Seguridad Informática en Cloud Computing (computación en la nube)

1. Cloud Computing (Computación en la Nube)

Conocida también como servicios en la nube, informática en la nube, nube de

cómputo, nube de conceptos o simplemente "la nube", es un paradigma que permite
ofrecer servicios de computación a través de una red, que usualmente es Internet.

Fig. 1 – Esquema de componentes de la computación en la nube.

Estos servicios se dividen en tres grandes categorías: Infraestructura como servicio

(IaaS), plataforma como servicio (PaaS) y software como servicio (SaaS). El nombre
de computación en la nube fue inspirado por el símbolo de nube que se utiliza a
menudo para representar a Internet en imágenes y diagramas de flujos.

Los servicios en la nube tienen tres características bien diferenciadas que los
desmarcan del hosting tradicional. Por un lado, la tarificación se realiza en función
del uso, normalmente por minuto o por hora; el servicio es elástico, ya que el usuario
puede usar tanto como quiera y en el momento que lo desee; finalmente, el servicio
es gestionado en su totalidad por el proveedor (el consumidor no necesita nada
salvo una computadora personal y acceso a Internet).

1
Las importantes innovaciones en virtualización y computación distribuida, los
grandes avances en la velocidad de acceso a Internet y la debilidad económica
generalizada han dado un gran impulso a la computación en nube.

Las nubes pueden ser privadas o públicas. Nube pública es la que vende servicios
en Internet a cualquier usuario. (Actualmente, Amazon Web Services es el principal
proveedor en una nube pública). Las nubes privadas son una red o centro de datos
que pertenece a una organización y que ofrece servicios de hosting a un número
limitado de personas. Cuando el proveedor de servicios usa recursos de nubes
públicas para crear su nube privada, el resultado se denomina nube privada virtual.
Sea privada o pública, el objetivo de la computación en la nube es ofrecer acceso a
recursos de computación y servicios de TI de forma sencilla y escalable.

2. Principales amenazas de acceso de sesión y de Cloud Computing

La seguridad y los riesgos en entornos cloud se han convertido en un tema en auge

debido a la proliferación de servicios que operan en la nube.

La problemática de estos servicios se basa, en gran parte, en la complejidad de los

mismos ya que suelen estar formados por multitud de componentes tanto software
como hardware, lo cual dificulta la gestión y, por ende, la protección.

 Seguridad de los datos

 Identidad y control de acceso
 Cumplimiento legal y normativo
 Complejidad de los servicios
 Disponibilidad y recuperación

3. Vulnerabilidades de Cloud Computing

La seguridad es uno de los aspectos que más preocupan en cuando se accede a

servicios de ‘cloud computing’ (informática en la nube). El cumplimiento normativo,

2
la identidad, el control del acceso a la información son temas clave en estos
entornos tecnológicos

La seguridad y la propiedad de los datos son aspectos clave. Existe una gran
preocupación por la propiedad y el tratamiento de los datos, dado que estas
infraestructuras pueden gestionarlos en múltiples países, lo que puede producir
conflictos en cuanto al marco legal en el que son tratados. También se plantea que
estos entornos, al manejar gran cantidad de datos, pueden ser objeto de fugas de
información, ya sean intencionadas o fortuitas.

El cumplimiento normativo también es uno de los pilares de la seguridad en

entornos cloud. En este caso el problema se presenta debido a la falta de
transparencia de estas infraestructuras, por lo que es muy recomendable que el
suscriptor del servicio se informe claramente de cómo se gestiona el entorno.

Entornos complejos. Para la creación de un servicio cloud interviene multitud

de software de distintos proveedores. Esto implica que se ha de poner especial
atención a las posibles vulnerabilidades de las aplicaciones e implantar
procedimientos de parcheado.

La identidad y el control de acceso. Por lo general, la mayoría de las infraestructuras

son compartidas por múltiples empresas o usuarios y la mala definición de los
controles de acceso puede provocar accesos no autorizados a datos confidenciales.
La definición de una buena política de identidad y control de acceso basada en
políticas de mínimo privilegio es esencial en entornos cloud.

Los contratos de acuerdo de servicio. Son un denominador común de los aspectos

mencionados. Todas las recomendaciones en cuanto a este asunto indican que
éstos deben de ser revisados y creados específicamente, detallando los controles,
las normativas, las medidas de protección, los plazos de recuperación del servicio,
etc.

4. Estrategias de seguridad para la protección de los servicios en la nube

El análisis e investigación sobre el estado de la seguridad en la nube se ha vuelto

más rico y más prescriptivo.

3
  Mejorar la seguridad forense

La administración de acceso privilegiado es fundamental para que las

organizaciones protejan la información sensible. Toda organización debe tener una
política de privilegios mínimos y vigilarla. Pero esta historia también señala la
importancia de contar con un sistema forense avanzado para descubrir y detectar
cualquier acceso no aprobado. Los malos actores se han vuelto más hábiles para
disfrazar su actividad. Eso significa que nuestros esfuerzos de seguridad deben
enfocarse más en la detección de anomalías, la correlación de eventos y el análisis
forense.

 Establecer alertas para configuraciones de nube riesgosas

Las exposiciones de datos continúan siendo noticia en 2018, con importantes firmas
como FedEx y MyFitnessPal (Under Armour) que dejan enormes cantidades de
datos de clientes expuestos a recursos de almacenamiento en la nube no seguros.

 Cifrar datos confidenciales almacenados en la nube

Además de revisar las configuraciones de recursos, también debe considerar

encriptar los datos confidenciales almacenados en la nube para proporcionar otro
aumento de velocidad contra la divulgación accidental.

 Restringir el tráfico saliente

El uso no autorizado de servidores virtuales representa una amenaza al ofrecer a

los piratas informáticos la capacidad de robar datos confidenciales o hacerse cargo
de sus sistemas de comando y control. Muchos ataques utilizan una técnica para
engañar a sus cortafuegos y abrir una conexión saliente a un host externo
gestionado por el atacante. Esto funciona porque las conexiones salientes se
examinan menos que las conexiones entrantes. Para aumentar el control, puede
limitar la cantidad de tráfico saliente permitido desde entornos con datos
confidenciales de clientes.

 Implementar el escaneo de vulnerabilidad

4
La naturaleza efímera de las instancias de nube hace que sea difícil identificar los
recursos que se comunican con direcciones IP sospechosas y las herramientas
familiares pueden no funcionar en entornos de nube. Esto significa que los usuarios
de la nube pública deben encontrar otros métodos para asegurar que las
vulnerabilidades sean detectadas y priorizadas.

5
 Fuentes de Información

 https://es.wikipedia.org/wiki/Computaci%C3%B3n_en_la_nube
 https://searchdatacenter.techtarget.com/es/definicion/Computacion-en-la-
nube
 https://revistacloud.com/informe-sobre-riesgos-y-amenazas-del-cloud-
computing/
 https://www.diarioabierto.es/68429/riesgos-y-amenazas-del-
%E2%80%98cloud-computing%E2%80%99