Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Cloud WP 0209 SP
Cloud WP 0209 SP
El entusiasmo por cloud computing est tan relacionado con el aspecto econmico como con la tecnologa. El aumento de las aplicaciones y del volumen de datos que deben administrarse ha convertido a los data centers en un elemento importante del gasto corporativo, sin un final previsto. La cloud computing pblica parece ser una forma de manejar algunos de estos costos. El concepto de cloud computing es sencillo: se reemplazan los recursos de TI que demandan mucho capital y deben administrarse de manera interna por capacidad y servicios de TI de pago por uso contratados a precios bsicos. Estos servicios estn diseados a partir de nuevas tecnologas, como la virtualizacin y las arquitecturas orientadas al
servicio, y aprovechan Internet a fin de reducir el costo de los recursos de hardware y software de TI para servicios informticos, redes y almacenamiento. Al mismo tiempo, las empresas estn usando los mismos conceptos y las mismas tecnologas para crear nubes privadas, a fin de aprovechar los servicios de TI bsicos y centralizados que satisfacen sus necesidades de seguridad. Hoy en da, las implementaciones de nubes pblicas y privadas deben comprender un conjunto adecuado de principios de seguridad y, por lo tanto, garantizar a los usuarios y los clientes un ambiente de cloud computing de confianza.
Contenido
I. II. III. Descripcin general Cloud Computing pblica: escalabilidad y tenencia mltiple Los retos de la nube: la seguridad es el gran interrogante Relaciones cambiantes Estndares Portabilidad entre nubes pblicas Confidencialidad y privacidad Controles de acceso viables Cumplimiento de normas Niveles de servicio de seguridad IV. Principios para la proteccin de la nube: seguridad de la identidad, la informacin y la infraestructura Seguridad de la identidad Seguridad de la informacin Seguridad de la infraestructura V. Conclusin pgina 1 pgina 2 pgina 3 pgina 3 pgina 3 pgina 4 pgina 4 pgina 4 pgina 4 pgina 5
I.
Descripcin general
En esta etapa temprana del desarrollo de nubes pblicas, las ofertas son una combinacin de aplicaciones empresariales convencionales y para el consumidor de activos que administran datos relativamente poco delicados, como el correo electrnico, los servicios de mensajera instantnea y los espacios web compartidos, y aquellas que manejan datos ms delicados, como Salesforce.com y Mozy de EMC. No obstante, si cloud computing pretende satisfacer las necesidades de la empresa en relacin con la confidencialidad de los datos del Cliente y el cumplimiento de las directivas legales, deber proporcionar niveles ms altos de seguridad para brindar soporte a aplicaciones empresariales ms delicadas. La cloud computing pblica tambin incorpora nuevos interesados en la ecuacin de la seguridad (proveedores de servicios de otros fabricantes, proveedores y contratistas de infraestructuras) y reduce el control que TI tiene sobre cada una de estas reas.
Cloud computing pblica incorpora nuevos interesados en la ecuacin de seguridad y reduce el control de TI.
Si cloud computing tiene xito como una alternativa al data center corporativo, los departamentos de TI requerirn relaciones con proveedores de nubes que les permitan confiar en los servicios de nube y verificar los eventos en la nube. Deber soportar con eficacia un alto nivel de seguridad, similar al de los modelos actuales centrados en controles, y deber implementarse de modo que permita a las empresas confiar en las partes que se extienden de sus propios data centers hacia una nube pblica.
Crecimiento de la informacin
Retos de TI
Data Centers
Responsabilidad de seguridad
Datos
Nubes privadas
Personas
Seguridad de la nube
Empresas
Cambios de paradigma
Nubes pblicas
Empleados
TI empresarial
Proveedores
Proveedores de servicios
Clientes
Niveles de seguridad
Mnimo
Mximo
Seleccionado
Infraestructura como un servicio (IaaS). Las funcionalidades generalmente proporcionadas Escalabilidad de manera local, mediante un equipo de escritorio o un data center, se ofrecen como recursos remotos, de modo que Tenencia mltiple un Cliente pueda definir y administrar tareas informticas o de almacenamiento. Entre los ejemplos, se incluyen los servicios de almacenamiento basados en polticas Atmos, de EMC, y Elastic Compute Cloud (EC2), de Amazon, para servicios informticos. No obstante, antes de que cloud computing pueda estar a la altura de lo que promete a las empresas, necesita ms refinamiento, especialmente, en el rea de seguridad. Hasta la fecha, la mayora de las aplicaciones orientadas a las nubes pblicas han sido aplicaciones centradas en el consumidor creadas en funcin del almacenamiento de datos bsicos y el procesamiento de transacciones. En esta etapa inicial, las aplicaciones y los datos que se procesan en las nubes no son predominantemente delicados, y los servicios de nubes ofrecen seguridad mnima o con disponibilidad general. Las ofertas de nubes en s son islas informticas patentadas, con pocos estndares y posibilidades limitadas de interoperabilidad. Las tendencias en el crecimiento de la informacin simplemente aumentarn la urgencia del problema para las empresas. En el estudio The Expanding Digital Universe (El universo digital en expansin), de IDC, se analiza el explosivo crecimiento en el volumen de informacin delicada que se crea; la proporcin en la que se crean y se almacenan los datos crecer seis veces para el ao 2010. El estudio destaca que, si bien las personas crearn informacin mayormente digital, las corporaciones sern responsables de la seguridad, la privacidad, la confiabilidad y el cumplimiento de normas de, al menos, el 85% del universo digital en rpida expansin. Resulta claro que la cloud computing pblica debe ser ms segura para que las empresas la acepten ms. Con este avance, la confianza y la verificacin sern nuevamente los activadores clave de la seguridad. Las empresas necesitarn garantizar la confidencialidad, la integridad y la disponibilidad de los datos cuando terceros en la cadena de servicios de nube los transmitan, los almacenen o los procesen.
SAAS
Servicios flexibles
PAAS IAAS
Antes de que las empresas puedan usar nubes de manera ms innovadora, se deben mejorar las tecnologas de seguridad, los estndares y la interoperabilidad.
proveedores de servicios, etc.) deben considerarse atentamente a medida que la cloud computing pblica evoluciona para administrar datos empresariales delicados. Los data centers convencionales cuentan con seguridad basada en estructuras similares a fortalezas que protegen los datos dentro de infraestructuras fsicas de hardware y de software seguras: su seguridad depende principalmente del control del acceso de los usuarios y las personas encargadas del mantenimiento de datos e infraestructura. En cloud computing, an existe un data center en algn lugar, pero quin lo controla? Cloud computing disipa muchos de los lmites de seguridad corporativa tradicionales y sustituye las cadenas de custodia transitorias de los datos, lo que conlleva importantes implicancias para la seguridad y la confianza de los datos y las aplicaciones empresariales confidenciales. El uso compartido del control plantea muchas preguntas sobre la responsabilidad. Cmo sabr qu empleados de su proveedor de nube tienen acceso a la informacin y las aplicaciones? Ese acceso debe ser detallado, de modo que solo pocas personas seleccionadas que puedan controlarse tengan acceso amplio. Estndares Antes de que los datos delicados y reglamentados se trasladen a la nube pblica, se deben enfrentar los problemas de estndares de seguridad y compatibilidad, entre ellos, la autenticacin slida, la autorizacin delegada, la administracin de claves para datos encriptados, la proteccin contra la prdida de datos y la creacin de informes reglamentarios. Cmo se cumplirn estos requerimientos en las infraestructuras de nube individuales y en varias nubes seleccionadas por el consumidor como mejores prcticas? Los proveedores de servicios de nube actuales pueden convertirse en modelos de facto en funcin de los cuales pueden emerger la seguridad y la federacin de los controles de autorizacin. O bien, es posible que, del trabajo actualmente realizado por diversos organismos, surjan las respuestas a preguntas, como qu estndares actuales se pueden aplicar a cloud computing, qu brechas existen y qu estndares nuevos deben desarrollarse.
Rendimiento
Administracin de riesgos
Portabilidad entre nubes pblicas Si bien cloud computing promete una arquitectura abierta y de fcil integracin, las ofertas tempranas de nubes tienen tendencia a crear silos de seguridad: los usuarios necesitan una cuenta de Amazon para usar el servicio EC2 de Amazon y una cuenta de Google para acceder a las aplicaciones de AppEngine. Las empresas requerirn portabilidad de informacin y de identidades entre las diferentes nubes, de modo que puedan combinar y ajustar sus servicios en un ambiente abierto basado en estndares que permita la interoperabilidad. La portabilidad se convertir en un problema importante a medida que las infraestructuras de mltiples nubes ofrezcan servicios ms complejos. Por ejemplo, imagine que desea alquilar un gran volumen de potencia de CPU de Amazon durante algunos das para realizar un anlisis profundo de los datos de sus clientes utilizando una herramienta analtica personalizada, pero los datos estn en Salesforce.com. Las nubes debern comunicarse entre s de manera segura. Confidencialidad y privacidad Las unidades de negocios ya estn asignando tareas a los departamentos de TI que implican la proteccin de los datos en las nubes privadas y pblicas, con la expectativa de que la informacin delicada pierda su estado delicado o se implemente con autorizacin de acceso verificable para proteger su privacidad y su confidencialidad. Las organizaciones de TI histricamente no han desarrollado la capacidad para identificar y clasificar de con eficacia usuarios y datos delicados. Sin esta capacidad, enfrentarn dificultades para extender las funcionalidades de seguridad a los ambientes de nubes. De qu manera su proveedor de nubes garantizar la confidencialidad y la privacidad? Recientemente, un proveedor de telefona celular se sinti avergonzado, por ejemplo, cuando sus empleados vieron los registros telefnicos antiguos de Barack Obama. Cmo se pueden evitar estos incidentes? De qu manera se proteger contra amenazas internas, como un empleado del proveedor de nubes que extrae informacin empresarial delicada? Los proveedores de nubes debern enfrentar esta responsabilidad fundamental.
Controles de acceso viables Los requerimientos del buen manejo y control de la informacin debern equilibrarse con el deseo de los usuarios de contar con un control de acceso eficiente y slido al mismo tiempo. Los usuarios y las corporaciones esperarn que el acceso sea transparente y conveniente. En el caso de muchas nubes, como las que ofrecen servicios populares al pblico general, es posible que los usuarios no toleren un enfoque basado en token. Otro punto dbil importante es la carencia de autorizacin delegada. Mientras algunos servicios de nube ofrecen una autenticacin delegada slida (por ejemplo, Salesforce.com) que permite el control de acceso basado en la identidad del usuario, pocos (si es que hay alguno), ofrecen autorizacin delegada para permitir el control de acceso basado en el contenido de la informacin en s. Esta capacidad se est convirtiendo en un factor cada vez ms importante debido a la incorporacin de Web 2.0, donde los privilegios detallados para la administracin y el control de autorizaciones sern sumamente esenciales. Cumplimiento de normas Muchas unidades de negocios estn optando por el uso de servicios de nube en funcin del aspecto econmico atractivo y omiten los departamentos de TI para almacenar las aplicaciones y los datos en la nube directamente. Esto crea varios problemas para las organizaciones de TI con un menor control interno y externo. Las actividades de las unidades de negocios multiplican los retos de cumplimiento de normas del departamento de TI incluso cuando los departamentos legales y de cumplimiento de normas prevn que los departamentos de TI podrn informar y demostrar el control sobre la informacin delicada. Adems, cada Cliente empresarial debe evaluar atentamente el cumplimiento de la norma SAS-70 de un proveedor de nubes para comprobar si la certificacin cumple con la poltica de cumplimiento de normas establecida por su propia empresa.
La creacin de informes ser un requerimiento clave para cualquier ambiente de nube en el que haya informacin de identificacin personal (PII) y otros datos delicados o reglamentados. Quin ser responsable de garantizar el cumplimiento de normas? Usted o su proveedor de nubes? Tendr acceso a los datos de log del ambiente de nube en el que se encuentra la informacin de su empresa para poder correlacionarlos con eventos en otros sistemas? Qu sucede si alguien roba datos de su sistema basado en nubes en un intento de forzar el acceso a los sistemas del data center administrado internamente de su empresa? Cmo se correlacionan esos eventos? Quin es responsable si se viola alguna PII? Sabr cul es la ubicacin fsica de su informacin? Estas preguntas pueden crear un problema relacionado con el cumplimiento de reglamentaciones internacionales. Niveles de servicio de seguridad Dado que todos los tipos de datos terminarn en las nubes, desde los datos de mayor valor a los datos masivos y no delicados, habr una necesidad cada vez mayor de contar con distintos niveles de servicio de seguridad que se correspondan con la confidencialidad de diferentes tipos de datos. El reto real ser el mapeo de niveles de seguridad a procesos de informacin o de negocios, de modo que puedan transferirse a la nube al menor costo posible, pero al nivel de seguridad ms alto necesario.
Seguridad de la nube
Identidades
Infraestructura
Informacin
Se requerirn distintos niveles de servicio de seguridad para que se ajusten a la confidencialidad de diferentes tipos de datos.
de la infraestructura ser un requerimiento importante para cloud computing, y la identidad deber administrarse de manera que cree confianza. Se requerir. Autenticacin slida: cloud computing debe ir ms all de la autenticacin dbil de nombres de usuario y contraseas si pretende brindar soporte a la empresa. Esto significa adoptar tcnicas y tecnologas que ya son estndar en el rea de TI empresarial, como la autenticacin slida (autenticacin de mltiples factores con tecnologa de contrasea de un solo uso), la federacin dentro de las empresas y entre estas, y la autenticacin basada en riesgos que mide el historial de comportamiento, el contexto actual y otros factores que permiten evaluar el nivel de riesgo de la solicitud de un usuario. Niveles adicionales de autenticacin sern fundamentales para cumplir con los acuerdos de nivel de servicio de seguridad; y el uso de un modelo de autenticacin basado en riesgos que sea transparente en gran medida para los usuarios reducir la necesidad de una federacin ms amplia de controles de acceso. Autorizacin ms granular: la autorizacin puede ser general en una empresa o, incluso, en una nube privada. No obstante, para manejar datos delicados y requerimientos de cumplimiento de normas, las nubes pblicas necesitarn capacidades de autorizacin granular (como controles basados en funciones e IRM) que puedan ser persistentes en toda la infraestructura de nube y el ciclo de vida de los datos.
Los datos delicados en la nube requerirn seguridad granular, que debe mantenerse de manera consistente durante todo el ciclo de vida de los datos.
Seguridad de la informacin En el data center tradicional, los controles sobre el acceso fsico, el acceso a hardware y software, y los controles de identidad se combinan para la proteccin de los datos. En la nube, esa barrera de proteccin que garantiza la seguridad de la infraestructura se disipa. Para compensar, la seguridad deber estar centrada en la informacin. Los datos necesitan que su propia seguridad se traslade con ellos y los proteja. Se requerir. Aislamiento de datos: en situaciones de tenencia mltiple, ser necesario mantener los datos de manera segura para protegerlos cuando varios clientes usen recursos compartidos. La virtualizacin, la encriptacin y el control de acceso sern excelentes herramientas que permitirn distintos grados de separacin entre las corporaciones, las comunidades de inters y los usuarios. En el futuro cercano, el aislamiento de datos ser ms importante y ejecutable para IAAS de lo que quiz ser para PAAS y SAAS. Seguridad de datos ms granular: a medida que la confidencialidad de la informacin aumenta, la granularidad de la implementacin de la clasificacin de los datos debe aumentar. En los ambientes de data center actuales, la granularidad del control de acceso basado en funciones a nivel de grupos de usuarios o unidades de negocios es aceptable en la mayora de los casos porque la informacin permanece dentro del control de la empresa. Para la informacin en la nube, los datos delicados requerirn seguridad a nivel de archivos, campos o incluso bloques para satisfacer las demandas de seguridad y cumplimiento de normas. Seguridad de datos coherente: habr una necesidad evidente de contar con proteccin de contenido basada en polticas para satisfacer las necesidades propias de la empresa y las directivas de polticas reglamentarias. Para algunas categoras de datos, la seguridad centrada en la informacin necesitar encriptacin en transmisin y en reposo, adems de administracin en la nube y en todo el ciclo de vida de los datos.
Clasificacin eficaz de datos: cloud computing impone un intercambio de recursos entre el alto rendimiento y los requerimientos de mayor seguridad slida. La clasificacin de los datos es una herramienta fundamental para equilibrar esa ecuacin. Las empresas necesitarn saber qu datos son importantes y dnde estn ubicados como requerimiento previo para tomar decisiones relacionadas con el costo/beneficio del rendimiento, adems de garantizar el enfoque en las reas ms crticas para los procedimientos de prevencin de prdida de datos. Administracin de derechos de informacin: se suele tratar a IRM como un componente de identidad, una forma de establecer controles generales sobre qu usuarios tienen acceso a los datos. No obstante, la seguridad centrada en los datos ms granular requiere que las polticas y los mecanismos de control sobre el almacenamiento y el uso de informacin estn asociados directamente con la informacin en s. Buen manejo y control y cumplimiento de normas: un requerimiento clave del buen manejo y control y el cumplimiento de normas de la informacin corporativa es la creacin de informacin de administracin y validacin; se realiza el monitoreo y la auditora del estado de seguridad de la informacin con capacidades de registro. Aqu, no solo es importante documentar el acceso y la denegacin de acceso a los datos, sino tambin garantizar que los sistemas de TI estn configurados para cumplir con las especificaciones de seguridad y no se hayan alterado. La expansin de las polticas de retencin para el cumplimiento de normas y polticas de datos tambin se convertir en una capacidad esencial de la nube. Bsicamente, las infraestructuras de cloud computing deben tener la capacidad de verificar que se administren los datos segn las reglamentaciones locales e internacionales correspondientes (como PCI y HIPAA) con controles adecuados, recopilacin de logs y creacin de informes. Los datos delicados en la nube requerirn seguridad granular, que debe mantenerse de manera consistente durante todo el ciclo de vida de los datos.
La infraestructura base para una nube debe ser inherentemente segura, ya sea una nube privada o pblica, o un servicio SAAS, PAAS o IAAS.
Seguridad de la infraestructura La infraestructura base para una nube debe ser inherentemente segura, ya sea una nube privada o pblica, o un servicio SAAS, PAAS o IAAS. Se requerir. Seguridad inherente de componentes: la nube debe estar diseada para ser segura, creada con componentes inherentemente seguros, implementada y aprovisionada de manera segura con interfaces slidas a otros componentes y, finalmente, soportada de manera segura con procesos de evaluacin de vulnerabilidades y administracin de cambios que producen informacin de administracin y seguridades de nivel de servicio que crean confianza. Para estos componentes implementados de manera flexible, la identificacin mediante la huella digital del dispositivo para garantizar la seguridad de la configuracin y el estado tambin ser un elemento de seguridad importante, al igual que lo es para los datos y las identidades en s. Seguridad de interfaz ms granular: los puntos en el sistema en los que se presentan intervenciones (usuario a red, servidor a aplicacin) requieren polticas y controles de seguridad granulares que garanticen consistencia y responsabilidad. Aqu, el sistema end-toend debe ser patentado, un estndar de facto o una federacin de proveedores que ofrezca polticas de seguridad implementadas de manera consistente. Administracin del ciclo de vida de los recursos: el aspecto econmico de cloud computing est basado en la tenencia mltiple y en el uso compartido de recursos. A medida que las necesidades y los requerimientos de un Cliente se modifican, un proveedor de servicios debe ofrecer y desactivar esos recursos (ancho de banda, servidores, almacenamiento y seguridad) segn corresponda. Este proceso del ciclo de vida debe administrarse en relacin con la responsabilidad para crear confianza.
V. Conclusin
Cloud computing promete modificar la economa del data center; pero, antes de trasladar los datos delicados y reglamentados a la nube pblica, se deben enfrentar los problemas de estndares de seguridad y compatibilidad, entre ellos, la autenticacin slida, la autorizacin delegada, la administracin de claves para datos encriptados, la proteccin contra la prdida de datos y la creacin de informes reglamentarios. Todos estos elementos forman parte de un modelo de identidad, informacin e infraestructura seguro, y pueden aplicarse a nubes privadas y pblicas, adems de a servicios IAAS, PAAS y SAAS. En el desarrollo de nubes pblicas y privadas, las empresas y los proveedores de servicios debern usar estos principios que sirven como gua para adoptar y ampliar de manera selectiva las herramientas de seguridad y garantizar la seguridad de los productos a fin de crear y ofrecer cloud computing y servicios confiables end-to-end. Por suerte, muchas de estas soluciones de seguridad estn ampliamente disponibles hoy en da y se estn desarrollando en detalle para llevar a cabo funcionalidades de nube cada vez ms transparentes.
Empleados
TI empresarial
Proveedores
Proveedores de servicios
Clientes
Identidades
Infraestructura
Informacin
IAAS
PAAS
SAAS
Autor y colaboradores Satchit Dokras, Bret Hartman, Tim Mathers, Brian Fitzgerald, Sam Curry, Magnus Nystrom, Eric Baize, Nirav Mehta Acerca de RSA RSA, la Divisin de Seguridad de EMC, cuenta con expertos en seguridad centrada en la informacin, lo que permite proteger la informacin durante todo su ciclo de vida. RSA permite a los clientes asegurar de manera rentable los recursos de informacin importantes y las identidades en lnea (en el lugar y en la etapa en que se encuentren), y administrar la informacin y los eventos de seguridad para aliviar la carga que impone el cumplimiento de normas. RSA ofrece soluciones lderes en la industria de verificacin de identidad y control de acceso, encriptacin y administracin de claves, administracin del cumplimiento de normas y la informacin de seguridad, y proteccin contra fraudes. Estas soluciones brindan confianza respecto a millones de identidades de usuarios, a las transacciones que ejecutan y a los datos que se generan. Para obtener ms informacin, consulte www.EMC.com (visite el sitio web de su pas correspondiente) y latinamerica.rsa.com.
RSA, enVision, eFraudNetwork y RSA Security son marcas registradas o marcas comerciales de RSA Security Inc. en los Estados Unidos y en otros pases. EMC, Mozy y Atmos son marcas registradas o marcas comerciales de EMC Corporation. Todos los otros productos o servicios mencionados son marcas comerciales de sus respectivos dueos. 2009 RSA Security Inc. Todos los derechos reservados.
CLOUD WP 0209
10