La seguridad sigue siendo hoy en día una de las principales preocupaciones a la hora de dar el salto a la nube. Los clientes sienten una preocupación razonable a la hora de pensar en poner su activo más crítico -los datos- en manos de terceros. Entre las principales amenazas de seguridad en el cloud se encuentra la fuga de datos críticos, sobre todo debido a deficiencias en la configuración y gestión.
Oracle Cloud Infrastructure (OCI) es un referente en el mercado gracias, entre otros aspectos, a su estrategia de seguridad y disponibilidad de activos críticos. En este webinar conoceremos las medidas de seguridad que Oracle pone a disposición de las empresas y cómo desde avanttic podemos facilitar una transición y permanencia en la nube sin fisuras, garantizando la seguridad, disponibilidad y aislamiento.
#avanttic_webinar: Seguridad en Oracle Cloud Infrastructure
1. Seguridad en la nube
Julio 2021
Xavier Martorell
Gerente de cuentas
Xavier.martorell@avanttic.com
Webinar
2. Agenda
Webinar - Seguridad en la nube 2
•Introducción
¿Es un mito hablar de seguridad en la nube?
•Requisitos para una transición segura hacia la nube
Modelo de responsabilidad compartida
•Oracle Cloud Infrastructure (OCI)
Seguridad en el ADN
•Turno de preguntas
4. 4
Principales riesgos de seguridad en la nube
Específicos del CPD
• Brechas en la gestión
• Recursos exhaustos
• Fallos de aislamiento de vecinos
• Borrado de datos inadecuado
• Conflictos en recursos compartidos
• Software usado por el CPD
Generales
• Punto de fallo único
• Falta de conocimiento y expertos
• Perdida control de riesgos IT
Legales
• Protección de datos
• Jurisdicción
• Ley a la fuerza
• Licenciamiento
De Organización y de políticas
• Dependencias de proveedor
• Perdida de gobierno y control
• Riesgos en el cumplimiento
• Falla del proveedor
Webinar - Seguridad en la nube
5. Webinar - Seguridad en la nube 5
Es interesante observar que…
Confianza en la seguridad en la nube
INFORME DE SEGURIDAD CLOUD (ISC)2 2020 - https://www.cybersecurity-insiders.com/portfolio/2020-cloud-secuity-report-isc2/
Un 94% (vs 83% en
2019) de profesionales de
Seguridad TI preocupados
por la seguridad de la
nube pública.
6. Webinar - Seguridad en la nube 6
Sin embargo, cuando se pregunta sobre incidentes..
Confianza en la seguridad en la nube
¿Ha experimentado un
incidente de seguridad
relacionado con la nube
en los últimos 12 meses?
INFORME DE SEGURIDAD CLOUD (ISC)2 2020 - https://www.cybersecurity-insiders.com/portfolio/2020-cloud-secuity-report-isc2/
7. Webinar - Seguridad en la nube 7
Entonces...
Confianza en la seguridad en la nube
¿Realidad o mito?
8. Top 6 de incidencias de seguridad en la nube:
1. Brechas en datos
2. Fallos de configuración y control de cambios
3. Falta de Estrategia de Seguridad Cloud
4. Mala gestión de identidades y accesos
5. Robo de cuentas de usuario
6. Ataques desde dentro
Webinar - Seguridad en la nube 8
Toca cuidarse de puertas a dentro
La realidad
LAS 11 PRINCIPALES AMENAZAS EN LA NUBE SEGÚN CSA 2020 - https://cloudsecurityalliance.org/artifacts/top-threats-egregious-11-deep-dive/
9. Webinar - Seguridad en la nube 9
Más que nunca hay que tenerlo claro
Modelo de responsabilidad compartida
Hasta 2025,
• El 90% de empresas que no controlen el uso de
la nube pública tendrán brechas de seguridad.
• El 99% de los fallos de seguridad en la nube
serán culpa del cliente.
Seg de la Información
GRC
Datos
Aplicación
Runtime
Middleware
Base de Datos
Sistema Operativo
Virtualización
Servidor
Almacenamiento
Red
Cenro de Datos
Físifo
PaaS
SaaS
IaaS
Responsabilidad
Cliente
Oracle
¿ES LA NUBE SEGURA?. GARTNER 2019 https://www.gartner.com/smarterwithgartner/is-the-cloud-secure/
10. Webinar - Seguridad en la nube 10
Nuevas tecnologías, pandemias, social media,..
Además, hoy TODO SE ACELERA
The State of Cloud Security 2020 – Fugue
NSA report Mitigating Cloud Vulnerabilities Jan 2020
IoT
Trabajo en remoto
Más dispositivos conectados
Más vías de acceso a datos
Aumento de datos a gestionar
11. Webinar - Seguridad en la nube 11
Necesitamos políticas de Seguridad por defecto
• Seguridad como variable de negocio
• La seguridad por defecto: Ahorro en costes
• Prevención de multas y sanciones
• Asegurar cumplimiento normativo
• Normativa legal e interna de protección de datos
• Requerimientos en pago con tarjeta donde aplique
• Responsabilidad en accesos a datos sensibles
• Administradores no necesitan acceder a datos sensibles
• Mitigar error humano
• Protección de la imagen de marca
• Mala prensa sobre posibles riesgos de seguridad
• Evitar descontento de socios e inversores
12. Webinar - Seguridad en la nube 12
La seguridad por diseño y por defecto
Seguridad en Oracle Cloud
Infrastructure
13. Webinar - Seguridad en la nube 13
Más de 40 años de experiencia
Oracle tiene la seguridad en el ADN
Primer cliente: la CIA
1977 2019
Introducción en el mercado
de CASB
Introducción en el
mercado de IAM
Funciones de
seguridad y auditoría
de la base de datos
Introducción en
el mercado de
seguridad de
DNS
Introducción en el
mercado de WAF
Primeras evaluaciones de
seguridad independientes
del sector
15 evaluaciones de
seguridad independientes:
indestructibles
Protección del DBS
comercial Oracle 7
Gestor de controles
internos SOX
Evaluación de base de datos
más segura y fiable
Inicio de OCI,
aislamiento seguro
Inicio de Fusion
Applications
14. Webinar - Seguridad en la nube 14
Desarrollando la confianza digital protegiendo activos críticos del negocio
OCI diseñado con seguridad máxima por defecto
• Diseño seguro por capas
• Controles de seguridad automáticos siempre disponibles
• Auto-protección y respuesta automatizada
• Amplia experiencia en protección de datos global
15. Los 7 pilares de una plataforma en la nube de confianza para la empresa
Seguridad OCI gen2
Aislamiento de clientes
• Transparencia en procesos y controles
de seguridad internos
• Auditorías y certificaciones de
terceros
• Prueba de penetración de clientes y
escaneo de vulnerabilidades
• Cumplimiento demostrado
1
Cifrado de datos
2
Controles de Seguridad
3
Visibilidad
4
Nube Híbrida Segura
5
Alta Disponibilidad y resiliencia
6
Infraestructura segura verificable
7
15
Webinar - Seguridad en la nube
16. Innovación y diseño continuo de seguridad Cloud en cada capa
Oracle Cloud Infrastructure Gen2 – Más allá de la defensa en profundidad
Propietario
Física
en la nube
dedicado
Sistema operativo
Base de datos
Plataforma
Storage
Acceso basado en roles
Controles de acceso globales
Residencia de datos local
Expertos en seguridad de Oracle disponibles de forma
ininterrumpida
Sistemas de doble puerta para el centro de datos,
identificadores biométricos, etc.
Copia de seguridad y redundancia; regiones de centros
de datos en todo el mundo
Webinar - Seguridad en la nube 16
17. Defensa en profundidad en infraestructura de Oracle Cloud
Internet
Datos
Instancia
Redes Virtuales
Monitorización
Frontera
• PoP globales
• Protección DDoS
• Seguridad DNS
• Protección WAF
• Seguridad de terceros
✔ FW
✔ NGFW
✔ IPS
• Monitorización de
usuario y configuración
• Inicio sesión
• Cumplimiento
• Segmentación de
interfaz
• Listas de seguridad
• Redes privadas
• Acceso a Bastión
• Balanceo de carga
SSL
• FastConnect (directo)
• FastConnect
(Operador)
• VPN IPSec
• Aislamiento de
inquilinos
• Imágenes
“endurecidas”
• vTAP
• Entropía de hardware
• SSH Keys
• Certificados
• Tarjeta de raíz de
confianza
• Firmware firmado
• Módulos de
seguridad de
hardware
• Cifrado en origen
✔ TDE
✔ DataGuard
• Cifrado en tránsito
✔ SSL / TLS
✔ NNE
• Claves
✔ Claves
administradas
✔ Claves
personalizadas
✔ Gestión del Vault
• Federación de identidad
• Política basada en roles
• Compartimentos y etiquetado
• Directores de instancia
Identidad
Webinar - Seguridad en la nube 17
18. Todas las ventajas de IaaS, PaaS y SaaS más:
Multi-inquilino antiguo
(mixto)
Aislamiento de
datos seguro
•Su propia base de datos; más
seguridad, menos riesgo
•Rendimiento fiable, sin límites
•Controles de acceso unificados
globales
•Regiones globales de centros de datos
Recursos compartidos donde sea relevante, aislados donde no lo sea
Oracle Cloud Infrastructure Gen2 - Arquitectura de aislamiento de datos
Webinar - Seguridad en la nube 18
19. 19
Se comparten Servidores con códigos comunes de usuario y control
Seguridad en proveedores Cloud de 1ª Generación
Webinar - Seguridad en la nube
Intel CPU
CPU, Memoria, Disco
Code Usr + Cod de Control
Cloud
Puertos Red
Red del
Cliente
Red del
Cliente
Red del
Cliente
Ordenador
compartido
• Vulnerabilidades de control compartido
en la nube
• El proveedor de la nube puede ver los datos del
cliente
• El código de usuario puede acceder al código de
gestión de la nube
20. 20
Servidores de perímetro de control sin código de usuario
Oracle Cloud Infrastructure Gen2 - Arquitectura de aislamiento de datos
• Red de control perimetral separada para
servidores
• Oracle no puede ver los datos del cliente
• Sin acceso de usuario al servidor o código de
control perimetral
Tu Red
Intel CPU
RAM & Discos Flash
Puerto de Red
CPU No-Intel
RAM & Discos Flash
Código de usuario
Servidor de control de perímetro
Servidores de cliente dedicados
Webinar - Seguridad en la nube
21. 21
Oracle Cloud Infrastructure Gen2 - Arquitectura de aislamiento de datos
Las amenazas no pueden entrar Las amenazas no pueden extenderse
Recursos
Externos
Cliente 1 Cliente 2 Cliente 3 Cliente 4
Control de Frontera
Webinar - Seguridad en la nube
22. 22
Oracle Cloud Infrastructure Gen2 - Arquitectura de aislamiento de datos
Servidores Control
de Perímetro
Zona Aislada para Inquilino X
Servidores Control
de Perímetro
Zona Aislada para Inquilino Y
Oracle Cloud Infrastructure
• Los servidores dedicados dentro de la zona de
aislamiento ejecutan las máquinas virtuales y
bases de datos del inquilino
• Los servidores dedicados protegen de las
vulnerabilidades de seguridad en VM, el sistema
operativo y otros niveles de software
• Los Servidores de control de perímetro filtran
todos los paquetes de red entrantes
• Equipos de control perimetral no visibles en la red
• Inmune a software y ataques de día cero
Webinar - Seguridad en la nube
23. 23
Control avanzado: defensa exhaustiva y profunda
AD1
AD2
AD3
Región de OCI
Redes virtuales
en la nube
IGW
WAF con
detección
proactiva
de
amenazas
Protección
DDoS
automatizada
DNS
autoritativo
con
inteligenci
a
de Internet
FastConne
ct
con opción
IPSec
VPN
IPSec
Firewalls
virtuales
de nivel
de subred
Clod
Guard
Service
▪ vFirewalls: entrada/salida de control de acceso
▪ Ataques distribuidos de denegación de servicio (DDoS): protección frente a ataques en el nivel de red
▪ Firewall de aplicaciones web (WAF): protección frente a ataques en la capa de aplicación con 250 reglas OWASP y cumplimiento
▪ Cloud Access Security Broker (CLOUD GUARD): visibilidad, conformidad, alertas de cambio de control
▪ Red privada virtual (VPN): protección/cifrado en tránsito a través de Internet y enlaces privados
▪ Servicio de nombres de dominio (DNS): DNS gestionado de Oracle para clientes de OCI
▪ Gestión de identidad y acceso (IAM): controle quién puede acceder a los recursos de OCI y gestionarlos
OCI IAM
Webinar - Seguridad en la nube
Dominios
de fallo
24. Webinar - Seguridad en la nube 24
Una estrategia común mejor control, ahorro de tiempo y reducir riesgos
Oracle Cloud Infrastructure Gen2 – Controles globales de acceso
• Control de acceso unificado y centralizado
• Basado en roles aprovisionados automáticamente
• Gestión de identidades integrada
• Con inicio de sesión único federado
• Múltiples opciones de acceso seguro
• Conexión más rápida y segura a aplicaciones Cloud
Gestión de identidad
centralizada
ER
P
HC
M
C
X
Tercer
os
SC
M
25. Webinar - Seguridad en la nube 25
Recuperación ante desastres en la nube empresarial
Oracle Cloud Infrastructure Gen2 – Disponibilidad y redundancia
• Alta disponibilidad y recuperación ante desastres*, con
infraestructura de alta redundancia y resiliencia en caso de
desastre.
• Estrategia de copia de seguridad de datos integral con
redundancia y tolerancia a fallos
• Nivel objetivo de disponibilidad del sistema del 99,5%
para la mayoría de los servicios.
* depende de los servicios comprendidos
26. Aislamiento Bare Metal – Hosts físicos dedicados
Autonomous Linux – Ksplice Parcheo en vivo Informes
Autonomous Database – Auto-Parcheo Automatizado
Maximum Security Zone – Máxima seguridad Obligatorio
Cloud Guard – Scaneo Elimina Amenazas Automatizado
• Seguridad siempre
activa
• Automatización
• Protección de cada
capa de la pila
Infra
OS
DB
Políticas
Protección
Proteger la seguridad y los datos de nuestros clientes
Oracle Cloud Infrastructure Gen2 – Seguridad en su máximo exponente
Webinar - Seguridad en la nube 26
27. Webinar - Seguridad en la nube 27
Sistema de supervisión y eliminación
Oracle Cloud Infrastructure Gen2 – Cloud Guard
• Supervisión y recopilación constante de datos sobre
servicios de auditoría, seguridad de los datos, gestión
de los sistemas operativos, registro y registros de
flujos de red.
• Análisis los datos con detección de amenazas y
configuraciones erróneas, avisando y eliminado
amenazas sin intervención humana.
• Las nubes de 1ª generación
• Sin un sistema unificado de recopilación de datos de todos
los servicios
• Sin tienen capacidades de reacción, siendo el cliente quien
debe eliminar la amenaza de forma manual.
28. Webinar - Seguridad en la nube 28
La máxima seguridad puede ser fácil y estar siempre activa
Oracle Cloud Infrastructure Gen2 – Maximum Security Zones
• Zonas donde la seguridad no es opcional.
Siempre está activa.
• Los recursos que se inicien en esta zona se
encuentran en una infraestructura dedicada con
los máximos niveles de cifrado de datos y
seguridad de la red.
• Las nubes de 1ª generación
• Larga lista de herramientas de seguridad complejas de
configurar y fáciles de atacar.
29. Webinar - Seguridad en la nube 29
Más responsabilidad en los hombros de Oracle
Oracle Cloud Infrastructure Gen2 – Seguridad en Autonomous DBaaS
Eliminar riesgo de error humano, omisiones, retrasos
Seguridad integrada y automatizada == Reducción del riesgo de
pérdida de datos
• Cifrado completo: Siempre activo
• Parches de Seguridad: Aplicación en ejecución
automáticamente sin tiempo de parada (150 millones de
parches se aplican en 4 horas para errores de
Spectre/Meltdown)
• Disponibilidad lider en el mercado (99,995%)
• Copia de seguridad, Failover y recuperación automatizadas
Autonomous
Database
Acceso usr / Identidad
Datos
Base de datos
OS Invitado
Virtualización
Red
Infraestructura
Físico
DBaaS (PaaS)
Database-as-a-Service
Acceso usr / Identidad
Datos
Base de datos
OS Invitado
Virtualización
Red
Infraestructura
Físico
Responsibilidad del consumidor Responsabilidad del proveedor
30. Webinar - Seguridad en la nube 30
El sistema operativo más seguro para la nube
Oracle Cloud Infrastructure Gen2 – Plataforma autónoma de Linux
• Incluye Ksplice, la única tecnología del sector que
aplica parches sin tiempo de inactividad.
• El servicio de gestión del sistema operativo
• Administra automáticamente el inventario de todas las
vulnerabilidades y todas las instancias en ejecución.
• Aplica parches automáticamente a los hosts y le
mantiene siempre protegido.
• Seguridad siempre activa. 100% automatizada.
31. Webinar - Seguridad en la nube 31
Hosts de VM dedicados
Oracle Cloud Infrastructure Gen2 - Arquitectura de aislamiento de datos
• Inquilino único
• Nunca se comparte hardware con máquinas
virtuales de otro cliente.
• Pago solo por el host de MV dedicado
• Sin cargo adicional por las VM que se ejecutan
en él.
• Control y comodidad
• Control de hosts de VM dedicados con opción de
que sea Oracle el que la optimice
automáticamente.
• Oracle gestiona y controla el hipervisor y el
hardware. Host de MV dedicado
Máquina
virtual
Máquina
virtual
Máquina
virtual
32. Webinar - Seguridad en la nube 32
Operaciones en la nube ininterrumpidas
Oracle Cloud Infrastructure Gen2 – Seguridad y cumplimiento
• Lo último en protección de centros de datos físicos,
seguridad de datos lógica y políticas de protección de la
privacidad de datos.
• Supervisión e interacción proactiva en cuestiones de
seguridad
• Enlace directo entre las operaciones en la nube y
desarrollo,
• Las innovaciones más recientes a todas capas de la
pila tecnológica.
• Rendimiento óptimo y fiable, y corrección rápida con
análisis de causas
33. Webinar - Seguridad en la nube 33
El Grupo de seguridad de OCI – Equipo global dedicado de expertos
Oracle Cloud Infrastructure Gen2 – Seguridad en operaciones y desarrollo
• Garantiza la protección de servicios y la
tenencia de clientes en OCI tanto en el
desarrollo seguro como en las
operaciones seguras.
• Ayudan a los desarrolladores a
comprender la arquitectura de
seguridad, seguir prácticas seguras y
escanear el código durante el
desarrollo.
• Una vez desplegado, el equipo de
operaciones seguras se encarga de las
actividades de detección continua y
respuesta al riesgo.
Mentalidad
de seguridad
Cultura
de seguridad
34. Webinar - Seguridad en la nube 34
Completando una seguridad 360º
Ayudando en la parte de responsabilidad cliente
• Servicio de Logs
• Gestión de logs centralizado para todo OCI: auditoría, eventos, seguridad, red, plataforma y
aplicación.
• Servicio de gestión de secretos
• Almacenes virtuales de gestión de claves (KMS con FIPS 140-2 nivel 3) con HSM dedicado o
compartido.
• Servicio de Firewall de aplicación mejorado
• Protección de aplicaciones web frente a las 10 principales amenazas, bots de extracción y
ataques DDoS de OWASP con SLA de 60 segundos
• Identity Cloud Service
• Control de acceso interconectando credenciales de aplicaciones entre nubes y entornos locales.
• Data Safe
• Centro de control unificado de seguridad de BBDD para garantizar cumplimiento y seguimiento
continuo
• Cloud Observability and Management Platform
• Servicio de monitorización, analítica y gestión multi-nube abierto, integrado y extensible
35. Cumplimiento OCI: programas de auditoría actuales
Plantill
a
Oficial
Sector
Region
al
DoD DISA SRG IL2
27001: 27017: 27018
SOC 1: SOC 2: SOC
3
Nivel 1
Autoevaluación
PIPEDA -
Canadá
Moderado - Agencia
ATO VPAT – Sección 508
G-Cloud 11 - Reino
Unido
Cláusulas modelo -
UE
Escudo de la
privacidad EE.
UU
HIPAA PCI DSS FISC - Japón
IG Toolkit - Reino
Unido
My Number -
Japón
Principios de
seguridad en la
nube - Reino Unido
Cyber Essentials
Plus - Reino
Unido
TISAX - Alemania
RGPD - UE
BSI C5 -
Alemania
C
5
Webinar - Seguridad en la nube 35
36. Evolución, innovación y transformación
avanttic: El mejor compañero de viaje
Barcelona
Madrid
Somos una consultora de servicios
informáticos especializada
íntegramente en la tecnología
Oracle
Crecimiento anual
20%
Clientes
+200
Consultores especializados
en tecnología Oracle
+190
36
Service Expertise
32
Webinar - Seguridad en la nube
37. cloudservices.avanttic.com
CX
PaaS for SaaS
Business Analytics
Content, Process & Mobile
Integrations
Applications & Development
Database
IaaS
Disaster Recovery
+30 packs para acelerar y simplificar la transición a Oracle Cloud
avanttic: Servicios para asegurar una transición segura al cloud
37
Webinar - Seguridad en la nube
39. Webinar - Seguridad en la nube 39
Cumpliendo cada uno con su parte
Hoy la nube SI es segura..
• Es crítico entender y adoptar el modelo de
responsabilidad compartida.
• La seguridad motivo general de preocupación,
aunque la empresa cada vez lo tiene más
claro.
• Oracle cumple sin fisuras con su parte de
responsabilidad a la vez acompaña al
cliente en el cumplimiento de la suya.
40. Webinar - Seguridad en la nube 40
Contando con la tecnología adecuada..
Oracle Cloud Security
▪ En todas las capas de la pila
▪ Servicios integrados
▪ Entornos Cloud y locales
Oracle Cloud Infrastructure | Oracle Autonomous Database | Nube híbrida
Visibilidad y
control
Gestión de
identidades
y acceso
Usuarios
Aplicaciones
Datos
Infraestructura
Seguridad de los
datos
Seguridad y
resiliencia de las
aplicaciones
Conformidad
41. Y con el mejor compañero de viaje
Transformación digital
Las soluciones
SMACT garantizan la
(r)evolución de tu
organización
Consultoría Oracle
Servicios de
consultoría tanto
on-premise como
en cloud híbrido
Servicios gestionados
Externalizar la
gestión IT implica
más especialización e
innovación
41
Propuesta de valor
de avanttic
Webinar - Seguridad en la nube