Descripción de servicios en Cloud Computing y principales factores referidos a la seguridad a tener en cuenta cuando se considera la migración de servicios hacia la nube
2. Sobre Segu-Info y
Cristian Borghello
Cristian Borghello, es Licenciado en Sistemas,
desarrollador, Certified Information Systems Security
Professional (CISSP) y Microsoft MVP Security (Most
Valuable Professional).
Es Director de Segu-Info y se desempeña como
consultor independiente en Seguridad de la
Información.
Segu-Info es la comunidad más grande de habla
hispana sobre Seguridad de la Información.
Brinda información libre y gratuita sobre la temática
desde el año 2000.
3. Licencia de uso
Creative Commons 2.5
Ud. puede:
Copiar, distribuir, exhibir, y ejecutar la obra
Hacer obras derivadas
Bajo las siguientes condiciones:
Atribución. Debe atribuir la obra en la forma especificada por el autor
No Comercial. No puede usar esta obra con fines comerciales
Compartir Obras Derivadas Igual. Si altera, transforma, o crea sobre
esta obra, sólo podrá distribuir la obra derivada resultante bajo una
licencia idéntica a ésta
http://creativecommons.org/licenses/by-nc-sa/2.5/ar/
5. Cloud Computing (CC)
Buzzword de moda
Nuevo modelo o
paradigma que permite
ofrecer servicios a través
de Internet (la nube)
6. Definición formal
• CC es un modelo que permite el acceso
bajo demanda a un conjunto compartido de
recursos informáticos configurables, de los
cuales se puede disponer rápidamente con
una gestión mínima de esfuerzos
• Promueve la disponibilidad y se compone
de distintas características, modelos de
servicio e implementación
Definición de Cloud Computing de NIST
http://bit.ly/d6J8pk
9. Barómetro de ISACA
• En 2010 utilizarán CC:
30% de las organizaciones en LA
25% de las organizaciones de EE.UU.
18% de las organizaciones europeas
• 41% de los profesionales de LA considera
que los riesgos de CC superan los beneficios
• 17% opina lo contrario
• 42% creen que los beneficios y los riesgos
están equilibrados
2010 ISACA IT Risk/Reward Barometer - Latin America Edition
http://bit.ly/aym1KF
10. Ventajas para el proveedor
Mayor número “Inmediatez”
de servicios del servicio
disponibles
Servicios
Ahorro en estándares y “sin
tecnología reinventar la rueda”
Mayor escalabilidad
Mayor adaptabilidad
de los servicios Unificación
ofrecidos/recibidos de sistemas
11. Ventajas para el cliente
Servicio Simplicidad de
disponible en implementación
cualquier lugar
Precios más
Integración ya flexibles
probada por la
industria Mayor
escalabilidad
Mínima cantidad de
tiempo fuera de Actualizaciones
servicio automáticas
12. Permite
centrarse en
el negocio
Menos riesgos y
ahorro de costes
e inversión
14. Arquitectura “As a Service”
IBM: Cloud Security Guidance
http://bit.ly/bDlhrf
15. Software as a Service
SaaS es la capa más alta y es una aplicación
que se ofrece como un servicio, que se
ejecuta en la infraestructura del proveedor y
es posible acceder a la aplicación desde
cualquier dispositivo y un navegador
16. Plataforma as a Service
PaaS encapsula y abstrae un ambiente de
desarrollo que contiene los lenguajes de
programación y las bases de datos. Es capaz
de brindar servicios a todas las fases del ciclo
de desarrollo de software
17. Infraestructura as a Service
IaaS entrega almacenamiento, conexiones,
poder de procesamiento y servicios de red
generalmente virtualizados para que el
cliente pueda disponer de ellos
18. Tipos de nube
Públicas: manejadas completamente por terceras
partes. El cliente no conoce qué servicios o
clientes se ejecutan en el entorno
Privadas: se ejecutan en una infraestructura a
demanda. El cliente controla el servidor, la red, el
espacio, las aplicaciones, los servicios y los
usuarios que pueden acceder
Comunitarias: son compartidas por varias
organizaciones con objetivos similares
Híbridas: combinan los modelos anteriores y
permiten configurar o escalar algunos servicios
19. “Creemos que CC representa la
plataforma para la próxima
generación de negocios”
Microsoft
“Pienso que CC es una de las
bases para la próxima
generación de computadoras”
Tim O’Reilly
20. “Hay restricciones en CC en Europa. No
va a matar el negocio, pero su evolución
será mas lenta comparada con EE.UU.”
Bob Lindsay
Director de privacidad de HP
“CC es una trampa destinada a obligar a
la gente a adquirir sistemas
propietarios, bloqueados, que costarán
más conforme pase el tiempo”
Richard Stallman
21. ¡PUFFF! Más
de lo mismo
¿No estamos siendo simplistas?
¿No olvidamos nada?
¿Son todas ventajas?
Todo lo que brilla ¿es oro?
23. Seguridad en la nube (I)
• La nube deja en manos del proveedor
la responsabilidad del almacenamiento
de datos y su control
• No se consideran la legislación, las
normas y las regulaciones
• La cadena de provisión de servicio no
es evaluada
• Los tres pilares (CID) de la Seguridad de
la Información pueden comprometerse
24. Seguridad en la nube (II)
• Existen problemas de Insiders
• Sistemas compartidos por distintos clientes
• Fallas “masivas” pueden dañar a múltiples
clientes
• Servicios compartidos son ¿vulnerabilidades
compartidas?
• Se conoce al proveedor por una interface
• No se conocen los activos del proveedor
• Riesgo del proveedor desconocido para el
cliente
25. Confidencialidad
• Verificar dónde se alojan los datos para
evitar problemas de ubicuidad legislación
internacional y geolocalización
• Conocer quién accede a la información
almacenada
• El cifrado debe realizarse en la información
almacenada, en tránsito y en backup
• Verificar si se retiene o se destruye la
información al finalizar el contrato con el
proveedor
27. Integridad
• Analizar quién puede acceder, modificar o
eliminar información del centro de datos
• Verificar si la información permanece o se
elimina logica/físicamente (remanencia)
• Posibilidad de que datos de distintos clientes
se “mezclen”
• Restore incorrecto, inconsistente o
incompleto
• Sistema de análisis de malware
29. Disponibilidad
• Los servicios no estarán disponibles 24x7
• Los proveedores ofrecen 99.999% de
disponibilidad (5,25 min./año sin servicio)
• Pueden existir ataques de DDoS (Distributed
Denial of Service)
• El servicio es SPOF (Single Point of Failure)
• Backup y restore no satisfactorio
Ej: Bitbucket (servicio provisto por EC2 de Amazon) estuvo 19
horas caído en octubre 2009
32. Virtualización
• Los riesgos asociados a CID son los mismos
que en sistemas físicos más los propios de la
virtualización
• La “mezcla” de máquinas virtuales de
diferente sensibilidad representa un riesgo
• Se debe analizar la seguridad por capas del
proveedor
33. Gestión de Riesgos
• No se conocen los activos
• No se conocen las amenazas
• Se pueden conocer algunas vulnerabilidades
(a través de la interface)
• No se puede medir el riesgo
• No se puede implementar controles y por lo
tanto se deben fortalecer las medidas
contractuales
34. El modelo de
Gestión de Riesgo
debe cambiar
Si antes no se evaluaba
el Riesgo
¿Ahora lo haremos?
35. Contratos
• Considerar la jurisdicción
• Evaluar la aplicabilidad de disposiciones
nacionales e internacionales
• Recolectar y revisar los requisitos legales y
normativos necesarios para ambas partes
• Evaluar si los términos del proveedor
cumplen los requisitos del cliente
• Estipular todo lo necesario en los SLA
(Service Level Agreement)
• Analizar el sistema de penalizaciones
36. Certificaciones y Compliance
• Los proveedores deberían contar con una
certificación de auditoría (SAS 70) al menos
• Se recomienda un SGSI y la certificación de ISO
27000 (sobre todo en servicios críticos)
• Verificar certificaciones internacionales de
continuidad de negocio como BS 25999
• Existen otras normas que pueden ser requeridas
(NIST, SOX, PCI, FISMA, HIPAA…)
• Próximamente la certificación Trusted Cloud
Initiative (13 dominios de seguridad)
38. Conclusiones (I)
• Ante la duda pensar estos servicios como
externos porque son más conocidos
(offshoring o outsourcing)
• Evaluar los contratos de servicio
• Evaluar que las políticas actuales de la
empresa coincidan con el proveedor
• Lograr la interacción entre legales y IT
• Parte de lo ahorrado debe invertirse en
examinar las capacidades del servicio de CC
39. Conclusiones (II)
• Lo importante no es el nombre (buzzword)
sino entender la transformación (revolución)
que implica el cambio
• Existen servicios que por su criticidad no
pueden ser trasladados a la nube
• Evaluar que aún no es posible garantizar el
cumplimiento normativo
• Requerir herramientas de administración
centralizadas
40. Conclusiones (III)
• Exigir el uso y aplicación de certificaciones y
estándares
• Se deben evaluar las decisiones de negocio
por sobre las decisiones del IT
• Tomar decisiones en base a la medición de
riesgos previa
41. No debemos permitir que
el “bajo” costo y la
“simplicidad” de CC no
nos permita ver la
tormenta en la nube
Analicemos los riesgos