2. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
Agenda
Definición de Cloud Computing
Características esenciales
Modelos de Despliegue
Modelos de servicio
Riesgos de la computación en la nube
Guía de seguridad en la nube
3. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
“Cloud Computing es un modelo para habilitar
acceso conveniente por demanda a un
conjunto compartido de recursos
computacionales configurables, que pueden
ser rápidamente aprovisionados y liberados
con un esfuerzo mínimo de administración o
de interacción por el proveedor de servicios.”
4. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
Un consumidor puede aprovisionar de manera unilateral
capacidades de cómputo, tales como tiempo de servidor y
almacenamiento en red, en la medida en que las requiera sin
necesidad de interacción humana por parte del proveedor del
servicio
Las capacidades están disponibles sobre
la red y se acceden a través de
mecanismos estándares de plataformas
heterogéneas, como PC, teléfonos
inteligentes o tabletasLos recursos computacionales del
proveedor, se habilitan para servir a
múltiples consumidores con varios
recursos tanto físicos como virtuales,
asignados y reasignados de acuerdo con
los requerimientos de los consumidores
Controlar y optimizar automáticamente el
uso de recursos, mediante el
aprovechamiento de la capacidad de
medición apropiada para el tipo de servicio
(por ejemplo, cuentas, almacenamiento,
procesamiento, ancho de banda, y
actividad del usuario).
Las capacidades pueden ser rápidamente
aprovisionadas, en algunos casos
automáticamente, para crecer en recursos
y liberadas para disminuir recursos.
Auto-servicio por demanda
Acceso amplio desde la red
Recursos comunes
Rápida elasticidad
Servicio medido
6. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
La nube privada está
en una infraestructura
bajo demanda, Se
encuentra en un
centro de datos propio
y privado
Es una buena
opción para las
compañías que
necesitan alta
protección de
datos y ediciones
a nivel de servicioEs propietaria del
servidor, red y discos y
puede decidir qué
usuarios están
autorizados a utilizar
la infraestructura
7. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
No se ofrecen
servicios a
terceros
Normalmente
es un servicio
a la medida
Se encuentra en un
centro de datos
propio y privado
Los recursos de
computación son
compartidos
8. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
Puede ser
administrada por la
organización o por un
tercero y puede existir
dentro de la misma,
“on premises” o fuera
de la misma, “off
premises”.
La infraestructura de esta
nube es compartida por varias
organizaciones y apoya las
preocupaciones de una
comunidad particular sobre un
tema específico, por ejemplo,
seguridad, investigación,
políticas o cumplimientos
9. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
En este tipo de nubes
tanto los datos como los
procesos de varios
clientes se mezclan en los
servidores, sistemas de
almacenamiento y otras
infraestructuras de la
nube
Mantenida y
gestionada por
terceras personas
no vinculadas con
la organización
Los usuarios finales
de la nube no
conocen qué trabajos
de otros clientes
pueden estar
corriendo en el mismo
servidor, red, sistemas
de almacenamiento
10. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
Recursos de procesamiento
compartidos
Servicios ofrecidos por
empresa externa y
accesibles desde
Internet
Típicamente dedicada a un
modelo de pago por uso
Alto retorno de la
inversión inicial
13. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
Infrastructure
as a Service
(IaaS)
Platform as a
Service
(PaaS)
Software as a
Service (SaaS)
14. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
IaaS
Infrastructure as a Service
También llamada en algunos casos (hardware as a service, haas), se
encuentra en la capa inferior y es un medio de entregar almacenamiento
básico y capacidades de cómputo como servicios estandarizados en la red.
Servidores, sistemas de almacenamiento, conexiones, enrutadores, y otros
sistemas se concentran (a través de la tecnología de virtualización) para
manejar tipos específicos de cargas de trabajo
15. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
1
2
3
4
5
6
Escalabilidad
Sin necesidad de invertir
en hardware
Modelo de tarificación
similar al de los
suministros públicos como
la luz o el gas
Independencia de la
localización
Seguridad física en los
centros de datos
No hay puntos únicos de
fallo
IaaS
Infrastructure
as a Service
ventajas
16. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
PaaS
Platform as a Service
El modelo PaaS permite a
los usuarios crear
aplicaciones de software
utilizando herramientas
suministradas por el
proveedor
Los servicios PaaS pueden consistir en
funcionalidades pre configuradas a las
que los clientes puedan suscribirse,
eligiendo las funciones que deseen
incluir para resolver sus necesidades y
descartando aquellas que no necesiten
Los paquetes pueden variar desde un sencillo entorno
que se maneje con el ratón y no requiera ningún tipo de
conocimiento o instalación especial por el lado del
usuario, hasta el suministro de opciones de
infraestructura para desarrollo avanzado
17. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
1
2
3
4
5
6
Seguridad, incluye la protección de
datos y copias de seguridad
No necesitan invertir en
infraestructura física
Hace posible que incluso
usuarios "no expertos" puedan
realizar desarrollos
Flexibilidad, crea una plataforma
perfectamente adaptada a
necesidades concretas
Adaptabilidad, las
funcionalidades pueden
modificarse si las
circunstancias así lo
requieren
Permite la colaboración entre
equipos situados en varios
lugares distintos
PaaS,
Platform as a
Service
ventajas
18. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
SaaS
Software as a Service
El modelo SaaS se conoce también a veces como
"software a demanda", y la forma de utilizarlo se parece
más a alquilar el software que a comprarlo.
Los usuarios del Software como Servicio se suscriben al
software, en lugar de comprarlo, generalmente por
períodos mensuales.
19. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
1
2
3
4
5
6
Compatibilidad entre dispositivos
No tiene costes adicionales de
hardware.
No tiene costos de alta
Se paga sólo por lo que se utiliza
El uso del servicio es escalable
Las actualizaciones son
automáticas
SaaS
Software as a
Service
ventajas
20. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
Software as a Service
SaaS
Aplicación
ofrecida
por el
proveedor
Plattform as a Service
Paas
Aplicación
desarrollada
por el cliente
Plataforma
ofrecida por
el proveedor
Infrastructure as a Service
Paas
El proveedor ofrece infraestructura
fundamental, (CPU,
almacenamiento, red)
21. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
IaaS
Gestión
Aplicaciones
Datos
Runtime
Middleware
S. operativo
Virtualización
Servidores
Almacenamiento
PaaS
Aplicaciones
Datos
Runtime
Middleware
S. operativo
Virtualización
Servidores
Almacenamiento
SaaS
Aplicaciones
Datos
Runtime
Middleware
S. operativo
Virtualización
Servidores
Almacenamiento
Red Red Red
Gestiónporterceros
GestiónportercerosGestiónpropia
GestiónpropiaGestiónporterceros
Middleware: software para interactuar o comunicarse entre
aplicaciones, software, redes, hardware y/o sistemas operativos
Runtime: Período durante el cual un programa de
computador está ejecutando
22. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
https://cl.igdigital.com/wp-content/uploads/2015/04/riesgo.jpg
Riesgos de la
computación
en la nube
25. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
Riesgos de seguridad en la nube
Guest-hopping attack, an attacker will try to identify two virtual machines likely to be hosted on the same physical hardware. Assuming the attacker is interested in data from virtual machine A, but is unable to directly penetrate
virtual machine A, the attacker will try to penetrate virtual machine B, and then try to gain access to virtual machine A
32. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
Asegurar que existen procedimientos de
gobierno, riesgo y cumplimiento efectivos
Guía de
seguridad
en la nube
Administrar las personas, roles e
identidades
Asegurar la protección adecuada de los
datos y la información
Hacer cumplir las políticas de
privacidad
Evaluar las normas de seguridad en
aplicaciones en la nube
Realizar auditoría de procesos
operativos y de negocio
Cloud Standards Customer Council
33. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
Evaluar los controles de seguridad en la
infraestructura física e instalaciones
Guía de
seguridad
en la nube
Administrar términos de seguridad en el
acuerdo de servicio en la nube
Entender los requisitos de seguridad del
proceso de salida
Asegurar redes y conexiones
Cloud Standards Customer Council
34. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
Controles para asegurar los datos en
computación en la nube
35. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
Identificar todos los activos
de datos, clasificándolos
en función de la criticidad
para el negocio,
especificando la propiedad
y la responsabilidad de los
datos y la descripción de
la ubicación y el uso
aceptable de los activos
Las relaciones
entre los activos
de datos
también deben
ser catalogados
Un aspecto relacionado
es la descripción de las
funciones de
responsabilidad que debe
abarcar la organización
del cliente y la
organización proveedora
de servicios en la nube
Crear un catálogo
de activos de datos
Cloud Standards Customer Council
36. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
Considere todas las formas de datos
Las organizaciones están aumentando la
cantidad de datos no estructurados
almacenados en sistemas informáticos, que
pueden incluir elementos tales como
documentos escaneados, fotos y multimedia
Los datos no estructurados pueden ser
sensibles y requieren un tratamiento
específico por ejemplo, la redacción o el
enmascaramiento de la información
personal, como firmas, direcciones o
placas de matrícula
La segmentación de la base de datos puede
ser ofrecida en un par de variedades: esquema
de datos compartido o aislado
En cualquiera de los casos, el cifrado de la
base de datos debe ser empleado para
proteger todos los datos en el repositorio
En una arquitectura aislada, los datos de
los clientes son segregados en su propia
instancia de base de datos. Esto puede
proporcionar aislamiento adicional
En un esquema de datos compartido, los datos
de cada cliente se entremezclan dentro de la
misma base de datos. Esto significa que los
datos de los clientes de A pueden residir en la
fila 1, mientras que los datos del cliente de B
residen en la fila 2
Cloud Standards Customer Council
37. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
La privacidad de los datos
implica a menudo las leyes y
reglamentos relativos a la
adquisición, el
almacenamiento y el uso de
información de identificación
personal (PII)
La privacidad implica
limitaciones en el uso y la
accesibilidad a la información
de identificación personal
como también los requisitos
asociados para etiquetar y
almacenar de forma segura
los datos para permitir el
acceso únicamente a los
usuarios autorizados
Esto requiere controles
adecuados, sobre todo
cuando se almacenan
los datos dentro de la
infraestructura de un
proveedor de la nube.
Estos controles pueden
restringir la ubicación
geográfica en la cual se
almacenan los datos
Considere los requisitos de privacidad
Cloud Standards Customer Council
38. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
Aplicar los procedimientos de disponibilidad,
confidencialidad e integridad
Los principios claves
de seguridad de la
confidencialidad,
integridad y
disponibilidad se
aplican a la
manipulación de los
datos, mediante la
aplicación de un
conjunto de políticas
y procedimientos,
que deben reflejar la
clasificación de los
datos
Los datos sensibles
deben ser
encriptados, tanto
cuando se
almacenan en algún
medio como
también cuando los
datos están en
tránsito a través de
una red
La manipulación de
claves de cifrado,
¿Donde se
almacenan y cómo
se pondrán a
disposición del
código de aplicación
para descifrar los
datos para su
procesamiento?
No es recomendable
almacenar las
claves, junto con los
datos cifrados
Cloud Standards Customer Council
39. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
Aplicar los procedimientos de disponibilidad,
confidencialidad e integridad
Para la integridad de los
datos se puede validar el
uso de técnicas tales
como resúmenes de
mensajes o algoritmos
hash seguros, aliados a la
duplicación de datos,
copias de seguridad y
redundancia
La disponibilidad puede abordarse mediante
copias de seguridad y / o almacenamiento
redundante, sistemas elásticos, y técnicas
relacionadas con la manipulación de los ataques
de denegación de servicio. También hay una
necesidad de una estrategia de conmutación por
error, ya sea mediante el uso de un proveedor de
servicios que ofrece esto como parte de su oferta
de servicios, o si el proveedor no ofrece la
resiliencia como una característica de sus
servicios al cliente puede considerar la libre
prestación de conmutación por error con servicios
equivalentes en estado de alerta con otro
proveedor
Cloud Standards Customer Council
40. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
Controles para asegurar los datos en la nube
• Identidad y gestión de acceso es un aspecto vital de la seguridad de los
datos con el que se requiere la autorización apropiada antes de permitir
que cualquier usuario pueda acceder a los datos sensibles. Además, una
traza de auditoría de accesos debe estar disponible para su revisión
• La gestión de registro de eventos y la seguridad (por ejemplo, la
notificación de los errores de seguridad) en relación con las actividades
que tienen lugar en el entorno de proveedor de servicio en la nube
• Conjunto claro de procedimientos en materia de práctica forense de
datos en caso de un incidente de seguridad
• Los registros y los mecanismos de información también deben ser
tratados con seguridad para evitar que un malhechor pueda cubrir sus
huellas.
Administración de accesos e identidades
Cloud Standards Customer Council
42. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
Controles para asegurar los datos en la nube
Infrastructure
as a Service
El cliente es responsable de la implementación completa del
software - sistema operativo, middleware y aplicaciones - y
todos los aspectos relacionados con seguridad, incluyendo la
aplicación de todos los parches de seguridad necesarios
La política de seguridad de la aplicación debe imitar
estrechamente la política de aplicaciones alojadas
internamente por el cliente
El cliente debe centrarse en la red, el entorno físico,
auditoría, autorización y autenticación
Cloud Standards Customer Council
43. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
Controles para asegurar los datos en la nube
Infrastructure
as a Service
Estándares de encriptación de datos adecuados deben aplicarse
en el tratamiento de los datos y para la interacción del usuario
(por ejemplo, la navegación segura) por la aplicación
Principios de garantía del sistema , de desarrollo y métodos de
pruebas que reduzcan al mínimo el riesgo de introducir
vulnerabilidades en el código, deben aplicarse incluso con más
fuerza que para una aplicación local, ya que la aplicación va a
residir fuera del perímetro de seguridad del cliente
Si las medidas de seguridad informática de confianza basadas
en hardware como (Trusted Execution Technology) están
disponibles, considere el uso de ellos para bloquear los Rootkits
y otros programas maliciosos y difíciles de detectar
Cloud Standards Customer Council
44. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
Controles para asegurar los datos en la nube
Platform as a
Service
El cliente es responsable de la implementación de
aplicaciones y debe asegurar el acceso a la aplicación
El proveedor tiene la responsabilidad de asegurar
adecuadamente la infraestructura, el sistema operativo y
el middleware.
El cliente debe centrarse en la auditoría, autorización y
autenticación
Deben aplicarse cifrado de datos y normas de gestión de
claves
Cloud Standards Customer Council
45. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
Controles para asegurar los datos en la nube
Platform as a
Service
El cliente tiene que definir los datos sensibles, como parte
de su clasificación de datos siendo manejados en general
por las opciones de configuración proporcionados por los
servicios PaaS utilizados
En un modelo PaaS, el cliente puede o no tener
conocimiento del formato y la ubicación de sus datos. Es
importante que estén bien informados de cómo sus datos
pueden ser accedidos por personas con acceso
administrativo
Cloud Standards Customer Council
46. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
Controles para asegurar los datos en la nube
Software as a
Service
Limitaciones de la política de seguridad de nivel de
aplicación son en su mayoría la responsabilidad del
proveedor y dependen de términos SLA en el contrato. El
cliente debe asegurar que estos términos cumplan con sus
requisitos de confidencialidad, integridad y disponibilidad.
Es importante entender la programación de parches del
proveedor, los controles contra el malware y su ciclo.
La ampliación de políticas para ayudar a lidiar con cargas
fluctuantes de las aplicación. Las políticas de escalamiento
se basan en los recursos, los usuarios y las solicitudes de
datos.
Cloud Standards Customer Council
47. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
Controles para asegurar los datos en la nube
Software as a
Service
Por lo general, el cliente sólo es capaz de modificar los
parámetros de la aplicación que ha expuesto el
proveedor, sin embargo, el cliente deberá asegurarse de
que sus cambios de configuración no inhiban el modelo
de seguridad del proveedor.
El cliente debe tener conocimiento de cómo sus datos
están protegidos contra el acceso administrativo por el
proveedor. En un modelo SaaS, el cliente probablemente
no será consciente de la ubicación y el formato del
almacenamiento de datos.
El cliente debe entender las normas de codificación de
datos que se aplican a los datos en reposo y en
movimiento.
Cloud Standards Customer Council
48. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
Controles para asegurar los datos en la nube
Software as a
Service
El cliente tiene que ser consciente de cómo los datos
sensibles, tal como se definen en su clasificación, se
están manejando en general y por las opciones de
configuración ..
Cloud Standards Customer Council
50. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
Privacidad
Principales preocupaciones
De carácter jurídico:
• El acceso no autorizado
a información personal
identificable
• La alteración o
supresión de datos
personales
51. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
Privacidad
Principales preocupaciones
• Violación de los derechos de una
persona
• La negación de servicios o beneficios
para una persona (por ejemplo, la
negativa a contratar, proporcionar un
seguro basado en la información
médica privada o judicial)
• Pérdida de reputación con un impacto
directo en la empresa (esto también es
un riesgo con las brechas de seguridad,
pero estas tienden a permanecer en
secreto, mientras violaciones a la
privacidad suelen ser públicas)
• Violación de los reglamentos o leyes
• Demandas de los individuos afectados
52. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
Privacidad
Principales preocupaciones
• Información privada puede ser
revelada por accidente
• Intención “Hacktivista" en
demostrar que una organización no
protege los datos correctamente
• Agencia nacional de inteligencia
que trata de capturar la información
considerada importante para la
seguridad nacional
• Delincuentes comunes que buscan
robar identidades y credenciales
53. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
Privacidad
Principales preocupaciones
• Demostrar la falta de privacidad
robando información privada
con fines de lucro
• Intención maliciosa de dañar la
reputación de la organización
54. Sergio Pinzón Amaya
Ingeniero de Sistemas
spinzona@outlook.com
Los servicios ofrecidos en cualquiera de los modelos de servicios de
computación en la nube (Platform, Infrastructure o Software as a
Service) están directamente relacionados con la movilidad, y por lo
tanto tienen una fuerte dependencia de la conectividad, la calidad de
servicio y la seguridad que pueden ofrecer, por tal motivo una
selección apropiada del servicio de acuerdo a las necesidades, es
de vital importancia para la operación
Conclusión