1. Estudio de la seguridad en sistemas Cloud Computing
para la asignatura de Seguridad de la Información
Universidad
Francisco
Vitoria
SEGURIDAD EN CLOUD COMPUTING
CONTROL DOCUMENTAL
TÍTULO SEGURIDAD EN CLOUD COMPUTING
PROYECTO Seguridad de la información
ENTIDAD DE DESTINO Universidad Francisco Vitoria
PÁGINAS 25 páginas
PALABRAS 6107 palabras
CÓDIGO DE REFERENCIA
VERSIÓN 1.0
FECHA DE CREACIÓN lunes, 23 de enero de 2012
ULTIMA MODIFICACIÓN lunes, 23 de enero de 2012
NOMBRE DEL ARCHIVO SEG_CLOUD_1_0.DOCX
TAMAÑO DEL ARCHIVO 848098 bytes
HERRAMIENTA/S DE EDICION Microsoft Word 2010
AUTOR/ES Enrique Sánchez Acosta
Estudio de la seguridad en sistemas Cloud Computing
RESUMEN DEL DOCUMENTO
para la asignatura de Seguridad de la Información
Seguridad de la información | Enrique Sánchez Acosta
2. SEGURIDAD EN CLOUD COMPUTING
Universidad Francisco Vitoria
RESUMEN
La evolución del Software hacia el Cloud Computing no ha sido más que una externalización de los
servicios existentes hacia lo que se dio en llamar la nube. En primera instancia fueron los productos los que
tuvieron que evolucionar a la nube, a internet a no estar en las máquinas de los clientes, para posteriormente
plantearse el tema de los servicios.
Está claro que un servicio es algo mucho más complejo, ¿Cómo se puede externalizar un servicio
como puede ser una función, o un componente Software? En un principio se vio como algo muy complejo,
pero poco a poco se fueron superando los retos y todo ha ido creciendo hacia el Cloud Computing, y no para
ni parará de crecer. Ahora es algo más fácil desarrollar algo en Cloud Computing y venderlo, pero claro, ahora
es cuando empieza a surgir el problema real. La seguridad.
En este documento trato de dar unas pautas de los problemas que podemos encontrarnos con cualquier
servicio en Cloud Computing. Tanto los que puedan tener que ver con el proveedor de estos servicios, como
los que se encuentra el cliente al contratarlos.
El tema es mucho mas extenso y complicado de lo que parece por lo que no trato aquí de dar una
información excesivamente compleja y extensa sino de introducir al lector del presente documento en el tema
de la seguridad y en todos los puntos que esta conlleva, para que se haga una idea de la importancia de la
seguridad en Cloud Computing y de todos las posibles ramas que esta esta toca, no solo en cuanto a software,
sino también en cuanto a los sistemas legales actuales de la sociedad, que a mi punto de vista no está bien
preparada para todo este crecimiento del Cloud Computing.
Seguridad de la información | Enrique Sánchez Acosta Página 2 de 25
3. SEGURIDAD EN CLOUD COMPUTING
Universidad Francisco Vitoria
ÍNDICE
Contenido
1. Definición .................................................................................................................. 5
1. Ejemplos de Cloud Computing.................................................................................................... 5
2. Tipologías .................................................................................................................................... 6
3. Ventajas ..................................................................................................................................... 10
A. Proveedor ........................................................................................................................... 10
B. Cliente................................................................................................................................ 11
4. Inconvenientes ........................................................................................................................... 12
A. Proveedor ........................................................................................................................... 12
B. Cliente................................................................................................................................ 12
2. Estudios de Seguridad ............................................................................................. 14
A. Amenazas y vulnerabilidades ............................................................................................ 14
a. Cliente.................................................................................................................................... 14
b. Proveedor ........................................................................................................................... 14
B. Aspectos legales ................................................................................................................ 14
a. Cliente.................................................................................................................................... 14
b. Proveedor ........................................................................................................................... 14
C. Confidencialidad................................................................................................................ 15
a. Cliente.................................................................................................................................... 15
b. Proveedor ........................................................................................................................... 15
D. Integridad ........................................................................................................................... 15
a. Cliente.................................................................................................................................... 15
b. Proveedor ........................................................................................................................... 15
E. Disponibilidad ....................................................................................................................... 15
a. Cliente.................................................................................................................................... 15
b. Proveedor ........................................................................................................................... 15
F. Evidencias de auditoría.......................................................................................................... 16
a. Cliente.................................................................................................................................... 16
b. Proveedor ........................................................................................................................... 16
3. Privacidad ................................................................................................................ 17
1. Integridad ................................................................................................................................... 17
A. Control de integridad ......................................................................................................... 17
B. Gestión de cambios............................................................................................................ 17
Seguridad de la información | Enrique Sánchez Acosta Página 3 de 25
4. SEGURIDAD EN CLOUD COMPUTING
Universidad Francisco Vitoria
C. Las copias de seguridad ..................................................................................................... 18
2. Confidencialidad........................................................................................................................ 18
3. Confianza ................................................................................................................................... 18
4. Certificaciones ........................................................................................................................... 18
4. Marco Legal............................................................................................................. 20
5. Riesgos y amenazas ................................................................................................. 22
A. Amenazas y vulnerabilidades ............................................................................................ 22
B. Aspectos legales ................................................................................................................ 22
C. Confidencialidad................................................................................................................ 22
D. Integridad ........................................................................................................................... 23
E. Disponibilidad ....................................................................................................................... 23
F. Evidencias de auditoría.......................................................................................................... 23
A. Accesos de usuarios con privilegios .................................................................................. 23
B. Cumplimento normativo .................................................................................................... 23
C. Localización de los datos ................................................................................................... 23
D. Aislamiento de datos ......................................................................................................... 24
E. Recuperación ......................................................................................................................... 24
F. Soporte investigativo ............................................................................................................. 24
G. Viabilidad a largo plazo ..................................................................................................... 24
Seguridad de la información | Enrique Sánchez Acosta Página 4 de 25
5. SEGURIDAD EN CLOUD COMPUTING
Universidad Francisco Vitoria
1. DEFINICIÓN
En primer lugar tenemos que de definir e introducir el nuevo concepto de Cloud Computing:
e nuevo
Se trata de una tecnología emergente de la computación que utiliza internet y serservidores centrales
remotos para el mantenimiento de datos y aplicaciones, aunque quizá una definición mas extensa sea q es que
una tecnología que ofrece servicios a través de internet, los usuarios de este servicio tienen acceso de forma
os
gratuita o de pago y responde a múltiples características integradas.
El “Cloud Computing” nació para dar respuesta a los problemas de los primeros grandes proveedores
de servicio de Internet a gran escala (Google, Amazon AWS, etc.).
Todos ellos construyeron su propia infraestructura y emergió una arquitectura(Cloud Computing) para
infraestructura
dar solución a sus problemas a la hora de dar servicio a tantos usuarios.
1. EJEMPLOS DE CLOUD COMPUTING
Muchas grandes empresas se han dedicado a ofrecer estos servicios de Cloud Computing
Computing,
promoviendo el fácil acceso a la información y muchas características que nos hace pensar en la comodidad
que nos brindan, entre ellas podemos mencionar:
• Google Apps: brinda el servicio de aplicaciones para empresas como Gmail, Google Talk,
Google Calendar y Google Docs, etc.
dar
• Amazon Web Services: los servicios que ofrece son el Amazon EC2™, Amazon S3™,
SimpleDB™, Amazon SQS™.
• Azure de Microsoft: ofrece servicios de sistema operativo, hosting, sistemas para desarrollo.
• eyeOS con su proyecto eyeOS: es un escritorio virtual multiplataforma, libre y gratuito,
scritorio
basado sobre el estilo del escritorio de un sistema operativo. El paquete básico de aplicaciones
que vienen por defecto, incluye toda la estructura de un sistema operativo y algunas
aplicaciones de tipo suite ofimática como un procesador de textos, un calendario, un gestor de
archivos, un mensajero, un navegador, una calculadora y más.
Seguridad de la información | Enrique Sánchez Acosta Página 5 de 25
6. SEGURIDAD EN CLOUD COMPUTING
Universidad Francisco Vitoria
• Vmware con su proyecto vCloud: Con la que los usuarios tienen la seguridad de que las
aplicaciones pueden gestionarse, moverse y que pueden correr en la Cloud de la misma forma
que lo hacen internamente.
2. TIPOLOGÍAS
Existen diferentes tipos de nubes en función de como sea su capa de Infraestructura, siguiendo al
NIST (NationalInstituteofStandards and Technology podemos distinguir cuatro tipos:
• Pública: En términos sencillos, los servicios Cloud públicos se caracterizan por estar
disponibles para los clientes de un proveedor de servicios externo a través de Internet.
• Privada: Una nube privada ofrece muchas de las ventajas de un entorno de Cloud Computing
pública. La diferencia entre una nube privada y una nube pública es que en una Cloud
privada, los datos y los procesos se gestionan dentro de la organización sin las restricciones
de ancho de banda de red, riesgos de seguridad y requisitos legales que el uso de los servicios
en una Cloud pública podría conllevar.
• Comunitaria: Es controlada y utilizada por un grupo de organizaciones que tienen intereses
comunes, tales como los requisitos específicos de seguridad o una función común. Los
miembros de la comunidad comparten el acceso a los datos y aplicaciones en la nube.
• Hibrida: Es una combinación de Clouds públicas y privadas que interactúan entre ellas. En
este modelo los usuarios suelen externalizar la información no crítica para el negocio en la
Cloud pública, manteniendo los servicios esenciales para la empresa y los datos bajo su
control.
Seguridad de la información | Enrique Sánchez Acosta Página 6 de 25
7. SEGURIDAD EN CLOUD COMPUTING
Universidad Francisco Vitoria
Sin embargo no sería este el único tipo de topología, ya que se trata de una tecnología aun muy
reciente y varios autores tratan de clasificarla.
Tenemos por otro lado otra clasificación de la topología del CCUS (Cloud Computing Use Cases) un
grupo formado por colaboradores de todo el mundo para definir y orientar esta tecnología. Este grupo divide
el Cloud Computing según sus casos de uso, no según los requisitos como lo esta haciendo el NIST.
• Del usuario a la nube: Aplicaciones ejecutándose en Cloud y accedidas por usuarios finales
vía internet. Casos comunes son aplicaciones de hosted email y redes sociales.
• Del usuario a la nube y vuelta al usuario: La empresa usa el Cloud para entregar datos y
servicios al usuario final, pudiendo se este último un empleado o cliente.
• De la empresa a la nube: Aplicaciones Cloud integradas con capacidades IT internas de la
empresa. En este escenario la empresa usa servicios Cloud para complementar los recursos
que necesita:
o Usando almacenamiento en Cloud para backups o almacenamiento de datos de menor
utilización.
o Usando maquinas virtuales en la Cloud de cara a disponer de procesamiento adicional
para manejar picos de carga (con la posibilidad de apagar estos VMs cuando no sean
necesitados).
o Usando aplicaciones en el Cloud (SaaS) para ciertas funciones empresariales (email,
CRM, etc.).
o Usando Bases de Datos en Cloud como parte del procesamiento de aplicaciones.
Podria ser útil para compartir bases de datos con partners, agencias gubernamentales,
etc.
Seguridad de la información | Enrique Sánchez Acosta Página 7 de 25
8. SEGURIDAD EN CLOUD COMPUTING
Universidad Francisco Vitoria
• De la empresa a la nube y vuelta a la empresa: Este caso implica dos empresas utilizando la
misma Cloud, de forma que las aplicaciones de ambas empresas puedan interoperar. El más
claro ejemplo es una cadena de suministro.
• Privada: Similar a la definición aportada por NIST.
• Cambio de proveedores: Una organización utilizando servicios Cloud decide cambiar a otro
proveedor o trabajar con proveedores adicionales. Este caso trata uno de los principales
puntos defendidos por esta asociación que es la interoperabilidad y portabilidad entre
diferentes entornos Cloud, evitando el lock in o la imposibilidad de migrar tus soluciones.
• Híbrida: Similar a la definición aportada por NIST con la salvedad que en el documento se
asocian los requerimientos para una Cloud comunitaria como un conjunto de los
requerimientos de una Cloud hibrida.
La tendencia principal de los últimos estudios de Cloud Computing es que sea precisamente esta
última, la Híbrida la que más se está utilizando y la que probablemente triunfe en un futuro desbancando a
todas las demás.
A este sistema hibrido y a otros vistos anteriormente podemos añadirle además el concepto de Cloud
Privada Virtual donde usuarios de Clouds privadas acceden a recursos de infraestructura IT de proveedores
Cloud mediante VPNs expandiendo por tanto los límites del firewall corporativo hasta el proveedor
Cloud,permiten combinar recursos difícilmente escalables de la infraestructura tradicional, llevando aspectos
específicos de la infraestructura IT como almacenamiento y computación a la Cloud pública, proveyendo
escalabilidad, y agilidad mediante provisión bajo demanda.
Amazon Web Services lanzó Amazon Virtual Private Cloud en 2009, el cual proporciona a través de
Amazon Elastic un servicio de red privado a través de IPSec con una conexión de red privada virtual.
También Google App Engine soporta una funcionalidad similar a través de SDC (SecureData
Connect), un producto lanzado por Google también en 2009.
Seguridad de la información | Enrique Sánchez Acosta Página 8 de 25
9. SEGURIDAD EN CLOUD COMPUTING
Universidad Francisco Vitoria
Seguridad de la información | Enrique Sánchez Acosta Página 9 de 25
10. SEGURIDAD EN CLOUD COMPUTING
Universidad Francisco Vitoria
3. VENTAJAS
“Lo realmente innovador en Cloud Computing es el cambio de
mentalidad que está produciendo para que la tecnología sea usada por la
gente preocupándose únicamente de lo que puede hacer con ella, no por
cómo implementarla”,
Daryl C. Plummer.
“Las ventajas del Cloud Computing son claras. El usuario final nota
inmediatamente una mejora en la calidad del servicio y en su experiencia de
uso. Por su parte las empresas se benefician de la posibilidad de atender una
fuerte demanda en un momento dado y ajustar de forma dinámica los
recursos dedicados, todo ello sin que aumente la complejidad en la gestión”,
Luis Aguilar.
No hay duda que muchos autores están describiendo las ventajas del Cloud Computing y como está
cambiando la forma de entender la programación del futuro. Actualmente el mercado ofrece una amplia
variedad de soluciones de Cloud Computing. Pero hay que diferenciar las ventajas en dos factores, las que se
aplican al proveedor y las que se aplican al cliente.
A. Proveedor
Empresas que llevan muchos años haciendo software tradicional de repente y de manera mágica
resulta que su software está ‘En la Nube’. Ahora todo es Cloud y el que pierda el tren se quedará sin
competitividad. En una primera instancia el proveedor se negaba a proporcionar a los clientes los servicios
Cloud, siempre pensaron que podían proporcionar al cliente todo el software y el hardware necesario de forma
dedicada, sin necesidad que fuera Cloud.
Esta es la etapa de la negación del proveedor: se asume que el cliente no sabe y que ha oído la última
palabra de moda. Pero esto está comenzando a cambiar.
Su modelo de negocio tradicional está cambiando y los clientes piden cosas que antes nunca pedían. Y
además o el proveedor les ofrece lo que quieren o el cambio a otra empresa Cloud es tan fácil e inmediato que
se arriesgan a perder clientes.
Algunos proveedores hoy en día están ofreciendo servicios Cloud sin serlo, ofrecen maquinas
completas dedicadas en la nube y las venden como un servicio Cloud simplemente porque está de moda y por
qué no cuentan con la infraestructura de la empresa que les permita realizar bien el Cloud Computing. Una
IaaS (Infraestructure as a Service) no es un conjunto de servidores virtualizados.
Una regla que todo proveedor debe utilizar para saber si está dando un servicio Cloud Computing es:
¿Puedo contratar un servicio de manera online y no volver a tratar con un
técnico de soporte durante todo el ciclo de vida de despliegue de su
solución?
• No hay duda por tanto que el proveedor reportará grandes beneficios desmarcándose de las
demás compañías, siendo el primero en adaptar el Cloud Computing.
• Además aunque el proceso sea muy costoso al principio llegara a una gran cantidad de
clientes nuevos proporcionándoles una facilidad de uso e implantación que antes no tenían.
Seguridad de la información | Enrique Sánchez Acosta Página 10 de 25
11. SEGURIDAD EN CLOUD COMPUTING
Universidad Francisco Vitoria
B. Cliente
El cliente sin embargo tiene muchas más ventajas que el proveedor:
• Disminución de los costes: El Cloud Computing ofrece ventajas a las pymes en términos de
reducción de costes. Pagaran por lo que usan.
• Opciones de almacenamiento escalable: Puede ampliar las opciones de almacenamiento para
cubrir las necesidades sin problema, en lugar de tener que salir a comprar hardware costoso.
• Actualizaciones automáticas: No hay necesidad de que el departamento de IT tenga que
preocuparse por el pago de actualizaciones futuras en términos de software y hardware.
• Acceso remoto: Los empleados pueden tener acceso a información donde quiera que estén, en
lugar de obligarlos a mantenerse en un solo lugar la mayor parte del tiempo para acceder a lo
que necesitan.
• Servicio ecológico: Cloud Computing utiliza menos energía que los centros de datos
tradicionales lo cual es importante hoy en día.
• Facilidad de implementación: No hay necesidad de implementar hardware y componentes que
pueden tardar varias horas en instalarse.
• El tiempo de respuesta: Cloud Computing logra un mejor tiempo de respuesta en la mayoría
de los casos que en su hardware de servidor estándar.
• Incluso igualdad de condiciones pymes: Esto permite que las pequeñas empresas compitan
más eficazmente con algunas de las empresas más grandes. Esto equilibra el campo de juego.
• Rendimiento y Durabilidad: Ejecutar sus sitios web y aplicaciones SaaS a un ritmo mucho
más rápido con los beneficios de usar un servicio mucho más duradero.
Seguridad de la información | Enrique Sánchez Acosta Página 11 de 25
12. SEGURIDAD EN CLOUD COMPUTING
Universidad Francisco Vitoria
4. INCONVENIENTES
A pesar de su continua evolución, esta tecnología sigue suscitando dudas.
• ¿Son seguras las soluciones de Cloud Computing?
• ¿Ofrecen una disponibilidad continua?
• ¿Es posible mantener el control sobre sistemas y datos críticos que existen en la nube?
• ¿es una solución con todo lo que necesita una empresa, que además está a la altura de lo que
se espera de ella?
A. Proveedor
• El mayor inconveniente para el proveedor es el gasto a realizar en el cambio de
infraestructura para conseguir una IaaS (Infraestructure as a Service). La inversión tanto en
hardware como en software necesario y en un equipo de desarrollo formado en las últimas
tecnologías hacen que sea muy arriesgado adentrarse en ello.
• Habrá que ofrecer al cliente una gran calidad y un nombre importante por que muchos
clientes optaran por empresas con mucho renombre ya que se van a vincular al servicio Cloud
prácticamente para siempre.
B. Cliente
• Privacidad de los datos. El tráfico de los datos estará continuamente en manos de otros. Por
eso es necesario ser muy escrupuloso con la elección del proveedor, debe ser una empresa de
total confianza y con una gran solvencia pública.
• Dependencia de una empresa que puede hundirse. Por eso vuelve a ser necesario elegir con
mucho cuidado. Las soluciones de las grandes empresas tipo IBM del sector suelen ser una
solución segura.
Como todas las tecnologías lo mejor que tiene el Cloud Computing es que es una posibilidad más para
elegir, pero cada cual tiene que hacer balance y decidir cuál es la mejor elección para su negocio.
Seguridad de la información | Enrique Sánchez Acosta Página 12 de 25
13. SEGURIDAD EN CLOUD COMPUTING
Universidad Francisco Vitoria
Seguridad de la información | Enrique Sánchez Acosta Página 13 de 25
14. SEGURIDAD EN CLOUD COMPUTING
Universidad Francisco Vitoria
2. ESTUDIOS DE SEGURIDAD
Desde el punto de vista del cliente tendremos que tener en cuenta algunas cosas que nos hagan
reflexionar sobre la seguridad de nuestro proveedor de Cloud Computing:
• No conocemos los procesos de gestión del proveedor
• No tenemos acceso a la infraestructura
• No podemos auditar el código
• No podemos analizar los logs de autentificación y autorización
• No podemos monitorizar los componentes
• No conocemos a todos los usuarios
Necesitaremos por lo tanto analizar bien en nuestra empresa la Gestión del riesgo para los servicios
que contratemos de Cloud Computing.
Nos encontraremos entonces con diferentes desafíos a tener en cuenta cuando analicemos la seguridad
de una infraestructura de Cloud Computing:
A. Amenazas y vulnerabilidades
a. Cliente
• Evaluación recurrente de vulnerabilidades (una auditoría externa)
• Solicitud de registros de Auditoría interna, certificaciones etc.
• Evaluación recurrente de vulnerabilidades en las interfaces, importante para que
no haya errores futuros con el cliente
b. Proveedor
• Evaluación independiente de vulnerabilidades (Auditoría interna) sobre la
infraestructura, código fuente, interfaces etc. Para proporcionar al cliente
• Implementación de metodologías de mejora continua, y gestión del riesgo como
las ISO 27000, BS 25999, ISO 20000, etc.
B. Aspectos legales
a. Cliente
• Gestión de la información en cada sitio y registro de dicha información
• Independencia de la ubicación en el desarrollo pero no en el procesamiento de los
datos
• Integración del modelo de Software del proveedor con la infraestructura propia
del cliente
b. Proveedor
• Interconectividad para soportar múltiples orígenes de datos
Seguridad de la información | Enrique Sánchez Acosta Página 14 de 25
15. SEGURIDAD EN CLOUD COMPUTING
Universidad Francisco Vitoria
• Localización física de los activos cumpliendo las leyes locales de cada país
• Integración de los departamentos legales durante todo el ciclo del contrato
C. Confidencialidad
a. Cliente
• Preferencia de los proveedores ante los integradores
• Mitigar los riesgos a través de acuerdos de confidencialidad
• Utilizar modelos de servicios para las aplicaciones que no son criticas
b. Proveedor
• Certificación de normas internacionales para aumentar el nivel de control y
confianza
• Gestión integral del riesgo, incluyendo a clientes, empleados y terceros
• Soporte de las API y protocolos de encriptación propietarios del cliente
D. Integridad
a. Cliente
• Control del acceso a la información en cada ubicación
• Separación de los ambientes y las pruebas
• Análisis detallado de la integración de los servicios con la información cr´tica
b. Proveedor
• Implementación de herramientas centralizadas y mejores prácticas para el control
del acceso
• Logs a medida que permitan una trazabilidad de accesos de los clientes
• Diseño de la infraestructura de almacenamiento y procesamiento.
E. Disponibilidad
a. Cliente
• Redundancia en la arquitectura base que garantice la escalabilidad en los vínculos
públicos y privados
• Garantía de escalabilidad del software
b. Proveedor
• Aplicación del concepto “N+1” (ir un poco mas allá) aplicado a todos los
componentes de la arquitectura
• Formalizar las métricas de disponibilidad
Seguridad de la información | Enrique Sánchez Acosta Página 15 de 25
16. SEGURIDAD EN CLOUD COMPUTING
Universidad Francisco Vitoria
• Alto nivel de estandarización de los procesos y la infraestructura entre todas las
ubicaciones físicas
F. Evidencias de auditoría
a. Cliente
• Almacenamiento local de la información y acceso distribuido
• Separar el análisis y las prestaciones del servicio
• Planificar auditorías externas periódicas
b. Proveedor
• Análisis detallado de la información necesaria para cada cliente
• Dimensionamiento de la capacidad necesaria bajo el modelo de servicio
• Herramientas especificas para el análisis y correlación de los eventos de
seguridad
Según un informe del NIST (NationalInstitute of StandardsanTecnology) estos serían los aspectos
fundamentales de seguridad a tener en cuenta a la hora de implantar una infraestructura de Cloud Computing
Área Recomendaciones
Gobierno Implantar políticas y estándares en la provisión de servicios Cloud.
Establecer mecanismos de auditoría y herramientas para que se sigan las
políticas de la organización durante el ciclo de vida.
Cumplimiento Entender los distintos tipos de leyes y regulaciones y su impacto
potencial en los entornos Cloud.
Revisar y valorar las medidas del proveedor con respecto a las
necesidades de la organización.
Confianza Incorporar mecanismos en el contrato que permitan controlar los
procesos y controles de privacidad empleados por el proveedor.
Arquitectura Comprender las tecnologías que sustentan la infraestructura del
proveedor para comprender las implicaciones de privacidad y seguridad
de los controles técnicos.
Identidad y control de acceso Asegurar las salvaguardas necesarias para hacerseguras la autenticación,
la autorización y las funciones de control de acceso.
Aislamiento de software Entender la virtualización y otras técnicas de aislamiento que el
proveedor emplee y valorar los riesgos implicados
Disponibilidad Asegurarse que durante una interrupción prolongada del servicio,
las operaciones críticas se pueden reanudar inmediatamente y todo el
resto de operaciones, en un tiempo prudente.
Respuesta a incidentes Entender y negociar los contratos de los proveedores así como los
procedimientos para la respuesta a incidentes requeridos por la
organización.
Seguridad de la información | Enrique Sánchez Acosta Página 16 de 25
17. SEGURIDAD EN CLOUD COMPUTING
Universidad Francisco Vitoria
3. PRIVACIDAD
Actualmente la información se ha convertido en el principal activo de las organizaciones junto al
personal. Asegurar la privacidad de dicha información es crucial para cualquier entidad. No solo hay que
asegurar la información en su obtención sino a través de todo el ciclo de vida de la organización. Y por
supuesto es también crucial asegurar dicha privacidad en los servicios de Cloud Computing
ucial
El ciclo de vida de los datos cuando son procesados en la nube es el siguiente:
Los datos son Los datos Los datos
preparados "viajan" a la Los datos son finales vuelven
para poder nube por la procesados en al usuario
adaptarse a la conexción a la nube viajando por la
nube internet nube
Antes de migrar los datos por la nube es necesario preguntarse ¿Es realmente necesario que todos los
datos de la organización pases a estar en la nube?
os
1. INTEGRIDAD
Debido a las características de la computación en la nube, varios usuarios pueden estar accediendo
simultáneamente y modificando determinada información. Por ello, deben implementarse los mecanismecanismos que
garanticen la correcta integridad de los datos.
En el ámbito del Cloud Computing, la integridad de los datos es especialmente crítica: los datos están
Computing,
siendo transferidos constantemente entre los servicios en la nube y los distintos usuarios que a
acceden a ellos.
La mayor amenaza para la integridad de los datos en la nube es que los datos se acaben corrompiendo
debido a errores en su manipulación.
Para evitar que los datos en la nube no puedan utilizarse o que no estén disponibles se utilizan
principalmente tres mecanismos: control de integridad, gestión de cambios y copias de seguridad.
palmente
A. Control de integridad
Se obtiene un valor hash de los datos que viajan junto a estos. En el caso del Cloud Computing no
solo los ficheros tienen hash sino que también las maquinas virtuales o las copias de seguridad.
también
B. Gestión de cambios
Seguridad de la información | Enrique Sánchez Acosta Página 17 de 25
18. SEGURIDAD EN CLOUD COMPUTING
Universidad Francisco Vitoria
Mantener un historial de las modificaciones de modo que si se detecta un error en la integridad se
pueda volver a la versión anterior
C. Las copias de seguridad
Hay que programarlas cada cierto tiempo, si hubiese un fallo en la integridad de estas, se puede
solucionar volviendo a la versión anterior.
2. CONFIDENCIALIDAD
La confidencialidad del Cloud Computing se suele tratar a través del control de acceso a la
información o al software proporcionado por el proveedor, a través de algún tipo de autentificación ya sea por
clave de acceso o cualquier otro dispositivo hardware como el que utiliza e-DNI.
Cuando una empresa o entidad utiliza las capacidades del Cloud Computing, necesita que el
administrador del sistema establezca un correcto control de acceso para garantizar que los usuarios solo
utilizan los datos o procesos para los que han sido autorizados.
3. CONFIANZA
La confianza juega un papel fundamental en la adopción del Cloud Computing. Es fundamental tener
confianza en unos servicios sobre los que ya no se tendrá el control, no al menos como los departamentos de
TI tienen por costumbre.
Las relaciones de confianza entre los diversos interesados en la nube (usuarios, corporaciones, redes,
proveedores de servicios, etc.) deben considerarse atentamente a medida que la Cloud Computing evoluciona
para administrar datos empresariales delicados.
Antes de que los datos delicados y reglamentados se trasladen a la nube, se deben enfrentar los
problemas de estándares de seguridad y compatibilidad, entre ellos, la autenticación sólida, la autorización
delegada, la administración de claves para datos encriptados, la protección contra la pérdida de datos y la
creación de informes reglamentarios. Estos aspectos y las certificaciones nos darán una estimación del
proveedor necesaria para la confianza que debemos mantener hacia este.
4. CERTIFICACIONES
En los últimos meses la demanda de profesionales en Cloud Computing se ha incrementado, tanto en
los ámbitos de investigación de la empresas líderes en el mercado de TI como en los ámbitos de
implementación y desarrollo. A pesar de ello, aún el mercado no cuenta con profesionales preparados
formalmente en este paradigma. Si bien hay experiencia, lo cual es importante, también es cierto que la
exigencia ha crecido y los empleadores están buscando profesionales más competitivos y mejor preparados.
Entonces, es hora de que elevemos nuestras competencias frente a esta nueva tendencia.
Así, varias compañías han comenzado a ofrecer programas completos basados en la nube. A
continuación detallo las más relevantes:
Seguridad de la información | Enrique Sánchez Acosta Página 18 de 25
19. SEGURIDAD EN CLOUD COMPUTING
Universidad Francisco Vitoria
Proveedor Descripción Certificaciones
The Art of Service Pty Independiente de la tecnología a usar y es Cloud Computing Foundation
Ltd uno de los programas de certificación mas Cloud Computing Specialist: SaaS
populares en Cloud Computing + Web Applications
Cloud Computing Specialist:
Virtualization
Cloud Computing
Specialist: PaaS& Storage
Management
Cloud Computing: Managing
Services in the Cloud
Cloud Computing Executive
Arcitura Education Inc Es uno de los programas más rigurosos que Certified Cloud Professional
existen en Cloud Computing. Requiere un Certified Cloud Technology
amplio conocimiento de plataformas y Professional
tecnologías para la nube Certified Cloud Architect
Certified Cloud Governance
Specialist
Certified Cloud Security Specialist
Certified Cloud Storage Specialist
Arcitura Education Inc Se basa en la aplicación de las tecnologías Certified SOA .NET Developer
Microsoft: Windows Azure, SQL Azure,
AppFabricService Bus, y Windows
CommunicationFoundation 4.0, en
apoyo de la Orientación a Servicios
Microsoft Basados en el aprendizaje y uso de las MCPD: Windows AzureDeveloper
tecnologías Microsoft: Windows Azure, 4
SQL Azure, AppFabricService Bus, y
Windows CommunicationFoundation 4.0
IBM Es uno de los exámenes más rigurosos de IBM Certified Solution Advisor -
Cloud Computing. Se evalúa Cloud Computing Architecture V1
profundamente los conocimientos en las
diferentes formas del Cloud y la capacidad
de mapear los requerimientos del cliente a
las tecnologías IBM Software Cloud
Computing
RedHatInc Diseñado para profesionales de TI con Red Hat Certified Virtualization
skills en despliegue de infraestructura Administrator
Cloud Computing. El programa beneficia a
administradores de sistemas Linux,
Microsoft y Cisco
3Tera Basado en 3Tera AppLogic, una plataforma 3Tera Certified Cloud Operator
para Cloud Computing 3Tera Certified Cloud Architect
Cloud Security Alliance Es el primer programa de certificación de Certificate of Cloud Security
seguridad en Cloud Computing Knowledge
Seguridad de la información | Enrique Sánchez Acosta Página 19 de 25
20. SEGURIDAD EN CLOUD COMPUTING
Universidad Francisco Vitoria
4. MARCO LEGAL
El Cloud Computing conlleva numerosas implicaciones jurídicas, sobre todo cuando de lo que
hablamos es que los datos se alojen en diferentes países, con diferentes legislaciones. Por ello, cuando
convergen dos o más jurisdicciones surge la necesidad de determinar aspectos como la Ley aplicable, los
tribunales competentes o las condicione exigibles para la transferencia de los datos a los sistemas del
proveedor. Al firmar el correspondiente contrato o términos de uso, el cliente o contratante se vincula a
aceptar una jurisdicción concreta.
En primer lugar, tanto la empresa contratante de servicios como la proveedora deben tener en cuenta
la definición de dato personal que establece el artículo 3 de la LOPD: un dato personal es cualquier
información concerniente a personas físicas identificadas o identificables.
• Si los datos con los que se va a trabajar en la nube pertenecen a esta categoría, la empresa que
los trate debe cumplir con carácter previo con el conjunto de obligaciones previstas en la
LOPD: la inscripción de ficheros, deberes relacionados con la información en la recogida, el
consentimiento y la calidad de los datos, garantía de los llamados derechos ARCO (Acceso,
Rectificación, Cancelación y Oposición) o la adopción de medidas de seguridad
• Si los datos con los que se va a trabajar en la nube no son datos personales (son, por ejemplo,
complejas operaciones matemáticas, cálculos físicos o químicos, etc.), se puede proceder sin
que la LOPD señale impedimento alguno.
En el caso del Cloud Computing es fundamental revisar las condiciones del contrato a in de garantizar
una adecuada previsión de las cuestiones relacionadas con la presencia de un encargado del tratamiento y/o
una transferencia internacional de datos personales.
“En la prestación de servicios de Cloud Computing por terceros ajenos a la organización
responsable se produce lo que la LOPD y su Reglamento de Desarrollo (RDLOPD) denominan un encargo
del tratamiento. Esto es, una prestación de servicios en la que los datos son objeto de algún tipo de
tratamiento por parte del prestador/proveedor, quien pasa a ser el encargado del tratamiento.”
Seguridad de la información | Enrique Sánchez Acosta Página 20 de 25
21. SEGURIDAD EN CLOUD COMPUTING
Universidad Francisco Vitoria
Esto es un resumen de los artículos mas importantes que deben tenerse en cuenta de la LOPD y la
RDLOPD en el caso del Cloud Computing.
Aspectos a contemplar Contenido de las cláusulas contractuales
Acceso a los datos por cuenta de El responsable deberá:
terceros
• Supervisar que el encargado reúne las garantías para el
cumplimiento de lo dispuesto por el RDLOPD.
• Incluir una descripción del conjunto de instrucciones que el
encargado aplica para tratar los datos.
• Establecer las medidas de seguridad que el encargado del
tratamiento está obligado a implantar.
El encargado deberá:
• Utilizar los datos exclusivamente para los fines contratados. En
caso contrario, se convierte en responsable y debe responder por
la infracción cometida.
• No comunicar esta información a terceros, ni siquiera para su
conservación.
• Estar autorizado por el responsable para subcontratar y cumplir
todos los requisitos de la LOPD y el RLOPD en esta materia.
• Destruir o devolver la información tratada al responsable una vez
finalizado el contrato. Cabe cumplir la obligación de devolución
mediante la migración de los datos a un nuevo proveedor.
Seguridad de los datos El responsable deberá:
• Adoptar las medidas técnicas y organizativas necesarias para
garantizar la seguridad de los ficheros.
• Evitar que la información se pierda o que sea accedida o tratada
por personal no autorizado.
• Establecer medidas de prevención frente los distintos riesgos a los
que se encuentran sometidos los datos, ya provengan de la acción
humana, sean tecnológicos o dependan del entorno físico o
natural.
Seguridad de la información | Enrique Sánchez Acosta Página 21 de 25
22. SEGURIDAD EN CLOUD COMPUTING
Universidad Francisco Vitoria
5. RIESGOS Y AMENAZAS
Como todo, lo de “estar en las nubes” tiene sus riesgos:
• Abuso o uso ilegal de “la nube”
• Interfaces no seguras
• Espías maliciosos (internos y externos)
• Vulnerabilidades tecnológicas compartidas
• Pérdida/ filtración de datos
• Secuestro de cuentas, servicios o tráfico.
Hasta este momento conocíamos un modelo tradicional de Gestión del riesgo basado en una serie de
puntos como los siguientes:
1. Identificación de activos
2. Identificación de amenazas
3. Identificar vulnerabilidades
4. Medir el riesgo
5. Implementar controles
Pues bien, esto y no es suficiente cuando tenemos que hablar de Cloud Computing, tendremos que
hacer un sistema de análisis de riesgo diferente o quizá fiarnos más de la empresa proveedora. Al final
prácticamente todo será una cuestión de confianza, ya que:
o Los activos no son conocidos, solo conocemos las interfaces
o Las amenazas no se conocen realmente, ni tenemos acceso a la infraestructura ni a las
ubicaciones físicas ni como se encuentran
o Las vulnerabilidades solo las conoceremos a nivel de las interfaces, tanto publicas como
privadas
o Para medir el riesgo solo podremos analizar el impacto de cada servicio contratado en el
negocio
o Y para implementar los controles necesitaremos alguna nueva metodología ya que ahora
resulta mucho más complicado que con el modelo tradicional
A. Amenazas y vulnerabilidades
Necesitaremos delegar en el proveedor parte del proceso de la Gestión del riesgo.
B. Aspectos legales
Las leyes de protección de datos de cada país regulan el servicio de IT y compiten por el nuevo
concepto de “ubicuidad”, será complicado adecuarnos a este nuevo concepto.
C. Confidencialidad
Seguridad de la información | Enrique Sánchez Acosta Página 22 de 25
23. SEGURIDAD EN CLOUD COMPUTING
Universidad Francisco Vitoria
¿Quién tiene acceso de la información y como controlarla?
D. Integridad
¿Qué procesos y personas desconocidas para el cliente pueden modificar la información y que
registros quedan de esas modificaciones?
E. Disponibilidad
La infraestructura tiene que estar siempre disponible, aunque se encuentre en muchas localizaciones
físicas
F. Evidencias de auditoría
¿Cómo vamos a almacenar y distribuir la información necesaria para regular la infraestructura?
Siendo esta una infraestructura que no nos pertenece claro.
Las principales amenazas del Cloud Computing:
La eliminación de la información nos ofrece pocas garantías
La inversión en certificaciones nos produce una pérdida de valor en nuestra empresa
Podemos caer en el exceso de confianza, en ceder demasiado a la empresa suministradora
Conseguir un menor tiempo de posicionamiento en el mercado pero y la seguridad del código? ¿Cómo
de seguro es el código para nuestros usuarios?
Otro estudio de los riesgos más importantes es el realizado por Gartner SA.
A. Accesos de usuarios con privilegios
El procesamiento o tratamiento de datos sensibles fuera de las instalaciones de la empresa conlleva un
riesgo inherente, ya que es posible que estos servicios externos sorteen los controles físicos, lógicos y
humanos siendo, por este motivo, necesario conocer quién maneja dichos datos. Por tanto, se hace obligatorio
consensuar con el proveedor los usuarios que tendrán acceso a esos datos, para minimizar así los riesgos de
que haya usuarios con elevados privilegios que no deberían tener acceso a los datos.
B. Cumplimento normativo
Los clientes son en última instancia responsables de la seguridad e integridad de sus datos, aunque
estos se encuentren fuera de las instalaciones y gestionados por un proveedor de servicios Cloud. Los
prestadores de servicios tradicionales se hallan sujetos a auditorías externas y certificaciones de seguridad, por
lo tanto los proveedores de servicios en la nube también deben acogerse a este tipo de prácticas. Si se negasen
a este tipo de auditorías no se les debería confiar los datos sensibles de la empresa.
C. Localización de los datos
Al utilizar entornos en la nube no se conoce de forma exacta en qué país están alojados. Se debe
consultar con los proveedores cuál es el marco regulatorio aplicable al almacenamiento y procesado de datos,
Seguridad de la información | Enrique Sánchez Acosta Página 23 de 25
24. SEGURIDAD EN CLOUD COMPUTING
Universidad Francisco Vitoria
siendo una buena práctica cerrar un acuerdo con el proveedor para que el tratamiento de los datos se subyugue
al marco legal del país del suscriptor del servicio.
D. Aislamiento de datos
Los datos en los entornos Cloud comparten infraestructura con datos de otros clientes. El proveedor
debe garantizar el aislamiento de los datos de los respectivos clientes. El cifrado de los datos es una buena
práctica, pero el problema es cómo aislar los datos cuando se encuentran en reposo ya que el cifrado, cuando
no se hace uso de los datos, puede resultar una operación costosa.
El prestador del servicio debe garantizar que los datos en reposo estarán correctamente aislados y que
los procedimientos de cifrado de la información se realizarán por personal experimentado, ya que el cifrado de
los datos mal realizado también puede producir problemas con la disponibilidad de los datos o incluso la
pérdida de los mismos.
E. Recuperación
Los proveedores de servicio deben tener una política de recuperación de datos en caso de desastre.
Asimismo, es muy recomendable que los datos sean replicados en múltiples infraestructuras para evitar que
sean vulnerables a un fallo general.
Se debe exigir a los proveedores los datos sobre la viabilidad de una recuperación completa y el
tiempo que podría tardar.
F. Soporte investigativo
La investigación de actividades ilegales en entornos Cloud puede ser una actividad casi imposible,
porque los datos y logs (registros de actividad) de múltiples clientes pueden estar juntos e incluso
desperdigados por una gran cantidad de equipos y centros de datos. Lo recomendable será que el proveedor
garantice que los logs y los datos de los incidentes se gestionan de una forma centralizada.
G. Viabilidad a largo plazo
En un entorno ideal un proveedor de servicios Cloud siempre permanecerá en el mercado dando un
servicio de calidad y con una disponibilidad completa, pero el mercado es cambiante y cabe la posibilidad de
que el proveedor sea comprado o absorbido por alguno con mayores recursos.
El cliente debe asegurarse que podrá recuperar sus datos aún en el caso de que el proveedor sea
comprado o absorbido por otro o bien contemplar la posibilidad de que los datos puedan ser migrados a la
nueva infraestructura.
Seguridad de la información | Enrique Sánchez Acosta Página 24 de 25
25. SEGURIDAD EN CLOUD COMPUTING
Universidad Francisco Vitoria
BIBLIOGRAFÍA
• Guía para empresas: Seguridad y privacidad en Cloud Computing por Instituto Nacional de Tecnología de
la Comunicación.
• Cloud Computing Use Cases White Paper por Cloud Computing Use Case DiscussionGroup
• Guía de seguridad de las TIC por el Centro Criptológico Nacional
• http://cloudusecases.org/
• Casos de uso de Cloud Computing por Iván de Dios
• Riesgos y amenazas en Cloud Computing por Inteco-CERT (Plan Avanza, Instituto Nacional de
tecnología de la comunicación)
• Certificaciones Cloud Computing por SOA – BPM - BI
Seguridad de la información | Enrique Sánchez Acosta Página 25 de 25