El documento resume las iniciativas de la industria para proveer seguridad al Cloud Computing, incluyendo los esfuerzos de la Cloud Security Alliance para establecer mejores prácticas de seguridad, el Cloud Controls Matrix, la Trusted Cloud Initiative, y el trabajo del capítulo español de la CSA para estudiar el cumplimiento normativo en el Cloud en España.
1. Cloud Security Alliance:
Esfuerzos industriales para
proveer seguridad al Cloud
Dr. Jesús Luna
Investigador en Seguridad
VII Jornadas de Firma Electrónica
27-Oct-2010
2. Agenda
• ¿Qué es el Cloud Computing?
• Firma electrónica ¿as a Service?
• Principales problemas de seguridad en el Cloud.
• Iniciativas internacionales y nacionales.
• Conclusiones.
3. ¿Qué es el Cloud Computing?
• Representa un modelo donde de cómputo donde la asignación y
consumo de recursos es “bajo demanda”.
• Principales habilitadores:
– Ley de Moore: el muy bajo costo del cómputo y el almacenamiento.
– Hiperconectividad: robustos anchos de banda (heredados de la era
dotcom).
– Service Oriented Architecture (SOA)
– Escala: los grandes proveedores han creado capacidades masivas de
TIC.
• Representa un reto incluso para nuestras definiciones TIC:
¿qué son los datos?
5. Firma Electrónica ¿as a Service?
• A pesar de las ventajas del Cloud, ¿podemos
plantearnos su utilización para un servicio de
firma electrónica?
• ¿Puede dicho servicio ser “compliant” con lo
establecido en la “Ley 59/2003, del 19 de
diciembre, de Firma Electrónica”?
• ¿El Cloud introduce nuevos problemas para el
despliegue de este tipo de servicios?
6. Principales problemas de seguridad
• CSA Top Threats Research:
– Confianza: falta de transparencia en los proveedores, impactos en
la ubicación de los datos, gestión del riesgo, compliance.
– Datos: filtración, pérdida o almacenamiento en geografías “poco
amigables”.
– Software de Cloud inseguro.
– Uso malicioso de servicios Cloud.
– “Secuestro” de cuentas de usuario y servicios Cloud.
– Atacantes internos.
– Ataques específicos al Cloud (p. ej. Hipervisores).
7. ¿Cómo proveer seguridad al Cloud?
• Debe ser una responsabilidad global y compartida para los sectores
públicos y privados.
• Concientización y educación especializada.
• Estandarización y mejores prácticas.
• Certificaciones de proveedores Cloud e individuos.
• Herramientas: gestión, monitorización, métricas.
• Ecosistema integrado: TIC, seguridad, legal, auditoria, negocio.
¿Qué iniciativas globales y nacionales existen
para garantizar la utilización segura del Cloud?
8. Cloud Security Alliance: guía de mejores prácticas
Guidance > 100k downloads: cloudsecurityalliance.org/guidance
Governance and Enterprise Risk Management
Legal and Electronic Discovery
Compliance and Audit
Information Lifecycle Management
Portability and Interoperability
Security, Bus. Cont,, and Disaster Recovery
Data Center Operations
Incident Response, Notification, Remediation
Application Security
Encryption and Key Management
Identity and Access Management
Virtualization
Cloud Architecture
OperatingintheCloud
GoverningtheCloud
• Mejores prácticas para
brindar seguridad al Cloud.
• 13 dominios de interés
9. CSA: Cloud controls matrix tool
• Controles de auditoría basado
en la Guía de la CSA.
• Aplicados a IaaS, PaaS y
SaaS.
• Roles de cliente y proveedor.
• Mapeos a ISO 27001, COBIT,
PCI, HIPAA
• Enlace entre TIC y auditores.
www.cloudsecurityalliance.org/cm.html
10. CSA: Trusted Cloud Initiative
• Identidades en el Cloud seguras e interoperables.
• SaaS y PaaS integrados de forma segura con directorios
corporativos.
• Federación de identidades escalable.
• Responsabilidades para proveedores de identidad.
• Integración con estándares existentes.
• Modelos de referencia y pruebas de concepto.
• Criterios y sello de certificación.
www.cloudsecurityalliance.org/trustedcloud.html
11. ENISA: Gobierno en el Cloud
Objetivo:
Analizar y evaluar el impacto del Cloud en la seguridad de
servicios gubernamentales.
Proveer recomendaciones y mejores prácticas para los Estados
Miembros de la UE con planes de migrar al Cloud.
El estudio se basa en los escenarios siguientes:
Community Cloud para autoridades locales y regionales.
eHealth cloud.
Gov Cloud: Computing as a Service
Cloud supra-nacional (?)
12. CSA-ES: compliance en el Cloud
• ¿Cómo comprobar que un proveedor de servicios de firma en el
Cloud cumple con lo establecido en la ley?
• Tal y como lo resalta ENISA, actualmente uno de los principales
obstáculos para la adopción del Cloud en los Paises Miembros
es el “security compliance”:
– Clasificación de datos y sistemas para entender requisitos de compliance.
– Transferencias de datos entre paises.
– Derecho a auditar bajo demanda a un proveedor Cloud.
– Etc.
• Con el propósito de estudiar la temática de “security compliance
para el Cloud” en España hemos creado el capítulo español de
la CSA (CSA-ES).
13. CSA-ES: Grupos de trabajo
• Aprox. 150 miembros trabajando de forma voluntaria (desde
Mayo-2010 a la fecha).
• Participación de Universidades, Gobierno, sector privado,
organizaciones relacionadas, etc.
• Grupos de trabajo:
1. Privacidad y cumplimiento normativo.
2. SGSI y gestión de riesgos.
3. Contratación, evidencias y auditoría.
• Siguiente evento: 26-Noviembre-2010 / Barcelona.
www.cloudsecurityalliance.es
14. Conclusiones
• Cloud: Great big reset button for security.
• Es nuestra oportunidad de mejorar la seguridad.
• Uno de los mayores “show stoppers” es la seguridad.
• Un proveedor de firma electrónica en el Cloud tiene los mismos
requisitos de security compliance.
• El problema es:
1. Entender lo que significa “security compliance en el Cloud”.
2. Realizar la I+D+i necesarias para obtener dicho compliance:
• Dispositivos de firma electrónica en el Cloud.
• Compliance con CWA14169 / CWA14355.
• Etc.
• Foros como la CSA-ES permiten la participación de todos los
implicados.
15. ¡Gracias!
Si requieren mayor información o desean participar:
www.cloudsecurityalliance.es
contacto@cloudsecurityalliance.es
LinkedIn: http://www.linkedin.com/groups?gid=3072937
LinkedIn: http://es.linkedin.com/in/jlunagar
Email: jluna@bdigital.org jluna@cloudsecurityalliance.es
Twitter: @jlunagar
Notas del editor
Según el art. 24 de la Ley 59/2003: " Un dispositivo seguro de creación de firma es un dispositivo de creación de firma que ofrece, al menos, las siguientes garantías: A. Que los datos utilizados para la generación de firma pueden producirse sólo una vez y asegura razonablemente su secreto. B. Que existe una seguridad razonable de que los datos utilizados para la generación de firma no pueden ser derivados de los de verificación de firma o de la propia firma y de que la firma está protegida contra la falsificación con la tecnología existente en cada momento. C. Que los datos de creación de firma pueden ser protegidos de forma fiable por el firmante contra su utilización por terceros. D. Que el dispositivo utilizado no altera los datos o el documento que deba firmarse ni impide que éste se muestre al firmante antes del proceso de firma. " El Instituto Nacional de Técnica Aeroespacial (INTA), a través del Centro de Evaluación de la Seguridad de las Tecnologías de la Información (CESTI), evalúa las propiedades de seguridad de cualquier producto o sistema de las TIC. Se utiliza el estándar CWA 14169, "Secure signature-creation devices "EAL 4+"", de certificación de dispositivos seguros de creación de firma. Es una especificación del Comité Europeo de Normalización (CEN), y se encuentra disponible en: ftp://ftp.cenorm.be/PUBLIC/CWAs/e-Europe/eSign/cwa14169-00-2004-Mar.pdf Para implementar este tipo de dispositivos, se siguen las recomendaciones del CWA 14355, "Guidelines for the implementation of Secure Signature-Creation Devices", disponible en: ftp://ftp.cenorm.be/PUBLIC/CWAs/e-Europe/eSign/cwa14355-00-2004-Mar.pdf