Seguridad en la Nube (cloud computing)
Administración y Seguridad de Sistemas 2016
Raúl Speroni
CI: 4.177.0478
Martín Berguer
CI: 4.500.3225
Martín Steglich
CI: 4.607.0849
Cristian Bauza
CI: 4.529.3204
Cloud Computing Administración y Seguridad de Sistemas 2016 1/28 Facultad de Ingeniería Universidad de la República
Indice Indice Introducción [1] Marco Conceptual Definiciones de cloud computing Definición [2] Principales Características [3] Acceso Ubicuo a los Datos Aspectos Económicos Escalabilidad y Flexibilidad Deslocalización de Datos y Procesos Dependencia de Terceros Terminología [4] Cloud Service Provider (CSP) Multitenant Modelos de Deployment [4] Private cloud Community cloud Public cloud Hybrid cloud Modelos de servicio [4] Software como Servicio (SaaS): Plataforma como servicio (PaaS) Infraestructura como Servicio (IaaS) Mitos sobre seguridad en cloud computing [5] Cloud computing es inherentemente inseguro Existen más ataques a los proveedores de cloud computing No es necesario ocuparse de la seguridad en entornos cloud No hay forma de saber lo que los proveedores hacen con los datos Buenas prácticas y experiencias en cloud computing [6] Estado de situación Tecnología Personas Procesos Riesgos y amenazas en cloud computing [7] Amenazas según CSA [8] Abuso y mal uso del cloud computing Interfaces y APIs poco seguras Amenaza interna Problemas derivados de las tecnologías compartidas Pérdida o fuga de información Secuestro de sesión o servicio Cloud Computing Administración y Seguridad de Sistemas 2016 2/28 Facultad de Ingeniería Universidad de la República
Riesgos por desconocimiento Riesgos detectados por Gartner [9] Accesos de usuarios con privilegios Cumplimento normativo Localización de los datos Aislamiento de datos Recuperación Soporte investigativo Viabilidad a largo plazo Aspectos clave de seguridad en cloud según NIST [10] Gobernanza Cumplimiento Confianza Arquitectura Identidad y control de acceso Aislamiento de Software Protección de datos Disponibilidad Respuesta a incidentes Recomendaciones de seguridad según NIST Conclusiones Referencias
Cloud Computing Administración y Seguridad de Sistemas 2016 3/28 Facultad de Ingeniería Universidad de la República
Introducción [1] A medida que la tecnología avanza en nuestro entorno y nuestras necesidades comienzan a incrementarse, es necesario adaptar la forma de trabajo al contexto. Históricamente, si observamos la evolución de los sistemas, podemos ver que los datos en un inicio se almacenaban en los ordenadores centrales que recolectaban toda la información, luego comenzó a surgir la arquitectura clienteservidor, y en la actualidad ya es una realidad el modelo cloudcomputing. El concepto de cloud computing surge del aprovechamiento de las capacidades generadas por los avances en las redes, altas disponibilidades de conectividad a grandes velocidades y gigantes centros de datos de gran capacidad de procesamiento y almacenamiento, lo que generó el ambiente ideal para poder tener almacenada la información y nuestros sistemas en estos centros de datos pudiendo acceder a ella desde cualquier parte, en cualquier momento y de manera segura. En la actualidad, es una realidad que la nube se ha convertido en una alternativa para la infraestructura de los sistemas. Un gran número de compañías ya tienen sus sistemas funcionando en la nube, ya sea total o parcialmente, lo que en principio trae muchos beneficios, por dar algunos ejemplos, desentenderse del cuidado de los data center, y en muchos casos ahorrar dinero. Pero como todo, tiene sus pro y sus contras, uno de los temas importantes que se introduce con la nube es el de la seguridad, este tema es uno de los grandes cuestionamientos que se hacen algunas empresas que aún se rehúsan a migrar sus sistemas y datos a la nube, sobre todo cuando se trata de empresas que manejan información sensible. La idea de este artículo es tratar el tema de la seguridad en la nube de una manera amplia y analizar qué tan peligroso puede ser, y qué medidas hay que tomar para prevenir posibles problemas.
Cloud Computing Administración y Seguridad de Sistemas 2016 4/28 Facultad de Ingeniería Universidad de la República
Marco Conceptual En esta sección presentaremos un breve marco teórico de los conceptos que se utilizarán a lo largo del documento, lo que permitirá una comprensión más ágil del mismo.
Definiciones de cloud computing Definición [2] Podemos decir que el término cloud computing refiere tanto a las aplicaciones entregadas como servicios a través de Internet, como al el hardware y software de sistemas (alojados en los centros de datos) que proporcionan estos servicios. El hardware y el software del centro de datos es lo que llamaremos una " nube ". Desde el punto de vista del hardware, cloud computing introduce entre otros, tres nuevos aspectos que son fundamentales: ● La ilusión de recursos informáticos infinitos, disponibles bajo demanda. ● La libertad de las empresas de comenzar poco a poco y aumentar los recursos de hardware a medida que aumenten sus necesidades. ● La capacidad de pagar por el uso de los recursos informáticos a corto plazo, según sea necesario (por ejemplo, procesadores por hora y el almacenamiento por el día) y liberarlos cuando sea necesario.
Principales Características [3] Acceso Ubicuo a los Datos Una de las principales características de la nube es la disponibilidad de las datos, solo hace falta un dispositivo y una conexión a internet para tener acceso a aplicaciones en la nube en cualquier momento. En la actualidad, los dispositivos móviles son una parte importante del modelo de negocios de una empresa, los cuales combinados con los
Cloud Computing Administración y Seguridad de Sistemas 2016 5/28 Facultad de Ingeniería Universidad de la República
dispositivos fijos brindan nuevas oportunidades de desarrollo en la actividad empresarial. Aunque es importante puntualizar una desventaja, siempre será necesario tener acceso a internet para el correcto funcionamiento, y por otra parte, la performance de una aplicación de escritorio es mejor que la de una aplicación web.
Aspectos Económicos En general desplegar un nuevo servicio en un modelo informático basado en la nube es más económico que la tradicional forma, ya que por ejemplo, no se necesita una inversión inicial en un centro de datos, si no que podemos comprar los recursos necesarios para un comienzo e ir escalando los mismos a medida sea necesario.
Escalabilidad y Flexibilidad Esto es una clara ventaja contra el modelo tradicional, en el modelo cloud, es trivial el poder agregar o quitar recursos a una instancia de un sistema, pero también es posible en muchos casos replicar ese sistema, lo que se llama escalabilidad horizontal, en cambio en el sistema tradicional, tendríamos que seguir un protocolo para poder comprar componentes y a su vez en muchos casos luego hay que bajar el sistema por un lapso de tiempo para agregar los recursos y hacer las configuraciones necesarias. En el modelo cloud, los sistemas siguen funcionando aún cuando estamos agregando algún recurso. Del mismo modo, si después de un tiempo vemos que el servicio no necesita tanta capacidad, podemos reducir la misma sin inconvenientes.
Deslocalización de Datos y Procesos En un entorno tradicional, podemos saber en que servidor estan los datos o está corriendo un proceso, en el entorno cloud, con las tecnologías de virtualización perdemos la localización de estos, esto, no significa una desventaja en sí, ya que podemos decidir quién puede acceder o modificar los datos.
Cloud Computing Administración y Seguridad de Sistemas 2016 6/28 Facultad de Ingeniería Universidad de la República
En el contexto de una empresa que brinda servicios globales, esto puede ser muy beneficiosos, por ejemplo, se podrían colocar los servicios distintos puntos del planeta y asi poder mejorar localmente los tiempos de respuesta. También facilita las copias de seguridad, no solo de los datos, si no del servidor entero. Una desventaja es que hay que ver el marco jurídico correspondiente, ya que en muchos casos, por ejemplo podríamos estar violando alguna norma al transferir datos personales internacionalmente.
Dependencia de Terceros En general, al considerar una forma de trabajo con una plataforma basada en la nube, existirá
una empresa tercerizada contratada para brindar los servicios
correspondientes. El principal beneficio de esto, es que nos deslindamos completamente del mantenimiento de hardware todos los cuidados relacionados, dígase recintos especiales, personal capacitado, suministro eléctrico, conectividad, etc. Los proveedores de servicio en la nube, no solo brindan servidores virtuales, si no también acceso a procesos de copias de seguridad, replicación, escalabilidad entre otros, con lo que de alguna manera, comparten su control con el usuario u organización. Establecer un nivel adecuado de transparencia en el mercado a la hora de negociar los términos y condiciones en los contratos es fundamental para contrarrestar la falta de control derivada de la dependencia de terceros que muchas veces son intangibles, ya que no firmamos un contrato escrito bajo las normas jurídicas del país en el que recidimos, si no que simplemente se contrata a traves de internet.
Cloud Computing Administración y Seguridad de Sistemas 2016 7/28 Facultad de Ingeniería Universidad de la República
Terminología [4] Cloud Service Provider (CSP) Un proveedor externo que brinda servicios de hosting, monitoreo y otros servicios a través de la computación en nube. Una sola organización puede tener múltiples relaciones contractuales con los CSP en función de sus necesidades.
Multitenant Con la mayoría de los CSP, un cliente es un solo uno de los muchos "inquilinos" (clientes que hacen uso de servicios brindados por un CSP) que comparten recursos y tecnologías comunes. El concepto de multitenant afecta a cómo se organizan y se proporcionan los recursos entre los clientes del CSP. Por ejemplo, los datos de un cliente en la nube podrían ser alojados en una única plataforma de almacenamiento de datos de gran tamaño que se comparte con los datos de múltiples inquilinos de la misma solución en la nube.
Modelos de Deployment [4] Los tipos más comunes de modelos de deployments según “National Institute of Standards of Technology” de EEUU son:
Private cloud La infraestructura de la nube es operada únicamente por una organización individual y administrada por la organización o por un tercero; puede existir dentro o fuera de la ubicación de la organización.
Community cloud La infraestructura de la nube es compartida por varias organizaciones y es compatible con una grupo específico de organizaciones que tiene intereses comunes (por ejemplo, requisitos de la misión, la colaboración de la industria, o de cumplimiento). Podría ser Cloud Computing Administración y Seguridad de Sistemas 2016 8/28 Facultad de Ingeniería Universidad de la República
gestionado por las organizaciones del grupo o por un tercero y puede existir dentro o fuera de las instalaciones.
Public cloud La infraestructura de la nube está disponible para el público en general o de un grupo grande de la industria y es propiedad de una organización que vende servicios en la nube.
Hybrid cloud La infraestructura de nube se compone de dos o más nubes (Private, Community o Public) que permanecen a entidades únicas, pero están desarrolladas bajo un estándar de carácter propietario, que permite portabilidad de aplicaciones y datos.
Modelos de servicio [4] Los servicios que ofrece un CSP en la nube, generalmente se denominan como “cloud service delivery models”, y los más comunes son:
Software como Servicio (SaaS): Este modelo es aplicado cuando el usuario encuentra en la nube las herramientas finales con las que puede implementar directamente los procesos de su empresa.
Plataforma como servicio (PaaS) Entornos de desarrollo para la construcción y despliegue de aplicaciones. El CSP ofrece a sus clientes alguna herramienta de carácter frecuentemente propietario que facilite la creación de sistemas de aplicaciones, programas, etc. de modo que éstos operen con infraestructura del CSP.
Infraestructura como Servicio (IaaS) En ese caso el proveedor proporciona capacidades de almacenamiento y proceso en bruto, sobre las que el usuario ha de construir las aplicaciones que necesita su empresa sin ningun valor agregado. Se puede decir que éste el modelo más primitivo de nube.
Cloud Computing Administración y Seguridad de Sistemas 2016 9/28 Facultad de Ingeniería Universidad de la República
En el siguiente esquema vemos las diferencias en cuanto a la responsabilidad y el control que se puede tener dependiendo del Modelo de servicio elegido:
Desde el punto de vista de una organización que quiere tener el control de su aplicación, en caso de utilizar: ● Un servidor propietario o mantenido por la organización, tendrá el control total sobre la aplicación, la máquina virtual donde se encuentre alojada la aplicación, el servidor y almacenamiento. ● Un modelo tipo IaaS, tendrá el control total de la aplicación sin embargo el mantenimiento de la máquina virtual está compartido con el CSP y no tendrá control sobre el servidor ni el almacenamiento que se utilice para alojar la aplicación. ● Un modelo tipo PaaS, tendrá el control parcial de la aplicación y la máquina virtual y en contrapartida el CSP tendrá control parcial sobre estas dos y a su vez control total del servidor y el almacenamiento. ● Un modelo tipo SaaS, no tendrá ningun control sobre ninguno de los mencionados anteriormente y será CSP el encargado de su mantenimiento, control, etc. Cloud Computing Administración y Seguridad de Sistemas 2016 10/28 Facultad de Ingeniería Universidad de la República
Mitos sobre seguridad en cloud computing [5] Cloud computing es inherentemente inseguro Es común escuchar que los datos en data centers propios están más seguros que en la Nube, dicha afirmación parte de la percepción de muchos técnicos, basándose en que un mayor control de la red y de los servidores equivale a mayor seguridad de los datos. Sin embargo éste tipo de afirmaciones se pueden rebatir exponiendo el hecho de que las grandes empresas proveedoras de este tipo de servicios frecuentemente invierten una gran cantidad de recursos para asegurar sus ambientes y lo hacen con una experiencia técnica y tecnologías difícilmente comparables con los recursos con los que cuentan las pequeñas empresas enfocadas en sus negocios particulares. Lo anterior es reforzado por el concepto de economía de escala : mientras que las empresas pequeñas deben abarcar todos los aspectos del negocio dificultando la especialización, los proveedores de cloud computing se especializan sólo en uno. Su negocio y su escala, les permiten invertir en calidad y cantidades prohibitivas para otro tipo de empresas.
Existen más ataques a los proveedores de cloud computing Según el informe 2014 de Alert Logic , tanto los proveedores de cloud computing como los data centers privados sufrieron un incremento en las vulnerabilidades detectadas. Los proveedores cloud tuvieron un incremento levemente mayor que los datacenters privados pero éstos demostraron ser más susceptibles. Expertos concluyen que los riesgos en internet son iguales para ambos tipos de infraestructuras, siempre que se utilicen los mecanismos de prevención y detección de ataques de última generación, aspecto que es favorecido en los proveedores cloud a causa de la economía de escala.
Cloud Computing Administración y Seguridad de Sistemas 2016 11/28 Facultad de Ingeniería Universidad de la República
No es necesario ocuparse de la seguridad en entornos cloud A menudo se cree que como la infraestructura en la nube es un servicio, la seguridad de dicha infraestructura es también un servicio por defecto y por lo tanto los técnicos del cliente no deben ocuparse de ella. Sin embargo la seguridad en la nube requiere la misma disciplina que la seguridad en infraestructuras privadas. Los servidores clouds son tan buenos como se pueda esperar, pero las debilidades vienen de las políticas o la falta de éstas. Es necesario delimitar correctamente las responsabilidades, en general todo lo referente al hardware y la red es responsabilidad del proveedor, y todo lo demás es responsabilidad del cliente.
No hay forma de saber lo que los proveedores hacen con los datos Al almacenar los datos en la nube es necesario confiar no sólo en los empleados propios sino también en los empleados de el proveedor, esto se debe a existe la posibilidad que los proveedores examinen los datos en formas no deseadas invadiendo así la privacidad corporativa o de los empleados. Sin embargo existen mecanismos para evitar que dicha intrusión suceda, solicitando al proveedor la configuración de logs de acceso y auditoría así como en casos sensibles verificando la identidad y antecedentes de las personas que pudieran tener acceso a los datos.
Cloud Computing Administración y Seguridad de Sistemas 2016 12/28 Facultad de Ingeniería Universidad de la República
Buenas prácticas y experiencias en cloud computing [6] Estado de situación La adopción de la computación en la nube por parte de organizaciones y empresas de todo tamaño se ha incrementado notablemente, de hecho una investigación del año 2012 encontró que el 71% de las organizaciones está usando, planea usar o está investigando sobre cloud computing. Éste incremento en la adopción de computación en la nube así como del interés en dicho tipo de infraestructura se ha visto reflejado en un aumento sustancial del gasto en infraestructura. Se estima que a nivel mundial el mercado de infraestructura para cloud computing privadas crecerá de más de 12 billones en 2013 a 22.2 billones en 2017. Esto representa un crecimiento anual del 17.6% para el periodo 20122017. El mismo orden de gasto se espera para el mercado del cloud computing público. Se espera que cada vez más organizaciones de tecnología vean el cloud Computing privado como el próximo paso lógico luego de la virtualización de servidores. Los servicios, herramientas de análisis, el almacenamiento para big data así como el software necesario para construir y operar infraestructura cloud madurará cada vez más, volviéndose más simples de implementar y usar. Asimismo una serie de estándares de la industria, como OpenStack también se irán imponiendo y madurando con el fin de promover mayor interoperabilidad y portabilidad ayudando a crear una capa de software que pueda proveer un servicio más flexible y barato.
Tecnología ● En general se considera una buena práctica tecnológica construir primero infraestructura cloud privada y posteriormente implementar soluciones públicas o híbridas . Se ha visto que es más sencillo para las organizaciones comenzar con soluciones cloud que les permitan tener sus datos e Cloud Computing Administración y Seguridad de Sistemas 2016 13/28 Facultad de Ingeniería Universidad de la República
infraestructura dentro de la organización por razones de seguridad y comodidad, contando en todo caso con pequeñas partes del negocio en soluciones cloud públicas de forma separada. Eventualmente cuando la organización se asienta en el uso de éstas nuevas tecnologías el objetivo pasa a ser contar con única solución cloud de tipo federada que integre todas las partes existentes. ● También es recomendable virtualizar la infraestructura antes de migrar a cloud . Desde un punto de vista tecnológico el modelo de cloud Computing comienza con la virtualización, de manera de abstraer la capa física del resto de los sistemas. Dicha virtualización es la base para ofrecer una solución cloud de Infraestructura como servicio. Recién cuando se completa esa etapa se puede pensar en ofrecer plataformas como servicio , esto es capas superiores que provean por ejemplo manejadores de bases de datos para ambientes de desarrollo y testeo. ● Se debe elegir cuidadosamente la plataforma de cloud computing , si bien es cierto que los hipervisores de virtualización son la base del cloud computing, la emergente capa de software a veces referido como “sistema operativo cloud” es la verdadera plataforma base, y la capa más crítica para el software. Dicha capa se abstraerá de grandes pools de cómputo, almacenamiento y redes para proveer de mecanismos automáticos para el manejo de recursos dinámicos a través de api’s (del inglés, Application Programming Interface) disponibles a los usuarios. La elección de dicha plataforma determinará las funcionalidades de la infraestructura cloud privada así como la posibilidad de interoperar con proveedores de cloud públicos. ● Es buena idea apuntar a nuevas aplicaciones, en fases de desarrollo o testing para obtener mayores ganancias y menor riesgo. En todas las etapas de adopción de cloud computing; el proceso de decidir qué proyectos desplegar en la nube es muy complejo y varía dependiendo de la organización y la industria. Hoy en día la mayor parte de las aplicaciones corriendo en ambientes cloud son nuevas aplicaciones que fueron diseñadas con éste propósito. Se ha visto que
Cloud Computing Administración y Seguridad de Sistemas 2016 14/28 Facultad de Ingeniería Universidad de la República
las nuevas aplicaciones se pueden desplegar y testear más rápidamente en ambientes cloud lo que acelera el proceso de desarrollo, además la posibilidad de prototipado y pruebas de concepto sin tener que solicitar recursos de antemano aceleran y favorecen la innovación.
Personas ● Con frecuencia el cambio es más costoso en las Personas que en la tecnología, es recomendable promover nuevos roles, tareas y liderazgos alrededor de cloud Computing . El éxito a largo plazo de la adopción de tecnologías cloud no sólo requiere competencias técnicas sino una cultura orientada a los servicios. Las organizaciones maduras, por lo general han pasado por procesos de reestructura o reorganización en la adopción de cloud, con frecuencia creando roles que habiliten nuevos liderazgos. Últimamente la experiencia y habilidades con tecnologías cloud es vista como un requisito para las áreas de infraestructura. ● Es posible que sea necesario reasignar roles ; con la creciente automatización y estandarización que trae el cloud computing las organizaciones por lo general detectan que recursos que antes se dedicaban a tareas manuales y de mantenimiento se encuentran libres. Estos recursos pueden ser reasignados para invertir más en innovación logrando obtener resultados más rápidamente.
Procesos ● Es importante la gestión de servicios end to end . La administración de servicios cloud requiere una transición desde el modelo tradicional a uno llamado end to end que define y administra las capacidades tecnológicas en términos de políticas, acuerdos de calidad y servicios (SLA’s). ● Es fundamental el establecimiento de una arquitectura a nivel de empresa. En las primeras etapas de la adopción de soluciones cloud se ve una
Cloud Computing Administración y Seguridad de Sistemas 2016 15/28 Facultad de Ingeniería Universidad de la República
consideración mínima por el impacto en la arquitectura de TI de la empresa. En etapas posteriores los arquitectos se aseguran de establecer requerimientos y estándares, internos y externos de manera de proveer un servicio de forma segura en toda la organización. ● Idealmente los entornos cloud deben usar estándares siempre que sea posible , su uso habilita la interoperabilidad y la portabilidad de información a través de un amplio abanico de recursos internos y externos. Lamentablemente no existe un único set de estándares con respecto a las tecnologías cloud pero pueden tomarse medidas para su uso. OpenStack por ejemplo es un proyecto open source que utiliza estándares donde es posible. En los aspectos donde no exista estandarización el uso de código abierto es preferido dada su capacidad para ser auditado y comprendido.
Cloud Computing Administración y Seguridad de Sistemas 2016 16/28 Facultad de Ingeniería Universidad de la República
Riesgos y amenazas en cloud computing [7] En esta sección se muestra lo más importante del artículo "Riesgos y Amenazas en cloud computing" escrito por el Instituto Nacional de Tecnología de la Comunicación de España (INTECO) en Marzo de 2011. En éste artículo se analizan las amenazas, riesgos y recomendaciones que han descrito diferentes organizaciones del sector como son la organización internacional CSA (Cloud Security Alliance), la consultora Gartner y el instituto norteamericano NIST (National Institute of Standards and Technology).
Amenazas según CSA [8] La CSA se define como una organización internacional sin fines de lucro para promover el uso de mejores prácticas para garantizar la seguridad en cloud, en Marzo de 2010 publicó un informe sobre las siete mayores amenazas de la infraestructura cloud.
Abuso y mal uso del cloud computing Esta amenaza afecta a los modelos de servicios IaaS y PaaS . Está relacionada con un registro de acceso a éstas plataformas con pocas restricciones, esto puede llevar a que cualquiera pueda acceder al servicio, acompañado de una gran cantidad de spam, código malicioso, etc. Las recomendaciones que plantea la CSA son: ● Implementar un sistema de registro de acceso más restrictivo. ● Coordinar y monitorear el fraude en tarjetas de crédito. ● Monitorizar el tráfico de clientes para la detección de posibles actividades ilícitas. ● Comprobar las listas negras públicas para identificar si los rangos IP de la infraestructura han entrado en ellas.
Cloud Computing Administración y Seguridad de Sistemas 2016 17/28 Facultad de Ingeniería Universidad de la República
Interfaces y APIs poco seguras Los proveedores de servicios en la nube, por lo general, ofrecen interfaces y APIs para interactuar con los diferentes recursos provistos. Dado que todo se realiza a través de estas herramientas, es necesario que las mismas estén diseñadas de forma segura. Algunos de los ejemplos que se plantean para esta amenaza son permitir el acceso anónimo, la reutilización de tokens, autenticación sin cifrar, etc. Las recomendaciones que plantea la CSA para este problema son: ● Analizar los problemas de seguridad de las interfaces de los proveedores de servicio ● Asegurarse que la autenticación y los controles de acceso se implementan teniendo en cuenta el cifrado de los datos.
Amenaza interna En todo sistema de información, la amenaza más importante es la que incluye a los propios usuarios, ya que estos tienen acceso a los datos y aplicaciones de la empresa. Una de las principales causas de esta amenaza es que los encargados de dar de alta o baja a los usuarios son los propios proveedores y esto puede causar una desactualización sobre el personal de la empresa permitiendo así el acceso a personas que no deberían tenerlo. Las recomendaciones que plantea la CSA para este problema son: ● Especificar cláusulas legales y de confidencialidad en los contratos laborales. ● Determinar posibles problemas en los procesos de notificación.
Problemas derivados de las tecnologías compartidas Esta amenaza afecta a los modelos IaaS, ya que en un modelo de Infraestructura como Servicio los componentes físicos (CPU, GPU, etc) no fueron diseñados específicamente para una arquitectura de aplicaciones compartidas, provocando así posibles incidentes de seguridad por el mal uso de los recursos compartidos entre las aplicaciones. Cloud Computing Administración y Seguridad de Sistemas 2016 18/28 Facultad de Ingeniería Universidad de la República
Las recomendaciones que plantea la CSA para esta amenaza son: ● Diseñar buenas prácticas para la instalación y configuración. ● Monitorizar los entornos para detectar cambios no deseados en las configuraciones o la actividad. ● Proporcionar autenticación fuerte y control de acceso para el acceso de administración.
Pérdida o fuga de información Una pérdida de datos puede ocurrir al realizar un borrado o modificación sin tener una copia de seguridad de los mismos. En la nube, este riesgo aumenta ya que el número de interacciones entre ellos es mayor debido a la arquitectura de la misma. Esta amenaza puede causar serios problemas a la empresa, como ser daños económicos o problemas legales si se trata de una fuga de información. Las recomendaciones que plantea la CSA para evitar esta amenaza son: ● Implementar APIs potentes para el control de acceso ● Proteger el tránsito de datos mediante cifrado de los mismos ● Analizar la protección de datos tanto en tiempo de diseño como en tiempo de ejecución ● Proporcionar mecanismos potentes para la generación de claves, el almacenamiento y la destrucción de la información. ● Definir por contrato, la destrucción de los datos antes de que los medios de almacenamiento sean eliminados de la infraestructura, así como la política de copias de seguridad.
Secuestro de sesión o servicio En un entorno cloud, si un atacante obtiene las credenciales de un usuario puede acceder a actividades y transacciones, manipular datos, devolver información falsificada o redirigir a los clientes a sitios maliciosos. Las recomendaciones que plantea la CSA son:
Cloud Computing Administración y Seguridad de Sistemas 2016 19/28 Facultad de Ingeniería Universidad de la República
● Prohibir, mediante políticas, compartir credenciales entre usuarios y servicios. ● Aplicar técnicas de autenticación de doble factor siempre que sea posible. ● Monitorizar las sesiones en busca de actividades inusuales.
Riesgos por desconocimiento Para asistir en la toma de decisiones sobre las medidas de seguridad que se van a implantar en un sistema cloud es conveniente conocer la información técnica de la plataforma. Datos cómo con quién se comparte la infraestructura o los intentos de acceso no autorizados pueden resultar muy importantes a la hora de elegir la estrategia de seguridad. La carencia de información de este tipo puede derivar en brechas de seguridad desconocidas por el afectado. Las recomendaciones que plantea la CSA son: ● Tener acceso a los logs de aplicaciones y datos ● Estar al tanto, total o parcialmente, de los detalles de la infraestructura ● Recibir alertas sobre el uso de información crítica.
Riesgos detectados por Gartner [9] Gartner S.A. es una compañía de investigación y consultoría de tecnologías de la información, con sede en Estados Unidos.
Accesos de usuarios con privilegios Permitir que los datos sensibles sean accesibles desde fuera de las instalaciones de la empresa conlleva cierto riesgo ya que es posible que no existan los controles físicos, lógicos o humanos que sí existen dentro de la empresa. Por este motivo, es necesario saber quiénes manejan dichos datos.
Cloud Computing Administración y Seguridad de Sistemas 2016 20/28 Facultad de Ingeniería Universidad de la República
Por esto, es necesario arreglar con el proveedor qué usuarios tendrán acceso a esos datos, para así minimizar los riesgos de que haya usuarios con muchos privilegios que no deberían tener acceso a los datos.
Cumplimento normativo La seguridad e integridad de los datos de los clientes es su responsabilidad, aún cuando los datos se encuentren fuera de sus instalaciones, siendo gestionados por un proveedor de servicios cloud. Así como los prestadores de servicios tradicionales, los proveedores de servicios cloud deben estar sujetos a auditorías externas y certificaciones de seguridad, siendo esto una condición fundamental para la contratación del servicio.
Localización de los datos No siempre es transparente la localización exacta de los datos alojados en servicios cloud. Por esto, es una buena práctica incluir en los contratos y acuerdos un marco regulatorio para el almacenamiento y procesado de datos, adecuado al país del suscriptor del servicio.
Aislamiento de datos Dentro de un sistema cloud la infraestructura es compartida por muchos clientes por lo que es importante que los datos se encuentren cifrados cuando los mismos se encuentran en reposo, ya que hacerlo durante el uso de los datos puede resultar una operación costosa. El prestador del servicio debe asegurar que los datos en reposo se encuentran aislados para los diferentes clientes y que los procedimientos de cifrado se realizan correctamente ya que un error en el proceso puede causar problemas con la disponibilidad de los datos o una pérdida de los mismos.
Cloud Computing Administración y Seguridad de Sistemas 2016 21/28 Facultad de Ingeniería Universidad de la República
Recuperación Los proveedores de servicios cloud deben proveer una política de recuperación de datos en caso de algún problema. También se recomienda fuertemente que los datos sean replicados en diferentes infraestructuras, como forma de prevenir un fallo general que pueda afectarlos. Dentro de la política de recuperación de datos se debe incluir el tiempo que podría tardar dicha recuperación completa de los datos.
Soporte investigativo Dentro de un ambiente cloud es muy difícil la investigación de actividades ilegales ya que los datos y logs de los diferentes clientes pueden encontrarse todos juntos o desperdigados por una gran cantidad de equipo y data centers. El proveedor del servicio cloud debe garantizar que los logs y los datos se gestionan de una forma centralizada .
Viabilidad a largo plazo Lo ideal sería que un proveedor de servicios cloud permaneciera siempre en el mercado dando servicios de calidad, pero como el mercado es cambiante existe la posibilidad de que un proveedor sea comprado o absorbido por alguno con mayores recursos. Por esto es conveniente que el cliente se asegure que podrá recuperar o migrar sus datos en caso de que esto ocurra.
Cloud Computing Administración y Seguridad de Sistemas 2016 22/28 Facultad de Ingeniería Universidad de la República
Aspectos clave de seguridad en cloud según NIST [10] El Instituto Nacional de Normas y Tecnología (NIST, por sus siglas en inglés) es una agencia de la Administración de Tecnología del Departamento de Comercio de los Estados Unidos. La misión de este instituto es promover la innovación y la competencia industrial en Estados Unidos mediante avances en metrología, normas y tecnología que mejoren la estabilidad económica y la calidad de vida.
Gobernanza La gobernanza implica el control y la supervisión de las políticas, los procedimientos y los estándares para el desarrollo de aplicaciones, así como también el diseño, la implementación, las pruebas y la monitorización de los servicios distribuidos. Garantizar que los sistemas sean seguros y que los riesgos estén correctamente gestionados es un reto importante para cualquier entorno cloud.
Cumplimiento El cumplimiento obliga a la conformidad con especificaciones, estándares, normas o leyes establecidas, las cuales pueden variar según los países y en ocasiones a nivel nacional o regional, provocando que esto sea difícil de cumplir en cloud computing. Algunos de los problemas de los servicios cloud son: ● Ubicación de los datos: Ausencia de información acerca de cómo se ha implantado la infraestructura, sin tener, el cliente, información alguna de cómo y dónde son almacenados sus datos. La principal preocupación del cumplimiento radica en conocer los límites en los que deja de aplicar la legislación del país del cliente y comienza a aplicar la legislación del país en donde se encuentran alojados los datos. ● Investigación electrónica: Las investigación electrónica se ocupa de la identificación, recolección, procesamiento, análisis y producción de los documentos en una fase de descubrimiento de un procedimiento judicial. A su Cloud Computing Administración y Seguridad de Sistemas 2016 23/28 Facultad de Ingeniería Universidad de la República
vez, las organizaciones también tienen obligaciones para la preservación y la generación de documentos (cumplir con auditorías, por ejemplo), por lo tanto las capacidades de un proveedor cloud y las herramientas de investigación disponibles pueden afectar al cumplimiento de las obligaciones de la organización.
Confianza En cloud computing, la organización cede el control de muchos aspectos de la seguridad, dándole un nivel de confianza importante al proveedor cloud.
Arquitectura La arquitectura de una infraestructura cloud comprende tanto hardware como software. Las aplicaciones son creadas mediante interfaces de programación, las cuales son utilizadas para la comunicación entre los diferentes componentes de la infraestructura. Esta comunicación global puede derivar en fallos de seguridad.
Identidad y control de acceso Los datos sensibles y la privacidad se han convertido en la principal preocupación en lo que respecta a la protección de las organizaciones y el acceso no autorizado a los recursos de información.
Aislamiento de Software Para alcanzar altas tasas de eficiencia, los proveedores deben asegurar el correcto funcionamiento de la concurrencia de los diferentes usuarios, para esto se utiliza la multiplexación de la ejecución de las máquinas virtuales para los diferentes usuarios en un mismo servidor físico.
Cloud Computing Administración y Seguridad de Sistemas 2016 24/28 Facultad de Ingeniería Universidad de la República
Protección de datos Generalmente, los datos que se almacenan en entornos cloud residen en equipamiento compartido por varios clientes, por ello las organizaciones que gestionan datos confidenciales en sistemas cloud deben preocuparse por la forma en que se accede a estos datos y garantizar que estén almacenados de forma segura.
Disponibilidad La disponibilidad puede ser interrumpida de forma temporal o permanente. Los ataques de denegación de servicio, fallos del equipamiento y desastres naturales son todas amenazas a la disponibilidad.
Respuesta a incidentes Tras la ocurrencia de algún incidente de seguridad, los proveedores de servicios deben realizar verificación, análisis del ataque, contención, recolección de evidencias, aplicación de remedios y restauración del servicio. La ayuda de los clientes para la detección y reconocimiento de los incidentes es muy importante para la seguridad y la privacidad en cloud computing.
Cloud Computing Administración y Seguridad de Sistemas 2016 25/28 Facultad de Ingeniería Universidad de la República
Recomendaciones de seguridad según NIST Según el NIST estas son algunas recomendaciones generales por área: Área Gobernanza
Recomendación Implantar políticas y estándares de monitorización. Establecer mecanismos de auditoría y herramientas para asegurar que se cumplan las políticas de la organización durante el ciclo de vida de la misma.
Cumplimiento
Entender los distintos tipos de leyes y regulaciones y su posible impacto en los entornos cloud.
Confianza
Incorporar mecanismos en el contrato que permitan controlar los procesos y controles de privacidad utilizados por el proveedor.
Arquitectura
Comprender las tecnologías que sustentan la infraestructura del proveedor para comprender las implicaciones de privacidad y seguridad de los controles técnicos.
Identidad
y Asegurar los mecanismos necesarios para hacer segura la
control de acceso autenticación, la autorización y las funciones de control de acceso Aislamiento
del Entender la virtualización y otras técnicas de aislamiento que el
software
proveedor emplee y valorar los riesgos implicados.
Disponibilidad
Asegurarse que durante una interrupción prolongada del servicio, las operaciones críticas pueden reanudarse inmediatamente y todo el resto de las operaciones en un tiempo prudente.
Respuesta
a Entender y negociar los contratos de los proveedores así como
incidentes
los procedimientos para las respuesta a incidentes requeridos
Cloud Computing Administración y Seguridad de Sistemas 2016 26/28 Facultad de Ingeniería Universidad de la República
por la organización.
Conclusiones Podemos concluir que el modelo de cloud computing surgió de la mano con las grandes mejoras en cuanto a capacidad de procesamiento y de capacidad de comunicación de las redes de internet, en la actualidad este modelo es una realidad que está muy afianzada y muchas empresas lo utilizan o lo piensan utilizar al corto plazo. En la evaluación de las principales características del modelo, podemos concluir en la mayoría que se tiene un beneficio con respecto al modelo tradicional, por otra parte, existe flexibilidad a la hora de contratar algún producto en la nube, ya que existen distintos modos de servicio de los cuales alguno se puede adaptar mejor que otro a las necesidades del caso. En el ámbito económico, el uso de la nube puede beneficiar a sus clientes brindando una solución rápida y con bajo costo inicial, punto a favor que puede marcar la diferencia en el éxito de muchos emprendimientos. La seguridad es un punto fundamental a tener en cuenta antes de utilizar este modelo; al usar esta infraestructura, es necesario tener las mismas consideraciones que al utilizar infraestructura privada. Los riesgos existentes al utilizar cloud computing si bien son conocidos y hasta predecibles, siguen sucediendo y es necesario tener presente las buenas prácticas y las recomendaciones planteadas en éste documento para minimizar los problemas de seguridad que puedan aparecer en el futuro. Cloud Computing Administración y Seguridad de Sistemas 2016 27/28 Facultad de Ingeniería Universidad de la República
Referencias [ 1 ] Cloud Computing [ 2 ] Above the Clouds: A Berkeley View of Cloud Computing [ 3 ] Guía para empresas: seguridad y privacidad del cloud computing [ 4 ] Enterprise Risk Management for Cloud Computing [ 5 ] Cloud Computing, Myths [ 6 ] Best practices for cloud computing adoption [ 7 ] Riesgos y amenazas en Cloud Computing [ 8 ] Cloud Security Alliance [ 9 ] Gartner [ 10 ] NIST
Cloud Computing Administración y Seguridad de Sistemas 2016 28/28 Facultad de Ingeniería Universidad de la República
