Servicio

• ¿Qué debe contener un SLA?

– La lista completa de servicios proporcionados
– Una definición completa de cada servicio proporcionado
– Las métricas para determinar si el proveedor está suministrando los

servicios tal como los prometió

– Auditorías para evaluar los servicios ofrecidos
– Las responsabilidades tanto del proveedor como del cliente y los

recursos disponibles para ambos si los términos del SLA no se
cumplen

– Una descripción de cómo el SLA se modificará a través del tiempo

Áreas de SecaaS

– Servicios de Identidad y Manejo de Accesos
– Prevención de Pérdida de datos (DLP)
– Seguridad en la Web
– Seguridad en E-mail
– Evaluaciones de Seguridad
– Prevención, Detección, y Manejo de Intrusos
– Seguridad de la información y Manejo de Eventos (SIEM)
– Cifrado
– Continuidad del Negocio y Recuperación de Desastres
– Seguridad en la Red.

Áreas de SecaaS

• Servicios de Identidad y Manejo de Accesos

– Debe proveer controles para la seguridad de identidades y

manejo de accesos.

– Incluye personas, procesos y sistemas que son usados para

controlar el acceso de los recursos del negocio asegurando si la
identidad es verificada y si se concede el correcto nivel de
acceso.

– Los log’s de auditoria tales como los intentos exitosos o

denegados de autenticación deben ser conservados por la
aplicación o solución.

– Modelo de servicio: SaaS, PaaS.



Áreas de SecaaS

• Retos

– Falta de estándares y vendedores llave en mano.
– Robo de identidad.
– Acceso no autorizado.
– Escalación de privilegios.
– Need to know y Least privilige.
– Aprovisionamiento y desaprovisionamiento en tiempo real.
– Ataques sobre servicios de identidad como DDoS.
– Administración de passwords, diferentes requerimientos de

clientes.

Áreas de SecaaS

• Retos

– Eliminación total de los datos de identidad al final del ciclo

de vida.

– Interoperabilidad con aplicaciones y soluciones existentes con

cambios mínimos.

– Dinámicamente escalar hacia arriba y hacia abajo, escalar
cientos de miles de transacciones por cientos de miles de
identidades y miles de conexiones en un tiempo razonable.

Áreas de SecaaS

• Prevención de pérdida de datos



– Es la vigilancia, protección y verificación de la seguridad de los datos

estáticos, en movimiento y en uso, tanto en la nube y en sitio.


– Dentro de la nube, los servicios de DLP deben ser ofrecidos como algo
que se proporciona como parte de la configuración de tal manera que
todos los servidores construidos para ese cliente tengan el software
DLP instalado con un conjunto de reglas implementadas.


– Modelo de servicio: SaaS, PaaS.



Áreas de SecaaS

• Retos

– Los datos pueden ser robados desde el centro de datos virtual o

incluso físicamente.

– El cumplimiento requiere del conjunto de certificaciones en todos los

niveles repetidamente.

– Los datos podrían ser mal utilizados por el operador del centro de

datos u otros empleados con acceso.

– Los temas de soberanía de datos reduce los derechos de los clientes

con respecto a los gobiernos.

– Desempeño en el análisis y seguimiento de grandes o muy accesibles

conjunto de datos.

Áreas de SecaaS

• Retos



– Fuera de datos conocidos como números de tarjeta de crédito o

números de seguro social, los datos solo pueden ser clasificados con
información detallada del usuario final.


– Asegurar la segregación de datos de clientes cuando otros clientes se

presenten.



Áreas de SecaaS

• Seguridad en la Web



– Es la protección en tiempo real que se ofrece a través de la instalación

de software/appliance o a través de la nube por proxys o
redireccionando el tráfico web al proveedor de la nube.


– Esto proporciona una capa adicional de protección en la parte superior

de otro tipo de seguridad tal como software anti-malware para evitar
que el malware entre a la organización a través de actividades como
navegar en la web.


– Modelo de servicio: SaaS, PaaS.



Áreas de SecaaS

• Retos

– Las amenazas en constante evolución.
– Potencial aumento de costo debido al monitoreo en tiempo real.
– Consumo de ancho de banda.
– Falta de granularidad de políticas y generación de informes.
– Renunciar al control.
– Tráfico cifrado.
– Falta de características vs. Soluciones preestablecidas.
– Exposición del filtrado de la web por el proxy.



Áreas de SecaaS

• Seguridad en E-mail



– Proporciona control sobre el correo electrónico entrante y saliente,
protegiendo de este modo a la organización del phishing, archivos
adjuntos maliciosos, aplicación de las políticas de la organización
además la solución debe permitir el cifrado de correos electrónicos así
como la integración con diversas soluciones del servidor de correo
electrónico.


– Las firmas digitales deben de ser incluidas en la solución que el

proveedor de la nube ofrezca.



– Modelo de servicio: SaaS.



Áreas de SecaaS

• Retos

– Portabilidad.
– Almacenamiento de la información.
– Uso del Webmail no autorizado para fines comerciales.
– Manejo y acceso a los log’s.
– Garantizar el NO acceso a los e-mails por personal del proveedor de la

nube.

– Phishing, Intrusiones, spam, Suplantación de direcciones, malware.



Áreas de SecaaS

• Evaluaciones de Seguridad



– Las evaluaciones de seguridad son auditorias de terceros de los

servicios proporcionados en la nube o evaluaciones de los sistemas en
las instalaciones proporcionados por las soluciones basadas en
estándares de la industria.



– Las evaluaciones tradicionales para infraestructura, aplicaciones y las

auditorias de cumplimiento están bien definidas contando también
con estándares tales como ISO, NIST etc.



– En el modelo de entrega SecaaS, los clientes obtienen los beneficios

típicos de la nube, como tiempo de instalación, pago por uso, etc.


– Modelo de servicio: SaaS, PaaS, IaaS.



Áreas de SecaaS

• Retos

– Certificación y acreditación.
– Los estándares se encuentran en diferentes modelos de madurez.
– Delimitación de las evaluaciones.
– Skills de los consultores o evaluadores.
– Ratings inconsistentes de los diferentes evaluadores o proveedores.
– Por lo general se limitan a vulnerabilidades conocidas.



Áreas de SecaaS

• Prevención, Detección y Manejo de Intrusos



– Es el proceso de usar el reconocimiento de patrones para detectar

y reaccionar a los eventos estadísticamente inusuales.


– Esto incluye la reconfiguración de los componentes del sistema en

tiempo real para prevenir/detener una intrusión.


– Modelo de servicio: SaaS, PaaS, IaaS.



Áreas de SecaaS

• Prevención, Detección y Manejo de Intrusos



– Este servicio en la nube puede ser ofrecido por:



• Por el proveedor de nube.



• Por un tercero ( el enrutamiento del trafico a través de un SecaaS ).



• SaaS híbrido con la gestión de terceros y los dispositivos basados
en host o virtuales ejecutándose en el contexto de la nube de los
consumidores.



Áreas de SecaaS

• Retos



– La complejidad y la falta de madurez del manejo de intrusiones para

las API’s.

– Proliferación de SSL requerida para la implementación en las nubes
públicas aumenta la complejidad o la visibilidad de bloques basados
en la red IPS/IDS

– Falta de herramientas para gestionar las relaciones de instancia a

instancia



Áreas de SecaaS

• Seguridad de la Información y manejo de

eventos (SIEM).



– Los sistemas de SIEM aceptan registros e información de eventos. Esta

información se correlaciona y analiza para proporcionar información
en tiempo real informes y alertas de incidentes o eventos que pueden
requerir intervención.



– Los log’s deben mantenerse de manera que eviten ser manipulados

para permitir que sean usados como evidencias en las investigaciones.



– Modelo de servicio: SaaS, PaaS.



Áreas de SecaaS

• Retos

– Estandarización de los formatos de log’s.
– Tiempo de retraso causado por traducciones de formato nativo de

log’s.

– Falta de colaboración de los proveedores para compartir los log’s.
– Escala para grandes volúmenes.
– Identificación y visual