CLOUD COMPUTING

Ing. Carlos Balcázar

PARTE I

Diferencias entre Cloud Storage y

Cloud Computing
Almacenamiento en la nube (Cloud Storage)
Cuando la persona promedio piensa por primera vez en el
almacenamiento en la nube, es probable que piense en almacenar
archivos (por ejemplo, canciones, videos y aplicaciones) en un
servidor remoto para recuperarlos desde múltiples dispositivos
cada vez que los necesite. ¡Esto es correcto! El almacenamiento
en la nube es esencialmente un sistema que le permite almacenar
datos en Internet, como lo guardaría en una computadora. Si estás
hablando de Google Drive, DropBox o iCloud, la definición de
almacenamiento en la nube sigue siendo la misma. Le permite
cargar datos a través de Internet a servidores basados ​en la nube.
Una vez que haya almacenado sus datos en la nube, usted o
cualquier otra persona a la que le dé acceso, pueden seguir
adelante y acceder a ella desde múltiples dispositivos utilizando
Internet como medio.
Las empresas utilizan el almacenamiento en la nube para almacenar
documentos y compartirlos con otros. Ayuda a conservar sus
documentos y archivos importantes y, al mismo tiempo, le brinda
una mejor oportunidad de colaborar en un proyecto con otras
personas mediante el intercambio de datos. Personalmente, puede
usarlo para almacenar archivos multimedia y correos electrónicos.
Te da espacio de almacenamiento de datos casi ilimitado. Además,
es más barato y más seguro que los medios de almacenamiento
tradicionales. ¡No es de extrañar que el almacenamiento en la nube
esté reemplazando rápidamente a los sistemas de almacenamiento
físico!.
Computación en la nube
Utiliza el almacenamiento en la nube para guardar y guardar datos.
La computación en la nube, por otro lado, se utiliza para trabajar y
completar proyectos específicos. La computación en la nube está
vinculada con el almacenamiento en la nube, ya que tiene que
mover los datos a la nube (almacenamiento en la nube) antes de
poder utilizar los sistemas de computación en la nube. Sin
embargo, una vez que los datos se transfieren a la nube, usted u
otra persona pueden procesarlos en material útil y enviárselos. Un
ejemplo de Cloud Computing es el software como servicio (SaaS),
donde ingresa datos en el software y los datos se transforman de
forma remota a través de una interfaz de software sin que su
computadora esté involucrada.
La computación en nube está ganando terreno en el mundo digital y
empresarial. Esto se debe a sus numerosos beneficios. Asegura una
mejor colaboración, transparencia, eficiencia e innovación en sus
soluciones. También reduce las barreras a la comunicación y le
brinda acceso a una audiencia más amplia, incluidos clientes y
contratistas.
La computación en la nube requiere una mayor capacidad de
procesamiento que el almacenamiento en la nube. El
almacenamiento en la nube, por otro lado, necesita más espacio de
almacenamiento.
La computación en la nube está dirigida esencialmente a las
empresas. El almacenamiento en la nube, por otro lado, se utiliza
tanto por razones profesionales como personales.
El almacenamiento en la nube es simplemente un medio de
almacenamiento y uso compartido de datos, mientras que la
computación en la nube le brinda la capacidad de trabajar y
transformar datos de forma remota (por ejemplo, codificar una
aplicación de forma remota).
Estas son las diferencias esenciales entre el almacenamiento en la
nube y los sistemas de computación en la nube. En la medida en
que están interconectados, son conceptos diferentes y no deben
confundirse.
¿Qué es Cloud Computing (La nube).

El cloud computing consiste en la posibilidad de ofrecer servicios a

través de Internet.
La computación en la nube es una tecnología nueva que busca tener
todos nuestros archivos e información en Internet, sin preocuparse
por poseer la capacidad suficiente para almacenar información en
nuestro ordenador.
¿Cómo funciona?

Toda la información, procesos, datos, etc., se localizan dentro de la

red de internet, como en una nube, así todo el mundo puede acceder
a la información completa, sin poseer una gran infraestructura.
Ventajas del Cloud Computing
• Bajo costo. Productos gratuitos o pagos mensuales fijos por
utilización, sin costos adicionales, dado que no hay que invertir en
gran infraestructura, ni en licencias.
• Seguridad, “Los datos siempre están seguros”
• No hay necesidad de poseer una gran capacidad de almacenamiento.
• Información a tiempo real.
• Acceso a toda la información.
• Acceso cuando quieras y donde quieras, sólo con una conexión a
Internet.
Conceptos asociados a la Nube
Conclusión

Si pensamos en un usuario home, su único interés es que todo

funcione correctamente, no se da cuenta que tiene una infraestructura
totalmente a su disposición de manera redundante.
En el caso una empresa, a esta siempre le importará tener a su
disposición los recursos informáticos para que esta pueda producir
pero, la gran cantidad de información que estas procesan nos
generan la necesidad de evaluar las distintas opciones que se tienen
en el mercado, en el caso de Uds. Es muy importante que conozcan
el como se implementa esta tecnología.
 PARTE II
• Definiciones.
• Migrando al Modelo Cloud: Aspectos a
tener en cuenta.
• Modelos de Referencia. Aspectos de
Seguridad y Privacidad.
• Principales Riesgos del Modelo Cloud.
• Tendencias en Servicios de
Seguridad.
• Conclusiones Finales. 2
 CLOUD COMPUTING
Conceptos
Es un modelo que permite el acceso desde
cualquier lugar y en cualquier momento, a un
grupo compartido de recursos informáticos
configurables (por ejemplo, redes, servidores,
almacenamiento, aplicaciones), aprovisionados
y distribuidos con un mínimo esfuerzo de
gestión o interacción del proveedor de
servicios.
 CLOUD COMPUTING
Conceptos

 Acceso Ubicuo a los Datos

 Menor Costo
 Escalabilidad y
Flexibilidad
 Deslocalización
 Dependencia de terceros

Ubicuo: Se podría decir que la tecnología se vuelve ubicua cuando está en todas partes.
Por ejemplo, hoy casi todo el mundo tiene un teléfono móvil. En otras palabras,4 es
imprescindible ya que todo el mundo la tiene.
 CLOUD COMPUTING
Características
 Cloud Computing cambia
el paradigma actual de la Costo
Flexible
computación tradicional.
Conectividad
 Favorece la innovación y del Escalabilidad
Ecosistema
el desarrollo de nuevos
HABILITADORES
productos y servicios. DEL NEGOCIO
CLOUD
 Ofrece mayor
Varíade
Adaptación
escalabilidad y acuerdoal
alMercado
contexto
flexibilidad que el modelo
Ocultala
tradicional. Complejidad
5

¡No existe un modelo único para todos!

 CLOUD COMPUTING
Contexto Actual
Aumento en el uso de servicios
Cloud por todo tipo de
compañías.

Poca o nula Privacidad de

participación del Datos y
área de SI en los Seguridad:
proyectos de Dependencia de
migración a Terceros.
Cloud
6
 QUIERO MIGRAR A CLOUD…
¿Qué aspectos debo tener en cuenta?

1 2 3 4
Alineación de
los beneficios Comprensión
de Cloud Disponibilidad
Consideraciones de los riesgos
Computing y Madurez de
reglamentarias, para el
con la los productos,
legales y de negocio y
estrategia de servicios y
cumplimiento. riesgos
la proveedores.
tecnológicos.
organización.
7
 QUIERO MIGRAR A CLOUD…
¿Qué aspectos debo tener en cuenta?

Analizar las ventajas y desventajas,

Definir una Estrategia establecer los objetivos del negocio,
definir los modelos y el proveedor

Las personas deben comprender y

Establecer una Nueva alinearse al cambio de paradigma.
Cultura en las Desarrollar una cultura de gestión
Personas y los Procesos de los procesos.

Identificar las tecnologías que

Integrar las Tecnologías permanecerán vigentes y la estrategia
de integración.

Entender el modelo, gestionar las

Gestionar los Riesgos y el operaciones, los servicios y la
Cumplimiento seguridad. Establecer
esquemas control adecuados.
 MIGRANDO A CLOUD
Gestionando Los Riesgos

 Los tres pilares:

Disponibilidad,
Integridad,
Confidencialidad.
 Identificar los
activos,
funcionalidades y
procesos.
 Identificar el valor para
la organización. 9
CLOUD COMPUTING
Modelo De Referencia (NIST)
• El modelo de arquitectura empresarial NIST ( modelo EA de NIST )
es un modelo de referencia de finales de la década de 1980 para la
arquitectura empresarial . Define una arquitectura empresarial
mediante la interrelación entre los entornos de negocio, información y
tecnología de una empresa.
 MODELO DE REFERENCIA
MODELOS DE SERVICIOS
Infraestructura como
servicio (IaaS)
Acceso a almacenamiento y
capacidad de cómputo.
Permite “alquilar”
infraestructura de IT de un
proveedor de servicios en la
nube.
Plataforma como servicio
(PaaS)
Ofrece a los desarrolladores
herramientas para crear y
hospedar aplicaciones web.
Está diseñado para dar
acceso a los usuarios a los
componentes que necesitan
para desarrollar y utilizar con
rapidez aplicaciones web o
móviles, sin preocuparse por
configurar y administrar la
infraestructura.
Software como servicio
(SaaS):
Método de entrega de
aplicaciones de software,
donde los proveedores de
servicios en la nube hospedan
y administran de forma
integral las aplicaciones.
Facilita tener la misma
aplicación en todos sus
dispositivos a la vez porque
toda la inteligencia y datos de
aplicación están alojados en
la nube.
11
 MODELOS DE SERVICIOS
Gestión de la Seguridad

 Seguridad perimetral
 Seguridad en la
transmisión y  APIs inseguras
almacenamiento  Parches no
 Copias de respaldo actualizados
 Ausencia de
controles

 Separación de
ambientes
 Seguridad en la
transmisión y
almacenamiento
 Controles de 12

acceso
 MODELOS DE SERVICIOS
¿Quién es el responsable?

Infraestructura como Plataforma como servicio Software como servicio

servicio (IaaS) (PaaS) (SaaS):
Data Data Data
Application Application Application
Runtime Runtime Runtime
Middleware Middleware Middleware
O/S O/S O/S
Virtualization Virtualization Virtualization
Servers Servers Servers
Storage Storage Storage
Networking Networking Networking

13
Responsabilidad del Responsabilidad del
Cliente Proveedor
 MODELO DE REFERENCIA
Modelos De Despliegue

Nubes Públicas Nubes Privadas Nubes Comunitarias

Nubes Híbridas
Combinación de
servicios Cloud
Públicos y
Privados.

Recursos compartidos Recursos asignados a Varias Administración

entre usuarios de una sola organización. organizaciones más compleja.
diferentes comparten una
organizaciones. Soluciones de seguridad misma nube. Ofrece ventajas
avanzadas. en cuanto a
Menos margen para la costos.
personalización. Las organizaciones
administran sus Permiten
Gestionado por el recursos. gestionar parte de
Proveedor. la seguridad.
 ASPECTOS DE SEGURIDAD Y PRIVACIDAD
Modelo Tradicional Vs. Cloud

Modelo Tradicional  Controles Lógicos y Físicos.

 La Seguridad es Gestionada
por la organización.
 Los datos se encuentran
resguardados en la
organización.

 Controles Lógicos.
 La Seguridad es Gestionada por
el
proveedor de Servicios.
 Responsabilidad compartida: 15
90/10
 Los datos se encuentran en
servidores remotos. Modelo Cloud
 ASPECTOS DE SEGURIDAD Y PRIVACIDAD
Amenazas Principales (Entorno Más )Complejo
Amenazas Principales:
- Acceso no autorizado a los sistemas y/o información.
- Divulgación, pérdida o robo de información.
- Suplantación de Identidad.
- Denegación de Servicios.
- Ataques de Malware.

¿Cómo podemos evitarlas?

- Análisis de Riesgos.
- Gobierno: Marco Normativo y Controles.
- Asumiendo la responsabilidad sobre la seguridad.
 PRINCIPALES RIESGOS
En El Contexto De La Ciberseguridad

Modelo
Cliente/Proveedor.
Empresas y
consumidores usando la
nube con o sin controles
de seguridad.
Dependencia de Terceros.
Las organizaciones dependen
de controles realizados por los
proveedores.
Riesgo concentrado.
Los proveedores de la
nube son el principal
objetivo porque "Ahí es
donde están los datos“.

Análisis GAP de
Nueva Superficie de ataque.
Controles.
El perímetro físico de seguridad
Los controles de
es reemplazado por un modelo
seguridad del modelo
híbrido. El entorno tecnológico
tradicional deben 17
es más complejo.
extenderse a la nube.
 PRINCIPALES RIESGOS
El Proveedor Gestiona La Seguridad

GESTIÓN ≠ RESPONSABILIDAD

La responsabilidad sobre la seguridad de

la información corresponde a la
organización.

18
 PRINCIPALES RIESGOS
El Proveedor Gestiona La Seguridad

19

Customer = cliente; access management = gestión de acceso; Aws = amazon web service
 PRINCIPALES RIESGOS
El Proveedor Gestiona La Seguridad

Los proveedores deben hacer su parte:

 CSA o Acuerdos de Nivel de Servicio.
 Detección deAmenazas.
 Respuesta ante Incidentes.
 Políticas de Privacidad y Seguridad.

20
CSA significa Cumplimiento, Seguridad, Responsabilidad (Compliance,
Safety, Accountability por sus siglas en inglés).
 TENDENCIAS DE SEGURIDAD EN LA NUBE
La industria del software está evolucionando para abordar los
riesgos de ciberseguridad en la nube.
Nuevas Prestaciones
A medida que las empresas maduran,

Agentes de Seguridad también emergen nuevas prestaciones de

Gestión de identidad
como servicio– IDaaS
Nuevo servicio que permite
gestionar credenciales de
varias aplicaciones, en un
mismo lugar (SSO)
para el Acceso a la servicios de CABS. Los CASB operan
Nube (CASB). como intermediarios entre las aplicaciones
La Protección de datos y de la nube y los usuarios, con el objetivo de
Gobernanza están proveer visibilidad y seguridad.
madurando rápidamente
en un nuevo conjunto de
prestaciones .
Virtualization SIEM
Governance
WorkFlow Analytics

Cloud Access Security Broker (CASB)

21
CASB
Herramientas y Servicios que residen entre la empresa y el proveedor

• Mayor visibilidad • Información sobre el

• Mas Prestaciones de uso de los datos.
Servicios de • Administración
Seguridad centralizada de
• Reportes y políticas de protección
Estadísticas de datos.
(Dashboard) • Encriptación,
• Define e implementa Tokenización, DLP,
políticas y estándares. etc.

• Monitoreo de Eventos de • Paneles de Control y Reportes .

Seguridad. • Inteligencia para detectar
• Identificación y Remediación de amenazas hacia el proveedor o 22
Vulnerabilidades. los servicios.
 CASB
¿El Futuro De La Seguridad En La Nube?
• Buscan Proteger la infraestructura contra ataques orientados a la información y los
usuarios
• Operan como intermediarios entre las aplicaciones de la nube y los usuarios
• Proveen protección en distintas fases.
• Garantiza una interfaz unificada de análisis de eventos.

23
para poco más de seis de cada 10 encuestados, el
objetivo principal de un CASB es evitar la divulgación
de datos confidenciales

para evitar la divulgación de datos no

deseados

para descubrir aplicaciones en la nube no autorizadas

para detectar amenazas avanzadas

para controlar de forma granular el acceso a las

aplicaciones en la nube

para mantener el cumplimiento normativo

 CUMPLIMIENTO
Estándares y Buenas Prácticas en Cloud

Existen varios marcos normativos y buenas

prácticas de seguridad en Cloud. Las más
reconocidas son:

- CSA Cloud Controls Matrix

(CMM) https://cloudsecurityalliance.org/

- CSA STAR CERTIFICACIÓN

- ISO/IEC 27017

- Obj. de Control de ISACA

24
SOLUCIONES DE SI ( Tendencias )
Cloud Security Landscape ( Panorama de Seguridad en la Nube )

25
 Ventajas y desventajas del Cloud Computing

Entre las ventajas de la Clound Computing se pueden mencionar:

•Acceso a la información y los servicios desde cualquier lugar.
•Servicios gratuitos y de pago según las necesidades del usuario.
•Empresas con facilidad de escalabilidad
•Capacidad de procesamiento y almacenamiento sin instalar
máquinas localmente.
Entre las desventajas podemos mencionar:
•Acceso de toda la información a terceras empresas.
•Dependencia de los servicios en línea.
 CONCLUSIONES
Aspectos A Considerar En Cloud

TOP TEN

1. Desafíos de seguridad en cada modelo de servicio y despliegue.

2. Gobierno, Riesgo y Cumplimiento.
3. Monitoreo y Auditorías de Seguridad.
4. Gestión de recursos humanos, roles e identidades (IdAM).
5. Seguridad en las aplicaciones .
6. Seguridad en las redes e interconexiones.
7. Cumplimiento de los estándares de seguridad por parte de los
proveedores (certificaciones).
8. Gestión de los CSA (Cloud Service Agreement).
9. Gestión de incidentes de seguridad.
10. Contingencia y Copias de Respaldo. 26