Seguridad en cloud - 52.0.140.18452.0.140.184/typo43/.../XXX_Salon_de_Informatica/... · 8/31/10 10...
Transcript of Seguridad en cloud - 52.0.140.18452.0.140.184/typo43/.../XXX_Salon_de_Informatica/... · 8/31/10 10...
8/31/10
1
Cloud compu*ng, ¿qué cambia?
• Las fronteras ahora no son claras, • La separación de datos es ahora únicamente lógica,
• La dependencia de la red es mayor,
• La exposición de las aplicaciones se incrementa,
• El modelo de “governance” cambia,
• ¿Estándares?
8/31/10
2
Las fronteras ahora no son claras
• Antes los malos estaban afuera y los buenos adentro, – “El perímetro”,
• Lo que importa aquí es la definición de responsabilidades – Cuál es el compromiso del operador de la nube,
• ¿SLAs? • ¿Modelo SaaS, PaaS, IaaS?
• Pensar en “el perímetro” no *ene sen*do ya!
La concepción an*gua de seguridad
8/31/10
3
El enfoque correcto
La separación de datos es ahora únicamente lógica
• Es posible estar compar*endo RAM con un compe*dor, – Atención a la definición de las fronteras,
8/31/10
4
¿Cómo funciona y cómo falla la tecnología?
HSM: Hardware Security Module
PIN
yes/no
Tomado de “Decimalisation table attacks for PIN cracking” Mike Bond et al.
SQL injec*on
• Consiste en inyectar un comando SQL como datos en una página web – Las páginas web usan los parámetros de entrada para construir un
comando SQL a la base de datos,
• Por ejemplo, la forma html • Nombre = Pedro, • Apellido = Perez,
– Se convierte en la sentencia select id from empleados where nombre=‘Pedro’ and apellido=‘Perez’
• De manera que si el usuario digita; • Nombre = Pe’; drop table empleados -‐-‐
– La sentencia SQL resultante será: • select id from empleados where nombre=‘Pe’; drop table empleados -- and apellido=‘’
8/31/10
5
SQL injec*on
Buffer Overflow
• Grosso-‐modo, la mitad de los problemas de seguridad en Internet,
• Problema conocido desde la década de los 50s, – Algol-‐60 (1957) incluía “mandatory array bounds checking”, • Revise hbp://www.masswerk.at/algol60/report.htm
– Aún MULTICS-‐PL/I incluía “mandatory array bounds checking”,
8/31/10
6
Buffer Overflow (Code Red)
GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u68
58%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u819
0%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
Buffer Overflow (¿dónde se origina?)
• Kernighan & Ritchie – Miren la sección 1.9
8/31/10
7
Buffer Overflow (el pasado no perdona)
• Ghosts from your digital past will haunt you!
Nuestras fallas rara vez son evidentes
8/31/10
8
Nuestras fallas rara vez son evidentes (.)
La dependencia de la red es mayor
• Aún una visita a la Intranet corpora*va requiere un largo viaje, – Igual revisar un correo electrónico,
• Un ataque DoS contra su router de acceso a Internet durante el fin de mes puede ser fatal, – Las vulnerabilidades de BGP son ahora más graves,
8/31/10
9
La exposición de las aplicaciones se incrementa
• Cuál es exactamente la superficie de exposición? – En SaaS, la superficie es el browser
• Inocente, terminaremos integrando,
– En PaaS,la superficie es un API • Son los APIs seguros? • REST security?
– En IaaS, la superficie es completa • Bueno, al menos no incluye seguridad ksica
La exposición de la organización
Infosec Con*nuity Auditor Compliance Physical Security
Privacy Technology
ISO 27K BS-‐25999 COBIT SOX (Cobit), PCI, GBL, …
“lo que diga mi Mayor”
HIPAA. DHS
0470.1, EU Data Privacy Direc*ve
ITIL
8/31/10
10
El modelo de “governance” cambia
• Los proveedores de clouds públicas no son muy claros en temas de seguridad, – Los SLAs son realmente inú*les en temas de seguridad,
• “a public cloud is good for non-‐sensi*ve, non-‐regulated, unclassified data”, – No hay mayores requerimientos de seguridad ni en los clientes ni en los proveedores de clouds públicas, • Hay cambios, sin embargo
Hacia un modelo de “governance”
• A6 (Automated Audit, Asser*on, Assessment and Assurance API): – aka. CloudAudit
• Trusted Cloud Ini*a*ve: – Cloud Security Alliance,
• CAMM (Common Assurance Maturity Model),
• FedRAMP (Federal Risk and Authoriza*on Management Program),
8/31/10
11
¿Estándares?
• SaaS, – authen*ca*on / authoriza*on, formats for data import and export
• PaaS, – Supported programming languages, APIs, …
• IaaS, – VM image distribu*on, VM provisioning and control, Inter-‐cloud VM exchange, Persistent storage, Secure VM configura*on,
• SLAs son hoy en día legalese
Cloud compu*ng, ¿qué hace falta?
• La ges*ón de iden*dades ahora es muy crí*ca, – Ac*veDirectory® Kerberos, SAML, RBAC, Liberty Alliance, OASIS KMIP, …
• Fully Homomorphic encryp*on:
– La nube puede procesar datos ¡sin leerlos!
8/31/10
12
Fully Homomorphic encryp*on
• Craig Gentry (IBM) lo logró en el 2009, • Mejorado por Marten van Dijk, Craig Gentry, Shai Halevi and Vinod Vaikuntanathan en el 2009,
• Mejorado a su vez por Nigel P. Smart and Frederik Vercauteren en el 2010,
Cloud compu*ng, ¿qué hace falta?
8/31/10
13
Desde mi perspec*va, ¿qué hace falta?
Desde mi perspec*va, ¿qué hace falta?
8/31/10
14
Desde mi perspec*va, ¿qué hace falta?
Desde mi perspec*va, ¿qué hace falta?
8/31/10
15
La complejidad es enemiga de la seguridad
• En número de líneas de código: – Windows 3.1 (1992): 3 millones, – Windows 95 (1995): 15 millones,
– Windows 98 (1999): 18 millones, – NT 3.5 (1992): 4 millones,
– NT 4.0 (1996): 16.5 millones, – Windows 2000 (2001): 35 millones,
– Windows XP (2002): 40 millones,
– Windows Vista (2006): 50 millones, – Solaris: 7 – 8 millones,
– Linux (aun con X y Apache): 5 millones, – NetBSD 3.8: 3 millones,
La complejidad es enemiga de la seguridad (.)
8/31/10
16
La complejidad es enemiga de la seguridad (..)
Desde mi perspec*va, ¿qué hace falta?
• Seguridad en todo el ciclo de desarrollo de sozware,
Hacker externo, Empleado descontento, Desastres naturales, Desastres no naturales