Módulo 5 VULNERABILIDADES Y RIESGOS PRESENTES EN CLOUD COMPUTING Importancia de VDI en la nube
El Virtual Desktop Infrastructure es clave para una eficaz implementación de
la nube y nos permite:
• Un escritorio virtualizado por usuario.
• Recuperación en segundos de su escritorio. • Gran rapidez de trabajo y disponibilidad 99,999% del tiempo. • Reducción de la obsolescencia del parque de PCs. • Sustitución progresiva por Thin Clients (gran ahorro energético) • Disponible desde cualquier lugar y cualquier dispositivo con una línea 3G. Criterios de contratación de un proveedor de servicios Cloud
1. Cumplimiento de la legislación de protección de datos de carácter personal.
2. Régimen de uso de los datos. 3. Integridad y conservación. 4. Seguridad de acceso. 5. Seguridad física y lógica. 6. Cifrado de los datos. 7. Alta disponibilidad de los datos. 8. Protocolo de terminación del contrato. 9. Respuesta ante incidentes de seguridad. 10. Comunicación de la subcontratación. Seguridad y privacidad en la NUBE Seguridad física
Los proveedores de nube aseguran
el hardware de manera física (servidores, routers, cables, etc.) contra acceso no autorizado, interferencia, robo, incendios, inundaciones, etc. y se aseguran de que reservas esenciales (como electricidad) sean suficientemente robustas para minimizar las posibles interrupciones. Esto, normalmente se logra obteniendo aplicaciones de centros de datos con calidad de clase mundial. Disponibilidad
Los proveedores de servicio de
nube ayudan a asegurar que los clientes puedan confiar en el acceso a sus datos y aplicaciones, al menos en parte (fallas en cualquier punto- no solo dentro del domino del proveedor del servicio de nube- puede interrumpir la comunicación entre usuarios y aplicaciones.) Aplicación de seguridad
Los proveedores de servicio de nube se
aseguran que las aplicaciones disponibles como servicio a través de la nube sean aseguradas especificando, diseñando, implementando, probando y manteniendo aplicaciones de seguridad apropiadas. en el ambiente de producción. Como en cualquier software comercial los controles que se implementan no son necesariamente responsables de mitigar todos los riesgos que identifican y que no necesariamente identifican todos los riesgos que preocupan a los usuarios. Consecuentemente, los clientes también necesitan asegurarse ellos mismos que las aplicaciones de nube estén adecuadamente aseguradas para sus propósitos específicos, incluyendo sus obligaciones de conformidad. Privacidad
Los proveedores aseguran que todos
los datos críticos (números de tarjeta de crédito, por ejemplo) sean enmascarados o encriptados y que solo usuarios autorizados tengan acceso a la información en su totalidad. Más aun, identidades digitales y credenciales deben ser protegidas como cualquier información que el proveedor almacene o produzca a través de la actividad del usuario. Continuidad de negocio y recuperación de datos
Los proveedores de nube tienen planes de
continuidad de negocio y planes de recuperación de datos para asegurar que el servicio pueda ser mantenido en caso de desastre o emergencia y que cualquier pérdida de información pueda ser recuperada.
Estos planes pueden ser compartidos y
revisados idealmente con acuerdos de continuidad de los clientes. Ejercicios continuos de conjunto pueden ser apropiados, simulando una falla eléctrica o de internet mayor, por ejemplo. Registros y pistas de auditoría
En adición a producir registros y
pistas de auditoría, los proveedores de servicios en la nube trabajan en conjunto con sus clientes para asegurar que estos registros y pistas de auditoría estén adecuadamente protegidos, mantenidos el tiempo que el cliente lo requiera y accesibles para propósitos de investigación forense. Requerimientos de conformidad únicos
Los proveedores de nube pueden ser
objeto de requerimientos de conformidad. Utilizar un proveedor de servicios en la nube puede conducir a preocupaciones de seguridad adicionales alrededor de la jurisdicción de datos ya que el cliente o la información puede no permanecer en el mismo sistema, en el mismo centro de datos o, en determinado caso, en el mismo proveedor de servicios en la nube. CONCLUSIONES
• Cloud Computing, al ser una nueva tecnología que permite el uso de
aplicaciones y servicios en una nube, cuyo modelo dependerá de las necesidades del cliente; demanda la necesidad de, no solo proveer servicios y recursos; sino también Cloud Security. La responsabilidad de su implementación y cumplimiento recae sobre el proveedor y el usuario según el tipo de nube implementada.
• Para implementar Cloud Security se debe realizar un análisis de las
vulnerabilidades a las cuales se encuentra expuesta la nube, para tomar todas las medidas necesarias en el diseño de una nube que garantice integridad, confiabilidad y disponibilidad de sus recursos, servicios y aplicaciones. GRACIAS