Asegurando la nube para entidades gubernamentales

Transcripción

1 Enero de 2013 Informe de la industria Asegurando la nube para entidades gubernamentales Un resumen de los problemas de seguridad en la nube que deben afrontar las organizaciones gubernamentales y las tecnologías de Intel para brindar seguridad a la nube del gobierno. Por qué debería leer este documento? Este informe ofrece una síntesis de los beneficios y de los desafíos a la seguridad de las infraestructuras basadas en la nube para agencias y organizaciones gubernamentales, con una introducción a las tecnologías de Intel orientadas a fortalecer la nube de estas instituciones. Este informe: Analiza cómo el modelo de computación en la nube puede reducir los costos operativos de las agencias gubernamentales y mejorar la prestación de servicios a los ciudadanos y otros electores. Examina problemas reales de seguridad, regulación y cumplimiento que han desacelerado el ritmo en que el gobierno realiza implementaciones en la nube. Describe cómo la encripción de datos puede ayudar a proteger datos personales confidenciales cuando suben y bajan de la nube. Explica cómo la autenticación basada en hardware puede validar la identidad y el acceso a la nube de entidades gubernamentales para ayudar a garantizar que solo ingresen los usuarios autorizados. Examina cómo los gateways de servicios ofrecen puntos de aplicación API en el perímetro de la red para reducir el riesgo de ataques perpetrados dentro de los contenidos contra organizaciones gubernamentales. Analiza cómo las plataformas virtualizadas pueden ser más seguras con una base de hardware confiable que ayude a garantizar la integridad del sistema y a sentar las bases para ofrecer computación confiable en ambientes dinámicos.

2 Enero de 2013 Informe de la industria Asegurando la nube para entidades gubernamentales Un resumen de los problemas de seguridad en la nube que deben afrontar las organizaciones gubernamentales y las tecnologías de Intel para brindar seguridad a la nube del gobierno. Nigel Ballard, Director de Marketing Federal, Intel Americas Kevin Fiftal, Director Civil Federal, Intel Americas

3 Contenido 3 Asegurando la nube para las entidades gubernamentales 3 Beneficios de la computación en la nube para el gobierno 4 Prestación mejorada de servicios gubernamentales 5 Preocupaciones acerca de si la computación en la nube cumple con la seguridad y las normas gubernamentales 6 Los ambientes en la nube presentan una serie de desafíos a la seguridad 8 Proteger la nube gubernamental con enfoques integrales de seguridad 11 Conclusión

4 Asegurando la nube para entidades gubernamentales La computación en la nube presenta un nuevo modelo para mejorar la prestación de servicios gubernamentales e incrementar la agilidad comercial de las agencias, permitiéndoles operar con una mayor eficiencia y rentabilidad. En febrero de 2011, el Gobierno de Estados Unidos publicó la Estrategia Federal de Computación en la Nube 1 que la describe como un profundo cambio económico y técnico, y con un gran potencial para reducir el costo de los sistemas gubernamentales de Tecnologías de la Información (TI) al mismo tiempo que se mejoran las capacidades de TI y se estimula la innovación en soluciones de TI. Sin embargo, el gobierno opera en un ámbito regulado por lo cual la computación en la nube lleva consigo reales preocupaciones sobre la privacidad, la seguridad, el acceso y el cumplimiento de las normas vigentes. Las agencias gubernamentales necesitan una plataforma integral que pueda potenciar la generación de servicios e iniciativas del sector público y al mismo tiempo brindar seguridad y cumplimiento, así como también protección de datos e infraestructura a fin de cumplir con las normas regulatorias. Este documento describe los beneficios que los ambientes de computación en la nube pueden brindar a las entidades gubernamentales y analiza las consideraciones de seguridad y cumplimiento que deben contemplar las infraestructuras de TI del gobierno. Analiza cómo la seguridad en la nube se fortalece con tecnologías Intel que facilitan a las organizaciones gubernamentales la seguridad de los datos, la autenticación de identidades y solicitudes de acceso e incrementan la confianza y el cumplimiento en todo el ámbito de la nube. Beneficios de la computación en la nube para el gobierno Los gobiernos están atravesando un enorme cambio y reforma. Las agencias y organizaciones están presionadas a ofrecer más y mejores servicios mientras reducen costos. Mientras el nuevo mantra es hacer más con menos las instituciones gubernamentales deben encontrar formas más eficientes y efectivas para tratar las necesidades de los ciudadanos. La computación en la nube puede ayudar a resolver algunos de estos desafíos. Las eficiencias y los ahorros en costos posibilitados por la computación en la nube ayudan directamente a reducir los gastos operativos de las instituciones gubernamentales. El monto de ahorros potenciales gracias a la modernización de infraestructuras de computación antiguas en el gobierno es asombroso. El Departamento de Defensa de Estados Unidos estima que tan solo la consolidación del centro de datos dentro de su agencia podría rondar en unos USD 680 millones de ahorros anuales para Y USD 58 millones de ellos provendrían solo de ahorros de electricidad (a partir de una mejor administración de la energía disponible en las computadoras actuales). 2 La agilidad que ofrecen los recursos flexibles y por demanda basados en la nube también puede ayudar a una nueva generación de servicios e iniciativas que permitan a las agencias responder más rápida y creativamente a las necesidades del público que atienden. 3

5 Prestación mejorada de servicios gubernamentales Los recursos de computación flexibles y altamente escalables provistos mediante contextos de computación en la nube permiten una implementación más rápida y sencilla del gobierno electrónico e iniciativas de autogestión ciudadana para mejorar el flujo de la información. Las soluciones basadas en la nube están disponibles para expandir los servicios y el acceso a los datos con mayor seguridad a: Otras agencias y departamentos. Gobiernos estatales y locales. Organizaciones externas donde el gobierno tiene un rol de supervisión, incluyendo atención médica y finanzas. El público en general. Las infraestructuras en la nube también pueden brindar a las agencias gubernamentales una gestión mejorada de la información, con almacenamiento centralizado de datos y redes de alta velocidad; permitiendo una mayor productividad, un mejor soporte a los servicios del gobierno en el campo y una mejora al compartir datos y colaborar. Una infraestructura de computación escalable, eficiente y ágil. Los beneficios de TI básicos de la computación en la nube (mayor disponibilidad, mayor eficiencia, autogestión por demanda y agilidad de TI) brindan numerosas ventajas a las agencias gubernamentales. Las infraestructuras de alta disponibilidad en la nube son escalables según la necesidad y brindan el poder de la computación a cualquier tipo de carga de trabajo. Los servicios pueden prestarse con acceso seguro de la red de banda ancha a dispositivos autenticados o a través de portales de autogestión. Además, la redundancia y la recuperación de desastres son parte de los ambientes de la nube, proveyendo garantía de recuperación de fallas para información sensitiva. Las infraestructuras basadas en la nube también son más eficientes que los centros de datos tradicionales y recortan costos a través de la consolidación de servidores, reducción de administración de TI, desempeño mejorado de la red y mayores ahorros energéticos. La agilidad de las infraestructuras en la nube se demuestra en la capacidad de prestar servicios en cuestión de horas, a diferencia de tiempos de prestación que toman días y semanas usando las operaciones de los centros de datos tradicionales. Esta agilidad es particularmente importante para las organizaciones gubernamentales que suelen enfrentar ámbitos de reformas en tiempos económicos inciertos, permitiéndoles atender la necesidad de evolucionar rápidamente tanto los procesos de negocio como el diseño del flujo de trabajo sin incurrir en gastos significativos de capital e infraestructura. 4

6 Preocupaciones acerca de si la computación en la nube cumple con la seguridad y las normas gubernamentales Mientras que la computación en la nube promete beneficios importantes a la infraestructura de TI, preocupaciones válidas en cuanto a la seguridad y al cumplimiento desaceleran la implementación de la nube en muchas agencias gubernamentales, particularmente aquellas que manejan datos clasificados y protegidos. Las infraestructuras en la nube para agencias gubernamentales deben cumplir con las normas y pautas regulatorias, incluyendo: Estrategia Nacional para las Identidades Confiables en el Ciberespacio (NSTIC, por sus siglas en inglés) que define un ambiente en línea donde las personas, organizaciones, servicios y dispositivos pueden confiar entre sí porque las fuentes que realizan la autorización establecen y autentican sus identidades digitales. Directiva Presidencial de Seguridad Nacional 12 para Estándares de Identidad Comunes para Empleados Federales y Contratistas (HSPD-12) es un estándar obligatorio de formas seguras y confiables de identificación emitidas por el gobierno federal para sus empleados y contratistas a fin de mejorar la seguridad, reducir el fraude de identidad y proteger la privacidad personal. El Estándar Federal de Procesamiento de Información (FIPS, en inglés) 201, titulado Verificación de Identidad Personal (PIV, en inglés) de empleados federales y contratistas, fue desarrollado para cumplir con los requerimientos de la HSPD 12. Programa Federal de Administración de Riesgo y Autorización (FedRAMP, por sus siglas en inglés) es un administrador de riesgo para todo el gobierno focalizado en la estandarización de autorizaciones y en servicios de monitoreo continuo de la seguridad para los sistemas de computación en la nube destinados al uso de múltiples agencias gubernamentales. Administración Federal de Credenciales de Identidad y Acceso (ICAM federal, por sus siglas en inglés) es una iniciativa federal para fusionar las identidades digitales, las credenciales de autenticación y el control de acceso en un solo enfoque de administración integral. Habilitar la confianza y la interoperabilidad Tipos de credenciales Persona, no personas 4 niveles de aseguramiento de la identidad (No confiable a plenamente confiable) Interno para la comunidad federal (IEE) Con otros gobiernos (G2G) Con organizaciones externas (G2B) Con el pueblo estadounidense (G2B) - Dentro de la agencia - Entre agencias - Estado - Local - Tribal - Socios aliados - Industria - Instituciones financieras - Proveedores de atención médica - Contribuyentes - Becarios - Beneficiarios médico /de Medicaid Credenciales PIV Piv Credenciales interoperables Soluciones abiertas: -OpenID -icard -SAML -WSFed -Etc. Acceso lógico, acceso físico El ICAM Federal provee una arquitectura integral para ofrecer confianza e interoperabilidad en las transacciones digitales dentro del gobierno federal de Estados Unidos y sus constituyentes, incluyendo tipos de credenciales requeridas para acceso. 5

7 El Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) trabaja con la industria para desarrollar y aplicar tecnologías, medidas y estándares. El NIST del Departamento de Comercio de Estados Unidos publicó un borrador de una hoja de ruta diseñada para impulsar la adopción de la computación en la nube por parte de las agencias federales, brindar soporte al sector privado, mejorar la información disponible para los tomadores de decisiones y facilitar el desarrollo continuo del modelo de computación en la nube. Como parte de la estrategia federal de computación en la nube, se ha asignado al NIST un rol central en la definición y promoción de estándares, y para la colaboración con los CIOs de las agencias gubernamentales de Estados Unidos, expertos del sector privado y organismos internacionales a fin de identificar y lograr un consenso sobre la tecnología y las prioridades de estandarización. 3 Este borrador está diseñado para respaldar la adopción segura y efectiva del modelo de computación en la nube por parte de agencias federales con el objetivo de reducir costos y mejorar servicios. Define los requerimientos de alta prioridad para estándares, pautas oficiales y desarrollos tecnológicos que deben cumplirse para que las agencias aceleren la migración de los sistemas de TI existentes al modelo de computación en la nube. El consultor senior de computación en la nube Dawn Leaf comentó: Un aporte clave del esfuerzo de la hoja de ruta es enfocar las conversaciones para alcanzar un entendimiento claro entre el gobierno y el sector privado, sobre todo, en los pasos técnicos específicos (estándares, pautas y soluciones tecnológicas) necesarios para mover a TI federales de su estado actual de nube temprana a una adopción completa de la nube, tal como se concibió en la Estrategia Federal de Computación en la Nube de Estados Unidos. Los ambientes en la nube presentan una serie de desafíos a la seguridad Administración de identidad y acceso. Es posible que los marcos existentes de identificación y autenticación de la organización no se extiendan a la nube, y si se basan en combinaciones únicas de usuario/contraseña para aplicaciones individuales pueden representar un eslabón débil en la cadena de seguridad. En la nube, la administración de identidad es clave para mantener la seguridad, la visibilidad y el control centralizado de identidades y acceso por parte de TI. Protección de datos. Los datos almacenados en la nube generalmente residen en un ambiente multi-inquilino, compartiendo un espacio del servidor virtualizado con datos de otros clientes del proveedor de la nube. Las organizaciones gubernamentales que suben datos sensitivos y regulados a la nube deben asegurarse de que esos datos estén controlados y seguros. Uno de los riesgos inherentes al ambiente multi-inquilino y de los recursos de computación compartidos en infraestructuras de nube es la falla potencial de los mecanismos de aislamiento que sirven para separar la memoria, el almacenamiento y el enrutamiento entre inquilinos. Cumplir con las normas y bases federales. Las leyes, normas y reglamentaciones federales requieren un entrelazamiento complejo de mandatos de seguridad y privacidad, haciendo del cumplimiento un asunto potencialmente crítico para la computación en la nube. Para poder cumplir con las estrictas leyes de privacidad de datos, las infraestructuras de la nube deberían poder ser auditables con respecto a características como encripción, controles de seguridad y geo-localización. Confianza. En las infraestructuras de la nube, las organizaciones gubernamentales renuncian al control directo de muchos aspectos de la seguridad, depositando una enorme carga de confianza en el proveedor de la nube. Así, el rol del proveedor es crítico en la respuesta ante incidentes, incluyendo análisis de ataques, contención, conservación de datos, resolución y continuidad del servicio. Para las organizaciones gubernamentales altamente reguladas es un requisito implementar herramientas de administración de datos que den visibilidad de toda la nube para garantizar el cumplimiento de las políticas acordadas. 6

8 Los profesionales de TI del gobierno revelan habilidades que aumentarían la confianza en la nube privada* Crear fronteras de datos para restringir físicamente las cargas de trabajo 76% Garantizar que la infraestructura de la nube esté libre de malware 65% Garantizar que los paquetes de red no hayan sido comprometidos Desarrollar formas para medir los niveles de confianza de las máquinas virtuales 47% 47% *Análisis ampliado de datos de What s Holding Back the Cloud? encuesta de Intel sobre el aumento de confianza de los profesionales de TI en la seguridad de la nube. Arquitectura segura. Para los delincuentes cibernéticos, las infraestructuras de la nube virtualizada ofrecen un campo potencial de ataque incluso mayor que los centros de datos tradicionales. Los ataques violentos que usan malware y rootkits pueden infectar los componentes del sistema en la nube, tales como hipervisores, BIOS y sistemas operativos y propagarse en todo el ambiente. Proteger a una nube gubernamental de un malware requiere de una administración de identidades y APIs en la frontera de la red para garantizar que solo los usuarios autorizados puedan tener acceso, además del establecimiento de bases confiables para asegurar la integridad del sistema. Acceso móvil. El uso de dispositivos móviles para extender los servicios gubernamentales brinda beneficios claros para el personal y público por igual. Sin embargo, acceder a datos confidenciales en dispositivos móviles no seguros conlleva el riesgo de robo o pérdida de datos y su consecuente incumplimiento regulatorio. El aumento de trabajadores móviles y dispositivos móviles en el gobierno está impulsando la necesidad de contar con soluciones de administración de dispositivos y ambientes de API regulados que brinden una transmisión segura de datos y soluciones en todas las redes de banda ancha, protegiendo los dispositivos contra violaciones de datos y acceso no autorizado. El NIST ha publicado un borrador de pautas que indica las tecnologías de seguridad base que los dispositivos móviles deben incluir para proteger la información que manejan. En las empresas y en el gobierno se usan cada vez más smartphones, tabletas y otros dispositivos móviles personales o provistos por la organización. La meta del NIST al publicar las nuevas pautas es acelerar los esfuerzos de la industria a fin de implementar estas tecnologías para dispositivos móviles más ciber-seguros. Las pautas sobre seguridad basadas en el hardware de dispositivos móviles definen los componentes fundamentales de seguridad y las capacidades necesarias para habilitar un uso más seguro de los productos. 7

9 Proteger la nube gubernamental con enfoques integrales de seguridad Las tecnologías actuales pueden reducir mucho los riesgos de seguridad previamente asociados con los ambientes en la nube. Las tecnologías de seguridad con hardware mejorado de Intel ofrecen capacidades resistentes a falsificaciones para proteger mejor las identidades, los datos y la infraestructura de la nube. Las soluciones que usan estas capacidades pueden fortalecer la protección de identidades, incentivar la encripción generalizada para proteger mejor los datos, medir la integridad de la plataforma y hacer respetar políticas de seguridad para cumplir con los requerimientos. Proteger datos en movimiento y en reposo. Proteger los datos confidenciales y regulados es una responsabilidad fundamental del gobierno y la mejor forma para proteger los datos, ya sea en reposo o cuando suben y bajan de la nube, es la encripción que vuelve inutilizables los datos si se vieran comprometidos. También exige conexiones de comunicación seguras, que bloquean el acceso al navegador y encriptan el contenido cuando es transferido sobre la red y en la nube. La encripción de datos basada en Advanced Encryption Standard (AES) depende de los algoritmos de computación intensiva que pueden tener un impacto en el desempeño de la red, particularmente cuando se usa de forma generalizada para proteger volúmenes masivos de información que suben y bajan de la nube. Las soluciones tradicionales de encripción pueden crear bloqueos de los logaritmos computacionales debido a la sobrecarga de desempeño, por lo cual no resultan ideales para proteger el tráfico de datos en la nube. Intel ha trabajado para mitigar estas faltas de desempeño. Advanced Encryption Standard New Instructions de Intel (Intel AES-NI), integradas en los procesadores Intel Xeon, procesadores Intel Core vpro y en procesadores Intel Core seleccionados 4, mejoran el rendimiento al acelerar la ejecución de los algoritmos de encripción hasta 10 veces. 5, 6 Intel AES-NI brinda protección de datos más rápida y accesible haciendo que la encripción generalizada sea un estándar en las redes de la nube donde antes no era posible. Los protocolos de seguridad del navegador Transport Layer Security (TLS) y Secure Sockets Layer (SSL) se usan para garantizar comunicaciones seguras sobre redes, incluyendo Internet, y se utilizan ampliamente para navegación web segura (HTTPS), correo electrónico, mensajería instantánea y voz sobre IP. Estos protocolos son críticos para la computación segura en la nube, y evitan que algún contenido no detectado manipule o espíe el contenido cuando es transferido. Sin embargo, los protocolos tradicionales SSL y TLS incluyen dos fases con computación intensiva: inicio de sesiones y transferencia de datos masivos. Intel hizo dos aportes al protocolo de fuente abierta ampliamente usado, OpenSSL* que mejora muchísimo el desempeño durante estas fases. Una es función de la librería que acelera el inicio de sesión y la segunda permite la ejecución simultánea de encripción y autenticación de datos masivos. Cualquier software que incorpore OpenSSL puede aprovechar automáticamente estas mejoras de Intel. Al acelerar la encripción de datos, asegurar el inicio de sesión y la transferencia masiva de datos, las organizaciones gubernamentales pueden aprovechar mejor los recursos de la red e implementar la protección generalizada desde y hacia la nube sin comprometer el desempeño computacional. 8

10 Acceso más seguro a la nube. Para hacer realidad las ventajas de la computación en la nube y, al mismo tiempo, respetar los estrictos requerimientos de seguridad de datos y cumplimiento regulatorio es necesario fortalecer la plataforma subyacente incluyendo hardware, software y metodologías de procesos. Asegurar tanto las plataformas de servidores como de clientes, proteger las infraestructuras de la nube y administrar las identidades y puntos de control de acceso en la frontera de la red garantiza que solo los usuarios autorizados puedan ingresar a la nube. Como los ataques de malware van más allá del software y apuntan a la plataforma, las organizaciones enfrentan nuevos riesgos desde rootkits y otros ataques a bajo nivel que pueden infectar los componentes del sistema, tales como hipervisores y BIOS, y diseminarse rápido en todo el ambiente de la nube. Proteger la identidad. La protección de una plataforma en la nube comienza con la administración de quienes tendrán acceso. Identity Protection Technology de Intel (Intel IPT), que se encuentra en los procesadores Intel Core vpro, crea autenticación basada en hardware y resistente a falsificaciones, proveyendo a las organizaciones gubernamentales de una forma simple para validar que los empleados legítimos o usuarios autorizados están registrándose desde un dispositivo confiable. Intel IPT ofrece generación de tokens integrada en el hardware, eliminando la necesidad (y el costo) de un token físico separado. También verifica transacciones y protege contra el malware. 7 Establecer la seguridad para las APIs en la frontera. Las interfaces de Programación de Aplicaciones (APIs, en inglés) son fundamentales para exponer las aplicaciones en la nube a terceros y a servicios móviles. Reducir el riesgo de ataques dentro del contenido en las aplicaciones accedidas en la nube y proteger las infraestructuras del sistema en la frontera requiere un manejo de API controlado y compatible, particularmente en la capa del gateway donde se lleva a cabo la aplicación de políticas de seguridad y la organización e integración de servicios en la nube. Intel Expressway Service Gateway (Intel ESG) 8 es un software que brinda puntos de refuerzo en la frontera de la red para autenticar las solicitudes de la API con los sistemas existentes de administración de identidades y acceso existentes en la organización. Los gateways de servicios ofrecen una forma centralizada para que los equipos de TI y de desarrolladores colaboren en la política de seguridad en la nube y su aplicación, y ofrecen seguridad basada en estándares para controles consistentes a nivel de la API en toda la organización. Garantizar que la infraestructura en la nube sea más segura y auditable. La computación en la nube, con sus recursos dinámicos y dependencia de la virtualización, extiende el perímetro de la organización de gobierno más allá del centro de datos tradicional y con el agregado de hipervisores y ambientes multi-inquilino, crea un campo de ataque mayor para el malware y otros ataques. Las amenazas contra este blanco más grande incluyen no solo ataques de malware a nivel de la aplicación, sino también ataques contra componentes a un nivel más bajo en la plataforma misma. Además, la menor visibilidad en las infraestructuras de la nube también dificulta verificar que las aplicaciones y los datos sean seguros y que cumplan con las leyes y reglamentaciones. Intel Trusted Execution Technology (Intel TXT), que se encuentra en los procesadores Intel Xeon, puede ayudar a las organizaciones gubernamentales a reducir los riesgos a la seguridad y las complicaciones de cumplimiento derivadas de plataformas de computación virtualizadas. 9 Intel TXT establece una plataforma más segura sobre la base de un hardware confiable a nivel del chipset y del CPU. Esta base confiable ayuda a garantizar la integridad del sistema proveyendo una base sólida sobre la cual desarrollar plataformas virtuales más seguras y grupos de computación confiables, reduciendo significativamente los riesgos de seguridad derivados de usar una infraestructura en la nube virtualizada al limitar las cargas de trabajo sensitivas a los grupos de computación confiables. Intel TXT mide los componentes de la plataforma, tales como BIOS e hipervisor en su estado bueno conocido. Estas medidas de confianza se almacenan en el hardware y se comparan con las medidas al momento del inicio realizadas durante las secuencias de inicio posteriores. Si las medidas no se corresponden, Intel TXT puede bloquear el inicio de la plataforma, mitigando los ataques a nivel de booteo. 9

11 Intel TXT habilita las siguientes características: Lanzamiento verificado. Usando una base de hardware confiable y medidas criptográficas, Intel TXT establece un ambiente seguro para iniciar máquinas virtuales (VMs), también interactúa con las herramientas de gobernanza, riesgos y cumplimiento para informar sobre el estado de inicio verificado de las VMs a fin de mejorar los detalles y visibilidad de la infraestructura subyacente. Migración en vivo basada en políticas. Para cargas de trabajo sensitivas, las organizaciones pueden aplicar políticas tales como la siguiente: las VMs solo deben ser migradas entre los hosts que hayan superado con éxito un inicio verificado. Ejecución protegida. Para la información altamente sensitiva o protegida, Intel TXT permite que las aplicaciones se ejecuten en ambientes aislados en recursos dedicados y administrados por la plataforma subyacente. Entrada protegida. Mediante el uso de llaves criptográficas, Intel TXT protege las comunicaciones entre los dispositivos de entrada (como mouse y teclado) y los ambientes de ejecución para cuidar que los datos no sean observados ni comprometidos por procesos de software no autorizados. 1 Cómo Intel TXT protege un ambiente de servidores virtuales Aprovisionamiento: Buenos valores conocidos para BIOS e Hipervisor provistos en la TPM Protección de datos. El riesgo de eliminación de datos de forma no segura o incompleta aumenta el riesgo de seguridad de la migración de datos desde máquinas virtuales y en la reutilización del hardware de la nube. Intel TXT anula la memoria durante el cierre del ambiente para mitigar el espionaje de la memoria o los ataques de reseteo. Cumplimiento auditable. Para las organizaciones gubernamentales, respetar los estándares y el cumplimiento requiere mucho tiempo, esfuerzo y presupuesto. Las reglamentaciones a menudo exigen refuerzo de seguridad y pueden crear requerimientos de auditoría, con la necesidad de comprender, documentar e informar qué está sucediendo en el ambiente de la nube con el fin de verificar que se establecen, monitorean y certifican las políticas de seguridad. Cada vez más, Intel TXT es utilizado por soluciones de software que administran el control, el riesgo y el cumplimiento de las infraestructuras virtualizadas basándose en diferentes requerimientos de marcos de seguridad. Los grupos de computación confiables forman las bases para crear confianza en todos los ambientes dinámicos. Cuando se agrupan políticas similares, los grupos de computación confiables de sevidores virtualizados pueden ser validados por entidades externas con base en firmas conocidas y confiables. Intel TXT puede establecer y verificar la observancia de los estándares de protección y control de datos, habilitando la creación de informes basados en hardware confiable de la plataforma, tanto local como remotamente, mejorando así la capacidad de auditar el ambiente de la nube. 2 Al encenderse, inicio medido de BIOS, correspondencia de resultados? 3 Si no hay correspondencia, se aplica la acción de la política, indica estado no confiable Si hay correspondencia, se aplica la acción de la política, indica estado confiable 4 Correspondencia de inicio medido de Hipervisor? 5 Si no hay correspondencia, se aplica la acción de la política, indica estado no confiable Si hay correspondencia se aplica la acción de la política, indica estado confiable 10

12 Conclusión Las tecnologías Intel ayudan a las organizaciones gubernamentales a obtener los beneficios de la computación en la nube desarrollando una base integral para un ambiente virtual más seguro. Intel provee las herramientas para ayudar a administar los desafíos de seguridad más importantes para la nube gubernamental (protección de datos e infraestructura y cumplimiento) con tecnologías que promueven una encripción de datos generalizada, brindan transferencia de datos más segura e incorporan mayor seguridad en los esfuerzos de cumplimiento. El conjunto integral de tecnologías y soluciones de seguridad de Intel cubre modelos de implementación en la nube de punta a punta, pero estos son solo una parte de los esfuerzos de Intel para asegurar la nube. Intel está trabajando para desarrollar mejores prácticas, estándares, principios de diseño, consideraciones de implementación y modelos de gobernanza para acelerar la adopción de la nube por parte de las entidades del gobierno. Intel Cloud Builders provee arquitecturas de referencia de seguridad comprobadas junto con socios de Intel para facilitar la implementación. El programa Intel Cloud Finder puede identificar los proveedores de servicios en la nube que cumplen con los requerimientos específicos. Intel también está participando con socios y alianzas clave de la industria en todo el mundo para acelerar las normas de seguridad en la nube y las soluciones interoperables al trabajar con organizaciones de la industria como: Open Data Center Alliance (OCDA) Cloud Security Alliance (CSA) Trusted Computing Group (TCG) A medida que las organizaciones gubernamentales buscan integrar sus datos y estructuras de negocios en la nube con mayor seguridad, Intel continúa impulsando tecnologías de seguridad a través de hardware mejorado y soluciones de software que incrementan la protección de identidades, datos e infraestructura en la nube. Estas innovaciones aumentarán aún más la confianza en la nube del gobierno gracias a metodologías cada vez más sólidas para administrar, monitorear y reforzar las políticas de seguridad y permitir una auditoría automatizada de los ambientes en la nube para cumplir con los requerimientos. Para más información sobre seguridad en la nube, visite intel.com/cloudsecurity. Para más información en su idioma visite DialogoTI.intel.com. 1 Federal Cloud Computing Strategy 2 InformationWeek Government: Cloud in Action 3 U.S. Government Cloud Computing Technology Roadmaps, Versión 1.0 (Publicación Especial de la NIST ) 4 Intel AES-NI requiere un sistema informático con un procesador habilitado para las nuevas instrucciones de AES Intel (Intel AES-NI), y también que el software que no sea de Intel ejecute las instrucciones en la secuencia correcta. AES-NI se encuentra disponible en los procesadores Intel Xeon, Intel Core i5-600 Desktop Processor Series, Intel Core i7-600 Mobile Processor Series e Intel Core i5-500 Mobile Processor Series. Para más detalles sobre disponibilidad, consulte a su revendedor o fabricante del sistema. Para más información, visite advanced-encryption-standard--aes-/data-protection-aes-general-technology.html. 5 Fuente: Las pruebas con Oracle Database Enterprise Edition con Transparent Data Encryption (TDE) AES-256 muestran una velocidad 10 veces mayor al insertar 1 millón de filas 30 veces en una tabla vacía en el procesador Intel Xeon X5680 (3.33 GHz, 36 MB RAM) usando rutinas de Intel IPP, en comparación con el procesador Intel Xeon X5560 (2.93 GHz, 36 MB RAM) sin Intel IPP. 6 El software y las cargas de trabajo utilizadas en las pruebas de desempeño podrían haber sido optimizadas para desempeño únicamente en microprocesadores Intel. Las pruebas de desempeño, como SYSmark* y MobileMark*, se miden utilizando sistemas de computación, componentes, software, operaciones y funciones específicos. Cualquier cambio en alguno de estos factores puede dar lugar a que los resultados varíen. Debe consultar otra información y pruebas de desempeño que lo ayuden a evaluar en forma completa sus compras contempladas, incluido el desempeño de ese producto cuando se lo combina con otros productos. 7 Ningún sistema puede proporcionar seguridad absoluta en todas las condiciones. Requiere un sistema habilitado para Intel Identity Protection Technology, incluyendo un chipset habilitado para procesadores Intel Core de Segunda generación o superior, así como firmware y software habilitados, y un sitio Web participante. Consulte al fabricante de su sistema. Intel no asume responsabilidad alguna por los datos y/o sistemas perdidos o robados ni por ningún daño que se produzca en consecuencia. Para obtener más información, visite: technology-general.html. 8 Requiere un servidor Intel Xeon Multi-Core con 4GB RAM (16GB Recomendado); recomendado para uso en Red Hat* AS4/A5 (32 ó 64-bit), SUSE Linux Enterprise* 10 (32 ó 64-bit), Oracle* Enterprise Linux, Solaris* 10, Microsoft* Windows 2003 Server (32 ó 64-bit), VMWare* ESX, Windows* 2008 R2 9 Ningún sistema de computación puede proporcionar seguridad absoluta en todas las condiciones. Intel Trusted Execution Technology (Intel TXT) requiere una computadora con Intel Virtualization Technology, un procesador habilitado para Intel TXT, chipset, BIOS, módulos de código autenticados y un ambiente iniciado medido (MLE- Measured Launched Environment) compatible con Intel TXT. Intel TXT también requiere que el sistema contenga un módulo TPM v1.s. Para obtener más información, visite 11

13 Compartir con colegas El presente documento es para uso informativo únicamente. ESTE DOCUMENTO ES PROVISTO TAL COMO ESTÁ SIN GARANTÍAS DE NINGÚN TIPO, INCLUYENDO GARANTÍA DE COMERCIABILIDAD, INCUMPLIMIENTO, APLICABILIDAD PARA CUALQUIER FIN EN PARTICULAR, O GARANTÍA QUE DE OTRA FORMA SURJA DE ALGUNA PROPUESTA, ESPECIFICACIÓN O EJEMPLO. Intel renuncia a toda responsabilidad, incluyendo la responsabilidad por violación de derechos de propiedad, relacionados con el uso de esta información. Este documento no otorga ninguna licencia, explícita o implícita, por preclusión u otro, a ningún derecho de propiedad intelectual Intel Corporation. Todos los derechos reservados. Intel y el logotipo de Intel son marcas comerciales de Intel Corporation en los Estados Unidos y/o en otros países. *Otros nombres y marcas podrían ser reclamados como propiedad de terceros.