Protección de Acceso a los Recursos

Índice
1. Mejores prácticas 2

2. Sistemas de almacenamiento DAS, NAS, y SAN 4

3. Controles de acceso al sistema de archivos 5

4. Gestión de almacenamiento fuera de banda y dentro de banda 6

5. Protección de las interfaces de administración 7

6. Permisos de usuario y archivo 8

7. Copia de seguridad y restauración de controles del sistema 8

8. Encriptación de Bases de Datos 9

8.1. Mejora de las opciones proporcionadas por fabricantes . . . 10

9. Eliminación de datos 11

10. Observaciones finales 11

1
1. Mejores prácticas
Cada organización debe mantener sus aplicaciones, servidores y siste-
mas de usuario final en funcionamiento para hacer uso de la información
y mantener el el más alto grado de disponibilidad e integridad de la infor-
mación.
Un modelo de protección de datos por niveles trabaja mejor; incluye
una defensa en capas, diligencia debida y gestión restringida. Implemen-
tado correctamente, la seguridad debe ser transparente. Las mejores prác-
ticas para proporcionar un entorno seguro de almacenamiento de datos
incluyen lo siguiente:

1. Realizar una auditoría y evaluación de riesgos en la infraestructura

de almacenamiento, buscando riesgos y vulnerabilidades.

2. Implementación de autenticación a través de la red de almacenamien-

to que podría coordinar la autorización, mantenimiento de contrase-
ña y encriptación.

3. Implementando fuertes controles de acceso basados en roles y asig-

nando derechos de acceso a secciones o recursos compartidos según
sea necesario.

4. Adopción y aplicación de políticas de cifrado y clasificación de datos.

Basadas en el nivel de clasificación asignado a los datos, la política
de la organización puede requerir el cifrado de los datos en reposo
durante todo el ciclo de vida de los datos. Puede también que haya
requisitos para cifrar los datos al vuelo (a través de la red).

5. Requerir características y prácticas de seguridad sólidas de los pro-

veedores de sistemas de almacenamiento y proveedores de almace-
namiento externo.

6. Recordar asegurar la red de área de almacenamiento (SAN) en el ni-

vel del switch (o estructura). Dividir la organización por zonas es una
técnica que limita el acceso a varias partes de la SAN.

2
 7. Incluir cualquier tecnología de replicación de datos o replicación de
almacenamiento en el plan de seguridad de almacenamiento en ge-
neral, donde dicho tráfico de replicación puede incluir transacciones
diarias y otras ubicaciones temporales con copias parciales o comple-
tas de datos confidenciales.
8. Evaluación e implementación de tecnologías de prevención de pérdi-
da de datos (DLP) para mantener la seguridad de los datos almace-
nados fuera de la empresa.
9. Crear una política para descartar dispositivos viejos y servicios de al-
macenamiento de datos y medios, para incluir tareas rutinarias como
la limpieza segura o la destrucción física de todos los datos almace-
nados en dispositivos y medios de almacenamiento.
10. Evaluar e implementar políticas de retención y destrucción de datos,
asegurando cumplimiento con cualquier asunto regulatorio organi-
zacional o gubernamental aplicable.
11. Aislar la red de administración de almacenamiento de la red principal
de la organización. Al no aislar la red, cada empleado potencialmente
tiene acceso a datos almacenados.
12. Establecimiento de monitoreo de bitácoras de acceso (access-log).
13. Realizar verificaciones de antecedentes de empleados y contratistas
como parte de los procedimientos de contratación de personal.
14. Establecer de controles en las instalaciones de la organización para
restringir el acceso físico a los centros de datos, bloquear gabinetes de
almacenamiento y bastidores de servidores, usar bloqueos integrados
en algunos servidores y garantizar la confiabilidad del perímetro y
los edificios y verificar que dichos controles también se apliquen para
el control las ubicaciones de almacenamiento remoto.
15. Tratar la seguridad de los copias de seguridad en un alto nivel de
importancia dentro de los sistemas de monitoreo y alarmas. Adoptar
políticas de seguimiento y manejo seguro de la gestión de medios que
incluyan requisitos de respaldo para información financiera, datos de
empleados y de propiedad intelectual.

3
2. Sistemas de almacenamiento DAS, NAS, y SAN
Existen primordialmente tres métodos para el almacenamiento de da-
tos:

Las unidades
Almacenamiento de Conexión Directa (Direct Attached Storage—DAS).
son aquellas que están conectadas directamente a la computadora.
El DAS puede ser interno, contenido dentro de la carcasa de la compu-
tadora o externo y conectado a través de una interconexión de com-
ponentes periféricos, PCI, eSATA u otro canal de bus.
Los riesgos para los dispositivos DAS son el robo físico o el acceso a
través del sistema informático que atienden.
Estos dispo-
Almacenamiento Conectado en Red (Network Attached Storage—NAS).
sitivos son servidores especializados que ejecutan sistemas operati-
vos minimizados y sistemas de archivos diseñados específicamente
para admitir entrada/salida (I/O) de otros servidores.
Los servidores que se conectan a los dispositivos NAS tienen DAS
que contiene sus sistemas operativos, aplicaciones y otros componen-
tes pero, normalmente, escriben todos los datos en el dispositivo NAS
a través de conexiones TCP/IP sobre Ethernet.
NAS es utilizado a través del protocolo para compartir archivos, co-
mo el Sistema de Archivos de Red (NFS) para sistemas UNIX y el
Bloque de Mensajes del Servidor (SMB) o el Sistema de Archivos de
Internet Común (CIFS) para sistemas Microsoft.
Al igual que con cualquier conexión Ethernet, las conexiones entre
un sistema y el servidor NAS que usa están sujetas a ser rastreados, a
espionaje y para capturar sus paquetes.
Son colecciones de
Red de Área de Almacenamiento (Storage Area Network—SAN).
discos centralizados a los que pueden acceder numerosos servidores.
El uso de SAN puede facilitar el crecimiento de la empresa, ya que la
mayoría de las opciones de SAN permiten agregar discos adicionales
al grupo a medida que aumentan las necesidades de almacenamiento
de datos, sin tener que desconectar los sistemas conectados, como se-
ría necesario si se agregaran nuevos DAS a los sistemas individuales.

4
 Las copias de seguridad de datos también pueden ser más fáciles de
controlar, ya que un único recurso de almacenamiento podría ser res-
paldado en lugar de cada sistema individual. Con la implementación
de RAID u otras implementaciones de redundancia de disco, la escri-
tura de datos en múltiples discos se puede lograr sin afectar el rendi-
miento de los servidores de aplicaciones.
Los sistemas se pueden conectar al SAN mediante varios métodos,
incluidos TCP/IP y canales de fibra. El uso de IP para conexiones
SAN permite que los servidores se conecten a través de Internet, pero
esta opción debe usarse con precaución, debido a las preocupaciones
de seguridad de la transferencia de datos a través de Internet.

3. Controles de acceso al sistema de archivos

Los sistemas de archivos proporcionan control de acceso a datos. Los
sistemas de archivos UNIX proporcionan controles basados en el propieta-
rio del usuario, el propietario del grupo y “otro”, o aquellos que no son
el usuario o un miembro del grupo que posee los datos. Los sistemas Mi-
crosoft Windows permiten especificar los propietarios de los datos y
otorgarles acceso ya sea por nombres de usuario individuales o cuentas
grupales.
Las Listas de Control de Acceso (ACL) también se pueden usar para
proporcionar excepciones de acceso a los permisos de acceso normales de
los archivos de datos. Cuando se aplican correctamente, estos controles de
acceso pueden ser efectivos para prevenir accesos no autorizados a datos
a través del uso normal. Sin embargo, el sistema de archivos confía en que
los controles de acceso al sistema operativo de la computadora hayan au-
tenticado y autorizado correctamente al usuario. Si se eluden los controles
de acceso para el sistema operativo, entonces los controles de acceso al sis-
tema de archivos pierden su efectividad.

5
4. Gestión de almacenamiento fuera de banda y
dentro de banda
Los administradores puede que tengan que controlar ubicaciones de al-
macenamiento de forma remota, es decir, desde una ubicación que no sea
una consola conectada directamente. Hay dos enfoques para tales comu-
nicaciones de control, cada uno con sus propios problemas de seguridad
particulares.
La gestión en banda (In-Band) utiliza la misma red que las transferen-
cias de datos; la gestión fuera de banda (Out-of-Band) utiliza una red se-
parada (Figura 1).

Figura 1: Gestión fuera de banda (OOB).

Con la gestión fuera de banda, se debe considerar cómo garantizar que

solo los sistemas autorizados, como el administrador, se conectan al sis-
tema de almacenamiento. Esto es especialmente necesario si el sistema de
almacenamiento no requiere conexiones autenticadas establecidas antes de
que se acepte un comando.
Sin autenticación, cualquier sistema capaz de comunicarse con el sis-
tema de almacenamiento podría emitir comandos que impactaría negati-
vamente el sistema de almacenamiento. Otro riesgo se debe a la interfaz
utilizada por las comunicaciones de gestión y los comandos que se envían

6
a través del cable sin estar encriptado.
Para los sistemas de almacenamiento gestionados por interfaces HTTP
de forma predeterminada, en su lugar, es posible usar HTTPS para mitigar
el riesgo de comandos e inicios de sesión desde la captura de paquetes de
red.
La gestión en banda también tiene preocupaciones. Los comandos en-
viados en banda normalmente se envían en texto claro. Otras amenazas de
la gestión del almacenamiento en banda incluyen:

Las interfaces de administración están sujetas a ataques de denega-

ción de servicio (DoS).

Comandos que proporcionan información sobre otros dispositivos y

controladores.

Establecer y restablecer comandos que se emiten de manera inapro-

piada.

5. Protección de las interfaces de administración

Las interfaces de administración representan una de las mayores ame-
nazas para la seguridad de los datos almacenados. Estas interfaces propor-
cionan acceso administrativo a los almacenes de datos, lo que permite a
las personas con acceso apropiado la capacidad de manipular elementos
de datos, actualizar la seguridad de la cuenta y realizar otras actividades
de limpieza. Por lo tanto, se requiere cuidado al implementar una solución
de almacenamiento para garantizar que exista una defensa bien definida
en profundidad. Si bien la autenticación de dos factores es más segura, no
siempre es práctica.
Como mínimo, cada usuario administrativo debe tener un conjunto de
credenciales y requisitos de contraseña complejos, con una frecuencia de
cambio de contraseña. Para situaciones en las que el almacenamiento de
datos se realiza a través de una fuente basada en Internet, el certificado
o la autenticación basada en token pueden proporcionar una capa adicio-
nal de seguridad de autenticación. Además, las personas responsables de
administrar la seguridad no deben ser las mismas personas responsables

7
de administrar el entorno de almacenamiento. Esta separación de funcio-
nes limita la capacidad de cualquier individuo para eludir los controles de
seguridad, sin algún tipo de conspiración entre el almacenamiento y los
administradores de seguridad.

6. Permisos de usuario y archivo

Los sistemas de archivos de red (NFS) proporcionan un servicio que
permite a un usuario en una máquina cliente acceder a recursos basados
en la red como si fueran locales para ese usuario. Este servicio se basa en el
servicio de llamada a procedimiento remoto (RPC) y, aunque es muy útil
en un entorno informático en red, NFS presenta una serie de problemas de
seguridad que deben abordarse antes de la implementación. NFS general-
mente está orientado a entornos de alto ancho de banda, como una LAN, o
redes que comparten información no sensible.
Además de la falta de cifrado, NFS permite el acceso del usuario en fun-
ción del host particular conectado al recurso compartido NFS. Esto signifi-
ca que cualquier usuario conectado a ese host puede acceder a los recursos
de la red. Restringir a los usuarios al acceso de solo lectura elimina la posi-
bilidad de usar NFS como tecnología colaborativa, porque los usuarios ya
no pueden crear o actualizar información sobre los recursos compartidos.
El Sistema de Archivos de Internet Común (CIFS), un protocolo de blo-
que de mensajes del servidor (SMB) habilitado para Internet, se basa en
ese protocolo al incluir cifrado y autenticación segura a las capacidades de
SMB para compartir recursos existentes. Desafortunadamente, desde una
perspectiva de seguridad, CIFS combina algunas de las novedades con al-
gunas de las anteriores y el resultado incluye una serie de problemas de
seguridad.

7. Copia de seguridad y restauración de controles

del sistema
Los sistemas utilizados para la copia de seguridad y restauración de
datos necesitan una consideración de seguridad adicional porque los datos

8
que contienen a menudo son críticos para la recuperación ante desastres y
la continuidad del negocio. Existen varias amenazas para la copia de se-
guridad de datos que no se enfrentan a ataques contra otros almacenes de
datos.
Si bien la mayoría de los sistemas solo tienen sus datos almacenados en
el disco (DAS, NAS o SAN), los sistemas de respaldo a menudo escriben
datos en cartuchos de cinta u otros medios extraíbles destinados específi-
camente para el almacenamiento fuera del sitio. Otra opción es hacer una
copia de seguridad electrónica de datos en un sistema remoto, ya sea en
otro de los centros de datos de la organización o con un proveedor de co-
pias de seguridad externo.
Al igual que con cualquier transmisión de datos a instalaciones remo-
tas, los datos deben protegerse durante el tránsito y en las instalaciones de
destino.

8. Encriptación de Bases de Datos

Algunas de las principales recomendaciones para el aseguramiento de
las bases de datos, sin afectar el negocio que se está tratando de proteger,
son:

1. No encripte claves externas o súper claves. Estas claves se utilizan

para indexar y el cifrarlas puede afectar negativamente la utilidad de
la base de datos. Ya que estas claves no están encriptadas, las claves
nunca deben contener información que deba protegerse, como usar
el Número de Seguro Social o la tarjeta de crédito del cliente número
como clave para vincular tablas.

2. Al igual que con cualquier uso de cifrado, los algoritmos simétricos

son más rápidos que las claves asimétricas. Sin embargo, si todos los
datos están encriptados con una sola clave, esta clave debe estar bien
protegida o de lo contrario un atacante que encuentre la clave podría,
literalmente, tener la clave para el reino del almacén de datos prima-
rio de una organización.

3. El cifrado completo de la base de datos rara vez se recomienda aun-

9
 que es una opción factible. Las mejores prácticas le enseñarán a en-
criptar todo con múltiples claves y diferentes algoritmos. Sin embar-
go, el personal técnico debe evaluar los efectos en el rendimiento.

4. Cifrar solo datos confidenciales [columnas]. Esto suele ser todo lo

que se requiere o recomendado por las reglamentaciones y, después
de todo, es lo que necesita protección.

8.1. Mejora de las opciones proporcionadas por fabricantes

Proveedores de bases de datos como como Oracle Corporation y
Microsoft tienen opciones de cifrado que son específicamente diseñado
para proteger la información en sus bases de datos. Estas opciones han
mejorado con el tiempo y se están volviendo más robustas y maduras.
A partir de Microsoft SQL Server 2005 ofrece mejoras en el cifra-
do de columnas. Y para la versión Microsoft SQL Server 2017 cuen-
ta con un esquema de seguridad por capas (Figura 2):

Figura 2: Características de seguridad en SQL Server 2017.

10
 Oracle Database 10g Release 2 mejora las opciones de cifrado
existentes en las bases de datos Oracle al introducir el Cifrado de Datos
Transparente (TDE). Al usar TDE, un administrador de base de datos pue-
de especificar que una columna necesita ser encriptada, y la base de datos
encripta automáticamente los datos durante las operaciones de inserción y
desencripta datos durante las selecciones. Esto se puede lograr “sin escribir
una sola línea de código”.

9. Eliminación de datos
Una consideración final para asegurar los datos almacenados es la eli-
minación de los medios que contienen los datos. Esencialmente, los me-
dios deben ser desinfectados para que los datos escritos originalmente no
se pueden recuperar. Un método para lograr el objetivo puede incluir los
siguientes pasos:

1. Borrar los datos

2. Escriba datos aleatorios o sin sentido en los medios

3. Borrar los datos

4. Repita hasta alcanzar el nivel deseado de desinfección.

10. Observaciones finales

La seguridad de los datos almacenados es de importancia crítica. Se
producen más violaciones contra datos en ubicaciones de almacenamiento
no seguras de lo que es comprometido durante el tránsito.
Con la seguridad de almacenamiento de datos adecuada, hay menos
riesgo para los datos de todo tipo de amenazas, internas y externas.
Usar canales seguros para escribir datos al disco y proteger los discos en
sí es cada vez más importante, como los atacantes generalmente tienen uno
de dos objetivos: hacer que los sistemas o los datos no estén disponibles,
o comprometer la confidencialidad e integridad de los datos. Al combinar

11
una comunicación de canales seguros, el cifrado de datos para datos en
reposo y protección física del almacenamiento de los dispositivos de al-
macenamiento de datos, la seguridad de la información puede estar mejor
asegurada. n

Referencias
[1] B OSWORTH , S., K ABAY, M.E. & W HYNE , E. (2014). Computer Secu-
rity Handbook. United States of America: John Wiley & Sons, Inc.

[2] M ICROSOFT. (2020). SQL Server 2017 features. Febrero 28, 2020,
Microsoft. Sitio web: https://www.microsoft.com/es-mx/
sql-server/sql-server-2017-features

12