Embed Size (px)
Citation preview
META-ANALISIS DE VULNERABILIDADES Y GESTIÓN DEL RIESGO EN
ARQUITECTURAS CLOUD
JAVIER ALEXANDER PÉREZ CUESTAS
UNIVERSIDAD CATÓLICA DE COLOMBIA FACULTAD DE INGENIERÍA
PROGRAMA DE INGENIERÍA DE SISTEMAS BOGOTÁ, DICIEMBRE
2019
1
META-ANÁLISIS DE VULNERABILIDADES Y GESTIÓN DEL RIESGO EN ARQUITECTURAS CLOUD
JAVIER ALEXANDER PÉREZ CUESTAS
Trabajo de Grado para optar al título de INGENIERO DE SISTEMAS
Asesor: HOLMAN DIEGO BOLÍVAR BARÓN Ph.D [email protected]
UNIVERSIDAD CATÓLICA DE COLOMBIA FACULTAD DE INGENIERÍA
PROGRAMA DE INGENIERÍA DE SISTEMAS BOGOTÁ, NOVIEMBRE
2019
2
3
NOTA DE ACEPTACIÓN
Jurado 1
Jurado 2
Holman Diego Bolívar Barón Ph.D Asesor
Bogotá, Noviembre 14, 2019
4
TABLA DE CONTENIDOS 1. INTRODUCCIÓN ................................................................................... 9 2. JUSTIFICACIÓN .................................................................................. 11 3. PLANTEAMIENTO DEL PROBLEMA .................................................. 14
3.1 PREGUNTA DE INVESTIGACIÓN ............................................... 16
3.1.1 Variables del problema. .............................................................. 16 3.1.2 Alcances y Limitaciones ............................................................. 16
4. OBJETIVOS ......................................................................................... 17 4.1 OBJETIVO GENERAL ...................................................................... 17 4.2 OBJETIVOS ESPECIFICOS ............................................................. 17
5. MARCO CONCEPTUAL ...................................................................... 18 6. MARCO TEORICO .............................................................................. 28 7. ESTADO DEL ARTE ............................................................................ 39 8. METODOLOGÍA .................................................................................. 53
8.1 Fases del Meta-análisis .................................................................... 54
8.2 Instrumentos o herramientas utilizadas ............................................ 55 8.2.1 Método ....................................................................................... 55 8.2.2 Recolección de Datos ................................................................ 56
8.3 Diseño de la propuesta ..................................................................... 56 8.4 Ejecución de la propuesta ................................................................. 56
9. ANÁLISIS DE HETEROGENEIDAD .................................................... 58
10. CORRELACIÓN DE VULNERABILIDADES Y RIESGOS ................... 68 11. CONCLUSIONES Y TRABAJOS FUTUROS ....................................... 83
5
LISTA DE FIGURAS Figura1. Modelos de Virtualizacion .......................................................... 18
Figura 2 Modelos de Implementación ..................................................... 19
Figura 3 Modelo de Nube Privada …………………………………………. 20
Figura 4 Modelo de Nube publica …………………………………………. 20
Figura 5 Modelo de Nube Hibrida …………………………………………. 21
Figura 6 Modelo de Nube comunitaria ……………………………………. 21
Figura 7 Arquitectura de referencia de la Nube …………………………. 31
Figura 8 Metodologia Propuesta …………………………………………. 56
Figura 9 Histograma Empresas ……………………………………………. 58
Figura 10 Resultado de rango de estudio a nivel empresarial …………. 59
Figura 11Diagrama de Cajas y bigotes por empresas …………………… 60
Figura 12 Histograma Vulnerabilidades identificadas en Cloud……...…. 62
Figura 13 Resultado de rango de estudio a nivel de vulnerabilidad ……… 63
Figura 14Diagrama de Cajas y bigotes por vulnerabilidad ………………... 64
Figura 15 Histograma de Riesgos identificados en Cloud ………………… 65
Figura16 Resultado de rango de estudio a nivel de Riesgos …………… 66
Figura 17 Diagrama de Cajas y bigotes por Riesgos ……..…..………..... 67
6
LISTA DE TABLAS Tabla 1 Información relacionada con los marcos de seguridad CSA …. 40
Tabla 2 Información sobre los marcos de seguridad ENISA Y NIST .… 42
Tabla 3 Analisis de Papers Leídos …………………………………………. 58
Tabla 4 Rango de empresas por papers ………………………………….. 59
Tabla 5 Calculo para el Diagrama de Caja y bigotes a nivel empresarial .. 60
Tabla 6 Vulnerabilidades identificados en el estudio ……………………… 60
Tabla 7 Rango de papers por vulnerabilidad …………………………...…. 63
Tabla 8 Calculo para Diagrama de Cajas y bigotes por vulnerabilidad …. 64
Tabla 9 Identificacion de Riesgos por papers ……………….…………..…. 65
Tabla 10 Rangos por riesgos de los Papers leídos ………………………… 66
Tabla 11 Diagrama de caja y bigotes de riesgo ……………………………. 66
Tabla 12 Correlacion de vulnerabilidades y riesgos ………………………. 68
7
RESUMEN En este meta-análisis dará un resultado de investigación e identificación de las principales amenazas y vulnerabilidades a las cuales se está expuesto cuando se utiliza Cloud Computing, además, este desarrollo se enfocada hacia los profesionales de seguridad informática y personas en general interesadas en el tema de la seguridad brindada en Cloud Computing En la seguridad Cloud se observa como los datos de una compañía son de suma importancia y son representados como lo más valioso para cada ellos sea la (independencia o departamento), cuando se sube o se integra los datos a tecnología a la nube vemos que la configuración de la seguridad de los datos del cliente siempre estén seguros, se puede estar expuesto a un ataque informático lo cual altera la información de un cliente como la suplantación, robo de información para hacer falsificaciones y identificar los tipos de vulnerabilidades en Cloud. En estos problemas no se pueden cuantificar las pérdidas ya que hay problemas de suplantación en robo de información personal desde su cuenta de correo, redes sociales y llegar a sus cuentas financieras? puede llegar a un caso de pérdida de riesgo reputación de la compañía por no llevar la normativa respectiva de seguridad informática en Cloud tales como (ISO 27001,NIST, ODCE (Organización para la cooperación y desarrollo económico) entre otros normas), esto nos influye a mitigar el riesgo y prevenir y detectar posibles vulnerabilidades en los sitios los cuales tales ser sociales, económicos tecnológicos según en qué tipo arquitectura. Partiendo en obtener se detecta las principales vulnerabilidades en la seguridad Cloud planteado los riesgos y cómo minimizarlos con su respectiva política tanto preventivamente como correctivamente esto además se puede decir de cómo prevenir los ataques informáticos. Con esto da como por formular plantear las políticas de seguridad desde el montaje sus diferentes arquitecturas. La importancia de la regulación y normativa en esto podemos analizar las variables de cómo consolidar y detectar a tiempo para que no se tenga inconvenientes manteniendo el Cloud una eficiencia notable sin deteriorar mínimos internos. Palabras Claves: Análisis, Cibercrimen, Delito informático, protección de datos, Seguridad de los datos.
8
ABSTRACT
In this meta-analysis will give a result of research and identification of the main threats and vulnerabilities to which is exposed when using Cloud Computing, in addition, this development is focused on computer security professionals and people in general interested in the subject of the security provided in Cloud Computing In the Cloud security it is observed how the data of a company is of great importance and are represented as the most valuable for each one of them (independence or department), when the data is added or integrated to the cloud we see that the Configuring the security of customer data is always safe, it can be exposed to a computer attack which alters a customer's information such as spoofing, theft of information to make fakes and identify the types of vulnerabilities in Cloud. Based on obtaining the main vulnerabilities in the security Cloud, the risks are identified and how to minimize them with their respective policy both preventively and correctively this can also be said of how to prevent computer attacks. With this it gives like formulating to raise the security policies from the assembly their different architectures. The importance of regulation and regulation in this we can analyze the variables of how to consolidate and detect in time so that you do not have problems keeping the Cloud a remarkable efficiency without deteriorating internal minimums. Key Words: Analysis, Cybercrime, Computer crime, data protection, Data security.
9
1. INTRODUCCIÓN
El Cloud Computing es un modelo para permitir el acceso a la red ubicua, conveniente y bajo demanda a un conjunto de recursos informáticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que se puede aprovisionar y lanzar rápidamente con un mínimo esfuerzo de gestión o interacción del proveedor de servicios. [1] Al indagar las vulnerabilidades más importantes en las arquitecturas Cloud transcurre las anomalías donde se implementan varias políticas de organizaciones internacionales como nacionales el cual pasa por varios barridos en el cual dará un protocolo de búsqueda donde comunica ciertos atributos para que la investigación el cual proyectará ciertos atributos los cuales pasar a una búsqueda más analítica El Cloud Computing dio un resultado a las empresas financieras y sus entes de control han recurrido a las normas de seguridad y los marcos que sirven como plantillas contra la cual las empresas y sus auditores pueden medir los programas de seguridad cibernética. Si bien hay muchas organizaciones que publican estándares de seguridad de la información, tres principales organizaciones de estándares dominan la industria financiera. [2] Cuando se trata de lo social, las grandes inversiones en herramientas o contramedidas son una pérdida de dinero si las organizaciones no toman medidas para que las personas, comprender intuitivamente las amenazas de seguridad y comunicarnos con nuestro CSP para determinar cómo están abordando las amenazas de seguridad y continuar desde allí. Transformen su comportamiento en línea. Lo cual hace que los ataques sean la parte ante las vulnerabilidades puedan atacan las arquitecturas Cloud. [3] Con la propuesta de Meta-análisis y las posibles vulnerabilidades y gestión de riesgo en las arquitecturas Cloud, lo cual se puede definir como la seguridad constituye una prioridad para muchos en la nube; gran parte de ellos toman las decisiones relativas a las adquisiciones basándose en cuanto a confidencialidad, integridad y resistencia a los fallos, así como en los servicios de seguridad. Una característica de este Meta-análisis se analiza qué políticas y tipos de vulnerabilidades y gestión de riesgo se tendrá cómo se puede construir la arquitectura fundamental para preparar mejor lo que está alrededor de la esquina [5]. Además, se debe tener en cuenta para que tipo de arquitecturas Cloud no tenga las brechas poder detectar las principales falencias por cada arquitectura. Este Meta-análisis se realiza con el interés de conocer las vulnerabilidades y gestión de riesgo en varios tipos de arquitecturas Cloud lo cual permite
10
identificar la arquitectura estipulada hasta que riesgo corre [6], adicionalmente los riesgos cibernéticos amenazan la integridad de datos, confidencialidad de los datos, protección de datos y la continuidad del negocio. El riesgo es particularmente significativo debido a los posibles efectos multiplicadores, lo que lleva a mayores riesgos de negocio, tales como el riesgo de la cadena de suministro y riesgo de reputación. Por otra parte, se puede desencadenar los altos costos (legales), por ejemplo, en casos de violaciones de datos con las notificaciones, litigios y la solución, así como en caso de fraude. Protección insuficiente contra incidentes cibernéticos y una interrupción en la disponibilidad de infraestructuras de T.I. [7] En este Meta-análisis se basa en textos y artículos científicos donde se funda apropiadamente en las varias tipificaciones de la gestión de riesgo y vulnerabilidades Cloud y sus tipos de arquitectura ya que vemos hoy en día los atacantes y/o las herramientas disponibles para ellos, son cada vez más sofisticados. Los Insiders, también, puede ser una amenaza significativa para uno lo identifica los principios y prácticas eficaces para que las empresas dado así considera que, si bien reconoce que no hay una talla única para todos a la seguridad informática. También se pudo ver que para la detección bajo normas y marcos de entidades con el fin de evaluar los marcos relevantes de la industria y las normas como puntos de referencia en el desarrollo de su enfoque de la seguridad tales como:
ü National Institute of Standards and Technology (NIST) Framework for Improving Critical Infrastructure Cybersecurity Version 1.0
ü NIST, Security and Privacy Controls for Federal Information Systems and Organizations, NIST Special Publication 800-53, Revision 4
ü International Organization for Standardization (ISO) and International Electrotechnical Commission (IEC) Information Technology 27001 and 27002 frameworks (collectively, ISO 27001/27002)
ü ISACA’s Control Objectives for Information and Related Technology (COBIT) [8].
11
2. JUSTIFICACIÓN
El Cloud Computing beneficia la conectividad y la mega escala de Internet. Dicho esto, se democratiza el acceso a capacidades de software de primer nivel, dado que una aplicación de software proporciona servicio a varios clientes. El entorno multi-usuario es una distinción arquitectónica clave que diferencia de la simple tercerización o los antiguos modelos de proveedor de servicio de aplicaciones. Ahora, las empresas pequeñas pueden sacar partido de la potencia de las grandes tecnologías de una manera que les permita expandirse. [9] Lo anterior sobrelleva a determinar que la seguridad siempre ha sido uno de los principales problemas en el ámbito de la transmisión de datos, y esto no ha sido la excepción en el ámbito de la computación. Con la aparición del Cloud Computing y a medida que crece la popularidad de servicios en la Nube, el aspecto de seguridad se ha convertido en un punto especialmente relevante, pues los datos del usuario pasan a estar almacenados en servidores ajenos, gestionados por proveedores que en un principio pueden no ofrecer un cien por cien de garantías en confiabilidad. [10] Por lo tanto, en vista de la necesidad y para que todo profesional en el tema de seguridad cuente con una herramienta que pueda utilizar como base para determinar las vulnerabilidades de un servicio en el Cloud Computing y sus amenazas asociadas, para dar a conocer una representación en el cual se utiliza de una forma mejor y más aterrizada evaluación de sus riesgos. Partiendo de la premisa de que una empresa siempre tendrá muchos más recursos y presupuesto para invertir en seguridad, en la mayoría de los casos es bastante razonable pensar en que, por regla general, un servicio Cloud debería ofrecer cierta seguridad extraen varios aspectos ya que cuenta con los recursos especializados para ello elimina las principales barreras ya que están ganando tiempo y dinero en tecnologías. [11] En la actualidad un ataque bien organizado por un grupo de hackers puede afectar la infraestructura informática de un país o una organización. Donde podemos identificar amenazas. Los hackers que utilizan DDoS (Ataque de Denegación de Servicios) pueden atacar servicios financieros, comercio electrónico, juegos en línea, agencias gubernamentales y software y servicios basados en la nube. Hay tres tipos de actores de amenazas que eluden los controles existentes de seguridad en la nube y desencadenan ataques contra aplicaciones en la nube: [4]
12
• Empleados arriesgados” Errar es humano”, y los empleados no son una excepción a esta regla. Los errores de los empleados suelen dar como resultado la exposición de datos a través de aplicaciones en la nube. Al compartir documentos que contienen información sensible, los empleados a menudo los sobre-comparten al permitir el acceso a una audiencia demasiado amplia. Algunos ejemplos incluyen:
· Un empleado comparte públicamente un documento confidencial. Esto da como resultado un amplio acceso, y cualquiera con una URL compartida al documento puede acceder al contenido y usarlo o abusar de él libremente.
· Un empleado, inconscientemente, le permite a otro usuario descargar un archivo confidencial directamente desde la aplicación en la nube al no especificar los controles de acceso cuando se comparte el documento.
• Personas malintencionadas—Empleados descontentos pueden causar daños graves a las empresas al explotar su posición como personas de la empresa para eludir los protocolos de seguridad y destruir o filtrar información confidencial. Algunos ejemplos de actividades sospechosas realizadas por personas malintencionadas incluyen:
· Descargas excesivas de archivos confidenciales de aplicaciones en la nube
· Eliminación excesiva de archivos confidenciales alojados en aplicaciones en la nube
· Compartir ampliamente una gran cantidad de archivos públicamente para acceder de forma remota
· Acceder a aplicaciones en la nube en horarios inusuales o por duraciones anormalmente largas
· Acceder a datos confidenciales a los que normalmente no acceden como parte de sus funciones de trabajo normales
· Realizar impresiones o captura de pantalla excesivas en documentos almacenados en aplicaciones en la nube
· • Hackers y actores estatales—atacantes sofisticados pueden apuntar a
aplicaciones en la nube y usuarios asociados para robar datos y realizar operaciones no autorizadas. Los ataques se pueden lanzar directamente cuando los atacantes se dirigen a una aplicación en la nube, o indirectamente, cuando los atacantes apuntan a los usuarios de una aplicación en la nube para obtener acceso a sus cuentas en la nube. Algunos ejemplos de ataques directos e indirectos incluyen, pero no se limitan a:
13
ü Ataques directos:
· Lanzar ataques de fuerza bruta contra aplicaciones en la nube
· Descubrir y explotar vulnerabilidades inherentes en aplicaciones en la nube
ü Ataques indirectos:
· Enviar correos electrónicos de phishing que contienen archivos adjuntos o URL maliciosos a un portal web que podría robar credenciales a través de ataques de ingeniería social
· Instalar código malicioso en una máquina de usuario final y robar las credenciales de la aplicación en la nube a través de ataques man-in-the-browser (en español: hombre en el navegador) (MitB)
· Una vez que la cuenta se ve comprometida por ataques directos o indirectos, los atacantes pueden fácilmente filtrar los datos mediante múltiples métodos.
14
3. PLANTEAMIENTO DEL PROBLEMA
Para exponer el Meta-Análisis realizado, se tiene estructurado en el cual nos basaremos en las vulnerabilidades y gestiones de riesgo en arquitecturas Cloud donde podemos evaluar diferentes, pretenden aportar soluciones a los objetivos tácticos definidos en normas basadas [12], ya que la estructura en hoy día se mueve de una forma muy exponencial en migrar bases y documentación entre otros. Así, también se desarrolla el análisis del entorno de los sistemas Cloud y se revisa la literatura existente, definiendo en base a ella, sus fundamentos, definiciones más contrastadas, estado de la tecnología y evolución prevista. De igual forma, se aborda la relevancia que las organizaciones asignan a los sistemas Cloud. Por su parte, se desarrolla una profunda revisión de la literatura en base al estudio de modelos TAM (Modelo de Aceptación Tecnológica) entre otros complementarios que permiten estructurar la decisión de adopción de sistemas Cloud para las organizaciones, definiendo las variables que podrían influir en el éxito en su implantación y minimizar la vulnerabilidades y facilidades de detención del riesgo como son las normas ya que es muy importante para todo sector que esté en la nube [13]. Además, en este mismo se materializa la propuesta de un modelo de investigación que aporte evidencias sobre la aceptación de los sistemas Cloud por parte de sus usuarios finales, estableciendo las hipótesis de la investigación y una selección de ítems a estudiar. El diseño de la técnica de investigación elegida, en nuestro caso es basado Meta-Análisis en artículos representativos nivel Cloud de manera estratégica, la cual nos ayuda a basarnos en implementación de vulnerabilidades. A medida del tiempo han aparecido varias alertas nuevas. Lo cual son riesgos que se encuentra problemas específicos en las arquitecturas Cloud, las regulaciones es una ayuda para identificar claramente los peligros específicos de la nube y volver a evaluar las prevenciones convencionales. Además, los servicios en la nube, y no solo los proveedores, deben ser objeto de gestión y evaluación de riesgos. Los servicios en los entornos de la nube deben considerarse en las capas de servicio, datos e infraestructura. Tenga en cuenta que el nivel de riesgo, en muchos casos, variará significativamente con el tipo de arquitectura de la nube que se esté considerando. Además, es posible que los clientes de la nube transfieran algunos riesgos a proveedores externos de la nube. [14]. En la vida cotidiana se ve como es muy posible que los próximos diez años las Tecnologías de la Información sufran más cambios que en toda la etapa de su desarrollo, por lo que se habrá saltado de vivir en la era de computadoras a la era del Cloud Computing. Se ha calculado que para el año 2020 nuestro universo estará digitalizado entre 30 y 40 veces más que en nuestros días, es
15
por esto por lo que el manejo de toda esta información debe realizarse de manera ordenada, sistemática y utilizando las mejores infraestructuras, es aquí donde la Computación en la Nube juega un factor determinante, puesto que se calcula que para el año 2030 se constituirá en el lugar donde se residirán un tercio de los datos a nivel global. el riesgo que la organización enfrenta al no tener en cuenta la seguridad de la información migrada a la nube, y mirar sólo los beneficios que la computación en la nube ofrece, en reducción de costos a nivel tecnológico y de recurso humano, como en el aumento de la productividad
16
3.1 PREGUNTA DE INVESTIGACIÓN ¿Cuáles son las principales vulnerabilidades que tienen las arquitecturas Cloud evitando la gestión de riesgo?
3.1.1 Variables del problema. Independientes
● Tipos de Arquitecturas Cloud ○ Microsoft Azure ○ Amazon Aws ○ Google Cloud. ○ Oracle ○ IBM
● Amenazas Identificadas ● Herramientas y Software de seguridad en Cloud ● Protocolos de Arquitectura Cloud ● Normas ● Recomendaciones
3.1.2 Alcances y Limitaciones 3.1.2.1 Alcances
En el Meta-análisis presentado se basara en las principales vulnerabilidades en las arquitecturas Cloud a partir de bases de datos al público e investigaciones en la Universidad Católica de Colombia con el fin de mitigar el riesgo en las arquitecturas mencionadas anteriormente
3.1.2.2 Limitaciones
Debido a la complejidad efectuando el presente Meta-análisis y el tiempo que se demanda obtener acceso a bases de Datos de centros especializadas y acceso a herramientas de software reconocidas que identifiquen las vulnerabilidades Cloud para la posible mitigación de riesgo.
17
4. OBJETIVOS
4.1 OBJETIVO GENERAL Caracterizar las vulnerabilidades y amenazas que se han identificado en los últimos 10 años en las arquitecturas Cloud y como se ha gestionado el riesgo generado.
4.2 OBJETIVOS ESPECIFICOS
• Caracterizar los criterios, efectos, teorías, modelos, tecnologías y herramientas Cloud tomando como referencia investigaciones realizadas por las Organizaciones CSA (Cloud Security Alliance), ENISA (European Network and Information Security Agency) y NIST (National Institute of Standards and Technology) con respecto a los riesgos, amenazas y vulnerabilidades técnicas que presenta una infraestructura Cloud Computing.
• Identificar la heterogeneidad de los resultados obtenidos en la caracterización a partir de un Meta-análisis asegurando la validez de constructo.
• Correlacionar las vulnerabilidades y riesgos a partir de las empresas referentes en la prestación de servicios Cloud.
18
5. MARCO CONCEPTUAL
El Cloud Computing se basa en un modelo que permite el acceso a la red desde cualquier parte según convenga y bajo la demanda y un conjunto compartido de recursos informáticos, configurables que pueden ser rápidamente a provisionados y liberados con un mínimo esfuerzo e interacción de los proveedores de servicios. [15]
La computación en nube y el almacenamiento en nube se han convertido en el método preferido para brindar información y funcionalidad en línea. Mientras algunos servicios en nube se enfocan en proporcionar a sus clientes una amplia gama de servicios y funcionalidades, que incluyen compras mediante investigación, redes de medios sociales, consumo de entretenimiento y protección de documentos digitales importantes, otros servicios en nube se enfocan en los negocios pequeños, empresas grandes, gobiernos y otras instituciones. Uno de los propósitos del Cloud son las herramientas software también son muy importantes para crear servicios y soluciones, e incluyen API, software intermedio, bases de datos, aplicaciones, hipervisores para crear máquinas virtuales (VMs) e infraestructuras virtuales de sobremesa (VDI), juntamente con stackware en nube, como OpenStack y herramientas de administración asociadas. Ejemplos de hipervisores VMs y VDI incluyen Citrix/Xen, KVM, Microsoft Hyper-V, Oracle y VMware ESX/vSphere. Figura 1: Modelos De Virtualización
Fuente cdw.com
19
5.1 MODELOS DE IMPLEMENTACIÓN
Dependiendo del tipo de implementación en la nube, la nube puede tener recursos informáticos privados limitados, o pueden tener acceso a grandes cantidades de información remota recursos accedidos. Los siguientes modelos de despliegue presentan una serie de compensaciones en cómo los clientes pueden controlar sus recursos, y la escala, el costo y la disponibilidad de recursos.
Figura 2: Modelos de Implementación
.
Fuente: NIST Cloud Definition Framework (Mell and Grance 2011)
5.1.1 Nube privada. La infraestructura en la Cloud es operada únicamente para una organización. Puede ser gestionado por la organización o por un tercero que puede existir en la premisa o fuera de premisa. Este modelo efectúa su nube sobre su propia infraestructura a los usuarios internos [16] con esta Configuración el data center donde se hace más ágil y flexible lo cual se obtiene un manejo eficiente de los recursos, lo cual pierde una característica de la elasticidad de la nube, ya que su escalabilidad se encuentra limitada por recursos físicos disponibles [17]
20
Figura 3: Modelo de Nube Privada
Fuente: Cloud Computing, tecnología y negocio
5.1.2 NUBE PÚBLICA.
La infraestructura en la Cloud se pone a disposición del general. Público o un gran grupo industrial y es propiedad de una organización que vende servicios en la Cloud. Esto se firma los SLA donde el cliente solo gestiona la parte interna y de infraestructura y nada más se concentra en el Core del negocio. Este servicio se da 24x7 por lo general con posibilidad de DRP (Plan de Recuperación de Desastres). La informática es además flexible lo cual puede adaptarse a fluctuaciones y a la estacionalidad de la actividad.
Figura 4: Modelo de Nube Publica
Fuente: Cloud Computing, tecnología y negocio
5.1.3 NUBE HÍBRIDA.
La infraestructura en la nube es una composición de dos o más Nubes (privadas, comunitarias o públicas) que siguen siendo entidades únicas pero que son unidos por una tecnología estandarizada o patentada que permite datos y portabilidad de aplicaciones.
21
Figura 5: Modelo de Nube Hibrida
Fuente: https://www.backblaze.com/blog/confused-about-the-hybrid-cloud-youre-not-alone/
5.1.4 NUBE HÍBRIDA Este modelo de Cloud es comunitario entre diversas organizaciones que forman una comunidad de principios a la actividad de negocio con sus políticas requisitos los cuales pueden ser administrados por la comunidad o por un tercero. Figura 6: Modelo de Nube Comunitaria
.
Fuente: La seguridad informática en la PYME: Situación actual y mejores prácticas
22
Viendo la representación se puede ver la representación de Cloud públicas y privadas en los cuales los datos permanecen con cierto control mientras los servidores Web están siendo administrados por un Outsorsing lo cual reduce el costo del Cloud.
5.1.5 NUBE PRIVADA EN EL SITIO. El perímetro de seguridad para este modelo de despliegue. Se extiende alrededor de los recursos en el sitio del suscriptor y de la nube privada recursos La nube privada puede estar centralizada en un solo sitio de suscriptores o puede ser distribuido en varios sitios de suscriptores. El suscriptor implementa El perímetro de seguridad, que no garantiza el control sobre el sector privado. Los recursos de la nube, pero permitirá al suscriptor ejercer el control sobre Recursos confiados a la nube privada del sitio. [18] 5.2 MODELOS DE SERVICIO
5.2.1 EL SOFTWARE EN LA NUBE COMO SERVICIO (SAAS) Este modelo brinda la capacidad al consumidor de utilizar las aplicaciones del proveedor que se ejecutan en una infraestructura en la nube. Se puede acceder a las aplicaciones desde varios dispositivos cliente a través de una interfaz de cliente ligero, como un navegador web. Puede considerarse como una completa superación de una aplicación, pero se basa en el pago por uso. Ejemplos de este modelo: Mozy Zimbra, Gmail Apps, Microsoft 365
5.2.2 LA PLATAFORMA EN LA NUBE COMO SERVICIO (PAAS) Este Modelo proporciona al consumidor poder desplegar la infraestructura y las aplicaciones creadas o adquiridas por el consumidor utilizando lenguajes de programación y herramientas admitidas por el proveedor. El consumidor no administra ni controla la infraestructura Cloud subyacente, incluida la red. Servidores del sistema operativo, o almacenamiento, pero tiene control sobre las aplicaciones implementadas. Pero tiene control sobre las aplicaciones desplegadas y las configuraciones de entorno de hospedaje de la aplicación de posibilidad. Ejemplos de este modelo: Spring Source Microsoft Azure. 5.2.3 LA INFRAESTRUCTURA DE LA NUBE COMO UN SERVICIO (IAAS) Este Modelo tiene la capacidad de brindar al consumidor procesos de procesamiento, almacenamiento, redes y otros recursos informáticos fundamentales donde el consumidor puede implementar y ejecutar software
23
arbitrario que puede incluir sistemas operativos y aplicaciones, lo que reduce el costo inicial del capital. Cuesta y permite a las empresas comenzar de forma rápida y pequeña sin tener que invertir en un posible rendimiento futuro de la capacidad. [19] Ejemplos de este modelo: EMC, Vmware, Cisco, Amazon web services, IBM, HP CSC Verizon 5.3 CARACTERÍSTICAS CLOUD
En su descripción de las características esenciales de la nube, el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. Captura bien lo que significa proporcionar servicios de TI desde la cinta transportadora utilizando economías de escala: • Autoservicio bajo demanda: dentro este contrato existente un
usuario/Cliente puede un ejemplo añadir servicios sea almacenamiento o procesamiento sin realizar una solicitud forma.
• Acceso a una Red Abierta Esto lo que Bill Gates a fina les de los noventa “en cualquier momento y con cualquier dispositivo” y supuestamente con también suficiente ancho de banda
• Grupos de Recursos en esta industria que crece rápidamente se conoce como también Multitenecia o Multipropietario donde los usuarios comparten unos recursos y diferente tipo y nivel
• Elasticidad Rápida: Esta característica está relacionada con los aspectos fundamentales con los aspectos fundamentales del Cloud de flexibilidad y escalabilidad.
• Servicio medido: lo cual servicio están monitoreados y controlados por
informes esta característica habilita un modelo de servicio de pago de uso. [20]
5.3.1 UBICIUDAD
Posibilidad ofrecida a los usuarios de acceder a los servicios contratados de Cloud Computing desde cualquier dispositivo, en cualquier lugar y en cualquier momento, siempre cuando se disponga de conexión a redes de internet. 5.3.2 TECNOLOGÍA DE LA VIRTUALIZACIÓN Consiste en la creación, a través de software, de una versión virtual de algún recurso tecnológico. Es la tecnología que sustenta el Cloud Computing.
24
5.3.3 FACILIDAD DE USO La complejidad tecnológica del Cloud es transparente para el usuario final, no hay necesidad de conocer la infraestructura que hay detrás de la nube para hacer uso de sus servicios 5.3.4 ESCALABILIDAD Provisión escalable y elástica en función de la demanda. Capacidad consistente en aumentar o disminuir las funcionalidades ofrecidas al cliente, en función de sus necesidades puntuales sin necesidad de nuevos contratos, eliminando así el sobrecoste derivado de mantener los sistemas infrautilizados fuera de las puntas de demanda. [21] 5.4 TIPOS DE ATAQUES
5.4.1 Ataque de denegación de servicios DoS
En el ataque DoS, un atacante sobrecarga el sistema de la nube de destino con solicitudes de servicio para que deje de responder a cualquier solicitud nueva y, por lo tanto, haga que los recursos no estén disponibles para sus usuarios. Algunos Cloud Security Alliance ha identificado que la nube es más vulnerable a los ataques DoS, porque es utilizada por muchos usuarios, lo que la hace mucho más dañina. Los ataques de DOS son de muchos tipos. [22]
ü Un atacante puede sobrecargar el objetivo con una gran cantidad de datos no deseados que consumen el ancho de banda de la red y recursos, por ejemplo, inundaciones UDP, inundaciones ICMP.
ü Un atacante puede hacer uso del espacio en blanco (laguna) que se asocia con varios protocolos de red para sobrecargar recurso de destino, por ejemplo, inundaciones SYN, ataques de paquetes de fragmentos, ping de la muerte.
ü Un atacante puede realizar una solicitud HTTP en gran cantidad para que no pueda ser manejado por el servidor, por ejemplo. Ataque HTTP DDOS, ataque XML DDOS.
5.4.2 MALWARE DE INYECCION DE ATAQUE En Malware de inyección de ataque, un atacante intenta inyectar un servicio malicioso o una máquina virtual en la nube. En esto El tipo de atacante crea su propio módulo de implementación de servicio malicioso (SaaS o PaaS) o máquina virtual. Instancia (IaaS), e intente agregarlo al sistema Cloud. Luego, el atacante debe comportarse para que sea un servicio válido para El sistema en la nube es una
25
nueva instancia de implementación de servicio entre las instancias válidas. Si el atacante tiene éxito en este sentido, la nube redirige automáticamente las solicitudes de usuario válido a la implementación del servicio malintencionado, y el código del atacante comienza a ejecutarse. El escenario principal detrás del ataque inyección de Malware en la nube es que un atacante transfiere una instancia de servicio malintencionado en la nube para que pueda acceder a las solicitudes de servicio del servicio de la víctima. A Para lograrlo, el atacante debe obtener el control sobre los datos de la víctima en la nube. Según la clasificación, este ataque. La principal representante de la explotación de la superficie de ataque del servicio a la nube. El propósito de la inyección de malware en la nube. El ataque puede ser cualquier cosa en la que un atacante esté interesado; puede incluir modificaciones de datos, funcionalidad completa, cambios / reversos o bloqueos 5.4.3 ATAQUES DE CANAL LATERAL Un atacante intenta poner en peligro el sistema de nube colocando una máquina virtual maliciosa cerca de un sistema de servidor de nube objetivo y luego lanzando un ataque de canal lateral. Los ataques de canal lateral se han convertido en una especie de amenaza efectiva a la seguridad que se dirige a la implementación de algoritmos criptográficos. La evaluación de la resistencia de los sistemas criptográficos a los ataques de canal lateral es, por lo tanto, importante para el diseño seguro del sistema. Los ataques de canal lateral usan dos pasos para atacar: Residencia en CO y ubicación de VM, es decir, un atacante a menudo puede colocar su instancia en el mismo físico. La máquina como una instancia de destino y la extracción de VM, es decir, la capacidad de una instancia malintencionada para utilizar canales laterales para obtener información sobre las instancias de co-residentes. Puede ser muy fácil obtener información secreta de un dispositivo, por lo que se debe proporcionar seguridad contra ataques de canales laterales en la computación en la nube 5.4.4 ATAQUES DE AUTENTICACION La autenticación es un punto débil en los servicios de computación en Cloud que frecuentemente es atacado por un atacante. Hoy la mayoría de los servicios siguen utilizando un nombre de usuario y una contraseña simples para la autenticación basada en el conocimiento, pero algunas excepciones son las instituciones financieras que utilizan varias formas de autenticación secundaria (como las preguntas secretas compartidas, las claves del sitio, los teclados virtuales, etc.) que lo hacen más difícil para ataques de phishing populares. Algunos ataques de autenticación son:
ü Ataques de fuerza bruta: en este tipo de ataque, todas las combinaciones posibles de contraseña se aplican para romper la contraseña. El ataque de fuerza bruta generalmente se aplica para
26
descifrar las contraseñas encriptadas donde las contraseñas se guardan en forma de texto encriptado.
ü Ataque de diccionario: este tipo de ataque es relativamente más rápido que el ataque de fuerza bruta. A diferencia de comprobar todas las posibilidades de usar el ataque de fuerza bruta, el ataque de diccionario intenta hacer coincidir la contraseña con la mayoría Palabras o palabras de uso cotidiano.
ü Navegación por el hombro: la navegación por el hombro es un nombre alternativo de "espionaje" en el que el atacante espía al usuario movimientos para obtener su contraseña. En este tipo de ataque el atacante observa al usuario; como entra la contraseña, es decir, qué teclas del teclado ha pulsado el usuario
ü Ataques de reproducción: los ataques de reproducción también se conocen como ataques de reflexión. Es una forma de atacar el desafío, mecanismo de autenticación de usuario de respuesta.
ü Ataques de phishing: es un ataque basado en la web en el que el atacante redirige al usuario al sitio web falso para obtener Contraseñas / Códigos PIN del usuario.
ü Registradores clave: los registradores clave son los programas de software que monitorean las actividades del usuario al registrar cada uno y cada tecla presionada por el usuario.
5.4.5 ATAQUES CRIPTOGRÁFICOS EN MEDIO DEL HOMBRE Un hombre en el ataque central es uno en el que el atacante intercepta mensajes en un intercambio de claves públicas y luego los retransmite, sustituyendo su propia clave pública por la solicitada, de modo que las dos partes originales todavía parecen comunicarse entre sí. En el proceso, las dos partes originales parecen comunicarse normalmente. El remitente del mensaje no reconoce que el receptor es un atacante desconocido que intenta acceder o modificar el mensaje antes de retransmitirlo al receptor. Así, el atacante controla toda la comunicación. Algunos tipos de ataques MIM son:
ü Comunicación de protocolo de resolución de direcciones (ARP): en la comunicación ARP normal, la PC host enviará un paquete que tiene la dirección IP de origen y destino dentro del paquete y lo transmitirá a todos los dispositivos conectados a la red. El dispositivo que tiene la dirección IP de destino solo enviará la respuesta ARP con su dirección MAC en ella y luego se produce la comunicación. El protocolo ARP no es un protocolo seguro y la caché ARP no tiene un mecanismo infalible que resulte en un gran problema.
27
ü Envenenamiento de caché de ARP: en el envenenamiento de caché de ARP, el atacante estaría olfateando la red controlando el interruptor de la red para monitorear el tráfico de la red y falsificar los paquetes ARP entre el host y la PC de la estación de detención y realizar el ataque MIM.
ü DNS Spoofing: El objetivo, en este caso, se proporcionará con información falsa que llevaría a la pérdida de cartas credenciales. Como se explicó anteriormente, este es un tipo de ataque MIM en línea en el que el atacante ha creado un sitio web falso de su banco, de modo que cuando visite el sitio web de su banco, será redirigido al sitio web creado por el atacante y luego el atacante obtendrá todas sus credenciales.
ü Secuestro de sesión: en este caso, una vez que se establece la sesión entre el PC host y el servidor web, el atacante puede obtener ciertas partes del establecimiento de la sesión que se realiza capturando las cookies que se utilizaron para el establecimiento de la sesión. [23]
28
6. MARCO TEORICO
Los orígenes de las vulnerabilidades son muy diferentes, pueden ser debidas a fallos en el diseño del sistema, carencia de procedimientos o simples errores de configuración. Estos aspectos dan cuenta de información sensible que pocos proveedores están dispuestos a compartir, pero que son importantes para que una corporación entienda con claridad a qué riesgos se expone al adoptar un determinado modelo de gestión de TIC. [24] 6.1. Vulnerabilidades La vulnerabilidad es un factor prominente de riesgo. ISO 27005 define el riesgo como “el potencial que una amenaza dada aprovechar las vulnerabilidades de un activo o grupo de activos y por lo tanto causar daño a la organización”, la medición en términos de tanto la probabilidad de un evento y su consecuencia. Como señalamos anteriormente, también el NIST describe cinco características esenciales de la nube: autoservicio a pedido, acceso a la red ubicuo, agrupación de recursos, elasticidad rápida y servicio medido. Los siguientes son ejemplos de vulnerabilidades con causas raíz en una o más de estas características: 6.1.1 Acceso no autorizado a la interfaz de gestión:
El autoservicio a pedido característico de la nube requiere una interfaz de administración que sea accesible para los usuarios del servicio en la nube. Por lo tanto, el acceso no autorizado a la interfaz de administración es una vulnerabilidad especialmente relevante para los sistemas de nube: la probabilidad de que ocurra un acceso no autorizado es mucho mayor que para los sistemas tradicionales, donde la funcionalidad de administración es accesible sólo para unos pocos administradores.
6.1.2 Vulnerabilidades del protocolo de internet
El acceso ubicuo a la red, característico de la nube, significa que se accede a los servicios de la nube a través de la red utilizando protocolos estándar. En la mayoría de los casos, esta red es Internet, que debe considerarse no confiable. Las vulnerabilidades del protocolo de Internet, como las vulnerabilidades que permiten los ataques de intermediarios, son, por lo tanto, relevantes para la computación en la nube.
6.1.3 Vulnerabilidad en la recuperación de datos.
29
Las características de la nube de agrupación y elasticidad implican que los recursos asignados a un usuario se reasignarán a un usuario diferente más adelante. Para recursos de memoria o almacenamiento, por lo tanto, podría ser posible recuperar datos escritos por un usuario anterior.
6.1.4 Medición y evasión de facturación.
La característica de nube del servicio medido significa que cualquier servicio en la nube tiene una capacidad de medición en un nivel de abstracción apropiado para el tipo de servicio (como almacenamiento, procesamiento y cuentas de usuario activas). Los datos de medición se utilizan para optimizar la entrega del servicio, así como la facturación. Las vulnerabilidades relevantes incluyen la medición y la manipulación de datos de facturación y la evasión de facturación.
Por lo tanto, podemos aprovechar la definición bien fundamentada de NIST de la computación en la nube para razonar sobre los problemas de la computación en la nube. [1] 6.2 Defectos en los controles de seguridad conocidos
Las vulnerabilidades en los controles de seguridad estándar deben considerarse específicas de la nube si las innovaciones de la nube causan directamente las dificultades para implementar los controles. Tales vulnerabilidades también se conocen como desafíos de control. Aquí, tratamos tres ejemplos de tales desafíos de control. Primero, las redes virtualizadas ofrecen controles insuficientes basados en la red. Dada la naturaleza de los servicios en la nube, el acceso administrativo a la infraestructura de red de IaaS y la capacidad de personalizar la infraestructura de red son típicamente limitados; por lo tanto, no se pueden aplicar controles estándar, como la zonificación de la red basada en IP. Además, los proveedores de IaaS suelen prohibir las técnicas estándar, como el análisis de vulnerabilidades basado en la red, ya que, por ejemplo, los análisis sencillos no se pueden distinguir de la actividad de los atacantes. Finalmente, tecnologías como la virtualización significan que el tráfico de red se produce tanto en redes reales como virtuales, como cuando se comunican dos entornos de máquinas virtuales (VME) alojados en el mismo servidor. El segundo desafío está en los procedimientos de gestión de claves deficientes. Como se señaló en un estudio reciente de la Agencia Europea de Seguridad de las Redes y la Información [24], las infraestructuras de computación en la nube requieren la administración y el almacenamiento de muchos tipos diferentes de claves. Debido a que
30
las máquinas virtuales no tienen una infraestructura de hardware fija y el contenido basado en la nube a menudo se distribuye geográficamente, es más difícil aplicar controles estándar, como el almacenamiento del módulo de seguridad de hardware (HSM), a las claves en las infraestructuras de la nube. Finalmente, las métricas de seguridad no están adaptadas a las infraestructuras de nube. Actualmente, no hay métricas de seguridad estandarizadas específicas de la nube que los clientes de la nube puedan usar para monitorear el estado de seguridad de sus recursos de la nube. Hasta que se desarrollen e implementen tales métricas de seguridad estándar, los controles para la evaluación de la seguridad, la auditoría y la responsabilidad son más difíciles y costosos, e incluso podrían ser imposibles de emplear.
6.3 Vulnerabilidades prevalentes en las ofertas de Cloud de Última
Generación Aunque el Cloud Computing es relativamente joven, ya hay miles de ofertas en el mercado. Por lo tanto, podemos complementar los tres indicadores de vulnerabilidad específicos presentados anteriormente con un cuarto indicador empírico: si una vulnerabilidad prevalece en las ofertas de vanguardia, debe considerarse como específica. Ejemplos de tales vulnerabilidades incluyen vulnerabilidades de inyección y esquemas de autenticación débiles. 6.3.1 Vulnerabilidades de Inyección Se explotan mediante la manipulación de entradas de servicios o aplicaciones para interpretar y ejecutar partes de ellas en contra de las intenciones del programador. Ejemplos de vulnerabilidades de inyección incluyen
• Inyección de SQL, en la que la entrada contiene código SQL que se ejecuta erróneamente en el back-end de la base de datos.
• Inyección de comandos, en la que la entrada contiene comandos que se ejecutan erróneamente a través del sistema operativo.
• Scripts entre sitios, en los que la entrada contiene código JavaScript ejecutado erróneamente por el navegador de la víctima.
6.3.2 Vulnerabilidades de Autenticación
La implementación de los mecanismos de autenticación puede tener puntos débiles y permitir, por ejemplo, la intercepción y reproducción de credenciales. La mayoría de las aplicaciones web en los servicios en la nube con tecnología de punta actual emplean nombres de usuario y contraseñas como mecanismo de autenticación. Por ejemplo, los nombres de usuario y las contraseñas para la autenticación son débiles debido a:
31
• Comportamiento inseguro del usuario (elección de contraseñas débiles,
reutilización de contraseñas, etc.) • Limitaciones inherentes de los mecanismos de autenticación de un
factor. 6.4 Componentes arquitectónicos y vulnerabilidades Los modelos de servicio en la nube se dividen comúnmente en SaaS, PaaS y IaaS, y cada modelo influye en las vulnerabilidades que presenta una infraestructura de nube determinada. Es útil agregar más estructura a las pilas de modelos de servicio: la Figura7. Muestra una arquitectura de referencia en la nube que hace explícitos los componentes de nube más importantes y relevantes para la seguridad y proporciona una visión general abstracta de la computación en la nube para el análisis de problemas de seguridad.
La arquitectura de referencia de la nube. Figura 7 Asignamos las vulnerabilidades específicas de la nube a los componentes de esta arquitectura de referencia, lo que nos brinda una descripción general de las vulnerabilidades que pueden ser relevantes para un servicio en la nube determinado Figura 7. La arquitectura de referencia de la nube. Fuente: Entendiendo las vulnerabilidades de la computación en la nube La arquitectura de referencia se basa en el trabajo realizado en la Universidad de California, Los Ángeles e IBM. [25]Hereda el enfoque de capas en que las capas pueden abarcar uno o más componentes de servicio. Aquí, usamos el "servicio" en el sentido amplio de proporcionar algo que podría ser tanto
32
material (como refugio, energía y hardware) como inmaterial (como un entorno de tiempo de ejecución). Para dos capas, el entorno de software en el Cloud y la infraestructura del software, el modelo hace que los tres componentes principales del servicio de las capas: computación, almacenamiento y comunicación sean explícitos. Los servicios de la capa superior también se pueden implementar en capas más abajo de la pila, en efecto, omitiendo capas intermedias. Por ejemplo, una aplicación web puede implementarse y operarse de la manera tradicional, es decir, ejecutarse sobre un sistema operativo estándar sin utilizar una infraestructura de software en la nube dedicada y componentes de entorno. Además del modelo original, hemos identificado funciones de soporte relevantes para servicios en varias capas y las hemos agregado al modelo como tramos verticales sobre varias capas horizontales. Nuestra arquitectura de referencia en la nube tiene tres partes principales:
• Infraestructura de soporte (IT). Estas son instalaciones y servicios comunes a cualquier servicio de TI, Cloud o de otro tipo. Los incluimos en la arquitectura porque queremos proporcionar la imagen completa; Un tratamiento completo de la seguridad de TI debe tener en cuenta los componentes no específicos de un servicio.
• Infraestructura específica de la Cloud. Estos componentes constituyen el corazón de un servicio en la nube; Las vulnerabilidades específicas de la nube y los controles correspondientes generalmente se asignan a estos componentes.
• Servicio al consumidor en el Cloud. Nuevamente, incluimos al cliente del servicio en la arquitectura de referencia porque es relevante para un tratamiento de seguridad que abarque todo.
Además, explicitamos la red que separa al consumidor de servicios, infraestructura en el Cloud; El hecho de que el acceso a los recursos se realice a través de una red (generalmente no confiable) es una de las características principales de la computación Cloud. Usando la estructura de la arquitectura de referencia de la Cloud, ahora podemos ejecutar los componentes de la arquitectura y dar ejemplos de las vulnerabilidades específicas de la nube de cada componente. 6.5 Infraestructura y entorno de software en la nube
La capa de infraestructura de software en la nube proporciona un nivel de abstracción para los recursos de TI básicos que se ofrecen como
33
servicios a las capas más altas: recursos computacionales (generalmente VME), almacenamiento y comunicación (de red). Estos servicios se pueden usar individualmente, como suele ser el caso con los servicios de almacenamiento, pero a menudo están agrupados de manera que los servidores se entregan con cierta conectividad de red y (a menudo) acceso al almacenamiento. Este paquete, con o sin almacenamiento, generalmente se conoce como IaaS. La capa de entorno de software en la nube proporciona servicios a nivel de plataforma de aplicaciones:
• Un entorno de desarrollo y tiempo de ejecución para servicios y aplicaciones escritas en uno o más idiomas compatibles.
• Servicios de almacenamiento (una interfaz de base de datos en lugar de compartir archivos).
• Infraestructura de comunicación, como el bus de servicio de Microsoft Azure.
Las vulnerabilidades tanto en la infraestructura como en las capas de entorno suelen ser específicas de uno de los tres tipos de recursos proporcionados por estas dos capas. Sin embargo, las vulnerabilidades de acceso entre inquilinos son relevantes para los tres tipos de recursos. La vulnerabilidad de escape de una máquina virtual que describimos anteriormente es un buen ejemplo. Lo usamos para demostrar una vulnerabilidad que es intrínseca a la tecnología de virtualización central, pero también se puede considerar que tiene su causa raíz en la característica esencial de la agrupación de recursos: cuando se combinan los recursos, el acceso no autorizado a través de los recursos se convierte en un problema. Por lo tanto, para PaaS, donde la tecnología para separar diferentes inquilinos (y servicios para inquilinos) no se basa necesariamente en la virtualización (aunque eso será cada vez más cierto), las vulnerabilidades de acceso entre inquilinos también juegan un papel importante.
6.6 Recursos Computacionales Un conjunto altamente relevante de vulnerabilidades de recursos computacionales se refiere a la forma en que se manejan las imágenes de máquinas virtuales: la única forma viable de proporcionar imágenes de servidores casi idénticas, proporcionando así un servicio bajo demanda para servidores virtuales, es mediante la clonación de imágenes de plantillas. Las imágenes de plantillas de máquinas virtuales vulnerables hacen que las vulnerabilidades del sistema operativo o las aplicaciones se extiendan por muchos sistemas. Un atacante podría analizar la configuración, el
34
nivel de parche y el código en detalle usando derechos administrativos al alquilar un servidor virtual como cliente del servicio y, por lo tanto, obtener información útil para atacar las imágenes de otros clientes. Un problema relacionado es que se puede tomar una imagen de una fuente no confiable, un fenómeno nuevo provocado especialmente por el mercado emergente de imágenes virtuales para los servicios de IaaS. En este caso, una imagen podría, por ejemplo, haber sido manipulada para proporcionar acceso por la puerta trasera a un atacante. La fuga de datos por la replicación de la máquina virtual es una vulnerabilidad que también está enraizada en el uso de la clonación para proporcionar un servicio a pedido. La clonación da lugar a problemas de fuga de datos relacionados con los secretos de la máquina: ciertos elementos de un sistema operativo, como las claves de host y los valores criptográficos de sal, están destinados a ser privados para un solo host. La clonación puede violar esta suposición de privacidad. Una vez más, el mercado emergente para imágenes de máquinas virtuales, como en Amazon EC2, conduce a un problema relacionado: los usuarios pueden proporcionar imágenes de plantillas para otros usuarios al convertir una imagen en ejecución en una plantilla. Dependiendo de cómo se usó la imagen antes de crear una plantilla a partir de ella, podría contener datos que el usuario no desea hacer públicos. También hay desafíos de control aquí, incluidos los relacionados con el uso de la criptografía. Las vulnerabilidades criptográficas debidas a la débil generación de números aleatorios pueden existir si la capa de abstracción entre el hardware y el kernel del sistema operativo introducido por la virtualización es problemática para generar números aleatorios dentro de un VME. Dicha generación requiere una fuente de entropía en el nivel de hardware. La virtualización puede tener mecanismos defectuosos para aprovechar esa fuente de entropía, o tener varias VME en el mismo host puede agotar la entropía disponible, lo que lleva a una débil generación de números aleatorios. Como señalamos anteriormente, esta capa de abstracción también complica el uso de controles de seguridad avanzados, como los módulos de seguridad de hardware, lo que posiblemente lleve a procedimientos de administración de claves deficientes.
6.6.1 Almacenamiento
La vulnerabilidad de recuperación de datos debido a la combinación de recursos y la elasticidad existe un desafío de control relacionado en el saneamiento de los medios, que a menudo es difícil o imposible de implementar en un contexto de Cloud. Por ejemplo, las políticas de destrucción
35
de datos aplicables al final de un ciclo de vida que requieren la destrucción del disco físico no se pueden llevar a cabo si otro inquilino todavía está utilizando un disco. Debido a que la criptografía se usa con frecuencia para superar las vulnerabilidades relacionadas con el almacenamiento, las vulnerabilidades de esta tecnología central (criptografía insegura u obsoleta y mala administración de claves) desempeñan un papel especial para el almacenamiento en la nube. 6.6.2 Comunicación
El servicio de comunicaciones en el Cloud Computing es la red provista para VME en un entorno IaaS. Debido a la agrupación de recursos, es probable que varios clientes compartan ciertos componentes de la infraestructura de la red: las vulnerabilidades de los componentes de la infraestructura de la red compartida, como las vulnerabilidades en un servidor DNS, el Protocolo de configuración dinámica de host y las vulnerabilidades del protocolo IP, pueden permitir los ataques de inquilinos entre redes. en una infraestructura IaaS. La red virtualizada también presenta un desafío de control: una vez más, en los servicios, el acceso administrativo a la infraestructura de red IaaS y la posibilidad de personalizar la infraestructura de red son generalmente limitados. Además, el uso de tecnologías como la virtualización conduce a una situación en la que el tráfico de red se produce no solo en redes "reales" sino también dentro de redes virtualizadas (como para la comunicación entre dos VME alojados en el mismo servidor); la mayoría de las implementaciones de redes virtuales ofrecen posibilidades limitadas para integrar la seguridad basada en la red. En general, esto constituye un desafío de control de controles insuficientes basados en la red porque los controles de seguridad de nivel de red probado y probado podrían no funcionar en un entorno de nube determinado.
6.6.3 Aplicaciones Web
Una aplicación web utiliza la tecnología de navegador como la interfaz para la interacción del usuario. Con la mayor aceptación de tecnologías de computación basadas en navegador como JavaScript, Java, Flash y Silverlight, una aplicación de nube web se divide en dos partes:
• Componente de aplicación operado en algún lugar de la nube. • Componente del navegador que se ejecuta dentro del navegador del
usuario. Otras vulnerabilidades específicas de la aplicación web se refieren al componente frontal del navegador. Entre ellas se encuentran las
36
vulnerabilidades de manipulación de datos del lado del cliente, en las que los usuarios atacan las aplicaciones web mediante la manipulación de los datos enviados desde su componente de aplicación al componente de aplicación del servidor. En otras palabras, la entrada recibida por el componente del servidor no es la entrada "esperada" enviada por el componente del lado del cliente, sino una entrada alterada o completamente generada por el usuario. Además, las aplicaciones web también se basan en mecanismos de navegador para aislar contenido de terceros incrustado en la aplicación (como anuncios, componentes de mashup, etc.). Las vulnerabilidades de aislamiento del navegador podrían permitir que el contenido de terceros manipule la aplicación web.
6.6.4 Acceso a Gestión
La definición de NIST de la computación en la nube establece que una de las características centrales de los servicios en la nube es que se pueden aprovisionar y lanzar rápidamente con un mínimo esfuerzo de administración o la interacción del proveedor de servicios. En consecuencia, un elemento común de cada servicio en la nube es una interfaz de administración, que conduce directamente a la vulnerabilidad relacionada con el acceso no autorizado a la interfaz de administración. Además, dado que el acceso a la administración se realiza a menudo utilizando una aplicación o servicio web, a menudo comparte las vulnerabilidades de la capa de aplicación web y los componentes de servicios.
6.6.5 Identidad, Autenticación Autorización y mecanismos de Auditoria Todos los servicios en la nube (y cada interfaz de administración del servicio en la nube) requieren mecanismos para la gestión de identidad, autenticación, autorización y auditoría (IAAA). Hasta cierto punto, partes de estos mecanismos pueden ser eliminados como un servicio independiente de IAAA para ser utilizado por otros servicios. Dos elementos de la IAAA que deben formar parte de cada implementación del servicio son la ejecución de comprobaciones de autorización adecuadas (que, por supuesto, utilizan la información de autenticación y / o autorización recibida de un servicio de IAA) y la auditoría de la infraestructura de la nube. La mayoría de las vulnerabilidades asociadas con el componente IAAA deben considerarse como específicas de la nube porque son prevalentes en las ofertas de nube de última generación. Anteriormente, dimos el ejemplo de mecanismos de autenticación de usuarios débiles; otros ejemplos incluyen
37
• Denegación de servicio por cierre de cuenta. Un control de seguridad que se usa con frecuencia, especialmente para la autenticación con nombre de usuario y contraseña, es bloquear las cuentas que hayan recibido varios intentos de autenticación fallidos en rápida sucesión. Los atacantes pueden usar tales intentos para lanzar ataques DoS contra un usuario.
• Mecanismos débiles de restablecimiento de credenciales.
Cuando los proveedores de computación en la nube administran las credenciales de los usuarios por sí mismos en lugar de utilizar la autenticación federada, deben proporcionar un mecanismo para restablecer las credenciales en el caso de las credenciales olvidadas o perdidas. En el pasado, los mecanismos de recuperación de contraseñas han demostrado ser particularmente débiles.
• Verificaciones de autorización insuficiente o defectuosa. Las
ofertas de servicios web y aplicaciones web de vanguardia a menudo son vulnerables a verificaciones de autorización insuficientes o defectuosas que pueden poner a disposición de los usuarios información o acciones no autorizadas. Las comprobaciones de autorización faltantes, por ejemplo, son la causa raíz de los ataques de adivinación de URL. En tales ataques, los usuarios modifican las direcciones URL para mostrar información de otras cuentas de usuario.
• Control de autorizaciones basto. Las interfaces de administración de los servicios en la nube son particularmente propensas a ofrecer modelos de control de autorización que son demasiado toscos. Por lo tanto, las medidas de seguridad estándar, como la separación de tareas, no se pueden implementar porque es imposible proporcionar a los usuarios solo los privilegios que estrictamente requieren para llevar a cabo su trabajo.
• Insuficientes posibilidades de registro y seguimiento.
Actualmente, no existen estándares o mecanismos para que los clientes de la nube puedan registrar y monitorear las instalaciones dentro de los recursos de la nube. Esto da lugar a un problema grave: los archivos de registro registran todos los eventos del arrendatario y no se pueden eliminar fácilmente para un solo arrendatario. Además, la supervisión de seguridad del proveedor a menudo se ve obstaculizada por capacidades de supervisión insuficientes. Hasta que desarrollamos e implementamos estándares e instalaciones de registro y
38
monitoreo utilizables, es difícil, si no imposible, implementar controles de seguridad que requieran registro y monitoreo.
De todas estas vulnerabilidades de IAAA, en la experiencia de los proveedores de servicios en la nube, actualmente, los problemas de autenticación son la principal vulnerabilidad que pone en riesgo los datos de los usuarios en los servicios en la nube [26]
39
7. ESTADO DEL ARTE
Cloud computing lo definimos en un modelo para permitir el acceso adecuado y bajo demanda a un conjunto de recursos de cómputo configurables como (redes, servidores, almacenamiento, aplicaciones y servicios) que pueden ser rápidamente provistos y puestos a disposición del cliente con un mínimo esfuerzo de gestión y de interacción con el proveedor del servicio Sin embargo se destaca las características del Cloud en el autoservicio el autoservicio acceso a redes, agrupaciones recursos de elasticidad además da breve descripción de los tipos de cloud (privado, publico, hibrido, comunitario). [30,56] Un Cloud de consumo de servicios presenta un esquema de cifrado probado da para: asegúrese de que el almacenamiento compartido el medio ambiente protege todos los datos estrictos controles de acceso, ventilar el acceso no autorizado de los datos y copia de seguridad de datos programada y segura, almacenamiento de los medios de respaldo. [60, 67] La multiplexación es una de las características de la nube como la elasticidad y la aparición infinita. A su vez plantea riesgos significativos en estos entornos los inquilinos pueden afectar la información sobre la identidad si no se controla se debe para blindar por esta entrada otras autenticaciones adicionales. Como la elasticidad es una clave del cloud computing para agregar elasticidad donde se recomienda que el cloud de nuevas soluciones de seguridad informática por diferentes inquilinos que pueden entrar en conflicto entre sí eliminando los recursos de los servicios de los proveedores (EC2, Azure, Google) [35, 38,46]. Otras definiciones del cloud computing dan una lógica avanzada y capaz de proporcionar la infraestructura flexible de este modo adquieren solicitud de modelos de implementación en los Servicios SaaS (Software como servicio) donde ellos utilizan dos tipos de servidores uno como principal y otro de dominio, da una tendencia en aumento a medida que los recursos externos en infraestructura de la maquina sean para obtener servicios; además en un alcance de una TTP (Técnicas tácticas de procesos en ciberataques) da una facilidad ideal del cloud para dominios administrativos lo cual se da con autoridad delegada con el fin de resolver y abordar un entorno de múltiples niveles además de eso aumentan las amenazas en la nube tales combinaciones tales como el PKI, LDAP, SSO y llevaría a una solución horizontal. [31]. Tabla de definiciones Cloud Las principales organizaciones de estándares internacionales dan una breve descripción de riesgos y vulnerabilidades tales como ENISA (Agencia Europea de Seguridad de las Redes y de la Información), Cloud Security Alliance (CSA) Y NIST (Instituto Nacional de Estándares y Tecnología) donde podemos ver unas recomendaciones:
40
Tabla 1 Tabla que resume la información relacionada con los marcos de seguridad CSA (orientación, amenazas principales y arquitectura TCI).
Marco de referencia Objetivos Estructura y comentarios
Orientación CSA
• Recomendaciones para reducir riesgos.
• No hay restricciones con
respecto a específicos, soluciones o tipo de servicios.
• Directrices no
necesariamente aplicables para todos los modelos de implementación.
• Proporcionar una
estructura inicial para dividir los esfuerzos para investigaciones.
• Un dominio arquitectónico. • Dominios de gobernanza: gestión
de riesgos, preocupaciones legales, cumplimiento auditoria, gestión de información, interoperabilidad y portabilidad.
• Dominios operativos: seguridad tradicional y empresarial, recuperación ante desastres, operaciones del centro de datos, encriptación, seguridad de la aplicación, identificación, autorización, vitalización, tercerización de seguridad.
• Énfasis en el hecho de que la nube
no está vinculada a las tecnologías de virtualización, aunque los servicios en la nube dependen de gran medida de las infraestructuras virtualizadas para proporcionar flexibilidad y estabilidad.
CSA
Principales amenazas
• Proporcionar contexto para la gestión de riesgos, decisiones y estrategias.
• Centrarse en cuestiones
únicas o altamente influenciadas por la computación en la nube característica.
• Siete amenazas principales:
1. Abuso y uso malicioso de recursos en la nube.
2. API inseguras. 3. Insiders maliciosos. 4. Vulnerabilidad tecnológica
compartida. 5. Perdida de datos. 6. Secuestro de cuentas, servicios y
tráfico. 7. Perfil de riesgo desconocido
(oscuridad de seguridad). • Resume información sobre las
principales amenazas y
41
proporciona ejemplos, remediaciones directrices, impacto causado y que tipos de servicios (según el modelo SPI) son afectados.
Arquitectura CSA
• Habilitar la confianza en la nube basada en normas y certificaciones bien conocidas aliado a marcos de seguridad y otras referencias abiertas.
• Usar marcos ampliamente adoptados para lograr la estandarización de políticas y mejores prácticas basadas en principios de seguridad ya aceptados.
• Cuatro conjuntos de marcos (seguridad, NIST SPI, auditora de TI y legislativo) y cuatro dominios arquitectónicos (arquitectura empresarial SABSA, ITIL para servicios de gestión, jericho para seguridad y TOGAF para referencia de TI).
• Estructura tridimensional basada
en premisas de entrega en la nube, confianza y operaciones.
• Concentra una gran cantidad de
conceptos e información relacionados con los servicios, operación y seguridad.
Fuente El Autor Cloud Security Alliance (CSA), que define la seguridad dominios que congregan aspectos funcionales específicos, desde gobernanza y cumplimiento de virtualización. Además, es una organización liderada corporaciones, asociaciones y otras partes interesadas titulares Uno de sus principales objetivos es promover la adopción de mejores prácticas para proporcionar seguridad en entornos de computación en la nube se analizan tres documentos CSA adicionalmente ha resumido cinco elementos esenciales características • Autoservicio a pedido: un cliente de la nube puede un obtener lateralmente capacidades informáticas, como el uso de varios servidores y almacenamiento en red, según demanda, sin interactuar con el proveedor de la nube. • Amplio acceso a la red: los servicios se entregan a través de Internet a través de un mecanismo estándar que permite acceder a los servicios a través de delgada heterogéneo herramientas de cliente grueso • Agrupación de recursos: el proveedor de la nube emplea una modelo de inquilino para atender a múltiples clientes agrupando recursos informáticos, que son diferentes físicos y recursos virtuales asignados o reasignados
42
dinámicamente Según la demanda del cliente. Ejemplos de recursos incluye almacenamiento, procesamiento, memoria, ancho de banda de red, y máquinas virtuales • Elasticidad rápida: las capacidades pueden ser rápidas y aprovisionado elásticamente para escalar rápidamente lanzado rápidamente para escalar rápidamente. De los clientes punto de vista, las capacidades disponibles deberían parecer ser ilimitado y tener la capacidad de comprarse en cualquier Cantidad en cualquier momento. • Servicio medido: el servicio adquirido por los clientes se puede cuantificar y medir, para el proveedor y sus clientes, tenga el uso de recursos el cual será monitoreado, controlado, medido e informado en sus reportes por el proveedor.[55] El NIST ha publicado recientemente una taxonomía para la seguridad en computación en la nube. El primer nivel de esta taxonomía abarca roles típicos en el entorno de la nube: proveedor de servicios en la nube, responsabiliza para hacer que el servicio esté disponible; servicio de almacenamiento en la nube consumidor, que utiliza el servicio y mantiene un negocio relación con el proveedor. [43] Tabla 2 Información sobre los marcos de seguridad ENISA Y NIST
Marco de referencia Objetivos Estructura y comentarios
Informe ENISA
• Estudio sobre beneficios y riesgos cuando adaptando soluciones en la nube para empresas operaciones.
• Proporcionar información para la seguridad, evaluaciones y toma de decisiones.
• Tres categorías principales de riesgos específicos de la nube (política y organización, técnico, legal) más de una categoría adicional para las no especificas.
• Ofrece pautas básicas y mejores
prácticas para evitar a mitigar sus efectos.
• Presenta recomendaciones para futuros estudios relacionados con la creación de confianza. (Certificaciones, métricas y transparencia), protección de datos a gran escala (privacidad, integridad, manejo de incidentes y regulaciones) y técnica aspectos (aislamiento, portabilidad y resiliencia).
43
• Destaca la dualidad de
escalabilidad (recursos rápidos, flexibles y accesibles versus concentraciones de datos que atraen a los atacantes y también proporcionan infraestructura para ayudar a sus operaciones).
• Amplio estudio sobre riesgos considerado su impacto y probabilidad.
Taxonomía NIST
• Definir qué servicios en la nube deberían
proporcionar en lugar de cómo diseñar e
implementar soluciones.
• Facilitar la comprensión de la nube operaciones y
mecanismos internos.
• Niveles de taxonomía: Primer nivel: roles de nube (proveedor de servicios, consumidor, corredor de la nube, operador de nube y auditor de nube). Segundo nivel: actividades realizadas por rol (nube gestión, despliegue de servicios, acceso a la nube y servicio consumo). Tercer nivel y siguientes: elementos que componen cada actividad. (Modelos de implementación, tipos de servicios y elementos de auditoría).
• Basado en la publicación SP 500-292, destacando la importancia de la seguridad, privacidad y niveles de confianza para aumentar le tecnología aceptación.
• Concentra muchos conceptos útiles, como modelos para implementar o servicios de clasificación.
Fuente: Taxonomia NIST según los marcos de referencia Los modelos PaaS (Plataforma como servicio) tiene como objetivo proteger los datos en especial el almacenamiento, el costo total de propiedad es menor,
44
estos componentes web en los entornos virtualizadas dan un enfoque a la funcionalidad para monitorear las posibles vulnerabilidades siendo un ataque virtual en lo cual sucede que en un ataque malicioso migrar de un host a otro host esto suele ocurrir en las plataformas AWS, App Engine de Google y Salesforce. Sin embargo, estas las amenazas pueden causar muchos problemas en los ámbitos de seguridad tal se puede tener varios como la intimidad, confiabilidad asuntos legales, normas abiertas, libertad en cuantos los dispositivos y servidores en el Cloud, viabilidad a largo plazo y sus datos de ubicación. [33,34] El modelo IaaS (Infraestructura como servicio) da los recursos como hardware para ejecutar los servicios que van utilizando los servicios hacia algunas maquinas virtuales el cual es administrado por demanda debido a que es muy complejo distinguir la vulnerabilidad de la red en el cual el atacante segrega la red por la Ip y llega a lanzar su ataque como de Sniffer y spoffing en la red. También en el momento de creación de imágenes de las Maquinas virtuales en los repositorios respectivos eso puede ser una amenaza grave en lo cual un usuario malintencionado puede investigar el código de la imagen hasta cargar una imagen de que contenga un malware o también un ataque de escape de la maquina virtual. No obstante, algunas funciones criptográficas que no pueden ser modificadas los respectivos fabricantes firman con clave pública de respuesta para garantizar la exactitud Así mismo el Cloud Computing se está introduciendo con una tendencia múltiple donde se intercambia recursos y una subcontratación de nuevos desafíos a la comunidad en la seguridad, estos desafíos requiere ciertos ajustes y medidas para desarrollar medidas en la informática, no obstante el Cloud Computing lo cual da muchas tecnologías los cuales puede ser por servicios sea (SOA, Servicios Web) los problemas de seguridad sean amenazas o vulnerabilidades para dar solución a estos ataques se pueden decir que una amenaza es un mal uso de de la información y se ha carecido de una seguridad adecuada teniendo en cuenta sus técnicas de criptografía, es una ayuda para evitarla se puede implementar nuevos controles de IT dando un modelo de gestión (HSM) para tener métricas estandarizadas en el Cloud. Sin embargo, las vulnerabilidades están en contante avance y se pueden tener tales ataques de Inyección. Identificando las componentes con las que se identifica funciones de infraestructura sean horizontales como verticales del Cloud.[32] Debido a las institutrices a de los clientes es decir el suficiente conocimiento ante los procedimientos, practicas y especialmente en segregar funciones ante posibles vulnerabilidades los ataques por medio de fuerza bruta con utilización de algoritmos se dan en forma paralela dan do extracción de información en claves criptográficas donde se detallan las contraseñas en información por medio de terminales SSH [28]. También los Hackers o atacantes pueden hasta ocupar recursos generando falsos datos o insertando códigos maliciosos en los recursos que secuestran
45
donde puede ser por código por internet por denegaciones de servicio. El secuestro de cuentas implica un Phishing o técnica de fraude donde se da una vulnerabilidad al Cloud donde se roban las credenciales y obtiene acceso a no autorizado a los servidores, otro tipo de ataque que se impacta son los insiders maliciosos que impactan en la seguridad de las organizaciones debido a que se infiltran y causan un daño severo tanto de datos, como una perdida financiera y productividad [69] Los accesos no autorizados traen un riesgo inherente donde se debe tomar medidas ya que es una primera etapa para ciertos ataques. Posterior a los ataques la maquina virtual a otra máquina virtual (Ataques de canales laterales) donde se ve comprometida la maquina virtual y el atacante ve el ataque próximo es decir hará perdida de data, ubicación de datos. Estos ataques de hipervisor utilizan un mecanismo de programación donde no se puede detectar y contabilizar el procesamiento de la CPU. Las vulnerabilidades del hipervisor las cuales son por fuente de activación y por objetivo de ataque integración de estas tres clasificaciones da una imagen clara de los diferentes módulos de hipervisor y espacios de tiempo de ejecución que se atraviesan. Tres dimensiones: la fuente de activación (es decir, donde el atacante se encuentra), el vector de ataque (es decir, el hipervisor funcional que permite la violación de seguridad), y el objetivo del ataque (es decir, el dominio de tiempo de ejecución que está comprometido). [49,74]. Adicional el supuesto aislamiento subyace en la seguridad del cloud computing en las tecnologías como AWS EC2, Microsoft Azure en los sistemas de seguridad multinivel, pero en los alistamientos se han dado una variedad de estos ataques donde pueden ser llamados impulsados por el acceso esto se podría proporcionar información Cruda y en particular como para extraer secretos criptográficos. Los ataques de decanal lateral entre las máquinas virtuales a donde se cree que hay varias técnicas donde se pueden emplear para lograr de manera destaca tres clases de Desafíos como: Incluir ataques frecuentes de VM-atacante, Superar las fuentes de ruidos en la información disponible atreves del temporizador de cache y tratar el núcleo migraciones que dan lugares de cache sin formación de interés del atacante.[36] El código vulnerable subyacente en realidad se encuentra en la versión más reciente de libcrypt ben la biblioteca que es utilizada por las aplicaciones estor ataques de canal lateral usa para extraer la criptografía las claves de un dispositivo o el tramo en la victima se han estudiado en la variedad de las configuraciones los cuales estor ataques se catalogan en 3 diferentes tipos:
• Un canal lateral control por el tiempo el ataque es posible cuando el tiempo total de ejecución de criptografía grafica con la que la clave están influencias por el valor de la clave.
• El segundo ataque de canal lateral está basado en el rastreo estos ataques monitorean continuamente en algún aspecto de dispositivo a través de la operación criptográfica como la extracción de dicho
46
dispositivo; la capacidad de monitorear continuamente da a estos que los ataques sean bastante poderosos.
• El ataque de canal lateral es impulsado por al acceso el cual se ejecuta por un programa en el sistema en el cual da operaciones criptográficas de interés en el cual se fija el programa atacante supervisa toda la arquitectura para poder aprender la información de las claves y de los datos de cache, estructura.
Sin embargo Un ataque de canal de tiempo común es derivar claves secretas utilizadas en operaciones criptográficas a través de actividades legítimas (inferir claves del caché consumo de energía, teniendo en cuenta el número total de errores de caché o el tiempo de CPU uso, que revela patrones característicos al realizar operaciones criptográficas Los riesgos de seguridad que la tendencia múltiple induce a las nubes más establecidas, Infraestructura como servicio se nubla y revise la literatura disponible para presentar los más relevantes amenazas, estado del arte de las soluciones que abordan algunos de los riesgos asociados. como los siguientes:
1. abuso y uso nefasto de la computación en la nube: los proveedores
de IaaS aportan la ilusión de capacidad ilimitada de cómputo, red y almacenamiento. Sin embargo, IaaS las ofertas han alojado botnets, troyanos y exploits de software.
2. Interfaces inseguras y API: un conjunto de API para administrar e
interactuar con servicios en la nube suelen estar expuestos (aprovisionamiento, monitoreo, etc.). Nube La seguridad de los servicios depende de la seguridad de estas API básicas.
3. Insiders maliciosos: esto se amplifica en la nube por "la
convergencia de servicios de TI y clientes bajo un solo dominio de administración, combinado con una falta general de transparencia en el proceso y procedimiento del proveedor
4. Problemas de tecnología compartida: los proveedores de IaaS
ofrecen sus servicios en un escalable mediante el intercambio de infraestructura. Monitorear el entorno de personas no autorizadas cambios / actividad.
5. Pérdida o fuga de datos: esta amenaza aumenta en la nube, debido
a las características arquitectónicas u operativas del entorno de la nube (por ejemplo, inseguro API, entorno compartido, etc.).
6. Secuestro de cuentas o servicios: el phishing, el fraude y la
explotación están bien. Problemas conocidos en TI. La nube agrega una nueva dimensión a esta amenaza: "si un atacante obtiene acceso a sus credenciales, pueden espiar sus actividades y
47
transferir acciones, manipular datos, devolver información falsificada y redirigir a sus clientes a sitios legitimos.
7. Perfil de seguridad desconocido: la reducción del costo de propiedad
inducida por la nube también resultó en un análisis más complejo de la postura de seguridad de una empresa. Más inquilinos implican una mayor complejidad en la detección de quién y cómo está utilizando e infraestructura.[42]
Una máquina virtual maliciosa podría causar una salida de la maquina virtual se produzca de manera que se inyecte maliciosamente codificando o desencadenado un error en el hipervisor o desencadenar un error podría utilizarse potencialmente para violar confidencialidad o integridad de otras máquinas virtuales o incluso bloquearse o ralentizarse abajo del hipervisor [50]. En pocas palabras, el problema es que mientras las máquinas virtuales pueden revertirse, un recuerdo de los atacantes de lo que tiene y se ha visto no se puede los protocolos criptográficos son también un riesgo se puede decir, la reutilización de los números de secuencia inicial de TCP puede permitir ataques de secuestro de TCP.[52] Otro ataque es el Ataque a denegación de servicio (Dos) donde este proviene particular mente del HTTP el cual se basa en XML y REST en lo cual envían solicitudes en HTTP y XML y a través del sistema REST construyen una interfaz esto protocolos son mu utilizados como en Azure y AWS, debido a esta vulnerabilidad es más fácil de implementar y difícil de contrarrestar este tipo de ataque, dando que es muy destructivo en DDos tradicional ya que utilizan protocolos que se usan ampliamente en el Cloud Computing sin tener mecanismos de disuasión para evitar los como HTTP, XML el cual es crítico e importantes es la nube por lo cual su seguridad sobre estos protocolos es muy crucial para la plataforma en el Cloud.[77]. El sistema de detección de intrusos (IDS) utiliza una base de datos de reglas estas firmas se utilizan para comparar el patrón de red entrante, si el patrón de red entrante coincide con la firma, se detecta una intrusión. El IDS en la misma máquina que el host el cual está monitoreando la máquina virtual para aislar los IDS del host monitoreándolo cual proporciona la capacidad única de mediar el acceso para alojar hardware, permitiendo la política de control de acceso de hardware cumpliendo ante el compromiso total del host Por otro lado, aumentar la visibilidad de el sistema de destino para el IDS con frecuencia tiene un costo de un aislamiento más débil entre el IDS y el atacante [65,73] Un riesgo de un ataque directo a los IDS es la compensación más evidente que cuando se compara las arquitecturas IDS dominantes: detección de intrusiones basadas en red sistemas detección (NIDS) Considere un mal funcionamiento en un NIDS que hace que el IDS se bloquee o se sobre cargue debido a un gran volumen de tráfico. ataque actividades y subvertir sistemas
48
de detección de intrusos a través de manipulación del núcleo del sistema operativo, bibliotecas compartidas y aplicaciones que se utilizan para informar y auditar el sistema estado (por ejemplo, tripwire, netstat). [44, 68] Los ataques que se basan en REST son estrechamente relacionados en aplicaciones de usuario en el sistema por lo cual múltiples aplicaciones dan unos requisitos y no existe una regla para implementar una medida de seguridad a nivel de interfaz. Los ataques de malware dan una referencia de una copia manipulada de las instancias del servicio de la victima subido por el ataque de la victima de modo que alguna de las solicitudes del servicio posee instancias maliciosas estos incidentes provocan fuga de información de los usuarios y acceso no autorizado dentro de la nube. [77]. Ataques de Canales Laterales son de manera asíncrona para lo cual da al atacante que para poder lograr su cometido debe ser ejecutado o activamente por victimas estos ataques se ejecutan en SMP (Multiprocesamiento simétrico) en nubes publicas como AWS, Microsoft Azure ya que ellos atacan la maquina virtual y se aprovechan del procesamiento de la maquina en lo cual este tipo de ataque requiere que el atacante red se desde una maquina virtual diferente en el mismo hardware físico que el de la victima estos incidentes de un canal lateral es un lado de sincronización los cuales son muy difíciles de calcular y controlar generando un paralelismo masivo demás del canal lateral son difíciles de detectar, donde se cree que hay varias técnicas donde se pueden emplear para lograr de manera destaca tres clases de desafíos como: Incluir ataques frecuentes de maquinas virtuales atacadas, superar las fuentes de ruidos en la información disponible atreves del temporizador de cache y tratar el núcleo migraciones que dan lugares de cache sin formación de interés del atacante. No obstante, la variedad de las configuraciones los cuales estor ataques se catalogan en 3 diferentes tipos:
• Un canal lateral control por el tiempo el ataque es posible cuando el tiempo total de ejecución de criptografía grafica con la que la clave están influencias por el valor de la clave.
• El segundo ataque de canal lateral está basado en el rastreo estos ataques monitorean continuamente en algún aspecto de dispositivo a través de la operación criptográfica como la extracción de dicho dispositivo; la capacidad de monitorear continuamente da a estos que los ataques sean bastante poderosos.
• El ataque de canal lateral es impulsado por al acceso el cual se ejecuta por un programa en el sistema en el cual da operaciones criptográficas de interés en el cual se fija el programa atacante supervisa toda la arquitectura para poder aprender la información de las claves y de los datos de cache, estructura. [36,63, 77]
49
Mencionado estos tres tipos de ataques se concluye que tiene el control de varios sistemas operativos e la visibilidad de cada sistema mediante la maquina. En el ataque basado en virtualización de aplicaciones es similar al anterior, pero es este es incrustado un código malicioso en sistema operativo contiene errores nativos y se pueden ver comprometidos los invitados y por ultimo en el otro tipo de ataque en ataque realiza ataques de canal lateral entre las maquinas virtuales y ataques de DoS donde se puede almacenar datos dañinos que permitió en DoS en los hipervisores dar bajo protocolo de seguridad como (IPSec) algoritmos criptográficos, sistemas de detección, prevención de intrusos y certificados digitales recursos, el aprovisionamiento de acceso específico a aquellos recursos y diseñar un mecanismo de control de acceso empleando una gran cantidad de reglas de autorización, a través de dominios de políticas en conflicto, para un gran número de usuarios. [40, 61]. Los desafíos más grandes con la protección es de compartir los datos mientras se protegen los datos ya que los sistemas típicos requieren protección de la privacidad tales como los sistemas de correo electrónico, sistemas bancarios, sistemas de Salud entre otros[74] Los riesgos de seguridad que la tendencia múltiple induce a las nubes más establecidas, Infraestructura como servicio se nube y revise la literatura disponible para presentar los más relevantes amenazas, estado del arte de las soluciones que abordan algunos de los riesgos asociados como los siguientes: Abuso nefasto de la nube, Interfaces inseguras y API, Insiders maliciosos, problemas de tecnología compartida, pérdida o fuga de datos, secuestro de cuentas o servicios y por ultimo perfil de seguridad desconocido. [42]. Otros tipos de ataques son las vulnerabilidades en los protocolos de internet para atacar el cloud donde se incluyen los siguientes tipos de ataques tales como ataques de hombre del medio, suplantación de IP, suplantación de ARP, envenenamiento de DNS, ataques de RIP e inundaciones donde la maquina virtual o el atacante puede reenviar todo su trafico como entrante y saliente a la maquina del atacante dependiendo de poder computacional en el control del atacante, un lado efecto del ataque de inundación directamente en los servicios cloud potencialmente consiste en que otros servicios prestados en los mismos servidores de hardware pueden sufrir de la carga de trabajo causada por las inundaciones.[47] El ataque a la interfaz de acceso de gestión es un ataque muy crítico para el cloud ya que los usuarios y sus administradores aumentan las probabilidades de un acceso no autorizado por análisis algoritmos criptográficos donde el atacante puede convertir su cifrado fuerte como débil el cloud aquí basan los ataques de sitios cruzados (XSS) donde se pueden administrar las interfaces utilizadas para administrar los recursos de la nube secuestrado, este tipo de ataque permite modificar, eliminar imágenes de las maquinas, configuraciones internas[70]
50
Los Hipervisores tipo I tal como HyperSafe logra su objetivo mediante dos claves técnicas: la primera técnica bloquea la protección contra escritura de páginas de memoria y evita que sean manipuladas en tiempo de ejecución, protegiendo efectivamente el código del hipervisor de tipo I de código abierto: BitVisor y Xen [58] Sin embargo, los hipervisores Xen en el momento de estos ataques actualizando el soporte de aislamiento del performance del sistema operativo en el cual se debe tener en cuenta los recursos y procesos correctos donde se dispone la interacción si podemos evitar los inconvenientes de la virtualización [39]. Así evitando los ataques de memoria compartida se aprovechan de la memoria cache o memoria principal donde las maquinas virtuales inician el Cloud lo cual puede conducir a un tipo de factor como los canales laterales en los cuales se miden el cache lo cual como objetivo acceden a la información a la memoria de las maquinas virtuales a través de un malware un ataque interno lo cual lleva la criptografía de vanguardia puede ofrecer nuevas herramientas para resolver estos problemas. Los criptógrafos han inventado recientemente esquemas de cifrado que permiten la operación y el cálculo en el texto cifrado.[54] Los ataques de Phishing da intento de acceder a la información personal de los usuarios desprevenidos a través de las redes sociales por medio de técnicas ingeniera social el atacante obtiene información confidencial como las contraseñas información de las tarjetas de crédito entre otros además hay dos tipos de ataques como: Un comportamiento abusivo de cloud donde el atacante aloja un sitio de ataque de phishing utilizando los servicios de la nube y el otro tipo de ataque es secuestrando cuentas y servicios de la nube a través de técnicas de ingeniería social. La seguridad de la red empresarial está actualmente bajo condiciones altamente volátiles y el panorama de seguridad se oscurece al mezclar entornos en la nube con la tasa de aumento y mejora de la cibercriminalidad. Dando así que el malware llega a una carpeta, sincronice con la nube, entonces pueda extenderse a través de los dispositivos que también están configurados con ese específico para que el malware, que solo tiene alrededor del 30% al 50% de posibilidades de hacerlo, y si tiene éxito lo elimina del disco duro. Los ataques de Rookit es una realidad falsa en la cual las aplicaciones se ejecutan en el interprete y el riesgo de tal programa son fácilmente las solicitudes de hardware lo cual lo hace indetectable. lo cual es muy crucial la elección del proveedor de la nube para el riesgo reputacional en los SLA´s [41,72,77] Los ataques de Botnet son ataque donde intentan alcanzar su objetivo como (espiar, corromper Dos, entre otros) donde evitan revelar sus identidades y ubicaciones para así minimizar el rastreo y atacando indirectamente a la victima haciendo llamadas de otros hosts los cuales son llamadas ilegales para extraer información estos tipos de ataque se ven en AWS y en Google app engine, este tipo de ataque puede controlar el servicio o alquilar la maquina virtual de alto rendimiento. En estos últimos años, la mayoría del malware ha
51
sido problemático en el cual infectaba el cloud era ransomware, que casi encriptado la información y la hace inaccesible. Una vulnerabilidad es una debilidad en el sistema que es explotado por una amenaza, violaciones de datos es un riesgo severo y está clasificado como el número uno entre las amenazas en el cloud computing. Se perdieron más de 1.400 millones de registros en solo violaciones de datos en 2017. Los ataques DoS y DDoS son fáciles de ejecutar, especialmente si el atacante tiene control sobre una botnet. Hoy en día, estos los servicios están disponibles en línea por una módica tarifa y no necesidad de hacer tu propia botnet.[59] Los ataques de reversión a la Maquina virtual es donde se puede suspender la maquina virtual en cualquier momento durante su ejecución en forma instantánea de los estados de la CPU, reanuda memoria, disco este se hace implementado fallas en la maquina sin embargo también proporciona que un usuario las instantáneas anteriores sin conciencia del usuario y limpiar el historial y nuevamente ejecutarlo nuevamente. [77] Los componentes clave de nuestros esquemas son las etiquetas homórficas verificables. Los esquemas PDP (Posesión de datos Comprobables) se ajusta a este modelo: el cual incurren en una sobrecarga baja (o incluso constante) eficientes asegurarán que los requisitos computacionales de la verificación remota de datos no carguen indebidamente los sitios de almacenamiento remoto. [51] Los problemas del la seguridad a nivel del software es que los atacante no puedan tener el control sobre las aplicaciones y realizar cambios no deseados como se mencionaba en los tipos de esto puede ser de modo Web y en el modelo SaaS en esto ellos utilizan protocolos SSL y TLS en otro caso podemos ver ataques Wrapping donde envuelven sus ataques en archivos XML sin necesidad de autenticaciones lo cual se puede tener acceso a archivos confidenciales Los problemas de Red son como internos como externos los cuales como se menciona se pueden llevar a cabo por ataques de DoS y DDoS lo cual puede llegar a un nuevo ataque como EDoS que está basado en HTTP y XML esto puede llevar a cabo a tener privilegios de la red los cuales incluyen sus protocolos, autenticación y autorización instrucciones de puerta trasera el cual se manifiesta en revelar los datos de la víctima. Los ataques de XML pueden desviar el modulo de autorización y el de acceso a documentos la cual hacen una interoperabilidad entre estos dos módulos lo cual puede extraer a la victima a una configuración maliciosa. Sin embargo, manipula dejándolo inmanejables para los clientes del cloud, llevado el ataque clave de detección FRC actividad normal y además la consistencia y el autocontrol similitud de la actividad web agregada [37, 55, 70] Los administradores a menudo no logran administrar de imágenes correctamente, principalmente por dos razones, causar la falta de seguridad o integridad de una imagen inactiva no es obvia hasta que se ejecuta, del repositorio de imágenes del cloud; presenta un diseño que aborda esos riesgos los filtros detectan imágenes maliciosas y eliminar información.[45] También la autenticación es un factor de creciente en el cloud para poder
52
administrar y autenticarlos ya que por validaciones de seguridad en muy complejo tener prevenciones ante ataques de envoltura en XML lo cual su encabezado es remplazado por uno falso y tiene un cuerpo definido por el atacante Lo cual con lleva a lo último que los dato almacenados deben ser controlados y regulados por las regulaciones de la nube ya que son informaciones muy sensibles y se deben tener en cuenta quien controla el acceso para mantener seguro los datos[66] El Acuerdo de Nivel de Servicio (SLA) se implementa y mantiene cuando se trata de proveedores de servicios en el Cloud son subcontratados y los vendedores especializados se llevan por medio de una directriz, que contiene el SLA, son: servicios a entregar, desempeño, seguimiento e informes, manejo de problemas, cómplice legal, resolución de disputas obligaciones del cliente, responsabilidad de seguridad y terminación de información confidencial. Para esto la Proveedor de servicio (SP) debe realizar actualizaciones son nuevas reglamentaciones debido a que hay números y múltiples ataques que hacen infiltrar los datos del cliente y extraerlos lo cual siempre hay preocupación en la infiltración de la data si no se mantiene una encriptación de la información [75] Uno de los principales desafíos del cloud computing es que el proveedor de software debe asumir la responsabilidad de mantenerla aplicación y garantizar la calidad del servicio. [53,64,71] Sin embargo, las amenazas de seguridad originadas en el host: son el resultado de la supervisión, comunicación o procesos de modificación a máquinas virtuales, las amenazas de seguridad originadas en otras máquinas virtuales: resultan de la comunicación, el monitoreo, y modificación de maquina virtual por otra máquina virtual, a esto se suma Denegación de servicio (DoS): son una amenaza crítica para las máquinas virtuales. Los ataques pueden ser el resultado de la configuración incorrecta de un hipervisor que permite que una sola maquina virtual consuma todos los recursos disponibles, Sin embargo, hipervisores evitar que cualquier VM obtenga el 100% Además de los ataques externos (desde Internet), el IaaS es expone a ataques internos iniciados desde máquinas virtuales internas contra servicios internos. Los ataques internos pueden ser más severos que ataques externos debido a los privilegios del administrador del sistema en la maquina virtual que le permiten instalar y ejecutar cualquier aplicación maliciosa, además de la dinámica del entorno IaaS [62] El Cloud multiinquilino redefine el modelo de amenaza de informática y plantea nuevos desafíos de seguridad: la seguridad del cliente y los datos confidenciales, Desafortunadamente, el cloud multiinquilino actúan plataformas que adoptan infraestructuras de virtualización de productos básicos donde proporciona una garantía limitada para la seguridad de los inquilinos como la información más sensible de la organización. el cloud multiinquilino actual enfrenta dos fuentes principales de amenazas: infraestructura virtualizadas mediante la explotación de posibles servicios vulnerabilidades de la curiosidad en el relativo virtual grande y complejo dando
53
ataques originados por accesos sigilosos datos confidenciales de operadores en la nube. [57,76]
8. METODOLOGÍA
En este Meta-análisis se enfatiza en lo que es una vulnerabilidad, amenaza y que tipos de riesgo hay en una arquitectura Cloud y donde nos podemos fundamentar que es una inseguridad en el Cloud se puede decir que es debilidad o fallo que presenta un sistema de información. Este es capaz de poner en riesgo la seguridad de toda o parte de la información. Se puede interpretar, es un problema que tenemos en el sistema.
54
8.1 FASES DEL META-ANÁLISIS
● Establecimiento del Problema y la Hipótesis que se desea Valorar
Existe mucha vulnerabilidad en los tipos de arquitectura Cloud y los hackers continúan explotar estos agujeros de seguridad. Con el fin de proporcionar una mejor calidad de servicio a los usuarios de la nube, la seguridad Las fallas deben ser identificadas. En este meta-análisis, se dará a conocer las principales vulnerabilidades de seguridad desde varios campos (uso abusivo de los recursos computacionales de la nube, brechas de datos y nube ataques de seguridad), incluyó ataques relacionados con el mundo real e introdujo contramedidas a esas violaciones de seguridad.
● Cuantificación de Efectos En la Cuantificación meta-análisis se enfoca en ver las principales tipos de amenazas que puede tener en este procedimiento para así ver la mejora de la calidad de información como las nuevas identificaciones de las vulnerabilidades Cloud dado de que en el método de investigación vamos dado unos resultados los cuales podemos interpretar ciertamente de una forma sistemática.
● Búsqueda de Información y estudios de investigación Para la búsqueda de la información nos basaremos sobre papers en páginas como ACM, Science Direct, IEEE Explorer lo cual nos ayudara a justificar las características, metodologías y resultados de las investigaciones de las vulnerabilidades y gestión de riesgo en arquitecturas Cloud, lo cual conlleva unas buenas prácticas
● Criterios de inclusión /exclusión
En esto nos basaremos en catalogar los resultados del meta-análisis dando una definición del campo a nuestra pregunta lo cuanto nos lleva a una síntesis breve y brinda unas disminuciones de riesgo en las arquitecturas Cloud
● Análisis de Heterogeneidad. Facilita el método que se efectuara las vulnerabilidades donde se dará las principales causas que representa según los estudios realizados en los cuales se analizaran los datos recolectados de nuestra base de datos mediante investigaciones y artículos .
55
● Identificación de Sesgos Se darán a identificar los Sesgos de lo cual nos ayudara a dar unos resultados para mitigar el riesgo ante posibles vulnerabilidades lo cual analiza la sensibilidad de los datos más frecuentes de falencias en las arquitecturas Cloud y así tener una conclusión positiva para que nuestro estudio pueda tener datos satisfactorios.
● Análisis de sensibilidad En este proceso daremos a conocer las estimaciones bajo las normas y nuestra base de datos en lo cual proporciona una medida final obtenida la nuestra identificación de las vulnerabilidades Cloud lo cual tiende un umbral de datos recolectados para que nuestra información tenga buenos criterios de selección.
● Recomendaciones Por último, daremos una recomendación de cómo se identificaron las vulnerabilidades y como se puede mitigar para que nuestra arquitectura Cloud sea más a fácil de llevar con todo lo que hemos propuesto.
8.2 INSTRUMENTOS O HERRAMIENTAS UTILIZADAS
Para la recolección de datos tendremos artículos principales bases de los datos como se mencionó anteriormente lo cual se tendrá de una síntesis para la posible identificación de las vulnerabilidades Cloud y gestión del riesgo
De forma paralela, se tendrá acceso a otras fuentes ya sea como datos a libros de la universidad y acceso a otras bibliotecas con el fin de tener un umbral esperado para poder tener la mayor de datos cuantificables.
8.2.1 Método
Con todo lo anterior, se puede dar inicio a una un meta-análisis en los cuales nos basaremos en etapas lo cual se recolecta como se explica en el grafico siguiente:
Figura 8: Metodología propuesta
56
Fuente: El autor
8.2.2 Recolección de Datos
Los datos fueron recolectados por de la base de datos de los informes en los cuales identificaremos principales fuentes lo cual tendremos una base con unos 40 artículos leídos los cuales así puede tener un meta-análisis resistente para tener el mínimo sesgo y así identificar sus vulnerabilidades.
8.3 DISEÑO DE LA PROPUESTA
Se reúne la información recolectada por varias fuentes lo cual daremos parte investigativa a nuestros datos para un vínculo con la parte normativa que rige la seguridad en Cloud de entes de control internacionales así por medio del meta-análisis se dará las etapas y sus posibles vulnerabilidades para la gestión del riesgo. Una vez obtenida la información tendremos un acondicionamiento y una preparación con los artículos y fuentes externas daremos un análisis de cada factor que pueda influir tanto en los procesos de identificación de la vulnerabilidad según su arquitectura Cloud lo cual dará la metodología como se menciona anterior mente tendrá ciertos factores para la identificación de ellos.
8.4 EJECUCIÓN DE LA PROPUESTA
Dando alcance a los objetivos específicos mencionados en el punto 2.2 se identificaron los criterios de análisis adecuados y se logró su procesamiento. Luego de esto se analizaron los datos obtenidos, y se
57
lograron identificar las principales vulnerabilidades en las arquitecturas Cloud, lo que permitió relacional sus falencias a partir de dichos principios llevando a cabo el objetivo general dar la mitigación del riesgo ante las falencias Cloud futuro.
58
9. ANÁLISIS DE HETEROGENEIDAD
En el histograma se dividio por tres en los cuales se trabajaron de la siguiente manera
• Se relaciona por empresa, Vulnerabilidad y Riesgo • Analisis de datos con su respectivo grafico por empresa vulnerabilidad
y riesgo • Diagrama de Cotas
Tabla 3 Analisis de Papers Leidos
Fuente: El Autor
Figura 9 Histograma Empresas
Empresas papersAWS 30
Microsoft 27Google 24
Force.com 12Rack space 2Go Grind 8Joyent Inc 1
Layered Technologies Inc.(3-tera Inc.) 1Terremark worldwide Inc. 1
Xcalibre CommunicationsLtda. 1Eucalyptus 8
Vmware 18VirtualBox 5OpenStack 4
Open Nebula 6
Empresas
30
27
24
12
2
8
1 1 1 1
8
18
5 4 6
AWS
MI C
RO SO F T
GOOGL E
FORC E . COM
RACK SPAC E
GO GR IN
D
JOY ENT I N
C
L A Y E R ED …
T E RR EMARK …
XCA L I BR E …
EUCA L Y P TU S
VMW
ARE
V I RTUA L BOX
OPEN S TACK
OPEN …
HISTOGRAMA EMPRESAS
59
Fuente: El autor Tabla 4 Rango de empresas por papers
ESTADISTICA DEL PAPER A NIVEL EMPRESARIAL
Fuente: El autor Figura 10 Resultado de rango de estudio a nivel empresarial
Fuente: El autor En la grafica respectiva de setalla un sesgo negativo ya que la moda en menor que la mediana y menor que la media.
Rago de Papers Empresa ResultadoDe 1 a 5 7De 6 a 10 3De 11 a 15 1De 16 a 20 1De 21 a 25 1De 26 a 30 2Promedio 2.5Mediana 1.5
Moda 1
0
1
2
3
4
5
6
7
8
De 1 a 5 De 6 a 10 De 11 a 15 De 16 a 20 De 21 a 25 De 26 a 30
Resultado
Resultado
60
Tabla 5 Calculo para el Diagrama de Caja y bigotes a nivel empresarial
Fuente: El autor Figura 11Diagrama de Cajas y bigotes por empresas
Fuente: El autor Tabla 6 Vulnerabilidades identificados en el estudio
Vulnerabilidades Papers Ataques de Inyeccion SQL 25
Extracción 28
Varianza 5.50Desviacion media 1.67Desviacion estandar 2.35Coeficiente de varianza 1.07
MIN 1Q1 1Q2 1.5Q3 2.75
MAX 7
Capa 1 Escondida 1Capa 2 Inferior 0.5Capa 3 superior 1.25
Bigote Superor 4.25Bigote inferior 0
0
0,2
0,4
0,6
0,8
1
1,2
0 0,5 1 1,5 2 2,5
1Capa 1 Escondida
Capa 3 superior
Capa 2 Inferior
61
Colocación 19 Control de Sesión 29
Ataques de Scripting (XSS) 19 Ataque de Denegacion de Servicio (DNS) 25
Ataques DOS 21 Ataques de Sniffer 11
Secuestro de Prefijos (hijacking) 19 Ataque de Denegacion de Servicio Distribuidos (DDoS) 25
Ataques de Inyeccion de Comandos 26 Codigo Malisioso 28
Interfaces en Api's(Codigo) 17 Ataque de Hombre de Medio (MIM) 11
Ataque de Reutilizacion de IP 17 Ataques Fragmentados 10
Paquetes Profundos 15 Escaneo de Puertos 15
Escuchas Vivas y Pasivas 12 Ataques de Roptura del Capcha 7
Ataque de Envenamiento de Cookies 12 Ataques Canales Laterares 23 Ataques Suplantacion ARP 22
Ataques Envenamiento de DNS 11 Ataques RIP e inundaciones 10
Ataques de Envenamineto ARP 5 Ataques Phishing 20 Ataque Zombie 14
Ataques de Virtualizacion 29 Ataques de Envoltura (Wrapping) 13
Ataque de puerta Trrasera Back Door channel 5 Ataque Denegacion económica de Sostebinilidad EDOS 11
Ataque de escape de VM 9 Ataque de Rootkit 21
ataque de Repeticion 8 ataque de fuerza Bruta 5 Ataques de malware 21 Ataques de Spoofing 15
Ataques FRC 6 Ataques Encubiertos 25
Ataque canal Temporal 18 Ataque de seguridad web Services 3
Ataque de Falsificacion de Metadatos 1 Ataque de Vectores 10
Fuente: El autor
62
Figura 12 Histograma Vulnerabilidades identificadas en Cloud
Fuente: El autor
0 5 10 15 20 25 30 35
Ataques de Inyeccion SQLExtracciónColocación
Control de SesiónAtaques de Scripting (XSS)
Ataque de Denegacion de Servicio (DNS)Ataques DOS
Ataques de SnifferSecuestro de Prefijos (hijacking)
Ataque de Denegacion de Servicio…Ataques de Inyeccion de Comandos
Codigo MalisiosoInterfaces en Api's(Codigo)
Ataque de Hombre de Medio (MIM)Ataque de Reutilizacion de IP
Ataques FragmentadosPaquetes ProfundosEscaneo de Puertos
Escuchas Vivas y PasivasAtaques de Roptura del Capcha
Ataque de Envenamiento de CookiesAtaques Canales Laterares
Ataques Suplantacion ARPAtaques Envenamiento de DNS
Ataques RIP e inundacionesAtaques de Envenamineto ARP
Ataques PhishingAtaque Zombie
Ataques de VirtualizacionAtaques de Envoltura (Wrapping)
Ataque de puerta Trrasera Back Door…Ataque Denegacion económica de…
Ataque de escape de VMAtaque de Rootkit
ataque de Repeticionataque de fuerza Bruta
Ataques de malwareAtaques de Spoofing
Ataques FRCAtaques Encubiertos
Ataque canal TemporalAtaque de seguridad web Services
Ataque de Falsificacion de MetadatosAtaque de Vectores
Vulnerabilidades
63
Tabla 7 Rango de papers por vulnerabilidad
Fuente: El autor Figura 13Resultado de rango de estudio a nivel de vulneravilidad
Fuente: El autor
En la grafica respectiva de setalla un sesgo negativo ya que la moda en menor que la mediana y menor que la media
Tabla 8 Tabla para Diagrama de Cajas y bigotes por vulnerabilidad
Rango de Papers de Riesgos ResultadoDe 1 a 7 2De 8 a 15 9De 16 a 23 3De 24 a 30 5De 31 a 37 3De 38 a 45 1Promedio 3.833333333Mediana 3
Moda 3
0
2
4
6
8
10
De 1 a 7 De 8 a 15 De 16 a 23 De 24 a 30 De 31 a 37 De 38 a 45
Resultado
Resultado
64
Fuente: El autor Figura 14Diagrama de Cajas y bigotes por vulnerabilidad
Fuente: El autor
Varianza 5.47Desviacion media 1.78Desviacion estandar 2.34Coeficiente de varianza 3.14
MIN 5Q1 5.5Q2 7Q3 8.5
MAX 11
Capa 1 Escondida 5.5Capa 2 Inferior 1.5Capa 3 superior 1.5
Bigote Superor 2.5Bigote inferior 0.5
0
0,5
1
1,5
2
2,5
3
3,5
0 0,5 1 1,5 2 2,5
1Capa 1 Escondida
Capa 3 superior
Capa 2 Inferior
65
Tabla 9 Identificacion de Riesgos por papers
Fuente: El autor Figura 15 Histograma de Riesgos identificadas en Cloud
Riesgos papersAnalogos 24Acceso a Informacion Controladores 28Administracion de Consola 29Clonacion de Imágenes 23Violacion de Datos 38Robo de Cuentas 33Perdida de Data 34Exposicion de Red 12Sesion de inicio 26Hipervisores 34Multilatencia Experta 14Apis Inseguras 12Criptografia 27Ataques de Malware 19Perfiles Desconocidos 7Insiders Malisiosos 14Uso Abusivo del Cloud 13NIDIS 8Parches de Seguridad 6Ejecucion de Anillo Alto Privilegio 8Ingenieria Social 8Migracion de Datos 14Riesgo Forence 17
05
10152025303540
Anal
ogos
Acce
so a
…Ad
min
istra
cion
de…
Clon
acio
n d
e…Vi
olac
ion
de D
atos
Robo
de
Cuen
tas
Perd
ida
de D
ata
Expo
sicio
n de
Red
Sesio
n de
inic
ioHi
perv
isore
sM
ultil
aten
cia
Expe
rta
Apis
Inse
gura
sCr
ipto
graf
iaAt
aque
s de
Mal
war
ePe
rfile
s Des
cono
cido
sIn
sider
s Mal
isios
osU
so A
busiv
o de
l Clo
udN
IDIS
Parc
hes d
e Se
gurid
adEj
ecuc
ion
de A
nillo
…In
geni
eria
Soc
ial
Mig
raci
on d
e Da
tos
Ries
go F
oren
ce
Histograma Riesgos
papers
66
Fuente: El autor Tabla 10 Rango de papers por vulnerabilidad
Fuente: El autor Figura 16 Resultado de rango de estudio a nivel de Riesgos
Fuente: El autor En la grafica respectiva de setalla un sesgo negativo ya que la moda en menor que la mediana y menor que la media
Tabla 11 Tabla para Diagrama de Cajas y bigotes por riesgo
Rango de Papers de Riesgos ResultadoDe 1 a 7 2De 8 a 15 9De 16 a 23 3De 24 a 30 5De 31 a 37 3De 38 a 45 1Promedio 3.833333333Mediana 3
Moda 3
0123456789
10
De 1 a 7 De 8 a 15 De 16 a 23 De 24 a 30 De 31 a 37 De 38 a 45
Resultado Riesgos
Resultado
67
Fuente: El autor
Figura 17 Diagrama de Cajas y bigotes por Riesgo
Fuente: El autor
Varianza 8.17Desviacion media 2.11Desviacion estandar 2.86Coeficiente de varianza 1.34
MIN 1Q1 2.25Q2 3Q3 4.5
MAX 9
Capa 1 Escondida 2.25Capa 2 Inferior 0.75Capa 3 superior 1.5
Bigote Superor 4.5Bigote inferior 1.25
0
0,2
0,4
0,6
0,8
1
1,2
1,4
1,6
0 0,5 1 1,5 2 2,5
1Capa 1 Escondida
Capa 3 superior
Capa 2 Inferior
68
10. CORRELACIÓN DE VULNERABILIDADES Y RIESGOS
Tabla 13 Correlacion de vulnerabilidades y riesgos
EMPRESA VULNERABILIDADES FUENTES RIESGOS FUENTES
AWS
• Ataques de inyección • Extracción • Colocación • Control de sesión • Ataques de scripting • Ataque de denegación de
servicio • Ataques DOS • Ataques de sniffer • Secuestro de prefijos • Ataque de denegación de
servicios distribuidos • Ataques de inyección de
comandos • Código malicioso • Interfaces en Api´s • Ataque de hombre de medio • Ataque de reutilización de Ip • Ataques fragmentados • Paquetes profundos • Escaneo de puertos • Escuchas vivas y pasivas • Ataques de roptura del
capcha • Ataque de envenenamiento
de cookies • Ataque canales laterales • Ataques suplantación ARP • Ataques envenenamiento de
DNS • Ataque RIP e inundaciones • Ataques de envenenamiento
ARP • Ataques phishing • Ataques zombie • Ataques de virtualización • Ataques de envoltura • Ataque de puerta trasera • Ataque denegación
económica de sostenibilidad • Ataque de escape de VM • Ataque de rootkit • Ataque de repetición • Ataque de fuerza bruta • Ataque de malware • Ataques de spoofing • Ataques FRC • Ataques encubiertos • Ataque canal temporal • Ataque de seguridad web
services • Ataque de falsificación de
metadatos
[28] [35] [36] [37] [38] [39] [40] [41] [42] [43] [45] [46] [47] [48] [51] [54] [55] [57] [59] [60] [62] [63] [66] [67] [69] [70] [72] [74] [75] [77]
• Análogos • Acceso a
información controladores
• Administración de consola
• Clonación de imágenes
• Violación de datos
• Robo de cuentas • Perdida de data • Exposición de red • Sesión de inicio • Hipervisores • Tendencia
múltiple experta • Apis inseguras • Criptografia • Ataques de
malware • Perfiles
desconocidos • Insiders
maliciosos • Uso abusivo de
cloud • NIDIS • Parche de
seguridad • Ejecución de
anillo alto privilegio
• Ingeniería social • Migración de
datos • Riesgo forense
[28] [35] [36] [37] [38] [39] [40] [41] [42] [43] [45] [46] [47] [48] [51] [54] [55] [57] [59] [60] [62] [63] [66] [67] [69] [70] [72] [74] [75] [77]
69
• Ataque de vectores
EMPRESA VULNERABILIDADES FUENTES RIESGOS FUENTES
MICROSOFT
• Ataques de inyección • Extracción • Colocación • Control de sesión • Ataques de scripting • Ataque de denegación de
servicio • Ataques DOS • Ataques de sniffer • Secuestro de prefijos • Ataque de denegación de
servicios distribuidos • Ataques de inyección de
comandos • Código malisioso • Interfaces en Api´s • Ataque de hombre de medio • Ataque de reutilización de Ip • Ataques fragmentados • Paquetes profundos • Escaneo de puertos • Escuchas vivas y pasivas • Ataques de roptura del
capcha • Ataque de envenenamiento
de cookies • Ataque canales laterales • Ataques suplantación ARP • Ataques envenenamiento de
DNS • Ataque RIP e inundaciones • Ataques de envenenamiento
ARP • Ataques phishing • Ataques zombie • Ataques de virtualización • Ataques de envoltura • Ataque de puerta trasera • Ataque denegación
económica de sostenibilidad • Ataque de escape de VM • Ataque de rootkit • Ataque de repetición • Ataque de fuerza bruta • Ataque de malware • Ataques de spoofing • Ataques FRC • Ataques encubiertos • Ataque canal temporal • Ataque de seguridad web
services • Ataque de falsificación de
metadatos • Ataque de vectores
[35] [36] [37] [39] [40] [41] [42] [44] [45] [46] [47] [51] [52] [54] [55] [57] [59] [60] [62] [64] [66] [67] [69] [72] [74] [75] [77]
• Análogos • Acceso a
información controladores
• Administración de consola
• Clonación de imágenes
• Violación de datos
• Robo de cuentas • Perdida de data • Exposición de red • Sesión de inicio • Hipervisores • Tendencia
multiple experta • Apis inseguras • Criptografia • Ataques de
malware • Perfiles
desconocidos • Insiders
maliciosos • Uso abusivo de
cloud • NIDIS • Parche de
seguridad • Ejecución de
anillo alto privilegio
• Ingeniería social • Migración de
datos • Riesgo forense
[35] [36] [37] [39] [40] [41] [42] [44] [45] [46] [47] [51] [52] [54] [55] [57] [59] [60] [62] [64] [66] [67] [69] [72] [74] [75] [77]
70
EMPRESA VULNERABILIDADES FUENTES RIESGOS FUENTES
• Ataques de inyección • Extracción • Colocación • Control de sesión • Ataques de scripting • Ataque de denegación de
servicio • Ataques DOS • Ataques de sniffer • Secuestro de prefijos • Ataque de denegación de
servicios distribuidos • Ataques de inyección de
comandos • Código malicioso • Interfaces en Api´s • Ataque de hombre de medio • Ataque de reutilización de Ip • Ataques fragmentados • Paquetes profundos • Escaneo de puertos • Escuchas vivas y pasivas • Ataques de roptura del
capcha • Ataque de envenenamiento
de cookies • Ataque canales laterales • Ataques suplantación ARP • Ataques envenenamiento de
DNS • Ataque RIP e inundaciones • Ataques de envenenamiento
ARP • Ataques phishing • Ataques zombie • Ataques de virtualización • Ataques de envoltura • Ataque de puerta trasera • Ataque denegación
económica de sostenibilidad • Ataque de escape de VM • Ataque de rootkit • Ataque de repetición • Ataque de fuerza bruta • Ataque de malware • Ataques de spoofing • Ataques FRC • Ataques encubiertos • Ataque canal temporal • Ataque de seguridad web
services • Ataque de falsificación de
metadatos • Ataque de vectores
[35] [37] [39] [40] [41] [42] [45] [46] [47] [48] [51] [52] [54] [55] [59] [60] [62] [66] [67] [69] [72] [74] [75] [77]
• Análogos • Acceso a
información controladores
• Administración de consola
• Clonación de imágenes
• Violación de datos
• Robo de cuentas • Perdida de data • Exposición de red • Sesión de inicio • Hipervisores • Tendencia
multiple experta • Apis inseguras • Criptografia • Ataques de
malware • Perfiles
desconocidos • Insiders
maliciosos • Uso abusivo de
cloud • NIDIS • Parche de
seguridad • Ejecución de
anillo alto privilegio
• Ingeniería social • Migración de
datos • Riesgo forense
[35] [37] [39] [40] [41] [42] [45] [46] [47] [48] [51] [52] [54] [55] [59] [60] [62] [66] [67] [69] [72] [74] [75] [77]
71
EMPRESA VULNERABILIDADES FUENTES RIESGOS FUENTES
FORCE.COM
• Ataques de inyección • Extracción • Colocación • Control de sesión • Ataques de scripting • Ataque de denegación de
servicio • Ataques DOS • Ataques de sniffer • Secuestro de prefijos • Ataque de denegación de
servicios distribuidos • Ataques de inyección de
comandos • Código malicioso • Interfaces en Api´s • Ataque de hombre de medio • Ataque de reutilización de Ip • Ataques fragmentados • Paquetes profundos • Escaneo de puertos • Escuchas vivas y pasivas • Ataques de roptura del
capcha • Ataque de envenenamiento
de cookies • Ataque canales laterales • Ataques suplantación ARP • Ataques envenenamiento de
DNS • Ataque RIP e inundaciones • Ataques de envenenamiento
ARP • Ataques phishing • Ataques zombie • Ataques de virtualización • Ataques de envoltura • Ataque de puerta trasera • Ataque denegación
económica de sostenibilidad • Ataque de escape de VM • Ataque de rootkit • Ataque de repetición • Ataque de fuerza bruta • Ataque de malware • Ataques de spoofing • Ataques FRC • Ataques encubiertos • Ataque canal temporal • Ataque de seguridad web
services • Ataque de vectores
[37] [38] [41] [46] [51] [54] [57] [59] [65] [66] [72] [75]
• Análogos • Acceso a
información controladores
• Administración de consola
• Clonación de imágenes
• Violación de datos
• Robo de cuentas • Perdida de data • Exposición de red • Sesión de inicio • Hipervisores • Tendencia
múltiple experta • Apis inseguras • Criptografía • Ataques de
malware • Perfiles
desconocidos • Insiders
maliciosos • Uso abusivo de
cloud • NIDIS • Parche de
seguridad • Ejecución de
anillo alto privilegio
• Ingeniería social • Migración de
datos • Riesgo forense
[37] [38] [41] [46] [51] [54] [57] [59] [65] [66] [72] [75]
72
EMPRESA VULNERABILIDADES FUENTES RIESGOS FUENTES
RACK SPACE
• Ataques de inyección • Extracción • Colocación • Control de sesión • Ataques de scripting • Ataque de denegación de
servicio • Ataques DOS • Ataques de sniffer • Secuestro de prefijos • Ataque de denegación de
servicios distribuidos • Ataques de inyección de
comandos • Código malisioso • Interfaces en Api´s • Ataque de hombre de medio • Ataque de reutilización de Ip • Paquetes profundos • Escaneo de puertos • Ataques de roptura del
capcha • Ataque de envenenamiento
de cookies • Ataque canales laterales • Ataques suplantación ARP • Ataques envenenamiento de
DNS • Ataque RIP e inundaciones • Ataques de envenenamiento
ARP • Ataques phishing • Ataques zombie • Ataques de virtualización • Ataques de envoltura • Ataque de puerta trasera • Ataque denegación
económica de sostenibilidad • Ataque de escape de VM • Ataque de rootkit • Ataque de fuerza bruta • Ataque de malware • Ataques de spoofing • Ataques FRC • Ataques encubiertos • Ataque canal temporal • Ataque de seguridad web
services • Ataque de vectores
[37] [57]
• Análogos • Acceso a
información controladores
• Administración de consola
• Clonación de imágenes
• Violación de datos
• Robo de cuentas • Perdida de data • Exposición de red • Sesión de inicio • Hipervisores • Apis inseguras • Criptografia • Ataques de
malware • Insiders
maliciosos • Uso abusivo de
cloud • NIDIS • Ejecución de
anillo alto privilegio
[37] [57]
73
EMPRESA VULNERABILIDADES FUENTES RIESGOS FUENTES
GO GRIND
• Ataques de inyección • Extracción • Colocación • Control de sesión • Ataques de scripting • Ataque de denegación de
servicio • Ataques DOS • Ataques de sniffer • Secuestro de prefijos • Ataque de denegación de
servicios distribuidos • Ataques de inyección de
comandos • Código malisioso • Interfaces en Api´s • Ataque de hombre de medio • Ataque de reutilización de Ip • Ataques fragmentados • Paquetes profundos • Escaneo de puertos • Escuchas vivas y pasivas • Ataques de roptura del
capcha • Ataque de envenenamiento
de cookies • Ataque canales laterales • Ataques suplantación ARP • Ataques envenenamiento de
DNS • Ataque RIP e inundaciones • Ataques de envenenamiento
ARP • Ataques phishing • Ataques zombie • Ataques de virtualización • Ataques de envoltura • Ataque de puerta trasera • Ataque denegación
económica de sostenibilidad • Ataque de escape de VM • Ataque de rootkit • Ataque de repetición • Ataque de malware • Ataques de spoofing • Ataques FRC • Ataques encubiertos • Ataque canal temporal • Ataque de vectores
[37] [48] [54] [59] [62] [67] [71] [75]
• Análogos • Acceso a
información controladores
• Administración de consola
• Clonación de imágenes
• Violación de datos
• Robo de cuentas • Perdida de data • Exposición de red • Sesión de inicio • Hipervisores • Tendencia
multiple experta • Apis inseguras • Criptografia • Ataques de
malware • Perfiles
desconocidos • Insiders
maliciosos • Uso abusivo de
cloud • NIDIS • Parche de
seguridad • Ingeniería social • Migración de
datos • Riesgo forense
[37] [48] [54] [59] [62] [67] [71] [75]
74
EMPRESA VULNERABILIDADES FUENTES RIESGOS FUENTES
JOYENT INC
• Ataques de inyección • Extracción • Colocación • Control de sesión • Ataques de scripting • Ataque de denegación de
servicio • Ataques DOS • Ataques de sniffer • Secuestro de prefijos • Ataque de denegación de
servicios distribuidos • Ataques de inyección de
comandos • Código malisioso • Interfaces en Api´s • Ataque de hombre de medio • Ataque de reutilización de Ip • Paquetes profundos • Escaneo de puertos • Ataques de roptura del
capcha • Ataque de envenenamiento
de cookies • Ataque canales laterales • Ataques suplantación ARP • Ataques envenenamiento de
DNS • Ataque RIP e inundaciones • Ataques de envenenamiento
ARP • Ataques phishing • Ataques zombie • Ataques de virtualización • Ataques de envoltura • Ataque de puerta trasera • Ataque denegación
económica de sostenibilidad • Ataque de escape de VM • Ataque de rootkit • Ataque de malware • Ataques de spoofing • Ataques FRC • Ataques encubiertos
[37] • Análogos • Acceso a
información controladores
• Administración de consola
• Violación de datos
• Robo de cuentas • Perdida de data • Exposición de red • Sesión de inicio • Hipervisores • Apis inseguras • Criptografia • Ataques de
malware • Insiders
maliciosos • Uso abusivo de
cloud • NIDIS
[37]
75
EMPRESA VULNERABILIDADES FUENTES RIESGOS FUENTES
LAYERED TECHNOLOGIES
INC.
• Ataques de inyección • Extracción • Colocación • Control de sesión • Ataques de scripting • Ataque de denegación de
servicio • Ataques DOS • Ataques de sniffer • Secuestro de prefijos • Ataque de denegación de
servicios distribuidos • Ataques de inyección de
comandos • Código malisioso • Interfaces en Api´s • Ataque de hombre de medio • Ataque de reutilización de Ip • Paquetes profundos • Escaneo de puertos • Ataques de roptura del
capcha • Ataque de envenenamiento
de cookies • Ataque canales laterales • Ataques suplantación ARP • Ataques envenenamiento de
DNS • Ataque RIP e inundaciones • Ataques de envenenamiento
ARP • Ataques phishing • Ataques zombie • Ataques de virtualización • Ataques de envoltura • Ataque de puerta trasera • Ataque denegación
económica de sostenibilidad • Ataque de escape de VM • Ataque de rootkit • Ataque de malware • Ataques de spoofing • Ataques FRC • Ataques encubiertos
[37] • Análogos • Acceso a
información controladores
• Administración de consola
• Violación de datos
• Robo de cuentas • Perdida de data • Exposición de red • Sesión de inicio • Hipervisores • Apis inseguras • Criptografia • Ataques de
malware • Insiders
maliciosos • Uso abusivo de
cloud • NIDIS
[37]
76
EMPRESA VULNERABILIDADES FUENTES RIESGOS FUENTES
TERREMARK WORLDWIDE
INC
• Ataques de inyección • Extracción • Colocación • Control de sesión • Ataques de scripting • Ataque de denegación de
servicio • Ataques DOS • Ataques de sniffer • Secuestro de prefijos • Ataque de denegación de
servicios distribuidos • Ataques de inyección de
comandos • Código malisioso • Interfaces en Api´s • Ataque de hombre de medio • Ataque de reutilización de Ip • Paquetes profundos • Escaneo de puertos • Ataques de roptura del
capcha • Ataque de envenenamiento
de cookies • Ataque canales laterales • Ataques suplantación ARP • Ataques envenenamiento de
DNS • Ataque RIP e inundaciones • Ataques de envenenamiento
ARP • Ataques phishing • Ataques zombie • Ataques de virtualización • Ataques de envoltura • Ataque de puerta trasera • Ataque denegación
económica de sostenibilidad • Ataque de escape de VM • Ataque de rootkit • Ataque de malware • Ataques de spoofing • Ataques FRC • Ataques encubiertos
[37] • Análogos • Acceso a
información controladores
• Administración de consola
• Violación de datos
• Robo de cuentas • Perdida de data • Exposición de red • Sesión de inicio • Hipervisores • Apis inseguras • Criptografia • Ataques de
malware • Insiders
maliciosos • Uso abusivo de
cloud • NIDIS
[37]
77
EMPRESA VULNERABILIDADES FUENTES RIESGOS FUENTES
XCALIBRE COMMUNICATIONS
LTDA
• Ataques de inyección • Extracción • Colocación • Control de sesión • Ataques de scripting • Ataque de denegación de
servicio • Ataques DOS • Ataques de sniffer • Secuestro de prefijos • Ataque de denegación de
servicios distribuidos • Ataques de inyección de
comandos • Código malisioso • Interfaces en Api´s • Ataque de hombre de medio • Ataque de reutilización de Ip • Paquetes profundos • Escaneo de puertos • Ataques de roptura del
capcha • Ataque de envenenamiento
de cookies • Ataque canales laterales • Ataques suplantación ARP • Ataques envenenamiento de
DNS • Ataque RIP e inundaciones • Ataques de envenenamiento
ARP • Ataques phishing • Ataques zombie • Ataques de virtualización • Ataques de envoltura • Ataque de puerta trasera • Ataque denegación
económica de sostenibilidad • Ataque de escape de VM • Ataque de rootkit • Ataque de malware • Ataques de spoofing • Ataques FRC • Ataques encubiertos
[37] • Análogos • Acceso a
información controladores
• Administración de consola
• Violación de datos
• Robo de cuentas • Perdida de data • Exposición de red • Sesión de inicio • Hipervisores • Apis inseguras • Criptografia • Ataques de
malware • Insiders
maliciosos • Uso abusivo de
cloud • NIDIS
[37]
78
EMPRESA VULNERABILIDADES FUENTES RIESGOS FUENTES
EUCALYPTUS
• Ataques de inyección • Extracción • Colocación • Control de sesión • Ataques de scripting • Ataque de denegación de
servicio • Ataques DOS • Ataques de sniffer • Secuestro de prefijos • Ataque de denegación de
servicios distribuidos • Ataques de inyección de
comandos • Código malisioso • Interfaces en Api´s • Ataque de hombre de medio • Ataque de reutilización de Ip • Ataques fragmentados • Paquetes profundos • Escaneo de puertos • Escuchas vivas y pasivas • Ataques de roptura del
capcha • Ataque de envenenamiento
de cookies • Ataque canales laterales • Ataques suplantación ARP • Ataques envenenamiento de
DNS • Ataque RIP e inundaciones • Ataques de envenenamiento
ARP • Ataques phishing • Ataques zombie • Ataques de virtualización • Ataques de envoltura • Ataque de puerta trasera • Ataque denegación
económica de sostenibilidad • Ataque de escape de VM • Ataque de rootkit • Ataque de repetición • Ataque de fuerza bruta • Ataque de malware • Ataques de spoofing • Ataques FRC • Ataques encubiertos • Ataque canal temporal • Ataque de seguridad web
services • Ataque de vectores
[37] [40] [41] [48] [57] [62] [67] [76]
• Análogos • Acceso a
información controladores
• Administración de consola
• Clonación de imágenes
• Violación de datos
• Robo de cuentas • Perdida de data • Exposición de red • Sesión de inicio • Hipervisores • Tendencia
multiple experta • Apis inseguras • Criptografia • Ataques de
malware • Perfiles
desconocidos • Insiders
maliciosos • Uso abusivo de
cloud • NIDIS • Parche de
seguridad • Ejecución de
anillo alto privilegio
• Migración de datos
• Riesgo forense
[37] [40] [41] [48] [57] [62] [67] [76]
79
EMPRESA VULNERABILIDADES FUENTES RIESGOS FUENTES
VMWARE
• Ataques de inyección • Extracción • Colocación • Control de sesión • Ataques de scripting • Ataque de denegación de
servicio • Ataques DOS • Ataques de sniffer • Secuestro de prefijos • Ataque de denegación de
servicios distribuidos • Ataques de inyección de
comandos • Código malisioso • Interfaces en Api´s • Ataque de hombre de medio • Ataque de reutilización de Ip • Ataques fragmentados • Paquetes profundos • Escaneo de puertos • Escuchas vivas y pasivas • Ataques de roptura del
capcha • Ataque de envenenamiento
de cookies • Ataque canales laterales • Ataques suplantación ARP • Ataques envenenamiento de
DNS • Ataque RIP e inundaciones • Ataques de envenenamiento
ARP • Ataques phishing • Ataques zombie • Ataques de virtualización • Ataques de envoltura • Ataque de puerta trasera • Ataque denegación
económica de sostenibilidad • Ataque de escape de VM • Ataque de rootkit • Ataque de repetición • Ataque de fuerza bruta • Ataque de malware • Ataques de spoofing • Ataques FRC • Ataques encubiertos • Ataque canal temporal • Ataque de vectores
[35] [37] [40] [41] [43] [44] [45] [52] [54] [58] [62] [66] [67] [68] [69] [70] [71] [75]
• Análogos • Acceso a
información controladores
• Administración de consola
• Clonación de imágenes
• Violación de datos
• Robo de cuentas • Perdida de data • Exposición de red • Sesión de inicio • Hipervisores • Tendencia
multiple experta • Apis inseguras • Criptografia • Ataques de
malware • Perfiles
desconocidos • Insiders
maliciosos • Uso abusivo de
cloud • NIDIS • Parche de
seguridad • Ejecución de
anillo alto privilegio
• Ingeniería social • Migración de
datos • Riesgo forense
[35] [37] [40] [41] [43] [44] [45] [52] [54] [58] [62] [66] [67] [68] [69] [70] [71] [75]
80
EMPRESA VULNERABILIDADES FUENTES RIESGOS FUENTES
VIRTUALBOX
• Ataques de inyección • Extracción • Colocación • Control de sesión • Ataques de scripting • Ataque de denegación de
servicio • Ataques DOS • Ataques de sniffer • Secuestro de prefijos • Ataque de denegación de
servicios distribuidos • Ataques de inyección de
comandos • Código malisioso • Interfaces en Api´s • Ataque de hombre de medio • Ataque de reutilización de Ip • Ataques fragmentados • Paquetes profundos • Escaneo de puertos • Escuchas vivas y pasivas • Ataques de roptura del
capcha • Ataque de envenenamiento
de cookies • Ataque canales laterales • Ataques suplantación ARP • Ataques envenenamiento de
DNS • Ataque RIP e inundaciones • Ataques de envenenamiento
ARP • Ataques phishing • Ataques zombie • Ataques de virtualización • Ataques de envoltura • Ataque de puerta trasera • Ataque denegación
económica de sostenibilidad • Ataque de escape de VM • Ataque de rootkit • Ataque de repetición • Ataque de fuerza bruta • Ataque de malware • Ataques de spoofing • Ataques FRC • Ataques encubiertos • Ataque canal temporal • Ataque de seguridad web
services
[35] [37] [38] [40] [41]
• Análogos • Acceso a
información controladores
• Administración de consola
• Clonación de imágenes
• Violación de datos
• Robo de cuentas • Perdida de data • Exposición de red • Sesión de inicio • Hipervisores • Tendencia
multiple experta • Apis inseguras • Criptografia • Ataques de
malware • Perfiles
desconocidos • Insiders
maliciosos • Uso abusivo de
cloud • NIDIS • Ejecución de
anillo alto privilegio
• Migración de datos
[35] [37] [38] [40] [41]
81
EMPRESA VULNERABILIDADES FUENTES RIESGOS FUENTES
OPENSTACK
• Ataques de inyección • Extracción • Control de sesión • Ataques de scripting • Ataque de denegación de
servicio • Ataques DOS • Ataques de sniffer • Secuestro de prefijos • Ataque de denegación de
servicios distribuidos • Ataques de inyección de
comandos • Código malisioso • Interfaces en Api´s • Ataque de hombre de medio • Ataque de reutilización de Ip • Ataques fragmentados • Paquetes profundos • Escaneo de puertos • Escuchas vivas y pasivas • Ataques de roptura del
capcha • Ataque canales laterales • Ataques envenenamiento de
DNS • Ataque RIP e inundaciones • Ataques de envenenamiento
ARP • Ataques phishing • Ataques zombie • Ataques de virtualización • Ataques de envoltura • Ataque de puerta trasera • Ataque denegación
económica de sostenibilidad • Ataque de escape de VM • Ataque de rootkit • Ataque de repetición • Ataque de fuerza bruta • Ataque de malware • Ataques de spoofing • Ataques FRC • Ataques encubiertos • Ataque canal temporal
[39] [40] [41] [43]
• Análogos • Acceso a
información controladores
• Administración de consola
• Clonación de imágenes
• Violación de datos
• Robo de cuentas • Perdida de data • Exposición de red • Sesión de inicio • Hipervisores • Tendencia
multiple experta • Apis inseguras • Criptografia • Ataques de
malware • Perfiles
desconocidos • Insiders
maliciosos • Uso abusivo de
cloud • NIDIS • Ejecución de
anillo alto privilegio
• Migración de datos
• Riesgo forense
[39] [40] [41] [43]
82
Fuente: El Autor
EMPRESA VULNERABILIDADES FUENTES RIESGOS FUENTES
OPEN NEBULA
• Ataques de inyección • Extracción • Colocación • Control de sesión • Ataques de scripting • Ataque de denegación de
servicio • Ataques DOS • Ataques de sniffer • Secuestro de prefijos • Ataque de denegación de
servicios distribuidos • Ataques de inyección de
comandos • Código malisioso • Interfaces en Api´s • Ataque de hombre de medio • Ataque de reutilización de Ip • Ataques fragmentados • Paquetes profundos • Escaneo de puertos • Escuchas vivas y pasivas • Ataques de roptura del
capcha • Ataque de envenenamiento
de cookies • Ataque canales laterales • Ataques suplantación ARP • Ataques envenenamiento de
DNS • Ataque RIP e inundaciones • Ataques de envenenamiento
ARP • Ataques phishing • Ataques zombie • Ataques de virtualización • Ataques de envoltura • Ataque de puerta trasera • Ataque denegación
económica de sostenibilidad • Ataque de escape de VM • Ataque de rootkit • Ataque de repetición • Ataque de fuerza bruta • Ataque de malware • Ataques de spoofing • Ataques FRC • Ataques encubiertos • Ataque canal temporal • Ataque de seguridad web
services
[37] [41] [43] [62] [67] [76]
• Análogos • Acceso a
información controladores
• Administración de consola
• Clonación de imágenes
• Violación de datos
• Robo de cuentas • Perdida de data • Exposición de red • Sesión de inicio • Hipervisores • Tendencia
multiple experta • Apis inseguras • Criptografia • Ataques de
malware • Perfiles
desconocidos • Insiders
maliciosos • Uso abusivo de
cloud • NIDIS • Parche de
seguridad • Ejecución de
anillo alto privilegio
• Migración de datos
• Riesgo forense
[37] [41] [43] [62] [67] [76]
83
11. CONCLUSIONES Y TRABAJOS FUTUROS
• La técnica a usar para la investigación del meta-análisis se debe
implementar teniendo en cuenta la cantidad de vulnerabilidades a identificar y variables necesarias, ya que en ocasiones puede no ser un problema ya que con datos de primera mano se desarrolla una metodología para estudiar todos los posibles métodos a usar definiendo el de mejor probabilidad.
• El Cloud Computing tiene una naturaleza dinámica que es flexible,
escalable y compartida con una gran capacidad que le da una forma innovadora de llevar a cabo negocios. Sin embargo, además de estos beneficios, existen amenazas y vulnerabilidades mortales encontradas en esta tecnología. Por lo tanto, cree que todavía hay una gran oportunidad para que los investigadores realicen contribuciones revolucionarias en este campo y tengan un impacto significativo de su desarrollo en la industria
● Es importante realizar un correcto análisis de las fuentes de que se va
analizar, de acuerdo a dichos estudios se lleva a cabo el desarrollo del proyecto; de esto depende el correcto almacenamiento, procesamiento y análisis de la información para metodología en el meta-análisis y así tener información de certera y datos sin ningún sesgo.
● La recolección de la información con el uso de los estándares vigentes
ayudo a la metodología del meta-análisis fue la más apropiado, ya que fue el que arrojó una mejor investigación gracias a sus etapas.
• Es necesario desarrollar y diseñar técnicas de seguridad en profundidad
y políticas en términos de personas, procesos y tecnología, para mitigar el riesgo en las arquitecturas Cloud
• En todo el mundo, es obvio que el Cloud Computing será una de las tecnologías estratégicas e innovadoras líderes en el futuro cercano lo cual es necesario saber qué tipo de arquitectura maneja con el fin de saber que vulnerabilidades pueda tener.
84
BIBLIOGRAFÍA
1. 2019 CISO Benchmark Report Cisco Cybersecurity Series Marzo 2019. [5]
2. A survey of fault tolerance in cloud computing, ScienceDirect,
September 2018 [18].
3. Aditya K. Sood, Ph.D., and Rehan Jalil. Amenazas en la nube—Comprender los ataques y las defensas de la aplicación en la nube. Https://www.isaca.org/Journal/archives/2018/Volume-1/Pages/cloudifying-threats-understanding-cloud-app-attacks-and-defenses-spanish.aspx?utm_referrer= [4]
4. Agencia Europea de Seguridad de las Redes y de la Información (ENISA), 2009, Beneficios, riesgos y recomendaciones para la seguridad de la información [online], Disponible desde Internet: https://www.enisa.europa.eu/activities/risk-management/files/.../file. [24]
5. Al Morsy, Grundy, Müller. An Analysis of the Cloud Computing Security Problem. Computer Science & Software Engineering, Faculty of Information & Communication Technologies Swinburne University of Technology, Hawthorn. 2010 [46]
6. Ali, Khan, Vasilakos. Security in cloud computing: Opportunities and challenges. Science Direct 2015 [40]
7. Alliance, Cloud Security. 2011. Cloudsecurityalliance.org. [En línea] 2011. https://cloudsecurityalliance.org/wp-content/uploads/2011/09/SecaaS_V1_0.pdf. [10]
8. Armbrust, Fox, Griffith, Joseph, Katz, Konwinski, Lee, Patterson, Rabkin, Stoica, y Zaharia. A View of Cloud Computing. Communications of the ACM April 2010 [35]
9. Ateniese, Burns, Curtmola, Herring, Kissner, Peterson, Song. Provable Data Possession at Untrusted Stores. ACM Conference on Computer and Communications Security (CCS 2007). [51]
10. Barham, Dragovic, Fraser, Hand, Harris, Ho, Neugebauer, Pratt, Warfield. Xen and the Art of Virtualization. ACM 2003. [39]
11. Beneficios, riesgos y recomendaciones para la seguridad de la información European Network and Information Security Agency (ENISA) 2009. [6]
85
12. Bhadauria, Chaki, Chaki, Sanyal. A Survey on Security Issues in Cloud Computing. Hunedoara, University Politehnica Timisoara. ISSN: 2067 – 3809 Tome VII 2014. [29]
13. Brown, Anderson, Tan. Multitenancy - Security Risks and Countermeasures. Athabasca University 2018 [61]
14. Buyya, Shin, Venugopal, Broberg, Brandic. Cloud Computing and Emerging IT Platforms: Vision, Hype, and Reality for Delivering Computing as the 5th Utility. Department of Computer Science and Software Engineering The University of Melbourne.2009 [71]
15. Chow, Golle, Jakobsson, Masuoka, Molina. Controlling Data in the Cloud: Outsourcing Computation without Outsourcing Control. ACM 2009 [54]
16. Cloud Computing: A Review of Features, Benefits, and Risks, and Recommendations for Secure, Efficient Implementations, Junio 2012 (NIST) [15]
17. Cloud Computing: Principles and Paradigms, Andrzej Goscinski, James Broberg, Rajkumar Buyya 2011 [17]
18. Consensus Assessments Initiative Questionnaire v1.1CSA October 12, 2010. [11]
19. Contractor, D., Patel, D.R.: Trust management framework for attenuation of application layer Ddos attack incloud computing. In: Trust Management VI, pp. 201–208. Springer, 2012. [22]
20. Curso Google Activate Cloud Computing [21]
21. Dahbur, Mohammad, Tarakji. A Survey of Risks, Threats and Vulnerabilities in Cloud Computing. School of Engineering and Computing Sciences New York Institute of Technology ACM 2011 [72]
22. Dawoud, Takouna, Meinel. Infrastructure as a Service Security: Challenges and Solutions. Hasso Plattner Institute and Ministry of Education & Higher Education.2008 [62]
23. Deyan Chen, Hong Zhao. Data Security and Privacy Protection Issues in Cloud Computing. International Conference on Computer Science and Electronics Engineering IEEE 2012. [74]
24. E. Grosse, “Security at Scale”, ACM Cloud Security Workshop (CCSW), 2010 https://wn.com/2010_google_faculty_summit_security_at_scale [26]
86
25. EXIN Cloud Computing Foundation Workbook, Johannes W van den Bent; Martine van der Steeg Ed. Zaltbommel: Van Haren Publishing, 2018. [20]
26. Fernandes, Soares, Gomes, Freire, Inácio. Security Issues in Cloud Environments — A Survey. Instituto de Telecomunica ̧c ̃oes, Department of Computer Science, University of Beira Interior, Rua Marquˆes d’Avila e Bolama, 2013 [41]
27. Flavio Lombardi, Roberto Di Pietro. Secure virtualization for cloud computing. ScienceDirect 2010 [76]
28. Garfinkel, Rosenblum. A Virtual Machine Introspection Based Architecture for Intrusion Detection. Computer Science Department, Stanford University 2009 [44]
29. Garfinkel, Rosenblum. When Virtual is Harder than Real: Security Challenges in Virtual Machine Based Computing Environments. Stanford University Department of Computer Science.2013 [52]
30. Gonzalez, Miers, Redígolo, Simplício, Carvalho, Naslund, Pourzandi. A quantitative analysis of current security concerns and solutions for cloud computing. Springer Journal of Cloud Computing: Advances, Systems and Applications 2012, [43]
31. Green Cloud computing and Environmental Sustainability, SK Garg, R Buyya, Harnessing Green IT: Principles and Practices 2012 [16]
32. Grobauer, Walloschek, Stöcker. Understanding Cloud Computing Vulnerabilities. Published by the IEEE Computer Society May 2012. [32]
33. Harauz, Kaufman, Potter Data Security in the World of Cloud Computing. IEEE Computer and Reliability Societies July-August 2009 [60]
34. Hashizume, Rosado, Fernández-Medina, Fernandez. An analysis of security issues for cloud computing. Springer link 2013 [33]
35. https://www.salesforce.com/mx/cloud-computing/. [9]
36. Introducing Risk Management into Cloud Computing, J. Oriol Fito and Jordi Guitart [14]
37. Jensen, Schwenk, Gruschka, Iacono. On Technical Security Issues in Cloud Computing. IEEE International Conference on Cloud Computing. 2010 [47]
87
38. Khalil, Khreishah, Azeem. Cloud Computing Security: A Survey. Computers ISSN 2073-431X. 2014 [77]
39. L. Youseff, M. Butrico y D. Da Silva, "Hacia una ontología unificada de la computación en la nube", Proc. Taller de Entornos de Computación Grid (GCE), IEEE Press, 2008; Doi: 10.1109 / GCE.2008.4738443. [25]
40. Liu, Yarom, Ge, Heiser, Lee. Last-Level Cache Side-Channel Attacks are Practical. IEEE Symposium on Security and Privacy.2015 [63]
41. Mahesh U. Shankarwar, Ambika V. Pawar.Security and Privacy in Cloud Computing: A Survey. CSE Department, SIT, Symbiosis International University, Springer International.2015 [69]
42. Malar, Prabhu. An Analysis Of Security Issues In Cloud Computing International Journal of Civil Engineering and Technology (IJCIET) 2019 [34]
43. Mell, Grance. The NIST Definition of Cloud Computing Recommendations of the National Institute of Standards and Technology NIST Special Publication 2011. [30]
44. Modi, Patel, Borisaniya, Patel, Rajarajan. A Survey on Security Issues and Solutions at Different Layers of Cloud Computing. University of London Institutional Repository 2013 [37]
45. Normas ISO 27001(seguridad de la Información), ISO 31000(Riesgo), 9001(Calidad), ISO 27018(Protección Información Personal Nube). [13]
46. Oportunidades: emprendimiento verde, social y tecnológico. Francisco Blanco Jiménez, Alberto Romero Ania, Diana Gómez Fidalgo, Alberto Vizcaíno López 2013, Ed ESIC [12]
47. P.S. Suryateja. Threats and Vulnerabilities of Cloud Computing: A Review. Dept., Vishnu Institute of Technology 2018 [59]
48. Perez-Botero, D., Szefer, J., Lee, R.B.: Characterizing hypervisor vulnerabilities in cloud computing servers. In: Proceedings of the 2013 international workshop on Security in Cloud Computing, pp. 3–10. ACM, 2013. [23]
49. Perez-Botero, Szefer, Lee. Characterizing Hypervisor Vulnerabilities in Cloud Computing Servers. Princeton University, 2013 [49]
50. Popović, Hocenski. Cloud computing security issues and challenges. Institute of Automation and Process Computing. MIPRO 2010, May 24-28, 2010, [75]
88
51. Ramgovind, Eloff, Smith. The Management of Security in Cloud Computing. School of Computing, University of South Africa, Pretoria, South Africa IEEE 2010 [53]
52. Report on Cybersecurity Practices—February 2015 FINRA. [8]
53. Risk and Vulnerabilities in the EU Financial System Joint Committee Risk Report April 2018. [7]
54. Ristenpart, Tromer, Shacham, Savage. Hey, You, Get Off of My Cloud: Exploring Information Leakage in Third-Party Compute Clouds. ACM 2009. [28]
55. Santos, Gummadi, Rodrigues. Towards Trusted Cloud Computing. MPI-SWS. 2009 [48]
56. Saripalli, Walters. QUIRC: A Quantitative Impact and Risk Assessment Framework for Cloud Security. IEEE 3rd International Conference on Cloud Computing.2010 [64]
57. Security Guidance for Critical Areas of Focus in Cloud Computing V4.0 2017 CS [27]
58. Social media is a cybersecurity risk for business, cybersecurity insights By Charles Cooper. https://www.csoonline.com/article/3198715/social-media-is-a-cybersecurity-risk-for-business.html [3]
59. Somorovsky, Heiderich, Gruschka, Lo Iacono. All Your Clouds are Belong to us Security Analysis of Cloud Management Interfaces. ACM 2011 [70]
60. Swathi, Subrahmanyam, Ram Gopal. A Survey on Intrusion Detection Techniques for Cloud. Institute of Technology, Vijayawada and Indira Gandhi National Open University. 2016 [65]
61. Szefer, Keller, B. Lee, Rexford. Eliminating the Hypervisor Attack Surface for a More Secure Cloud. Princeton University, ACM 2011 [50]
62. Takabi, Joshi, Ahn. Security and Privacy Challenges in Cloud Computing Environments. Copublished by the IEEE computer and reliability societies Novenber –Dicember 2010 [38]
63. The Evolution of Cybersecurity Requirements for the U.S. Financial Industry. CSIS William A. Carter. Denise E. Zheng July 2015. [2]
89
64. The NIST definition of Cloud Computing Special Publication 800-145, Peter Mell, Timothy Grance. September 2011. http://faculty.winthrop.edu/domanm/csci411/Handouts/NIST.pdf [1]
65. Toumi, Talea, Marzak, Eddaoui, Talea. Cooperative Trust Framework for Cloud Computing Based on Mobile Agents. International Journal of Communication Networks and Information Security (IJCNIS) Vol. 7 No 2 . August 2015 [68]
66. Vaquero, Merino, Morán. Locking the sky: a survey on IaaS cloud security. Springer-Verlag 2010 [42]
67. Vaquero, Rodero, Caceres, Lindner. A Break in the Clouds: Towards a Cloud Definition. ACM Computer Communication Review Volume 39, Number 1, January 2009 [56]
68. Vieira, Schulter, Westphall, Merkle Westphall, Intrusion Detection for Grid and Cloud Computing. Federal University of Santa Catarina, IEEE Computer Society 2010 [73]
69. VMware vSphere 5 en el seno del datacenter, Ed. ENI, 2012, Éric Maillé, René-François Mennecier y Tomado Cloud computing service and deployment models: layers and management Ed. Hershey, Pa. : Business Science Reference 2013, Alberto M Bento; Anil Aggarwal. [19]
70. Wayne A. Jansen. Cloud Hooks: Security and Privacy Issues in Cloud Computing. 44th Hawaii International Conference on System Sciences IEEE. 2011. [66]
71. Wei, Zhang, Ammons, Bala, Ning. Managing Security of Virtual Machine Images in a Cloud Environment. ACM 2009 [45]
72. Zhang, Chen, Chen, Zang. CloudVisor: Retrofitting Protection of Virtual Machines in Multi-tenant Cloud with Nested Virtualization. Parallel Processing Institute Fudan University. ACM 2011 [57]
73. Zhang, Cheng, Boutaba. Cloud computing: state-of-the-art and research challenges. The Brazilian Computer Society 2010 [67]
74. Zhang, Reiter, Juels, Ristenpart. Cross-VM Side Channels and Their Use to Extract Private Keys ACM 2012. [36]
75. Zhi Wang, Xuxian Jiang HyperSafe: A Lightweight Approach to Provide Lifetime Hypervisor Control-Flow Integrity. Department of Computer Science North Carolina State University.2011 [58]
90
76. Zhifeng Xiao, Yang Xiao. Security and Privacy in Cloud Computing. IEEE Communications Surveys & Tutorials, vol. 15, no. 2, second quarter. 2013 [55]
77. Zissis, Lekkas. Addressing cloud computing security issues. SciVerse ScienceDirect. 2010 [31]
![Interpretasi Meta-Analisis [FINAL]](https://img.pdfslide.tips/doc/110x75/55cf904f550346703ba4c370/interpretasi-meta-analisis-final.jpg)
