XIII Encuentro de Ciberseguridad 5/12/2019 Hotel NH City
Beneficios, riesgos y recomendaciones en Cloud
Luciano Moreira / Cristian Ibiri
CLOUD SECURITY ALLIANCE
3. Cloud Security Alliance - CSA
• 95,000 + MIEMBROS INDIVIDUALES
• 100+ CAPÍTULOS
• 30+ GRUPOS DE TRABAJO ACTIVOS
• 400+ MIEMBROS CORPORATIVOS
"Promover el uso de las mejores prácticas para garantizar la seguridad en la nube
Informática, y proporcionar educación sobre la de Cloud Computing para ayudar a proteger
todas las otras formas de computación".
FUNDADO EN 2009
https://cloudsecurityalliance.org/
4. INTRODUCCIÓN
Las tecnologías “Cloud Native” empoderan a
las organizaciones para construir y correr
aplicaciones escalables en ambientes
dinámicos modernos, como lo son hoy las
nubes públicas, privadas o hibridas. Temas
como contenedores, colas de servicios,
microservicios, infraestructura inmutable y
APIs declarativas son ejemplos de este
enfoque.
Estas técnicas permiten crear sistemas de bajo
acoplamiento que son resilentes,
administrables y observables, esto combinado
con técnicas de automatización robusta les
permite a los ingenieros realizar cambios de
alto impacto de manera frecuente y
predecible con un mínimo esfuerzo.
La "Cloud Native Computing Foundation,
Cloud Security Alliance y otras organizaciones”
buscan impulsar la adopción de este
paradigma mediante el fomento y
mantenimiento de un ecosistema de
proyectos de código abierto y neutro con
respecto a los proveedores. Democratizamos
los patrones modernos para que estas
innovaciones sean accesibles para todos.
De la Virtualization al Cloud Native
5. Servidores no virtualizados: Sun (2000)
• Lanzar una nueva aplicación? Comprar un nuevo servidor;
o un par de ellos!
• El componente básico de tu aplicación son los servidores
físicos.
2000
Non-
Virtualized
Hardware
6. Virtualizacion: VMWare (2001)
•Lanzamientos para el mercado de servidores en 2001
•Se volvieron populares las maquinas virtuales(VMs)
•Ejecuta muchas máquinas virtuales en una máquina
física, lo que significa que podes comprar menos
servidores!
2000 2001
Non-
Virtualized
Hardware
Virtualiza-
tion
7. IaaS: AWS (2006)
•Amazon Web Services (AWS) crea el mercado de
infraestructura como servicio al lanzar Elastic Compute
Cloud (EC2) en 2006
•Rentar Servidores por hora
•Convertir CapEx a OpEx
2000 2001 2006
Virtualiza-
tion
Non-
Virtualized
Hardware
IaaS
8. PaaS: Heroku (2009)
• Heroku populariza Platform-as-a-Service (PaaS) con su
lanzamiento en 2009
• Building block es un buildpack que permite aplicaciones en
contenedores
PaaSIaaS
2000 2001 2006 2009
Virtualiza-
tion
Non-
Virtualized
Hardware
9. Open Source IaaS: OpenStack (2010)
• OpenStack reúne a un grupo extraordinariamente diverso de
proveedores para crear una Infraestructura como Servicio de
código abierto (IaaS)
• Compite con AWS y VMWare
• El bloque de construcción sigue siendo una VM
Open
Source
IaaS
PaaS
2000 2001 2006 2009 2010
Non-
Virtualized
Hardware
Virtualiza-
tion
IaaS
10. Open Source PaaS: Cloud Foundry (2011)
• Pivotal crea una alternativa de código abierto para el
PaaS de Heroku y lanza la Fundación Cloud Foundry a
finales de 2014
• El bloque de construcción son los contenedores
Garden, que pueden contener paquetes de
construcción Heroku, contenedores Docker e incluso
sistemas operativos que no son Linux
Open
Source
IaaS
PaaS
Open
Source
PaaS
2000 2001 2006 2009 2010 2011
Non-
Virtualized
Hardware
Virtualiza-
tion
IaaS
11. Containers
Containers: Docker (2013)
• Docker combina LXC, Union File System y cgroups para
crear un estándar de contenerizacion adoptado por
millones de desarrolladores de todo el mundo.
• La incorporación más rápida de una tecnología de
desarrollo.
• Permite el aislamiento, la reutilización y la inmutabilidad.
Open
Source
IaaS
PaaS
Open
Source
PaaS
2000 2001 2006 2009 2010 2011
Non-
Virtualized
Hardware
2013
Virtualiza-
tion
IaaS
12. Containers
Cloud
Native
Cloud Native: CNCF (2015)
• La computación nativa en la nube utiliza una pila de
software de código abierto para:
• segmentar aplicaciones en microservicios,
– empacar cada parte en su propio contenedor
– orquestar dinámicamente esos contenedores para
optimizar la utilización de los recursos
Open
Source
IaaS
PaaS
Open
Source
PaaS
Virtualiza-
tion
2000 2001 2006 2009 2010 2011
Non-
Virtualized
Hardware
2013 2015
IaaS
13. Kubernetes en tendencias de búsqueda
WeChat
Kubernetes OpenStack
June-19 July-19 Aug-19 Sept-19
Google Trends
Kubernetes OpenStack Mesos Docker Swarm Cloud Foundry
16. Beneficios de Cloud Native
Evitar el bloqueo de proveedores
La pila de software de código abierto permite la implementación
en cualquier nube pública, privada o híbrida
Habilitar escalabilidad ilimitada
Escala desde varios nodos en su computadora portátil a decenas
de miles de nodos multiinquilinos autorreparables
Aumenta la agilidad y la mantenibilidad
Al dividir las aplicaciones en microservicios con dependencias
descritas explícitamente
Lograr Resilencia
A fallas de contenedores individuales, máquinas e incluso centros
de datos y a diferentes niveles de demanda
Mejorar la eficiencia y la utilización de recursos
A través de un proceso central de orquestación que gestiona y
programa dinámicamente microservicios
22. CSA & Symantec Cloud Security
Threat Report (CSTR)
Perceptions
Reality
Surveyed 1250 IT Decision
Makers / Across 11 Countries
23. Hallazgos Principales
Las empresas han llegado a un punto de inflexión
Symantec Cloud Security - research results
EL 53% DE LAS CARGAS DE TRABAJO ESTÁN EN LA NUBE
EL 54% DICE QUE SU SEGURIDAD EN LA NUBE NO PUEDE MANTENER EL RITMO
¿Las razones principales?
La confianza es baja:
EL 69% CREE QUE SUS DATOS YA ESTÁN A LA VENTA
EN LA WEB OSCURA.
Personal de TI sobrecargado:
EL 25% DE LAS ALERTAS DE SEGURIDAD EN LA NUBE NO
SON ATENDIDAS.
Prácticas de seguridad inmaduras:
3/4 EXPERIMENTARON UN INCIDENTE DEBIDO A LA
FALTA DE CONFIGURACIÓN, SIN USAR 2FA, DLP O
CIFRADO
Comportamiento arriesgado del usuario final:
1/3 DE LOS DATOS EN LA NUBE NO DEBERÍA
ESTAR ALLÍ.
24. Lucha para mantenerse al día con la nube
Es cada vez más compleja infraestructura de nube de
mi organización nos está abriendo a una gran
cantidad de nuevas amenazas
La madurez de la seguridad en la nube de mi
organización no puede seguir el ritmo de la rápida
expansión de las nuevas aplicaciones en la nube.
El equipo de seguridad en la nube de mi
organización está demasiado sobrecargado para
responder a las alertas que recibe.
No existe una autoridad central ni una guía sobre
cómo seleccionar o habilitar los controles correctos
de las aplicaciones en la nube.
De los encuestados coinciden en que la
madurez de la seguridad en la nube de su
organización no puede seguir el ritmo de la
rápida expansión de las nuevas aplicaciones
en la nube
25. Uso compartido de archivos confidenciales
DE LOS ENCUESTADOS CREEN QUE EL
COMPARTIR ARCHIVOS ALMACENADOS
EN LA NUBE QUE CONTIENEN DATOS DE
CONFIDENCIALES ES UN PROBLEMA
26. Confianza
Normalmente cuando pensamos en cloud en vez de pensar en
confianza , lo primero que viene en la mente es la falta de ella y
todos los peligros relacionados a este modelo…
Pero luego miramos hacia adentro de nuestra propia muralla o
entorno y nos damos cuentas que son los mismos los factores de
desconfianza que tenemos internamente. Siempre desconfiamos de lo
nuevo, nos paso con la invasión del internet con la virtualización, nos
paso con la masividad de los celulares y la movilidad.
27. Confianza
Normalmente cuando pensamos en cloud en vez de pensar en
confianza , lo primero que viene en la mente es la falta de ella y
todos los peligros relacionados a este modelo…
Pero luego miramos hacia adentro de nuestra propia muralla o
entorno y nos damos cuentas que son los mismos los factores de
desconfianza que tenemos internamente. Siempre desconfiamos de lo
nuevo, nos paso con la invasión del internet con la virtualización, nos
paso con la masividad de los celulares y la movilidad.
28. Confianza
Normalmente cuando pensamos en cloud en vez de pensar en
confianza , lo primero que viene en la mente es la falta de ella y
todos los peligros relacionados a este modelo…
Pero luego miramos hacia adentro de nuestra propia muralla o
entorno y nos damos cuentas que son los mismos los factores de
desconfianza que tenemos internamente. Siempre desconfiamos de lo
nuevo, nos paso con la invasión del internet con la virtualización, nos
paso con la masividad de los celulares y la movilidad.
¿Nuestras
infraestructuras
son más
seguras?
40. Principales Amenazas
1. Violaciones de datos
2. Configuración incorrecta y control inadecuado del cambio
3. Falta de arquitectura y estrategia de seguridad en la nube
4. Gestión insuficiente de identidades, credenciales, accesos y claves
5. Secuestro de cuentas
6. Amenaza interna
7. Interfaces y APIs inseguras
8. Plan de control débil
9. Fallas de la metraestructura y de la aplicación
10. Visibilidad limitada del uso de la nube
11. Abuso y uso nefasto de los servicios en la nube
41. 1. Violaciones de datos
Impacto de negocios
• Ramificaciones regulatorias que pueden
resultar en pérdidas financieras.
• Responsabilidades contractuales y legales.
• Las infracciones de datos tienen el potencial
de dañar la reputación de la empresa y
generar desconfianza entre los socios y
clientes de la empresa.
• Pérdida de propiedad intelectual
• El valor de mercado de la compañía puede
verse afectado por los cambios en su marca.
• Los piratas informáticos pueden acceder,
explotar o hacer mal uso de los datos
almacenados en línea.
Puntos clave y recomendaciones
• Implementación de técnicas de encriptación
para proteger los datos.
• Perfiles estrictos de la compañía y
ejecutando verificaciones de seguridad
dobles sobre quien puede tener acceso a los
datos protegidos.
• Establecer expectativas organizacionales,
definiciones y valor de los datos cargados en
la nube. Definir el impacto de su pérdida en
el negocio, así como en los responsables de
su protección.
42. 2. Configuración incorrecta y control
inadecuado del cambio
Impacto de negocios
• El impacto generalmente depende del
negocio, las operaciones y su plan de
contingencia, el nivel de uso de la
computación en la nube y, lo más
importante, la naturaleza de la
configuración incorrecta.
• El principal impacto de la configuración
incorrecta es la exposición de los datos
almacenados en los repositorios de la
nube.
Puntos clave y recomendaciones
• Concilie con el hecho de que los recursos
basados en la nube pueden ser dinámicos
y complejos y, por lo tanto, difíciles de
configurar.
• La nube necesita un nuevo enfoque, ya
que los controles y enfoques tradicionales
para la gestión del cambio no funcionarán.
• Los recursos basados en la nube pueden
ser desafiantes, complejos y no tan fáciles
de entender, por lo que pueden resultar
desafiantes cuando se configuran.
“Competencias y capacitación”
43. 3. Falta de arquitectura y estrategia de
seguridad en la nube
Impacto de negocios
• Pérdida financiera y de productividad y
daño a la reputación como resultado de
ataques cibernéticos severos.
• Pérdida de datos cruciales durante el
tipo de migración de copiar y pegar.
• Daños a la reputación, repercusiones
legales y multas.
Puntos clave y recomendaciones
• Desarrolle un marco de arquitectura de
seguridad desde cero e impleméntelo al
mismo tiempo que migra a la nube.
• Verifique que la arquitectura existente o
su propia desarrollada se correspondan
con sus objetivos comerciales.
• Mantenga el modelo de amenaza
actualizado todo el tiempo.
• Asegúrese de que se aplique una
estructura de seguridad adecuada
durante todo el proceso.
• Mantenga la estructura de seguridad
visible todo el tiempo.
44. 4. Gestión insuficiente de identidades,
credenciales, accesos y claves
Impacto de negocios
• Una administración de credenciales,
identidad o claves insuficiente puede iniciar el
acceso no autorizado a los datos comerciales.
• Debido al acceso no autorizado, los datos
pueden estar sujetos a partes
malintencionadas que pretenden ser cuerpos
o individuos legítimos y, por lo tanto, ser
leídos, alterados e incluso eliminados.
• Los atacantes cibernéticos también pueden
emitir funciones de administración, espiar
datos y liberar malware que causará mucho
daño, ya que parece ser de una fuente
legítima.
Puntos clave y recomendaciones
• Use la autenticación de dos factores para
proteger todas las cuentas y eliminar la
cantidad de cuentas raíz en uso activo.
• Implemente controles de identidad y acceso
más estrictos para todos los miembros que
pueden acceder a la nube.
• Gire las llaves constantemente, elimine las
credenciales y privilegios no utilizados, use las
prácticas de administración adecuadas.
45. 5. Secuestro de cuentas
Impacto de negocios
• Dado que el secuestro de cuenta implica un
compromiso y control total de una cuenta, la
lógica empresarial, la función, los datos y las
aplicaciones que dependen de la cuenta pueden
estar en riesgo.
• Las consecuencias del secuestro de cuentas pueden
ser graves. Algunos casos de incumplimiento
recientes conducen a importantes interrupciones
operativas y comerciales, incluida la eliminación
completa de activos, datos y capacidades.
• El secuestro de cuentas puede provocar fugas de
datos que conducen a daños a la reputación,
degradación del valor de la marca, exposición de
responsabilidad legal y revelaciones confidenciales
de información personal y comercial.
Puntos clave y recomendaciones
• El secuestro de cuentas es una amenaza que debe
tomarse en serio.
• La defensa en profundidad y los controles de IAM
son clave para mitigar el secuestro de cuentas.
46. 6. Amenaza interna
Impacto de negocios
•Las amenazas internas pueden resultar en la pérdida de
información de propiedad y propiedad intelectual.
•El tiempo de inactividad del sistema asociado con ataques de
información puede afectar la productividad de la empresa.
•La pérdida de datos puede reducir la confianza en los servicios
de la empresa.
•El manejo de incidentes de seguridad interna requiere
contención, remediación, respuesta a incidentes, investigación,
análisis posterior a la incidencia, escalado, monitoreo y
vigilancia, todo lo cual puede agregar a la carga de trabajo y al
presupuesto de seguridad de una empresa.
Puntos clave y recomendaciones
•Tome medidas para minimizar la negligencia interna para
mitigar las consecuencias de las amenazas internas.
•Brinde capacitación a sus equipos de seguridad para instalar,
configurar y monitorear adecuadamente sus sistemas
informáticos, redes, dispositivos móviles y dispositivos de
respaldo.
•Brinde capacitación a sus empleados habituales para
informarles cómo manejar los riesgos de seguridad, como el
phishing y la protección de los datos corporativos que llevan
fuera de la empresa en computadoras portátiles y dispositivos
móviles.
•Audite rutinariamente los servidores en la nube y en las
instalaciones, y luego corrija cualquier cambio desde la línea de
base segura establecida en toda la organización.
•Asegúrese de que los sistemas de seguridad de acceso
privilegiado y los servidores centrales estén limitados a un
número mínimo de empleados, y que estas personas incluyan
solo a aquellos con la capacitación para manejar la
administración de servidores informáticos de misión crítica.
•Monitoree el acceso a todos los servidores de la computadora
en cualquier nivel de privilegio.
47. 7. Interfaces y APIs inseguras
Impacto de negocios
• Aunque la mayoría de los proveedores de la
nube intentan integrar la seguridad en sus
modelos, los clientes de la nube también
deben comprender las implicaciones de
seguridad. Un conjunto débil de interfaces y
API expone a las organizaciones a varios
problemas de seguridad relacionados con la
confidencialidad, integridad, disponibilidad y
responsabilidad.
• Un conjunto débil de interfaces y API expone
a las organizaciones a varios problemas de
seguridad relacionados con la
confidencialidad, integridad, disponibilidad y
responsabilidad.
Puntos clave y recomendaciones
• Realizar una buena higiene de APIs, esto
incluye la supervisión diligente de artículos
como inventario, pruebas, auditorías y
protecciones de actividades anormales.
• Garantizar la protección adecuada de las
claves API y evitar la reutilización.
• Considerar el uso de marcos API estándar y
abiertos (p. Ej., Open Cloud Computing
Interface (OCCI) e Cloud Infrastructure
Management Interface (CIMI)).
48. 8. Plan de control débil
Impacto de negocios
• Un plan de control débil podría
provocar la pérdida de datos, ya sea
por robo o corrupción. También se
puede incurrir en castigo
reglamentario por pérdida de datos.
• Con un plan de control débil, los
usuarios también pueden ser
incapaces de proteger sus datos y
aplicaciones comerciales basados en
la nube.
Puntos clave y recomendaciones
• Los controles de seguridad
adecuados proporcionados a través
de un proveedor de la nube son
necesarios para que los clientes de la
nube puedan cumplir con sus
obligaciones legales y estatutarias.
• Los clientes de la nube deben
realizar la debida diligencia y
determinar si el servicio en la nube
que pretenden utilizar posee un plan
de control adecuado.
49. 9. Fallas de la metraestructura y de la aplicación
Impacto de negocios
• Metastructure y applistructure son
componentes críticos de un servicio en
la nube. Las fallas relacionadas con estas
características a nivel de proveedor de la
nube pueden afectar severamente a
todos los consumidores de servicios. Al
mismo tiempo, las configuraciones
incorrectas por parte del cliente podrían
interrumpir al usuario financiera y
operativamente.
Puntos clave y recomendaciones
• Los proveedores de la nube deben
ofrecer visibilidad y exponer
mitigaciones para contrarrestar la falta
inherente de transparencia de la nube
para los clientes.
• Los clientes de la nube deben
implementar características y controles
apropiados en los diseños nativos de la
nube.
• Todos los proveedores de la nube deben
realizar pruebas de penetración y
proporcionar resultados a los clientes
50. 10. Visibilidad limitada del uso de la nube
Impacto de negocios
• Falta de gobernanza. Cuando los empleados no están familiarizados
con el acceso adecuado y los controles de gobierno, los datos
corporativos confidenciales se pueden colocar en ubicaciones de
acceso público frente a ubicaciones de acceso privado.
• Falta de conciencia. Cuando los datos y los servicios están en uso sin
el conocimiento de la empresa, no pueden controlar su IP. Eso
significa que el empleado tiene los datos, no la empresa.
• Falta de seguridad. Cuando un empleado configura incorrectamente
un servicio en la nube, puede volverse explotable no solo para los
datos que residen en él, sino también para datos futuros. Malware,
botnets, malware de minería de criptomonedas y más pueden
comprometer los contenedores en la nube, poner datos
organizacionales, servicios y finanzas en riesgo
Puntos clave y recomendaciones
• La mitigación de estos riesgos comienza con el desarrollo de un
esfuerzo completo de visibilidad en la nube de arriba hacia
abajo. Este proceso generalmente comienza con la creación de una
solución integral que se vincula con las personas, los procesos y la
tecnología.
• Invierta en soluciones como agentes de seguridad de acceso a la
nube (CASB) o puerta de enlace definida por software (SDG) para
analizar las actividades salientes y ayudar a descubrir el uso de la
nube, los usuarios en riesgo y seguir el comportamiento de los
empleados acreditados para identificar anomalías.
• Invierta en un firewall de aplicaciones web (WAF) para analizar todas
las conexiones entrantes a sus servicios en la nube en busca de
tendencias sospechosas, malware, denegación de servicio distribuida
(DDoS) y riesgos de Botnet.
• Seleccione soluciones que estén específicamente diseñadas para
monitorear y controlar todas sus aplicaciones empresariales clave en
la nube (planificación de recursos empresariales, administración de
capital humano, experiencia comercial y administración de la cadena
de suministro) y garantizar que los comportamientos sospechosos
puedan mitigarse.
51. 11. Abuso y uso nefasto de los servicios
en la nube
Impacto de negocios
• Si un atacante ha comprometido el plano de
gestión de la infraestructura en la nube de un
cliente, el atacante puede usar el servicio en la
nube con fines ilícitos mientras el cliente paga la
factura. El proyecto de ley podría ser sustancial
si el atacante consumiera recursos sustanciales,
como la minería de criptomonedas.
• Los atacantes también pueden usar la nube para
almacenar y propagar malware. Las empresas
deben tener controles establecidos para hacer
frente a estos nuevos vectores de ataque. Esto
puede significar adquirir tecnología de
seguridad que pueda monitorear la
infraestructura de la nube o las llamadas API
desde y hacia el servicio de la nube
Puntos clave y recomendaciones
• Las empresas deben monitorear a sus
empleados en la nube, ya que los mecanismos
tradicionales no pueden mitigar los riesgos que
plantea el uso del servicio en la nube.
• Emplee tecnologías de prevención de pérdida de
datos en la nube (DLP) para monitorear y
detener cualquier exfiltración de datos no
autorizada.
56. Enlaces útiles de Cloud Security Alliance (CSA)
GDPR Resource Center
https://gdpr.cloudsecurityalliance.org/
Cloud Controls Matrix (CCM)
https://cloudsecurityalliance.org/group/cloud-controls-matrix/
Consensus Assessment Initiative Questionnaire (CAIQ)
https://cloudsecurityalliance.org/group/consensus-assessments/
CSA STAR (Security, Trust and Assurance Registry),
Provider Assurance Program
https://cloudsecurityalliance.org/star/
CCM & STAR Training
https://cloudsecurityalliance.org/education/
STARWatch
https://star.watch/en
Download CSA Research Artifacts
https://cloudsecurityalliance.org/download
57. CSA Global Consultant
El Programa de consultoría global de CSA (CSA GCP) es un marco que permite a los clientes de la nube trabajar
con una red de profesionales y organizaciones de seguridad de confianza que ofrecen servicios profesionales
cualificados basados en las mejores prácticas de CSA. Estos proveedores tienen un amplio conocimiento de los
retos a los que se enfrentan las organizaciones al pasar a la nube.
Actualmente las empresas habilitadas son: