La Clave de la Seguridad en la Nube – Como laComo la .... R... · La Clave de la Seguridad en la...

La Clave de la Seguridad en la Nube –Como la Encriptación Hace la Nube másComo la Encriptación Hace la Nube másSeguraComo moverse a la nube sin caer por un despeñaderoComo moverse a la nube sin caer por un despeñadero

Ricardo Trujillo V.

Solutions Specialist, LATAM

© SafeNet Confidential and Proprietary

[email protected]

Agenda

Tipos de Nube, Arquitecturas y Seguridadpos de ube, qu ec u as y Segu dadProtección de Datos en la Nube y Desafíos de SeguridadgImpacto Regulatorio en el Uso de la NubeEl Ascenso de la Encriptación en la NubeEl Ascenso de la Encriptación en la NubePreguntas

2


Arquitecturas de NubeV i Ni l d Ab ió P i d d d l DVarios Niveles de Abstracción y Propiedad de los Datos

SCEll “L H ”

Softw

areC

omo S

eMotor de Aplicaciones

Presentacion de Aplicaciones & APIs

Motor de Aplicaciones

Presentacion de Aplicaciones & APIs

Ellos “Lo Hacen”(Buena suerte con ello)

Platfor

Com

o

eervicioMotor de Datos & APIs de Plataforma

Motor de Datos & APIs de Plataforma Todos lo Hacen

(o realmente nadie?)

InfraC

om

rma

ServicioAPIs de VirtualizacionAPIs de Virtualizacion

MiddlewareMiddleware

U d l H

aestructum

o Servic

o

Hardware & NetworkingHardware & Networking

Capa de Abstraccion & Hipervisor

Capa de Abstraccion & Hipervisor

Usted lo Hace.

uracio

Potencia & HVAC

Hardware & Networking

Potencia & HVAC


3


Arquitectura Seguridad Servicio

Proveedores de SaaS, PaaS, e IaaSM d l d Rá id E l ió API P i i

SCModelos de Rápida Evolución con APIs Propietarias

Softw

areC

omo S

eMotor de Aplicacion

Presentación de Aplicaciones& APIs

Motor de Aplicacion

Presentación de Aplicaciones& APIs

Platafo

Com

o

eervicioMotor de Datos & APIs de Plataforma

Motor de Datos & APIs de Plataforma

InfraC

om

orma

ServicioAPIs de VirtualizacionAPIs de Virtualizacion

MiddlewareMiddleware

aestructum

o Servic

o

Hardware & NetworkingHardware & Networking

uracio

Potencia & HVAC


Potencia & HVAC


S

4


Arquitectura Ejemplo de Vendedores Servicio

Realidad Contractual T f i C l d R bilid d L jTransferencia Completa de Responsabilidad o LenguajeAmbiguo

Amazon Web Services™ Customer Agreement

Section 7.2. Security. We strive to keep Your Content secure, but cannot guarantee that we will be successful at doing so given the nature of the Internet Accordingly

Salesforce Master Subscription Agreement

8.3. Protection of Your Data. Without limiting the above, We shall maintain appropriate administrative, physical, and technical safeguards for protection of the securitydoing so, given the nature of the Internet. Accordingly,

without limitation to Section 4.3 above and Section 11.5 below, you acknowledge that you bear sole responsibility for adequate security, protection and backup of Your Content and Applications. We strongly

and technical safeguards for protection of the security, confidentiality and integrity of Your Data. We shall not (a) modify Your Data, (b) disclose Your Data except as compelled by law in accordance with Section 8.4 (Compelled Disclosure) or as expressly permitted in writing

encourage you, where available and appropriate, to (a) use encryption technology to protect Your Content from unauthorized access, (b) routinely archive Your Content, and (c) keep your Applications or any software that you use or run with our Services current with the latest security patches

by You, or (c) access Your Data except to provide the Services or prevent or address service or technical problems, or at Your request in connection with customer support matters.

y por updates. We will have no liability to you for any unauthorized access or use, corruption, deletion, destruction or loss of any of Your Content or Applications.

http://aws amazon com/agreement/

http://www.salesforce.com/company/msa.jsp

http://aws.amazon.com/agreement/

5


La Ley del Arbitro Probable12 d “ ” d fi i á l bilid d12 de sus “pares” definirán la responsabilidad

“D dili ”“Due diligence”Estandar de cuidadoRegla del hombre razonablegNegligencia AbsolutaResponsabilidad

6


Entonces, Quien es Responsable?

Usted. Usted. Usted.Como van las cosas, se decidirá por una corte de ley y eso no es nada atractivo.

Pero hay que tomarlo por el lado amable, los abogadostambién tiene que comer.

7


Desafíos de Seguridad en la Nube Desafíos Fundamentales de Confianza y Seguridad

E i ió d l d tExposición de los datos en ambientes de múltiplesinquilinos

Separación de roles en los

User ID and Access: Secure Authentication, Authorization, Logging

Data Co-Mingling: Multi-tenant data mixing, leakage, ownership Separación de roles en los funcionarios del proveedor de nube

Transferencia de bilid d l

Application Vulnerabilities: Exposed vulnerabilities and response

Insecure Application APIs: Application injection and tampering

Data Leakage: Isolating dataresponsabilidad por los proveedores hacia los dueñosde los datos

Nuevos Riesgos Fundamentales en

Platform Vulnerabilities: Exposed vulnerabilities and response

Insecure Platform APIs: Instance manipulation and tampering

Data Location/ Residency: Geographic regulatory requirements gla Nube

Nuevas tecnologías de hipervisor y arquitecturas

Hypervisor Vulnerabilities: Virtualization vulnerabilities

Data Retention: Secure deletion of data

Application & Service Hijacking: Malicious application usage

Redefinir la confianza y confirmación en ambientes de nube

Incertidumbre Regulatoria en la

Privileged Users: Super-user abuse

Service Outage: Availability

Malicious Insider: Reconnaissance, manipulation, tamperingIncertidumbre Regulatoria en la Nube

Las regulacionesprobablemente requieran

Logging & Forensics: Incident response, liability limitation

Perimeter/ Network Security: Secure isolation and access

Physical Security: Direct tampering and theft

8


controles fuertes en la nube

Privacidad de los Datos en SaaSIaaS PaaS Saas

Entremezclado de Datos : Mezcla , fuga o cambio de propiedad de datos en ambietes de múltiples inquilinos XX

Descripción:Los datos organizacionales en SaaS pueden ser compartidos en bases de datos comunes para derivar economía de escala para el proveedor de SaaS Los datos son delineados por metadatos para

Implicaciones:Afecta a los sistemasdentro del alcanceregulatorio Laproveedor de SaaS. Los datos son delineados por metadatos para

llevar un registro de la propiedad. Arquitectura propietaria de replicación e itinerarios creará múltiples instancias de datos a través de la infraestructura de SaaS.

regulatorio. La exposición a los datoscrece a través de la replicación. Hace másdifícil la confirmación deldifícil la confirmación del borrado de datos. El entremezclado de los datos aumenta lasposibilidades de fuga de

Ejemplo:Facebook (Mayo 2010): Un “bug” de la aplicación hizo posible quelos usuarios vieran conversaciones privadas de otros usuarios.

posibilidades de fuga de datos a través de un usoinadecuado de las meta etiquetas o porviolaciones explícitas

Remediación:Instancias Dedicadas de base de datos eliminan algunos violaciones explícitas.Instancias Dedicadas de base de datos eliminan algunosproblemas, pero pueden incrementar los costos. Entienda con claridad el manejo de los datos en SaaS para diseñar los controles apropiados. Encripte los datos para reducir grandementeel riesgo de exposición mientras conserva la economía de escala

9


el riesgo de exposición mientras conserva la economía de escala.

Disculpe, derramé susdatos?

Documentos Publicadosen Google Docs Apareceran En Google S h datos?Search

“Google planea indexar todoslos documentos publicados porusuarios de Google Docs si los documentos están ligados a un sitio web público (esto quieredecir encontrado por Google Bot) .”

http://www.ghacks.net/2009/09/21/published-google-docs-documents-to-appear-in-google-search/

Bug de FacebookExpone chats privadosExpone chats privados

“Un bug permitió a los usuariosde Facebook users el ver las

sesiones de chat de sus amigossesiones de chat de sus amigos en el sitio, forzando a la firma

de redes sociales a quedeshabilitara su servicio de

mensajería instantánea El bug

10


mensajería instantánea. El bug también permitió ver las

solicitudes pendientes de susamigos.”

Secuestro de Aplicaciones y ServiciosIaaS PaaS Saas

Secuestro de Aplicaciones & Servicios: Uso Malicioso de aplicaciones XX XX XX

Descripción:Un usuario malicioso obtiene credenciales para ingresar al CSP.Las credenciales pueden ser obtenidas a través de las tradicionalescontraseñas inseguras ataques de fuerza bruta phishing phising

Implicaciones:Los datos pueden ser robados explicitamentepor usuarios quecontraseñas inseguras, ataques de fuerza bruta, phishing, phising

con arpón (crimen organizado), etc.por usuarios queacceden directamente a su aplicación, o encubiertos que instalaninstancias virtualesEjemplos: instancias virtualesadyacentes para usarsniffers o manipular susservicios adyacentes.

Ejemplos:Zeus botnet instala nota de comando y control en Amazon (Deciembre 2009)Explotación de sniffing en Virtual Machine ESX (Marzo 2009)

Remediación:Autenticación multi-factorial fuerte con contraseñas robustas y ymonitoreo de servicios para detección.

11


Anatomía de un Compromiso

12

© SafeNet Confidential and ProprietaryHey, You, Get Off of My Cloud!

Exploring Information Leakage in Third-Party Compute Clouds By Thomas Ristenpart, Eran Tromer, Hovav Shacham, and Stefan Savage.

Estos siguen trabajando…

:-(:-(:-(13


Marco Reglamentario y Responsabilidades

Malas Noticias: Ambiente Confusoa as o c as b e e Co usoModelo de responsabilidad compartida – pero la demarcación es gris

La norma SAS 70 es inadecuada para uso común en la evaluación de proveedores de nubeproveedores de nube

Usted tendrá que tener una conversación detallada de arquitectura y API paraevaluar su responsabilidad

Buenas Noticias: Todos tienen el mismo problemaXaaS está consciente de esto y está trabajando duro para aliviarlo

Cl d S it Alli ti D t d MCloud Security Alliance tiene un Documento de Mapeo

14


La Encriptación ya ha Sido Prescrita o Implicada

Mandatos ExternosGubernamentales regionales o deGubernamentales, regionales, o de grupos industrialesDefinen penalidades y mejoresprácticaspAumento en las obligaciones de hacer incómodas declaracionespúblicas

Mandatos InternosCore de propiedad intelectualMitigación de riesgo “Safe Harbor”Mitigación de riesgo Safe HarborPreocupación con abusos internosAbuso de cruzado (wikileaks)

M d t T l dMandatos TraslapadosGlobalización de los negociosNaturaleza internacional de Internet

15


15

Pero no Siempre lo Hacíamos (Y eso estaba bien)

Nuestro destino estaba en nuestras manosEramos dueños de los firewalls, de la estructura de VLAN/switching, etc.Eramos dueños de los firewalls, de la estructura de VLAN/switching, etc.

Usted respondía por su propio staff

Y era su cabeza la que definitivamente rodaba si las cosas salían mal

Y la encriptación ha sido dura y complicadaSoluciones no relacionadas, no administradas e incoordinadas

E i ió fá il d i ió b l d lEncriptación fácil- desecriptación un absoluto dolor.

Entonces lo hicimos donde era tácticamente necesarioBases de datos analizadas por PCIBases de datos analizadas por PCI

En niveles con manejo crítico de datos

Y compensábamos con el restoY compensábamos con el restoUn mutante entero nació de PCI para controles compensatorios

Sus auditores se acostumbraron al concepto

16


Y se llegó a un tope

La Emergencia de Encriptación como un Control Unificante de Seguridad en la Nube

La encriptación es una tecnologíafundamental para realizar la seguridad en a nube

Aisla los datos en ambientes multi-inquilino

Reconocida universalmente por analistas y expertos y como control subyacente para datos en la nube

Crea una marca de nivel de agua para demostrarg pla adherencia a las reglamentaciones

Muevase de las tácticas del Data Center a la solución estratégica de gNube

Controles físicos, confianza subyacente en los procesos y el aislamiento mitigaba algún uso de encriptaciónp

Estos factores de mitigación no existen en la nube.

17


Tendencias Emergentes Reales (y Utiles) en Encriptación

Resolución del Dolor de la Desencriptacióneso uc ó de o o de a ese c p ac óCon solo consolidar a un proveedor, se calman las aguas

Ha sido liderada por los clientes (Es decir, una realimentación clara a los proveedores para hacer que todo trabaje en conjunto)proveedores para hacer que todo trabaje en conjunto)

La Industria MaduraDe hecho se pusieron de acuerdo en un estándar de Claves de Encriptación (YDe hecho, se pusieron de acuerdo en un estándar de Claves de Encriptación (Y ningún animal fué dañado en el proceso)

OASIS KMIP 1.0!!!!Ah d ti l d d d t d bi t lti dAhora podemos compartir claves de modo seguro dentro de ambientes multi-proveedor

2011 Año de Cambio para la Administración de ClavesPara encriptaciónPara encriptación

Y la magia que es la oportunidad en la nube

18


De aquí para donde seguimos? Sírvase un café…( t l t )(esto no se va a resolver pronto)

asuma lo peor…asuma lo peor…(después de todo, usted es el único con “piel” en el juego)

... y proteja de los datos hacia af eradatos hacia afuera.(encripte los datos y no le importará que a su proveedor de nube no le importe)

19


Recursos:VidVideos

White Papers

Blog:

www.cloudsecurityalliance.orgDocumento de Mapeo Regulatorio

Documento de Amenazas

Documento de Guía

20

© SafeNet Confidential and Proprietary Image: “Questions” by *Balakov

La Clave de la Seguridad en la Nube – Como laComo la .... R... · La Clave de la Seguridad en la...

Documents

Transcript of La Clave de la Seguridad en la Nube – Como laComo la .... R... · La Clave de la Seguridad en la...