[Antonio Fernández Claudio Chifa] · [To cloud or not to cloud: Automatizando auditorias de...
Transcript of [Antonio Fernández Claudio Chifa] · [To cloud or not to cloud: Automatizando auditorias de...
#CyberCamp17
[To cloud or not to cloud: Automatizando
auditorias de seguridad y hardening en
sistemas cloud]
[Antonio Fernández –
Claudio Chifa]
2
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
2
"Pienso que hay mercado en el mundo como para
unos cinco ordenadores"
-- Thomas J. Watson, Presidente de la Junta
Directiva de IBM, sobre 1948
"Podría parecer que hemos llegado a los límites
alcanzables por la tecnología informática,
aunque uno debe ser prudente con estas
afirmaciones, pues tienden a sonar bastante
tontas en cinco años"
-- John Von Neumann, sobre 1949
https://commons.wikimedia.org
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
3
It tradicional
Cloud computing
Auditorias de seguridad y hardening en
sistemas cloud
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
4
El gran panorama
4
Desktop
Server
Mobile
Laptop
Network
Database
Other
Cloud Computing
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
5
It (TIC) tradicional
Diseñar, comprar y montar
infraestructura
Pagar por activos mas su
administracion
indistintamente del uso
Red interna o cliente
especifico
Un tenant, dificil de escalar
Cloud computing
Contratar servicios
Pago por uso
Acesible desde cualquier
lugar
Multi-tenant, fácilmente
escalable
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
6
“Cloud Computing es un modelo para habilitar acceso
conveniente por demanda a un conjunto compartido de
recursos computacionales configurables, por ejemplo,
redes, servidores, almacenamiento, aplicaciones y
servicios, que pueden ser rápidamente provisionados y
liberados con un esfuerzo mínimo de administración o de
interacción con el proveedor de servicios. Este modelo de
nube promueve la disponibilidad y está compuesto por
cinco características esenciales, tres modelos de
servicio y cuatro modelos de despliegue.”
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
7
Auto-servicio por demanda:
Un consumidor puede aprovisionar de manera unilateral capacidades
de cómputo, tales como tiempo de servidor y almacenamiento en red,
en la medida en que las requiera sin necesidad de interacción humana
por parte del proveedor del servicio.
Rápida elasticidad:
Las capacidades pueden ser rápidamente y elásticamente
aprovisionadas, en algunos casos automáticamente, para escalar
hacia fuera rápidamente y también rápidamente liberadas para escalar
hacia dentro también de manera veloz.
Dentro de las características
esenciales tenemos:
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
8
Servicio medido:
Los sistemas en la nube controlan automáticamente y optimizan el uso
de recursos mediante una capacidad de medición a algún nivel de
abstracción adecuado al tipo de servicio.
Acceso amplio desde la red:
Las capacidades están disponibles sobre la red y se acceden a través
de mecanismos estándares que promueven el uso desde plataformas
clientes heterogéneas, clientes pesados o livianos, como el PC, un
teléfono móvil o un navegador Internet.
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
9
Conjunto de recursos:
Los recursos computacionales del proveedor se habilitan
para servir a múltiples consumidores mediante un modelo
“multi-tenant”, con varios recursos tanto físicos como
virtuales asignados y reasignados de acuerdo con los
requerimientos de los consumidores. Existe un sentido de
independencia de ubicación en cuanto a que el consumidor
no posee control o conocimiento sobre la ubicación exacta
de los recursos que se le están proveyendo aunque puede
estar en capacidad de especificar ubicación a un nivel de
abstracción alto; por ejemplo, país, estado o centro de
datos.
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
10
Dentro de los tres modelos
de servicio tenemos:
SaaS – Software as a Service
Esta es una capacidad que se refiere a que el consumidor
utiliza las aplicaciones del proveedor en una infraestructura
de nube.
El consumidor no administra ni controla la infraestructura
que soporta estos servicios, pero si algunos parámetros de
configuración como tamaño del Inbox, por mencionar
alguno.
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
11
PaaS – Platform as a Service
Esta capacidad le permite al consumidor desplegar en
la infraestructura del proveedor aplicaciones creadas
por el primero, incluso adquiridas, usando lenguajes
de programación y herramientas del proveedor.
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
12
IaaS – Infrastructure as a Service
Esta capacidad permite al consumidor aprovisionar
recursos computacionales como almacenamiento,
procesamiento, redes y otros elementos
fundamentales en donde el consumidor puede
desplegar y correr software arbitrario, el cual puede
incluir sistemas operacionales y aplicaciones
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
13
Por último, los modelos de
despliegue son:
Nube privada:
La infraestructura de esta
nube es operada
únicamente para una
organización. Puede ser
administrada por la
organización o por un
tercero y puede existir
dentro de la misma, “on
premises” o fuera de la
misma, “off premises”.
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
14
Nube comunitaria:
La infraestructura de esta nube es compartida por varias
organizaciones y apoya las preocupaciones de una
comunidad particular sobre un tema específico, por ejemplo,
seguridad, investigación, políticas o cumplimientos. Puede
ser administrada por la organización o por un tercero y
puede existir dentro de la misma, “on premises” o fuera de
la misma, “off premises”.
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
15
Nube pública:
La infraestructura de esta nube está disponible
para el público en general o para un gran
grupo de industria y dicha infraestructura la
provee una organización que vende servicios
en la nube.
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
16
Nube gubernamental:
La infraestructura de esta nube está disponible
exclusivamente para entidades gubernamentales.
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
17
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
18
Nube híbrida:
Es la composición de dos o más nubes, por ejemplo
privada y pública, que permanecen como entidades únicas
pero que coexisten por tener tecnología que permite
compartir datos o aplicaciones entre las mismas. Piensen
en un escenario en donde la aplicación se desarrolla y se
prueba en una nube privada y luego se despliega a una
nube pública.
18
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
19
Las anteriores definiciones se
tradujeron libremente desde el
documento NIST Definition of
Cloud Computing disponible en la
página Web Cloud Computing del
NIST, con algún añadido de última
hora.
https://blogs.technet.microsoft.com/guillermotaylor/2010/08/25/definicin-de-cloud-computing-por-el-nist/
Any mention of commercial products within NIST web pages is for information
only; it does not imply recommendation or endorsement by NIST
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
2020
Plataformas cloud
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
21
El Cloud Computing y
la democratización del
IT
Pago por uso,
optimización de coste,
auto-aprovisionamiento
Infinidad de productos “Free”
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
22
Capacidad vs demanda
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
23
Búsqueda google
210,000,000
11,500,000
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
24
Búsqueda Google549,000
3,530,000
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
25
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
26
“un click”Programar, encender, apagar y escalar por horario, fecha, carga
de trabajo o según necesidad con un “click”
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
27
“Pagar lo justo y despreocuparse de infraestructura física”
1. Porque el Cloud nos ayuda a ahorrar
2. Cambiar el presupuesto de hardware a operaciones
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
28
Tradicional VS Cloud
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
2929
Vilfredo Pareto
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
30
De inversión fija a
gasto recurrente
Imágenes de https://pxhere.com
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
31
Pago por uso
Imágenes de https://pxhere.com
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
32
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
33
SaaS, PaaS y IaaS
Capas visibles de
cloud segun tipo
de usuario y la
dependencia entre
las mismas
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
34
SaaS
Software-as-a-Service
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
35
PaaSPlatform-as-a-Service
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
36
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
37
Infraestructure-as-a-Service
37
IaaS
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
38
Cómputo Hipervisores
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
39
Almacenamiento “Storage”
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
40
Red SDN Redes definidas por software
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
4141
Balanceo de carga
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
424242
Base de datos como servicio
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
4343
To Cloud or not to Cloud
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
4444
Consideraciones técnicas antes de movernos al cloud
Si migramos nuestra
aplicación empresarial a
la web, y externalizamos
nuestras ventas y
desarrollo de productos...
Toda la empresa
puede ser
administrada por un
mono.
Además de un segundo
mono para ver las
diapositivas de
powerpoint del primer
mono.
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
454545
Pérdida de gobernanza.
Se van a ceder al proveedor una serie de cuestiones que pueden
influir en la seguridad. Si además no existen acuerdos específicos,
pueden existir carencias en materia de seguridad
1
RiesgosEspecíficos del cloud
El problema de vincularse al servicio de un proveedor puede hacer
que si no tenemos metódicamente planeada la opción de migrar el
servicio a otro proveedor, dependamos en exceso de un tercero y
la labor resulte demasiado compleja
2
La falta de aislamiento al utilizar recursos compartidos. Aquí se
incluye el atacar directamente a aquellas infraestructuras
compartidas, como memoria, almacenamiento o enrutamiento.
El ataque contra hipervisores irá progresivamente en aumento.
3
Cumplimiento.
Dependemos de que el proveedor del servicio pueda demostrar el
cumplimiento de los requisitos necesarios, al negarse por ejemplo
a hacer auditorias.
4
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
4646
Cualquier interfaz de gestión accesible desde internet puede hacer
vulnerable nuestro cloud y más si le sumamos las posibles
vulnerabilidades que puedan tener los navegadores que se utilicen5
RiesgosEspecíficos del cloud
Hacer que la gestión de datos se adapten conforme a las leyes
necesarias. Hay proveedores que si proporcionan información al
respecto de sus prácticas de gestión de datos, pero no todos lo
hacen
6
Asegurarse que los datos que deban destruirse, realmente se
destruyen. Esto es especialmente importante, ya que una de las
cosas que no podemos controlar directamente es el número de
copias que existen realmente de nuestros datos
7
Responsables del mantenimiento, administradores y técnicos. Son
un riesgo porque los daños que pueden causar son mucho más
perjudiciales.8
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
4747
Larry Ellison, CTO de Oracle
“Estamos perdiendo la ciberguerra, no
podemos luchar con humanos contra
máquinas y es imposible securizar un
centro de datos extremadamente
complejo solo con personas"
Bastionado de sistemas cloud
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
4848
Bastionado de sistemas cloud
Multitenancy (que se ejecute en varios
clientes al mismo tiempo)
Desde el Hipervisor: bastionado,
ataques red, arranque, cifrado
Buenas prácticas en gestión de datos:
mezcla, segregación, destrucción
Optimizar rendimiento
Identificar usos y definir políticas de
seguridad
Utilizar entornos separados para
pruebas, desarrollo, producción…
Hacer auditorias de red y datos
Verificación
Cumplimiento legal
Cifrado y gestión de claves
Tener un sistema de respuesta ante incidentes
Gestión de identidades
Seguridad en las aplicaciones
Seguridad tradicional: Física, continuidad
negocio
Servicios: SIEM(Security Information and
Event Management ), IDS(Intrusion Detection
System)/IPS(Intrusion Prevention System),
Gestión de identidades, DLP(Data Loss
Prevention), Seguridad Web, Cifrado,
Continuidad
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
4949
Herramientas
[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]
5050
Agradecimientos y créditos e información legal
La mayoría de imágenes de esta presentación
se han obtenido de plataformas como pixabay,
Pxhere o commons Wikimedia, intentando respetar
siempre los derechos de uso de las mismas
Todas las marcas mencionadas son propiedad de sus respectivos dueños.
https://www.linkedin.com/in/antonio-fernandez-es/
https://www.linkedin.com/in/claudiochn/
Agradecimientos a Damián Fernández
por sus desarrollos, sin los cuales esto
no hubiera sido lo mismo y al equipo
de SCASSI en general por su apoyo
Gracias por su atención
Hora de las prácticas