Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ART. Protección Del Cloud Computing en Seguridad y Privacidad PDF
ART. Protección Del Cloud Computing en Seguridad y Privacidad PDF
Prof. Dr. Javier Areitio En el presente artculo se aborda una de las reas tecnolgicas de crecimiento e inversin ms acusada y con pers-
Bertoln E.Mail: pectivas de mercado ms importantes denominada cloud computing (o simplemente nube). Posibilita el outsourcing
jareitio@eside.deusto.es de la computacin y servicios sin externalizar su control y se basa en utilizar un modelo de pago por uso, con acceso
Catedrtico de la Web a Internet con banda ancha. La industria del cloud computing representa un gran ecosistema con muchos mo-
Facultad de Ingeniera. delos, fabricantes y nichos de mercado. Actualmente se percibe como la necesidad ms urgente del paradigma en
ESIDE. evolucin cloud computing la proteccin desde sus dos perspectivas de su seguridad y privacidad. Los proveedores de
Director del Grupo de infraestructuras como centros de supercomputacin, grandes empresas de telecomunicaciones y empresas de hosting
Investigacin Redes y disponen de las tecnologas, herramientas y modelos de gestin para optimizar la asignacin de sus recursos ofreciendo
Sistemas. nuevas oportunidades de negocio en los mercados emergentes del cloud computing. Ejemplos de proveedores de
Universidad de Deusto. servicios cloud computing son Google AppsEngine, Amazon Web Services (EC2-Elastic Compute Cloud, S3-Simple
Storage Service), GoGrid, FlexiScale, Microsoft Windows-Azure, etc. La proteccin es el tema capital que exige una
solucin urgente, evitemos una explosin de incidentes como los de Amazon S3, FlexiScale, gmail, etc.
Cloud computing puede definir- samiento que se entregan va Web (b) De un modo ms simplificado,
se de muy diversas formas: desde Centros de Datos masivos. El consiste en utilizar Internet para todo
(a) Describe el empleo de servicios cloud computing se construye encima tipo de necesidades de computa-
software, almacenamiento o proce- de la virtualizacin. cin.
(c) Es la realizacin de Internet basada
en el desarrollo y uso de la tecnologa
de computadores y entregada por un
ecosistema de proveedores.
(d) Es la extensin comercial de una
utilidad de computacin que permite
un despliegue elstico de aplicaciones
software con alta disponibilidad a
la vez que se minimiza el nivel de
interaccin con la pila tecnolgica
subyacente.
(e) Un estilo de computacin donde
las capacidades relacionadas con las
TIC (Tecnologas de la Informacin y
las Comunicaciones) se proporcio-
nan de forma masivamente escala-
ble que se facilita como un servicio
utilizando las tecnologas de Internet
dando soporte a mltiples clientes
externos.
(f) Un modelo para permitir un acceso
a red conveniente y bajo demanda a
un conjunto compartido de recursos
de computacin configurables (re-
des, servidores, almacenamientos,
aplicaciones y servicios) que pueden
proporcionarse rpidamente con un
mnimo de esfuerzo de gestin o de
interaccin del proveedor del servicio
(definicin del NIST). Este modelo
o paradigma de nube promueve la
disponibilidad.
Actualmente la catorceava com-
paa mayor de software por capital
de mercado Salesforce.com opera casi
enteramente en la nube, las cinco prin-
cipales compaas de software por
ingresos de ventas tienen ofertas de Los principales modelos de desplie- o ms nubes (privada, comunitaria o
cloud computing y las previsiones del gue son: pblica) nica para las entidades pero
mercado en su conjunto se espera que (1) Nube privada. La infraestructura se limitan juntas por medio de tec-
crecern a 160 billones de dlares para de cloud slo opera para una orga- nologa propietaria o estandarizada
el 2011 (fuente Merrill Lynch). Segn nizacin. Puede gestionarla la propia que permite la portabilidad de datos
IDC Enterprise Panel la seguridad es organizacin o una tercera parte y y aplicaciones.
la principal preocupacin en torno a puede existir en el local o fuera.
este nuevo paradigma. Recientemente (2) Nube comunitaria. La infraestruc- Los principales modelos de servicio
IBM ha resultado seleccionado por las tura de nube se comparte por parte son:
Fuerzas Areas de Estados Unidos para de varias organizaciones y soporta (1) Nube SaaS (Software as a Ser-
disear y desplegar una infraestructura una comunidad especfica que tiene vice). La capacidad proporcionada
segura de cloud computing capaz de intereses compartidos (por ejemplo al consumidor consiste en utilizar
dar soporte a las redes de inteligencia misin, requisitos de seguridad, pol- las aplicaciones del proveedor que
y defensa. Uno de los proyectos espa- tica y consideraciones de cumplimien- se ejecutan en la infraestructura de
oles sobre cloud computing es NUBA to). La pueden gestionar las organi- nube y son accesibles desde diversos
(Normalized Usage of Business-orien- zaciones o una tercera parte y puede dispositivos cliente (PCs-notebooks,
ted Architectures) cuyo coordinador existir en el local o fuera. telfonos mviles, iPhones, etc.) uti-
es TID (Telefnica I+D), cuenta entre (3) Nube pblica. La infraestructura lizando una interfaz cliente ligero
otros con socios como Atos Origin, de nube se hace disponible al pblico como un navegador Web (por ejem-
Centros de supercomputacin de Bar- en general o a un gran grupo indus- plo correo electrnico basado Web o
celona y Galicia, la UCM, etc. En el trial y es propiedad de una organiza- webmail). El consumidor no gestiona,
OpenCloud Manifesto de 2009 algu- cin que vende los servicios de cloud ni controla la infraestructura de nube
nos de los principales proveedores de computing. subyacente, red, servidores, sistemas
cloud computing indican que debera (4) Nube hbrida. La infraestructura operativos, almacenamiento, capaci-
existir cooperacin entre proveedores, de nube es una composicin de dos dades de cada aplicacin individual
libertad de eleccin para los clientes,
flexibilidad en su uso, utilizacin de es-
tndares necesarios, rapidez y agilidad
con posibilidad de introducir mejoras
que los clientes precisen y coordinacin
de esfuerzos entre proveedores.
Modelos en Cloud
Computing. Benecios
e inconvenientes.
(3) Infraestructura de procesamien- las instancias de sistemas operativos, Entre las principales cuestiones de
to cloud. Las ventajas principales que cifrado de acceso a las aplicaciones, privacidad del cloud computing:
puede aportar son la capacidad para cifrado de los datos de las aplicaciones (1) Desde la perspectiva de los indi-
proteger masters y sacar imgenes en reposo-almacenamiento y trnsito. viduos que se conectan a la nube:
seguras. Como principales desafos (l) Seguridad de la nube pblica en maximizar el control de usuario in-
identificados, el multi-arrendamiento contraposicin con la seguridad de la dividual, crear servicios annimos
de aplicaciones, la dependencia en los nube interna-privada. para usuarios individuales, crear me-
hipervisores y el aislamiento de proce- (m) Carencia de control de versin SaaS canismos para el uso de identidades
sos y los mecanismos de sandbox para pblica. mltiples y limitar la informacin de
aplicaciones. (n) Problemas con el movimiento de identidad y autenticacin para tran-
(4) Servicios de soporte cloud. Las ven- PII (Personal Identificable Information) sacciones de alto nivel.
tajas principales que puede aportar y datos sensibles a la nube (valoracin (2) Desde la perspectiva de los pro-
son los controles de seguridad bajo del impacto de la privacidad). veedores de cloud computing: ano-
demanda, por ejemplo la autentica- (o) Utilizar SLAs para obtener seguridad nimato de la informacin personal,
cin, el logging, los firewalls, etc. Como de nube (requisitos sugeridos para SLAs cifrar datos si contienen informacin
principales desafos identificados, el de nube, cuestiones relacionadas con personal, compartimentar-aislar el
riesgo adicional cuando se integra con anlisis forense en cloud). procesamiento y almacenamiento de
aplicaciones del cliente, las necesidades (p) Planificacin de contingencias y datos, controlar los identificadores
de certificacin y acreditacin como recuperacin de desastres para imple- nicos, gestionar explcitamente los
aplicacin separada y las actualizacio- mentaciones de nube. requisitos de seguridad y privacidad
nes de cdigo. (q) Gestin de cumplimientos como entre los proveedores de servicios
(5) Seguridad perimtrica y de red clo- SOX, PCI-DSS, HIPAA, FISMA, etc. cloud computing.
ud. Las ventajas principales que puede (r) Auditorias por ejemplo del tipo SAS (3) Desde una perspectiva global:
aportar son la proteccin contra la 70. proporcionar un aviso adecuado so-
denegacin de servicios distribuida o
DDoS, las capacidades VLAN, la se-
guridad perimtrica como IAM/IDS/
IPS, firewall, autenticacin, etc. Como
principales desafos identificados, las
zonas virtuales con movilidad de apli-
caciones.
Este artculo se bre la privacidad, soportar el desarrollo Bibliograa - OpenCloud Manifesto: http://www.openclo-
enmarca en las ac- de PET (Privacy Enhacing Technologies), udmanifesto.org/.
tividades desarrolla- utilizar la valoracin del impacto de la - Areitio, J. Seguridad de la Informacin: Redes, - Reese, G. Cloud Application Architectures:
das dentro del pro- privacidad y coordinar la aplicacin de Informtica y SI. Cengage Learning-Paraninfo. Building Applications and Infrastructure in the
yecto LEFIS-APTICE la privacidad y el cumplimiento a travs 2009. Cloud. OReilly Media. 2009.
(financiado por de diferentes reas jurisdiccionales (por - Areitio, J. Anlisis en torno a los esquemas de - Linthicum, D.S. Cloud Computing and SOA
Socrates. European ejemplo, cuando se pasa de un pas eu- compromiso digital y su aplicacin en seguridad Convergence in Your Enterprise: A Step-by-Step
Commission). ropeo a un paraso fiscal). Si los clientes de red. REE. N 644/645. Julio-Agosto 2008. Guide. Addison-Wesley Professional. 2009.
emprenden procesos del tipo test de pe- - Areitio, J. Anlisis en torno a la auditoria de - Amazon Web Services: http://www.developer.
netracin no suele ser una buena opcin seguridad en tecnologas de la informacin y amazonwebservices.com/, http://aws.amazon.
en entornos outsourcing como cloud las comunicaciones. REE. N 625. Diciembre com/ec2/.
computing ya que el proveedor de la 2006. - Chakrabarti, A. Grid Computing Security.
nube no puede distinguir nuestros test - Areitio, J. Test de penetracin y gestin de Springer. 2007.
con un ataque real y adems nuestros vulnerabilidades, estrategias clave para evaluar la - Cloud Security Alliance (CSA): http://www.
test de penetracin pueden potencial- seguridad de red. REE. N 653. Abril 2009. cloudsecurityalliance.org/.
mente impactar negativamente en otros - Areitio, J. Tipificacin de amenazas, identi- - Hoopes, J. Virtualization for Security: Inclu-
usuarios de forma inaceptable. ficacin de contramedidas de seguridad en el ding Sandboxing, Disaster Recovery, High Avai-
mbito de gestin de redes y sistemas. REE. N lability, Forensic Analysis and Honeypotting.
Consideraciones nales 613. Dic. 2005. Syngress. 2008.
- Areitio, J. Identificacin de la tecnologa firewa- - Rittinghouse, J. and Ransome, J. Cloud Com-
Nuestro grupo de investigacin ll para la proteccin de la seguridad de red. REE. puting: Implementation, Management and
lleva trabajado casi diez y seis aos en N 638. Enero 2008. Security. CRC Press. 2009.
el rea de la seguridad y privacidad - Buffington, J. Data Protection for Virtual Data - Krutz, R.L. and Vines, R.D. Cloud Security: A
en cloud computing. Del anlisis de la Centers. Sybex. 2010. Comprehensive Guide to Secure Cloud Com-
seguridad de la nube se han detectado - Mather, T., Kumaraswamy, S. and Latif, S. Cloud puting. Wiley. 2010.
cuestiones clave como confiabilidad, Security and Privacy: An Enterprise Perspective on - Fingar, P. Dot Cloud: The 21st Century Bu-
multi-arrendamiento, cifrado no con- Risks and Compliance. OReilly Media. 2009. siness Platform Built on Cloud Computing.
vencional, problemas de cumplimiento, - Marchini, R. Cloud Computing: A Practical Meghan-Kiffer Press. 2009.
IAM, cuestiones de integridad de datos, Introduction to the Legal Issues. BSI Standards. - Norman, T.L. Risk Analysis and Security Coun-
cdigos y procesamientos. 2010. termeasure Selection. CRC Press. 2010.