CLOUD COMPUTING MITOS Y VERDADES

Transcripción

1 CLOUD COMPUTING MITOS Y VERDADES

2 Presentada por: Ardita, Julio César CTO CYBSEC

3 Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.

4 Agenda - Cloud computing hoy en día - Ventajas y desventajas - Aspectos de seguridad a tener en cuenta - Conclusiones

5 Cloud Computing hoy en día Soleado Nube solitaria Parcialmente nublado Nublado Probabilidad de tormentas

6 Cloud Computing hoy en día Beneficio de los servicios cloud: Empresas chicas Madurez de los mercados para adopción de servicios en la nube Cultura empresarial Experiencias en la Argentina 5 entre las 138 empresas más importantes del país realizaron alguna implementación de soluciones o servicios en la nube durante La principal barrera para la adopción de soluciones en la nube por parte de las empresas argentinas es la seguridad. Fuente: Prince and Cook

7 Cloud Computing hoy en día - Definiciones. - Nubes públicas, privadas e híbridas. - IaaS, PaaS, SaaS. - Visión del tema:

8 Cloud Computing hoy en día SLA s (la base de todo) - Acuerdos predefinidos y no negociables Son los estándares en los modelos cloud ya que permiten la economía de escala. - Acuerdos negociables Similares a los contratos tradicionales de outsourcing (complejos!).

9 Ventajas y desventajas Ventajas - Acceso a personal especializado en temas de seguridad - Plataforma más sólida - Disponibilidad de recursos (DRP/BCP) - Backup y recovery - Concentración de información*

10 Ventajas y desventajas Desventajas - Complejidad de sistemas - Ambientes compartidos en distintos niveles - Servicios abiertos hacia Internet - Pérdida de control - Concentración de información* - Menos privacidad

11 Aspectos de seguridad a tener en cuenta NIST Guidelines on Security and Privacy in Public Cloud Computing Diciembre Gobierno 6. Aislamiento de software 2. Cumplimiento 7. Protección de información 3. Confianza 8. Disponibilidad 4. Arquitectura 9. Respuesta ante Incidentes 5. Identity y Access Management

12 Aspectos de seguridad a tener en cuenta 1. Gobierno - Implica el control del proveedor a través de políticas, procedimientos y estándares. - Se deben definir los roles y responsabilidades entre la organización y el proveedor. - Se deben tener en cuenta mecanismos de auditoría.

13 Aspectos de seguridad a tener en cuenta 2. Cumplimiento - Leyes y regulaciones: Entender los distintos tipos de leyes y regulaciones que afectan a la organización y tienen impacto en iniciativas de servicios cloud. - Ubicación de la información. - Controles de seguridad y privacidad que posee el proveedor. - Mantenimiento de información para análisis legal.

14 Aspectos de seguridad a tener en cuenta 3. Confianza - Minimizar intrusiones internas: Política de reclutamiento de empleados. - Propiedad de la información: Debe estar firmemente establecida. - Subcontratación de servicios. - Visibilidad: Se debe tener acceso a monitorear los niveles de seguridad. - Información extra: Protección de los sistemas del propio proveedor. - Risk Management: Se debe implementar un programa de risk management y seguirlo.

15 Aspectos de seguridad a tener en cuenta 4. Arquitectura - Superficie de ataque. Protección del hypervisor y redes de administración. - Protección y separación de redes virtuales. - Protección de las imágenes de las VM. - Protección del lado del cliente. 5. Identity and Access Management - Autenticación: Soporte SAML y/o OpenID. - Control de acceso: XACML. SAML: Security Assertion Markup Language XACML: extensive Access Control Markup Language

16 Aspectos de seguridad a tener en cuenta 6. Aislamiento de software - Complejidad del hypervisor: Entender que tecnología utiliza el proveedor. - Vectores de ataque: Distribución de código malicioso, denegación de servicio, migraciones live, ataques man-in-the-middle, entre otras. 7. Protección de la información - Concentración del valor: Dónde está lo más valioso? - Mecanismos de separación de información (File Server, DB, Registros). - Procesos de Data Sanitization. - Proceso de salida: Cómo me llevo la información?

17 Aspectos de seguridad a tener en cuenta 8. Disponibilidad - Cortes temporarios de servicio y/o pérdida de performance. - Cortes prolongados y permanentes. - Denegación de servicio. 9. Respuesta ante incidentes - Disponibilidad de información. Acceso a los recursos donde pueda existir evidencia. - Análisis de incidentes y resolución de los mismos.

18 Conclusiones Los servicios cloud todavía se muestran incipientes en la Argentina. Los lineamientos que vimos nos permiten tener en cuenta todos los aspectos de seguridad sobre los servicios cloud y finalmente definir el nivel de riesgo existente. Luego es una decisión de la organización. Comenzar de a poco

19 Gracias por asistir a esta sesión

20 Para mayor información: Julio César Ardita CTO -CYBSEC Para descargar esta presentación visite Los invitamos a sumarse al grupo Segurinfo en