Seguridad en La Nube

Seguridad en la
Nube
Computación en la nube (Según NIST): es
un modelo para permitir un acceso de red
ubicuo, conveniente y bajo demanda a un
grupo compartido de recursos informáticos
configurables (por ejemplo, redes,
Alcance servidores, almacenamiento, aplicaciones
y servicios) que pueden aprovisionarse y
liberarse rápidamente con un mínimo
esfuerzo o interacción del proveedor de
servicio.
Modelos Destacados de Servicio Cloud
Software como Servicio (SaaS): es un modelo de distribución de software donde el

soporte lógico y los respectivos datos que maneja se alojan en los servidores de un
proveedor, cuyo acceso es a través de Internet. El proveedor no solo proporciona el
hardware, sino también el software correspondiente. El cliente, por su parte, puede
utilizar las diferentes funciones del software sin más preámbulos. La empresa
proveedora se ocupa del servicio de mantenimiento, de la operación diaria y del
soporte del software usado por el cliente. Regularmente el software puede ser
consultado en cualquier computador, se encuentre presente en la empresa o no. Se
deduce que la información, el procesamiento, los insumos y los resultados de la lógica
de negocio del software están hospedados en la compañía.
El correo electrónico, las redes sociales y las soluciones de almacenamiento de
archivos en la nube (como Dropbox o Box) son ejemplos de aplicaciones SaaS que la
gente usa todos los días en su vida personal. Las soluciones de SaaS empresariales
populares incluyen Salesforce (software de gestión de relaciones con el cliente),
HubSpot (software de marketing), Trello (gestión de flujo de trabajo), Slack
(colaboración y mensajería) y Canva (gráficos).
Infraestructura como Servicio (IaaS): ofrece acceso a un conjunto de recursos
de infraestructura base de informática, como computación, red o
almacenamiento. (Amazon Web Services, Microsoft Azure).
Los proveedores de IaaS según la necesidad del cliente desde sus centros de
datos. Para ofrecer una mejor conectividad de área ancha, los clientes pueden
utilizar el Internet o nubes cargadoras (redes privadas virtuales). Para sus
aplicaciones, los usuarios instalan imágenes de sistemas operativos y su software
en la infraestructura de la nube.[fuente cuestionable]En este modelo, los
usuarios de la nube mantienen los sistemas operativos y el software de
aplicación. Los proveedores típicamente enuncian y cobran los servicios IaaS
según la utilidad que se esté haciendo del servicio: el coste refleja la cantidad de
los recursos requeridos y consumidos.
Plataforma como servicio (PaaS): abstrae y
proporciona plataformas de desarrollo de
aplicaciones, como bases de datos, plataformas de
aplicaciones (por ejemplo, un lugar para ejecutar
Python, PHP u otro código), almacenamiento de
archivos y colaboración, o incluso procesamiento
de aplicaciones propietarias (como aprendizaje de
máquina, procesamiento de Big Data o acceso
directo a interfaces de programación de
aplicaciones (API) a características de una
aplicación SaaS completa). El diferenciador clave
es que, con PaaS, no se maneja los servidores,
redes u otra infraestructura subyacente. (Apps
Services, Azure Search y Azure CDN).
Tipos de implementación Cloud
Cloud Cloud
Publica Privada
Cloud
Hibrida
Cloud Publica
Se trata de infraestructura tecnológica (hardware, software de base,
aplicaciones y servicios) que está disponible para el uso público en general. Este
tipo de “nube” puede estar gestionado por una empresa, entidad académica o
gubernamental o combinaciones de ellas.
Por lo general una cloud pública, está alojada en más de un centro de datos,
ubicado en diferentes sitios geográficos, y los servicios se ofrecen a múltiples
consumidores, quienes comparten los mismos recursos. La gestión de seguridad,
la provisión de los recursos, y el mantenimiento en funcionamiento de la
infraestructura ofrecida, es responsabilidad directa del proveedor de servicios
cloud.
Cloud Privada
La infraestructura de una nube privada es gestionada y utilizada por una única
organización. La gestión puede estar delegada en un tercero, pero bajo
supervisión directa de la organización. Asimismo la nube puede estar dentro de
los límites físicos de la organización o fuera de la misma.
El rasgo distintivo de este tipo de implementación, es que la seguridad física y

lógica, así como la operación y administración, es realizada por la misma
organización propietaria de la nube privada, quien adopta las características del
modelo de la tecnología de Cloud Computing, para concentrar el acceso de todos
usuarios, locaciones y departamentos de una organización a un conjunto de
recursos que se brindan a través de la nube.
Desde el punto de vista de los roles, dentro de la misma organización se hallan el

proveedor y consumidor de nube. El primero lo cumple el departamento de IT, y
el de consumidor el resto de las áreas que requieren recursos de la nube privada.
Cloud Hibrida
Este modelo de despliegue de la tecnología
Cloud, es aplicable por aquellas
organizaciones que, por motivos de
seguridad deciden implementar una nube
privada sobre la cual instalan sus
aplicaciones críticas y datos de producción
sensibles, pero que las integran con nubes
públicas con la finalidad de que éstas
provean recursos en casos de picos de
demanda, o bien para la instalación de
ambientes no productivos (por ejemplo:
desarrollo y testing de aplicaciones) o para
de uso de aplicaciones no críticas, o
ambientes de recupero previstos en los DRP
(Disaster Recovery Plan).
Riesgos Potenciales
Estos nuevos modelos comerciales basados en la nube ofrecen un elevado número
de beneficios. No obstante, hay que tener en cuenta que también conllevan una
serie de riesgos potenciales como los que se enumeran a continuación:
 Financieros, como los sobrecostos y el posible impacto en el retorno de la
inversión empresarial (ROI).
 Riesgos de privacidad al confiar datos confidenciales de la organización a un
tercero.
 De cumplimiento, ante la incapacidad para cumplir con las obligaciones
contractuales, legales y reglamentarias.
 De seguridad, como pueden ser en el acceso y una mala configuración.
 Riesgos relacionados con el rendimiento y la calidad.
 Técnicos, como la incapacidad de la empresa para adaptarse a las nuevas
tecnologías, incompatibilidad y otras limitaciones relacionadas con la
personalización.
Parece que el futuro de la norma ISO 27017 como el de la
norma ISO 27018 está bastante claro; estos se encargan de
definir cada uno de los estándares de seguridad de mayor
crecimiento en la industria actualmente, es decir, la
computación en la nube. Se trata de una cuestión tan
profunda y extensa que ambas normas mencionadas pueden
llegar a lograr el mismo nivel de éxito que obtuvo la ISO
27001 y la ISO 27002.
Que es la ISO 27017
El nombre con el que se conoce a la norma ISO 27017 es “Código de práctica para los
controles de seguridad de la información según la norma ISO 27002 para los servicios
en la nube”, lo que implica que la norma está basada en los controles de seguridad
que recoge la norma ISO 27002. Es decir, la norma ISO 27017 aporta diferentes
controles de seguridad adicionales para la nube, los cuales no llega a cubrir
correctamente la norma ISO 27002.
Principalmente, la norma ISO 27017 está orientada a la protección de la información
de los servicios en la nube, mientras que por otro lado, la norma ISO 27018 está
orientada en la protección datos personales en la nube.
Puesto que no se trata de una norma de gestión, y por lo tanto no lleva a cabo la
certificación regular, numerosos organismos de certificación tienen en mente
comenzar ya con la certificación de la norma ISO 27017, para lo que emitirán algún
tipo de declaración de cumplimiento. Aquellas organizaciones que deseen certificarse
en la norma ISO 27017 deben de hacerlo a través de la certificación de la norma ISO
27001 2013 y, posteriormente, como parte de la auditoría deberá aparecer algún tipo
de declaración en la que se establezca o señale que se cumple con cada uno de los
requisitos de la norma ISO 27017.
Nivel que se
recomienda en la
norma ISO 27017
tomando como
referencia a la ISO
27001
Nuevos Controles ISO 27017
La norma ISO 27017 recomienda siete nuevos controles cuya numeración se hace
compatible con la estructura de la norma ISO 27001 2013:
 1 Roles y responsabilidades compartidas dentro de un entorno de cloud

computing
 5 Remoción de los activos de los clientes de servicios cloud
 1 Segregación en entornos informáticos virtuales
 2 Endurecimiento de la máquina virtual
 5 La seguridad operacional
 5 Seguimiento de los servicios en la nube
 4 Alineación de gestión de la seguridad de redes virtuales y físicas
Amenazas en la nube
Antes de migrar a la nube, las empresas deben considerar una serie de amenazas
de computación de importancia respecto a la seguridad en la nube.
 Facilidad de uso. Si bien es fácil su manejo por parte de las empresas, tanto
lo es también para los atacantes. Como ejemplos están, el correo basura
(spam), distribución de malware, servidores de comando y control, ataques
distribuidos de denegación de servicio (DDoS), etc.
 Transmisión de datos vulnerable. Los datos de clientes que son transferidos a
la nube deben ser encriptados mediante el sistema SSL/TLS, para evitar que
los atacantes intercepten datos sin cifrar.
 APIs inseguras. Determinados servicios de nube web están expuestos a APIs
accesibles desde cualquier lugar de internet. Si disponen del token de
autorización o autenticación, pueden acceder y manipular los datos que haya
de clientes. En este punto, es necesario que los CDP proporcionen APIs
seguras, de manera que la superficie de ataque sea mínima.
Gente interna malintencionada. Aquí es importante que el CSP instale medidas de
seguridad que incluyan el seguimiento de las acciones de os empleados, como por
ejemplo, ver los datos del cliente. Mencionar, que los CSP no siempre siguen las
mejores pautas a este respecto, por lo que cualquier empleado podría recopilar
información confidencial sobre cualquier cliente sin ser detectado.
Cuestiones de tecnología compartida. Para soportar múltiples inquilinos, los CSP
utilizan infraestructura escalable, de manera que compartan la estructura subyacente
con múltiples capas. Cada una de estas capas es susceptible de ser atacada, aunque
usando diferentes técnicas: explotación de vulnerabilidad en un hipervisor, acceso no
autorizado a datos compartidos a través de ataques de canal lateral, escapar de
sandbox (Red/Blue Pill) de una máquina virtual (VM), etc.
Pérdida de datos. Podría tener lugar por varias razones. Por ejemplo, que el disco
duro falle, y un trabajador de CSP borre los datos accidentalmente, o que un atacante
modifique o robe los datos. Para evitarlo, es preferible disponer de un respaldo de
datos que permita restaurarlos.
Brecha de datos. Puede tener lugar la violación de los datos si una máquina virtual
tiene acceso a otra VM en el mismo host físico. De esta manera, a haber varias VM que
pertenecen a varias empresas cada una, también podría tener acceso a datos de otra
empresa diferente. A este tipo de ataque se le denominan ataque de canal lateral, y
en ellos se roban los datos de componentes compartidos, como por ejemplo, la caché
del procesador.
 Secuestro de cuenta/servicio. Cuando el acceso a la nube está protegido por una
sola contraseña y el atacante la conoce, tendrá el acceso igualmente fácil. En este
caso, es preferible utilizar autenticación de dos factores. Con este método, el
atacante debe disponer también de acceso al teléfono del usuario (por ejemplo, si
los SMS están habilitados para seguridad adicional) para poder acceder al servicio
en la nube.
 Perfil de riesgo desconocido. Cuando las empresas se trasladan a la nube, deben
generar un perfil de riesgo específico de sus sistemas e infraestructura. Será
importante ejecutar actualizaciones de seguridad de software periódicamente,
además de habilitar el monitoreo de registros, que los sistemas IDS/IPS escaneen
constantemente en busca de tráfico malicioso, y se debe utilizar SIEM para
recopilar los datos en un mismo lugar.
 Denegación de servicio (DoS). Puede ocurrir que los servicios en la nube queden
interrumpidos a consecuencia de la emisión de un ataque DoS contra el servicio de
la nube, lo que lo haría inaccesible. Lo puede realizar a través de recursos
compartidos tales como CPU, RAM, ancho de banda de la red o espacio en disco
duro.
 Falta de comprensión. Imprescindible para mantener la seguridad en la nube es
conocer qué es y cómo utilizarle. Para ello, empresa y CSP deben concretar los
servicios de los que cada uno va a ocuparse. De esta manera, los empleados o
usuarios deben conocer el tipo de amenazas que pueden tener lugar, para poder
defenderse de manera eficaz. Es decir, una educación adecuada mejorará la
seguridad cuando se decide pasar a la nube.
Tarea
Breve investigación norma ISO 27018

Seguridad en La Nube

Cargado por

Copyright:

Formatos disponibles

Seguridad en La Nube

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Seguridad en La Nube

Cargado por

Copyright:

Formatos disponibles

Seguridad en la

Software como Servicio (SaaS): es un modelo de distribución de software donde el

El rasgo distintivo de este tipo de implementación, es que la seguridad física y

Desde el punto de vista de los roles, dentro de la misma organización se hallan el

 1 Roles y responsabilidades compartidas dentro de un entorno de cloud

Breve investigación norma ISO 27018

También podría gustarte