CLOUD COMPUTINGMITOS Y VERDADES

Ardita, Julio CésarCTO – CYBSEC

jardita@cybsec.com

Presentada por:

Aclaración:

©© Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.

Agenda

- Cloud computing hoy en día

- Ventajas y desventajas

- Aspectos de seguridad a tener en cuenta

- Conclusiones

Cloud Computing hoy en día

SoleadoNube solitaria

Parcialmente nublado

Nublado Probabilidad de tormentas

Cloud Computing hoy en día

Beneficio de los servicios cloud: Empresas chicas

Madurez de los mercados para adopción de servicios en la nube

Cultura empresarial

Experiencias en la Argentina

5 entre las 138 empresas más importantes del país realizaron

alguna implementación de soluciones o servicios en la nube durante 2011.

La principal barrera para la adopción de soluciones en la nube por parte de las

empresas argentinas es la seguridad .

Fuente: Prince and Cook

- Definiciones.

- Nubes públicas, privadas e híbridas.

- IaaS, PaaS, SaaS.

- Visión del tema:

Cloud Computing hoy en día

SLA’s (la base de todo)

- Acuerdos predefinidos y no negociablesSon los estándares en los modelos cloud ya que permiten la economía de escala.

- Acuerdos negociables Similares a los contratos tradicionales de outsourcing (complejos!).

Cloud Computing hoy en día

Ventajas y desventajas

Ventajas

- Acceso a personal especializado en temas de seguridad- Plataforma más sólida- Disponibilidad de recursos (DRP/BCP)- Backup y recovery- Concentración de información*

Ventajas y desventajas

Desventajas

- Complejidad de sistemas- Ambientes compartidos en distintos niveles- Servicios abiertos hacia Internet- Pérdida de control- Concentración de información*- Menos privacidad

NIST 800-144 - Guidelines on Security and Privacy in PublicCloud Computing – Diciembre 2011

1. Gobierno 6. Aislamiento de software2. Cumplimiento 7. Protección de información3. Confianza 8. Disponibilidad4. Arquitectura 9. Respuesta ante Incidentes5. Identity y Access Management

Aspectos de seguridad a tener en cuenta

Aspectos de seguridad a tener en cuenta

1. Gobierno- Implica el control del proveedor a través de políticas, procedimientos yestándares.

- Se deben definir los roles y responsabilidades entre la organización y elproveedor.

- Se deben tener en cuenta mecanismos de auditoría.

Aspectos de seguridad a tener en cuenta

2. Cumplimiento- Leyes y regulaciones: Entender los distintos tipos de leyes yregulaciones que afectan a la organización y tienen impacto eniniciativas de servicios cloud.

- Ubicación de la información.- Controles de seguridad y privacidad que posee el proveedor.- Mantenimiento de información para análisis legal.

Aspectos de seguridad a tener en cuenta

3. Confianza- Minimizar intrusiones internas: Política de reclutamiento de empleados.- Propiedad de la información: Debe estar firmemente establecida.- Subcontratación de servicios.- Visibilidad: Se debe tener acceso a monitorear los niveles de seguridad.- Información extra: Protección de los sistemas del propio proveedor.- Risk Management: Se debe implementar un programa de riskmanagement y seguirlo.

Aspectos de seguridad a tener en cuenta

4. Arquitectura- Superficie de ataque. Protección del hypervisor y redes deadministración.

- Protección y separación de redes virtuales.- Protección de las imágenes de las VM.- Protección del lado del cliente.

5. Identity and Access Management- Autenticación: Soporte SAML y/o OpenID.- Control de acceso: XACML.

SAML: Security Assertion Markup LanguageXACML: eXtensive Access Control Markup Language

Aspectos de seguridad a tener en cuenta

6. Aislamiento de software- Complejidad del hypervisor: Entender que tecnología utiliza el proveedor.- Vectores de ataque: Distribución de código malicioso, denegación de servicio, migraciones “live”, ataques man-in-the-middle, entre otras.

7. Protección de la información- Concentración del valor: ¿Dónde está lo más valioso?- Mecanismos de separación de información (File Server,DB, Registros).

- Procesos de Data Sanitization.- Proceso de salida: ¿Cómo me llevo la información?

Aspectos de seguridad a tener en cuenta

8. Disponibilidad- Cortes temporarios de servicio y/o pérdida de performance.- Cortes prolongados y permanentes.- Denegación de servicio.

9. Respuesta ante incidentes- Disponibilidad de información. Acceso a los recursos donde pueda existirevidencia.

- Análisis de incidentes y resolución de los mismos.

Conclusiones

Los servicios cloud todavía se muestran incipientes en laArgentina.

Los lineamientos que vimos nos permiten tener en cuentatodos los aspectos de seguridad sobre los servicios cloud yfinalmente definir el nivel de riesgo existente . Luego es unadecisión de la organización.

Comenzar de a poco …

Gracias por asistir a esta sesión…

Para mayor información:

Los invitamos a sumarse al grupo “Segurinfo” en

Julio César ArditaCTO - CYBSEC

jardita@cybsec.com

Para descargar esta presentación visite www.segurinfo.org