Este documento describe las medidas de seguridad que proveedores de cloud y usuarios deben implementar para proteger datos e información almacenados en la nube. Explica que los proveedores usan capas de seguridad como datacenters redundantes, redes segmentadas, almacenamiento cifrado, y monitoreo constante. También recomienda que los usuarios implementen cortafuegos, detección de intrusiones, copias de seguridad, y cifrado de comunicaciones y datos para proteger información desde dentro y fuera de la nube.
2. Doble Seguridad en Cloud, desde dentro y desde fuera
Introducción
El nuevo usuario
Capas de protección del proveedor Cloud
Medidas de seguridad específicas
Ruegos y preguntas
3. Doble Seguridad en Cloud, desde dentro y desde fuera
Proveedor Cloud Usuario
Introducción
4. El nuevo usuario
Doble Seguridad en Cloud, desde dentro y desde fuera
La transformación digital viene provocada por cómo el usuario ha cambiado sus
hábitos.
Usos habituales hoy en día:
Revisar el correo desde cualquier dispositivo
Acceder a distintas aplicaciones web
Formación online
Compras por Internet
Gestión cuentas bancarias desde una aplicación web
Consultar resultados de pruebas médicas online
6. Inmediato Fiable
El nuevo usuario
Doble Seguridad en Cloud, desde dentro y desde fuera
Desde cualquier
dispositivo
Desde cualquier
lugar
En cualquier
momento
Las expectativas de los usuarios pasan por tener un acceso a los sitios web y aplicaciones:
SEGURO
7. Capas de protección del proveedor Cloud
Doble Seguridad en Cloud, desde dentro y desde fuera
Software
Capacidad de computación
Almacenamiento
Redes
Datacenter
Sistemasespecíficosdeseguridad
8. Capas de protección del proveedor Cloud
Doble Seguridad en Cloud, desde dentro y desde fuera
Datacenter
Redes
Redundancia de electricidad, climatización
y comunicaciones
Monitorización de consumo y condiciones
ambientales a nivel de rack
Software
Capacidad de computación
Almacenamiento
Redes
Datacenter
Sistemasespecíficosdeseguridad
Redundancia de caminos en todos los interfaces
Segregación a nivel físico y lógico de las redes
Aislamiento del tráfico público y privado así como del tráfico entre VMs de
distintos clientes en capa 2
Implementación de medidas para evitar spoofing de IP y MAC
Redes privadas virtuales (VPN)
9. Capas de protección del proveedor Cloud
Doble Seguridad en Cloud, desde dentro y desde fuera
Almacenamiento
Alta disponibilidad a nivel físico y lógico
Aislamiento por el espacio asignado dentro de un volumen
Rendimiento en IOPS y latencia
Almacenamiento CIFS o NFS securizado a nivel de IP de acceso y autenticación
Borrado seguro para reutilización del espacio
Software
Capacidad de computación
Almacenamiento
Redes
Datacenter
Sistemasespecíficosdeseguridad
10. Capas de protección del proveedor Cloud
Doble Seguridad en Cloud, desde dentro y desde fuera
Software
Capacidad de computación
Almacenamiento
Redes
Datacenter
Sistemasespecíficosdeseguridad
Capacidad de computación
Alta disponibilidad del equipamiento a nivel físico (alimentación, interfaces
de red, proceso y memoria, almacenamiento, etc.)
Sobresuscripción en CPU y RAM consistentes con el nivel de servicio acordado
Software
Disponibilidad de distintas
distribuciones y versiones de
sistemas operativos -> Actualización
de plantillas para mantenerlas
siempre actualizadas
Análisis y gestión de vulnerabilidades
11. Medidas de seguridad específicas
Doble Seguridad en Cloud, desde dentro y desde fuera
Herramientas que debemos considerar cuando ponemos una aplicación accesible
desde Internet:
Monitorización y alerta temprana a todos los niveles
Cortafuegos de red y de aplicación
Protección frente a código malicioso
Detección y prevención de intrusiones (IDS/IPS)
Protección frente a denegación de servicio
Copias de seguridad
Correlación y blackholing mediante gestión de información y eventos de
seguridad (SIEM)
Software
Capacidad de computación
Almacenamiento
Redes
Datacenter
Sistemasespecíficosdeseguridad
12. Medidas de seguridad específicas
Doble Seguridad en Cloud, desde dentro y desde fuera
Y además… medidas adicionales cuando se trata con datos personales de
nivel alto según el Reglamento de protección de datos (RLOPD)
Copias de seguridad y externalización de las mismas
Cifrado de datos
Registro de accesos: identificación del usuario, fecha/hora, fichero
accedido, tipo de acceso
Cifrado de comunicaciones