Presentación "Seguridad en Cloud Pública, de los mitos a la realidad", impartida por Olof Sandstrom, Director de Operaciones de Arsys, en Codemotion 2015. En esta presentación, el Director de Operaciones de Arsys aclara algunas de las leyendas que circulan en torno a la seguridad del Cloud Computing y presenta el proyecto europeo TREDISEC, en el que Arsys colabora. Esta iniciativa de la Comisión Europea tiene como objetivo el desarrollo de procedimientos y soluciones tecnológicas que combinen seguridad, eficiencia y funcionalidades técnicas, facilitando la adopción de la Nube entre las empresas europeas. Más información en http://ow.ly/UK0UY y http://www.arsys.es

1. Seguridad en Cloud
Pública, de los mitos a la
realidad
Olof Sandstrom
Head of Arsys OperationsMADRID · NOV 27-28 · 2015

2. Seguridad en Cloud Pública, de los mitos a la
realidad
q Introducción
q El dinero… ¿Bajo el colchón o en el banco?
q Concretamente… ¿Qué ataques se reciben?
q Las capas de protección
q Ruegos y preguntas

3. INTRODUCCIÓN

4. INTRODUCCIÓN

5. INTRODUCCIÓN

6. INTRODUCCIÓN
http://www.tredisec.eu/

7. El dinero … ¿Bajo el colchón o en el Banco?

8. Concretamente … ¿Qué ataques se reciben?

9. Concretamente … ¿Qué ataques se reciben?

10. Las capas de protección: DATA CENTER
q Redundancia de electricidad, climatización y comunicaciones
q Monitorización de consumo y condiciones ambientales a nivel de rack
q Modelo de despliegue, ¿centralizado o distribuido?

11. Las capas de protección: REDES
q Redundancia de caminos en todos los interfaces
q Gestión de capacidad por concentración de tráfico en las distintas capas
q Segregación a nivel físico y lógico de las redes
q Aislamiento del tráfico público y privado
q Aislamiento de todo el tráfico entre VM
de distintos clientes en capa 2
q Implementación en las tablas ARP de
medidas para evitar spoofing de IP y MAC
q Redes privadas virtuales (VPN)
q IPv4 frente a IPv6

12. Las capas de protección: ALMACENAMIENTO
q Alta disponibilidad a nivel físico y lógico
q Cifrado en el almacenamiento
q Aislamiento por el espacio asignado dentro de
un volumen
q Rendimiento en IOPS y latencia, rotacional
frente a estado sólido
q Almacenamiento CIFS o NFS securizado a nivel
de IP de acceso y autenticación
q Borrador seguro para reutilización del espacio
q Desplegar en thick “haciendo ceros”

13. Las capas de protección: SERVIDORES
q Alta disponibilidad del equipamiento a nivel
físico (alimentación, interfaces de red,
proceso y memoria, almacenamiento, etc.)
q Sobreaprovisionamiento en CPU y RAM
consistentes con el nivel de servicio acordado

14. Las capas de protección: HIPERVISORES
q Aislamiento TOTAL de las herramientas de
control y gestión
q Gestión de bugs del hipervisor
q Análisis y gestión de vulnerabilidades

15. Las capas de protección: PLANTILLAS Y SOFTWARE
DE BASE
q Actualización de platillas para mantenerlas siempre actualizadas
q Disponibilidad de distintas distribuciones y
versiones de sistemas operativos
q Especial atención a las plantillas de distribución
de sistemas de gestión de contenidos (CMS)
q Hardening de las plantillas

16. Las capas de protección: SEGURIDAD
q Monitorización y alerta temprana a todos los niveles
q Gestión del fraude
q Protección frente a denegación de servicio
q Cortafuegos de red y de aplicación
q Detección y prevención de intrusiones (IDS/IPS) in-line frente a TCPReset
q Protección frente a código malicioso
q Copias de seguridad
q Correlación y blackholing mediante gestión de información y eventos de
seguridad (SIEM)
q Procesos y procedimientos de gestión de la seguridad

17. Las capas de protección: ORQUESTADOR
q La integración de todo lo anterior
§ Solución comercial, lo que el producto
proporciona
§ Solución propia, lo que quieras y seas capaz
de hacer
q En los desarrollos propios, evidentemente aplican
§ Controles de desarrollo seguro
§ Gestión de cambios, problemas,
configuración, versiones, etc.
§ Etc., etc., etc.

18. RUEGOS Y PREGUNTAS

19. GraciasPonente: Olof Sandstrom
Cargo: Head of Arsys Operations
osandstrom@arsys.es