Seg cloud 1_0

Estudio de la seguridad en sistemas Cloud Computing para la asignatura de Seguridad de la Información

CONTROL DOCUMENTAL

TÍTULO SEGURIDAD EN CLOUD COMPUTING PROYECTO Seguridad de la información ENTIDAD DE DESTINO Universidad Francisco Vitoria PÁGINAS 25 páginas PALABRAS 6107 palabras CÓDIGO DE REFERENCIA VERSIÓN 1.0 FECHA DE CREACIÓN lunes, 23 de enero de 2012 ULTIMA MODIFICACIÓN lunes, 23 de enero de 2012 NOMBRE DEL ARCHIVO SEG_CLOUD_1_0.DOCX TAMAÑO DEL ARCHIVO 848098 bytes HERRAMIENTA/S DE EDICION Microsoft Word 2010 AUTOR/ES Enrique Sánchez Acosta

RESUMEN DEL DOCUMENTO Estudio de la seguridad en sistemas Cloud Computing para la asignatura de Seguridad de la Información

Seguridad de la información | Enrique Sánchez Acosta

Universidad Francisco

Vitoria SEGURIDAD EN CLOUD COMPUTING

SEGURIDAD EN CLOUD COMPUTING Universidad Francisco Vitoria

Seguridad de la información | Enrique Sánchez Acosta Página 2 de 25

RESUMEN La evolución del Software hacia el Cloud Computing no ha sido más que una externalización de los

servicios existentes hacia lo que se dio en llamar la nube. En primera instancia fueron los productos los que tuvieron que evolucionar a la nube, a internet a no estar en las máquinas de los clientes, para posteriormente plantearse el tema de los servicios.

Está claro que un servicio es algo mucho más complejo, ¿Cómo se puede externalizar un servicio como puede ser una función, o un componente Software? En un principio se vio como algo muy complejo, pero poco a poco se fueron superando los retos y todo ha ido creciendo hacia el Cloud Computing, y no para ni parará de crecer. Ahora es algo más fácil desarrollar algo en Cloud Computing y venderlo, pero claro, ahora es cuando empieza a surgir el problema real. La seguridad.

En este documento trato de dar unas pautas de los problemas que podemos encontrarnos con cualquier servicio en Cloud Computing. Tanto los que puedan tener que ver con el proveedor de estos servicios, como los que se encuentra el cliente al contratarlos.

El tema es mucho mas extenso y complicado de lo que parece por lo que no trato aquí de dar una información excesivamente compleja y extensa sino de introducir al lector del presente documento en el tema de la seguridad y en todos los puntos que esta conlleva, para que se haga una idea de la importancia de la seguridad en Cloud Computing y de todos las posibles ramas que esta esta toca, no solo en cuanto a software, sino también en cuanto a los sistemas legales actuales de la sociedad, que a mi punto de vista no está bien preparada para todo este crecimiento del Cloud Computing.



ÍNDICE

Contenido 1. Definición .................................................................................................................. 5

1. Ejemplos de Cloud Computing .................................................................................................... 5

2. Tipologías .................................................................................................................................... 6

3. Ventajas ..................................................................................................................................... 10

A. Proveedor ........................................................................................................................... 10

B. Cliente ................................................................................................................................ 11

4. Inconvenientes ........................................................................................................................... 12

A. Proveedor ........................................................................................................................... 12

B. Cliente ................................................................................................................................ 12

2. Estudios de Seguridad ............................................................................................. 14

A. Amenazas y vulnerabilidades ............................................................................................ 14

a. Cliente.................................................................................................................................... 14

b. Proveedor ........................................................................................................................... 14

B. Aspectos legales ................................................................................................................ 14

a. Cliente.................................................................................................................................... 14

b. Proveedor ........................................................................................................................... 14

C. Confidencialidad ................................................................................................................ 15

a. Cliente.................................................................................................................................... 15

b. Proveedor ........................................................................................................................... 15

D. Integridad ........................................................................................................................... 15

a. Cliente.................................................................................................................................... 15

b. Proveedor ........................................................................................................................... 15

E. Disponibilidad ....................................................................................................................... 15

a. Cliente.................................................................................................................................... 15

b. Proveedor ........................................................................................................................... 15

F. Evidencias de auditoría .......................................................................................................... 16

a. Cliente.................................................................................................................................... 16

b. Proveedor ........................................................................................................................... 16

3. Privacidad ................................................................................................................ 17

1. Integridad ................................................................................................................................... 17

A. Control de integridad ......................................................................................................... 17

B. Gestión de cambios ............................................................................................................ 17



C. Las copias de seguridad ..................................................................................................... 18

2. Confidencialidad ........................................................................................................................ 18

3. Confianza ................................................................................................................................... 18

4. Certificaciones ........................................................................................................................... 18

4. Marco Legal ............................................................................................................. 20

5. Riesgos y amenazas ................................................................................................. 22

A. Amenazas y vulnerabilidades ............................................................................................ 22

B. Aspectos legales ................................................................................................................ 22

C. Confidencialidad ................................................................................................................ 22

D. Integridad ........................................................................................................................... 23

E. Disponibilidad ....................................................................................................................... 23

F. Evidencias de auditoría .......................................................................................................... 23

A. Accesos de usuarios con privilegios .................................................................................. 23

B. Cumplimento normativo .................................................................................................... 23

C. Localización de los datos ................................................................................................... 23

D. Aislamiento de datos ......................................................................................................... 24

E. Recuperación ......................................................................................................................... 24

F. Soporte investigativo ............................................................................................................. 24

G. Viabilidad a largo plazo ..................................................................................................... 24


1. DEFINICIÓN En primer lugar tenemos que de definir e introducir el nuSe trata de una tecnología emergente de la computación que utiliza internet y ser

remotos para el mantenimiento de datos y aplicaciones, aunque quizá una definición mas extensa sea quna tecnología que ofrece servicios a travésgratuita o de pago y responde a múltiples características integradas.

El “Cloud Computing” nació para dar respuesta a los problemas de los primeros grandes proveedores de servicio de Internet a gran escala (Google, Amazon AWS, etc.).

Todos ellos construyeron su propia infraedar solución a sus problemas a la hora de dar servicio a tantos usuarios.

1. EJEMPLOS DE CLOUD Muchas grandes empresas se han dedicado a ofrecer estos servicios de

promoviendo el fácil acceso a la información y que nos brindan, entre ellas podemos mencionar:

• Google Apps: brinda el servicio de aplicaciones para empresas como Gmail, Google Talk,

Google Calendar y Google Docs, etc.• Amazon Web Services: los servicios que ofrece son el Amazon EC2™, Amazon S3™,

SimpleDB™, Amazon SQS™.• Azure de Microsoft: ofrece servicios de sistema operativo, hosting, sistemas para desarrollo.• eyeOS con su proyecto

basado sobre el estilo del escritorio de un sistema operativo. El paquete básico de aplicaciones que vienen por defecto, incluye toda la estructura de un sistema operativo y algunas aplicaciones de tipo archivos, un mensajero, un navegador, una calculadora y más.

SEGURIDAD EN CLOUD COMPUTINGUniversidad Francisco Vitoria

Enrique Sánchez Acosta

e de definir e introducir el nuevo concepto de Cloud Computing:Se trata de una tecnología emergente de la computación que utiliza internet y ser

remotos para el mantenimiento de datos y aplicaciones, aunque quizá una definición mas extensa sea qservicios a través de internet, los usuarios de este servicio tienen acceso de forma

responde a múltiples características integradas. El “Cloud Computing” nació para dar respuesta a los problemas de los primeros grandes proveedores

de servicio de Internet a gran escala (Google, Amazon AWS, etc.). Todos ellos construyeron su propia infraestructura y emergió una arquitectura(Cloud Computing) para

dar solución a sus problemas a la hora de dar servicio a tantos usuarios.

LOUD COMPUTING

Muchas grandes empresas se han dedicado a ofrecer estos servicios de Cloud Computingla información y muchas características que nos hace pensar en la comodidad

que nos brindan, entre ellas podemos mencionar:

Google Apps: brinda el servicio de aplicaciones para empresas como Gmail, Google Talk, dar y Google Docs, etc.

Amazon Web Services: los servicios que ofrece son el Amazon EC2™, Amazon S3™, SimpleDB™, Amazon SQS™. Azure de Microsoft: ofrece servicios de sistema operativo, hosting, sistemas para desarrollo.

con su proyecto eyeOS: es un escritorio virtual multiplataforma, libre y gratuito, basado sobre el estilo del escritorio de un sistema operativo. El paquete básico de aplicaciones que vienen por defecto, incluye toda la estructura de un sistema operativo y algunas aplicaciones de tipo suite ofimática como un procesador de textos, unarchivos, un mensajero, un navegador, una calculadora y más.


Página 5 de 25

evo concepto de Cloud Computing: Se trata de una tecnología emergente de la computación que utiliza internet y servidores centrales

remotos para el mantenimiento de datos y aplicaciones, aunque quizá una definición mas extensa sea que es os usuarios de este servicio tienen acceso de forma

El “Cloud Computing” nació para dar respuesta a los problemas de los primeros grandes proveedores

structura y emergió una arquitectura(Cloud Computing) para

Cloud Computing, muchas características que nos hace pensar en la comodidad

Google Apps: brinda el servicio de aplicaciones para empresas como Gmail, Google Talk,

Amazon Web Services: los servicios que ofrece son el Amazon EC2™, Amazon S3™,

Azure de Microsoft: ofrece servicios de sistema operativo, hosting, sistemas para desarrollo. scritorio virtual multiplataforma, libre y gratuito,

basado sobre el estilo del escritorio de un sistema operativo. El paquete básico de aplicaciones que vienen por defecto, incluye toda la estructura de un sistema operativo y algunas

textos, un calendario, un gestor de



• Vmware con su proyecto vCloud: Con la que los usuarios tienen la seguridad de que las aplicaciones pueden gestionarse, moverse y que pueden correr en la Cloud de la misma forma que lo hacen internamente.

2. TIPOLOGÍAS Existen diferentes tipos de nubes en función de como sea su capa de Infraestructura, siguiendo al

NIST (NationalInstituteofStandards and Technology podemos distinguir cuatro tipos:

• Pública: En términos sencillos, los servicios Cloud públicos se caracterizan por estar disponibles para los clientes de un proveedor de servicios externo a través de Internet.

• Privada: Una nube privada ofrece muchas de las ventajas de un entorno de Cloud Computing pública. La diferencia entre una nube privada y una nube pública es que en una Cloud privada, los datos y los procesos se gestionan dentro de la organización sin las restricciones de ancho de banda de red, riesgos de seguridad y requisitos legales que el uso de los servicios en una Cloud pública podría conllevar.

• Comunitaria : Es controlada y utilizada por un grupo de organizaciones que tienen intereses

comunes, tales como los requisitos específicos de seguridad o una función común. Los miembros de la comunidad comparten el acceso a los datos y aplicaciones en la nube.

• Hibrida : Es una combinación de Clouds públicas y privadas que interactúan entre ellas. En

este modelo los usuarios suelen externalizar la información no crítica para el negocio en la Cloud pública, manteniendo los servicios esenciales para la empresa y los datos bajo su control.



Sin embargo no sería este el único tipo de topología, ya que se trata de una tecnología aun muy

reciente y varios autores tratan de clasificarla. Tenemos por otro lado otra clasificación de la topología del CCUS (Cloud Computing Use Cases) un

grupo formado por colaboradores de todo el mundo para definir y orientar esta tecnología. Este grupo divide el Cloud Computing según sus casos de uso, no según los requisitos como lo esta haciendo el NIST.

• Del usuario a la nube: Aplicaciones ejecutándose en Cloud y accedidas por usuarios finales

vía internet. Casos comunes son aplicaciones de hosted email y redes sociales. • Del usuario a la nube y vuelta al usuario: La empresa usa el Cloud para entregar datos y

servicios al usuario final, pudiendo se este último un empleado o cliente. • De la empresa a la nube: Aplicaciones Cloud integradas con capacidades IT internas de la

empresa. En este escenario la empresa usa servicios Cloud para complementar los recursos que necesita:

o Usando almacenamiento en Cloud para backups o almacenamiento de datos de menor utilización.

o Usando maquinas virtuales en la Cloud de cara a disponer de procesamiento adicional para manejar picos de carga (con la posibilidad de apagar estos VMs cuando no sean necesitados).

o Usando aplicaciones en el Cloud (SaaS) para ciertas funciones empresariales (email, CRM, etc.).

o Usando Bases de Datos en Cloud como parte del procesamiento de aplicaciones. Podria ser útil para compartir bases de datos con partners, agencias gubernamentales, etc.



• De la empresa a la nube y vuelta a la empresa: Este caso implica dos empresas utilizando la misma Cloud, de forma que las aplicaciones de ambas empresas puedan interoperar. El más claro ejemplo es una cadena de suministro.

• Privada: Similar a la definición aportada por NIST. • Cambio de proveedores: Una organización utilizando servicios Cloud decide cambiar a otro

proveedor o trabajar con proveedores adicionales. Este caso trata uno de los principales puntos defendidos por esta asociación que es la interoperabilidad y portabilidad entre diferentes entornos Cloud, evitando el lock in o la imposibilidad de migrar tus soluciones.

• Híbrida: Similar a la definición aportada por NIST con la salvedad que en el documento se asocian los requerimientos para una Cloud comunitaria como un conjunto de los requerimientos de una Cloud hibrida.

La tendencia principal de los últimos estudios de Cloud Computing es que sea precisamente esta última, la Híbrida la que más se está utilizando y la que probablemente triunfe en un futuro desbancando a todas las demás.

A este sistema hibrido y a otros vistos anteriormente podemos añadirle además el concepto de Cloud Privada Virtual donde usuarios de Clouds privadas acceden a recursos de infraestructura IT de proveedores Cloud mediante VPNs expandiendo por tanto los límites del firewall corporativo hasta el proveedor Cloud,permiten combinar recursos difícilmente escalables de la infraestructura tradicional, llevando aspectos específicos de la infraestructura IT como almacenamiento y computación a la Cloud pública, proveyendo escalabilidad, y agilidad mediante provisión bajo demanda.

Amazon Web Services lanzó Amazon Virtual Private Cloud en 2009, el cual proporciona a través de Amazon Elastic un servicio de red privado a través de IPSec con una conexión de red privada virtual.

También Google App Engine soporta una funcionalidad similar a través de SDC (SecureData Connect), un producto lanzado por Google también en 2009.





Página 9 de 25



3. VENTAJAS

“Lo realmente innovador en Cloud Computing es el cambio de mentalidad que está produciendo para que la tecnología sea usada por la gente preocupándose únicamente de lo que puede hacer con ella, no por

cómo implementarla”,

Daryl C. Plummer.

“Las ventajas del Cloud Computing son claras. El usuario final nota inmediatamente una mejora en la calidad del servicio y en su experiencia de uso. Por su parte las empresas se benefician de la posibilidad de atender una

fuerte demanda en un momento dado y ajustar de forma dinámica los recursos dedicados, todo ello sin que aumente la complejidad en la gestión”,

Luis Aguilar.

No hay duda que muchos autores están describiendo las ventajas del Cloud Computing y como está cambiando la forma de entender la programación del futuro. Actualmente el mercado ofrece una amplia variedad de soluciones de Cloud Computing. Pero hay que diferenciar las ventajas en dos factores, las que se aplican al proveedor y las que se aplican al cliente.

A. Proveedor Empresas que llevan muchos años haciendo software tradicional de repente y de manera mágica

resulta que su software está ‘En la Nube’. Ahora todo es Cloud y el que pierda el tren se quedará sin competitividad. En una primera instancia el proveedor se negaba a proporcionar a los clientes los servicios Cloud, siempre pensaron que podían proporcionar al cliente todo el software y el hardware necesario de forma dedicada, sin necesidad que fuera Cloud.

Esta es la etapa de la negación del proveedor: se asume que el cliente no sabe y que ha oído la última palabra de moda. Pero esto está comenzando a cambiar.

Su modelo de negocio tradicional está cambiando y los clientes piden cosas que antes nunca pedían. Y además o el proveedor les ofrece lo que quieren o el cambio a otra empresa Cloud es tan fácil e inmediato que se arriesgan a perder clientes.

Algunos proveedores hoy en día están ofreciendo servicios Cloud sin serlo, ofrecen maquinas completas dedicadas en la nube y las venden como un servicio Cloud simplemente porque está de moda y por qué no cuentan con la infraestructura de la empresa que les permita realizar bien el Cloud Computing. Una IaaS (Infraestructure as a Service) no es un conjunto de servidores virtualizados.

Una regla que todo proveedor debe utilizar para saber si está dando un servicio Cloud Computing es:

¿Puedo contratar un servicio de manera online y no volver a tratar con un técnico de soporte durante todo el ciclo de vida de despliegue de su

solución?

• No hay duda por tanto que el proveedor reportará grandes beneficios desmarcándose de las demás compañías, siendo el primero en adaptar el Cloud Computing.

• Además aunque el proceso sea muy costoso al principio llegara a una gran cantidad de clientes nuevos proporcionándoles una facilidad de uso e implantación que antes no tenían.



B. Cliente El cliente sin embargo tiene muchas más ventajas que el proveedor:

• Disminución de los costes: El Cloud Computing ofrece ventajas a las pymes en términos de reducción de costes. Pagaran por lo que usan.

• Opciones de almacenamiento escalable: Puede ampliar las opciones de almacenamiento para cubrir las necesidades sin problema, en lugar de tener que salir a comprar hardware costoso.

• Actualizaciones automáticas: No hay necesidad de que el departamento de IT tenga que preocuparse por el pago de actualizaciones futuras en términos de software y hardware.

• Acceso remoto: Los empleados pueden tener acceso a información donde quiera que estén, en lugar de obligarlos a mantenerse en un solo lugar la mayor parte del tiempo para acceder a lo que necesitan.

• Servicio ecológico: Cloud Computing utiliza menos energía que los centros de datos tradicionales lo cual es importante hoy en día.

• Facilidad de implementación: No hay necesidad de implementar hardware y componentes que pueden tardar varias horas en instalarse.

• El tiempo de respuesta: Cloud Computing logra un mejor tiempo de respuesta en la mayoría de los casos que en su hardware de servidor estándar.

• Incluso igualdad de condiciones pymes: Esto permite que las pequeñas empresas compitan más eficazmente con algunas de las empresas más grandes. Esto equilibra el campo de juego.

• Rendimiento y Durabilidad: Ejecutar sus sitios web y aplicaciones SaaS a un ritmo mucho más rápido con los beneficios de usar un servicio mucho más duradero.



4. INCONVENIENTES A pesar de su continua evolución, esta tecnología sigue suscitando dudas.

• ¿Son seguras las soluciones de Cloud Computing? • ¿Ofrecen una disponibilidad continua? • ¿Es posible mantener el control sobre sistemas y datos críticos que existen en la nube? • ¿es una solución con todo lo que necesita una empresa, que además está a la altura de lo que

se espera de ella?

A. Proveedor

• El mayor inconveniente para el proveedor es el gasto a realizar en el cambio de infraestructura para conseguir una IaaS (Infraestructure as a Service). La inversión tanto en hardware como en software necesario y en un equipo de desarrollo formado en las últimas tecnologías hacen que sea muy arriesgado adentrarse en ello.

• Habrá que ofrecer al cliente una gran calidad y un nombre importante por que muchos clientes optaran por empresas con mucho renombre ya que se van a vincular al servicio Cloud prácticamente para siempre.

B. Cliente

• Privacidad de los datos. El tráfico de los datos estará continuamente en manos de otros. Por eso es necesario ser muy escrupuloso con la elección del proveedor, debe ser una empresa de total confianza y con una gran solvencia pública.

• Dependencia de una empresa que puede hundirse. Por eso vuelve a ser necesario elegir con mucho cuidado. Las soluciones de las grandes empresas tipo IBM del sector suelen ser una solución segura.

Como todas las tecnologías lo mejor que tiene el Cloud Computing es que es una posibilidad más para elegir, pero cada cual tiene que hacer balance y decidir cuál es la mejor elección para su negocio.





Página 13 de 25



2. ESTUDIOS DE SEGURIDAD Desde el punto de vista del cliente tendremos que tener en cuenta algunas cosas que nos hagan

reflexionar sobre la seguridad de nuestro proveedor de Cloud Computing:

• No conocemos los procesos de gestión del proveedor • No tenemos acceso a la infraestructura • No podemos auditar el código • No podemos analizar los logs de autentificación y autorización • No podemos monitorizar los componentes

• No conocemos a todos los usuarios

Necesitaremos por lo tanto analizar bien en nuestra empresa la Gestión del riesgo para los servicios que contratemos de Cloud Computing.

Nos encontraremos entonces con diferentes desafíos a tener en cuenta cuando analicemos la seguridad

de una infraestructura de Cloud Computing:

A. Amenazas y vulnerabilidades

a. Cliente

• Evaluación recurrente de vulnerabilidades (una auditoría externa) • Solicitud de registros de Auditoría interna, certificaciones etc. • Evaluación recurrente de vulnerabilidades en las interfaces, importante para que

no haya errores futuros con el cliente

b. Proveedor

• Evaluación independiente de vulnerabilidades (Auditoría interna) sobre la infraestructura, código fuente, interfaces etc. Para proporcionar al cliente

• Implementación de metodologías de mejora continua, y gestión del riesgo como las ISO 27000, BS 25999, ISO 20000, etc.

B. Aspectos legales

a. Cliente

• Gestión de la información en cada sitio y registro de dicha información • Independencia de la ubicación en el desarrollo pero no en el procesamiento de los

datos • Integración del modelo de Software del proveedor con la infraestructura propia

del cliente

b. Proveedor

• Interconectividad para soportar múltiples orígenes de datos



• Localización física de los activos cumpliendo las leyes locales de cada país • Integración de los departamentos legales durante todo el ciclo del contrato

C. Confidencialidad

a. Cliente

• Preferencia de los proveedores ante los integradores • Mitigar los riesgos a través de acuerdos de confidencialidad

• Utilizar modelos de servicios para las aplicaciones que no son criticas

b. Proveedor

• Certificación de normas internacionales para aumentar el nivel de control y confianza

• Gestión integral del riesgo, incluyendo a clientes, empleados y terceros

• Soporte de las API y protocolos de encriptación propietarios del cliente

D. Integridad

a. Cliente

• Control del acceso a la información en cada ubicación • Separación de los ambientes y las pruebas • Análisis detallado de la integración de los servicios con la información cr´tica

b. Proveedor

• Implementación de herramientas centralizadas y mejores prácticas para el control del acceso

• Logs a medida que permitan una trazabilidad de accesos de los clientes

• Diseño de la infraestructura de almacenamiento y procesamiento.

E. Disponibilidad

a. Cliente

• Redundancia en la arquitectura base que garantice la escalabilidad en los vínculos públicos y privados

• Garantía de escalabilidad del software

b. Proveedor

• Aplicación del concepto “N+1” (ir un poco mas allá) aplicado a todos los componentes de la arquitectura

• Formalizar las métricas de disponibilidad



• Alto nivel de estandarización de los procesos y la infraestructura entre todas las ubicaciones físicas

F. Evidencias de auditoría

a. Cliente

• Almacenamiento local de la información y acceso distribuido • Separar el análisis y las prestaciones del servicio

• Planificar auditorías externas periódicas

b. Proveedor

• Análisis detallado de la información necesaria para cada cliente • Dimensionamiento de la capacidad necesaria bajo el modelo de servicio • Herramientas especificas para el análisis y correlación de los eventos de

seguridad

Según un informe del NIST (NationalInstitute of StandardsanTecnology) estos serían los aspectos fundamentales de seguridad a tener en cuenta a la hora de implantar una infraestructura de Cloud Computing

Área Recomendaciones Gobierno Implantar políticas y estándares en la provisión de servicios Cloud.

Establecer mecanismos de auditoría y herramientas para que se sigan las políticas de la organización durante el ciclo de vida.

Cumplimiento Entender los distintos tipos de leyes y regulaciones y su impacto potencial en los entornos Cloud. Revisar y valorar las medidas del proveedor con respecto a las necesidades de la organización.

Confianza Incorporar mecanismos en el contrato que permitan controlar los procesos y controles de privacidad empleados por el proveedor.

Arquitectura Comprender las tecnologías que sustentan la infraestructura del proveedor para comprender las implicaciones de privacidad y seguridad de los controles técnicos.

Identidad y control de acceso Asegurar las salvaguardas necesarias para hacerseguras la autenticación, la autorización y las funciones de control de acceso.

Aislamiento de software Entender la virtualización y otras técnicas de aislamiento que el proveedor emplee y valorar los riesgos implicados

Disponibilidad Asegurarse que durante una interrupción prolongada del servicio, las operaciones críticas se pueden reanudar inmediatamente y todo el resto de operaciones, en un tiempo prudente.

Respuesta a incidentes Entender y negociar los contratos de los proveedores así como los procedimientos para la respuesta a incidentes requeridos por la organización.


3. PRIVACIDAD Actualmente la información se ha convertido en el principal activo de las

personal. Asegurar la privacidad de dicha información es crucial para cualquier entidad. No solo hay que asegurar la información en su obtención sino a través de todo el ciclo de vida de la organización. Y por supuesto es también crucial asegurar dicha privacidad en los servicios de Cloud Computing

El ciclo de vida de los datos cuando son procesados en la nube es el siguiente:

Antes de migrar los datos por la nube es necesario preguntarse ¿Es realmente necesario que todos los datos de la organización pases a estar en la nube?

1. INTEGRIDAD Debido a las características de la computación en la

simultáneamente y modificando determinada información. Por ello, deben garanticen la correcta integridad de los datos.

En el ámbito del Cloud Computingsiendo transferidos constantemente entre los servicios en la nube y los distintos usuarios que a

La mayor amenaza para la integridad de los datos en la nube es que los datos se acaben corrompiendo debido a errores en su manipulación.

Para evitar que los datos en la nube no puedan utilizarse o que no estén disponibles se utilizan principalmente tres mecanismos: control de integridad, gestión de cambios y copias de seguridad.

A. Control de integridad Se obtiene un valor hash de los datos que viajan junto a estos. En el caso del Cloud Computing no

solo los ficheros tienen hash sino que tamb

B. Gestión de cambios

Los datos son preparados para poder

adaptarse a la nube



Actualmente la información se ha convertido en el principal activo de las organizaciones junto al personal. Asegurar la privacidad de dicha información es crucial para cualquier entidad. No solo hay que asegurar la información en su obtención sino a través de todo el ciclo de vida de la organización. Y por

ucial asegurar dicha privacidad en los servicios de Cloud Computing


Antes de migrar los datos por la nube es necesario preguntarse ¿Es realmente necesario que todos los os de la organización pases a estar en la nube?

Debido a las características de la computación en la nube, varios usuarios pueden determinada información. Por ello, deben implementarse los mecanis

integridad de los datos. Cloud Computing, la integridad de los datos es especialmente crítica: los datos están

siendo transferidos constantemente entre los servicios en la nube y los distintos usuarios que aLa mayor amenaza para la integridad de los datos en la nube es que los datos se acaben corrompiendo

debido a errores en su manipulación. Para evitar que los datos en la nube no puedan utilizarse o que no estén disponibles se utilizan

palmente tres mecanismos: control de integridad, gestión de cambios y copias de seguridad.

Control de integridad

Se obtiene un valor hash de los datos que viajan junto a estos. En el caso del Cloud Computing no solo los ficheros tienen hash sino que también las maquinas virtuales o las copias de seguridad.

Gestión de cambios

Los datos "viajan" a la nube por la conexción a

internet

Los datos son procesados en

la nube

finales vuelven

viajando por la


Página 17 de 25

organizaciones junto al personal. Asegurar la privacidad de dicha información es crucial para cualquier entidad. No solo hay que asegurar la información en su obtención sino a través de todo el ciclo de vida de la organización. Y por

ucial asegurar dicha privacidad en los servicios de Cloud Computing


Antes de migrar los datos por la nube es necesario preguntarse ¿Es realmente necesario que todos los

usuarios pueden estar accediendo implementarse los mecanismos que

, la integridad de los datos es especialmente crítica: los datos están siendo transferidos constantemente entre los servicios en la nube y los distintos usuarios que acceden a ellos.

La mayor amenaza para la integridad de los datos en la nube es que los datos se acaben corrompiendo

Para evitar que los datos en la nube no puedan utilizarse o que no estén disponibles se utilizan palmente tres mecanismos: control de integridad, gestión de cambios y copias de seguridad.

Se obtiene un valor hash de los datos que viajan junto a estos. En el caso del Cloud Computing no ién las maquinas virtuales o las copias de seguridad.

Los datos finales vuelven

al usuario viajando por la

nube



Mantener un historial de las modificaciones de modo que si se detecta un error en la integridad se

pueda volver a la versión anterior

C. Las copias de seguridad Hay que programarlas cada cierto tiempo, si hubiese un fallo en la integridad de estas, se puede

solucionar volviendo a la versión anterior.

2. CONFIDENCIALIDAD La confidencialidad del Cloud Computing se suele tratar a través del control de acceso a la

información o al software proporcionado por el proveedor, a través de algún tipo de autentificación ya sea por clave de acceso o cualquier otro dispositivo hardware como el que utiliza e-DNI.

Cuando una empresa o entidad utiliza las capacidades del Cloud Computing, necesita que el administrador del sistema establezca un correcto control de acceso para garantizar que los usuarios solo utilizan los datos o procesos para los que han sido autorizados.

3. CONFIANZA La confianza juega un papel fundamental en la adopción del Cloud Computing. Es fundamental tener

confianza en unos servicios sobre los que ya no se tendrá el control, no al menos como los departamentos de TI tienen por costumbre.

Las relaciones de confianza entre los diversos interesados en la nube (usuarios, corporaciones, redes, proveedores de servicios, etc.) deben considerarse atentamente a medida que la Cloud Computing evoluciona para administrar datos empresariales delicados.

Antes de que los datos delicados y reglamentados se trasladen a la nube, se deben enfrentar los problemas de estándares de seguridad y compatibilidad, entre ellos, la autenticación sólida, la autorización delegada, la administración de claves para datos encriptados, la protección contra la pérdida de datos y la creación de informes reglamentarios. Estos aspectos y las certificaciones nos darán una estimación del proveedor necesaria para la confianza que debemos mantener hacia este.

4. CERTIFICACIONES En los últimos meses la demanda de profesionales en Cloud Computing se ha incrementado, tanto en

los ámbitos de investigación de la empresas líderes en el mercado de TI como en los ámbitos de implementación y desarrollo. A pesar de ello, aún el mercado no cuenta con profesionales preparados formalmente en este paradigma. Si bien hay experiencia, lo cual es importante, también es cierto que la exigencia ha crecido y los empleadores están buscando profesionales más competitivos y mejor preparados. Entonces, es hora de que elevemos nuestras competencias frente a esta nueva tendencia.

Así, varias compañías han comenzado a ofrecer programas completos basados en la nube. A continuación detallo las más relevantes:



Proveedor Descripción Certificaciones The Art of Service Pty Ltd

Independiente de la tecnología a usar y es uno de los programas de certificación mas populares en Cloud Computing

Cloud Computing Foundation Cloud Computing Specialist: SaaS + Web Applications Cloud Computing Specialist: Virtualization Cloud Computing Specialist: PaaS& Storage Management Cloud Computing: Managing Services in the Cloud Cloud Computing Executive

Arcitura Education Inc Es uno de los programas más rigurosos que existen en Cloud Computing. Requiere un amplio conocimiento de plataformas y tecnologías para la nube

Certified Cloud Professional Certified Cloud Technology Professional Certified Cloud Architect Certified Cloud Governance Specialist Certified Cloud Security Specialist Certified Cloud Storage Specialist

Arcitura Education Inc Se basa en la aplicación de las tecnologías Microsoft: Windows Azure, SQL Azure, AppFabricService Bus, y Windows CommunicationFoundation 4.0, en apoyo de la Orientación a Servicios

Certified SOA .NET Developer

Microsoft Basados en el aprendizaje y uso de las tecnologías Microsoft: Windows Azure, SQL Azure, AppFabricService Bus, y Windows CommunicationFoundation 4.0

MCPD: Windows AzureDeveloper 4

IBM Es uno de los exámenes más rigurosos de Cloud Computing. Se evalúa profundamente los conocimientos en las diferentes formas del Cloud y la capacidad de mapear los requerimientos del cliente a las tecnologías IBM Software Cloud Computing

IBM Certified Solution Advisor - Cloud Computing Architecture V1

RedHatInc Diseñado para profesionales de TI con skills en despliegue de infraestructura Cloud Computing. El programa beneficia a administradores de sistemas Linux, Microsoft y Cisco

Red Hat Certified Virtualization Administrator

3Tera Basado en 3Tera AppLogic, una plataforma para Cloud Computing

3Tera Certified Cloud Operator 3Tera Certified Cloud Architect

Cloud Security Alliance Es el primer programa de certificación de seguridad en Cloud Computing

Certificate of Cloud Security Knowledge



4. MARCO LEGAL El Cloud Computing conlleva numerosas implicaciones jurídicas, sobre todo cuando de lo que

hablamos es que los datos se alojen en diferentes países, con diferentes legislaciones. Por ello, cuando convergen dos o más jurisdicciones surge la necesidad de determinar aspectos como la Ley aplicable, los tribunales competentes o las condicione exigibles para la transferencia de los datos a los sistemas del proveedor. Al firmar el correspondiente contrato o términos de uso, el cliente o contratante se vincula a aceptar una jurisdicción concreta.

En primer lugar, tanto la empresa contratante de servicios como la proveedora deben tener en cuenta

la definición de dato personal que establece el artículo 3 de la LOPD: un dato personal es cualquier información concerniente a personas físicas identificadas o identificables.

• Si los datos con los que se va a trabajar en la nube pertenecen a esta categoría, la empresa que

los trate debe cumplir con carácter previo con el conjunto de obligaciones previstas en la LOPD: la inscripción de ficheros, deberes relacionados con la información en la recogida, el consentimiento y la calidad de los datos, garantía de los llamados derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) o la adopción de medidas de seguridad

• Si los datos con los que se va a trabajar en la nube no son datos personales (son, por ejemplo, complejas operaciones matemáticas, cálculos físicos o químicos, etc.), se puede proceder sin que la LOPD señale impedimento alguno.

En el caso del Cloud Computing es fundamental revisar las condiciones del contrato a in de garantizar una adecuada previsión de las cuestiones relacionadas con la presencia de un encargado del tratamiento y/o una transferencia internacional de datos personales.

“En la prestación de servicios de Cloud Computing por terceros ajenos a la organización

responsable se produce lo que la LOPD y su Reglamento de Desarrollo (RDLOPD) denominan un encargo del tratamiento. Esto es, una prestación de servicios en la que los datos son objeto de algún tipo de tratamiento por parte del prestador/proveedor, quien pasa a ser el encargado del tratamiento.”



Esto es un resumen de los artículos mas importantes que deben tenerse en cuenta de la LOPD y la

RDLOPD en el caso del Cloud Computing.

Aspectos a contemplar Contenido de las cláusulas contractuales Acceso a los datos por cuenta de terceros

El responsable deberá: • Supervisar que el encargado reúne las garantías para el

cumplimiento de lo dispuesto por el RDLOPD. • Incluir una descripción del conjunto de instrucciones que el

encargado aplica para tratar los datos. • Establecer las medidas de seguridad que el encargado del

tratamiento está obligado a implantar.

El encargado deberá: • Utilizar los datos exclusivamente para los fines contratados. En

caso contrario, se convierte en responsable y debe responder por la infracción cometida.

• No comunicar esta información a terceros, ni siquiera para su conservación.

• Estar autorizado por el responsable para subcontratar y cumplir todos los requisitos de la LOPD y el RLOPD en esta materia.

• Destruir o devolver la información tratada al responsable una vez finalizado el contrato. Cabe cumplir la obligación de devolución mediante la migración de los datos a un nuevo proveedor.

Seguridad de los datos El responsable deberá: • Adoptar las medidas técnicas y organizativas necesarias para

garantizar la seguridad de los ficheros. • Evitar que la información se pierda o que sea accedida o tratada

por personal no autorizado. • Establecer medidas de prevención frente los distintos riesgos a los

que se encuentran sometidos los datos, ya provengan de la acción humana, sean tecnológicos o dependan del entorno físico o natural.



5. RIESGOS Y AMENAZAS Como todo, lo de “estar en las nubes” tiene sus riesgos: • Abuso o uso ilegal de “la nube” • Interfaces no seguras • Espías maliciosos (internos y externos) • Vulnerabilidades tecnológicas compartidas • Pérdida/ filtración de datos • Secuestro de cuentas, servicios o tráfico.

Hasta este momento conocíamos un modelo tradicional de Gestión del riesgo basado en una serie de puntos como los siguientes:

1. Identificación de activos 2. Identificación de amenazas 3. Identificar vulnerabilidades 4. Medir el riesgo 5. Implementar controles

Pues bien, esto y no es suficiente cuando tenemos que hablar de Cloud Computing, tendremos que hacer un sistema de análisis de riesgo diferente o quizá fiarnos más de la empresa proveedora. Al final prácticamente todo será una cuestión de confianza, ya que:

o Los activos no son conocidos, solo conocemos las interfaces o Las amenazas no se conocen realmente, ni tenemos acceso a la infraestructura ni a las

ubicaciones físicas ni como se encuentran o Las vulnerabilidades solo las conoceremos a nivel de las interfaces, tanto publicas como

privadas o Para medir el riesgo solo podremos analizar el impacto de cada servicio contratado en el

negocio o Y para implementar los controles necesitaremos alguna nueva metodología ya que ahora

resulta mucho más complicado que con el modelo tradicional

A. Amenazas y vulnerabilidades Necesitaremos delegar en el proveedor parte del proceso de la Gestión del riesgo.

B. Aspectos legales Las leyes de protección de datos de cada país regulan el servicio de IT y compiten por el nuevo

concepto de “ubicuidad”, será complicado adecuarnos a este nuevo concepto.

C. Confidencialidad



¿Quién tiene acceso de la información y como controlarla?

D. Integridad ¿Qué procesos y personas desconocidas para el cliente pueden modificar la información y que

registros quedan de esas modificaciones?

E. Disponibilidad La infraestructura tiene que estar siempre disponible, aunque se encuentre en muchas localizaciones

físicas

F. Evidencias de auditoría ¿Cómo vamos a almacenar y distribuir la información necesaria para regular la infraestructura?

Siendo esta una infraestructura que no nos pertenece claro. Las principales amenazas del Cloud Computing: La eliminación de la información nos ofrece pocas garantías La inversión en certificaciones nos produce una pérdida de valor en nuestra empresa Podemos caer en el exceso de confianza, en ceder demasiado a la empresa suministradora Conseguir un menor tiempo de posicionamiento en el mercado pero y la seguridad del código? ¿Cómo

de seguro es el código para nuestros usuarios? Otro estudio de los riesgos más importantes es el realizado por Gartner SA.

A. Accesos de usuarios con privilegios El procesamiento o tratamiento de datos sensibles fuera de las instalaciones de la empresa conlleva un

riesgo inherente, ya que es posible que estos servicios externos sorteen los controles físicos, lógicos y humanos siendo, por este motivo, necesario conocer quién maneja dichos datos. Por tanto, se hace obligatorio consensuar con el proveedor los usuarios que tendrán acceso a esos datos, para minimizar así los riesgos de que haya usuarios con elevados privilegios que no deberían tener acceso a los datos.

B. Cumplimento normativo Los clientes son en última instancia responsables de la seguridad e integridad de sus datos, aunque

estos se encuentren fuera de las instalaciones y gestionados por un proveedor de servicios Cloud. Los prestadores de servicios tradicionales se hallan sujetos a auditorías externas y certificaciones de seguridad, por lo tanto los proveedores de servicios en la nube también deben acogerse a este tipo de prácticas. Si se negasen a este tipo de auditorías no se les debería confiar los datos sensibles de la empresa.

C. Localización de los datos Al utilizar entornos en la nube no se conoce de forma exacta en qué país están alojados. Se debe

consultar con los proveedores cuál es el marco regulatorio aplicable al almacenamiento y procesado de datos,



siendo una buena práctica cerrar un acuerdo con el proveedor para que el tratamiento de los datos se subyugue al marco legal del país del suscriptor del servicio.

D. Aislamiento de datos Los datos en los entornos Cloud comparten infraestructura con datos de otros clientes. El proveedor

debe garantizar el aislamiento de los datos de los respectivos clientes. El cifrado de los datos es una buena práctica, pero el problema es cómo aislar los datos cuando se encuentran en reposo ya que el cifrado, cuando no se hace uso de los datos, puede resultar una operación costosa.

El prestador del servicio debe garantizar que los datos en reposo estarán correctamente aislados y que los procedimientos de cifrado de la información se realizarán por personal experimentado, ya que el cifrado de los datos mal realizado también puede producir problemas con la disponibilidad de los datos o incluso la pérdida de los mismos.

E. Recuperación Los proveedores de servicio deben tener una política de recuperación de datos en caso de desastre.

Asimismo, es muy recomendable que los datos sean replicados en múltiples infraestructuras para evitar que sean vulnerables a un fallo general.

Se debe exigir a los proveedores los datos sobre la viabilidad de una recuperación completa y el tiempo que podría tardar.

F. Soporte investigativo La investigación de actividades ilegales en entornos Cloud puede ser una actividad casi imposible,

porque los datos y logs (registros de actividad) de múltiples clientes pueden estar juntos e incluso desperdigados por una gran cantidad de equipos y centros de datos. Lo recomendable será que el proveedor garantice que los logs y los datos de los incidentes se gestionan de una forma centralizada.

G. Viabilidad a largo plazo En un entorno ideal un proveedor de servicios Cloud siempre permanecerá en el mercado dando un

servicio de calidad y con una disponibilidad completa, pero el mercado es cambiante y cabe la posibilidad de que el proveedor sea comprado o absorbido por alguno con mayores recursos.

El cliente debe asegurarse que podrá recuperar sus datos aún en el caso de que el proveedor sea comprado o absorbido por otro o bien contemplar la posibilidad de que los datos puedan ser migrados a la nueva infraestructura.



BIBLIOGRAFÍA • Guía para empresas: Seguridad y privacidad en Cloud Computing por Instituto Nacional de Tecnología de

la Comunicación. • Cloud Computing Use Cases White Paper por Cloud Computing Use Case DiscussionGroup • Guía de seguridad de las TIC por el Centro Criptológico Nacional • http://cloudusecases.org/ • Casos de uso de Cloud Computing por Iván de Dios • Riesgos y amenazas en Cloud Computing por Inteco-CERT (Plan Avanza, Instituto Nacional de

tecnología de la comunicación)

• Certificaciones Cloud Computing por SOA – BPM - BI

Seg cloud 1_0

Technology

Transcript of Seg cloud 1_0