Seguridad en la nube
description
Transcript of Seguridad en la nube
Seguridad en la NubeOmar Lara Salazar, CTO, Interplanet@elchito [email protected]
Cloud Computing
Definicin NIST
Modelo para permitir acceso a la red bajo demanda y de manera conveniente a un conjunto compartido de recursos de cmputo configurables (redes, servidores, almacenamiento, aplicaciones y servicios) que pueden proporcionarse rpidamente con un mnimo esfuerzo de gestin o de interaccin del proveedor del servicio.
Cloud Computing
Modelos/Arquitecturas de Servicio Software as a Service (SaaS) Platform as a Service (PaaS) Infrastructure as a Service (IaaS) * as a Service (Subservicios)
Cloud Computing
Cloud Computing
Cloud Computing
Cloud Computing
Modelos de despliegue Private Cloud Community Cloud Public Cloud Hybrid Cloud
Cloud Computing
Caractersticas Autoservicio bajo demanda Amplio acceso a travs de la red Disponibilidad de Recursos Rpida Elasticidad Servicio Medido
Cloud Computing
Beneficios Reduccin de costos Apremiante (Immediacy) Disponibilidad Escalabilidad Eficiencia Capacidad de recuperacin
Seguridad en la NubeProblemas similares en los sistemas convencionales (CIA)
Identificacin de los activos (Informacin, Aplicaciones y Dispositivos) Identificacin de las amenazas Contramedidas y mitigacin
Seguridad en la Nube
Amenazas Confidencialidad - Amenazas usuarios internos - Amenzas atacantes externos - Fuga de informacin
Seguridad en la Nube
Amenazas Integridad
- Segregacin de informacin (permetros no definidos, configuracin incorrecta de Vms) - Acceso y control de usuarios - Calidad de informacin (Aplicaciones con fallos en su programacin) - Prdida de informacin
Seguridad en la Nube
Amenazas Disponibilidad
- Administracin y control de cambios (Actualizaciones, penetration-testings, etc) - Denegacin de servicio (DNS, Aplicaciones, Red, etc) - Interrupcin fsica - Procedimientos de recuperacin dbiles
Seguridad en la Nube
Amenazas
Spoofing Elevacin de privilegios Uso abusivo del cloud Interfases y APIs inseguras Tecnologa compartida (blue-red pill de Rutkowska) Prdida/Recuperacin de datos Robo de Identidad SQL Injection
Seguridad en la Nube
Amenazas XSS Vulnerabilidades en Mquinas Virtuales Outsourcing no controlado Ingeniera Social Ataques en dispositivos mviles Temas de ndole legal y regulatoria Etc, etc, etc.
Seguridad en la Nube
Mitigaciones
Procesos de validacin y registro estrictos para acceso a los servicios Monitoreo constante en cambios y actividades no usuales Asegurar autenticacin y controles de acceso Analizar y generar code-auditing a las APIs Escaneo de vulnerabilidades y auditora de cdigo en general
Seguridad en la Nube
Mitigaciones
Actualizaciones y parches Cifrar informacin e integridad en sitio Cifrar informacin en trnsito con SSL/TLS Implementar generadores de llaves fuertes Prohibir compartir credenciales de cuentas entre usuarios y servicios Monitoreo proactivo para actividades no autorizadas Firewalls virtuales y perimetrales
Seguridad en la Nube
Mitigaciones
Auditoras constantes y penetration-testings Monitoreo e inspeccin de las mquinas virtuales para garantizar administracin de recursos adecuada y aislamiento DRP, Backup offsite Reduccin de latencia con QoS HIDS, IDS, IPS Administracin Privada con VPNs, MPLS, VLAN. Respuesta a incidentes inmediata Open Source
Seguridad en la Nube
RetosAdministracin del aislamiento Logging Multi-arrendamiento Garantas en calidad de servicio Propiedad de los datos Hardening y seguridad de los OS Posibilidad de fallos masivos Necesidades de cifrado para el cloud Accesos administrativos a servidoresaplicaciones Exploits en VMs y ataques VMs-To-VMs
Retos
Impacto en el performance Administracin de parches Polticas en la organizacin, etc.
ConclusionesLos proveedores de servicio de cloud computing estn entregando servicios a partir de la virtualizacin que ofrecen una mejora para distintas necesidades, sin embargo es necesario evaluar la justificacin de dicho uso y desplegar una lnea de defensa que incluya las contramedidas citadas para mantener la confidencialidad, integridad y disponibilidad de los activos.
Preguntas?
Gracias Omar Lara, CTO, Interplanet @elchito [email protected]