Computación en la nube y su seguridad

Existen múltiples
definiciones

Es un modelo informático que se basa en Internet en centros de cómputo remotos, para gestionar los servicios de información y aplicaciones.

Es un modelo que permite que usuarios y empresas interactúen con información sin tener que instalar aplicaciones localmente.

Es un cambio significativo de la tecnología de información que da un nivel más global a los datos de empresas y usuarios.

Ventajas

Eliminar gastos adicionales por acondicionamientos o mal dimensionamiento de soluciones de cómputo.

Alinea el gasto IT con las necesidades de su empresa.

Mejorar la gestión del personal IT, permitiendo que los recursos se encarguen de actividades relevantes de la organización, tercerizando los servicios a los usuarios finales.

Permite la administración de la infraestructura por un ambiente centralizado que da el proveedor del servicio, con el cual se monitorea el servicio, estado de servidores, de aplicaciones y más.

Riesgos

Se espera tener disponibilidad del servicio, pero esta garantía esta dependiente de factores de riesgo, además que los servidores están compartidos (virtualizados) con más clientes.

Es posible que se presenten, alteraciones en el servicio prestado.

En el licenciamiento de software, puede que no todo contemplado para el uso en el ambiente de la Nube.

La posibilidad de portabilidad entre aplicaciones construidas para ser utilizadas en diferentes proveedores.

Nube Privada

La infraestructura de la Nube sólo funciona para una organización. Puede gestionarla la propia organización y puede existir en el local o afuera.

Ventajas: Cumplimiento de políticas internas, Facilidad en trabajo colaborativo, Control de los recursos.

Desventajas: Elevado costo, Dependencia de la infraestructura controlada, Retorno de la inversión lento.

Nube Comunitaria

La infraestructura de la Nube se comparte con varias organizaciones y se comparten esquemas como seguridad, políticas y consideraciones de cumplimiento.

Ventajas: Cumplimiento de políticas internas, Reducción de costos al compartir, Rápido retorno de la inversión.

Desventajas: Seguridad dependiente del proveedor, Dependencia de la infraestructura controlada.

Nube Publica

La infraestructura de la Nube se hace disponible al público en general o a un gran grupo industrial y es propiedad de una organización que vende los servicios.

Ventajas: Escalabilidad, Eficiencia de recursos mediante pago por el uso, Ahorro de tiempo y costos.

Desventajas: Comparte infraestructura con más organizaciones, poca transparencia con el cliente, Dependencia de la seguridad.

Nube Hibrida

La infraestructura de la Nube es una composición de dos o más nubes (privada, comunitaria o pública) única para las entidades pero se limitan juntas por medio de tecnología propietaria o estandarizada que permite la portabilidad de datos y aplicaciones.

Nube SaaS

En este modelo, el software es mostrado como aplicaciones y recursos que son ofrecidos bajo demanda, esto reduce costos y mantenimiento. Son accesibles desde diversos dispositivos utilizando un navegador Web. La seguridad es controlada por el proveedor y la organización tiene acceso administrativo limitado

Nube PaaS

En este modelo el servicio de hardware y software se entrega bajo demanda. Este modelo permite reducir costos, complejidad, mantenimiento, y control. La organización tiene control parcial sobre las aplicaciones y la administración. La seguridad es compartida.

Nube IaaS

En este modelo la infraestructura de computo (red, servidores y aplicaciones) es administrada por el proveedor bajo demanda, creando los entornos para ejecución. El proveedor ofrece todos los recursos, aunque la organización se encarga de la selección del ambiente y el entorno de trabajo. La seguridad es responsabilidad de la organización.

Servicios de aprovisionamiento en la Nube. Se puede aportar la rápida reconstitución de servicios, permitiendo la disponibilidad (provisión en múltiples centros de datos de múltiples instancias) y las capacidades de honey-net avanzadas.

Servicios de almacenamiento de datos en la Nube. Las ventajas principales que puede aportar son la fragmentación y dispersión de datos, la replicación automatizada, la provisión de zonas de datos (por ejemplo por país), el cifrado en reposo y en tránsito y la retención automatizada de datos.

Infraestructura de procesamiento en la Nube. Las ventajas principales que puede aportar son la capacidad para proteger masters y sacar imágenes seguras.

Servicios de soporte en la Nube. Las ventajas principales que puede aportar son los controles de seguridad bajo demanda, por ejemplo la autenticación, el logging, los firewalls, etc.

Seguridad perimétrica y de red en la Nube. Las ventajas principales que puede aportar son la protección contra la denegación de servicios distribuida o DDoS, las capacidades VLAN, la seguridad perimétrica como IAM/IDS/IPS, firewall, autenticación, etc.

Amenazas derivadas de
la Tecnología

Se potencian otras amenazas como: Ataques a las tecnologías de virtualización.

Nuevos ataques de escalada de privilegios (VM a host o VM a VM).

Gestión de riesgos, de cambios, de regulación, de identidad, de acceso.

Amenazas de la parte
cliente

La seguridad física: Ya no cuenta con la protección física de nuestras oficinas. Hay que proteger la información a nivel físico (TPM, bitlocker, bitlocker to go, etc).

El Sistema Operativo ha de contar con funcionalidad para conexiones sencillas y seguras.

En el nuevo entorno cada dispositivo ha de ser seguro por sí mismo y cumplir con los requisitos legales.

Amenazas filosóficas y
de procedimiento

Compartición de Procesos y responsabilidades.

Además de entender el entorno, es necesario un buen entendimiento entre el proveedor y el cliente.

En el nuevo entorno cambian más cosas de las que parecen: Arquitectura de red abierta, ubicuidad de los datos, ubicuidad de los usuarios y sus terminales.