1. Computación en la nube y
seguridad
Ing. Carlos Rubén Jacobs
carlos.jacobs@grada.com.ar
2. Computación en la nube
Características esenciales
●
Autoservicio bajo demanda
●
Acceso por red
●
Recursos compartidos por muchos clientes
●
Elasticidad rápida
●
Servicio medido
3. Computación en la nube
Modelos de servicio
●
Software como servicio (SAAS)
●
Plataforma como servicio (PAAS)
●
Infraestructura como servicio (IAAS)
●
http://cloudtaxonomy.opencrowd.com/
4. Triada de la seguridad
●
Disponibilidad
●
Confidencialidad
●
Integridad
6. Disponibilidad
Recomendaciones
●
●
●
●
Acuerdos de niveles de servicio. Si tenés un
SLA de 99,99% tenés unos 52 minutos de caida
del servicio por año
Proveedores de cloud services redundantes: de
modo que si se cae uno se usa otro
Comprar servicios en distintas regiones
Aún con servicios como los de Google y Amazon
(que tienen redundancia de datos incorporada):
hacer backups tradicionales a otro proveedor
11. La computación en la nube es
insegura
●
●
●
¿Comparada con qué?
¿Cuál es el costo de mejorar el nivel de
seguridad que ofrecen los mejores proveedores
de computación en la nube? ¿Podrías pagarlo?
El punto es si teniendo un datacenter propio
tengo más seguridad o no a un costo
comparable.
12. La computación en la nube es
insegura
●
Tu datacenter cumple con
●
●
- FISMA Moderate
●
- PCI DSS Level 1
●
- ISO 27001
●
- International Traffic in Arms Regulations
●
- FIPS 140-2
●
- HIPAA
●
●
- SOC 1/SSAE 16/ISAE 3402
- CSA
Amazon AWS cumple con todo eso
13. La computación en la nube es
insegura
●
●
¿Cuál es el nivel de servicio de tu datacenter?
¿El nivel de servicio que podés lograr es mayor
a 99,95% al mes?
●
http://aws.amazon.com/ec2-sla/
●
http://aws.amazon.com/s3-sla/
●
http://aws.amazon.com/route53/sla/
●
http://www.linode.com/faq.cfm/#what-is-your-sla
●
http://www.rackspace.com/cloud/legal/sla/
14. Recomendaciones
●
●
●
●
Comenzar a utilizar servicios de computación en la nube
para tareas no críticas que no incluya tratamiento de
datos personales
Iniciar la estrategia cloud computing mediante la adopción
de servicios de infraestructura (IaaS) y plataforma (PaaS),
modelos que permiten conservar mayor control
Inicialmente, en el escenario SaaS se recomienda apostar
por sistemas poco críticos y soluciones muy
maduras (por ejemplo, correo electrónico)
Utilizar proveedores que ofrezcan un SLA
con cláusula de penalización en caso de
incumplimiento
15. Recomendaciones
●
●
●
Utilizar proveedores que puedan demostrar que
tienen auditorias externas y cumplen standards
internacionales
SI va a tratar datos personales usar
proveedores con Datacenter en Argentina.
Siempre consultar al abogado para no
hacer cosas que vayan contra alguna ley