Riesgos y Tendencias de Seguridad en la Nube

Transcripción

La Clave de la Seguridad en la Nube –
Como la Encriptación Hace la Nube más
Segura
Como moverse a la nube sin caer por un despeñadero
Ricardo Trujillo V.
Solutions Specialist, LATAM
[email protected]
© SafeNet Confidential and Proprietary
Agenda
Æ
Æ
Æ
Æ
Æ
Tipos
pos de Nube,
ube, Arquitecturas
qu ec u as y Segu
Seguridad
dad
Protección de Datos en la Nube y Desafíos de
Seguridad
g
Impacto Regulatorio en el Uso de la Nube
El Ascenso de la Encriptación en la Nube
Preguntas
2
Arquitecturas de Nube
V i Niveles
Varios
Ni l de
d Abstracción
Ab
ió y Propiedad
P i d d de
d llos Datos
D
Ell “Lo
Ellos
“L Hacen”
H
”
(Buena suerte con ello)
Motor de Aplicaciones
Todos lo Hacen
(o realmente nadie?)
Middleware
Capa de Abstraccion &
Hipervisor
U d lo
l Hace.
H
Usted
Hardware & Networking
Infra
aestructu
ura
Com
mo Servic
cio
APIs de Virtualizacion
Platforrma
Como Servicio
o
Motor de Datos & APIs de
Plataforma
S
Software
e
Como Se
C
ervicio
Presentacion de
Aplicaciones & APIs
Potencia & HVAC
Arquitectura
Seguridad
Servicio
3
Proveedores de SaaS, PaaS, e IaaS
M d l de
Modelos
d Rápida
Rá id Evolución
E l ió con APIs
API Propietarias
P i
i
Motor de Aplicacion
Middleware
Infra
aestructu
ura
Com
mo Servic
cio
APIs de Virtualizacion
Hardware & Networking
Platafo
orma
Como Servicio
o
Motor de Datos & APIs de
Plataforma
S
Software
e
Como Se
C
ervicio
Presentación de Aplicaciones
& APIs
Potencia & HVAC
Arquitectura
Ejemplo de Vendedores
S
Servicio
4
Realidad Contractual
Transferencia
T
f
i Completa
C
l
d Responsabilidad
de
R
bilid d o Lenguaje
L
j
Ambiguo
Amazon Web Services™ Customer Agreement
Salesforce Master Subscription Agreement
Section 7.2. Security. We strive to keep Your Content
secure, but cannot guarantee that we will be successful at
doing so,
so given the nature of the Internet
Internet. Accordingly
Accordingly,
without limitation to Section 4.3 above and Section 11.5
below, you acknowledge that you bear sole
responsibility for adequate security, protection and
backup of Your Content and Applications. We strongly
encourage you, where available and appropriate, to (a) use
encryption technology to protect Your Content from
unauthorized access, (b) routinely archive Your Content, and
(c) keep your Applications or any software that you use or
run with our Services current with the latest securityy p
patches
or updates. We will have no liability to you for any
unauthorized access or use, corruption, deletion, destruction
or loss of any of Your Content or Applications.
8.3. Protection of Your Data. Without limiting the above,
We shall maintain appropriate administrative, physical,
and technical safeguards for protection of the security,
security
confidentiality and integrity of Your Data. We shall not (a)
modify Your Data, (b) disclose Your Data except as
compelled by law in accordance with Section 8.4
(Compelled Disclosure) or as expressly permitted in writing
by You, or (c) access Your Data except to provide the
Services or prevent or address service or technical
problems, or at Your request in connection with customer
support matters.
http://www.salesforce.com/company/msa.jsp
http://aws amazon com/agreement/
http://aws.amazon.com/agreement/
5
La Ley del Arbitro Probable
“
” definirán
d fi i á la
l responsabilidad
bilid d
12 d
de sus “pares”
“D diligence”
“Due
dili
”
Estandar de cuidado
Regla
g del hombre razonable
Negligencia Absoluta
Responsabilidad
6
Entonces, Quien es Responsable?
Æ
Usted. Usted. Usted.
Como van las cosas, se decidirá por una corte de ley y
eso no es nada atractivo.
Pero hay que tomarlo por el lado amable, los abogados
también tiene que comer.
7
Desafíos de Seguridad en la Nube
Æ
E
i ió de
d llos datos
d t en
Exposición
ambientes de múltiples
inquilinos
User ID and Access: Secure Authentication, Authorization, Logging
Data Co-Mingling: Multi-tenant data mixing, leakage, ownership
Separación de roles en los
funcionarios del proveedor de
nube
Application Vulnerabilities: Exposed vulnerabilities and response
Insecure Application APIs: Application injection and tampering
Transferencia de
bilid d por los
l
responsabilidad
proveedores hacia los dueños
de los datos
Data Leakage: Isolating data
Platform Vulnerabilities: Exposed vulnerabilities and response
Insecure Platform APIs: Instance manipulation and tampering
Data Location/ Residency: Geographic regulatory requirements
Æ
Hypervisor Vulnerabilities: Virtualization vulnerabilities
Application & Service Hijacking: Malicious application usage
Redefinir la confianza y
confirmación en ambientes de
nube
Privileged Users: Super-user abuse
Service Outage: Availability
Malicious Insider: Reconnaissance, manipulation, tampering
Æ
Perimeter/ Network Security: Secure isolation and access
Physical Security: Direct tampering and theft
g Fundamentales en
Nuevos Riesgos
la Nube
Nuevas tecnologías de
hipervisor y arquitecturas
Data Retention: Secure deletion of data
Logging & Forensics: Incident response, liability limitation
Desafíos Fundamentales de
Confianza y Seguridad
Incertidumbre Regulatoria en la
Nube
Las regulaciones
probablemente requieran
controles fuertes en la nube
8
Privacidad de los Datos en SaaS
IaaS
Entremezclado de Datos : Mezcla , fuga o cambio de propiedad de datos en
ambietes de múltiples inquilinos
Descripción:
Los datos organizacionales en SaaS pueden ser compartidos en
bases de datos comunes para derivar economía de escala para el
SaaS Los datos son delineados por metadatos para
proveedor de SaaS.
llevar un registro de la propiedad. Arquitectura propietaria de
replicación e itinerarios creará múltiples instancias de datos a
través de la infraestructura de SaaS.
Ejemplo:
Facebook (Mayo 2010): Un “bug” de la aplicación hizo posible que
los usuarios vieran conversaciones privadas de otros usuarios.
Remediación:
Instancias Dedicadas de base de datos eliminan algunos
problemas, pero pueden incrementar los costos. Entienda con
claridad el manejo de los datos en SaaS para diseñar los
controles apropiados. Encripte los datos para reducir grandemente
el riesgo de exposición mientras conserva la economía de escala.
escala
PaaS
Saas
X
Implicaciones:
Afecta a los sistemas
dentro del alcance
regulatorio La
regulatorio.
exposición a los datos
crece a través de la
replicación. Hace más
difícil la confirmación del
borrado de datos. El
entremezclado de los
datos aumenta las
posibilidades de fuga de
datos a través de un uso
inadecuado de las meta
etiquetas o por
violaciones explícitas.
explícitas
9
Documentos Publicados
en Google Docs
Apareceran En Google
S
Search
h
Disculpe, derramé sus
datos?
“Google planea indexar todos
los documentos publicados por
usuarios de Google Docs si los
documentos están ligados a un
sitio web público (esto quiere
decir encontrado por Google
Bot) .”
http://www.ghacks.net/2009/09/21/published-google-docsdocuments-to-appear-in-google-search/
Bug de Facebook
Expone chats privados
“Un bug permitió a los usuarios
de Facebook users el ver las
sesiones de chat de sus amigos
en el sitio, forzando a la firma
de redes sociales a que
deshabilitara su servicio de
mensajería instantánea.
instantánea El bug
también permitió ver las
solicitudes pendientes de sus
amigos.”
10
Secuestro de Aplicaciones y Servicios
Secuestro de Aplicaciones & Servicios: Uso Malicioso de aplicaciones
Descripción:
Un usuario malicioso obtiene credenciales para ingresar al CSP.
Las credenciales pueden ser obtenidas a través de las tradicionales
inseguras ataques de fuerza bruta,
bruta phishing,
phishing phising
contraseñas inseguras,
con arpón (crimen organizado), etc.
Ejemplos:
Zeus botnet instala nota de comando y control en Amazon
(Deciembre 2009)
Explotación de sniffing en Virtual Machine ESX (Marzo 2009)
IaaS
PaaS
Saas
X
X
X
Implicaciones:
Los datos pueden ser
robados explicitamente
por usuarios que
acceden directamente a
su aplicación, o
encubiertos que instalan
instancias virtuales
adyacentes para usar
sniffers o manipular sus
servicios adyacentes.
Remediación:
Autenticación multi-factorial fuerte con contraseñas robustas y
monitoreo de servicios para detección.
11
Anatomía de un Compromiso
Hey, You, Get Off of My Cloud!
Exploring Information Leakage in Third-Party Compute Clouds
By Thomas Ristenpart, Eran Tromer, Hovav Shacham, and Stefan Savage.
12
Estos siguen trabajando…
:-(
13
Marco Reglamentario y Responsabilidades
Æ
Malas
a as Noticias:
o c as Ambiente
b e e Co
Confuso
uso
Modelo de responsabilidad compartida – pero la demarcación es gris
La norma SAS 70 es inadecuada para uso común en la evaluación de
proveedores de nube
Usted tendrá que tener una conversación detallada de arquitectura y API para
evaluar su responsabilidad
Æ
Buenas Noticias: Todos tienen el mismo problema
XaaS está consciente de esto y está trabajando duro para aliviarlo
Cl d S
it Alli
ti
D
t de
d Mapeo
M
Cloud
Security
Alliance tiene
un Documento
14
La Encriptación ya ha Sido Prescrita o Implicada
Æ
Mandatos Externos
Gubernamentales, regionales,
Gubernamentales
regionales o de
grupos industriales
Definen penalidades y mejores
p
prácticas
Aumento en las obligaciones de
hacer incómodas declaraciones
públicas
Æ
Mandatos Internos
Core de propiedad intelectual
Mitigación de riesgo “Safe
Safe Harbor”
Harbor
Preocupación con abusos internos
Abuso de cruzado (wikileaks)
Æ
M d t Traslapados
Mandatos
T
l
d
Globalización de los negocios
Naturaleza internacional de Internet
15
15
Pero no Siempre lo Hacíamos (Y eso estaba bien)
Æ
Nuestro destino estaba en nuestras manos
Eramos dueños de los firewalls, de la estructura de VLAN/switching, etc.
Usted respondía por su propio staff
Y era su cabeza la que definitivamente rodaba si las cosas salían mal
Æ
Y la encriptación ha sido dura y complicada
Soluciones no relacionadas, no administradas e incoordinadas
Encriptación
dolor.
E i
ió fácilfá il desecriptación
d
i
ió un absoluto
b l
d l
Æ
Entonces lo hicimos donde era tácticamente necesario
Bases de datos analizadas por PCI
En niveles con manejo crítico de datos
Æ
Y compensábamos con el resto
Un mutante entero nació de PCI para controles compensatorios
Sus auditores se acostumbraron al concepto
Æ
Y se llegó a un tope
16
La Emergencia de Encriptación como un
Control Unificante de Seguridad en la Nube
Æ
La encriptación es una tecnología
fundamental para realizar la
seguridad en a nube
Aisla los datos en ambientes multi-inquilino
Reconocida universalmente por analistas y
expertos y como control subyacente para datos en
la nube
Crea una marca de nivel de agua
g p
para demostrar
la adherencia a las reglamentaciones
Æ
Muevase de las tácticas del Data
de
Center a la solución estratégica
g
Nube
Controles físicos, confianza subyacente en los
procesos y el aislamiento mitigaba algún uso de
p
encriptación
Estos factores de mitigación no existen en la nube.
17
Tendencias Emergentes Reales (y Utiles) en
Encriptación
Æ
Resolución
eso uc ó de
del Dolor
o o de la
a Desencriptación
ese c p ac ó
Con solo consolidar a un proveedor, se calman las aguas
Ha sido liderada por los clientes (Es decir, una realimentación clara a los
proveedores para hacer que todo trabaje en conjunto)
Æ
La Industria Madura
De hecho,
hecho se pusieron de acuerdo en un estándar de Claves de Encriptación (Y
ningún animal fué dañado en el proceso)
OASIS KMIP 1.0!!!!
Ah
d
ti claves
l
d
d seguro dentro
d t de
d ambientes
bi t multi-proveedor
lti
d
Ahora
podemos
compartir
de modo
Æ
2011 Año de Cambio para la Administración de Claves
Para encriptación
Y la magia que es la oportunidad en la nube
18
De aquí para donde seguimos?
Sírvase un café…
( t no se va a resolver
(esto
l
pronto)
t )
…asuma
asuma lo peor…
peor
(después de todo, usted es el único con “piel”
en el juego)
... y proteja de los
datos hacia afuera.
af era
(encripte los datos y no le importará que a
su proveedor de nube no le importe)
19
Æ
Recursos:
Videos
Vid
White Papers
Blog:
www.cloudsecurityalliance.org
Documento de Mapeo Regulatorio
Documento de Amenazas
Documento de Guía
Image: “Questions” by *Balakov
20

Riesgos y Tendencias de Seguridad en la Nube

Transcripción

Documentos relacionados

descargar ponencia