Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Resumen
Introducción
Antecedentes
1. GENERALIDADES SOBRE CLOUD COMPUTING
1.1 Concepto
1.2 Objetivo de Cloud Computing
1.3 Beneficios
1.4 Arquitectura de referencia en Cloud Computing
1.5 Características de los servicios de Cloud Computing
1.6 Clasificación de los servicios de Cloud Computing
1.6.1 Por el modelo de servicio
1.6.2 Por la titularidad de la infraestructura
1.7 Servicios de Cloud Computing
1.7.1 Aplicaciones como servicio (SaaS)
1.7.2 Plataforma como servicio(PaaS)
1.7.3 Infraestructura como servicio (IaaS)
2 Tecnología de Cloud Computing
2.2 Virtualización
2.2.1 ¿En qué se diferencia la virtualización del ‘cloud computing’?
3. Objetivos
4. Limitantes
5. Aspectos de seguridad
5.1. Activos
5.2. Amenazas
5.3. Vulnerabilidades
5.4. Salvaguardias
5.5. Normativa de seguridad
7. Mercado de las nuevas tecnologías
8.Casos de éxito
9.Conclusiones
Anexos
Resumen
Realizamos este informe debido a la necesidad de brindar mayor información acerca de cloud
computing. El presente informe contiene un análisis del conjunto de servicios denominados
Cloud Computing con la finalidad de brindar mayor información sobre esta tecnología e
interpretarla para poder demostrar su importancia a nivel empresarial.
Las empresas actualmente requieren la justificación de sus inversiones en caso de nuevas
tecnologías, la implementación de servicios de cloud computing pueden traer grandes
retornos de inversión.
Nuestro grupo de trabajo realizo el informe y análisis acerca de la cloud computing y
esperamos que pueda servir de apoyo para cualquier persona interesada.
2
Introducción
Actualmente los paradigmas y cambios de las tecnologías brindan grandes cambios los cuales
pueden entenderse ventajas estratégicas en una organización si son correctamente
aprovechadas. Un paradigma importante es la Cloud Computing, la capacidad de usar servicios
por medio de internet y repositorios de datos en línea. Es independiente del rubro del negocio
y se ajusta a las diferentes necesidades del cliente. Esta nueva tecnología es capaz de cambiar
la forma de cómo se manejan los servicios de Ti por lo que en las siguientes páginas se
describirá a mayor detalle.
3
Antecedentes
Ya por 1997, Steve Jobs arrojó luz sobre este fenómeno con las siguientes palabras: “Gran
parte del tremendo impacto de usar ordenadores en la actualidad, es su utilización no sólo
para ejecutar tareas de computación intensivas, sino su utilización como una ventana de
comunicación para para acceder a estas tareas de computación intensivas. Nunca he visto algo
más poderoso que ésta computación combinada con la tecnología de red que ahora tenemos
(refiriéndose a Internet, que se encontraba aún en una etapa temprana)... Y, yo sólo quiero
centrarme en algo que está muy cerca de mí, que es vivir en un mundo conectado a alta
velocidad para hacer mi trabajo todos los días. Pregunto: ¿cuántos de ustedes gestionan el
almacenamiento en sus propios equipos? ¿Cuántos de ustedes hacen copias de seguridad, por
ejemplo? ¿Cuántos han tenido un accidente con esos equipos en los últimos tres años...? De
acuerdo, permítanme describir el mundo en el que vivo. Hace unos 8 años, teníamos redes de
alta velocidad conectadas a nuestros ordenadores obsoletos. Y gracias a que estábamos
usando NFS, fuimos capaces de sacar toda la información fuera de nuestros ordenadores y de
ponerla en un servidor. El software lo hizo de forma completamente transparente, y debido a
que el servidor tenía una gran cantidad de memoria RAM , en algunos casos, era de hecho más
rápido obtener información desde el servidor, que desde el disco duro local (...) Pero lo que
fue realmente notable, fue que la organización pudo contratar a un profesional para respaldar
ese servidor cada noche, y pudo darse el lujo de gastar un poco más en ese servidor, así que tal
vez tenía discos redundantes, y también fuentes de alimentación redundantes. En los últimos 7
años, ¿saben cuántas veces he perdido algún dato personal? Cero. ¿Saben cuántas veces he
hecho una copia de seguridad de mi equipo? Cero. Tengo computadoras de Apple, en Next, en
Pixar y en casa, inicio una sesión con mi usuario y obtengo acceso a mi información, esté
donde esté. Nada se encuentra guardado en mi disco duro. Y el Giga‐Internet vendrá, y hará
que sea aún más rápido acceder a la información en el servidor (...) Y no me importa cómo se
hace, no me importa lo que hay en la caja está en el otro extremo (...) una de mis esperanzas
es que Apple (...) pueda hacer esto una realidad fácil y disponible para cualquiera”.
4
Por lo que la computación en la nube es un término general que se refiere a la prestación de
servicios alojados a través de Internet. Se trata de una tecnología avanzada que hace que
todos los archivos, programas e información estén almacenados en Internet, como en
una “nube”, siendo completamente irrelevante las capacidades de almacenaje de los
ordenadores instalados por el cliente y prescindiendo así de los discos duros.
El cloud computing ha llegado para quedarse, se trata de una industria ya madura que
como hemos documentado aporta importantes beneficios micro y macro. También
sociales. Se demuestra como los usuarios actuales valoran positivamente el resultado
del servicio. De los modelos de entrega de servicios del cloud computing hemos
seleccionado el de SaaS sobre cloud pública como el más idóneo para las pymes. La
computación en la nube tiene problemas pero son minimizables y en todo caso no
invalidan la solución.(p.117)
El autor afirma que la cloud computing es una industria que ya tiene presencia debido a sus
grandes contribuciones y recomienda el Saas o el software como servicio para las pymes y que
las actuales debilidades de este modelo de negocio no contrarrestan las soluciones que logran
brindar.
El gran aumento del uso de la computación en la nube tanto para usuarios normales como
para el sector empresarial ha causado que se empiezan a notar empresas especialmente
orientadas de brindar el servicio de computación en la nube o Cloud Computing, una de estas
empresas surgió el 2011 en España, pero en el 2013 apareció en Perú, la empresa denominada
Gigas que suministra servicios de Cloud Computing de la Comisión Europea superando a
empresas como Amazon y Microsoft. En el 2014 la empresa Gigas comenzó la promoción de la
computación en la nube en diversas empresas en el Perú, una de las grandes estrategias para
lograr que las empresas interesadas apliquen esta tecnología era mostrarle la inversión y las
grandes ganancias y beneficios que generaba. Actualmente existe constante aumento de
inversión de esta tecnología y sigue en aumento en américa latina.
5
1. GENERALIDADES SOBRE CLOUD COMPUTING
1.1 Concepto
Cloud Computing según Grance ha sido definido por el National Institute of Standards and
Technology (NIST) como “Un modelo para habilitar acceso conveniente por demanda a un
conjunto compartido de recursos computacionales configurables, por ejemplo, redes,
servidores, almacenamiento, aplicaciones y servicios, que pueden ser rápidamente
provisionados y liberados con un esfuerzo mínimo de administración o de interacción con el
proveedor de servicios” (2011 P.6)
La nube permite el aprovechamiento de las economías de escala que se pueden generar, por
parte de operadores que prestan servicios estandarizados a un gran número de clientes,
pudiendo disminuir los costes de los servicios que ofrecen. Asimismo, la flexibilidad del modelo
permite a las organizaciones escalar rápidamente en función de sus necesidades, dotándolas
así de una enorme capacidad de procesamiento, almacenamiento y gestión, sin necesidad de
instalar servidores localmente y sin tener que añadir equipamiento, o contratar personal para
operarlo, pagando según un modelo de cálculo que se basa en el uso (capacidad o número de
usuarios)
1.3 Beneficios
Para algunos, la computación en nube es una de las mayores revoluciones tecnológicas de los
últimos tiempos. Para otros, es solamente la evolución un conjunto de tecnologías destinadas
que permiten ofrecer la computación como un servicio más a través de Internet. En su
expresión más simple, el Cloud Computing es una nueva forma de entregar recursos de
computación a través de Internet. Los sistemas de Cloud Computing tienen su anclaje en
enormes colecciones de servidores que, gracias al software que los une, trabajan como un
6
único cerebro capaz de dispersar los distintos trabajos de forma eficiente. La nube estandariza
y comparte recursos, automatizando muchas de las tareas de mantenimiento realizadas que
tradicionalmente se han hecho de forma manual. Debido a que existe menos desperdicio de
recursos y más flexibilidad, la computación como un todo resulta mucho más potente que la
suma de sus distintos componentes.
Desde una perspectiva económica, gracias a las economías de escala inherente a la nube, ha
visto la luz una computación más avanzada, barata y en algunos casos más segura, que puede
alquilarse como un servicio, sin tener que adquirir la propiedad de las distintas partes y asumir
los costes de operación y mantenimiento
7
1.5 Características de los servicios de Cloud Computing
Las características del Cloud Computing giran principalmente en torno a cinco aspectos:
recursos compartidos, escalabilidad masiva, elasticidad, pago por uso, y posibilidad de
autoservicio por parte del usuario.
Según NIST, los servicios en la nube contienen cinco características esenciales que
ejemplifican sus similitudes y diferencias con otros modelos de computación tradicionales, a
saber:
Los recursos computacionales del proveedor se ponen en reservas comunes para que puedan
ser utilizados por múltiples consumidores, en el caso de que hayan elegido el modelo de nube
pública (que es el modelo de nube disruptivo por excelencia). Estos recursos físicos y virtuales,
son asignados dinámicamente y reasignados en función de la demanda de los consumidores.
Existe un sentido de independencia de la ubicación física en que el cliente generalmente no
tiene control o conocimiento sobre la ubicación exacta de los recursos suministrados, aunque
se puede especificar una ubicación a un nivel más alto de abstracción (p.ej. país, región, o
grupos de centro de datos). Algunos ejemplos de recursos son: almacenamiento,
procesamiento, memoria, ancho de banda de la red y máquinas virtuales.
c) Rapidez y elasticidad
8
d) Servicio supervisado
Los sistemas de nube controlan y optimizan el uso de los recursos de manera automática
utilizando una capacidad de evaluación en algún nivel de abstracción adecuado para el tipo de
servicio (p.ej., almacenamiento, procesamiento, ancho de banda, y cuentas de usuario activas).
El uso de recursos puede seguirse, controlarse y notificarse fácilmente, lo que aporta
transparencia tanto para el proveedor como para el consumidor del servicio utilizado
Bajo este modelo mejor conocido como por su denominación en inglés, Software as a Service
(SaaS) el proveedor permite el acceso a aplicaciones que están ejecutándose en su
infraestructura Cloud, en consecuencia, el término SaaS se refiere a aquellas aplicaciones
“consumidas” por el usuario a través de Internet y cuyo pago está condicionado por el uso
efectivo de las mismas, sin la adquisición previa de una licencia
Bajo este modelo mejor conocido por su denominación en inglés, Platform as a Service (PaaS)
el usuario tiene la capacidad de desarrollar aplicaciones sobre la infraestructura del proveedor
utilizando herramientas y lenguajes de programación cuyo mantenimiento está a cargo de
dicho proveedor. PaaS implica que el usuario no ostenta la gestión ni el control de elementos
como la infraestructura base, los servidores, los sistemas operativos o el almacenamiento,
pero que tiene el control sobre la configuración de las aplicaciones desarrolladas y la
posibilidad de solicitar las configuraciones propias del entorno host. Al igual que en SaaS, tanto
la propia aplicación, como los datos, residen en la plataforma del proveedor de Cloud.
9
c) Infraestructura como un servicio
Bajo este modelo mejor conocido por su denominación en inglés, como Infrastructure as a
Service (Iaas) el proveedor proporciona servicios de procesamiento, almacenamiento, redes y
otros recursos fundamentales, donde el usuario puede desarrollar y ejecutar aplicaciones. El
usuario no gestiona ni controla la infraestructura base pero sí que tiene control sobre los
sistemas operativos, el almacenamiento, las aplicaciones desarrolladas y posibilidad de
seleccionar elementos de red (firewalls, balanceadores, etc.). Evidentemente en el modelo
IaaS, las aplicaciones y los datos residen también en la plataforma del proveedor de Cloud.
a) Pública
Es aquel tipo de Cloud en el cual la infraestructura y los recursos lógicos que forman parte del
entorno se encuentran disponibles al público en general a través de Internet. Suele ser
propiedad de un proveedor que gestiona la infraestructura y el servicio o servicios que se
ofrecen, aunque puede haber nubes públicas que se basan en infraestructuras de terceros.
b) Privada
Este tipo de infraestructuras Cloud se crean con los recursos propios de la empresa que lo
implanta, generalmente con la ayuda de empresas especializadas en el despliegue de este tipo
de tecnologías.
c) Comunitaria
Una nube comunitaria se da cuando dos o más organizaciones forman una alianza para
implementar una infraestructura Cloud orientada a objetivos similares y con un marco de
seguridad y privacidad común.
10
d) Híbrida
Este es un término amplio que implica la utilización conjunta de varias infraestructuras Cloud
de cualquiera de los tres tipos anteriores, que se mantienen como entidades separadas, pero
que a su vez se encuentran unidas por la tecnología estandarizada o propietaria,
proporcionando una portabilidad de datos y aplicaciones.
a) Ventajas y desventajas
11
1.7.2 Plataforma como servicio(PaaS)
a) Ventajas y desventajas
Las ventajas de los PaaS son que permite niveles más altos de
programación con una complejidad extremadamente reducida; el
desarrollo general de la aplicación puede ser más eficaz, ya que se tiene
una infraestructura built-in; y el mantenimiento y mejora de la
aplicación es más sencillo También puede ser útil en situaciones en las
que varios desarrolladores están trabajando en un mismo proyecto y
que implican a partes que no están ubicadas cerca unas de otras.
Una desventaja de PaaS es que es posible que los desarrolladores no
pueden utilizar todas las herramientas convencionales (bases de datos
relacionales, con joins irrestrictos, por ejemplo). Otra posible desventaja
es estar cerrado en una cierta plataforma. Sin embargo, la mayoría de
los PaaS están relativamente libres9
12
1.7.3 Infraestructura como servicio (IaaS)
El proveedor suministra una infraestructura para que el cliente pueda utilizar
herramientas, aplicaciones, el procesamiento, la red, etc. El cliente no controla la
arquitectura base, pero puede configurar elementos de red y el sistema operativo
que se utiliza.
a) Ventajas y desventajas
Pérdidas de datos/fuga
Tener datos en la Nube tiene numerosas ventajas, pero pueden ser
comprometidos de diferentes maneras. Pueden ser modificados o
borrados sin un backup, pueden ser desvinculados de su contexto o
accedidos por gente no autorizada.
Dificultad de valorar la fiabilidad de los proveedores
Si los proveedores Cloud son parte de nuestra sociedad, visto de manera
estadística, alguien de su personal o algún subcontratado podría no ser
alguien de fiar. Es por esto que se deben tomar buenos procedimientos
de investigación de antecedentes de recursos humanos, políticas y
procedimientos de seguridad de la información fuertes.
13
2 Tecnología de Cloud Computing
2.2 Virtualización
“Virtualización es un elemento fundamental del cloud computing y ayuda a darle valor al cloud
computing”, según explica Mike Adams, director de marketing de producto
en VMware. “El cloud computing consiste en la entrega de recursos informáticos compartidos a través
de software o datos y que son entregados como un servicio de demanda a través de Internet”, continúa.
14
Cloud Computing, por lo general, un servicio fuera de las instalaciones que ofrece
acceso bajo demanda a un grupo compartido de recursos informáticos configurables.
Estos recursos pueden ser rápidamente aprovisionado y lanzado con un esfuerzo de
gestión mínimo.
3. Objetivos
Uno de los motivos: la computación en la nube dispensa el hardware. Cuando una empresa
proporciona su propio software, debe ocuparse de los servidores. Estos servidores requieren
un suministro de energía exclusivo y piezas de reemplazo. También es necesario configurarlos
y supervisarlos en caso de que tengan problemas de rendimiento y requieran expertos de
guardia para solucionarlos.
15
que el cliente comparte en el pool rápidamente, algunas veces de modo automático, el usuario
final, por lo general, no necesita saber lo que ocurre en la nube. El usuario necesita tan solo
iniciar la sesión y trabajar en la
Reducción de costos
4. Limitantes
16
La madurez funcional de las aplicaciones hace que continuamente estén modificando
sus interfaces, por lo cual la curva de aprendizaje en empresas de orientación no
tecnológica tenga unas pendientes significativas, así como su consumo automático por
aplicaciones.
Seguridad. La información de la empresa debe recorrer diferentes nodos para llegar a
su destino, cada uno de ellos (y sus canales) son un foco de inseguridad. Si se utilizan
protocolos seguros, HTTPS por ejemplo, la velocidad total disminuye debido a la
sobrecarga que estos requieren.
Escalabilidad a largo plazo. A medida que más usuarios empiecen a compartir la
infraestructura de la nube, la sobrecarga en los servidores de los proveedores
aumentará, si la empresa no posee un esquema de crecimiento óptimo puede llevar a
degradaciones en el servicio o altos niveles de jitter.
5. Aspectos de seguridad
17
– Autenticación sólida:
la autorización puede ser general en una empresa o, incluso, en una nube privada. No obstante,
para manejar datos delicados y requerimientos de cumplimiento de normas, las nubes públicas
necesitarán capacidades de autorización granular (como controles basados en funciones e
IRM) que puedan ser persistentes en toda la infraestructura de nube y el ciclo de vida de los
datos.
En el data center tradicional, los controles sobre el acceso físico, el acceso a hardware y
software, y los controles de identidad se combinan para la protección de los datos. En la nube,
esa barrera de protección que garantiza la seguridad de la infraestructura se disipa. Para
compensar, la seguridad deberá estar centrada en la información. Los datos necesitan que su
propia seguridad se traslade con ellos y los proteja. Se requerirá.
– Aislamiento de datos:
en situaciones de tenencia múltiple, será necesario mantener los datos de manera segura para
protegerlos cuando varios clientes usen recursos compartidos. La virtualización, la encriptación
y el control de acceso serán excelentes herramientas que permitirán distintos grados de
separación entre las corporaciones, las comunidades de interés y los usuarios. En el futuro
cercano, el aislamiento de datos será más importante y ejecutable para IAAS de lo que quizá
será para PAAS y SAAS.
18
a medida que la confidencialidad de la información aumenta, la granularidad de la
implementación de la clasificación de los datos debe aumentar. En los ambientes de data
center actuales, la granularidad del control de acceso basado en funciones a nivel de grupos de
usuarios o unidades de negocios es aceptable en la mayoría de los casos porque la información
permanece dentro del control de la empresa. Para la información en la nube, los datos
delicados requerirán seguridad a nivel de archivos, campos o incluso bloques para satisfacer
las demandas de seguridad y cumplimiento de normas.
habrá una necesidad evidente de contar con protección de contenido basada en políticas para
satisfacer las necesidades propias de la empresa y las directivas de políticas reglamentarias.
Para algunas categorías de datos, la seguridad centrada en la información necesitará
encriptación en transmisión y en reposo, además de administración en la nube y en todo el
ciclo de vida de los datos Clasificación eficaz de datos: cloud computing impone un
intercambio de recursos entre el alto rendimiento y los requerimientos de mayor seguridad
sólida. La clasificación de los datos es una herramienta fundamental para equilibrar esa
ecuación. Las empresas necesitarán saber qué datos son importantes y dónde están ubicados
como requerimiento previo para tomar decisiones relacionadas con el costo/beneficio del
rendimiento, además de garantizar el enfoque en las áreas más críticas para los
procedimientos de prevención de pérdida de datos.
se suele tratar a IRM como un componente de identidad, una forma de establecer controles
generales sobre qué usuarios tienen acceso a los datos. No obstante, la seguridad centrada en
los datos más granular requiere que las políticas y los mecanismos de control sobre el
almacenamiento y el uso de información estén asociados directamente con la información en
sí.
19
retención para el cumplimiento de normas y políticas de datos también se convertirá en una
capacidad esencial de la nube. Básicamente, las infraestructuras de cloud computing deben
tener la capacidad de verificar que se administren los datos según las reglamentaciones locales
e internacionales correspondientes (como PCI y HIPAA) con controles adecuados, recopilación
de logs y creación de informes. Los datos delicados en la nube requerirán seguridad granular,
que debe mantenerse de manera consistente durante todo el ciclo de vida de los datos.
Seguridad de la infraestructura La infraestructura base para una nube debe ser
inherentemente segura, ya sea una nube privada o pública, o un servicio SAAS, PAAS o IAAS. Se
requerirá.
la nube debe estar diseñada para ser segura, creada con componentes inherentemente
seguros, implementada y aprovisionada de manera segura con interfaces sólidas a otros
componentes y, finalmente, soportada de manera segura con procesos de evaluación de
vulnerabilidades y administración de cambios que producen información de administración y
seguridades de nivel de servicio que crean confianza. Para estos componentes implementados
de manera flexible, la identificación mediante la huella digital del dispositivo para garantizar la
seguridad de la configuración y el estado también será un elemento de seguridad importante,
al igual que lo es para los datos y las identidades en sí.
los puntos en el sistema en los que se presentan intervenciones (usuario a red, servidor a
aplicación) requieren políticas y controles de seguridad granulares que garanticen consistencia
y responsabilidad. Aquí, el sistema end-toend debe ser patentado, un estándar de facto o una
federación de proveedores que ofrezca políticas de seguridad implementadas de manera
consistente.
20
5.1.4 Amenazas
La Cloud Security Alliance se define como una organización internacional sin ánimo de lucro
para promover el uso de mejores prácticas para garantizar la seguridad en cloud. En marzo del
2010 publicó un informe «Top Threats to Cloud Computing V1.0» sobre las siete mayores
amenazas de la infraestructuras cloud, con el propósito de asistir a las organizaciones en la
toma de decisiones y en la adopción de estrategias que incluyan cloud computing. Estas
amenazas se actualizan regularmente buscando el consenso de los expertos. A continuación,
se resumen las amenazas descritas en este informe.
Esta amenaza afecta principalmente a los modelos de servicio IaaS y PaaS y se relaciona con un
registro de acceso a estas infraestructuras/plataformas poco restrictivo. Es decir, cualquiera
con una tarjeta de crédito válida puede acceder al servicio, con la consecuente proliferación de
spammers, creadores de código malicioso y otros criminales que utilizan la nube como centro
de operaciones.
Ejemplos:
Recomendaciones:
Generalmente los proveedores de servicios en la nube ofrecen una serie de interfaces y API
(del inglés, Application Programming Interface) para controlar e interactuar con los recursos.
De este modo, toda la organización, el control, la provisión y la monitorización de los servicios
21
cloud se realiza a través de estos API o interfaces. Dado que todo (autenticación, acceso,
cifrado de datos, etc.) se realiza a través de estas herramientas, se hace necesario que los
interfaces estén diseñados de forma segura, evitando así los problemas de seguridad, tanto los
que son intencionados como los que se producen de forma accidental.
Ejemplos:
Recomendaciones:
C) Amenaza interna
Como en todos los sistemas de información, la amenaza que suponen los propios usuarios es
una de las más importantes, dado que tienen acceso de forma natural a los datos y
aplicaciones de la empresa. En un entorno cloud esto no es en absoluto diferente ya que se
pueden desencadenar igualmente incidentes de seguridad provocados por empleados
descontentos y accidentes por error o desconocimiento. Además, en muchos casos, es el
propio proveedor del servicio el que gestiona las altas y bajas de los usuarios, produciéndose
brechas de seguridad cuando el consumidor del servicio no informa al proveedor de las bajas
de personal en la empresa. Como es lógico, estos incidentes repercuten de forma importante
en la imagen de la empresa y en los activos que son gestionados. Los proveedores de servicio
deberán proveer a los consumidores del servicio de medios y métodos para el control de las
amenazas internas.
Recomendaciones:
22
D) Problemas derivados de las tecnologías compartidas
Esta amenaza afecta a los modelos IaaS, ya que en un modelo de Infraestructura como
Servicio los componentes físicos (CPU, GPU, etc.) no fueron diseñados específicamente para
una arquitectura de aplicaciones compartidas. Se han dado casos en los que los hipervisores de
virtualización podían acceder a los recursos físicos del anfitrión provocando, de esta forma,
incidentes de seguridad. Para evitar este tipo de incidentes se recomienda implementar una
defensa en profundidad con especial atención a los recursos de computación, almacenamiento
y red. Además, se ha de generar una buena estrategia de seguridad que gestione
correctamente los recursos para que las actividades de un usuario no puedan interferir en las
del resto.
Ejemplos:
exploits o malware que consiguen acceder a los recursos del equipo anfitrión de la
virtualización
Recomendaciones:
Existen muchas formas en las que los datos se pueden ver comprometidos. Por ejemplo, el
borrado o modificación de datos sin tener una copia de seguridad de los originales, supone una
pérdida de datos. En la nube, aumenta el riesgo de que los datos se vean comprometidos ya
que el número de interacciones entre ellos se multiplica debido a la propia arquitectura de la
misma. Esto deriva en pérdida de imagen de la compañía, daños económicos y, si se trata de
fugas, problemas legales, infracciones de normas, etc.
Ejemplos:
23
mal uso de las claves de cifrado y de software
autenticación, autorización y auditoria débil
Recomendaciones:
Recomendaciones:
Uno de los pilares de las infraestructuras cloud es reducir la cantidad de software y hardware
que tienen que adquirir y mantener las compañías, para así poder centrarse en el negocio. Esto,
si bien repercute en ahorros de costes tanto económicos como operacionales, no puede ser
motivo para el deterioro de la seguridad por falta de conocimiento de esta infraestructura.
Para asistir en la toma de decisiones sobre las medidas de seguridad que se han de implantar
en un entorno cloud es conveniente conocer, al menos en parte, la información técnica de la
24
plataforma. Datos como con quién se comparte la infraestructura o los intentos de acceso no
autorizados pueden resultar muy importantes a la hora de decidir la estrategia de seguridad.
La carencia de información de este tipo puede derivar en brechas de seguridad desconocidas
por el afectado.
Recomendaciones:
5.1.5 RIESGOS DETECTADOS POR GARTNER Gartner S.A. es una compañía de investigación y
consultoría de tecnologías de la información, con sede en Stamford, Connecticut, Estados
Unidos. Se conocía como Grupo Gartner hasta 2001. Gartner tiene como clientes a grandes
empresas, agencias de gobierno, empresas tecnológicas y agencias de inversión. Fue fundada
en 1979, tiene actualmente 4.000 socios y dispone de 1.200 analistas y consultores con
presencia en 75 países por todo el mundo. Desde su posición de analista de las tecnologías de
la información, también ha realizado recientemente el informe «Assessing the Security Risks of
Cloud Computing» sobre los principales riesgos en cloud computing. A continuación, se incluye
un extracto de las recomendaciones y buenas prácticas del citado informe.
B) Cumplimento normativo
Los clientes son en última instancia responsables de la seguridad e integridad de sus datos,
aunque estos se encuentren fuera de las instalaciones y gestionados por un proveedor de
servicios cloud. Los prestadores de servicios tradicionales se hallan sujetos a auditorías
externas y certificaciones de seguridad, por lo tanto los proveedores de servicios en la nube
25
también deben acogerse a este tipo de prácticas. Si se negasen a este tipo de auditorías no se
les debería confiar los datos sensibles de la empresa.
Al utilizar entornos en la nube no se conoce de forma exacta en qué país están alojados. Se
debe consultar con los proveedores cuál es el marco regulatorio aplicable al almacenamiento y
procesado de datos, siendo una buena práctica cerrar un acuerdo con el proveedor para que el
tratamiento de los datos se subyugue al marco legal del país del suscriptor del servicio.
D) Aislamiento de datos
Los datos en los entornos cloud comparten infraestructura con datos de otros clientes. El
proveedor debe garantizar el aislamiento de los datos de los respectivos clientes. El cifrado de
los datos es una buena práctica, pero el problema es cómo aislar los datos cuando se
encuentran en reposo ya que el cifrado, cuando no se hace uso de los datos, puede resultar
una operación costosa. El prestador del servicio debe garantizar que los datos en reposo
estarán correctamente aislados y que los procedimientos de cifrado de la información se
realizarán por personal experimentado, ya que el cifrado de los datos mal realizado también
puede producir problemas con la disponibilidad de los datos o incluso la pérdida de los mismos.
E) Recuperación
Los proveedores de servicio deben tener una política de recuperación de datos en caso de
desastre. Asimismo, es muy recomendable que los datos sean replicados en múltiples
infraestructuras para evitar que sean vulnerables a un fallo general. Se debe exigir a los
proveedores los datos sobre la viabilidad de una recuperación completa y el tiempo que podría
tardar.
F) Soporte investigativo
La investigación de actividades ilegales en entornos cloud puede ser una actividad casi
imposible, porque los datos y logs (registros de actividad) de múltiples clientes pueden estar
juntos e incluso desperdigados por una gran cantidad de equipos y centros de datos. Lo
recomendable será que el proveedor garantice que los logs y los datos de los incidentes se
gestionan de una forma centralizada.
26
G) Viabilidad a largo plazo
Según NIST El Instituto Nacional de Normas y Tecnología (NIST por sus siglas en inglés, National
Institute of Standards and Technology) es una agencia de la Administración de Tecnología del
Departamento de Comercio de los Estados Unidos. La misión de este instituto es promover la
innovación y la competencia industrial en Estados Unidos mediante avances en metrología,
normas y tecnología de forma que mejoren la estabilidad económica y la calidad de vida. En
este sentido, también ha publicado recientemente un borrador de una de sus guías
«Guidelines on Security and Privacy in Public Cloud Computing» en las que propone unos
refuerzos de seguridad centrándose en una clasificación particular. Se resume a continuación.
A) . Gobernanza
B) . Cumplimiento
27
El cumplimiento obliga a la conformidad con especificaciones estándares, normas o leyes
establecidas. La legislación y normativa relativa a privacidad y seguridad varía mucho según los
países con diferencias, en ocasiones, a nivel nacional, regional o local haciendo muy
complicado el cumplimiento en cloud computing.
La principal preocupación del cumplimiento radica en conocer los límites en los que deja de
aplicar la legislación del país que recoge los datos y comienza a aplicar la legislación del país
destino de los mismos así como si la legislación en el destino supone algún riesgo o beneficio
adicional. Por lo general aplican las salvaguardas técnicas, físicas y administrativas, como los
controles de acceso.
Investigación electrónica
28
3.3.3. Confianza
Los datos almacenados fuera de los límites de una organización están protegidos por
cortafuegos y otros controles de seguridad que conllevan en sí mismos un nivel de riesgo
inherente. Las amenazas internas son un problema conocido por la mayoría de las
organizaciones y aunque su nombre no lo refleje aplica también en los servicios cloud. Estas
amenazas pueden ser provocadas tanto por los antiguos como por los actuales empleados así
como por las empresas asociadas, las asistencias técnicas y otros actores que reciben acceso a
las redes corporativas y datos para facilitar las operaciones. Los incidentes pueden ser tanto
intencionados como no intencionados y de muy diversos tipos incluyendo fraude, sabotaje de
los recursos de información, robo de información confidencial. Al traspasar los datos a un
entorno cloud operado por un proveedor, las amenazas internas se extienden no sólo al
personal del proveedor sino también a los consumidores del servicio. Un ejemplo de esto se
demostró por una denegación de servicio realizada por un atacante interno. El ataque fue
realizado por un suscriptor que creó 20 cuentas y lanzó una instancia de máquina virtual por
cada una de ellas, a su vez cada una de estas cuentas seguía creando 20 cuentas cada una
haciendo que el crecimiento exponencial llevase los recursos a los límites de fallo.
Cuando se establece un contrato con un proveedor se deben definir de forma clara los
derechos sobre los datos y así crear un primer marco de confianza. Existe una controversia
importante en torno a los términos ambiguos que utilizan las redes sociales en sus políticas de
privacidad y propiedad de los datos. El contrato debe establecer de una forma clara que la
organización mantiene la propiedad de todos sus datos, pero también debe asegurar que el
proveedor no adquiere derechos o licencias a través de los acuerdos para usar los datos en su
propio beneficio.
Servicios complejos
Los servicios cloud en sí mismos suelen estar formados por la colaboración y unión de otros
servicios. El nivel de disponibilidad de un servicio cloud depende de la disponibilidad de los
servicios que lo componen. Aquellos servicios que dependan de terceros para su
29
funcionamiento deben considerar el establecimiento de un marco de control con dichos
terceros para definir las responsabilidades y las obligaciones, así como los remedios para los
posibles fallos.
Visibilidad
La migración a servicios cloud públicos cede el control de los sistemas de seguridad a los
proveedores que operan los datos de la organización. La administración, los procedimientos y
los controles usados en el cloud deben guardar cierta analogía con los implantados en la
propia organización interna para evitar posibles agujeros de seguridad.
Los proveedores de cloud suelen ser bastante celosos para dar los detalles de sus políticas de
seguridad y privacidad, ya que dicha información podría ser utilizada para realizar un ataque.
Por lo general, los detalles de la red y los niveles de monitorización de los sistemas no forman
parte de los acuerdos de servicio.
Gestión de riesgos
Con los servicios basados en cloud muchos componentes de los sistemas de información
quedan fuera del control directo de la organización suscriptora. Mucha gente se siente mejor
con un riesgo siempre y cuando tengan mayor control sobre los procesos y los equipos
involucrados.
La gestión de riesgos es el proceso de identificar y valorar los riesgos realizando los pasos
necesarios para reducirlos a un nivel asumible. Los sistemas cloud públicos requieren, al igual
30
que los sistemas tradicionales, que los riesgos sean gestionados a lo largo de su ciclo de vida.
Valorar y gestionar riesgos en sistemas que utilizan servicios cloud puede llegar a ser un
desafío.
Para llevarlo a la práctica, la organización debe confirmar que los controles de seguridad están
implementados correctamente y cumplen con los requisitos de seguridad de la empresa. El
establecimiento de un nivel de confianza depende del grado de control que una organización
esté dispuesta a delegar en el proveedor para que sea éste el que implemente los controles de
seguridad necesarios para la protección de los datos y las aplicaciones de la organización, así
como las pruebas de la efectividad de dichos controles. Si el nivel de confianza baja por debajo
de las expectativas y la organización no puede aplicar medidas correctivas, ésta debe decidirse
entre la aceptación de un riesgo mayor o el rechazo del servicio.
NIST Según el informe del NIST, estás son las buenas prácticas generales por área.
Área Recomendación
Gobernanza Implantar políticas y estándares en la provisión de servicios
cloud. Establecer mecanismos de auditoría y herramientas
para que se sigan las políticas de la organización durante el
ciclo de vida.
Cumplimiento Entender los distintos tipos de leyes y regulaciones y su
impacto potencial en los entornos cloud. Revisar y valorar las
medidas del proveedor con respecto a las necesidades de la
organización.
Confianza Incorporar mecanismos en el contrato que permitan controlar
los procesos y controles de privacidad empleados por el
proveedor.
Arquitectura Comprender las tecnologías que sustentan la infraestructura
del proveedor para comprender las implicaciones de
privacidad y seguridad de los controles técnicos
Identidad y control de Asegurar las salvaguardas necesarias para hacer seguras la
31
acceso autenticación, la autorización y las funciones de control de
acceso.
Aislamiento de software Entender la virtualización y otras técnicas de aislamiento que
el proveedor emplee y valorar los riesgos implicados
Disponibilidad Asegurarse que durante una interrupción prolongada del
servicio, las operaciones críticas se pueden reanudar
inmediatamente y todo el resto de operaciones, en un tiempo
prudente.
Respuesta a incidentes Entender y negociar los contratos de los proveedores así como
los procedimientos para la respuesta a incidentes requeridos
por la organización.
“Proofpoint Cloud App Security Broker (PCASB) permite desplegar servicios en la nube
con total confianza. Con PCASB puede proteger aplicaciones como Microsoft Office
365, Google G Suite o Box, entre otras. Nuestro enfoque basado en las personas le
ofrece una visibilidad y un control inigualables de sus apps en la nube.
32
8.Casos de éxito
Bitaglass
Fortalezas
Precaución
McAfee
34
Skyhigh Security Cloud fue uno de los primeros productos de CASB en crear conciencia
sobre la TI desde la sombra.
Fortalezas
Precauciones
La configuración de los mensajes de error para guiar a los usuarios hacia las
aplicaciones autorizadas requiere el uso de un proxy web separado.
Aunque Lightning Link puede capturar y detener el intercambio no permitido
en tiempo real a través de API, los usuarios no siempre reciben una notificación
dentro de la aplicación de que el comportamiento estaba bloqueado.
Los clientes de McAfee ahora deben lidiar con dos motores DLP en todo el
tejido Skyhigh. No está claro, cuando se trabaja con DLP, qué motor realizará el
escaneo y la aplicación o cómo los dos pueden sincronizar las políticas.
35
La ejecución de McAfee a través de adquisiciones ha sido irregular. Si bien
Skyhigh Security Cloud no parece estar afectado ahora, se recomienda a los
clientes que monitoreen la situación de posible degradación y ejecución del
servicio en relación con los compromisos de la hoja de ruta.
CipherCloud
Fortalezas
CipherCloud DLP ha mejorado mucho este año y ahora incluye selectores para
la coincidencia exacta de datos, huellas digitales de documentos mediante la
carga de un corpus de contenido y reconocimiento óptico de caracteres (OCR)
en las imágenes.
Además de cifrar los datos antes de la entrega a las aplicaciones SaaS y al
mismo tiempo preservar la funcionalidad parcial de la aplicación, CipherCloud
también puede administrar claves para los mecanismos de cifrado nativos de
SaaS; Estos se pueden almacenar en CipherCloud o en un servidor de
administración de claves compatible con KMIP.
El conector predeterminado de cualquier aplicación de CipherCloud detecta
comportamientos comunes en las aplicaciones SaaS, simplificando el proceso
requerido para incorporar algunas nuevas aplicaciones personalizadas en el
CASB.
Se ha mejorado la interfaz y el flujo de trabajo para crear nuevas políticas es
fácil de entender y administrar.
36
Prevenciones
Cisco
En 2016, Cisco adquirió API-only CASB Cloudlock y lo incorporó en una oferta más
grande llamada Umbrella. Umbrella incluye varias ofertas relacionadas de seguridad
basadas en la nube y en la nube, que representan la estrategia de crecimiento de Cisco
a través de la adquisición en lugar del desarrollo orgánico. La estrategia da como
resultado una gama de productos que ofrecen capacidades de seguridad tradicionales
desde la nube y productos que brindan servicios de seguridad nativos de la nube pero
que aún no están completamente integrados en la oferta unificada única que Cisco ha
sido prometedora. Los planes de Cisco para convertir a Umbrella en una pasarela de
Internet segura (SIG) siguen en gran medida en desarrollo por ahora. Otros productos
de Cisco que podrían aumentar la visibilidad de Cloudlock, como el agente VPN de
AnyConnect y la aplicación Duo MFA recientemente adquirida, aún no están
integrados. Los clientes de todos los productos de seguridad de Cisco, incluido
Cloudlock, reciben información sobre amenazas de Talos, la organización de
investigación de amenazas de Cisco. Cloudlock obtuvo la autorización del Programa
Federal de Gestión de Riesgos y Autorizaciones (FedRAMP) en el nivel de Impacto
Moderado en diciembre de 2017.
Fortalesas
37
Cisco fue uno de los primeros identificadores del posible abuso de OAuth y
proporciona un mecanismo para anular los permisos otorgados a los tokens de
OAuth, bloqueando así una forma cada vez más común de ataque a la nube.
La adición de las API de desarrollador de Cisco permite a las organizaciones
extender Cloudlock a aplicaciones SaaS que no son compatibles de forma nativa
y a aplicaciones personalizadas que se ejecutan en nubes IaaS y locales.
Precauciones
Microsoft
38
avanzado de amenazas e Intune. Si bien los clientes de Gartner cuestionan de manera
rutinaria si necesitan las suites más grandes de Microsoft, la agrupación en general ha
sido exitosa para Microsoft: MCAS ha experimentado grandes aumentos en la cantidad
de clientes y asientos implementados. Ciertas suscripciones de Office 365 incluyen
Office 365 Cloud App Security (OCAS), un subconjunto de MCAS con menos funciones y
diseñado para proteger solo a un inquilino de Office 365 (y no a otras aplicaciones
SaaS).
Fortalezas
Precauciones
Una estrategia típica de seguridad en la nube de Microsoft requerirá múltiples
productos de Microsoft, no solo su CASB. Por ejemplo, el control de acceso
adaptativo (Azure AD Conditional Access) y EDRM (Azure Information
Protection) son productos separados. Los productos de seguridad en la nube de
Microsoft funcionan mejor cuando los clientes implementan todo el paquete;
Las implementaciones independientes o a la carta ofrecen una funcionalidad
reducida.
Si bien Microsoft ahora ofrece el modo de proxy inverso para su CASB, la
incorporación de aplicaciones SaaS para usar el proxy se realiza a través de
Active Directory de Azure. Los clientes que requieren inspección de proxy en
39
tiempo real también deben comprar Azure AD. De manera similar, el control de
acceso adaptativo básico es posible utilizando políticas de solo CASB, pero un
AAC más completo requiere la adición del acceso condicional de Azure AD.
MCAS DLP está orientado a rastrear el movimiento de datos confidenciales
dentro y fuera de los servicios en la nube sancionados. Tiene poca visibilidad en
servicios no autorizados. Algunas reglas de DLP, como las políticas que
examinan el correo electrónico saliente, deben configurarse en Exchange DLP,
no en el CASB. Además, el DLP nativo de Office 365 presenta otro motor para
configurar, que no comparte políticas con MCAS.
La funcionalidad CSPM de Microsoft es rudimentaria en comparación con otros
competidores, ya que carece de servicios en la nube IaaS compatibles y de la
profundidad de la medición de la postura dentro de esos servicios. El soporte
de MCAS CSPM no se extiende a la administración de controles nativos de
aplicaciones SaaS.
La dedicación de Microsoft a la compatibilidad con sistemas operativos que no
sean de Microsoft (proxy de reenvío para Mac) y servicios en la nube que no
sean de Microsoft (G Suite, AWS) aún está por verse. Las organizaciones que
usan servicios en la nube de múltiples proveedores deben prestar mucha
atención a las capacidades actuales de Microsoft, los mapas de trabajo
publicados y la ejecución en su contra.
40
También nos dice que gracias a la creciente popularidad de Office365, un
20% de toda la información sensible que manejan son de esta plataforma,
y que esta, en los pasados 2 años fue en aumento en un 53%.
41