PDF de programación - Infraestructuras de Seguridad en la Nube

Tendencias Generales

¿Que es “La Nube”?

Infraestructuras

Retos, Oportunidades y Amenazas

Las 5 Consideraciones de Seguridad

Recomendaciones

Tendencias Generales

Evolución histórica de los Servicios Públicos en la Nube

Era de los Portales

Era de las Aplicaciones Online

Era de los Servicios Web

Era de la Nube

1989

1994-95

1997

2002

2004

2006

2008

2010

Evolución de las redes corporativas

Evolución de las redes corporativas

Evolución de las redes corporativas

Que es «La Nube»

• Características

– Auto Servicio bajo demanda.
– Amplio acceso de red
– Recursos comunes

• Independiente de la Ubicación

– Rápida Elasticidad
– Servicio Medible

Es un nuevo modelo computacional, NO una nueva
tecnología, que persigue una reducción de costos
proporcionando a los clientes todo lo necesario en
modo servicio a través de un proveedor.



Modelos de Servicios en “La Nube”

Software as a Service

SaaS

Plattform as a Service

PaaS

Aplicación
ofrecida por
el Proveedor

Aplicación
desarrollada
por el Cliente

Infrastructure as a Service

IaaS

Plataforma
ofrecida por
el Proveedor

El Proveedor ofrece infraestructura fundamental
(ejem. CPU, Alimentación, Almacenamiento, Red,

etc.)

Fuente: NIST (http://csrc.nist.gov/groups/SNS/cloud-computing/cloud-def-v15.doc)

Modelos de Despliegue de “La Nube”

• Nube Privada

– Que pertenece y es operado por una organización

• Nube Común

– Infraestructura compartida por una comunidad

• Nube Publica

– Ofrecida al publico, amplia escalabilidad

• Nube Hibrida

– Compuesta de dos o mas modelos

Fuente: NIST (http://csrc.nist.gov/groups/SNS/cloud-computing/cloud-def-v15.doc)

Catalogación de los Modelos de Despliegue de “La Nube”

Nube Privada



e
t
s
o
C

Nube Comunitaria

Nube Pública

Agilidad / Seguridad

Evolución de los Data Center - Microsoft

Generation 4 Datacenter

Economía de Escala



Seguridad y Regulación en los Data Centers

De lo mejor de la industria en seguridad y Fiabilidad



Características Clave
• Data Centers Geo-redundantes
• Arquitectura N+1
• 9 Capas de Seguridad
• Certificado CyberTrust
• Acceso Seguro via SSL
• Operaciones con ITIL/MOF
• Soporte 24 x 7 x 365
• 99.9% te Respaldado



financieramente con el SLA

•
•
•
•
•
•

•
•
•

Routers de Filtrado
Firewalls
Sistemas detección Intrusion
Seguridada a nivel Sistema
Autenticación de Aplicación
Contramedidas a nivel de
Aplicación
Escaneo de Virus
Redes de Datos Separadas
Autenticación a los datos

ISO27001
e(strategico)

FISMA
(tactico)



SAS70
(audit)

Certificaciones

FISMA, SAS 70, ISO

en todos los

centros y servicios

Retos y Oportunidades

• La Información esta bajo el control del proveedor

– No está limitado al espacio o la geografía

• Cambios en los Procesos de IT

– El proveedor puede tener mejores procesos de seguridad
– El proveedor de la nube gestiona la seguridad física
– Retos sobre la soberanía y la legalidad

• Almacenamiento de datos Centralizado

– Economía de escala
– Atractivo para los criminales

• Problemas de Privacidad
• Forense
• Dispositivos

Amenazas de Seguridad en la Nube

• Amenazas derivadas de la Tecnología

– Son los de siempre con algunas incorporaciones
– Se solucionan con mas tecnología


• Amenazas de la parte cliente (PC, dispositivos móviles)



• Amenazas filosóficas y de procedimiento

– Hay muchas novedades
– Se solucionan con cambios de mentalidad y aprendizaje

Por ser «la nube» un cambio de Paradigma, son
mucho mas importantes las amenazas de tipo

filosófico y de procedimiento



Amenazas de Seguridad derivadas de la Tecnología

• Las amenazas tradicionales siguen existiendo

– Ataques a la Capa de Aplicación (XSS, ataques de inyección de código)
– Ataques a la Capa de Red (Ataques DNS , network flooding)

• Se potencian otras amenazas

– Ataques a las tecnologías de Virtualización

• Nuevos ataques de Escalada de Privilegios (VM a host o VM a VM)
• Romper las barreras de las VM
• Hyperjacking (rootkitting al host o a la VM)



• Hay mas amenazas pero menos riesgo:

– La tecnología y procedimientos empleados en proteger los DataCenter

de «la nube» son muy superior a la empleada en nuestras
organizaciones.

– Gestión de riesgos, de cambios, de regulación , de Identidad, de Acceso
– Es un problema de confianza, y no de seguridad



Amenazas - PC

• En el nuevo entorno cada PC ha de ser seguro por si

mismo.

• Seguridad Física:

– Ya no cuenta con la protección física de nuestras oficinas
– Hay que proteger la información a nivel físico (TPM, Bitlocker,

Bitlocker to go, etc…)

• Seguridad en toda la pila de Software:

– El Software a utilizar ha de estar bien desarrollado (SDL)
– El Sistema ha de tener su propio software de seguridad: Firewall,

IDS, Antivirus, etc..(FEP 2010 incluye todo)

– Sistema Operativo ha de contar con funcionalidad para

conexiones sencillas y seguras. (DirectAccess)

• PRIVACIDAD

Amenazas– Otros Dispositivos

•

•

•

En el nuevo entorno cada dispositivo ha de ser seguro por si mismo y cumplir
con los requisitos legales.
Seguridad Física:
– O no han de almacenar información o esta ha de estar protegida
– Funcionalidades de borrado en remoto
Seguridad en toda la pila de Software:
– El Software a utilizar ha de estar bien desarrollado (SDL)
– El Sistema ha de tener su propio software de seguridad: Firewall, IDS, Antivirus, etc.
– Gestión del dispositivo
– Borrado en remoto
– Gestión de Usuarios
– Gestión y auditoria de la Información.
– Cifrado
– Control sobre la instalación de aplicaciones
– Conectividad Segura

• PRIVACIDAD

Amenazas filosóficas y de procedimiento


• En el nuevo entorno cambian mas cosas de las que parecen.

– Arquitectura de Red abierta

• Ubicuidad de los datos
• Ubicuidad de los usuarios y sus terminales

– Compartición de Procesos y responsabilidades

• Gestión de la seguridad entre proveedor y cliente

– Acceso
– Identidad
– Regulación
– Protección de Datos
– Auditoria y Forense


Además de entender el entorno, es necesario un buen

entendimiento entre el proveedor y el cliente

Amenazas de método y procedimiento

• El desconocimiento del entorno nos lleva a los 7 pecados

capitales

Ignorancia

Ambigüedad

Duda

Transgresión

Desorden

Engreimiento

Complacencia

Consideraciones de Seguridad en «La Nube»

Gestión de Riesgos y Regulación

Gestion de Identidad y Accesos

Integridad del Servicio

Integridad del Punto Final

Protección de la Información

Gestión del Riesgo y Regulación

• La Conformidad/Legalidad sigue siendo una tarea del

Cliente

• Es necesario una gestión de Riesgos al adoptar una

solución en la nube.

• La colaboración entre el cliente y el proveedor es esencial

– Se necesita cierto grado de trasparencia en los procesos

• Es necesario un equipo interno fuerte

– Negociación del Contrato
– Definición de las métricas y el control
– Integración de los Controles en los procesos internos

Los requisitos de Conformidad pueden conseguirse con un equipo interno
capacitato y un cierto nivel de transparencia en los procesos del provvedor.

Gestión de Acceso e identidad

• La Colaboración entre Dominios requiere de Identidades

de Seguridad
– Personas y Dispositivos

• Basado en Pruebas Personales o Similar
• Basado en reclamo.
• Basado en Estándares de Interoperabilidad
• Ha de existir un equilibrio entre Privacidad vs.

Autenticación

• Los Procesos han de poder incluir varios proveedores

Cualquier sistema de Identidad Digital en “La Nube” ha de ser Interoperable
entre varias organizaciones y proveedores , y ha de estar basado en fuertes

procesos.

Integridad del Servicio

• Desarrollo e Ingenieria del Servicio

– Son necesarios Procesos de ingenieria serios y transparentes

• Requerimientos
• Diseño
• Implementación
• Verificación
• Públcio
• Respuesta

– Probado
– Basado en Modelo de Amenazas o Similar

El Proveedor debe de seguir un proceso claro, definido y probado para integrar

seguridad y privacidad en el servicio desde el principio y para todo el ciclo de

vida.

Integridad del Servicio

• Prestación del Servicio

– Los procesos internos deven de poder cubrir varios proveedores

• Monitorización de la Seguridad
• Audoria
• Forense
• Respuesta a incidentes
• Continuidad del negocio
• Etc.

– Los requerimientos dependen de la aplicación y las necesidades

de la información


Las capacidades de prestación del servicio del proveedor y las nececesidades de

auditoria y gestion de la seguridad del cliente, han de estar alineadas.

Integridad del Punto Final

• Dispositivos de conexión
• Es parte de la cadena de prestación del servicio
• A menudo objeto de ataques de ingeniería social (y

similares)

• Revisar con los procesos y políticas de cada día

Es muy importante incluir el Punto Final en cualquier consideración de

seguridad para un servicio en «La Nube»

Protección de la Información

• El fundamento es la Clasificación de los datos

– Requerimientos
– Necesidades Legales

• Se necesita que la protección de los datos sea Persistente

– Cifrado/Gestión de los derechos digitales

• Ha de cubrir toda la transacción

– Los datos durante el Transito

• Nuevos Retos

– Soberanía de los Datos
– Acceso a la información
– Procesamiento y Partición de los datos

La Implementación de una Clasificación de los dato ayuda a decidir que datos

estan listos para “La Nube” bajo que circunstancias , y con que controles

Recommendations

• Es necesario un equipo interno bien formado en temas

relacionados con la nube

• Elegir el Modelo de despliegue adecuado (Privada,

Comunitaria o Publica)

• Son obligatorios los planes de riesgos y de cumplimiento

de normativa.

• El proveedor debe de tener procesos transparentes,

control del