Moviéndose a la Nube de Forma Segura Ulises Castillo MSIA, CISSP, CISA, CISM, MLP Director General Scitum S.A. de C.V: Infosecurity Summit 2017
Preguntas para la audiencia Quiénes tienen servidores virtualizados? Quiénes están en Seguridad? Quiénes están en Redes? Quiénes están en operaciones? Quiénes usan ya algo serio en nubes públicas? Quiénes están en proyectos de nube privada o híbrida? Quiénes tienen o están evaluando tecnología para amenazas avanzadas? Y los demás?
La regla de la minifalda
Agenda Revisión de Conceptos sobre Cloud Computing De quién es responsabilidad la seguridad en la nube? Video sobre las nuevas formas de ataque El Kill chain 5 Ideas para implementar la seguridad en la nube. Recomendaciones y conclusiones
Revisión de Conceptos
Qué es la nube? Cómputo en la nube (Cloud Computing) es un modelo que de forma ubicua, conveniente y bajo demanda, permite el acceso a un pool compartido de recursos informáticos configurables (por ejemplo: redes, servidores, almacenamiento, aplicaciones y servicios), que se pueden aprovisionar y liberar rápidamente con un mínimo esfuerzo de administración o interacción de un proveedor de servicios. Fuente: Instituto Nacional de Estandarización y Tecnologías NIST-
Características de Nube Esenciales Auto-servicio bajo demanda Acceso ubicuo a la red Elasticidad Medición del servicio Agrupación en pool
Características de Nube Comunes Escalación masiva Homogeneidad Virtualización Bajo costo Distribución geográfica Orientación a servicio
Modelos IaaS, PaaS y SaaS
Modelos de Despliegue Nube Privada Nube Pública Nube Híbrida Nube Comunitaria
Y la seguridad en la nube? AMENAZAS SEGURIDAD RIESGOS VULNERABILIDADES
Las responsabilidades en las Nubes Públlicas
Entendiendo las nuevas amenazas Entendiendo el ciclo de un ataque: El caso de Dyre-Wolf
Qué es el kill chain?
QUÉ BENEFICIOS HA OBTENIDO DE LA NUBE? Disponibilidad Reducción de Costos Escalabilidad Flexible Menor Complejidad Cumplimiento Regulatorio
Muertos por Power-point. O el síndrome del párpado pesado
5 Ideas para tener seguridad en la(s) nube(s) 1. Tráfico Seguro 2. Usuarios Seguros 3. Datos Seguros 4. Aplicaciones Seguras 5. Empresa Segura
Tráfico seguro: Norte - Sur y Este - Oeste
Tráficos Norte-Sur, Este-Oeste Seguridad, el Modelo Zero-Trust y la Micro-segmentación
Usuarios seguros: Gestión de identidades
QUÉ DIRECTORIO USA PARA ACCESO A LAS APLICACIONES DE NUBE? v Utiliza Active Directory del lado del cliente
Datos seguros: Cifrado y tokenización
TECNOLOGÍAS MÁS EFECTIVAS PARA PROTEGER LOS DATOS? Cifrado de Datos (encripción) Cifrado en las Redes Detección y Prevención de Intrusos
Aplicaciones seguras: Código y APIs
QUÉ ESTÁ HACIENDO PARA PROTEGER SUS APLICACIONES? Pruebas de Penetración WAF: Web Application Firewall Educación al desarrollador
LA SEGURIDAD ALENTA EL CICLO DE MÉTODOS ÁGILES (COMO DevOps)? No- La seguridad está bien integrada con el DevOps Sí La seguridad Alenta DevOps Otros No- La seguridad está fuera del DevOps
Qué son los API Gateways? Seguridad en los flujos aplicativos: el papel de un API Gateway.
Quién le pone el cascabel al gato? Quiénes son responsables? Quién monitorea? Quién actúa?
Empresa segura: Manejo de incidentes
PLANES PARA MANEJAR SU SEGURIDAD AL MOVERSE A LA NUBE Capacitar y certificar gente de TI Aliarse con un proveedor de servicios administrados que brinde los recursos Usar software de seguridad de 3ros Añadir personal de seguridad dedicado a la seguridad en la nube Capacitar y certificar gente de TI Buscar un proveedor Sec-as-a-service para tercerizar monitoreo 24x7 No estoy segur@/otro
QUÉ LE INCREMENTARÍA LA CONFIANZA EN NUBES PÚBLICAS? Establecer y reforzar políticas de seguridad a través de las nubes
Controles de seguridad sugeridos por la Cloud Security Alliance (CSA)
Tabla de los controles del CCM v.3.0.1
Algunas recomendaciones Conocer la arquitectura completa: Crear mapas comunes (MUY IMPORTANTE). Entender la naturaleza de las cargas de trabajo. Saber las vulnerabilidades, el throughput y latencia de cada componente. Recordar los 2 principios de todo sistema completo: diferenciación e integración (linkage).
Algunas recomendaciones Monitorear (incluye telemetría): Aplicaciones y servicios de punta a punta. Ligado a procesos de manejo de incidentes, administración de problemas y gestión de capacidades. O sea: Ver y Actuar No automatizar hasta no entender. Contrate/forme arquitectos con pensamiento sistémico (Capacidad de entender el todo, sus partes y la relación que hay entre ellos).
Conclusiones
Algunas conclusiones Las nubes (de todos tipos) se están poniendo de moda. Podemos esperar diversos incidentes de seguridad Pero PODEMOS CAMBIAR las cosas: Entendiendo los distintos conceptos (y niveles de abstracción involucrados). Teniendo un equipo de trabajo bien preparado. Seleccionando la tecnología adecuada Aliándonos con proveedores de servicios serios y responsables.
muchísimas gracias!! ucastillo@scitum.com.mx