work in progress - criptored · tendencias generales ¿que es “la nube”? infraestructuras...

Tendencias Generales

¿Que es “La Nube”?

Infraestructuras

Retos, Oportunidades y Amenazas

Las 5 Consideraciones de Seguridad

Recomendaciones

Tendencias Generales

Evolución histórica de los Servicios Públicos en la Nube

Era de los Portales Era de las Aplicaciones Online Era de los Servicios Web

1989 1994-95 1997 2002 2004 2006 2008

Era de la Nube

2010

Evolución de las redes corporativas

Evolución de las redes corporativas

Evolución de las redes corporativas

Que es «La Nube»

Es un nuevo modelo computacional, NO una nueva tecnología, que persigue una reducción de costos proporcionando a los clientes todo lo necesario en modo servicio a través de un proveedor.

• Características – Auto Servicio bajo demanda.

– Amplio acceso de red

– Recursos comunes

• Independiente de la Ubicación

– Rápida Elasticidad

– Servicio Medible

Modelos de Servicios en “La Nube”

Fuente: NIST (http://csrc.nist.gov/groups/SNS/cloud-computing/cloud-def-v15.doc)

Software as a Service SaaS

Aplicación ofrecida por el Proveedor

Plattform as a Service PaaS

Aplicación desarrollada por el Cliente

Plataforma ofrecida por el Proveedor

Infrastructure as a Service IaaS

El Proveedor ofrece infraestructura fundamental (ejem. CPU, Alimentación, Almacenamiento, Red,

etc.)

• Nube Privada – Que pertenece y es operado por una organización

• Nube Común – Infraestructura compartida por una comunidad

• Nube Publica – Ofrecida al publico, amplia escalabilidad

• Nube Hibrida – Compuesta de dos o mas modelos

Modelos de Despliegue de “La Nube”

Fuente: NIST (http://csrc.nist.gov/groups/SNS/cloud-computing/cloud-def-v15.doc)

Catalogación de los Modelos de Despliegue de “La Nube”

Co

ste

Agilidad / Seguridad

Nube Pública

Nube Comunitaria

Nube Privada

Evolución de los Data Center - Microsoft

Generation 4 Datacenter

Economía de Escala

De lo mejor de la industria en seguridad y Fiabilidad

Características Clave • Data Centers Geo-redundantes • Arquitectura N+1 • 9 Capas de Seguridad • Certificado CyberTrust • Acceso Seguro via SSL • Operaciones con ITIL/MOF • Soporte 24 x 7 x 365 • 99.9% te Respaldado

financieramente con el SLA

• Routers de Filtrado • Firewalls • Sistemas detección Intrusion • Seguridada a nivel Sistema • Autenticación de Aplicación • Contramedidas a nivel de

Aplicación • Escaneo de Virus • Redes de Datos Separadas • Autenticación a los datos

Certificaciones FISMA, SAS 70, ISO

en todos los centros y servicios

ISO27001 e(strategico)

SAS70

(audit)

FISMA (tactico)

Seguridad y Regulación en los Data Centers

• La Información esta bajo el control del proveedor – No está limitado al espacio o la geografía

• Cambios en los Procesos de IT – El proveedor puede tener mejores procesos de seguridad

– El proveedor de la nube gestiona la seguridad física

– Retos sobre la soberanía y la legalidad

• Almacenamiento de datos Centralizado – Economía de escala

– Atractivo para los criminales

• Problemas de Privacidad

• Forense

• Dispositivos

Retos y Oportunidades

• Amenazas derivadas de la Tecnología – Son los de siempre con algunas incorporaciones

– Se solucionan con mas tecnología

• Amenazas de la parte cliente (PC, dispositivos móviles)

• Amenazas filosóficas y de procedimiento – Hay muchas novedades

– Se solucionan con cambios de mentalidad y aprendizaje

Por ser «la nube» un cambio de Paradigma, son mucho mas importantes las amenazas de tipo

filosófico y de procedimiento

Amenazas de Seguridad en la Nube

• Las amenazas tradicionales siguen existiendo – Ataques a la Capa de Aplicación (XSS, ataques de inyección de código)

– Ataques a la Capa de Red (Ataques DNS , network flooding)

• Se potencian otras amenazas – Ataques a las tecnologías de Virtualización

• Nuevos ataques de Escalada de Privilegios (VM a host o VM a VM)

• Romper las barreras de las VM

• Hyperjacking (rootkitting al host o a la VM)

• Hay mas amenazas pero menos riesgo: – La tecnología y procedimientos empleados en proteger los DataCenter

de «la nube» son muy superior a la empleada en nuestras organizaciones.

– Gestión de riesgos, de cambios, de regulación , de Identidad, de Acceso

– Es un problema de confianza, y no de seguridad

Amenazas de Seguridad derivadas de la Tecnología

• En el nuevo entorno cada PC ha de ser seguro por si mismo.

• Seguridad Física: – Ya no cuenta con la protección física de nuestras oficinas

– Hay que proteger la información a nivel físico (TPM, Bitlocker, Bitlocker to go, etc…)

• Seguridad en toda la pila de Software: – El Software a utilizar ha de estar bien desarrollado (SDL)

– El Sistema ha de tener su propio software de seguridad: Firewall, IDS, Antivirus, etc..(FEP 2010 incluye todo)

– Sistema Operativo ha de contar con funcionalidad para conexiones sencillas y seguras. (DirectAccess)

• PRIVACIDAD

Amenazas - PC

• En el nuevo entorno cada dispositivo ha de ser seguro por si mismo y cumplir con los requisitos legales.

• Seguridad Física:

– O no han de almacenar información o esta ha de estar protegida

– Funcionalidades de borrado en remoto

• Seguridad en toda la pila de Software:

– El Software a utilizar ha de estar bien desarrollado (SDL)

– El Sistema ha de tener su propio software de seguridad: Firewall, IDS, Antivirus, etc.

– Gestión del dispositivo

– Borrado en remoto

– Gestión de Usuarios

– Gestión y auditoria de la Información.

– Cifrado

– Control sobre la instalación de aplicaciones

– Conectividad Segura

• PRIVACIDAD

Amenazas– Otros Dispositivos

• En el nuevo entorno cambian mas cosas de las que parecen. – Arquitectura de Red abierta

• Ubicuidad de los datos

• Ubicuidad de los usuarios y sus terminales

– Compartición de Procesos y responsabilidades

• Gestión de la seguridad entre proveedor y cliente

– Acceso

– Identidad

– Regulación

– Protección de Datos

– Auditoria y Forense

Además de entender el entorno, es necesario un buen entendimiento entre el proveedor y el cliente

Amenazas filosóficas y de procedimiento

• El desconocimiento del entorno nos lleva a los 7 pecados capitales

Amenazas de método y procedimiento

Ignorancia

Ambigüedad

Duda

Transgresión

Desorden

Engreimiento

Complacencia

Consideraciones de Seguridad en «La Nube»

Gestión de Riesgos y Regulación

Gestion de Identidad y Accesos

Integridad del Servicio

Integridad del Punto Final

Protección de la Información

• La Conformidad/Legalidad sigue siendo una tarea del Cliente

• Es necesario una gestión de Riesgos al adoptar una solución en la nube.

• La colaboración entre el cliente y el proveedor es esencial – Se necesita cierto grado de trasparencia en los procesos

• Es necesario un equipo interno fuerte – Negociación del Contrato

– Definición de las métricas y el control

– Integración de los Controles en los procesos internos

Gestión del Riesgo y Regulación

Los requisitos de Conformidad pueden conseguirse con un equipo interno capacitato y un cierto nivel de transparencia en los procesos del provvedor.

• La Colaboración entre Dominios requiere de Identidades de Seguridad – Personas y Dispositivos

• Basado en Pruebas Personales o Similar

• Basado en reclamo.

• Basado en Estándares de Interoperabilidad

• Ha de existir un equilibrio entre Privacidad vs. Autenticación

• Los Procesos han de poder incluir varios proveedores

Gestión de Acceso e identidad

Cualquier sistema de Identidad Digital en “La Nube” ha de ser Interoperable entre varias organizaciones y proveedores , y ha de estar basado en fuertes

procesos.

• Desarrollo e Ingenieria del Servicio – Son necesarios Procesos de ingenieria serios y transparentes

• Requerimientos

• Diseño

• Implementación

• Verificación

• Públcio

• Respuesta

– Probado

– Basado en Modelo de Amenazas o Similar

Integridad del Servicio

El Proveedor debe de seguir un proceso claro, definido y probado para integrar seguridad y privacidad en el servicio desde el principio y para todo el ciclo de

vida.

• Prestación del Servicio – Los procesos internos deven de poder cubrir varios proveedores

• Monitorización de la Seguridad

• Audoria

• Forense

• Respuesta a incidentes

• Continuidad del negocio

• Etc.

– Los requerimientos dependen de la aplicación y las necesidades de la información

Integridad del Servicio

Las capacidades de prestación del servicio del proveedor y las nececesidades de auditoria y gestion de la seguridad del cliente, han de estar alineadas.

• Dispositivos de conexión

• Es parte de la cadena de prestación del servicio

• A menudo objeto de ataques de ingeniería social (y similares)

• Revisar con los procesos y políticas de cada día

Integridad del Punto Final

Es muy importante incluir el Punto Final en cualquier consideración de seguridad para un servicio en «La Nube»

• El fundamento es la Clasificación de los datos – Requerimientos

– Necesidades Legales

• Se necesita que la protección de los datos sea Persistente – Cifrado/Gestión de los derechos digitales

• Ha de cubrir toda la transacción – Los datos durante el Transito

• Nuevos Retos – Soberanía de los Datos

– Acceso a la información

– Procesamiento y Partición de los datos

Protección de la Información

La Implementación de una Clasificación de los dato ayuda a decidir que datos estan listos para “La Nube” bajo que circunstancias , y con que controles

• Es necesario un equipo interno bien formado en temas relacionados con la nube

• Elegir el Modelo de despliegue adecuado (Privada, Comunitaria o Publica)

• Son obligatorios los planes de riesgos y de cumplimiento de normativa.

• El proveedor debe de tener procesos transparentes, control del cumplimiento legales y auditoria

• La clasificación de los datos es clave

• Control sobre el Ciclo de Vida de la Información

• Mejores controles de acceso y federación de identidad

Recommendations

Iniciativa Confianza Extremo a Extremo

SDL y SD3

Defensa en profundidad

Mitigación amenazas

“I+4

A”

Reclamos de Identidad

Autenticación Autorización Mecanismos

Control de Accesos

Gente de Confianza

Datos de Confianza

Software de Confianza

Hardware de Confianza

• Microsoft Government Cloud Site

– http://www.microsoft.com/govcloud

• Microsoft Windows Azure

– http://www.microsoft.com/windowsazure/

• Security Best Practices For Developing Windows Azure Applications

– http://download.microsoft.com/download/7/3/E/73E4EE93-559F-4D0F-A6FC-7FEC5F1542D1/SecurityBestPracticesWindowsAzureApps.docx

• Cloud Computing Security Considerations

– http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=3269a73d-9a74-4cbf-aa6c-11fbafdb8257

• Building Confidence in Cloud Computing (US)

– http://www.microsoft.com/presspass/presskits/cloudpolicy/

• Microsoft Generation 4 Datacenter videos:

– http://www.microsoft.com/video/en/us/details/36db4da6-8777-431e-aefb-316ccbb63e4e

– http://www.microsoft.com/showcase/en/us/details/84f44749-1343-4467-8012-9c70ef77981c

• Microsoft Datacenter information site:

– http://www.globalfoundationservices.com/

Recursos