CLOUD COMPUTING MITOS Y VERDADES
Presentada por: Ardita, Julio César CTO CYBSEC jardita@cybsec.com
Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.
Agenda - Cloud computing hoy en día - Ventajas y desventajas - Aspectos de seguridad a tener en cuenta - Conclusiones
Cloud Computing hoy en día Soleado Nube solitaria Parcialmente nublado Nublado Probabilidad de tormentas
Cloud Computing hoy en día Beneficio de los servicios cloud: Empresas chicas Madurez de los mercados para adopción de servicios en la nube Cultura empresarial Experiencias en la Argentina 5 entre las 138 empresas más importantes del país realizaron alguna implementación de soluciones o servicios en la nube durante 2011. La principal barrera para la adopción de soluciones en la nube por parte de las empresas argentinas es la seguridad. Fuente: Prince and Cook
Cloud Computing hoy en día - Definiciones. - Nubes públicas, privadas e híbridas. - IaaS, PaaS, SaaS. - Visión del tema:
Cloud Computing hoy en día SLA s (la base de todo) - Acuerdos predefinidos y no negociables Son los estándares en los modelos cloud ya que permiten la economía de escala. - Acuerdos negociables Similares a los contratos tradicionales de outsourcing (complejos!).
Ventajas y desventajas Ventajas - Acceso a personal especializado en temas de seguridad - Plataforma más sólida - Disponibilidad de recursos (DRP/BCP) - Backup y recovery - Concentración de información*
Ventajas y desventajas Desventajas - Complejidad de sistemas - Ambientes compartidos en distintos niveles - Servicios abiertos hacia Internet - Pérdida de control - Concentración de información* - Menos privacidad
Aspectos de seguridad a tener en cuenta NIST 800-144 - Guidelines on Security and Privacy in Public Cloud Computing Diciembre 2011 1. Gobierno 6. Aislamiento de software 2. Cumplimiento 7. Protección de información 3. Confianza 8. Disponibilidad 4. Arquitectura 9. Respuesta ante Incidentes 5. Identity y Access Management
Aspectos de seguridad a tener en cuenta 1. Gobierno - Implica el control del proveedor a través de políticas, procedimientos y estándares. - Se deben definir los roles y responsabilidades entre la organización y el proveedor. - Se deben tener en cuenta mecanismos de auditoría.
Aspectos de seguridad a tener en cuenta 2. Cumplimiento - Leyes y regulaciones: Entender los distintos tipos de leyes y regulaciones que afectan a la organización y tienen impacto en iniciativas de servicios cloud. - Ubicación de la información. - Controles de seguridad y privacidad que posee el proveedor. - Mantenimiento de información para análisis legal.
Aspectos de seguridad a tener en cuenta 3. Confianza - Minimizar intrusiones internas: Política de reclutamiento de empleados. - Propiedad de la información: Debe estar firmemente establecida. - Subcontratación de servicios. - Visibilidad: Se debe tener acceso a monitorear los niveles de seguridad. - Información extra: Protección de los sistemas del propio proveedor. - Risk Management: Se debe implementar un programa de risk management y seguirlo.
Aspectos de seguridad a tener en cuenta 4. Arquitectura - Superficie de ataque. Protección del hypervisor y redes de administración. - Protección y separación de redes virtuales. - Protección de las imágenes de las VM. - Protección del lado del cliente. 5. Identity and Access Management - Autenticación: Soporte SAML y/o OpenID. - Control de acceso: XACML. SAML: Security Assertion Markup Language XACML: extensive Access Control Markup Language
Aspectos de seguridad a tener en cuenta 6. Aislamiento de software - Complejidad del hypervisor: Entender que tecnología utiliza el proveedor. - Vectores de ataque: Distribución de código malicioso, denegación de servicio, migraciones live, ataques man-in-the-middle, entre otras. 7. Protección de la información - Concentración del valor: Dónde está lo más valioso? - Mecanismos de separación de información (File Server, DB, Registros). - Procesos de Data Sanitization. - Proceso de salida: Cómo me llevo la información?
Aspectos de seguridad a tener en cuenta 8. Disponibilidad - Cortes temporarios de servicio y/o pérdida de performance. - Cortes prolongados y permanentes. - Denegación de servicio. 9. Respuesta ante incidentes - Disponibilidad de información. Acceso a los recursos donde pueda existir evidencia. - Análisis de incidentes y resolución de los mismos.
Conclusiones Los servicios cloud todavía se muestran incipientes en la Argentina. Los lineamientos que vimos nos permiten tener en cuenta todos los aspectos de seguridad sobre los servicios cloud y finalmente definir el nivel de riesgo existente. Luego es una decisión de la organización. Comenzar de a poco
Gracias por asistir a esta sesión
Para mayor información: Julio César Ardita CTO -CYBSEC jardita@cybsec.com Para descargar esta presentación visite www.segurinfo.org Los invitamos a sumarse al grupo Segurinfo en