Upload File

seguridad en la nube exposicion completa

54
Equipo Auditores Informáticos INTEGRANTES Lic. Pedro J. Salomon Lic. Efraín Santos Lic. Enmanuel Santos Lic. Leandro Frías Toribio Seguridad en La Nube Cloud Computing

Upload: maxwell-kenshin

Post on 26-May-2015

1.630 views

Category:

Education


1 download

Report

TRANSCRIPT

  • 1. INTEGRANTESLic. Pedro J. Salomon Lic. Efran SantosLic. Enmanuel Santos Lic. Leandro FrasToribio

2. Indice de temas a tratarCLOUD COMPUTINGTipos de Infraestructuras Cloud Pblico Privado Comunitario HbridosTipos de servicios Cloud Software como Servicio (SaaS) Plataforma como Servicio (PaaS) Infraestructura como Servicio (IaaS) 3. SEGURIDAD EN CLOUDAmenazas segn CSA (Cloud Security Alliance) Abuso y mal uso del cloud computing Interfaces y API poco segurosAmenaza interna Problemas derivados de las tecnologas compartidas Perdida o fuga de informacin Secuestro de sesin o servicio Riesgos por desconocimientoRiesgos detectados por Gartner Accesos de usuarios con privilegios Cumplimento normativo Localizacin de los datos Aislamiento de datos Recuperacin Soporte investigativo Viabilidad a largo plazo 4. Aspectos clave de seguridad en cloud segnNIST Gobernanza Cumplimiento Confianza Arquitectura Identidad y control de acceso Aislamiento de Software Proteccin de Datos Disponibilidad Respuesta a incidentesRecomendaciones de seguridad segn NIST 28 5. Tipos de Infraestructura CloudPblicoEs aquel tipo de cloud en el cual la infraestructura y losrecursos lgicos que forman parte del entorno seencuentran disponibles para el pblico en general atravs de Internet.Suele ser propiedad de un proveedor que gestiona lainfraestructura y el servicio o servicios que se ofrecen. VENTAJASINCONVENIENTESEscalabilidad.Se comparte la infraestructura con ms organizaciones.Eficiencia de los recursosPoca transparencia para el cliente, mediante los modelos de pago porya que no se conoce el resto de uso. servicios que comparten recursos, almacenamiento, etc.Gran ahorro de tiempo y costes.Dependencia de la seguridad deun tercero. 6. Tipos de Infraestructura CloudPrivadoEste tipo de infraestructuras cloud se crean con losrecursos propios de la empresa que lo implanta,generalmente con la ayudade empresasespecializadas en este tipo de tecnologas. VENTAJASINCONVENIENTESCumplimiento de las polticasElevado coste material. internas.Facilidad para trabajo colaborativo Dependencia de la infraestructura entre contratada.sedes distribuidas.Control total de los recursos.Retorno de inversin lento dado su carcter de servicio interno. 7. Tipos de Infraestructura CloudComunitarioUn cloud comunitario se da cuandodos o msorganizaciones forman una alianza para implementaruna infraestructura cloud orientadaa objetivossimilares y con un marco de seguridady privacidadcomn.VENTAJAS INCONVENIENTES Cumplimiento con las polticas Seguridad dependiente del internas. anfitrin de la infraestructura.Reduccin de costes al compartir Dependencia de la infraestructurala infraestructura y recursos.contratada.Rpido retorno de inversin. 8. Tipos de Infraestructura CloudHbridosEste es un trmino amplio que implica la utilizacinconjunta de varias infraestructuras cloud de cualquierade los tres tipos anteriores, que se mantienen comoentidades separadas pero que a su vez se encuentranunidas porla tecnologaestandarizadaopropietaria, proporcionando una portabilidad de datos yaplicaciones.En este caso las ventajas e inconvenientes son losmismos que los relativos a los tipos de cloud queincluya la infraestructura. 9. Tipos de Servicios CloudSoftware como servicio (SaaS)Este modelo, Software como servicio o SaaS (delingls, Software as a Service) consiste en undespliegue de software en el cual las aplicaciones ylos recursos computacionales se han diseado paraser ofrecidos como servicios de funcionamiento bajodemanda, con estructura de servicios llave en mano.De esta forma se reducen los costes tanto desoftware como hardware, as como los gastos demantenimiento y operacin.Las consideraciones de seguridad son controladaspor el proveedor del servicio. El suscriptor delservicio nicamente tiene acceso a la edicin de laspreferencias y a unos privilegios administrativoslimitados. 10. Tipos de Servicios CloudPlataforma como servicio (PaaS)Este es el modelo de Plataforma como servicio oPaaS (del ingls, Platform as a Service) en el cual elservicioseentregacomobajodemanda, desplegndose el entorno (hardware ysoftware) necesario para ello. De esta forma, sereducen los costes y la complejidad de la compra, elmantenimiento, el almacenamiento y el control delhardware y el software que componen la plataforma.El suscriptor del servicio tiene control parcial sobrelas aplicaciones y la configuracin del entorno ya quela instalacin de los entornos depender de lainfraestructura que el proveedor del servicio hayadesplegado. La seguridad se comparte entre elproveedor del servicio y el suscriptor. 11. Tipos de Servicios CloudInfraestructura como Servicio (IaaS)El fin principal de este modelo es evitar la compra derecursos por parte de los suscriptores, ya que elproveedor ofrece estos recursos como objetosvirtuales accesibles a travs de un interfaz deservicio.El suscriptor mantiene generalmente la capacidad dedecisin del sistema operativo y del entorno queinstala. Por lo tanto, la gestin de la seguridad correprincipalmente a cargo del suscriptor. 12. Enmanuel SantosSeguridad en Cloud 13. Amenazas segnCSA Security Alliance Cloud Abuso y mal uso del cloud computing:afecta principalmente a los modelos IaaS y PaaS. Cualquier persona puede acceder a la nube. Recomendaciones: Implementar un sistema de registro de acceso ms restrictivo. Monitorizar el trafico de clientes para la deteccin de posibles actividades ilcitas. Comprobar las listas negras pblicas para identificar si los rangos IP de la infraestructura han entrado en ellas. 14. Interfaces y API poco seguros: Los servicios de control, monitorizacin yprovisin se realizan a travs de lasAPI, las cuales muestran debilidades porparte de los proveedores.Ejemplos: Permitir acceso annimo, reutilizacin de tokens, autenticacin sincifrar, etc. Limitaciones a la hora de gestin de logs (registros de actividad) ymonitorizacin.Recomendaciones: Analizar los problemas de seguridad de las interfaces de los proveedores de servicio. Asegurarse que la autenticacin y los controles de acceso se implementan teniendo en cuenta el cifrado de los datos. 15. Amenaza interna : La amenaza que suponen los usuarios es una de lasms importantes, ya que estos puedendesencadenar incidentes de seguridad provocadospor empleados desconectados, accidentes por erroro desconocimiento. Recomendaciones: Especificar clusulas legales y de confidencialidad enlos contratos laborales. Los proveedores de servicio debern proveer a losconsumidores del servicio de medios y mtodos para elcontrol de las amenazas internas. Problemas derivados de las tecnologas compartidas: Esta amenaza afecta a los modelos IaaS, ya que en un modelo deInfraestructura como Servicio los componentes fsicos (CPU, GPU,etc.) no fueron diseados especficamente para una arquitectura deaplicaciones compartidas. Recomendaciones: Monitorizar los entornos para detectar cambios no deseados enlas configuraciones o la actividad. Proporcionar autenticacin fuerte y control de acceso para elacceso de administracin. 16. Prdida o fuga de informacin: En la nube, aumenta el riesgo de que los datos sevean comprometidos ya que el nmero deinteracciones entre ellos se multiplica debido a lapropia arquitectura de la misma. mal uso de las claves de cifrado y de software autenticacin, autorizacin y auditoria dbil Recomendaciones: implementar API potentes para el control de acceso. proteger el trnsito de datos mediante el cifrado de los mismos. analizar la proteccin de datos tanto en tiempo de diseo como entiempo de ejecucin. proporcionar mecanismos potentes para la generacin declaves, el almacenamiento y la destruccin de la informacin. definir, por contrato, la destruccin de los datos antes de que losmedios de almacenamiento sean. 17. Secuestro de sesin o servicio: En un entorno en la nube, si un atacante obtiene las credenciales de un usuario del entorno puede acceder a actividades y transacciones, manipular datos, devolver informacin falsificada o redirigir a los clientes a sitios maliciosos.Recomendaciones: prohibir, mediante polticas, compartir credenciales entre usuarios y servicios aplicar tcnicas de autenticacin de doble factor siempre que sea posible monitorizar las sesiones en busca de actividades inusuales Riesgos por desconocimiento : Uno de los pilares de las infraestructuras cloud es reducir lacantidad de software y hardware que tienen que adquirir ymantener las compaas, para as poder centrarse en el negocio. Recomendaciones: tener acceso a los logs (registros de actividad) de aplicaciones ydatos estar al corriente, total o parcialmente, de los detalles de lainfraestructura 18. Riesgos Detectados por GartnerGartner S.A. es una compaa de investigacin y consultora detecnologas de la informacin, con sede en Stamford, Connecticut,Estados Unidos. Se conoca como Grupo Gartner hasta 2001.Accesos de usuarios con privilegios: El procesamiento o tratamiento de datos sensibles fuera de las instalaciones de la empresa conlleva un riesgo inherente, ya que es posible que estos servicios externos sorteen los controles fsicos, lgicos y humanos siendo, por este motivo, necesario conocer quin maneja dichos datos.Cumplimento normativo: Los clientes son en ltima instancia responsables de la seguridad e integridad de sus datos, aunque estos se encuentren fuera de las instalaciones y gestionados por un proveedor de servicios cloud.Localizacin de los datos: Se debe consultar con los proveedores cul es el marco regulatorio aplicable al almacenamiento y procesado de datos, siendo una buena prctica cerrar un acuerdo con el proveedor para que el tratamiento de los datos se subyugue al marco legal del pas del 19. Aislamiento de datos: Los datos en los entornos cloud comparteninfraestructura con datos de otros clientes. El prestador del servicio debe garantizar que losdatos en reposo estarn correctamente aislados yque los procedimientos de cifrado de lainformacin serealizarnporpersonalexperimentado, ya que el cifrado de los datos malrealizado tambin puede producir problemas con ladisponibilidad de los datos o incluso la prdida delos mismos. Recuperacin: Los proveedores de servicio deben tener una poltica derecuperacin de datos en caso de desastre. Se debe exigir a los proveedores los datos sobre la viabilidad deuna recuperacin completa y el tiempo que podra tardar. 20. Soporte investigativo: La investigacin de actividades ilegales en entornos cloud puedeser una actividad casi imposible, porque los datos y logs (registrosde actividad) de mltiples clientes pueden estar juntos e inclusodesperdigados por una gran cantidad de equipos y centros dedatos. Viabilidad a largo plazo: En un entorno ideal un proveedor de servicios cloud siemprepermanecer en el mercado dando un servicio de calidad y con unadisponibilidad completa, pero el mercado es cambiante y cabe laposibilidad de que el proveedor sea comprado o absorbido poralguno con mayores recursos. El cliente debe asegurarse que podr recuperar sus datos an en elcaso de que el proveedor sea comprado o absorbido por otro o biencontemplar la posibilidad de que los datos puedan ser migrados a lanueva infraestructura. 21. Aspectos de Seguridad SegnNIST Efran Santos 22. seguridad en Clud segnEl Instituto Nacional de Normas y Tecnologa (NIST por sussiglas en ingls, National Institute of Standards andTechnology) es una agencia de la Administracin deTecnologa del Departamento de Comercio de los EstadosUnidos.La misin de este instituto es promover la innovacin y lacompetencia industrial en Estados Unidos mediante avancesen metrologa, normas y tecnologa de forma que mejoren laestabilidad econmica y la calidad de vida. Dicha institucinha publicado una gua Guidelines on Security and Privacyin Public Cloud Computing en las que propone unosNISTrefuerzos de seguridad centrndose en una clasificacinparticular. Se resume a continuacin: 23. Aspectos clave de seguridad enCloud segn NIST Gobernanza Cumplimiento Ubicacin de los datos Investigacin electrnica Confianza Acceso desde dentro Propiedad de los datos Servicios complejos Visibilidad Gestin de riesgo 24. Gobernanzaobernanza 25. La gobernanza implica el control y la supervisin de laspolticas, los procedimientos y los estndares para eldesarrollo de aplicaciones, as como el diseo, laimplementacin, las pruebas y la monitorizacin de losservicios distribuidos. El cloud, por su diversidad deservicios y su amplia disponibilidad, amplifica lanecesidad de una buena gobernanza.Garantizar que los sistemas son seguros y que losriesgos estn gestionados es un reto en cualquierentorno cloud. Es un requisito de seguridad instalaradecuadamente los mecanismos y herramientas deauditora para determinar cmo se almacenan losdatos, cmo se protegen y cmo se utilizan tanto paravalidar los servicios y como para verificar elcumplimiento de las polticas. 26. CumplimientoEl cumplimiento obliga a la conformidad conespecificaciones estndares, normas o leyesestablecidas. La legislacin y normativa relativaa privacidad y seguridad vara mucho segn lospases con diferencias, en ocasiones, a nivelnacional, regional o local haciendo muycomplicado el cumplimientoen cloudcomputing. 27. Ubicacin de los datosEn cloud computing la ausencia de informacin acercade cmo se ha implantado la infraestructura, por lo cualel suscriptor no tiene prcticamente informacin de cmoy dnde son almacenados los datos ni de cmo seprotegen los mismos. La posesin de certificaciones deseguridad o la realizacin de auditoras externas porparte del proveedor mitiga, en parte, el problema aunquetampoco es una solucin.Cuando la informacin se mueve por diferentespases, sus marcos legales y regulatorios cambian yesto, obviamente, afecta a la forma de tratar los datos.Por ejemplo, las leyes de proteccin de datos imponenobligaciones adicionales a los procedimientos de manejoy procesamiento de datos que se transfieren a EEUU. 28. Investigacin electrnicaLa investigacin electrnica se ocupa de laidentificacin, la recoleccin, el procesamiento, elanlisis y la produccin de los documentos en lafase de descubrimiento de un procedimientojudicial. Las organizaciones tambin tienenobligaciones para la preservacin y la generacinde los documentos, tales como cumplir con lasauditoras y solicitudes de informacin. Estosdocumentos no slo incluyen correos electrnicos,adjuntos del correo y otros datos almacenados enlos sistemas, sino tambin metadatos como fechasde creacin y modificacin. 29. ConfianzaEn cloud computing la organizacin cede el controldirecto de muchos aspectos de la seguridadconfiriendo un nivel de confianza sin precedentes alproveedor de cloud.Acceso desde dentroLos datos almacenados fuera de los lmites de unaorganizacin estn protegidos por cortafuegos yotros controles de seguridad que conllevan en smismos un nivel de riesgo inherente. Las amenazasinternas son un problema conocido por la mayorade las organizaciones y aunque su nombre no lorefleje aplica tambin en los servicios cloud. 30. Al traspasar los datos a un entorno cloudoperado por un proveedor, las amenazasinternas se extienden no slo al personal delproveedor sino tambin a los consumidoresdel servicio. Un ejemplo de esto se demostrpor una denegacin de servicio realizada porun atacante interno. El ataque fue realizadopor un suscriptor que cre 20 cuentas yRiesgos y amenazas en Cloud Computing.Lanz una instancia de mquina virtual porcada una de ellas, a su vez cada una deestas cuentas segua creando 20 cuentascada una haciendo que el crecimientoexponencial llevase los recursos a los lmitesde fallo. 31. Servicios complejosLos servicios cloud en s mismos suelen estarformados por la colaboracin y unin de otrosservicios. El nivel de disponibilidad de unservicio cloud depende de la disponibilidad delos servicios que lo componen. Aquellosservicios que dependan de terceros para sufuncionamiento deben considerar elestablecimiento de un marco de control condichostercerosparadefinir lasresponsabilidades y las obligaciones, ascomo los remedios para los posibles fallos. 32. VisibilidadLa migracin a servicios cloud pblicos cede el controlde los sistemas de seguridad a los proveedores queoperan los datos de la organizacin. Laadministracin, los procedimientos y los controlesusados en el cloud deben guardar cierta analoga conlos implantados en la propia organizacin interna paraevitar posibles agujeros de seguridad.Los proveedores de cloud suelen ser bastantecelosos para dar los detalles de sus polticas deseguridad y privacidad, ya que dicha informacinpodra ser utilizada para realizar un ataque. Por logeneral, los detalles de la red y los niveles demonitorizacin de los sistemas no forman parte de los 33. Gestin de riesgosCon los servicios basados en cloud muchos componentes de lossistemas de informacin quedan fuera del control directo de laorganizacin suscriptora. Mucha gente se siente mejor con un riesgosiempre y cuando tengan mayor control sobre los procesos y losequipos involucradosValorar y gestionar riesgos en sistemas que utilizan servicios cloudpuede llegar a ser un desafo. Para llevarlo a la prctica, laorganizacin debe confirmar que los controles de seguridad estnimplementados correctamente y cumplen con los requisitos deseguridad de la empresa. El establecimiento de un nivel deconfianza depende del grado de control que una organizacin estdispuesta a delegar en el proveedor para que sea ste el queimplemente los controles de seguridad necesarios para la proteccinde los datos y las aplicaciones de la organizacin, as como las 34. ArquitecturaLa arquitectura de una infraestructura cloudcomprende tanto hardware como software. Lasmquinas virtuales se utilizan como unidades dedistribucin del software asociadas a dispositivosde almacenamiento. Las aplicaciones son creadasmediante las interfaces de programacin. Suelenenglobar a mltiples componentes de lainfraestructura que se comunican entre s a travsde estas interfaces. Esta comunicacin global dela infraestructura puede derivar en fallos deseguridad. 35. aArquitectur Superficie de ataque Proteccin de la redvirtual Datos Auxiliares Proteccin del cliente Proteccin del servidor 36. Superficie deataqueEl hipervisor de las mquinas virtuales se superponecomo una capa extra de software entre el sistemaoperativo y los recursos hardware y se utiliza paraejecutar las mquinas virtuales multiusuario. Lainclusin de estos hipervisores supone aadir un puntode ataque extra con respecto a las arquitecturastradicionales. Riesgos y amenazas en CloudComputing Son ejemplos de posibles incidentes larevelacin de datos sensibles al realizar la migracinde mquinas virtuales o la ejecucin de cdigoarbitrario en el equipo anfitrin al explotarvulnerabilidades en productos de virtualizacin. 37. Proteccin dela red virtualLa mayora de los productos de virtualizacin soportan lacreacin de conmutadores de red virtuales yconfiguraciones de red como parte del entorno. Asmismo, soportan la creacin de subredes privadas para lacomunicacin entre las maquinas virtuales alojadas en unmismo servidor. Este trfico no puede ser monitorizadopor los elementos fsicos tpicos de la red(cortafuegos,sistemasdeprevencin deintrusiones, etc.). Por ello, se deben extremar lasprecauciones de la seguridad de la red en estasconexiones internas para evitar ataques desde dentro deestas redes virtuales. 38. Datos auxiliaresLo ms normal es que la seguridad en estos entornos secentre en los datos que gestiona la aplicacin, perotambin existen otros datos no considerados tan crticoscuya alteracin, robo o revelacin puede producir seriosincidentes de seguridad (por ejemplo: bases de datos declientes, ficheros depagos,informacindeusuarios, etc.).Otro de los problemas puede producirse al no proteger elacceso a los repositorios de las plantillas de lasmquinas virtuales que contienen las configuraciones pordefecto de las mismas. Compartir este tipo de datos esuna prctica bastante comn en entornos cloud. 39. Proteccin del cliente Los navegadores, como parte primordial de los entornos cloud (ya que tpicamente los accesos se realizan va web), pueden llevar extensiones o plugins con importantes brechas de seguridad. Mantener la seguridad lgica y fsica de la parte del cliente puede ser complicado especialmente para entornos mviles ya que, por su tamao y portabilidad, pueden perderse o ser sustrados. As mismo, los sistemas de escritorio no son actualizados de forma sistemtica provocando que las vulnerabilidades puedan producir brechas de seguridad importantes. 40. Proteccin del servidorLos servidores en los entornos cloud debenserprotegidos tantofsica comolgicamente, de forma que los mismos estnsegmentados y separados para que no sepuedan producir accesos desde zonas noautorizadas.Del mismo modo, en la parte del cliente hayque asegurar el parcheo de los servidorespara que no tengan vulnerabilidades quecomprometan la seguridad del entorno. 41. Leandro Fras T.Aspectos clave de Seguridad enCloud segn NIST Cont. 42. Aspectos clave de Seguridad en Cloud segn NISTIdentidad y Control de Acceso Autenticacin Creciente nmero de proveedores cloud estn soportando el estndar SAML* para autenticacin federada utilizando el protocolo SOAP *. Control de Acceso Es Necesario un control de acceso a recursos utilizando el estndar XACML*, el cualcomplementa a SAML, para una autenticacin mas segura.SAML: Security Assertion Markup LanguageSOAP: Simple Object Access ProtocolXACML: eXtensible Access Control Markup Language 43. Aspectos clave de Seguridad en Cloud segn NISTAislamiento de Software Hipervisor o supervisor de mquina virtual Ejecuta mltiples servidores virtuales en un mismo servidor fsico esto permite aislar el software de forma mas segura. Vectores de ataque Cdigos maliciosos que puede salir de una VM e interferir con otras VM o con el hipervisor. Desbordamiento de buffer para realizar denegacin de servicios. Ataque del hombre en el medio en el proceso de migracin de VM para modificar el cdigo de autenticacin. Instalacin de rootkits para VM durante la migracin de las mismas. 44. Aspectos clave de Seguridad enCloud segn NISTProteccin de Datos Aislamiento de datos En los entornos cloud las bases de datos se componen de un nico gestor de base de datos con una instancia por VM, siendo responsable el proveedor de la seguridad y configuracin. Estos datos son protegidos mediante criptografa. Saneamiento de datos Eliminacin de datos que dejan de ser utilizados. En entornos cloud el medio de almacenamiento es compartido por varios clientes, por lo cual el saneamiento se debe realizar con cautela. 45. Aspectos clave de Seguridad enCloud segn NISTDisponibilidad Fallos temporales Con una fiabilidad de 99.95% se produciran 4,38 horas de cada en un ao, excluyendo las paradas por mantenimiento. Fallos prolongados y permanentes Esto se puede presentar en proveedores que experimentan problemas serios como la bancarrota o la perdida de sus proveedores. Denegacin de Servicios La distribucin dinmica de recursos en entornos cloud habilita posibilidades mayores de que puedan sufrir ataques. Valor concentrado Los entornos cloud concentran gran cantidad de informacin 46. Aspectos clave de Seguridad en Cloud segn NIST Respuesta a incidentes Verificacin Anlisis del ataque Contencin Recoleccin de evidencias Aplicacin de remedios Restauracin del servicio 47. Recomendaciones de seguridad por rea segnNIST 48. Recomendaciones de seguridad por rea segnNIST 49. Preguntas.


Enfilado de Dientes Monoplanos Exposicion de Protesis Completa

Nube redes

nube electronica

exposicion diseño completa

Exposicion Desarrollo Sustentable Completa

Cajas de Carton Corrugado Exposicion Completa

Nube depalabras22

Exposicion Completa de Técnicas de Costos Unidad I

Exposicion completa de etica

Exposicion de Metodologia de La Historiaparte1 Completa

Exposicion Completa Mercadotecnia II

Tratamiento quirúrgico de la obesidad 2 da exposicion completa

Nube Privada

Exposicion adler completa

Exposicion de Metodo Completa

Exposicion adler completa

AVANZAR La computación en la nube, concepto conocido también bajo los términos servicios en la nube, informática en la nube, nube de cómputo o nube de

Exposicion pedagogia completa

Administración de TI para la nube Híbrida€¦ · solución en la nube híbrida completa, como se describe aquí, es que asegura mejor la preparación en el caso de un desastre

Yohana nube

Nube informatica

EXPOSICION - repositorio.flacsoandes.edu.ecrepositorio.flacsoandes.edu.ec/.../11726/2/LBNCCE-msc06-Anon-6722.pdf · La completa reforma y variación que las contribuciones exis

Ley General de Minería Exposicion Completa

EL ERP #1 EN LA NUBE · una completa administración multi-subsidiaria y cumple con las regulaciones contables locales. ERP EN LA NUBE GLOBAL NetSuite ofrece un sistema completo ERP

Exposicion seminario completa

Tres Formas Para Una Nube (I & II) - Partitura Completa

Nube internet

Nube Digital

Exposicion completa sobre rutas de aprendizaje

Nogueras, Luis Rogelio - De Nube en Nube

NUBE ELECTRÓNICA

EXPOSICION COMPLETA

Observacion Exposicion Completa

Exposicion 21 enero-completa

nube tecnologica