Documentos de Académico
Documentos de Profesional
Documentos de Cultura
https://cloudsecurityalliance.org/
INTRODUCCIÓN
Non-
Virtualized
Hardware
2000
Virtualizacion: VMWare (2001)
•Lanzamientos para el mercado de servidores en 2001
Non-
Virtualized Virtualiza-
Hardware tion
2000 2001
IaaS: AWS (2006)
•Amazon Web Services (AWS) crea el mercado de
infraestructura como servicio al lanzar Elastic Compute
Cloud (EC2) en 2006
Non-
Virtualized Virtualiza- IaaS
Hardware tion
Non-
Virtualized Virtualiza- IaaS PaaS
Hardware tion
Non- Open
Virtualized Virtualiza- IaaS PaaS Source
Hardware tion IaaS
• La
incorporación más rápida de una tecnología de
desarrollo.
• Permite el aislamiento, la reutilización y la inmutabilidad.
https://landscape.cncf.io/
Beneficios de Cloud Native
Evitar el bloqueo de proveedores
La pila de software de código abierto permite la implementación
en cualquier nube pública, privada o híbrida
Habilitar escalabilidad ilimitada
Escala desde varios nodos en su computadora portátil a decenas
de miles de nodos multiinquilinos autorreparables
Aumenta la agilidad y la mantenibilidad
Al dividir las aplicaciones en microservicios con dependencias
descritas explícitamente
Lograr Resilencia
A fallas de contenedores individuales, máquinas e incluso centros
de datos y a diferentes niveles de demanda
Mejorar la eficiencia y la utilización de recursos
A través de un proceso central de orquestación que gestiona y
programa dinámicamente microservicios
AQUI TRANQUILO
INICIANDO LA DEMO
Todo muy lindo, pero…..
Perceptions
Reality
Normalmente cuando pensamos en cloud en vez de pensar en Pero luego miramos hacia adentro de nuestra propia muralla o
confianza , lo primero que viene en la mente es la falta de ella y entorno y nos damos cuentas que son los mismos los factores de
todos los peligros relacionados a este modelo… desconfianza que tenemos internamente. Siempre desconfiamos de lo
nuevo, nos paso con la invasión del internet con la virtualización, nos
paso con la masividad de los celulares y la movilidad.
Confianza
Normalmente cuando pensamos en cloud en vez de pensar en Pero luego miramos hacia adentro de nuestra propia muralla o
confianza , lo primero que viene en la mente es la falta de ella y entorno y nos damos cuentas que son los mismos los factores de
todos los peligros relacionados a este modelo… desconfianza que tenemos internamente. Siempre desconfiamos de lo
nuevo, nos paso con la invasión del internet con la virtualización, nos
paso con la masividad de los celulares y la movilidad.
Confianza
¿Nuestras
infraestructuras
son más
seguras?
Normalmente cuando pensamos en cloud en vez de pensar en Pero luego miramos hacia adentro de nuestra propia muralla o
confianza , lo primero que viene en la mente es la falta de ella y entorno y nos damos cuentas que son los mismos los factores de
todos los peligros relacionados a este modelo… desconfianza que tenemos internamente. Siempre desconfiamos de lo
nuevo, nos paso con la invasión del internet con la virtualización, nos
paso con la masividad de los celulares y la movilidad.
Incidentes de seguridad
Incidentes de seguridad
Incidentes de seguridad
Incidentes de seguridad
Incidentes de seguridad
Incidentes de seguridad
Incidentes de seguridad
Incidentes de seguridad
Incidentes de seguridad
Incidentes de seguridad
Incidentes de seguridad
Seguridad al
100%? ☺
Principales Amenazas
1. Violaciones de datos
2. Configuración incorrecta y control inadecuado del cambio
3. Falta de arquitectura y estrategia de seguridad en la nube
4. Gestión insuficiente de identidades, credenciales, accesos y claves
5. Secuestro de cuentas
6. Amenaza interna
7. Interfaces y APIs inseguras
8. Plan de control débil
9. Fallas de la metraestructura y de la aplicación
10. Visibilidad limitada del uso de la nube
11. Abuso y uso nefasto de los servicios en la nube
1. Violaciones de datos
• El impacto generalmente depende del • Concilie con el hecho de que los recursos
negocio, las operaciones y su plan de basados en la nube pueden ser dinámicos
contingencia, el nivel de uso de la y complejos y, por lo tanto, difíciles de
computación en la nube y, lo más configurar.
importante, la naturaleza de la • La nube necesita un nuevo enfoque, ya
configuración incorrecta. que los controles y enfoques tradicionales
• El principal impacto de la configuración para la gestión del cambio no funcionarán.
incorrecta es la exposición de los datos • Los recursos basados en la nube pueden
almacenados en los repositorios de la ser desafiantes, complejos y no tan fáciles
nube. de entender, por lo que pueden resultar
desafiantes cuando se configuran.
“Competencias y capacitación”
3. Falta de arquitectura y estrategia de
seguridad en la nube
Impacto de negocios Puntos clave y recomendaciones
• Dado que el secuestro de cuenta implica un • El secuestro de cuentas es una amenaza que debe
compromiso y control total de una cuenta, la tomarse en serio.
lógica empresarial, la función, los datos y las • La defensa en profundidad y los controles de IAM
aplicaciones que dependen de la cuenta pueden son clave para mitigar el secuestro de cuentas.
estar en riesgo.
• Las consecuencias del secuestro de cuentas pueden
ser graves. Algunos casos de incumplimiento
recientes conducen a importantes interrupciones
operativas y comerciales, incluida la eliminación
completa de activos, datos y capacidades.
• El secuestro de cuentas puede provocar fugas de
datos que conducen a daños a la reputación,
degradación del valor de la marca, exposición de
responsabilidad legal y revelaciones confidenciales
de información personal y comercial.
6. Amenaza interna
Impacto de negocios Puntos clave y recomendaciones
• Las amenazas internas pueden resultar en la pérdida de • Tome medidas para minimizar la negligencia interna para
información de propiedad y propiedad intelectual. mitigar las consecuencias de las amenazas internas.
• El tiempo de inactividad del sistema asociado con ataques de • Brinde capacitación a sus equipos de seguridad para instalar,
información puede afectar la productividad de la empresa. configurar y monitorear adecuadamente sus sistemas
• La pérdida de datos puede reducir la confianza en los servicios informáticos, redes, dispositivos móviles y dispositivos de
de la empresa. respaldo.
• El manejo de incidentes de seguridad interna requiere • Brinde capacitación a sus empleados habituales para
contención, remediación, respuesta a incidentes, investigación, informarles cómo manejar los riesgos de seguridad, como el
análisis posterior a la incidencia, escalado, monitoreo y phishing y la protección de los datos corporativos que llevan
vigilancia, todo lo cual puede agregar a la carga de trabajo y al fuera de la empresa en computadoras portátiles y dispositivos
presupuesto de seguridad de una empresa. móviles.
• Audite rutinariamente los servidores en la nube y en las
instalaciones, y luego corrija cualquier cambio desde la línea de
base segura establecida en toda la organización.
• Asegúrese de que los sistemas de seguridad de acceso
privilegiado y los servidores centrales estén limitados a un
número mínimo de empleados, y que estas personas incluyan
solo a aquellos con la capacitación para manejar la
administración de servidores informáticos de misión crítica.
• Monitoree el acceso a todos los servidores de la computadora
en cualquier nivel de privilegio.
7. Interfaces y APIs inseguras
• Aunque la mayoría de los proveedores de la • Realizar una buena higiene de APIs, esto
nube intentan integrar la seguridad en sus incluye la supervisión diligente de artículos
modelos, los clientes de la nube también como inventario, pruebas, auditorías y
deben comprender las implicaciones de protecciones de actividades anormales.
seguridad. Un conjunto débil de interfaces y • Garantizar la protección adecuada de las
API expone a las organizaciones a varios claves API y evitar la reutilización.
problemas de seguridad relacionados con la • Considerar el uso de marcos API estándar y
confidencialidad, integridad, disponibilidad y abiertos (p. Ej., Open Cloud Computing
responsabilidad. Interface (OCCI) e Cloud Infrastructure
• Un conjunto débil de interfaces y API expone Management Interface (CIMI)).
a las organizaciones a varios problemas de
seguridad relacionados con la
confidencialidad, integridad, disponibilidad y
responsabilidad.
8. Plan de control débil
• Falta de gobernanza. Cuando los empleados no están familiarizados • La mitigación de estos riesgos comienza con el desarrollo de un
con el acceso adecuado y los controles de gobierno, los datos esfuerzo completo de visibilidad en la nube de arriba hacia
corporativos confidenciales se pueden colocar en ubicaciones de abajo. Este proceso generalmente comienza con la creación de una
acceso público frente a ubicaciones de acceso privado. solución integral que se vincula con las personas, los procesos y la
• Falta de conciencia. Cuando los datos y los servicios están en uso sin tecnología.
el conocimiento de la empresa, no pueden controlar su IP. Eso • Invierta en soluciones como agentes de seguridad de acceso a la
significa que el empleado tiene los datos, no la empresa. nube (CASB) o puerta de enlace definida por software (SDG) para
• Falta de seguridad. Cuando un empleado configura incorrectamente analizar las actividades salientes y ayudar a descubrir el uso de la
un servicio en la nube, puede volverse explotable no solo para los nube, los usuarios en riesgo y seguir el comportamiento de los
datos que residen en él, sino también para datos futuros. Malware, empleados acreditados para identificar anomalías.
botnets, malware de minería de criptomonedas y más pueden • Invierta en un firewall de aplicaciones web (WAF) para analizar todas
comprometer los contenedores en la nube, poner datos las conexiones entrantes a sus servicios en la nube en busca de
organizacionales, servicios y finanzas en riesgo tendencias sospechosas, malware, denegación de servicio distribuida
(DDoS) y riesgos de Botnet.
• Seleccione soluciones que estén específicamente diseñadas para
monitorear y controlar todas sus aplicaciones empresariales clave en
la nube (planificación de recursos empresariales, administración de
capital humano, experiencia comercial y administración de la cadena
de suministro) y garantizar que los comportamientos sospechosos
puedan mitigarse.
11. Abuso y uso nefasto de los servicios
en la nube
Impacto de negocios Puntos clave y recomendaciones
INICIANDO LA DEMO
Material de lectura
Enlaces útiles de Cloud Security Alliance (CSA)
GDPR Resource Center
https://gdpr.cloudsecurityalliance.org/
Cloud Controls Matrix (CCM)
https://cloudsecurityalliance.org/group/cloud-controls-matrix/
STARWatch
https://star.watch/en
“human ingenuity could not construct a cipher which human ingenuity could not solve.”
Thank You