Riesgos y Tendencias de Seguridad en la Nube
Transcripción
Riesgos y Tendencias de Seguridad en la Nube
La Clave de la Seguridad en la Nube – Como la Encriptación Hace la Nube más Segura Como moverse a la nube sin caer por un despeñadero Ricardo Trujillo V. Solutions Specialist, LATAM [email protected] © SafeNet Confidential and Proprietary Agenda Æ Æ Æ Æ Æ Tipos pos de Nube, ube, Arquitecturas qu ec u as y Segu Seguridad dad Protección de Datos en la Nube y Desafíos de Seguridad g Impacto Regulatorio en el Uso de la Nube El Ascenso de la Encriptación en la Nube Preguntas © SafeNet Confidential and Proprietary 2 Arquitecturas de Nube V i Niveles Varios Ni l de d Abstracción Ab ió y Propiedad P i d d de d llos Datos D Ell “Lo Ellos “L Hacen” H ” (Buena suerte con ello) Motor de Aplicaciones Todos lo Hacen (o realmente nadie?) Middleware Capa de Abstraccion & Hipervisor U d lo l Hace. H Usted Hardware & Networking Infra aestructu ura Com mo Servic cio APIs de Virtualizacion Platforrma Como Servicio o Motor de Datos & APIs de Plataforma S Software e Como Se C ervicio Presentacion de Aplicaciones & APIs Potencia & HVAC Arquitectura Seguridad Servicio © SafeNet Confidential and Proprietary 3 Proveedores de SaaS, PaaS, e IaaS M d l de Modelos d Rápida Rá id Evolución E l ió con APIs API Propietarias P i i Motor de Aplicacion Middleware Infra aestructu ura Com mo Servic cio APIs de Virtualizacion Hardware & Networking Platafo orma Como Servicio o Motor de Datos & APIs de Plataforma S Software e Como Se C ervicio Presentación de Aplicaciones & APIs Potencia & HVAC Arquitectura Ejemplo de Vendedores S Servicio © SafeNet Confidential and Proprietary 4 Realidad Contractual Transferencia T f i Completa C l d Responsabilidad de R bilid d o Lenguaje L j Ambiguo Amazon Web Services™ Customer Agreement Salesforce Master Subscription Agreement Section 7.2. Security. We strive to keep Your Content secure, but cannot guarantee that we will be successful at doing so, so given the nature of the Internet Internet. Accordingly Accordingly, without limitation to Section 4.3 above and Section 11.5 below, you acknowledge that you bear sole responsibility for adequate security, protection and backup of Your Content and Applications. We strongly encourage you, where available and appropriate, to (a) use encryption technology to protect Your Content from unauthorized access, (b) routinely archive Your Content, and (c) keep your Applications or any software that you use or run with our Services current with the latest securityy p patches or updates. We will have no liability to you for any unauthorized access or use, corruption, deletion, destruction or loss of any of Your Content or Applications. 8.3. Protection of Your Data. Without limiting the above, We shall maintain appropriate administrative, physical, and technical safeguards for protection of the security, security confidentiality and integrity of Your Data. We shall not (a) modify Your Data, (b) disclose Your Data except as compelled by law in accordance with Section 8.4 (Compelled Disclosure) or as expressly permitted in writing by You, or (c) access Your Data except to provide the Services or prevent or address service or technical problems, or at Your request in connection with customer support matters. http://www.salesforce.com/company/msa.jsp http://aws amazon com/agreement/ http://aws.amazon.com/agreement/ © SafeNet Confidential and Proprietary 5 La Ley del Arbitro Probable “ ” definirán d fi i á la l responsabilidad bilid d 12 d de sus “pares” “D diligence” “Due dili ” Estandar de cuidado Regla g del hombre razonable Negligencia Absoluta Responsabilidad © SafeNet Confidential and Proprietary 6 Entonces, Quien es Responsable? Æ Usted. Usted. Usted. Como van las cosas, se decidirá por una corte de ley y eso no es nada atractivo. Pero hay que tomarlo por el lado amable, los abogados también tiene que comer. © SafeNet Confidential and Proprietary 7 Desafíos de Seguridad en la Nube Æ E i ió de d llos datos d t en Exposición ambientes de múltiples inquilinos User ID and Access: Secure Authentication, Authorization, Logging Data Co-Mingling: Multi-tenant data mixing, leakage, ownership Separación de roles en los funcionarios del proveedor de nube Application Vulnerabilities: Exposed vulnerabilities and response Insecure Application APIs: Application injection and tampering Transferencia de bilid d por los l responsabilidad proveedores hacia los dueños de los datos Data Leakage: Isolating data Platform Vulnerabilities: Exposed vulnerabilities and response Insecure Platform APIs: Instance manipulation and tampering Data Location/ Residency: Geographic regulatory requirements Æ Hypervisor Vulnerabilities: Virtualization vulnerabilities Application & Service Hijacking: Malicious application usage Redefinir la confianza y confirmación en ambientes de nube Privileged Users: Super-user abuse Service Outage: Availability Malicious Insider: Reconnaissance, manipulation, tampering Æ Perimeter/ Network Security: Secure isolation and access Physical Security: Direct tampering and theft g Fundamentales en Nuevos Riesgos la Nube Nuevas tecnologías de hipervisor y arquitecturas Data Retention: Secure deletion of data Logging & Forensics: Incident response, liability limitation Desafíos Fundamentales de Confianza y Seguridad Incertidumbre Regulatoria en la Nube Las regulaciones probablemente requieran controles fuertes en la nube © SafeNet Confidential and Proprietary 8 Privacidad de los Datos en SaaS IaaS Entremezclado de Datos : Mezcla , fuga o cambio de propiedad de datos en ambietes de múltiples inquilinos Descripción: Los datos organizacionales en SaaS pueden ser compartidos en bases de datos comunes para derivar economía de escala para el SaaS Los datos son delineados por metadatos para proveedor de SaaS. llevar un registro de la propiedad. Arquitectura propietaria de replicación e itinerarios creará múltiples instancias de datos a través de la infraestructura de SaaS. Ejemplo: Facebook (Mayo 2010): Un “bug” de la aplicación hizo posible que los usuarios vieran conversaciones privadas de otros usuarios. Remediación: Instancias Dedicadas de base de datos eliminan algunos problemas, pero pueden incrementar los costos. Entienda con claridad el manejo de los datos en SaaS para diseñar los controles apropiados. Encripte los datos para reducir grandemente el riesgo de exposición mientras conserva la economía de escala. escala PaaS Saas X Implicaciones: Afecta a los sistemas dentro del alcance regulatorio La regulatorio. exposición a los datos crece a través de la replicación. Hace más difícil la confirmación del borrado de datos. El entremezclado de los datos aumenta las posibilidades de fuga de datos a través de un uso inadecuado de las meta etiquetas o por violaciones explícitas. explícitas © SafeNet Confidential and Proprietary 9 Documentos Publicados en Google Docs Apareceran En Google S Search h Disculpe, derramé sus datos? “Google planea indexar todos los documentos publicados por usuarios de Google Docs si los documentos están ligados a un sitio web público (esto quiere decir encontrado por Google Bot) .” http://www.ghacks.net/2009/09/21/published-google-docsdocuments-to-appear-in-google-search/ Bug de Facebook Expone chats privados © SafeNet Confidential and Proprietary “Un bug permitió a los usuarios de Facebook users el ver las sesiones de chat de sus amigos en el sitio, forzando a la firma de redes sociales a que deshabilitara su servicio de mensajería instantánea. instantánea El bug también permitió ver las solicitudes pendientes de sus amigos.” 10 Secuestro de Aplicaciones y Servicios Secuestro de Aplicaciones & Servicios: Uso Malicioso de aplicaciones Descripción: Un usuario malicioso obtiene credenciales para ingresar al CSP. Las credenciales pueden ser obtenidas a través de las tradicionales inseguras ataques de fuerza bruta, bruta phishing, phishing phising contraseñas inseguras, con arpón (crimen organizado), etc. Ejemplos: Zeus botnet instala nota de comando y control en Amazon (Deciembre 2009) Explotación de sniffing en Virtual Machine ESX (Marzo 2009) IaaS PaaS Saas X X X Implicaciones: Los datos pueden ser robados explicitamente por usuarios que acceden directamente a su aplicación, o encubiertos que instalan instancias virtuales adyacentes para usar sniffers o manipular sus servicios adyacentes. Remediación: Autenticación multi-factorial fuerte con contraseñas robustas y monitoreo de servicios para detección. © SafeNet Confidential and Proprietary 11 Anatomía de un Compromiso © SafeNet Confidential and Proprietary Hey, You, Get Off of My Cloud! Exploring Information Leakage in Third-Party Compute Clouds By Thomas Ristenpart, Eran Tromer, Hovav Shacham, and Stefan Savage. 12 Estos siguen trabajando… :-( © SafeNet Confidential and Proprietary 13 Marco Reglamentario y Responsabilidades Æ Malas a as Noticias: o c as Ambiente b e e Co Confuso uso Modelo de responsabilidad compartida – pero la demarcación es gris La norma SAS 70 es inadecuada para uso común en la evaluación de proveedores de nube Usted tendrá que tener una conversación detallada de arquitectura y API para evaluar su responsabilidad Æ Buenas Noticias: Todos tienen el mismo problema XaaS está consciente de esto y está trabajando duro para aliviarlo Cl d S it Alli ti D t de d Mapeo M Cloud Security Alliance tiene un Documento © SafeNet Confidential and Proprietary 14 La Encriptación ya ha Sido Prescrita o Implicada Æ Mandatos Externos Gubernamentales, regionales, Gubernamentales regionales o de grupos industriales Definen penalidades y mejores p prácticas Aumento en las obligaciones de hacer incómodas declaraciones públicas Æ Mandatos Internos Core de propiedad intelectual Mitigación de riesgo “Safe Safe Harbor” Harbor Preocupación con abusos internos Abuso de cruzado (wikileaks) Æ M d t Traslapados Mandatos T l d Globalización de los negocios Naturaleza internacional de Internet © SafeNet Confidential and Proprietary 15 15 Pero no Siempre lo Hacíamos (Y eso estaba bien) Æ Nuestro destino estaba en nuestras manos Eramos dueños de los firewalls, de la estructura de VLAN/switching, etc. Usted respondía por su propio staff Y era su cabeza la que definitivamente rodaba si las cosas salían mal Æ Y la encriptación ha sido dura y complicada Soluciones no relacionadas, no administradas e incoordinadas Encriptación dolor. E i ió fácilfá il desecriptación d i ió un absoluto b l d l Æ Entonces lo hicimos donde era tácticamente necesario Bases de datos analizadas por PCI En niveles con manejo crítico de datos Æ Y compensábamos con el resto Un mutante entero nació de PCI para controles compensatorios Sus auditores se acostumbraron al concepto Æ Y se llegó a un tope © SafeNet Confidential and Proprietary 16 La Emergencia de Encriptación como un Control Unificante de Seguridad en la Nube Æ La encriptación es una tecnología fundamental para realizar la seguridad en a nube Aisla los datos en ambientes multi-inquilino Reconocida universalmente por analistas y expertos y como control subyacente para datos en la nube Crea una marca de nivel de agua g p para demostrar la adherencia a las reglamentaciones Æ Muevase de las tácticas del Data de Center a la solución estratégica g Nube Controles físicos, confianza subyacente en los procesos y el aislamiento mitigaba algún uso de p encriptación Estos factores de mitigación no existen en la nube. © SafeNet Confidential and Proprietary 17 Tendencias Emergentes Reales (y Utiles) en Encriptación Æ Resolución eso uc ó de del Dolor o o de la a Desencriptación ese c p ac ó Con solo consolidar a un proveedor, se calman las aguas Ha sido liderada por los clientes (Es decir, una realimentación clara a los proveedores para hacer que todo trabaje en conjunto) Æ La Industria Madura De hecho, hecho se pusieron de acuerdo en un estándar de Claves de Encriptación (Y ningún animal fué dañado en el proceso) OASIS KMIP 1.0!!!! Ah d ti claves l d d seguro dentro d t de d ambientes bi t multi-proveedor lti d Ahora podemos compartir de modo Æ 2011 Año de Cambio para la Administración de Claves Para encriptación Y la magia que es la oportunidad en la nube © SafeNet Confidential and Proprietary 18 De aquí para donde seguimos? Sírvase un café… ( t no se va a resolver (esto l pronto) t ) …asuma asuma lo peor… peor (después de todo, usted es el único con “piel” en el juego) ... y proteja de los datos hacia afuera. af era (encripte los datos y no le importará que a su proveedor de nube no le importe) © SafeNet Confidential and Proprietary 19 Æ Recursos: Videos Vid White Papers Blog: www.cloudsecurityalliance.org Documento de Mapeo Regulatorio Documento de Amenazas Documento de Guía © SafeNet Confidential and Proprietary Image: “Questions” by *Balakov 20