La seguridad en la operación de la nube

(El CISO saliendo del banco de suplentes)

Daniel S. LeviDirector de Servicios de Datacenter@danielslevi - dlevi@perceptiongrp.comhttp://dlevi.com/BlogTechie

La nube en un slide (recapitulamos)

PersonalizableControl

Elasticidad Basado en UsoAuto ServicioRecursos

Compartidos

…y si es privada:

Fuente: Microsoft

ITaaS: Maduración de IT end-to-endFlexibilidad y Elasticidad

IT Service Management

Aprovisionamiento de Infraestructura

Monitoreo de infraestructura y performance de

aplicaciones.

Templates de Servicio

Administración de Operaciones

Tickets (incidentes/problemas)

Orquestación de procesos

Administrador de Configuraciones

Backup + DRP

Proveedor A

On-premises

Proveedor B

Múltiples tenants

Admin. del

servicio

Modelo de Servicios

Self-serviceAutomatización

Tecnologías heterogéneas: Hipervisores, Sistemas Operativos, Dispositivos (Tablets, Smartphones), SANs, swichtes, etc.

Identificar

Proteger

DetectarResponder

Recuperar

Framework de mejora de Seguridad para infraestructura crítica

http://www.nist.gov/cyberframework/

Identificar

Proteger

DetectarResponder

Recuperar

Framework de mejora de Seguridad para infraestructura crítica EN LA NUBE

http://www.nist.gov/cyberframework/

Mis datos en la nube. Mi operación (o parte) en la nube.

La diferencia está en el alcanceSaaS PaaS IaaS On-Premise

Data Governance & Administración de riesgo.

Endpoints del cliente

Administración de cuentas y accesos

Infraestructura de identidades

Aplicaciones

Controles de Red

Sistema Operativo

Hosts físicos

Red física

Infraestructura física del Centro de datos.

Cliente

Proveedor

Compartido

¿Por dónde suelen comenzar los problemas?• Usualmente todo comienza en un cliente (o servidor) mal

administrado (ej. ¿cómo están implementadas las políticas de pen drives en tu empresa?)

• Entonces, el siguiente paso es utilizar credenciales legítimas para acceder a la información.

Verizon Data Breach Report 2014 -“85% de las brechas fueron detectadas por terceros”

Compliance en 2014 de acuerdo a PCI

205Cantidad de días promedio que toma a una organización detector la brecha de seguridad

80% 29% 64%

80% 0%Compañías que estaban en clumpimiento al momento de una brecha de Seguridad (sobre 10 años)

De las compañías fallan en la evaluación interna (problemas de sostenimiento de controles)

De las compañías están en situación de cumplimiento a menos de un año de la validación

De las brechas de datos causada por errores humanos y problemas de sistemas

Del ciber espionaje es dado a través de sistemas internos

Fuente: PCI SSC

Del lado del proveedor…

27018 Artículo 29(Unión Europea)

Y, por supuesto, SDLC

• Privacidad de los datos• Compliance• Seguridad de la información (general)• Seguridad en el workflow de contenidos (media)• Seguridad transaccional• Remoción de datos borrados en forma segura

¡Pero son tus datos!

• Sos el dueño y tenés el control de los mismos.• Pero tu proveedor está a cargo del servicio y no puede desentenderse.

Transparencia

Seguridad inherente al modelo de servicios Privacidad desde el diseño Cumplimiento continuo

Y en la práctica, ¿qué tengo que exigirle a mi proveedor?(algunos ejemplos)

SLA (¡obvio!)

Integración con ITaaS

Cómputo

Almacenamiento

• VPN• Encripción fuerte SSL/TLS entre todos los nodos del

servicio (on-premise, proveedor 1, proveedor 2)• Cerrado por defecto. Endpoints internos vs endpoints

externos• Yo defino qué sale y qué no a Internet (en entornos

multicapa)Encripción de las máquinas virtuales.

¡Que el mecanismo sea aplicable fuera de la nube!

• Encripción• Replicación• Repositorio de certificados para las

funciones de seguridad.

Protección en los accesos

Aislación Personal Tecnología

• Mínima intervención humana (por seguridad y por necesidad –escala-)

• Automatización con base de conocimiento

• Contenido aislado de las operaciones

• Autenticación multifactor

• Cero acceso por defecto.

• Múltiples niveles de aprobación (inclusive del cliente según el caso –SaaS-).

• Accesos de menor privilegio.

• Acceso just-in-time

• Acceso sólo suficiente

• Limitado en el tiempo

Desde tu punto de vista

• La nube como una extensión del datacenter• Notación, mantenimiento, procesos.

• Accesos con scripts en forma preferente al portal• ¿Por qué no segregación de suscripciones?• La nube como parte del ejercicio del DRP• ¿Quién monitorea el gasto mensual? ¿Quién los desvíos?

Es hora de que el CISO se ponga creativo

Key: 040F:38AB:A6B2:4039:9AB2

Key: 1391:34AB:381B:C539:0028

Key: 3572:35AB:A982:4129:8DEA

Key: 789A:4594:7AB6:7BBB:6373

Key: 9B53:4B42:C4DA:6AB9:1168

Key: 8904:6ABB:B62A:7393:8BCA

La seguridad en la operación de la nube

(El CISO saliendo del banco de suplentes)

Daniel S. LeviDirector de Servicios de Datacenter@danielslevi - dlevi@perceptiongrp.comhttp://dlevi.com/BlogTechie