SlideShare una empresa de Scribd logo

Cloud native y donde esta el piloto

CSA Argentina
CSA Argentina

XIII Encuentro de Ciberseguridad 5/12/2019 Hotel NH City Beneficios, riesgos y recomendaciones en Cloud Luciano Moreira / Cristian Ibiri CLOUD SECURITY ALLIANCE

Tecnología
1 de 60
Descargar para leer sin conexión
/Christianibiri /christian-ibiri//lucianomoreiradacruz//Luciano_m_cruz Otto
Cloud Security Alliance - CSA • 95,000 + MIEMBROS INDIVIDUALES • 100+ CAPÍTULOS • 30+ GRUPOS DE TRABAJO ACTIVOS • 400+ MIEMBROS CORPORATIVOS "Promover el uso de las mejores prácticas para garantizar la seguridad en la nube Informática, y proporcionar educación sobre la de Cloud Computing para ayudar a proteger todas las otras formas de computación". FUNDADO EN 2009 https://cloudsecurityalliance.org/
INTRODUCCIÓN Las tecnologías “Cloud Native” empoderan a las organizaciones para construir y correr aplicaciones escalables en ambientes dinámicos modernos, como lo son hoy las nubes públicas, privadas o hibridas. Temas como contenedores, colas de servicios, microservicios, infraestructura inmutable y APIs declarativas son ejemplos de este enfoque. Estas técnicas permiten crear sistemas de bajo acoplamiento que son resilentes, administrables y observables, esto combinado con técnicas de automatización robusta les permite a los ingenieros realizar cambios de alto impacto de manera frecuente y predecible con un mínimo esfuerzo. La "Cloud Native Computing Foundation, Cloud Security Alliance y otras organizaciones” buscan impulsar la adopción de este paradigma mediante el fomento y mantenimiento de un ecosistema de proyectos de código abierto y neutro con respecto a los proveedores. Democratizamos los patrones modernos para que estas innovaciones sean accesibles para todos. De la Virtualization al Cloud Native
Servidores no virtualizados: Sun (2000) • Lanzar una nueva aplicación? Comprar un nuevo servidor; o un par de ellos! • El componente básico de tu aplicación son los servidores físicos. 2000 Non- Virtualized Hardware
Virtualizacion: VMWare (2001) •Lanzamientos para el mercado de servidores en 2001 •Se volvieron populares las maquinas virtuales(VMs) •Ejecuta muchas máquinas virtuales en una máquina física, lo que significa que podes comprar menos servidores! 2000 2001 Non- Virtualized Hardware Virtualiza- tion
IaaS: AWS (2006) •Amazon Web Services (AWS) crea el mercado de infraestructura como servicio al lanzar Elastic Compute Cloud (EC2) en 2006 •Rentar Servidores por hora •Convertir CapEx a OpEx 2000 2001 2006 Virtualiza- tion Non- Virtualized Hardware IaaS
PaaS: Heroku (2009) • Heroku populariza Platform-as-a-Service (PaaS) con su lanzamiento en 2009 • Building block es un buildpack que permite aplicaciones en contenedores PaaSIaaS 2000 2001 2006 2009 Virtualiza- tion Non- Virtualized Hardware
Open Source IaaS: OpenStack (2010) • OpenStack reúne a un grupo extraordinariamente diverso de proveedores para crear una Infraestructura como Servicio de código abierto (IaaS) • Compite con AWS y VMWare • El bloque de construcción sigue siendo una VM Open Source IaaS PaaS 2000 2001 2006 2009 2010 Non- Virtualized Hardware Virtualiza- tion IaaS
Open Source PaaS: Cloud Foundry (2011) • Pivotal crea una alternativa de código abierto para el PaaS de Heroku y lanza la Fundación Cloud Foundry a finales de 2014 • El bloque de construcción son los contenedores Garden, que pueden contener paquetes de construcción Heroku, contenedores Docker e incluso sistemas operativos que no son Linux Open Source IaaS PaaS Open Source PaaS 2000 2001 2006 2009 2010 2011 Non- Virtualized Hardware Virtualiza- tion IaaS
Containers Containers: Docker (2013) • Docker combina LXC, Union File System y cgroups para crear un estándar de contenerizacion adoptado por millones de desarrolladores de todo el mundo. • La incorporación más rápida de una tecnología de desarrollo. • Permite el aislamiento, la reutilización y la inmutabilidad. Open Source IaaS PaaS Open Source PaaS 2000 2001 2006 2009 2010 2011 Non- Virtualized Hardware 2013 Virtualiza- tion IaaS
Containers Cloud Native Cloud Native: CNCF (2015) • La computación nativa en la nube utiliza una pila de software de código abierto para: • segmentar aplicaciones en microservicios, – empacar cada parte en su propio contenedor – orquestar dinámicamente esos contenedores para optimizar la utilización de los recursos Open Source IaaS PaaS Open Source PaaS Virtualiza- tion 2000 2001 2006 2009 2010 2011 Non- Virtualized Hardware 2013 2015 IaaS
Kubernetes en tendencias de búsqueda WeChat Kubernetes OpenStack June-19 July-19 Aug-19 Sept-19 Google Trends Kubernetes OpenStack Mesos Docker Swarm Cloud Foundry
Modelo de madurez de Cloud Native
Cloud Native https://landscape.cncf.io/
Beneficios de Cloud Native Evitar el bloqueo de proveedores La pila de software de código abierto permite la implementación en cualquier nube pública, privada o híbrida Habilitar escalabilidad ilimitada Escala desde varios nodos en su computadora portátil a decenas de miles de nodos multiinquilinos autorreparables Aumenta la agilidad y la mantenibilidad Al dividir las aplicaciones en microservicios con dependencias descritas explícitamente Lograr Resilencia A fallas de contenedores individuales, máquinas e incluso centros de datos y a diferentes niveles de demanda Mejorar la eficiencia y la utilización de recursos A través de un proceso central de orquestación que gestiona y programa dinámicamente microservicios
AQUI TRANQUILO INICIANDO LA DEMO
https://informationisbeautiful.net/ World's Biggest Data Breaches & Hacks Todo muy lindo, pero…..
https://informationisbeautiful.net/ World's Biggest Data Breaches & Hacks Todo muy lindo, pero…..
https://informationisbeautiful.net/ World's Biggest Data Breaches & Hacks Todo muy lindo, pero…..
CSA & Symantec Cloud Security Threat Report (CSTR)
CSA & Symantec Cloud Security Threat Report (CSTR) Perceptions Reality Surveyed 1250 IT Decision Makers / Across 11 Countries
Hallazgos Principales Las empresas han llegado a un punto de inflexión Symantec Cloud Security - research results EL 53% DE LAS CARGAS DE TRABAJO ESTÁN EN LA NUBE EL 54% DICE QUE SU SEGURIDAD EN LA NUBE NO PUEDE MANTENER EL RITMO ¿Las razones principales? La confianza es baja: EL 69% CREE QUE SUS DATOS YA ESTÁN A LA VENTA EN LA WEB OSCURA. Personal de TI sobrecargado: EL 25% DE LAS ALERTAS DE SEGURIDAD EN LA NUBE NO SON ATENDIDAS. Prácticas de seguridad inmaduras: 3/4 EXPERIMENTARON UN INCIDENTE DEBIDO A LA FALTA DE CONFIGURACIÓN, SIN USAR 2FA, DLP O CIFRADO Comportamiento arriesgado del usuario final: 1/3 DE LOS DATOS EN LA NUBE NO DEBERÍA ESTAR ALLÍ.
Lucha para mantenerse al día con la nube Es cada vez más compleja infraestructura de nube de mi organización nos está abriendo a una gran cantidad de nuevas amenazas La madurez de la seguridad en la nube de mi organización no puede seguir el ritmo de la rápida expansión de las nuevas aplicaciones en la nube. El equipo de seguridad en la nube de mi organización está demasiado sobrecargado para responder a las alertas que recibe. No existe una autoridad central ni una guía sobre cómo seleccionar o habilitar los controles correctos de las aplicaciones en la nube. De los encuestados coinciden en que la madurez de la seguridad en la nube de su organización no puede seguir el ritmo de la rápida expansión de las nuevas aplicaciones en la nube
Uso compartido de archivos confidenciales DE LOS ENCUESTADOS CREEN QUE EL COMPARTIR ARCHIVOS ALMACENADOS EN LA NUBE QUE CONTIENEN DATOS DE CONFIDENCIALES ES UN PROBLEMA
Confianza Normalmente cuando pensamos en cloud en vez de pensar en confianza , lo primero que viene en la mente es la falta de ella y todos los peligros relacionados a este modelo… Pero luego miramos hacia adentro de nuestra propia muralla o entorno y nos damos cuentas que son los mismos los factores de desconfianza que tenemos internamente. Siempre desconfiamos de lo nuevo, nos paso con la invasión del internet con la virtualización, nos paso con la masividad de los celulares y la movilidad.
Confianza Normalmente cuando pensamos en cloud en vez de pensar en confianza , lo primero que viene en la mente es la falta de ella y todos los peligros relacionados a este modelo… Pero luego miramos hacia adentro de nuestra propia muralla o entorno y nos damos cuentas que son los mismos los factores de desconfianza que tenemos internamente. Siempre desconfiamos de lo nuevo, nos paso con la invasión del internet con la virtualización, nos paso con la masividad de los celulares y la movilidad.
Confianza Normalmente cuando pensamos en cloud en vez de pensar en confianza , lo primero que viene en la mente es la falta de ella y todos los peligros relacionados a este modelo… Pero luego miramos hacia adentro de nuestra propia muralla o entorno y nos damos cuentas que son los mismos los factores de desconfianza que tenemos internamente. Siempre desconfiamos de lo nuevo, nos paso con la invasión del internet con la virtualización, nos paso con la masividad de los celulares y la movilidad. ¿Nuestras infraestructuras son más seguras?
Incidentes de seguridad
Incidentes de seguridad
Incidentes de seguridad
Incidentes de seguridad
Incidentes de seguridad
Incidentes de seguridad
Incidentes de seguridad
Incidentes de seguridad
Incidentes de seguridad
Incidentes de seguridad
Incidentes de seguridad Seguridad al 100%? ☺
Principales Amenazas 1. Violaciones de datos 2. Configuración incorrecta y control inadecuado del cambio 3. Falta de arquitectura y estrategia de seguridad en la nube 4. Gestión insuficiente de identidades, credenciales, accesos y claves 5. Secuestro de cuentas 6. Amenaza interna 7. Interfaces y APIs inseguras 8. Plan de control débil 9. Fallas de la metraestructura y de la aplicación 10. Visibilidad limitada del uso de la nube 11. Abuso y uso nefasto de los servicios en la nube
1. Violaciones de datos Impacto de negocios • Ramificaciones regulatorias que pueden resultar en pérdidas financieras. • Responsabilidades contractuales y legales. • Las infracciones de datos tienen el potencial de dañar la reputación de la empresa y generar desconfianza entre los socios y clientes de la empresa. • Pérdida de propiedad intelectual • El valor de mercado de la compañía puede verse afectado por los cambios en su marca. • Los piratas informáticos pueden acceder, explotar o hacer mal uso de los datos almacenados en línea. Puntos clave y recomendaciones • Implementación de técnicas de encriptación para proteger los datos. • Perfiles estrictos de la compañía y ejecutando verificaciones de seguridad dobles sobre quien puede tener acceso a los datos protegidos. • Establecer expectativas organizacionales, definiciones y valor de los datos cargados en la nube. Definir el impacto de su pérdida en el negocio, así como en los responsables de su protección.
2. Configuración incorrecta y control inadecuado del cambio Impacto de negocios • El impacto generalmente depende del negocio, las operaciones y su plan de contingencia, el nivel de uso de la computación en la nube y, lo más importante, la naturaleza de la configuración incorrecta. • El principal impacto de la configuración incorrecta es la exposición de los datos almacenados en los repositorios de la nube. Puntos clave y recomendaciones • Concilie con el hecho de que los recursos basados ​​en la nube pueden ser dinámicos y complejos y, por lo tanto, difíciles de configurar. • La nube necesita un nuevo enfoque, ya que los controles y enfoques tradicionales para la gestión del cambio no funcionarán. • Los recursos basados ​​en la nube pueden ser desafiantes, complejos y no tan fáciles de entender, por lo que pueden resultar desafiantes cuando se configuran. “Competencias y capacitación”
3. Falta de arquitectura y estrategia de seguridad en la nube Impacto de negocios • Pérdida financiera y de productividad y daño a la reputación como resultado de ataques cibernéticos severos. • Pérdida de datos cruciales durante el tipo de migración de copiar y pegar. • Daños a la reputación, repercusiones legales y multas. Puntos clave y recomendaciones • Desarrolle un marco de arquitectura de seguridad desde cero e impleméntelo al mismo tiempo que migra a la nube. • Verifique que la arquitectura existente o su propia desarrollada se correspondan con sus objetivos comerciales. • Mantenga el modelo de amenaza actualizado todo el tiempo. • Asegúrese de que se aplique una estructura de seguridad adecuada durante todo el proceso. • Mantenga la estructura de seguridad visible todo el tiempo.
4. Gestión insuficiente de identidades, credenciales, accesos y claves Impacto de negocios • Una administración de credenciales, identidad o claves insuficiente puede iniciar el acceso no autorizado a los datos comerciales. • Debido al acceso no autorizado, los datos pueden estar sujetos a partes malintencionadas que pretenden ser cuerpos o individuos legítimos y, por lo tanto, ser leídos, alterados e incluso eliminados. • Los atacantes cibernéticos también pueden emitir funciones de administración, espiar datos y liberar malware que causará mucho daño, ya que parece ser de una fuente legítima. Puntos clave y recomendaciones • Use la autenticación de dos factores para proteger todas las cuentas y eliminar la cantidad de cuentas raíz en uso activo. • Implemente controles de identidad y acceso más estrictos para todos los miembros que pueden acceder a la nube. • Gire las llaves constantemente, elimine las credenciales y privilegios no utilizados, use las prácticas de administración adecuadas.
5. Secuestro de cuentas Impacto de negocios • Dado que el secuestro de cuenta implica un compromiso y control total de una cuenta, la lógica empresarial, la función, los datos y las aplicaciones que dependen de la cuenta pueden estar en riesgo. • Las consecuencias del secuestro de cuentas pueden ser graves. Algunos casos de incumplimiento recientes conducen a importantes interrupciones operativas y comerciales, incluida la eliminación completa de activos, datos y capacidades. • El secuestro de cuentas puede provocar fugas de datos que conducen a daños a la reputación, degradación del valor de la marca, exposición de responsabilidad legal y revelaciones confidenciales de información personal y comercial. Puntos clave y recomendaciones • El secuestro de cuentas es una amenaza que debe tomarse en serio. • La defensa en profundidad y los controles de IAM son clave para mitigar el secuestro de cuentas.
6. Amenaza interna Impacto de negocios •Las amenazas internas pueden resultar en la pérdida de información de propiedad y propiedad intelectual. •El tiempo de inactividad del sistema asociado con ataques de información puede afectar la productividad de la empresa. •La pérdida de datos puede reducir la confianza en los servicios de la empresa. •El manejo de incidentes de seguridad interna requiere contención, remediación, respuesta a incidentes, investigación, análisis posterior a la incidencia, escalado, monitoreo y vigilancia, todo lo cual puede agregar a la carga de trabajo y al presupuesto de seguridad de una empresa. Puntos clave y recomendaciones •Tome medidas para minimizar la negligencia interna para mitigar las consecuencias de las amenazas internas. •Brinde capacitación a sus equipos de seguridad para instalar, configurar y monitorear adecuadamente sus sistemas informáticos, redes, dispositivos móviles y dispositivos de respaldo. •Brinde capacitación a sus empleados habituales para informarles cómo manejar los riesgos de seguridad, como el phishing y la protección de los datos corporativos que llevan fuera de la empresa en computadoras portátiles y dispositivos móviles. •Audite rutinariamente los servidores en la nube y en las instalaciones, y luego corrija cualquier cambio desde la línea de base segura establecida en toda la organización. •Asegúrese de que los sistemas de seguridad de acceso privilegiado y los servidores centrales estén limitados a un número mínimo de empleados, y que estas personas incluyan solo a aquellos con la capacitación para manejar la administración de servidores informáticos de misión crítica. •Monitoree el acceso a todos los servidores de la computadora en cualquier nivel de privilegio.
7. Interfaces y APIs inseguras Impacto de negocios • Aunque la mayoría de los proveedores de la nube intentan integrar la seguridad en sus modelos, los clientes de la nube también deben comprender las implicaciones de seguridad. Un conjunto débil de interfaces y API expone a las organizaciones a varios problemas de seguridad relacionados con la confidencialidad, integridad, disponibilidad y responsabilidad. • Un conjunto débil de interfaces y API expone a las organizaciones a varios problemas de seguridad relacionados con la confidencialidad, integridad, disponibilidad y responsabilidad. Puntos clave y recomendaciones • Realizar una buena higiene de APIs, esto incluye la supervisión diligente de artículos como inventario, pruebas, auditorías y protecciones de actividades anormales. • Garantizar la protección adecuada de las claves API y evitar la reutilización. • Considerar el uso de marcos API estándar y abiertos (p. Ej., Open Cloud Computing Interface (OCCI) e Cloud Infrastructure Management Interface (CIMI)).
8. Plan de control débil Impacto de negocios • Un plan de control débil podría provocar la pérdida de datos, ya sea por robo o corrupción. También se puede incurrir en castigo reglamentario por pérdida de datos. • Con un plan de control débil, los usuarios también pueden ser incapaces de proteger sus datos y aplicaciones comerciales basados ​​en la nube. Puntos clave y recomendaciones • Los controles de seguridad adecuados proporcionados a través de un proveedor de la nube son necesarios para que los clientes de la nube puedan cumplir con sus obligaciones legales y estatutarias. • Los clientes de la nube deben realizar la debida diligencia y determinar si el servicio en la nube que pretenden utilizar posee un plan de control adecuado.
9. Fallas de la metraestructura y de la aplicación Impacto de negocios • Metastructure y applistructure son componentes críticos de un servicio en la nube. Las fallas relacionadas con estas características a nivel de proveedor de la nube pueden afectar severamente a todos los consumidores de servicios. Al mismo tiempo, las configuraciones incorrectas por parte del cliente podrían interrumpir al usuario financiera y operativamente. Puntos clave y recomendaciones • Los proveedores de la nube deben ofrecer visibilidad y exponer mitigaciones para contrarrestar la falta inherente de transparencia de la nube para los clientes. • Los clientes de la nube deben implementar características y controles apropiados en los diseños nativos de la nube. • Todos los proveedores de la nube deben realizar pruebas de penetración y proporcionar resultados a los clientes
10. Visibilidad limitada del uso de la nube Impacto de negocios • Falta de gobernanza. Cuando los empleados no están familiarizados con el acceso adecuado y los controles de gobierno, los datos corporativos confidenciales se pueden colocar en ubicaciones de acceso público frente a ubicaciones de acceso privado. • Falta de conciencia. Cuando los datos y los servicios están en uso sin el conocimiento de la empresa, no pueden controlar su IP. Eso significa que el empleado tiene los datos, no la empresa. • Falta de seguridad. Cuando un empleado configura incorrectamente un servicio en la nube, puede volverse explotable no solo para los datos que residen en él, sino también para datos futuros. Malware, botnets, malware de minería de criptomonedas y más pueden comprometer los contenedores en la nube, poner datos organizacionales, servicios y finanzas en riesgo Puntos clave y recomendaciones • La mitigación de estos riesgos comienza con el desarrollo de un esfuerzo completo de visibilidad en la nube de arriba hacia abajo. Este proceso generalmente comienza con la creación de una solución integral que se vincula con las personas, los procesos y la tecnología. • Invierta en soluciones como agentes de seguridad de acceso a la nube (CASB) o puerta de enlace definida por software (SDG) para analizar las actividades salientes y ayudar a descubrir el uso de la nube, los usuarios en riesgo y seguir el comportamiento de los empleados acreditados para identificar anomalías. • Invierta en un firewall de aplicaciones web (WAF) para analizar todas las conexiones entrantes a sus servicios en la nube en busca de tendencias sospechosas, malware, denegación de servicio distribuida (DDoS) y riesgos de Botnet. • Seleccione soluciones que estén específicamente diseñadas para monitorear y controlar todas sus aplicaciones empresariales clave en la nube (planificación de recursos empresariales, administración de capital humano, experiencia comercial y administración de la cadena de suministro) y garantizar que los comportamientos sospechosos puedan mitigarse.
11. Abuso y uso nefasto de los servicios en la nube Impacto de negocios • Si un atacante ha comprometido el plano de gestión de la infraestructura en la nube de un cliente, el atacante puede usar el servicio en la nube con fines ilícitos mientras el cliente paga la factura. El proyecto de ley podría ser sustancial si el atacante consumiera recursos sustanciales, como la minería de criptomonedas. • Los atacantes también pueden usar la nube para almacenar y propagar malware. Las empresas deben tener controles establecidos para hacer frente a estos nuevos vectores de ataque. Esto puede significar adquirir tecnología de seguridad que pueda monitorear la infraestructura de la nube o las llamadas API desde y hacia el servicio de la nube Puntos clave y recomendaciones • Las empresas deben monitorear a sus empleados en la nube, ya que los mecanismos tradicionales no pueden mitigar los riesgos que plantea el uso del servicio en la nube. • Emplee tecnologías de prevención de pérdida de datos en la nube (DLP) para monitorear y detener cualquier exfiltración de datos no autorizada.
AQUI TRANQUILO INICIANDO LA DEMO
Material de lectura
Enlaces útiles de Cloud Security Alliance (CSA) GDPR Resource Center https://gdpr.cloudsecurityalliance.org/ Cloud Controls Matrix (CCM) https://cloudsecurityalliance.org/group/cloud-controls-matrix/ Consensus Assessment Initiative Questionnaire (CAIQ) https://cloudsecurityalliance.org/group/consensus-assessments/ CSA STAR (Security, Trust and Assurance Registry), Provider Assurance Program https://cloudsecurityalliance.org/star/ CCM & STAR Training https://cloudsecurityalliance.org/education/ STARWatch https://star.watch/en Download CSA Research Artifacts https://cloudsecurityalliance.org/download
CSA Global Consultant El Programa de consultoría global de CSA (CSA GCP) es un marco que permite a los clientes de la nube trabajar con una red de profesionales y organizaciones de seguridad de confianza que ofrecen servicios profesionales cualificados basados en las mejores prácticas de CSA. Estos proveedores tienen un amplio conocimiento de los retos a los que se enfrentan las organizaciones al pasar a la nube. Actualmente las empresas habilitadas son:
Recuerden (CSA – CLOUD SECURITY ALLIANCE)
Conclusion “human ingenuity could not construct a cipher which human ingenuity could not solve.”
Thank You

Recomendados

Julian albeiro calderon guia de aprendizaje 7
Julian albeiro calderon guia de aprendizaje 7Julian albeiro calderon guia de aprendizaje 7
Julian albeiro calderon guia de aprendizaje 7
julianalbeirocaldero
 
Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nube
cesar lara
 
Alejandro Solana. Vmware. Actualizacion VMware, La empresa definida por Softw...
Alejandro Solana. Vmware. Actualizacion VMware, La empresa definida por Softw...Alejandro Solana. Vmware. Actualizacion VMware, La empresa definida por Softw...
Alejandro Solana. Vmware. Actualizacion VMware, La empresa definida por Softw...
COIICV
 
Aspectos de seguridad en la nube
Aspectos de seguridad en la nubeAspectos de seguridad en la nube
Aspectos de seguridad en la nube
Inside_Marketing
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
Robal96
 
Seguridad en Cloud Computing - Segu-Info
Seguridad en Cloud Computing - Segu-InfoSeguridad en Cloud Computing - Segu-Info
Seguridad en Cloud Computing - Segu-Info
Cristian Borghello
 
[CSA] Introducción a la Seguridad en Cloud Computing
[CSA] Introducción a la Seguridad en Cloud Computing[CSA] Introducción a la Seguridad en Cloud Computing
[CSA] Introducción a la Seguridad en Cloud Computing
cloudsa_arg
 
Seguridad en la nube exposicion completa
Seguridad en la nube exposicion completaSeguridad en la nube exposicion completa
Seguridad en la nube exposicion completa
Maxwell Kenshin
 

Recomendados

Julian albeiro calderon guia de aprendizaje 7
Julian albeiro calderon guia de aprendizaje 7Julian albeiro calderon guia de aprendizaje 7
Julian albeiro calderon guia de aprendizaje 7
julianalbeirocaldero
 
Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nube
cesar lara
 
Alejandro Solana. Vmware. Actualizacion VMware, La empresa definida por Softw...
Alejandro Solana. Vmware. Actualizacion VMware, La empresa definida por Softw...Alejandro Solana. Vmware. Actualizacion VMware, La empresa definida por Softw...
Alejandro Solana. Vmware. Actualizacion VMware, La empresa definida por Softw...
COIICV
 
Aspectos de seguridad en la nube
Aspectos de seguridad en la nubeAspectos de seguridad en la nube
Aspectos de seguridad en la nube
Inside_Marketing
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
Robal96
 
Seguridad en Cloud Computing - Segu-Info
Seguridad en Cloud Computing - Segu-InfoSeguridad en Cloud Computing - Segu-Info
Seguridad en Cloud Computing - Segu-Info
Cristian Borghello
 
[CSA] Introducción a la Seguridad en Cloud Computing
[CSA] Introducción a la Seguridad en Cloud Computing[CSA] Introducción a la Seguridad en Cloud Computing
[CSA] Introducción a la Seguridad en Cloud Computing
cloudsa_arg
 
Seguridad en la nube exposicion completa
Seguridad en la nube exposicion completaSeguridad en la nube exposicion completa
Seguridad en la nube exposicion completa
Maxwell Kenshin
 
Seguridad en la nube
Seguridad en la nubeSeguridad en la nube
Seguridad en la nube
Genaro Lapoyeu
 
Introducción a la Seguridad en Cloud Computing | CISObeat Webinars
Introducción a la Seguridad en Cloud Computing | CISObeat WebinarsIntroducción a la Seguridad en Cloud Computing | CISObeat Webinars
Introducción a la Seguridad en Cloud Computing | CISObeat Webinars
CISObeat
 
Seguridad en Cloud computing
Seguridad en Cloud computingSeguridad en Cloud computing
Seguridad en Cloud computing
Esteban Chamba
 
Tendencias de seguridad en redes
Tendencias de seguridad en redesTendencias de seguridad en redes
Tendencias de seguridad en redes
Fundación Proydesa
 
Auditoria en La Nube
Auditoria en La NubeAuditoria en La Nube
Auditoria en La Nube
javno
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
Joel
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
Joel
 
que es el almacenamiento en la nube
que es el almacenamiento en la nubeque es el almacenamiento en la nube
que es el almacenamiento en la nube
Santiago Jimenez
 
Datasheet firebox v-_es-la
Datasheet firebox v-_es-laDatasheet firebox v-_es-la
Datasheet firebox v-_es-la
AdrinMonfortRodrguez
 
Capítulo 8 Seguridad de la nube
Capítulo 8 Seguridad de la nubeCapítulo 8 Seguridad de la nube
Capítulo 8 Seguridad de la nube
Edwin Ruiz
 
Nube de nubes (internube)
Nube de nubes (internube)Nube de nubes (internube)
Nube de nubes (internube)
Ahmed Banafa
 
Cloud sec automation
Cloud sec automationCloud sec automation
Cloud sec automation
Ruth González Novillo
 
SVT. innovacion y crecimiento con Cloud 2013
SVT. innovacion y crecimiento con Cloud 2013SVT. innovacion y crecimiento con Cloud 2013
SVT. innovacion y crecimiento con Cloud 2013
Josep Bardallo
 
Nube de cómputo
Nube de cómputoNube de cómputo
Nube de cómputo
ingridpccamacho
 
Check Point Nube Segura Blueprint
Check Point Nube Segura Blueprint Check Point Nube Segura Blueprint
Check Point Nube Segura Blueprint
Miguel Hernández y López
 
Seguridad para Cloud Computing
Seguridad para Cloud ComputingSeguridad para Cloud Computing
Seguridad para Cloud Computing
Gabriel Marcos
 
Cloud computing
Cloud computingCloud computing
Cloud computing
Alex Andray
 
tarea
tareatarea
tarea
Dennys Coba
 
Cadex Cubiq
Cadex CubiqCadex Cubiq
Cadex Cubiq
Cadextechnology
 
SafeConsole - hoja de producto - aTICser v2
SafeConsole - hoja de producto - aTICser v2SafeConsole - hoja de producto - aTICser v2
SafeConsole - hoja de producto - aTICser v2
ATICSER STI
 
Cloud Security Fundamentals.pptx
Cloud Security Fundamentals.pptxCloud Security Fundamentals.pptx
Cloud Security Fundamentals.pptx
JuanCarlosBarillas3
 
Miscloudfiguration
MiscloudfigurationMiscloudfiguration
Miscloudfiguration
Luciano Moreira da Cruz
 

Más contenido relacionado

La actualidad más candente

Tendencias de seguridad en redes
Tendencias de seguridad en redesTendencias de seguridad en redes
Tendencias de seguridad en redes
Fundación Proydesa
 
SVT. innovacion y crecimiento con Cloud 2013
SVT. innovacion y crecimiento con Cloud 2013SVT. innovacion y crecimiento con Cloud 2013
SVT. innovacion y crecimiento con Cloud 2013
Josep Bardallo
 

La actualidad más candente (20)

Seguridad en la nube
Seguridad en la nubeSeguridad en la nube
Seguridad en la nube
 
Introducción a la Seguridad en Cloud Computing | CISObeat Webinars
Introducción a la Seguridad en Cloud Computing | CISObeat WebinarsIntroducción a la Seguridad en Cloud Computing | CISObeat Webinars
Introducción a la Seguridad en Cloud Computing | CISObeat Webinars
 
Seguridad en Cloud computing
Seguridad en Cloud computingSeguridad en Cloud computing
Seguridad en Cloud computing
 
Tendencias de seguridad en redes
Tendencias de seguridad en redesTendencias de seguridad en redes
Tendencias de seguridad en redes
 
Auditoria en La Nube
Auditoria en La NubeAuditoria en La Nube
Auditoria en La Nube
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
que es el almacenamiento en la nube
que es el almacenamiento en la nubeque es el almacenamiento en la nube
que es el almacenamiento en la nube
 
Datasheet firebox v-_es-la
Datasheet firebox v-_es-laDatasheet firebox v-_es-la
Datasheet firebox v-_es-la
 
Capítulo 8 Seguridad de la nube
Capítulo 8 Seguridad de la nubeCapítulo 8 Seguridad de la nube
Capítulo 8 Seguridad de la nube
 
Nube de nubes (internube)
Nube de nubes (internube)Nube de nubes (internube)
Nube de nubes (internube)
 
Cloud sec automation
Cloud sec automationCloud sec automation
Cloud sec automation
 
SVT. innovacion y crecimiento con Cloud 2013
SVT. innovacion y crecimiento con Cloud 2013SVT. innovacion y crecimiento con Cloud 2013
SVT. innovacion y crecimiento con Cloud 2013
 
Nube de cómputo
Nube de cómputoNube de cómputo
Nube de cómputo
 
Check Point Nube Segura Blueprint
Check Point Nube Segura Blueprint Check Point Nube Segura Blueprint
Check Point Nube Segura Blueprint
 
Seguridad para Cloud Computing
Seguridad para Cloud ComputingSeguridad para Cloud Computing
Seguridad para Cloud Computing
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
tarea
tareatarea
tarea
 
Cadex Cubiq
Cadex CubiqCadex Cubiq
Cadex Cubiq
 
SafeConsole - hoja de producto - aTICser v2
SafeConsole - hoja de producto - aTICser v2SafeConsole - hoja de producto - aTICser v2
SafeConsole - hoja de producto - aTICser v2
 

Similar a Cloud native y donde esta el piloto

Similar a Cloud native y donde esta el piloto (20)

Cloud Security Fundamentals.pptx
Cloud Security Fundamentals.pptxCloud Security Fundamentals.pptx
Cloud Security Fundamentals.pptx
 
Miscloudfiguration
MiscloudfigurationMiscloudfiguration
Miscloudfiguration
 
Arquitectura en la nube
Arquitectura en la nubeArquitectura en la nube
Arquitectura en la nube
 
Whitepaper: Principales tendencias cloud para 2021
Whitepaper: Principales tendencias cloud para 2021Whitepaper: Principales tendencias cloud para 2021
Whitepaper: Principales tendencias cloud para 2021
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Qué es la informática en la nube
Qué es la informática en la nubeQué es la informática en la nube
Qué es la informática en la nube
 
La nube
La nubeLa nube
La nube
 
cinco procedimientos para la nube
cinco procedimientos para la nubecinco procedimientos para la nube
cinco procedimientos para la nube
 
Computacion en la nube
Computacion en la nubeComputacion en la nube
Computacion en la nube
 
seguridad en la nube
seguridad en la nube seguridad en la nube
seguridad en la nube
 
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops! Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
 
Introducción a la Computacion en la Nube
Introducción a la Computacion en la NubeIntroducción a la Computacion en la Nube
Introducción a la Computacion en la Nube
 
La nube
La nubeLa nube
La nube
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
COMPUTACION EN LA NUBE Y POSICIONAMIENTO WEB
COMPUTACION EN LA NUBE Y POSICIONAMIENTO WEBCOMPUTACION EN LA NUBE Y POSICIONAMIENTO WEB
COMPUTACION EN LA NUBE Y POSICIONAMIENTO WEB
 
La Nube
La NubeLa Nube
La Nube
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Presentacion comunicacion en la nube
Presentacion comunicacion en la nubePresentacion comunicacion en la nube
Presentacion comunicacion en la nube
 
Precentacion carlos
Precentacion carlosPrecentacion carlos
Precentacion carlos
 
Precentacion de carlos Roberto
Precentacion de carlos RobertoPrecentacion de carlos Roberto
Precentacion de carlos Roberto
 

Más de CSA Argentina

Csa Summit 2017 - Un viaje seguro hacia la nube
Csa Summit 2017 - Un viaje seguro hacia la nubeCsa Summit 2017 - Un viaje seguro hacia la nube
Csa Summit 2017 - Un viaje seguro hacia la nube
CSA Argentina
 
Csa Summit 2017 - Managing multicloud environments
Csa Summit 2017 - Managing multicloud environmentsCsa Summit 2017 - Managing multicloud environments
Csa Summit 2017 - Managing multicloud environments
CSA Argentina
 
Csa summit 2017 - Plataforma de Seguridad para entornos Cloud
Csa summit 2017 - Plataforma de Seguridad para entornos CloudCsa summit 2017 - Plataforma de Seguridad para entornos Cloud
Csa summit 2017 - Plataforma de Seguridad para entornos Cloud
CSA Argentina
 
Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...
Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...
Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...
CSA Argentina
 
Csa Summit 2017 - Csa Star for dummies
Csa Summit 2017 - Csa Star for dummiesCsa Summit 2017 - Csa Star for dummies
Csa Summit 2017 - Csa Star for dummies
CSA Argentina
 
CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...
CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...
CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...
CSA Argentina
 

Más de CSA Argentina (20)

7o estudio-cloud security-esarsenu-2019-csaespearclbobrcomx-isacamad-v2
7o estudio-cloud security-esarsenu-2019-csaespearclbobrcomx-isacamad-v27o estudio-cloud security-esarsenu-2019-csaespearclbobrcomx-isacamad-v2
7o estudio-cloud security-esarsenu-2019-csaespearclbobrcomx-isacamad-v2
 
Iam dev secops the infinity loop saga
Iam dev secops the infinity loop sagaIam dev secops the infinity loop saga
Iam dev secops the infinity loop saga
 
Presentacion DevSecOps Argentina
Presentacion DevSecOps ArgentinaPresentacion DevSecOps Argentina
Presentacion DevSecOps Argentina
 
Revista CSA LATAM FORUM 2019
Revista CSA LATAM FORUM 2019Revista CSA LATAM FORUM 2019
Revista CSA LATAM FORUM 2019
 
Cloud security adoption sophos
Cloud security adoption sophosCloud security adoption sophos
Cloud security adoption sophos
 
CSA LATAM FORUM - NETSKOPE
CSA LATAM FORUM - NETSKOPECSA LATAM FORUM - NETSKOPE
CSA LATAM FORUM - NETSKOPE
 
Hardening usuarios smartfense
Hardening usuarios smartfenseHardening usuarios smartfense
Hardening usuarios smartfense
 
Segurdad de red para la generacion de la nube symantec
Segurdad de red para la generacion de la nube symantecSegurdad de red para la generacion de la nube symantec
Segurdad de red para la generacion de la nube symantec
 
Automated security analysis of aws clouds v1.0
Automated security analysis of aws clouds v1.0Automated security analysis of aws clouds v1.0
Automated security analysis of aws clouds v1.0
 
2018 cyberark evento cloud
2018 cyberark evento cloud2018 cyberark evento cloud
2018 cyberark evento cloud
 
Csa Summit 2017 - Un viaje seguro hacia la nube
Csa Summit 2017 - Un viaje seguro hacia la nubeCsa Summit 2017 - Un viaje seguro hacia la nube
Csa Summit 2017 - Un viaje seguro hacia la nube
 
Csa Summit 2017 - Managing multicloud environments
Csa Summit 2017 - Managing multicloud environmentsCsa Summit 2017 - Managing multicloud environments
Csa Summit 2017 - Managing multicloud environments
 
Csa summit 2017 - Plataforma de Seguridad para entornos Cloud
Csa summit 2017 - Plataforma de Seguridad para entornos CloudCsa summit 2017 - Plataforma de Seguridad para entornos Cloud
Csa summit 2017 - Plataforma de Seguridad para entornos Cloud
 
Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...
Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...
Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...
 
Csa Summit 2017 - Csa Star for dummies
Csa Summit 2017 - Csa Star for dummiesCsa Summit 2017 - Csa Star for dummies
Csa Summit 2017 - Csa Star for dummies
 
CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...
CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...
CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...
 
UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTE
UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTEUNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTE
UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTE
 
SECURITY AS A WAR - Infosecurity 2015
SECURITY AS A WAR - Infosecurity 2015SECURITY AS A WAR - Infosecurity 2015
SECURITY AS A WAR - Infosecurity 2015
 
Csa summit el circulo de la confianza entre el cliente y el proveedor cloud
Csa summit el circulo de la confianza entre el cliente y el proveedor cloud Csa summit el circulo de la confianza entre el cliente y el proveedor cloud
Csa summit el circulo de la confianza entre el cliente y el proveedor cloud
 
Csa summit la transformación digital y el nuevo rol del ciso
Csa summit la transformación digital y el nuevo rol del cisoCsa summit la transformación digital y el nuevo rol del ciso
Csa summit la transformación digital y el nuevo rol del ciso
 

Último

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 

Último (10)

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 

Cloud native y donde esta el piloto

  • 1.
  • 3. Cloud Security Alliance - CSA • 95,000 + MIEMBROS INDIVIDUALES • 100+ CAPÍTULOS • 30+ GRUPOS DE TRABAJO ACTIVOS • 400+ MIEMBROS CORPORATIVOS "Promover el uso de las mejores prácticas para garantizar la seguridad en la nube Informática, y proporcionar educación sobre la de Cloud Computing para ayudar a proteger todas las otras formas de computación". FUNDADO EN 2009 https://cloudsecurityalliance.org/
  • 4. INTRODUCCIÓN Las tecnologías “Cloud Native” empoderan a las organizaciones para construir y correr aplicaciones escalables en ambientes dinámicos modernos, como lo son hoy las nubes públicas, privadas o hibridas. Temas como contenedores, colas de servicios, microservicios, infraestructura inmutable y APIs declarativas son ejemplos de este enfoque. Estas técnicas permiten crear sistemas de bajo acoplamiento que son resilentes, administrables y observables, esto combinado con técnicas de automatización robusta les permite a los ingenieros realizar cambios de alto impacto de manera frecuente y predecible con un mínimo esfuerzo. La "Cloud Native Computing Foundation, Cloud Security Alliance y otras organizaciones” buscan impulsar la adopción de este paradigma mediante el fomento y mantenimiento de un ecosistema de proyectos de código abierto y neutro con respecto a los proveedores. Democratizamos los patrones modernos para que estas innovaciones sean accesibles para todos. De la Virtualization al Cloud Native
  • 5. Servidores no virtualizados: Sun (2000) • Lanzar una nueva aplicación? Comprar un nuevo servidor; o un par de ellos! • El componente básico de tu aplicación son los servidores físicos. 2000 Non- Virtualized Hardware
  • 6. Virtualizacion: VMWare (2001) •Lanzamientos para el mercado de servidores en 2001 •Se volvieron populares las maquinas virtuales(VMs) •Ejecuta muchas máquinas virtuales en una máquina física, lo que significa que podes comprar menos servidores! 2000 2001 Non- Virtualized Hardware Virtualiza- tion
  • 7. IaaS: AWS (2006) •Amazon Web Services (AWS) crea el mercado de infraestructura como servicio al lanzar Elastic Compute Cloud (EC2) en 2006 •Rentar Servidores por hora •Convertir CapEx a OpEx 2000 2001 2006 Virtualiza- tion Non- Virtualized Hardware IaaS
  • 8. PaaS: Heroku (2009) • Heroku populariza Platform-as-a-Service (PaaS) con su lanzamiento en 2009 • Building block es un buildpack que permite aplicaciones en contenedores PaaSIaaS 2000 2001 2006 2009 Virtualiza- tion Non- Virtualized Hardware
  • 9. Open Source IaaS: OpenStack (2010) • OpenStack reúne a un grupo extraordinariamente diverso de proveedores para crear una Infraestructura como Servicio de código abierto (IaaS) • Compite con AWS y VMWare • El bloque de construcción sigue siendo una VM Open Source IaaS PaaS 2000 2001 2006 2009 2010 Non- Virtualized Hardware Virtualiza- tion IaaS
  • 10. Open Source PaaS: Cloud Foundry (2011) • Pivotal crea una alternativa de código abierto para el PaaS de Heroku y lanza la Fundación Cloud Foundry a finales de 2014 • El bloque de construcción son los contenedores Garden, que pueden contener paquetes de construcción Heroku, contenedores Docker e incluso sistemas operativos que no son Linux Open Source IaaS PaaS Open Source PaaS 2000 2001 2006 2009 2010 2011 Non- Virtualized Hardware Virtualiza- tion IaaS
  • 11. Containers Containers: Docker (2013) • Docker combina LXC, Union File System y cgroups para crear un estándar de contenerizacion adoptado por millones de desarrolladores de todo el mundo. • La incorporación más rápida de una tecnología de desarrollo. • Permite el aislamiento, la reutilización y la inmutabilidad. Open Source IaaS PaaS Open Source PaaS 2000 2001 2006 2009 2010 2011 Non- Virtualized Hardware 2013 Virtualiza- tion IaaS
  • 12. Containers Cloud Native Cloud Native: CNCF (2015) • La computación nativa en la nube utiliza una pila de software de código abierto para: • segmentar aplicaciones en microservicios, – empacar cada parte en su propio contenedor – orquestar dinámicamente esos contenedores para optimizar la utilización de los recursos Open Source IaaS PaaS Open Source PaaS Virtualiza- tion 2000 2001 2006 2009 2010 2011 Non- Virtualized Hardware 2013 2015 IaaS
  • 13. Kubernetes en tendencias de búsqueda WeChat Kubernetes OpenStack June-19 July-19 Aug-19 Sept-19 Google Trends Kubernetes OpenStack Mesos Docker Swarm Cloud Foundry
  • 14. Modelo de madurez de Cloud Native
  • 16. Beneficios de Cloud Native Evitar el bloqueo de proveedores La pila de software de código abierto permite la implementación en cualquier nube pública, privada o híbrida Habilitar escalabilidad ilimitada Escala desde varios nodos en su computadora portátil a decenas de miles de nodos multiinquilinos autorreparables Aumenta la agilidad y la mantenibilidad Al dividir las aplicaciones en microservicios con dependencias descritas explícitamente Lograr Resilencia A fallas de contenedores individuales, máquinas e incluso centros de datos y a diferentes niveles de demanda Mejorar la eficiencia y la utilización de recursos A través de un proceso central de orquestación que gestiona y programa dinámicamente microservicios
  • 18. https://informationisbeautiful.net/ World's Biggest Data Breaches & Hacks Todo muy lindo, pero…..
  • 19. https://informationisbeautiful.net/ World's Biggest Data Breaches & Hacks Todo muy lindo, pero…..
  • 20. https://informationisbeautiful.net/ World's Biggest Data Breaches & Hacks Todo muy lindo, pero…..
  • 21. CSA & Symantec Cloud Security Threat Report (CSTR)
  • 22. CSA & Symantec Cloud Security Threat Report (CSTR) Perceptions Reality Surveyed 1250 IT Decision Makers / Across 11 Countries
  • 23. Hallazgos Principales Las empresas han llegado a un punto de inflexión Symantec Cloud Security - research results EL 53% DE LAS CARGAS DE TRABAJO ESTÁN EN LA NUBE EL 54% DICE QUE SU SEGURIDAD EN LA NUBE NO PUEDE MANTENER EL RITMO ¿Las razones principales? La confianza es baja: EL 69% CREE QUE SUS DATOS YA ESTÁN A LA VENTA EN LA WEB OSCURA. Personal de TI sobrecargado: EL 25% DE LAS ALERTAS DE SEGURIDAD EN LA NUBE NO SON ATENDIDAS. Prácticas de seguridad inmaduras: 3/4 EXPERIMENTARON UN INCIDENTE DEBIDO A LA FALTA DE CONFIGURACIÓN, SIN USAR 2FA, DLP O CIFRADO Comportamiento arriesgado del usuario final: 1/3 DE LOS DATOS EN LA NUBE NO DEBERÍA ESTAR ALLÍ.
  • 24. Lucha para mantenerse al día con la nube Es cada vez más compleja infraestructura de nube de mi organización nos está abriendo a una gran cantidad de nuevas amenazas La madurez de la seguridad en la nube de mi organización no puede seguir el ritmo de la rápida expansión de las nuevas aplicaciones en la nube. El equipo de seguridad en la nube de mi organización está demasiado sobrecargado para responder a las alertas que recibe. No existe una autoridad central ni una guía sobre cómo seleccionar o habilitar los controles correctos de las aplicaciones en la nube. De los encuestados coinciden en que la madurez de la seguridad en la nube de su organización no puede seguir el ritmo de la rápida expansión de las nuevas aplicaciones en la nube
  • 25. Uso compartido de archivos confidenciales DE LOS ENCUESTADOS CREEN QUE EL COMPARTIR ARCHIVOS ALMACENADOS EN LA NUBE QUE CONTIENEN DATOS DE CONFIDENCIALES ES UN PROBLEMA
  • 26. Confianza Normalmente cuando pensamos en cloud en vez de pensar en confianza , lo primero que viene en la mente es la falta de ella y todos los peligros relacionados a este modelo… Pero luego miramos hacia adentro de nuestra propia muralla o entorno y nos damos cuentas que son los mismos los factores de desconfianza que tenemos internamente. Siempre desconfiamos de lo nuevo, nos paso con la invasión del internet con la virtualización, nos paso con la masividad de los celulares y la movilidad.
  • 27. Confianza Normalmente cuando pensamos en cloud en vez de pensar en confianza , lo primero que viene en la mente es la falta de ella y todos los peligros relacionados a este modelo… Pero luego miramos hacia adentro de nuestra propia muralla o entorno y nos damos cuentas que son los mismos los factores de desconfianza que tenemos internamente. Siempre desconfiamos de lo nuevo, nos paso con la invasión del internet con la virtualización, nos paso con la masividad de los celulares y la movilidad.
  • 28. Confianza Normalmente cuando pensamos en cloud en vez de pensar en confianza , lo primero que viene en la mente es la falta de ella y todos los peligros relacionados a este modelo… Pero luego miramos hacia adentro de nuestra propia muralla o entorno y nos damos cuentas que son los mismos los factores de desconfianza que tenemos internamente. Siempre desconfiamos de lo nuevo, nos paso con la invasión del internet con la virtualización, nos paso con la masividad de los celulares y la movilidad. ¿Nuestras infraestructuras son más seguras?
  • 40. Principales Amenazas 1. Violaciones de datos 2. Configuración incorrecta y control inadecuado del cambio 3. Falta de arquitectura y estrategia de seguridad en la nube 4. Gestión insuficiente de identidades, credenciales, accesos y claves 5. Secuestro de cuentas 6. Amenaza interna 7. Interfaces y APIs inseguras 8. Plan de control débil 9. Fallas de la metraestructura y de la aplicación 10. Visibilidad limitada del uso de la nube 11. Abuso y uso nefasto de los servicios en la nube
  • 41. 1. Violaciones de datos Impacto de negocios • Ramificaciones regulatorias que pueden resultar en pérdidas financieras. • Responsabilidades contractuales y legales. • Las infracciones de datos tienen el potencial de dañar la reputación de la empresa y generar desconfianza entre los socios y clientes de la empresa. • Pérdida de propiedad intelectual • El valor de mercado de la compañía puede verse afectado por los cambios en su marca. • Los piratas informáticos pueden acceder, explotar o hacer mal uso de los datos almacenados en línea. Puntos clave y recomendaciones • Implementación de técnicas de encriptación para proteger los datos. • Perfiles estrictos de la compañía y ejecutando verificaciones de seguridad dobles sobre quien puede tener acceso a los datos protegidos. • Establecer expectativas organizacionales, definiciones y valor de los datos cargados en la nube. Definir el impacto de su pérdida en el negocio, así como en los responsables de su protección.
  • 42. 2. Configuración incorrecta y control inadecuado del cambio Impacto de negocios • El impacto generalmente depende del negocio, las operaciones y su plan de contingencia, el nivel de uso de la computación en la nube y, lo más importante, la naturaleza de la configuración incorrecta. • El principal impacto de la configuración incorrecta es la exposición de los datos almacenados en los repositorios de la nube. Puntos clave y recomendaciones • Concilie con el hecho de que los recursos basados ​​en la nube pueden ser dinámicos y complejos y, por lo tanto, difíciles de configurar. • La nube necesita un nuevo enfoque, ya que los controles y enfoques tradicionales para la gestión del cambio no funcionarán. • Los recursos basados ​​en la nube pueden ser desafiantes, complejos y no tan fáciles de entender, por lo que pueden resultar desafiantes cuando se configuran. “Competencias y capacitación”
  • 43. 3. Falta de arquitectura y estrategia de seguridad en la nube Impacto de negocios • Pérdida financiera y de productividad y daño a la reputación como resultado de ataques cibernéticos severos. • Pérdida de datos cruciales durante el tipo de migración de copiar y pegar. • Daños a la reputación, repercusiones legales y multas. Puntos clave y recomendaciones • Desarrolle un marco de arquitectura de seguridad desde cero e impleméntelo al mismo tiempo que migra a la nube. • Verifique que la arquitectura existente o su propia desarrollada se correspondan con sus objetivos comerciales. • Mantenga el modelo de amenaza actualizado todo el tiempo. • Asegúrese de que se aplique una estructura de seguridad adecuada durante todo el proceso. • Mantenga la estructura de seguridad visible todo el tiempo.
  • 44. 4. Gestión insuficiente de identidades, credenciales, accesos y claves Impacto de negocios • Una administración de credenciales, identidad o claves insuficiente puede iniciar el acceso no autorizado a los datos comerciales. • Debido al acceso no autorizado, los datos pueden estar sujetos a partes malintencionadas que pretenden ser cuerpos o individuos legítimos y, por lo tanto, ser leídos, alterados e incluso eliminados. • Los atacantes cibernéticos también pueden emitir funciones de administración, espiar datos y liberar malware que causará mucho daño, ya que parece ser de una fuente legítima. Puntos clave y recomendaciones • Use la autenticación de dos factores para proteger todas las cuentas y eliminar la cantidad de cuentas raíz en uso activo. • Implemente controles de identidad y acceso más estrictos para todos los miembros que pueden acceder a la nube. • Gire las llaves constantemente, elimine las credenciales y privilegios no utilizados, use las prácticas de administración adecuadas.
  • 45. 5. Secuestro de cuentas Impacto de negocios • Dado que el secuestro de cuenta implica un compromiso y control total de una cuenta, la lógica empresarial, la función, los datos y las aplicaciones que dependen de la cuenta pueden estar en riesgo. • Las consecuencias del secuestro de cuentas pueden ser graves. Algunos casos de incumplimiento recientes conducen a importantes interrupciones operativas y comerciales, incluida la eliminación completa de activos, datos y capacidades. • El secuestro de cuentas puede provocar fugas de datos que conducen a daños a la reputación, degradación del valor de la marca, exposición de responsabilidad legal y revelaciones confidenciales de información personal y comercial. Puntos clave y recomendaciones • El secuestro de cuentas es una amenaza que debe tomarse en serio. • La defensa en profundidad y los controles de IAM son clave para mitigar el secuestro de cuentas.
  • 46. 6. Amenaza interna Impacto de negocios •Las amenazas internas pueden resultar en la pérdida de información de propiedad y propiedad intelectual. •El tiempo de inactividad del sistema asociado con ataques de información puede afectar la productividad de la empresa. •La pérdida de datos puede reducir la confianza en los servicios de la empresa. •El manejo de incidentes de seguridad interna requiere contención, remediación, respuesta a incidentes, investigación, análisis posterior a la incidencia, escalado, monitoreo y vigilancia, todo lo cual puede agregar a la carga de trabajo y al presupuesto de seguridad de una empresa. Puntos clave y recomendaciones •Tome medidas para minimizar la negligencia interna para mitigar las consecuencias de las amenazas internas. •Brinde capacitación a sus equipos de seguridad para instalar, configurar y monitorear adecuadamente sus sistemas informáticos, redes, dispositivos móviles y dispositivos de respaldo. •Brinde capacitación a sus empleados habituales para informarles cómo manejar los riesgos de seguridad, como el phishing y la protección de los datos corporativos que llevan fuera de la empresa en computadoras portátiles y dispositivos móviles. •Audite rutinariamente los servidores en la nube y en las instalaciones, y luego corrija cualquier cambio desde la línea de base segura establecida en toda la organización. •Asegúrese de que los sistemas de seguridad de acceso privilegiado y los servidores centrales estén limitados a un número mínimo de empleados, y que estas personas incluyan solo a aquellos con la capacitación para manejar la administración de servidores informáticos de misión crítica. •Monitoree el acceso a todos los servidores de la computadora en cualquier nivel de privilegio.
  • 47. 7. Interfaces y APIs inseguras Impacto de negocios • Aunque la mayoría de los proveedores de la nube intentan integrar la seguridad en sus modelos, los clientes de la nube también deben comprender las implicaciones de seguridad. Un conjunto débil de interfaces y API expone a las organizaciones a varios problemas de seguridad relacionados con la confidencialidad, integridad, disponibilidad y responsabilidad. • Un conjunto débil de interfaces y API expone a las organizaciones a varios problemas de seguridad relacionados con la confidencialidad, integridad, disponibilidad y responsabilidad. Puntos clave y recomendaciones • Realizar una buena higiene de APIs, esto incluye la supervisión diligente de artículos como inventario, pruebas, auditorías y protecciones de actividades anormales. • Garantizar la protección adecuada de las claves API y evitar la reutilización. • Considerar el uso de marcos API estándar y abiertos (p. Ej., Open Cloud Computing Interface (OCCI) e Cloud Infrastructure Management Interface (CIMI)).
  • 48. 8. Plan de control débil Impacto de negocios • Un plan de control débil podría provocar la pérdida de datos, ya sea por robo o corrupción. También se puede incurrir en castigo reglamentario por pérdida de datos. • Con un plan de control débil, los usuarios también pueden ser incapaces de proteger sus datos y aplicaciones comerciales basados ​​en la nube. Puntos clave y recomendaciones • Los controles de seguridad adecuados proporcionados a través de un proveedor de la nube son necesarios para que los clientes de la nube puedan cumplir con sus obligaciones legales y estatutarias. • Los clientes de la nube deben realizar la debida diligencia y determinar si el servicio en la nube que pretenden utilizar posee un plan de control adecuado.
  • 49. 9. Fallas de la metraestructura y de la aplicación Impacto de negocios • Metastructure y applistructure son componentes críticos de un servicio en la nube. Las fallas relacionadas con estas características a nivel de proveedor de la nube pueden afectar severamente a todos los consumidores de servicios. Al mismo tiempo, las configuraciones incorrectas por parte del cliente podrían interrumpir al usuario financiera y operativamente. Puntos clave y recomendaciones • Los proveedores de la nube deben ofrecer visibilidad y exponer mitigaciones para contrarrestar la falta inherente de transparencia de la nube para los clientes. • Los clientes de la nube deben implementar características y controles apropiados en los diseños nativos de la nube. • Todos los proveedores de la nube deben realizar pruebas de penetración y proporcionar resultados a los clientes
  • 50. 10. Visibilidad limitada del uso de la nube Impacto de negocios • Falta de gobernanza. Cuando los empleados no están familiarizados con el acceso adecuado y los controles de gobierno, los datos corporativos confidenciales se pueden colocar en ubicaciones de acceso público frente a ubicaciones de acceso privado. • Falta de conciencia. Cuando los datos y los servicios están en uso sin el conocimiento de la empresa, no pueden controlar su IP. Eso significa que el empleado tiene los datos, no la empresa. • Falta de seguridad. Cuando un empleado configura incorrectamente un servicio en la nube, puede volverse explotable no solo para los datos que residen en él, sino también para datos futuros. Malware, botnets, malware de minería de criptomonedas y más pueden comprometer los contenedores en la nube, poner datos organizacionales, servicios y finanzas en riesgo Puntos clave y recomendaciones • La mitigación de estos riesgos comienza con el desarrollo de un esfuerzo completo de visibilidad en la nube de arriba hacia abajo. Este proceso generalmente comienza con la creación de una solución integral que se vincula con las personas, los procesos y la tecnología. • Invierta en soluciones como agentes de seguridad de acceso a la nube (CASB) o puerta de enlace definida por software (SDG) para analizar las actividades salientes y ayudar a descubrir el uso de la nube, los usuarios en riesgo y seguir el comportamiento de los empleados acreditados para identificar anomalías. • Invierta en un firewall de aplicaciones web (WAF) para analizar todas las conexiones entrantes a sus servicios en la nube en busca de tendencias sospechosas, malware, denegación de servicio distribuida (DDoS) y riesgos de Botnet. • Seleccione soluciones que estén específicamente diseñadas para monitorear y controlar todas sus aplicaciones empresariales clave en la nube (planificación de recursos empresariales, administración de capital humano, experiencia comercial y administración de la cadena de suministro) y garantizar que los comportamientos sospechosos puedan mitigarse.
  • 51. 11. Abuso y uso nefasto de los servicios en la nube Impacto de negocios • Si un atacante ha comprometido el plano de gestión de la infraestructura en la nube de un cliente, el atacante puede usar el servicio en la nube con fines ilícitos mientras el cliente paga la factura. El proyecto de ley podría ser sustancial si el atacante consumiera recursos sustanciales, como la minería de criptomonedas. • Los atacantes también pueden usar la nube para almacenar y propagar malware. Las empresas deben tener controles establecidos para hacer frente a estos nuevos vectores de ataque. Esto puede significar adquirir tecnología de seguridad que pueda monitorear la infraestructura de la nube o las llamadas API desde y hacia el servicio de la nube Puntos clave y recomendaciones • Las empresas deben monitorear a sus empleados en la nube, ya que los mecanismos tradicionales no pueden mitigar los riesgos que plantea el uso del servicio en la nube. • Emplee tecnologías de prevención de pérdida de datos en la nube (DLP) para monitorear y detener cualquier exfiltración de datos no autorizada.
  • 54.
  • 55.
  • 56. Enlaces útiles de Cloud Security Alliance (CSA) GDPR Resource Center https://gdpr.cloudsecurityalliance.org/ Cloud Controls Matrix (CCM) https://cloudsecurityalliance.org/group/cloud-controls-matrix/ Consensus Assessment Initiative Questionnaire (CAIQ) https://cloudsecurityalliance.org/group/consensus-assessments/ CSA STAR (Security, Trust and Assurance Registry), Provider Assurance Program https://cloudsecurityalliance.org/star/ CCM & STAR Training https://cloudsecurityalliance.org/education/ STARWatch https://star.watch/en Download CSA Research Artifacts https://cloudsecurityalliance.org/download
  • 57. CSA Global Consultant El Programa de consultoría global de CSA (CSA GCP) es un marco que permite a los clientes de la nube trabajar con una red de profesionales y organizaciones de seguridad de confianza que ofrecen servicios profesionales cualificados basados en las mejores prácticas de CSA. Estos proveedores tienen un amplio conocimiento de los retos a los que se enfrentan las organizaciones al pasar a la nube. Actualmente las empresas habilitadas son:
  • 58. Recuerden (CSA – CLOUD SECURITY ALLIANCE)
  • 59. Conclusion “human ingenuity could not construct a cipher which human ingenuity could not solve.”