Computación en la nube y seguridad

Ing. Carlos Rubén Jacobscarlos.jacobs@grada.com.ar

Computación en la nubeCaracterísticas esenciales

● Autoservicio bajo demanda● Acceso por red● Recursos compartidos por muchos clientes● Elasticidad rápida● Servicio medido

Computación en la nubeModelos de servicio

● Software como servicio (SAAS)● Plataforma como servicio (PAAS)● Infraestructura como servicio (IAAS)● http://cloudtaxonomy.opencrowd.com/

Triada de la seguridad

● Disponibilidad● Confidencialidad● Integridad

Disponibilidad

DisponibilidadRecomendaciones

● Acuerdos de niveles de servicio. Si tenés un SLA de 99,99% tenés unos 52 minutos de caida del servicio por año

● Proveedores de cloud services redundantes: de modo que si se cae uno se usa otro

● Comprar servicios en distintas regiones● Aún con servicios como los de Google y

Amazon (que tienen redundancia de datos incorporada): hacer backups tradicionales a otro proveedor

Confidencialidad

ConfidencialidadRecomendaciones

● Encriptación ● en tránsito: https

– BEAST● Navegador Chrome 15+, Opera

● en descanso: a nivel de base de datos, de filesystem

● Una buena administración de claves. ● NIST 800-57

● Uso de algoritmos fuertes● AES-256

¿Qué pasa si un empleado del proveedor del servicio de cloud computing altera mis datos?

IntegridadRiesgos

IntegridadRecomendaciones

● Firma digital (p. ej de logs, archivos, registros)● Timestamping● www.acraiz.gob.ar

La computación en la nube es insegura

● ¿Comparada con qué? ● ¿Cuál es el costo de mejorar el nivel de

seguridad que ofrecen los mejores proveedores de computación en la nube? ¿Podrías pagarlo?

● El punto es si teniendo un datacenter propio tengo más seguridad o no a un costo comparable.

La computación en la nube es insegura

● Tu datacenter cumple con● - SOC 1/SSAE 16/ISAE 3402● - FISMA Moderate● - PCI DSS Level 1● - ISO 27001● - International Traffic in Arms Regulations● - FIPS 140-2● - HIPAA● - CSA

● Amazon AWS cumple con todo eso

La computación en la nube es insegura

● ¿Cuál es el nivel de servicio de tu datacenter?● ¿El nivel de servicio que podés lograr es mayor

a 99,95% al mes?● http://aws.amazon.com/ec2-sla/● http://aws.amazon.com/s3-sla/● http://aws.amazon.com/route53/sla/● http://www.linode.com/faq.cfm/#what-is-your-sla● http://www.rackspace.com/cloud/legal/sla/

Recomendaciones● Comenzar a utilizar servicios de computación

en la nube para tareas no críticas que no incluya tratamiento de datos personales

● Iniciar la estrategia cloud computing mediante la adopción de servicios de infraestructura (IaaS) y plataforma (PaaS), modelos que permiten conservar mayor control

● Inicialmente, en el escenario SaaS se recomienda apostar por sistemas poco críticos y soluciones muymaduras (por ejemplo, correo electrónico)

● Utilizar proveedores que ofrezcan un SLA con cláusula de penalización en caso de incumplimiento

Recomendaciones

● Utilizar proveedores que puedan demostrar que tienen auditorias externas y cumplen standards internacionales

● SI va a tratar datos personales usar proveedores con Datacenter en Argentina.

● Siempre consultar al abogado para no hacer cosas que vayan contra alguna ley

Más información

● cloudsecurityalliance.org● http://www.inteco.es/Seguridad/Observatorio/E

studios/

¿Preguntas?

¡Gracias!

● Ing. Carlos Rubén Jacobs● carlos.jacobs@grada.com.ar● www.grada.com.ar