Work in Progress
Transcripción
Work in Progress
Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones Tendencias Generales Evolución histórica de los Servicios Públicos en la Nube Era de los Portales 1989 1994-95 Era de las Aplicaciones Online 1997 2002 2004 Era de los Servicios Web Era de la Nube 2006 2008 2010 Evolución de las redes corporativas Evolución de las redes corporativas Evolución de las redes corporativas Que es «La Nube» • Características – Auto Servicio bajo demanda. – Amplio acceso de red – Recursos comunes • Independiente de la Ubicación – Rápida Elasticidad – Servicio Medible Es un nuevo modelo computacional, NO una nueva tecnología, que persigue una reducción de costos proporcionando a los clientes todo lo necesario en modo servicio a través de un proveedor. Modelos de Servicios en “La Nube” Software as a Service SaaS Plattform as a Service PaaS Aplicación ofrecida por el Proveedor Aplicación desarrollada por el Cliente Plataforma ofrecida por el Proveedor Infrastructure as a Service IaaS El Proveedor ofrece infraestructura fundamental (ejem. CPU, Alimentación, Almacenamiento, Red, etc.) Fuente: NIST (http://csrc.nist.gov/groups/SNS/cloud-computing/cloud-def-v15.doc) Modelos de Despliegue de “La Nube” • Nube Privada – Que pertenece y es operado por una organización • Nube Común – Infraestructura compartida por una comunidad • Nube Publica – Ofrecida al publico, amplia escalabilidad • Nube Hibrida – Compuesta de dos o mas modelos Fuente: NIST (http://csrc.nist.gov/groups/SNS/cloud-computing/cloud-def-v15.doc) Catalogación de los Modelos de Despliegue de “La Nube” Coste Nube Privada Nube Comunitaria Nube Pública Agilidad / Seguridad Evolución de los Data Center - Microsoft Generation 4 Datacenter Economía de Escala Seguridad y Regulación en los Data Centers De lo mejor de la industria en seguridad y Fiabilidad Características Clave • • • • • • • • Data Centers Geo-redundantes Arquitectura N+1 9 Capas de Seguridad Certificado CyberTrust Acceso Seguro via SSL Operaciones con ITIL/MOF Soporte 24 x 7 x 365 99.9% te Respaldado financieramente con el SLA • • • • • • • • • Routers de Filtrado Firewalls Sistemas detección Intrusion Seguridada a nivel Sistema Autenticación de Aplicación Contramedidas a nivel de Aplicación Escaneo de Virus Redes de Datos Separadas Autenticación a los datos ISO27001 e(strategico) FISMA (tactico) SAS70 (audit) Certificaciones FISMA, SAS 70, ISO en todos los centros y servicios Retos y Oportunidades • La Información esta bajo el control del proveedor – No está limitado al espacio o la geografía • Cambios en los Procesos de IT – El proveedor puede tener mejores procesos de seguridad – El proveedor de la nube gestiona la seguridad física – Retos sobre la soberanía y la legalidad • Almacenamiento de datos Centralizado – Economía de escala – Atractivo para los criminales • Problemas de Privacidad • Forense • Dispositivos Amenazas de Seguridad en la Nube • Amenazas derivadas de la Tecnología – Son los de siempre con algunas incorporaciones – Se solucionan con mas tecnología • Amenazas de la parte cliente (PC, dispositivos móviles) • Amenazas filosóficas y de procedimiento – Hay muchas novedades – Se solucionan con cambios de mentalidad y aprendizaje Por ser «la nube» un cambio de Paradigma, son mucho mas importantes las amenazas de tipo filosófico y de procedimiento Amenazas de Seguridad derivadas de la Tecnología • Las amenazas tradicionales siguen existiendo – Ataques a la Capa de Aplicación (XSS, ataques de inyección de código) – Ataques a la Capa de Red (Ataques DNS , network flooding) • Se potencian otras amenazas – Ataques a las tecnologías de Virtualización • Nuevos ataques de Escalada de Privilegios (VM a host o VM a VM) • Romper las barreras de las VM • Hyperjacking (rootkitting al host o a la VM) • Hay mas amenazas pero menos riesgo: – La tecnología y procedimientos empleados en proteger los DataCenter de «la nube» son muy superior a la empleada en nuestras organizaciones. – Gestión de riesgos, de cambios, de regulación , de Identidad, de Acceso – Es un problema de confianza, y no de seguridad Amenazas - PC • En el nuevo entorno cada PC ha de ser seguro por si mismo. • Seguridad Física: – Ya no cuenta con la protección física de nuestras oficinas – Hay que proteger la información a nivel físico (TPM, Bitlocker, Bitlocker to go, etc…) • Seguridad en toda la pila de Software: – El Software a utilizar ha de estar bien desarrollado (SDL) – El Sistema ha de tener su propio software de seguridad: Firewall, IDS, Antivirus, etc..(FEP 2010 incluye todo) – Sistema Operativo ha de contar con funcionalidad para conexiones sencillas y seguras. (DirectAccess) • PRIVACIDAD Amenazas– Otros Dispositivos • En el nuevo entorno cada dispositivo ha de ser seguro por si mismo y cumplir con los requisitos legales. • Seguridad Física: – O no han de almacenar información o esta ha de estar protegida – Funcionalidades de borrado en remoto • Seguridad en toda la pila de Software: – – – – – – – – – El Software a utilizar ha de estar bien desarrollado (SDL) El Sistema ha de tener su propio software de seguridad: Firewall, IDS, Antivirus, etc. Gestión del dispositivo Borrado en remoto Gestión de Usuarios Gestión y auditoria de la Información. Cifrado Control sobre la instalación de aplicaciones Conectividad Segura • PRIVACIDAD Amenazas filosóficas y de procedimiento • En el nuevo entorno cambian mas cosas de las que parecen. – Arquitectura de Red abierta • Ubicuidad de los datos • Ubicuidad de los usuarios y sus terminales – Compartición de Procesos y responsabilidades • Gestión de la seguridad entre proveedor y cliente – – – – – Acceso Identidad Regulación Protección de Datos Auditoria y Forense Además de entender el entorno, es necesario un buen entendimiento entre el proveedor y el cliente Amenazas de método y procedimiento • El desconocimiento del entorno nos lleva a los 7 pecados capitales Ignorancia Ambigüedad Duda Transgresión Desorden Engreimiento Complacencia Consideraciones de Seguridad en «La Nube» Gestión de Riesgos y Regulación Gestion de Identidad y Accesos Integridad del Servicio Integridad del Punto Final Protección de la Información Gestión del Riesgo y Regulación • La Conformidad/Legalidad sigue siendo una tarea del Cliente • Es necesario una gestión de Riesgos al adoptar una solución en la nube. • La colaboración entre el cliente y el proveedor es esencial – Se necesita cierto grado de trasparencia en los procesos • Es necesario un equipo interno fuerte – Negociación del Contrato – Definición de las métricas y el control – Integración de los Controles en los procesos internos Los requisitos de Conformidad pueden conseguirse con un equipo interno capacitato y un cierto nivel de transparencia en los procesos del provvedor. Gestión de Acceso e identidad • La Colaboración entre Dominios requiere de Identidades de Seguridad – Personas y Dispositivos • • • • Basado en Pruebas Personales o Similar Basado en reclamo. Basado en Estándares de Interoperabilidad Ha de existir un equilibrio entre Privacidad vs. Autenticación • Los Procesos han de poder incluir varios proveedores Cualquier sistema de Identidad Digital en “La Nube” ha de ser Interoperable entre varias organizaciones y proveedores , y ha de estar basado en fuertes procesos. Integridad del Servicio • Desarrollo e Ingenieria del Servicio – Son necesarios Procesos de ingenieria serios y transparentes • • • • • • Requerimientos Diseño Implementación Verificación Públcio Respuesta – Probado – Basado en Modelo de Amenazas o Similar El Proveedor debe de seguir un proceso claro, definido y probado para integrar seguridad y privacidad en el servicio desde el principio y para todo el ciclo de vida. Integridad del Servicio • Prestación del Servicio – Los procesos internos deven de poder cubrir varios proveedores • • • • • • Monitorización de la Seguridad Audoria Forense Respuesta a incidentes Continuidad del negocio Etc. – Los requerimientos dependen de la aplicación y las necesidades de la información Las capacidades de prestación del servicio del proveedor y las nececesidades de auditoria y gestion de la seguridad del cliente, han de estar alineadas. Integridad del Punto Final • Dispositivos de conexión • Es parte de la cadena de prestación del servicio • A menudo objeto de ataques de ingeniería social (y similares) • Revisar con los procesos y políticas de cada día Es muy importante incluir el Punto Final en cualquier consideración de seguridad para un servicio en «La Nube» Protección de la Información • El fundamento es la Clasificación de los datos – Requerimientos – Necesidades Legales • Se necesita que la protección de los datos sea Persistente – Cifrado/Gestión de los derechos digitales • Ha de cubrir toda la transacción – Los datos durante el Transito • Nuevos Retos – Soberanía de los Datos – Acceso a la información – Procesamiento y Partición de los datos La Implementación de una Clasificación de los dato ayuda a decidir que datos estan listos para “La Nube” bajo que circunstancias , y con que controles Recommendations • Es necesario un equipo interno bien formado en temas relacionados con la nube • Elegir el Modelo de despliegue adecuado (Privada, Comunitaria o Publica) • Son obligatorios los planes de riesgos y de cumplimiento de normativa. • El proveedor debe de tener procesos transparentes, control del cumplimiento legales y auditoria • La clasificación de los datos es clave • Control sobre el Ciclo de Vida de la Información • Mejores controles de acceso y federación de identidad Iniciativa Confianza Extremo a Extremo Reclamos de Identidad Autenticación Autorización Mecanismos Control de Accesos “I+4 A” Gente de Confianza Datos de Confianza Software de Confianza Hardware de Confianza SDL y SD3 Defensa en profundidad Mitigación amenazas Recursos • • • • • • • Microsoft Government Cloud Site – http://www.microsoft.com/govcloud Microsoft Windows Azure – http://www.microsoft.com/windowsazure/ Security Best Practices For Developing Windows Azure Applications – http://download.microsoft.com/download/7/3/E/73E4EE93-559F-4D0F-A6FC7FEC5F1542D1/SecurityBestPracticesWindowsAzureApps.docx Cloud Computing Security Considerations – http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=326 9a73d-9a74-4cbf-aa6c-11fbafdb8257 Building Confidence in Cloud Computing (US) – http://www.microsoft.com/presspass/presskits/cloudpolicy/ Microsoft Generation 4 Datacenter videos: – http://www.microsoft.com/video/en/us/details/36db4da6-8777-431e-aefb316ccbb63e4e – http://www.microsoft.com/showcase/en/us/details/84f44749-1343-4467-80129c70ef77981c Microsoft Datacenter information site: – http://www.globalfoundationservices.com/