MAESTRIA EN TELECOMUNICACIONES UNIVERSIDAD CATOLICA BOLIVIANA SAN PABLO M!$ue A. L)(e" C.& Denn0# V! e$a#& Ser$!

!o Duran Oc3oa& Member, IEEE "o#tware de "eguridad en la ,ube -Diciembre ./0.1 ResumenEl presente trabajo realiza un anlisis de las soluciones existentes en la nube para testear y valorar la seguridad de aplicaciones y sitios web. Indice de TerminosAnlisis Dinmico, Anlisis Esttico, Amenaza, L nea !ase, "aa", "ecurity as a "ervice, "o#tware de $erceros, "oluci%n de "eguridad, "o#tware, &ulnerabilidad. I. INTRODUCCION III. OB:ETIVO 5ENERAL

cuan renta% e# #on& 0 donde #e encuentra a 1enta8a com(et!t!1a a u#ar a !n*rae#tructura 'ue (o#ean. Se$2n cuentan o# 'ue 3an ten!do a $una e9(er!enc!a en C oud& a# (rue%a# de rend!m!ento 0 #!mu ac!)n de car$a& e#t-n (re1!#ta# (ara 'ue #ean de *-c! !m( ementac!)n 0 e8ecuc!)n& de%!do a 'ue #e d!#(one de toda a !n*rae#tructura adecuada& 1a orando a 1ar!edad de o# m!#mo#. S!n em%ar$o& (arece #er 'ue a #e$ur!dad de o# dato# 0 a !nte$r!dad en a nu%e& #!$uen #!endo mot!1o de (o ,m!ca# a2n no de todo re#ue ta#.

STE documento rea !"a un e#tud!o de a# #o uc!one# de #e$ur!dad %a#ada# en a nu%e& 'ue (erm!ten a cua 'u!er or$an!"ac!)n te#tear a #e$ur!dad de #o*t+are 'ue ut! !"an a !nter!or de #u or$an!"ac!)n& #ea ,#te de#arro ado (or a m!#ma or$an!"ac!)n o ad'u!r!do de tercero#. En e marco (r-ct!co& #e ana !"a a #o uc!)n de #e$ur!dad HP Fortify on Demand de a em(re#a .e+ ett Pac/ard& %a#ado en a nu%e& 'ue (erm!te ana !"ar 0 e1a uar a( !cac!one# 0 #!t!o# +e% (ara detectar 1u nera%! !dade# 0 amena"a#. II.ANTECEDENTES Se$2n e#tud!o# de 'icro (ocus 'ue 3a (re#entado S! /Per*ormer C oudBur#t& una nue1a 3erram!enta d!#e4ada (ara e1ar a ca%o o# (roce#o# de te#t!n$ de #e$ur!dad en a( !cac!one# 'ue #e encuentren 3o#(edada# en a nu%e o 'ue #e encuentren en #er1!dore# (ro(!o# de a em(re#a& 0 e# ca(a" de te#tear e *unc!onam!ento de a# a( !cac!one# con tarea# ta e# a a #!mu ac!)n de acce#o de c!ento# de m! e# de u#uar!o# de#de cua 'u!er (unto de ( aneta& e crec!m!ento 0 a demanda de o# #er1!c!o# en e c oud #on cada 1e" ma0ore#& 0a 'ue *ac! !tan en $ran med!da a# tarea# de d!a$n)#t!co& !dent!*!cac!)n de 1u nera%! !dade# 0 re#o uc!)n de (ro% ema#& #!n menc!onar 'ue (erm!ten reduc!r co#to# a#oc!ado# a e#ta# (rue%a#. De a m!#ma *orma IBM 'ue e$) a un acuerdo (ara ad'u!r!r 5reen .at& un (ro1eedor de 3erram!enta# 0 #er1!c!o# 'ue (erm!ten a o# de#arro adore# (ro%ar #u# a( !cac!one# en a nu%e ante# de an"ar a# y )ace *n#asis en +ue el atract!1o de e#ta nue1a tecno o$6a #e encuentra en 'ue (erm!te a o# de#arro adore# a3orrar t!em(o 0 d!nero en d!#e4ar #u# (ro(!o# a%orator!o# de (rue%a# en c oud& un (roce#o 'ue (uede con#um!r m-# de a m!tad de #u (re#u(ue#to& 0a 'ue (ueden ut! !"ar o# #!#tema# c oud de 5reen .at& 'ue #!mu an entorno# M!cro#o*t& Orac e& SAP& IBM 0 otra# ( ata*orma#. De acuerdo con IBM& 5reen .at *ormar- (arte de #u $ru(o de 3erram!enta# 0 #er1!c!o# Rat!ona . Por e#e mot!1o contratar a un (ro1eedor de #o*t+are te#t!n$ 'ue o*rece #er1!c!o# de c oud te#t!n$& #!$n!*!ca tener acce#o a a# d!*erente# ( ata*orma# 0 tecno o$6a#& a3orrando en t!em(o 0 co#to. 5ran cant!dad de em(re#a# e#t-n !n1e#t!$ando o# #er1!c!o# 'ue #e o*recen 1!ncu ado# con e c oud.te#t!n$& (ara e1a uar
7

Ana !"ar a# #o uc!one# e9!#tente# %a#ada# en a nu%e (ara te#tear 0 1a orar a #e$ur!dad de a( !cac!one# 0 #!t!o# +e%. IV. OB:ETIVOS ESPECI;ICOS In1e#t!$ar #o%re e c oud com(ut!n$ In1e#t!$ar #o%re a #o uc!)n de #e$ur!dad HP Fortify on Demand de a em(re#a .e+ ett Pac/ard& %a#ado en a nu%e Ana !"ar otra# #o uc!one# tecno )$!ca# V. LIMITES < ALCANCES E (re#ente tra%a8o rea !"ara un an- !#!# de a #e$ur!dad en e c oud 'ue e# %r!ndada (or un SaaS amado .P ;ort!*0 on Demand& reca cando 'ue e#te no e# a 2n!ca #o uc!)n 'ue (uede #er encontrada en a red& 3a%!endo otra# a ternat!1a#. Adem-# no #e (re#entara un deta e de co#to de #er1!c!o 0a VI. MARCO TEORICO La com(utac!)n en a nu%e& conce(to conoc!do de !n$ ,# cloud computing& #e$2n e IEEE Com(uter Soc!et0& e# un (arad!$ma en e 'ue a !n*ormac!)n #e a macena de manera (ermanente en Internet. Se (uede tener acce#o a #u !n*ormac!)n o #er1!c!o& med!ante una cone9!)n a !nternet de#de cua 'u!er d!#(o#!t!1o m)1! o *!8o u%!cado en cua 'u!er u$ar. E#ta med!da reduce o# co#te#& $arant!"a un me8or t!em(o de act!1!dad 0 'ue o# #!t!o# +e% #ean !n1u nera% e# a o# 3ac/er# o a o# $o%!erno# oca e#. Cloud computing e# un nue1o mode o de (re#tac!)n de #er1!c!o# de ne$oc!o 0 tecno o$6a& 'ue (erm!te !nc u#o a u#uar!o acceder a un cat- o$o de #er1!c!o# e#tandar!"ado# 0 re#(onder con e o# a a# nece#!dade# de #u ne$oc!o& de *orma * e9!% e 0 ada(tat!1a& a3orrando o# co#te# #a ar!a e# o o# co#te# en !n1er#!)n econ)m!ca = oca e#& mater!a & (er#ona e#(ec!a !"ado& etc>.

MAESTRIA EN TELECOMUNICACIONES UNIVERSIDAD CATOLICA BOLIVIANA SAN PABLO E cam%!o 'ue o*rece a com(utac!)n de#de a nu%e e# 'ue (erm!te aumentar e n2mero de #er1!c!o# %a#ado# en a red. E#to $enera %ene*!c!o# tanto (ara o# (ro1eedore#& 'ue (ueden o*recer& de *orma m-# r-(!da 0 e*!c!ente& un ma0or n2mero de #er1!c!o#& como (ara o# u#uar!o# 'ue t!enen a (o#!%! !dad de acceder a e o#& d!#*rutando de a tran#(arenc!a e !nmed!ate" de #!#tema 0 de un mode o de (a$o (or con#umo.

contar con un a macenam!ento ! !m!tado& r-(!da d!#(on!%! !dad de a !n*rae#tructura& *-c! e#ca a%! !dad& a * e9!%! !dad 0 a d!#(on!%! !dad de entorno d!#tr!%u!do (ara rea !"ar (rue%a# 'ue !dent!*!can (ro%a% e# *a a# en a #e$ur!dad de a# a( !cac!one# 'ue de%er6an #er corre$!do# ante# de #er an"ado# a (roducc!)n. E te#t!n$ en a nu%e #e 1e a menudo como e rend!m!ento #) o o (rue%a# de car$a& #!n em%ar$o& como #e menc!on) anter!ormente& #e cu%re muc3o# otro# t!(o# de (rue%a#& como a# (rue%a# de #e$ur!dad a a( !cac!one# 0 #!t!o# +e%. Prec!#amente (ara (rue%a# de #e$ur!dad en a nu%e a em(re#a .e+ ett Pac/ard o*rece e (roducto HP Fortify on Demand& %a#ado en a nu%e& 'ue (erm!te ana !"ar 0 e1a uar a( !cac!one# 0 #!t!o# +e% (ara detectar 1u nera%! !dade# 0 amena"a#. Perm!te a cua 'u!er or$an!"ac!)n te#tear a #e$ur!dad de #o*t+are 'ue ut! !"an a !nter!or de #u or$an!"ac!)n& #ea ,#te de#arro ado (or a m!#ma or$an!"ac!)n o ad'u!r!do de tercero#.

;!$. ?. T!(o# de te#t!n$ #o(ortado# en a nu%e.

Lo# (ro1eedore# de #er1!c!o# c oud o*recen entorno# de (rue%a e#enc!a e# de acuerdo a a e9!$enc!a de a a( !cac!)n %a8o (rue%a. E en#a0o rea de a# a( !cac!one# #e rea !"a (or e e'u!(o de (rue%a# de a or$an!"ac!)n 'ue (o#ee a a( !cac!)n o o# tercero#. VII. MARCO PRACTICO En t,rm!no# mu0 (r-ct!co#& a com(utac!)n en a nu%e #on #er1!dore# en !nternet corr!endo #er1!c!o# +e% encar$ado# de atender (et!c!one# en cua 'u!er momento. Por de*!n!c!)n #on (r-ct!camente u%!cuo# 0 #e (uede tener acce#o a a !n*ormac!)n 'ue cont!enen med!ante una cone9!)n a !nternet de#de cua 'u!er d!#(o#!t!1o m)1! o *!8o u%!cado en cua 'u!er u$ar de mundo. La nu%e& adem-#& e# tran#(arente (ara e u#uar!o 0 no e# nece#ar!o tener n!n$2n conoc!m!ento t,cn!co (ara ut! !"ar a@ e#t- a36 (ara todo# 0 #e a (uede u#ar todo# o# d6a#. En e c oud com(ut!n$ tam%!,n (ueden encontrar#e #er1!c!o# de te#teo (ara rea !"ar d!*erente# t!(o# de (rue%a# a a# a( !cac!one# 0 #!t!o# +e% (ara 1a !dar a #e$ur!dad 0 otro# (ar-metro# de o# m!#mo#. E9!#ten (rue%a# de e#*uer"o& de car$a& de rend!m!ento& de com(at!%! !dad& de rend!m!ento de na1e$ador& de atenc!a& de #e$ur!dad& etc. E# a#6 'ue e te#t!n$ de #e$ur!dad en a nu%e ut! !"a a !n*rae#tructura de nu%e (ara a# (rue%a# de #o*t+are. La# or$an!"ac!one# 'ue re'u!eren (rue%a# de #e$ur!dad en (art!cu ar 0 de rend!m!ento en $enera de a# a( !cac!one# o #!t!o# +e%& muc3a# 1ece# #e 1en *renado# (or 1ar!o# (ro% ema# como e (re#u(ue#to !m!tado de (rue%a#& cum( !m!ento de ( a"o#& (er#ona ca !*!cado& a to# co#to# (or (rue%a& $ran n2mero de ca#o# de (rue%a& 0 a reut! !"ac!)n de (oco o nada de a# (rue%a#. Por otra (arte a#e$urar a entre$a de #er1!c!o# de a ta ca !dad e1!tando !nterru(c!one# re'u!ere contar con un %uen centro de dato# donde rea !"ar a# (rue%a#. E te#t!n$ de #e$ur!dad %a#ado en a nu%e e# a #o uc!)n a todo# e#to# (ro% ema#& 0a 'ue o*rece 1enta8a# como

HP Fortify on Demand, a0uda a o# u#uar!o# a a can"ar o# o%8et!1o# de #e$ur!dad de a or$an!"ac!)n a (ro(orc!onar un entorno de e1a uac!)n #) !do& r-(!do 0 de *-c! mane8o& 'ue $enera re(orte# e8ecut!1o# de *-c! com(ren#!)n. VIII.CONCLUSIONES < RECOMENDACIONES La nu%e 3a a terado dr-#t!camente a re ac!)n entre a# TI 0 a# em(re#a# e#ta% ec!endo un nue1o e#t-ndar en a(ro1!#!onam!ento 0 con#umo de #er1!c!o#. La# #o uc!one# de $e#t!)n 0 #e$ur!dad (ara a nu%e de .P& #on una com%!nac!)n de tecno o$6a# 6dere# de mercado u#ada# (or c !ente# en todo e mundo. Su en*o'ue centrado en e c!c o de 1!da a0uda a 'ue #u# #er1!c!o# de nu%e 0 de !n*orm-t!ca trad!c!ona ten$an a ca !dad& rend!m!ento& d!#(on!%! !dad& #e$ur!dad 0& en de*!n!t!1a& e 1a or 'ue e9!$en a# em(re#a#. . Lo# c !ente# en a nu%e nece#!tan 'ue #e e# $arant!ce 'ue o# (ro1eedore# a( !can (r-ct!ca# adecuada# de #e$ur!dad (ara m!t!$ar o# r!e#$o# a o# 'ue #e en*rentan e c !ente 0 e (ro1eedor. IA. BIBLIO5RA;IA 3tt(BCC+++.en!#a.euro(a.eu Bene*!c!o#& r!e#$o# recomendac!one# (ara a #e$ur!dad de a !n*ormac!)n 0

3tt(BCC+++.3(.comC3(!n*oCne+#roomC(re##D/!t#CEF??Cr!#/E F??C;ort!*0DOnDDemandDSo ut!on5u!de.(d* G So*t+are Secur!t0 De !1ered !n t3e C oud 'iguel A. L%pez 2. In$. de S!#tema# Dennys &illegas "ergio Durn 3c)oa. In$. E ectr)n!co

MAESTRIA EN TELECOMUNICACIONES UNIVERSIDAD CATOLICA BOLIVIANA SAN PABLO