Post on 03-Jul-2015
description
Computación en la nube y seguridad
Ing. Carlos Rubén Jacobscarlos.jacobs@grada.com.ar
Computación en la nubeCaracterísticas esenciales
● Autoservicio bajo demanda● Acceso por red● Recursos compartidos por muchos clientes● Elasticidad rápida● Servicio medido
Computación en la nubeModelos de servicio
● Software como servicio (SAAS)● Plataforma como servicio (PAAS)● Infraestructura como servicio (IAAS)● http://cloudtaxonomy.opencrowd.com/
Triada de la seguridad
● Disponibilidad● Confidencialidad● Integridad
Disponibilidad
DisponibilidadRecomendaciones
● Acuerdos de niveles de servicio. Si tenés un SLA de 99,99% tenés unos 52 minutos de caida del servicio por año
● Proveedores de cloud services redundantes: de modo que si se cae uno se usa otro
● Comprar servicios en distintas regiones● Aún con servicios como los de Google y
Amazon (que tienen redundancia de datos incorporada): hacer backups tradicionales a otro proveedor
Confidencialidad
ConfidencialidadRecomendaciones
● Encriptación ● en tránsito: https
– BEAST● Navegador Chrome 15+, Opera
● en descanso: a nivel de base de datos, de filesystem
● Una buena administración de claves. ● NIST 800-57
● Uso de algoritmos fuertes● AES-256
¿Qué pasa si un empleado del proveedor del servicio de cloud computing altera mis datos?
IntegridadRiesgos
IntegridadRecomendaciones
● Firma digital (p. ej de logs, archivos, registros)● Timestamping● www.acraiz.gob.ar
La computación en la nube es insegura
● ¿Comparada con qué? ● ¿Cuál es el costo de mejorar el nivel de
seguridad que ofrecen los mejores proveedores de computación en la nube? ¿Podrías pagarlo?
● El punto es si teniendo un datacenter propio tengo más seguridad o no a un costo comparable.
La computación en la nube es insegura
● Tu datacenter cumple con● - SOC 1/SSAE 16/ISAE 3402● - FISMA Moderate● - PCI DSS Level 1● - ISO 27001● - International Traffic in Arms Regulations● - FIPS 140-2● - HIPAA● - CSA
● Amazon AWS cumple con todo eso
La computación en la nube es insegura
● ¿Cuál es el nivel de servicio de tu datacenter?● ¿El nivel de servicio que podés lograr es mayor
a 99,95% al mes?● http://aws.amazon.com/ec2-sla/● http://aws.amazon.com/s3-sla/● http://aws.amazon.com/route53/sla/● http://www.linode.com/faq.cfm/#what-is-your-sla● http://www.rackspace.com/cloud/legal/sla/
Recomendaciones● Comenzar a utilizar servicios de computación
en la nube para tareas no críticas que no incluya tratamiento de datos personales
● Iniciar la estrategia cloud computing mediante la adopción de servicios de infraestructura (IaaS) y plataforma (PaaS), modelos que permiten conservar mayor control
● Inicialmente, en el escenario SaaS se recomienda apostar por sistemas poco críticos y soluciones muymaduras (por ejemplo, correo electrónico)
● Utilizar proveedores que ofrezcan un SLA con cláusula de penalización en caso de incumplimiento
Recomendaciones
● Utilizar proveedores que puedan demostrar que tienen auditorias externas y cumplen standards internacionales
● SI va a tratar datos personales usar proveedores con Datacenter en Argentina.
● Siempre consultar al abogado para no hacer cosas que vayan contra alguna ley
Más información
● cloudsecurityalliance.org● http://www.inteco.es/Seguridad/Observatorio/E
studios/
¿Preguntas?
¡Gracias!
● Ing. Carlos Rubén Jacobs● carlos.jacobs@grada.com.ar● www.grada.com.ar