CLOUD COMPUTING MITOS Y VERDADES - CYBSEC€¦ · CLOUD COMPUTING MITOS Y VERDADES. Ardita, Julio...
Transcript of CLOUD COMPUTING MITOS Y VERDADES - CYBSEC€¦ · CLOUD COMPUTING MITOS Y VERDADES. Ardita, Julio...
CLOUD COMPUTINGMITOS Y VERDADES
Aclaración:
©© Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.
Agenda
- Cloud computing hoy en día
- Ventajas y desventajas
- Aspectos de seguridad a tener en cuenta
- Conclusiones
Cloud Computing hoy en día
SoleadoNube solitaria
Parcialmente nublado
Nublado Probabilidad de tormentas
Cloud Computing hoy en día
Beneficio de los servicios cloud: Empresas chicas
Madurez de los mercados para adopción de servicios en la nube
Cultura empresarial
Experiencias en la Argentina
5 entre las 138 empresas más importantes del país realizaron
alguna implementación de soluciones o servicios en la nube durante 2011.
La principal barrera para la adopción de soluciones en la nube por parte de las
empresas argentinas es la seguridad .
Fuente: Prince and Cook
- Definiciones.
- Nubes públicas, privadas e híbridas.
- IaaS, PaaS, SaaS.
- Visión del tema:
Cloud Computing hoy en día
SLA’s (la base de todo)
- Acuerdos predefinidos y no negociablesSon los estándares en los modelos cloud ya que permiten la economía de escala.
- Acuerdos negociables Similares a los contratos tradicionales de outsourcing (complejos!).
Cloud Computing hoy en día
Ventajas y desventajas
Ventajas
- Acceso a personal especializado en temas de seguridad- Plataforma más sólida- Disponibilidad de recursos (DRP/BCP)- Backup y recovery- Concentración de información*
Ventajas y desventajas
Desventajas
- Complejidad de sistemas- Ambientes compartidos en distintos niveles- Servicios abiertos hacia Internet- Pérdida de control- Concentración de información*- Menos privacidad
NIST 800-144 - Guidelines on Security and Privacy in PublicCloud Computing – Diciembre 2011
1. Gobierno 6. Aislamiento de software2. Cumplimiento 7. Protección de información3. Confianza 8. Disponibilidad4. Arquitectura 9. Respuesta ante Incidentes5. Identity y Access Management
Aspectos de seguridad a tener en cuenta
Aspectos de seguridad a tener en cuenta
1. Gobierno- Implica el control del proveedor a través de políticas, procedimientos yestándares.
- Se deben definir los roles y responsabilidades entre la organización y elproveedor.
- Se deben tener en cuenta mecanismos de auditoría.
Aspectos de seguridad a tener en cuenta
2. Cumplimiento- Leyes y regulaciones: Entender los distintos tipos de leyes yregulaciones que afectan a la organización y tienen impacto eniniciativas de servicios cloud.
- Ubicación de la información.- Controles de seguridad y privacidad que posee el proveedor.- Mantenimiento de información para análisis legal.
Aspectos de seguridad a tener en cuenta
3. Confianza- Minimizar intrusiones internas: Política de reclutamiento de empleados.- Propiedad de la información: Debe estar firmemente establecida.- Subcontratación de servicios.- Visibilidad: Se debe tener acceso a monitorear los niveles de seguridad.- Información extra: Protección de los sistemas del propio proveedor.- Risk Management: Se debe implementar un programa de riskmanagement y seguirlo.
Aspectos de seguridad a tener en cuenta
4. Arquitectura- Superficie de ataque. Protección del hypervisor y redes deadministración.
- Protección y separación de redes virtuales.- Protección de las imágenes de las VM.- Protección del lado del cliente.
5. Identity and Access Management- Autenticación: Soporte SAML y/o OpenID.- Control de acceso: XACML.
SAML: Security Assertion Markup LanguageXACML: eXtensive Access Control Markup Language
Aspectos de seguridad a tener en cuenta
6. Aislamiento de software- Complejidad del hypervisor: Entender que tecnología utiliza el proveedor.- Vectores de ataque: Distribución de código malicioso, denegación de servicio, migraciones “live”, ataques man-in-the-middle, entre otras.
7. Protección de la información- Concentración del valor: ¿Dónde está lo más valioso?- Mecanismos de separación de información (File Server,DB, Registros).
- Procesos de Data Sanitization.- Proceso de salida: ¿Cómo me llevo la información?
Aspectos de seguridad a tener en cuenta
8. Disponibilidad- Cortes temporarios de servicio y/o pérdida de performance.- Cortes prolongados y permanentes.- Denegación de servicio.
9. Respuesta ante incidentes- Disponibilidad de información. Acceso a los recursos donde pueda existirevidencia.
- Análisis de incidentes y resolución de los mismos.
Conclusiones
Los servicios cloud todavía se muestran incipientes en laArgentina.
Los lineamientos que vimos nos permiten tener en cuentatodos los aspectos de seguridad sobre los servicios cloud yfinalmente definir el nivel de riesgo existente . Luego es unadecisión de la organización.
Comenzar de a poco …
Gracias por asistir a esta sesión…
Para mayor información:
Los invitamos a sumarse al grupo “Segurinfo” en
Julio César ArditaCTO - CYBSEC
Para descargar esta presentación visite www.segurinfo.org