Tendencias Generales
¿Que es “La Nube”?
Infraestructuras
Retos, Oportunidades y Amenazas
Las 5 Consideraciones de Seguridad
Recomendaciones
Tendencias Generales
Evolución histórica de los Servicios Públicos en la Nube
Era de los Portales Era de las Aplicaciones Online Era de los Servicios Web
1989 1994-95 1997 2002 2004 2006 2008
Era de la Nube
2010
Evolución de las redes corporativas
Evolución de las redes corporativas
Evolución de las redes corporativas
Que es «La Nube»
Es un nuevo modelo computacional, NO una nueva tecnología, que persigue una reducción de costos proporcionando a los clientes todo lo necesario en modo servicio a través de un proveedor.
• Características – Auto Servicio bajo demanda.
– Amplio acceso de red
– Recursos comunes
• Independiente de la Ubicación
– Rápida Elasticidad
– Servicio Medible
Modelos de Servicios en “La Nube”
Fuente: NIST (http://csrc.nist.gov/groups/SNS/cloud-computing/cloud-def-v15.doc)
Software as a Service SaaS
Aplicación ofrecida por el Proveedor
Plattform as a Service PaaS
Aplicación desarrollada por el Cliente
Plataforma ofrecida por el Proveedor
Infrastructure as a Service IaaS
El Proveedor ofrece infraestructura fundamental (ejem. CPU, Alimentación, Almacenamiento, Red,
etc.)
• Nube Privada – Que pertenece y es operado por una organización
• Nube Común – Infraestructura compartida por una comunidad
• Nube Publica – Ofrecida al publico, amplia escalabilidad
• Nube Hibrida – Compuesta de dos o mas modelos
Modelos de Despliegue de “La Nube”
Fuente: NIST (http://csrc.nist.gov/groups/SNS/cloud-computing/cloud-def-v15.doc)
Catalogación de los Modelos de Despliegue de “La Nube”
Co
ste
Agilidad / Seguridad
Nube Pública
Nube Comunitaria
Nube Privada
Evolución de los Data Center - Microsoft
Generation 4 Datacenter
Economía de Escala
De lo mejor de la industria en seguridad y Fiabilidad
Características Clave • Data Centers Geo-redundantes • Arquitectura N+1 • 9 Capas de Seguridad • Certificado CyberTrust • Acceso Seguro via SSL • Operaciones con ITIL/MOF • Soporte 24 x 7 x 365 • 99.9% te Respaldado
financieramente con el SLA
• Routers de Filtrado • Firewalls • Sistemas detección Intrusion • Seguridada a nivel Sistema • Autenticación de Aplicación • Contramedidas a nivel de
Aplicación • Escaneo de Virus • Redes de Datos Separadas • Autenticación a los datos
Certificaciones FISMA, SAS 70, ISO
en todos los centros y servicios
ISO27001 e(strategico)
SAS70
(audit)
FISMA (tactico)
Seguridad y Regulación en los Data Centers
• La Información esta bajo el control del proveedor – No está limitado al espacio o la geografía
• Cambios en los Procesos de IT – El proveedor puede tener mejores procesos de seguridad
– El proveedor de la nube gestiona la seguridad física
– Retos sobre la soberanía y la legalidad
• Almacenamiento de datos Centralizado – Economía de escala
– Atractivo para los criminales
• Problemas de Privacidad
• Forense
• Dispositivos
Retos y Oportunidades
• Amenazas derivadas de la Tecnología – Son los de siempre con algunas incorporaciones
– Se solucionan con mas tecnología
• Amenazas de la parte cliente (PC, dispositivos móviles)
• Amenazas filosóficas y de procedimiento – Hay muchas novedades
– Se solucionan con cambios de mentalidad y aprendizaje
Por ser «la nube» un cambio de Paradigma, son mucho mas importantes las amenazas de tipo
filosófico y de procedimiento
Amenazas de Seguridad en la Nube
• Las amenazas tradicionales siguen existiendo – Ataques a la Capa de Aplicación (XSS, ataques de inyección de código)
– Ataques a la Capa de Red (Ataques DNS , network flooding)
• Se potencian otras amenazas – Ataques a las tecnologías de Virtualización
• Nuevos ataques de Escalada de Privilegios (VM a host o VM a VM)
• Romper las barreras de las VM
• Hyperjacking (rootkitting al host o a la VM)
• Hay mas amenazas pero menos riesgo: – La tecnología y procedimientos empleados en proteger los DataCenter
de «la nube» son muy superior a la empleada en nuestras organizaciones.
– Gestión de riesgos, de cambios, de regulación , de Identidad, de Acceso
– Es un problema de confianza, y no de seguridad
Amenazas de Seguridad derivadas de la Tecnología
• En el nuevo entorno cada PC ha de ser seguro por si mismo.
• Seguridad Física: – Ya no cuenta con la protección física de nuestras oficinas
– Hay que proteger la información a nivel físico (TPM, Bitlocker, Bitlocker to go, etc…)
• Seguridad en toda la pila de Software: – El Software a utilizar ha de estar bien desarrollado (SDL)
– El Sistema ha de tener su propio software de seguridad: Firewall, IDS, Antivirus, etc..(FEP 2010 incluye todo)
– Sistema Operativo ha de contar con funcionalidad para conexiones sencillas y seguras. (DirectAccess)
• PRIVACIDAD
Amenazas - PC
• En el nuevo entorno cada dispositivo ha de ser seguro por si mismo y cumplir con los requisitos legales.
• Seguridad Física:
– O no han de almacenar información o esta ha de estar protegida
– Funcionalidades de borrado en remoto
• Seguridad en toda la pila de Software:
– El Software a utilizar ha de estar bien desarrollado (SDL)
– El Sistema ha de tener su propio software de seguridad: Firewall, IDS, Antivirus, etc.
– Gestión del dispositivo
– Borrado en remoto
– Gestión de Usuarios
– Gestión y auditoria de la Información.
– Cifrado
– Control sobre la instalación de aplicaciones
– Conectividad Segura
• PRIVACIDAD
Amenazas– Otros Dispositivos
• En el nuevo entorno cambian mas cosas de las que parecen. – Arquitectura de Red abierta
• Ubicuidad de los datos
• Ubicuidad de los usuarios y sus terminales
– Compartición de Procesos y responsabilidades
• Gestión de la seguridad entre proveedor y cliente
– Acceso
– Identidad
– Regulación
– Protección de Datos
– Auditoria y Forense
Además de entender el entorno, es necesario un buen entendimiento entre el proveedor y el cliente
Amenazas filosóficas y de procedimiento
• El desconocimiento del entorno nos lleva a los 7 pecados capitales
Amenazas de método y procedimiento
Ignorancia
Ambigüedad
Duda
Transgresión
Desorden
Engreimiento
Complacencia
Consideraciones de Seguridad en «La Nube»
Gestión de Riesgos y Regulación
Gestion de Identidad y Accesos
Integridad del Servicio
Integridad del Punto Final
Protección de la Información
• La Conformidad/Legalidad sigue siendo una tarea del Cliente
• Es necesario una gestión de Riesgos al adoptar una solución en la nube.
• La colaboración entre el cliente y el proveedor es esencial – Se necesita cierto grado de trasparencia en los procesos
• Es necesario un equipo interno fuerte – Negociación del Contrato
– Definición de las métricas y el control
– Integración de los Controles en los procesos internos
Gestión del Riesgo y Regulación
Los requisitos de Conformidad pueden conseguirse con un equipo interno capacitato y un cierto nivel de transparencia en los procesos del provvedor.
• La Colaboración entre Dominios requiere de Identidades de Seguridad – Personas y Dispositivos
• Basado en Pruebas Personales o Similar
• Basado en reclamo.
• Basado en Estándares de Interoperabilidad
• Ha de existir un equilibrio entre Privacidad vs. Autenticación
• Los Procesos han de poder incluir varios proveedores
Gestión de Acceso e identidad
Cualquier sistema de Identidad Digital en “La Nube” ha de ser Interoperable entre varias organizaciones y proveedores , y ha de estar basado en fuertes
procesos.
• Desarrollo e Ingenieria del Servicio – Son necesarios Procesos de ingenieria serios y transparentes
• Requerimientos
• Diseño
• Implementación
• Verificación
• Públcio
• Respuesta
– Probado
– Basado en Modelo de Amenazas o Similar
Integridad del Servicio
El Proveedor debe de seguir un proceso claro, definido y probado para integrar seguridad y privacidad en el servicio desde el principio y para todo el ciclo de
vida.
• Prestación del Servicio – Los procesos internos deven de poder cubrir varios proveedores
• Monitorización de la Seguridad
• Audoria
• Forense
• Respuesta a incidentes
• Continuidad del negocio
• Etc.
– Los requerimientos dependen de la aplicación y las necesidades de la información
Integridad del Servicio
Las capacidades de prestación del servicio del proveedor y las nececesidades de auditoria y gestion de la seguridad del cliente, han de estar alineadas.
• Dispositivos de conexión
• Es parte de la cadena de prestación del servicio
• A menudo objeto de ataques de ingeniería social (y similares)
• Revisar con los procesos y políticas de cada día
Integridad del Punto Final
Es muy importante incluir el Punto Final en cualquier consideración de seguridad para un servicio en «La Nube»
• El fundamento es la Clasificación de los datos – Requerimientos
– Necesidades Legales
• Se necesita que la protección de los datos sea Persistente – Cifrado/Gestión de los derechos digitales
• Ha de cubrir toda la transacción – Los datos durante el Transito
• Nuevos Retos – Soberanía de los Datos
– Acceso a la información
– Procesamiento y Partición de los datos
Protección de la Información
La Implementación de una Clasificación de los dato ayuda a decidir que datos estan listos para “La Nube” bajo que circunstancias , y con que controles
• Es necesario un equipo interno bien formado en temas relacionados con la nube
• Elegir el Modelo de despliegue adecuado (Privada, Comunitaria o Publica)
• Son obligatorios los planes de riesgos y de cumplimiento de normativa.
• El proveedor debe de tener procesos transparentes, control del cumplimiento legales y auditoria
• La clasificación de los datos es clave
• Control sobre el Ciclo de Vida de la Información
• Mejores controles de acceso y federación de identidad
Recommendations
Iniciativa Confianza Extremo a Extremo
SDL y SD3
Defensa en profundidad
Mitigación amenazas
“I+4
A”
Reclamos de Identidad
Autenticación Autorización Mecanismos
Control de Accesos
Gente de Confianza
Datos de Confianza
Software de Confianza
Hardware de Confianza
• Microsoft Government Cloud Site
– http://www.microsoft.com/govcloud
• Microsoft Windows Azure
– http://www.microsoft.com/windowsazure/
• Security Best Practices For Developing Windows Azure Applications
– http://download.microsoft.com/download/7/3/E/73E4EE93-559F-4D0F-A6FC-7FEC5F1542D1/SecurityBestPracticesWindowsAzureApps.docx
• Cloud Computing Security Considerations
– http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=3269a73d-9a74-4cbf-aa6c-11fbafdb8257
• Building Confidence in Cloud Computing (US)
– http://www.microsoft.com/presspass/presskits/cloudpolicy/
• Microsoft Generation 4 Datacenter videos:
– http://www.microsoft.com/video/en/us/details/36db4da6-8777-431e-aefb-316ccbb63e4e
– http://www.microsoft.com/showcase/en/us/details/84f44749-1343-4467-8012-9c70ef77981c
• Microsoft Datacenter information site:
– http://www.globalfoundationservices.com/
Recursos