Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Prof. Dr. Javier Areitio En el presente artículo se aborda una de las áreas tecnológicas de crecimiento e inversión más acusada y con pers-
Bertolín – E.Mail: pectivas de mercado más importantes denominada cloud computing (o simplemente nube). Posibilita el outsourcing
jareitio@eside.deusto.es de la computación y servicios sin externalizar su control y se basa en utilizar un modelo de pago por uso, con acceso
Catedrático de la Web a Internet con banda ancha. La industria del cloud computing representa un gran ecosistema con muchos mo-
Facultad de Ingeniería. delos, fabricantes y nichos de mercado. Actualmente se percibe como la necesidad más urgente del paradigma en
ESIDE. evolución cloud computing la protección desde sus dos perspectivas de su seguridad y privacidad. Los proveedores de
Director del Grupo de infraestructuras como centros de supercomputación, grandes empresas de telecomunicaciones y empresas de hosting
Investigación Redes y disponen de las tecnologías, herramientas y modelos de gestión para optimizar la asignación de sus recursos ofreciendo
Sistemas. nuevas oportunidades de negocio en los mercados emergentes del cloud computing. Ejemplos de proveedores de
Universidad de Deusto. servicios cloud computing son Google AppsEngine, Amazon Web Services (EC2-Elastic Compute Cloud, S3-Simple
Storage Service), GoGrid, FlexiScale, Microsoft Windows-Azure, etc. La protección es el tema capital que exige una
solución urgente, evitemos una explosión de incidentes como los de Amazon S3, FlexiScale, gmail, etc.
Cloud computing puede definir- samiento que se entregan vía Web (b) De un modo más simplificado,
se de muy diversas formas: desde Centros de Datos masivos. El consiste en utilizar Internet para todo
(a) Describe el empleo de servicios cloud computing se construye encima tipo de necesidades de computa-
software, almacenamiento o proce- de la virtualización. ción.
(c) Es la realización de Internet basada
en el desarrollo y uso de la tecnología
de computadores y entregada por un
ecosistema de proveedores.
(d) Es la extensión comercial de una
utilidad de computación que permite
un despliegue elástico de aplicaciones
software con alta disponibilidad a
la vez que se minimiza el nivel de
interacción con la pila tecnológica
subyacente.
(e) Un estilo de computación donde
las capacidades relacionadas con las
TIC (Tecnologías de la Información y
las Comunicaciones) se proporcio-
nan de forma masivamente escala-
ble que se facilita como un servicio
utilizando las tecnologías de Internet
dando soporte a múltiples clientes
externos.
(f) Un modelo para permitir un acceso
a red conveniente y bajo demanda a
un conjunto compartido de recursos
de computación configurables (re-
des, servidores, almacenamientos,
aplicaciones y servicios) que pueden
proporcionarse rápidamente con un
mínimo de esfuerzo de gestión o de
interacción del proveedor del servicio
(definición del NIST). Este modelo
o paradigma de nube promueve la
disponibilidad.
Actualmente la catorceava com-
pañía mayor de software por capital
de mercado Salesforce.com opera casi
enteramente en la nube, las cinco prin-
cipales compañías de software por
ingresos de ventas tienen ofertas de Los principales modelos de desplie- o más nubes (privada, comunitaria o
cloud computing y las previsiones del gue son: pública) única para las entidades pero
mercado en su conjunto se espera que (1) Nube privada. La infraestructura se limitan juntas por medio de tec-
crecerán a 160 billones de dólares para de cloud sólo opera para una orga- nología propietaria o estandarizada
el 2011 (fuente Merrill Lynch). Según nización. Puede gestionarla la propia que permite la portabilidad de datos
IDC Enterprise Panel la seguridad es organización o una tercera parte y y aplicaciones.
la principal preocupación en torno a puede existir en el local o fuera.
este nuevo paradigma. Recientemente (2) Nube comunitaria. La infraestruc- Los principales modelos de servicio
IBM ha resultado seleccionado por las tura de nube se comparte por parte son:
Fuerzas Aéreas de Estados Unidos para de varias organizaciones y soporta (1) Nube SaaS (Software as a Ser-
diseñar y desplegar una infraestructura una comunidad específica que tiene vice). La capacidad proporcionada
segura de cloud computing capaz de intereses compartidos (por ejemplo al consumidor consiste en utilizar
dar soporte a las redes de inteligencia misión, requisitos de seguridad, polí- las aplicaciones del proveedor que
y defensa. Uno de los proyectos espa- tica y consideraciones de cumplimien- se ejecutan en la infraestructura de
ñoles sobre cloud computing es NUBA to). La pueden gestionar las organi- nube y son accesibles desde diversos
(Normalized Usage of Business-orien- zaciones o una tercera parte y puede dispositivos cliente (PCs-notebooks,
ted Architectures) cuyo coordinador existir en el local o fuera. teléfonos móviles, iPhones, etc.) uti-
es TID (Telefónica I+D), cuenta entre (3) Nube pública. La infraestructura lizando una interfaz cliente ligero
otros con socios como Atos Origin, de nube se hace disponible al público como un navegador Web (por ejem-
Centros de supercomputación de Bar- en general o a un gran grupo indus- plo correo electrónico basado Web o
celona y Galicia, la UCM, etc. En el trial y es propiedad de una organiza- webmail). El consumidor no gestiona,
OpenCloud Manifesto de 2009 algu- ción que vende los servicios de cloud ni controla la infraestructura de nube
nos de los principales proveedores de computing. subyacente, red, servidores, sistemas
cloud computing indican que debería (4) Nube híbrida. La infraestructura operativos, almacenamiento, capaci-
existir cooperación entre proveedores, de nube es una composición de dos dades de cada aplicación individual
libertad de elección para los clientes,
flexibilidad en su uso, utilización de es-
tándares necesarios, rapidez y agilidad
con posibilidad de introducir mejoras
que los clientes precisen y coordinación
de esfuerzos entre proveedores.
Modelos en Cloud
Computing. Beneficios
e inconvenientes.
(3) Infraestructura de procesamien- las instancias de sistemas operativos, Entre las principales cuestiones de
to cloud. Las ventajas principales que cifrado de acceso a las aplicaciones, privacidad del cloud computing:
puede aportar son la capacidad para cifrado de los datos de las aplicaciones (1) Desde la perspectiva de los indi-
proteger masters y sacar imágenes en reposo-almacenamiento y tránsito. viduos que se conectan a la nube:
seguras. Como principales desafíos (l) Seguridad de la nube pública en maximizar el control de usuario in-
identificados, el multi-arrendamiento contraposición con la seguridad de la dividual, crear servicios anónimos
de aplicaciones, la dependencia en los nube interna-privada. para usuarios individuales, crear me-
hipervisores y el aislamiento de proce- (m) Carencia de control de versión SaaS canismos para el uso de identidades
sos y los mecanismos de sandbox para pública. múltiples y limitar la información de
aplicaciones. (n) Problemas con el movimiento de identidad y autenticación para tran-
(4) Servicios de soporte cloud. Las ven- PII (Personal Identificable Information) sacciones de alto nivel.
tajas principales que puede aportar y datos sensibles a la nube (valoración (2) Desde la perspectiva de los pro-
son los controles de seguridad bajo del impacto de la privacidad). veedores de cloud computing: ano-
demanda, por ejemplo la autentica- (o) Utilizar SLAs para obtener seguridad nimato de la información personal,
ción, el logging, los firewalls, etc. Como de nube (requisitos sugeridos para SLAs cifrar datos si contienen información
principales desafíos identificados, el de nube, cuestiones relacionadas con personal, compartimentar-aislar el
riesgo adicional cuando se integra con análisis forense en cloud). procesamiento y almacenamiento de
aplicaciones del cliente, las necesidades (p) Planificación de contingencias y datos, controlar los identificadores
de certificación y acreditación como recuperación de desastres para imple- únicos, gestionar explícitamente los
aplicación separada y las actualizacio- mentaciones de nube. requisitos de seguridad y privacidad
nes de código. (q) Gestión de cumplimientos como entre los proveedores de servicios
(5) Seguridad perimétrica y de red clo- SOX, PCI-DSS, HIPAA, FISMA, etc. cloud computing.
ud. Las ventajas principales que puede (r) Auditorias por ejemplo del tipo SAS (3) Desde una perspectiva global:
aportar son la protección contra la 70. proporcionar un aviso adecuado so-
denegación de servicios distribuida o
DDoS, las capacidades VLAN, la se-
guridad perimétrica como IAM/IDS/
IPS, firewall, autenticación, etc. Como
principales desafíos identificados, las
zonas virtuales con movilidad de apli-
caciones.
Este artículo se bre la privacidad, soportar el desarrollo Bibliografia - OpenCloud Manifesto: http://www.openclo-
enmarca en las ac- de PET (Privacy Enhacing Technologies), udmanifesto.org/.
tividades desarrolla- utilizar la valoración del impacto de la - Areitio, J. “Seguridad de la Información: Redes, - Reese, G. “Cloud Application Architectures:
das dentro del pro- privacidad y coordinar la aplicación de Informática y SI”. Cengage Learning-Paraninfo. Building Applications and Infrastructure in the
yecto LEFIS-APTICE la privacidad y el cumplimiento a través 2009. Cloud”. O’Reilly Media. 2009.
(financiado por de diferentes áreas jurisdiccionales (por - Areitio, J. “Análisis en torno a los esquemas de - Linthicum, D.S. “Cloud Computing and SOA
Socrates. European ejemplo, cuando se pasa de un país eu- compromiso digital y su aplicación en seguridad Convergence in Your Enterprise: A Step-by-Step
Commission). ropeo a un paraíso fiscal). Si los clientes de red”. REE. Nº 644/645. Julio-Agosto 2008. Guide”. Addison-Wesley Professional. 2009.
emprenden procesos del tipo test de pe- - Areitio, J. “Análisis en torno a la auditoria de - Amazon Web Services: http://www.developer.
netración no suele ser una buena opción seguridad en tecnologías de la información y amazonwebservices.com/, http://aws.amazon.
en entornos outsourcing como cloud las comunicaciones”. REE. Nº 625. Diciembre com/ec2/.
computing ya que el proveedor de la 2006. - Chakrabarti, A. “Grid Computing Security”.
nube no puede distinguir nuestros test - Areitio, J. “Test de penetración y gestión de Springer. 2007.
con un ataque real y además nuestros vulnerabilidades, estrategias clave para evaluar la - Cloud Security Alliance (CSA): http://www.
test de penetración pueden potencial- seguridad de red”. REE. Nº 653. Abril 2009. cloudsecurityalliance.org/.
mente impactar negativamente en otros - Areitio, J. “Tipificación de amenazas, identi- - Hoopes, J. “Virtualization for Security: Inclu-
usuarios de forma inaceptable. ficación de contramedidas de seguridad en el ding Sandboxing, Disaster Recovery, High Avai-
ámbito de gestión de redes y sistemas”. REE. Nº lability, Forensic Analysis and Honeypotting”.
Consideraciones finales 613. Dic. 2005. Syngress. 2008.
- Areitio, J. “Identificación de la tecnología firewa- - Rittinghouse, J. and Ransome, J. “Cloud Com-
Nuestro grupo de investigación ll para la protección de la seguridad de red”. REE. puting: Implementation, Management and
lleva trabajado casi diez y seis años en Nº 638. Enero 2008. Security”. CRC Press. 2009.
el área de la seguridad y privacidad - Buffington, J. “Data Protection for Virtual Data - Krutz, R.L. and Vines, R.D. “Cloud Security: A
en cloud computing. Del análisis de la Centers”. Sybex. 2010. Comprehensive Guide to Secure Cloud Com-
seguridad de la nube se han detectado - Mather, T., Kumaraswamy, S. and Latif, S. “Cloud puting”. Wiley. 2010.
cuestiones clave como confiabilidad, Security and Privacy: An Enterprise Perspective on - Fingar, P. “Dot Cloud: The 21st Century Bu-
multi-arrendamiento, cifrado no con- Risks and Compliance”. O’Reilly Media. 2009. siness Platform Built on Cloud Computing”.
vencional, problemas de cumplimiento, - Marchini, R. “Cloud Computing: A Practical Meghan-Kiffer Press. 2009.
IAM, cuestiones de integridad de datos, Introduction to the Legal Issues”. BSI Standards. - Norman, T.L. “Risk Analysis and Security Coun-
códigos y procesamientos. 2010. termeasure Selection”. CRC Press. 2010.