protección de la transición a la nube privada · pdf file(por ejemplo, rsa...
TRANSCRIPT
Proteccin de la transicin a la nube privada
Nombre: Roger Heule
RSA, la Divisin de Seguridad de EMC
Fecha: 15 de julio de 2010
La voz del cliente
Objetivo del negocio (director de seguridad):
Administrar el riesgo y el cumplimiento de normas en la transicin de la produccinde TI a la produccin del negocio
Objetivo del negocio (director de TI):
Acelerar/iniciar la virtualizacin de las aplicaciones crticas del negociopara seguir optimizando los costos
2
Inconveniente: los profesionales y la
tecnologa de seguridad no han seguido el
ritmo de la virtualizacin Se debe recurrir
al aislamiento fsico, que limita la
consolidacin de servidores
Inconveniente: dificultad y costos elevados
para responder a las auditoras de
cumplimiento de normas para ambientes
virtuales
Inconveniente: aumento en el costo
y la complejidad de la virtualizacin debido
a la falta de consistencia en la seguridad
fsica y virtual
Inconveniente: mantenimiento de la
separacin de las tareas y administracin
de riesgos de abusos por parte de usuarios
con privilegios, a pesar de la convergencia
de los niveles de infraestructura
Inconveniente: vulnerabilidad percibida
del hipervisor, que puede convertirse
en el eslabn ms dbil de la cadena
Inconveniente: posibilidad de que
se agraven los errores debido a la
frecuencia y la facilidad con que se
realizan cambios en los ambientes
virtuales
La voz del cliente
Objetivo del negocio (director de seguridad):
Administrar el riesgo y el cumplimiento de normas en la transicin de la produccinde TI a la produccin del negocio
Objetivo del negocio (director de TI):
Acelerar/iniciar la virtualizacin de las aplicaciones crticas del negociopara seguir optimizando los costos
3
Oportunidad: aprovechamiento de la virtualizacin para mejorar
la administracin de la seguridad y su aplicacin
Consideraciones de seguridad para la transicin
Consolidacin de la
infraestructura de
TI por encima de
un nuevo nivel de
software debajo
del nivel del SO
Punto ventajoso
para la aplicacin
de seguridad
Host virtual
Aplic.
SO husped
Firmware virt.
Switch virt.
Hipervisor
HardwareTI como
servicio
La separacin de tareas se ve afectada
Los equipos de operaciones deben volver
a recibir capacitacin y orientacin
Se presenta una oportunidad para
mejorar las operaciones de seguridad
4
Administrador
de redes
Administrador
de seguridad
Administrador
de hosts
Administrador
de virtualizacin
Visibilidad de los
proveedores de
servicio externos
Cuestiones de
tenencia mltiple
segura
Confiabilidad
Administracin de la seguridad ante amenazas cadavez mayores, tecnologas en desarrollo, nuevosmodelos de negocios
No se trata de una tarea fcil
Crecimiento de la informacin
Capacidad de transferencia, virtualizacin y nube
Panorama de amenazas en desarrollo
Colaboracin/intercambio
Personaldeorganismo
Usuarios con privilegios
- Anlisisdel negocio
- Registroselectrnicos
de salud
- Rplica
- Discopara backup
- Cinta de backup
- SharePointRoom, etc.
- File server
- Arreglosde discos
- Base de datosde produccin
- Mdicos
- Usuarios
clnicos
Aplic./BD AlmacenamientoFS/CMSRedTerminal
Robo/
prdida de
terminales
Filtraciones en la red
Correo electrnico,
IM, HTTP, FTP, etc.
Infracciones de
usuarios con
privilegios
Acceso
inapropiado
Cintas perdidas
o robadas
Filtracin
de datosAtaque de acceso a
infraestructura pblica
Distribucin
no intencional
Uso indebido de
usuario (semi)
confiable
Explotacin
de discos
desechados
- Pacientes
Empleados remotos
Canales
VPN
Puntos de entrada
para partners
Partners
Canales
Clientes
Canales
Puntos de entrada
para partners
5
Usuarios con privilegios
Usuarios con privilegios
Usuarios con privilegios
El camino hacia la nube privada
15%
30%
70%
85%95%
Produccin de TIReducir los costos
Produccin del negocioMejorar la calidad del servicio
TI como servicioMejorar la agilidad
Porcentaje
virtualizado
Alta
disponibilidad
Proteccin
de datos
6
15%
30%
70%
85%95%
Produccin de TIReducir los costos
Produccin del negocioMejorar la calidad del servicio
TI como servicioMejorar la agilidad
Porcentaje
virtualizado
Alta
disponibilidad
Proteccin
de datos
Proteccin de la transicin a la nube privadaEtapa 1: Proteccin de la infraestructura
Visibilidad de la infraestructura de virtualizacin, monitoreo de
usuarios con privilegios, seguridad de red para administracin
del acceso, cumplimiento de normas de la infraestructura
7
Etapa 1: Proteccin de la infraestructura
Ampliacin de los controles de seguridad existentes en la nuevainfraestructura de virtualizacin
Consolidacin de la plataforma
(por ejemplo, guas de consolidacin
de VMware vSphere)
Autenticacin slida y separacin
de funciones para administradores
Monitoreo de usuarios con privilegios
e informes de eventos de seguridad
Administracin de cambios
y configuraciones
8
ESTABLECIMIENTO DE UN ENFOQUE BASADO EN RIESGOS
Qu nivel de control necesito?
Dnde comenzar
EJECUCIN DE UNA ESTRATEGIA PARA EL CUMPLIMIENTO DE NORMAS
Cumplo mis objetivos de control?
ESTABLECIMIENTO DE UN BUEN MANEJO Y CONTROL
Qu controles necesito?
Dnde deben implementarse estos controles?
9
Buen manejo y control, riesgo y cumplimientode normas
ESTABLECIMIENTO DE UN BUEN MANEJO Y CONTROL
Administracin de polticas Administracin empresarial
Establecimiento de un enfoque basado en riesgos
Ejecucin de una estrategia para el cumplimiento de normas
10
Administracin del cumplimiento de normasen las infraestructuras fsicas y virtuales
11
Proteccin de la plataforma principal Vblock
RSA SecurID
Autenticacin slida
antes del acceso a
ESX Service Console y
vSphere Management
Assistant
vSphere
Management
Assistant
RSA enVision
Visibilidad integral de los
eventos de seguridad
Administracin de
incidentes de seguridad,
creacin de informes de
cumplimiento de normasGua de
seguridad
de Vblock
vSphere
Almacenamiento
UCS
12
Operaciones de TI
Operacionesde seguridad
RSA enVision: un panel para monitoreode los eventos de seguridad
13
Red
Ejemplo de proteccin de la infraestructura:seguridad lgica/dinmica frente a seguridadde permetro
Las soluciones de seguridad basadasen los permetros fsicos de red resultanineficientes en la nube privada
VMware vShield Zones permite la construccin de zonas mediante el agrupamiento de conjuntos arbitrariosde mquinas virtuales y protege el trficoque entra en las zonas y sale de ellaspor medio del firewall esttico.
Las polticas de seguridad deben mantener su nivel de eficiencia cuando las mquinas virtuales se transfieren.
14
INTERNET
APLIC.
SO
APLIC.
SO
APLIC.
SO
Zona 1 Zona 2 Zona 3
APLIC.
SO
APLIC.
SO
APLIC.
SO
APLIC.
SO
VMware
vSphere
VMware
vSphere
VMware
vSphere
VMware
vSphere
Proteccin de la transicin a la nube privadaEtapa 2: Proteccin de la informacin
15%
30%
70%
85%95%
Produccin de TIReducir los costos
Produccin del negocioMejorar la calidad del servicio
TI como servicioMejorar la agilidad
Porcentaje
virtualizado
Alta
disponibilidad
Proteccin
de datos
Seguridad centrada en la informacin, polticas determinadas por los riesgos, alineamiento
de operaciones de seguridad y TI, cumplimiento de normas de informacin
Visibilidad de la infraestructura de virtualizacin, monitoreo de usuarios con privilegios, seguridad
de red para administracin del acceso, cumplimiento de normas de la infraestructura
15
RSA DLPEnterpriseManager
DLP Network DLP EndpointDLP Datacenter
Descubra datosconfidenciales desdecualquier ubicacin
Implemente controles en los datos confidenciales
Monitoree todo el trfico para buscar datos
confidenciales
Implemente controles en las transmisiones
confidenciales
Descubra datosconfidenciales y monitoreelas acciones de los usuarios
Implemente controles en los datos y en las acciones
de los usuarios
Administracinde polticas
Administracinde sistemas
Creacin de informes y tablero
Flujo de trabajode incidentes
PolticasIncidentes
Controles de implementacin y capacitacin de usuarios finales
Ventajas de RSA Data Loss Prevention Suite
DLP SDK
Solucionesde partners(DLP como
complemento)
Ejemplo de proteccin de la informacin:Proteccin de informacin confidencial