Documentos de Académico
Documentos de Profesional
Documentos de Cultura
• La seguridad de la infraestructura abarca las capas más inferiores de la seguridad, desde las
instalaciones físicas hasta la configuración e implementación de los componentes de la
infraestructura por parte del cliente. Estos son los componentes fundamentales sobre los que se
construye la nube, incluyendo la seguridad de computación (carga de trabajo), redes y
almacenamiento.
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
78
ÁREAS DE ENFOQUE CRÍTICO
SEGURIDAD DE LA INFRAESTRUCTURA
• Capas de la infraestructura:
• Los recursos básicos empleados para crear una nube. Se trata de los
recursos lógicos (procesadores, memoria, etc.) redes y almacenamiento
en bruto empleados para crear los grupos de recursos de la nube. Se
incluyen, por ejemplo, la seguridad del software y hardware de red
empleados para crear el grupo de recursos de red.
• La infraestructura abstracta o virtual gestionada por un usuario de
servicios en la nube. Se trata de los activos de computación, red o
almacenamiento reservados de los grupos de recursos. Por ejemplo, la
seguridad de una red virtual, tal y como es definida y gestionada por el
usuario de servicios en la nube.
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
79
ÁREAS DE ENFOQUE CRÍTICO
SEGURIDAD DE LA INFRAESTRUCTURA
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
80
ÁREAS DE ENFOQUE CRÍTICO
SEGURIDAD DE LA INFRAESTRUCTURA
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
84
ÁREAS DE ENFOQUE CRÍTICO
SEGURIDAD DE LA INFRAESTRUCTURA
• Toda carga de trabajo en la nube se ejecuta en una pila hardware, siendo crítico para el proveedor
de servicios en la nube mantener la integridad de dicho hardware. Cada pila de hardware además
tiene diversas opciones para el aislamiento de la ejecución y el mantenimiento de la cadena de
confianza, que pueden incluir entre otros: supervisión basada en hardware, procesos de
monitorización que se ejecutan fuera de los procesadores centrales, entornos de ejecución
seguros, enclaves de cifrado y gestión de claves, etc.
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
85
ÁREAS DE ENFOQUE CRÍTICO
SEGURIDAD DE LA INFRAESTRUCTURA
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
87
ÁREAS DE ENFOQUE CRÍTICO
SEGURIDAD DE LA INFRAESTRUCTURA
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
88
ÁREAS DE ENFOQUE CRÍTICO
SEGURIDAD DE LA INFRAESTRUCTURA
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
89
ÁREAS DE ENFOQUE CRÍTICO
SEGURIDAD DE LA INFRAESTRUCTURA
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
90
ÁREAS DE ENFOQUE CRÍTICO
SEGURIDAD DE LA INFRAESTRUCTURA
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
91
ÁREAS DE ENFOQUE CRÍTICO
SEGURIDAD DE LA INFRAESTRUCTURA
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
92
ÁREAS DE ENFOQUE CRÍTICO
SEGURIDAD DE LA INFRAESTRUCTURA
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
93
ÁREAS DE ENFOQUE CRÍTICO
SEGURIDAD DE LA INFRAESTRUCTURA
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
95
ÁREAS DE ENFOQUE CRÍTICO
VIRTUALIZACIÓN Y CONTENEDORES
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
96
ÁREAS DE ENFOQUE CRÍTICO
VIRTUALIZACIÓN Y CONTENEDORES
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
97
ÁREAS DE ENFOQUE CRÍTICO
VIRTUALIZACIÓN Y CONTENEDORES
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
103
ÁREAS DE ENFOQUE CRÍTICO
VIRTUALIZACIÓN Y CONTENEDORES
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
105
ÁREAS DE ENFOQUE CRÍTICO
RESPUESTA A INCIDENTES, NOTIFICACIÓN Y REMEDIACIÓN
• SLA y gobierno: Todo incidente que involucre a un proveedor de alojamiento o una nube pública
requiere de la comprensión de los acuerdos de nivel de servicio (SLA), y de la coordinación con el
proveedor. Una nube privada personalizada en un centro de datos de terceros será muy distinta de
una aplicación SaaS que requiere el registro y la aceptación de un acuerdo de licencia.
• Es necesario probar los procedimientos con el proveedor, así como validar que los roles,
responsabilidades y escalados de incidentes son claros. El proveedor debe tener los contactos
necesarios para la notificación de los incidentes que se detecten, estando dichas notificaciones
integradas en los procesos de la organización.
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
107
ÁREAS DE ENFOQUE CRÍTICO
RESPUESTA A INCIDENTES, NOTIFICACIÓN Y REMEDIACIÓN
• Para cada servicio se debería entender y documentar qué datos y registros estarán disponibles en
caso de un incidente. No se debe asumir que se puede contactar con un proveedor después de un
incidente y recoger datos que normalmente no están disponibles.
• Herramientas de análisis forense: Herramientas necesarias para realizar una investigación de
forma remota. P.ej., herramientas para recoger registros y metadatos de la plataforma en la nube
• Diseñar el entorno en la nube para una rápida detección, investigación y respuesta (contención y
recuperación).
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
108
ÁREAS DE ENFOQUE CRÍTICO
RESPUESTA A INCIDENTES, NOTIFICACIÓN Y REMEDIACIÓN
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
109
ÁREAS DE ENFOQUE CRÍTICO
RESPUESTA A INCIDENTES, NOTIFICACIÓN Y REMEDIACIÓN
• Los registros de las plataformas de servicios en la nube pueden ser una opción, pero no están
disponibles de forma universal. Idealmente, estos registros deberían mostrar toda la actividad del
entorno de gestión. En el caso de un incidente grave, los proveedores pueden tener acceso a otros
registros que habitualmente no están disponibles para los clientes.
• Un reto para la recolección de información puede ser la visibilidad limitada de la red. Los registros
de red de un proveedor tienden a ser registros de flujos, no una captura completa de paquetes.
• Donde existan vacíos siempre es posible instrumentar la pila de tecnología con mecanismos
propios de registro. En el caso de arquitecturas sin servidores y PaaS es probable que sea
necesario añadir registros personalizados a nivel de aplicación.
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
110
ÁREAS DE ENFOQUE CRÍTICO
RESPUESTA A INCIDENTES, NOTIFICACIÓN Y REMEDIACIÓN
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
111
ÁREAS DE ENFOQUE CRÍTICO
RESPUESTA A INCIDENTES, NOTIFICACIÓN Y REMEDIACIÓN
• Aprovechar las capacidades de una plataforma en la nube para determinar el alcance potencial de
un compromiso:
• Analizar flujos de red para comprobar si el aislamiento de red fue eficaz. Usar llamadas a una
API para realizar una instantánea del estado de la red y de las reglas del cortafuegos virtual
• Examinar datos de la configuración para comprobar si otras instancias similares fueron
comprometidas en el mismo ataque.
• Revisar registros de acceso a datos y del panel de gestión para ver si el incidente ha afectado
o alcanzado a la plataforma en la nube.
• PaaS requiere una correlación adicional entre la plataforma y el registro de aplicación
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
112
ÁREAS DE ENFOQUE CRÍTICO
RESPUESTA A INCIDENTES, NOTIFICACIÓN Y REMEDIACIÓN
• No hay una necesidad inmediata de “erradicar” al atacante antes de identificar sus mecanismos de
explotación y el alcance de la brecha, ya que como la nueva infraestructura o instancia están
limpias, es posible, en su lugar, simplemente aislarlo.
• Si existe alguna duda de que el panel de administración ha sido comprometido, hay que estar
seguro de que las plantillas o configuraciones para las nuevas infraestructuras o aplicaciones no
han sido comprometidas.
• Con SaaS y algunos PaaS se puede estar más limitado y por ello depender, en mayor medida, del
proveedor de servicios en la nube
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
114
ÁREAS DE ENFOQUE CRÍTICO
RESPUESTA A INCIDENTES, NOTIFICACIÓN Y REMEDIACIÓN
• Trabajar con el equipo de respuesta interno y el proveedor para analizar qué funcionó bien y qué
no funcionó para identificar los puntos de mejora.
• Prestar especial atención a las limitaciones de los datos recogidos y averiguar cómo resolver los
problemas encontrados.
• Es complicado cambiar los SLAs, pero si los tiempos de respuesta, datos o cualquier otro apoyo
acordado fueron insuficientes, hay que intentar renegociarlos..
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
115
ÁREAS DE ENFOQUE CRÍTICO
SEGURIDAD DE APLICACIONES
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
119
ÁREAS DE ENFOQUE CRÍTICO
SEGURIDAD DE APLICACIONES
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
122
ÁREAS DE ENFOQUE CRÍTICO
SEGURIDAD DE APLICACIONES
• Operaciones seguras:
• Cuando una aplicación se implementa en producción, las actividades de
seguridad continúan.
• El plano de gestión para entornos en producción debe estar mucho más
controlada que para los entornos de desarrollo.
• Incluso cuando se utiliza una infraestructura inmutable, el entorno de producción debe ser
monitoreado activamente para detectar cambios y desviaciones de las líneas bases aprobadas.
Esto se puede automatizar con llamadas a APIs de la nube para evaluar el estado de configuración
• En algunas plataformas de la nube, es posible utilizar funciones integradas de gestión de
configuración y evaluación. También es posible deshacer automáticamente los cambios no
aprobados, dependiendo de la plataforma y la naturaleza del cambio. P.ej. revertir de manera
automática cualquier cambio en una regla de un cortafuegos que no haya sido aprobado.
• En nubes públicas, se requerirá la coordinación con el proveedor de servicios en la nube para evitar
no cumplir con los términos de servicio
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
124
ÁREAS DE ENFOQUE CRÍTICO
SEGURIDAD Y CIFRADO DE DATOS
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
130
ÁREAS DE ENFOQUE CRÍTICO
SEGURIDAD Y CIFRADO DE DATOS
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
131
ÁREAS DE ENFOQUE CRÍTICO
SEGURIDAD Y CIFRADO DE DATOS
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
132
ÁREAS DE ENFOQUE CRÍTICO
SEGURIDAD Y CIFRADO DE DATOS
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
133
ÁREAS DE ENFOQUE CRÍTICO
SEGURIDAD Y CIFRADO DE DATOS
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
136
ÁREAS DE ENFOQUE CRÍTICO
GESTIÓN DE IDENTIDADES, DERECHOS Y ACCESOS.
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
138
ÁREAS DE ENFOQUE CRÍTICO
GESTIÓN DE IDENTIDADES, DERECHOS Y ACCESOS.
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
139
ÁREAS DE ENFOQUE CRÍTICO
GESTIÓN DE IDENTIDADES, DERECHOS Y ACCESOS.
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
141
ÁREAS DE ENFOQUE CRÍTICO
GESTIÓN DE IDENTIDADES, DERECHOS Y ACCESOS.
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
142
ÁREAS DE ENFOQUE CRÍTICO
GESTIÓN DE IDENTIDADES, DERECHOS Y ACCESOS.
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
143
ÁREAS DE ENFOQUE CRÍTICO
GESTIÓN DE IDENTIDADES, DERECHOS Y ACCESOS.
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
144
ÁREAS DE ENFOQUE CRÍTICO
GESTIÓN DE IDENTIDADES, DERECHOS Y ACCESOS.
Autenticación y credenciales
• En la computación en la nube existe la necesidad de autenticación robusta
usando múltiples factores. Esto es así por dos razones:
• El amplio acceso en red implica que los servicios en la nube están
siempre accesibles a través de internet. La pérdida de credenciales
puede derivar fácilmente en una suplantación de una cuenta por un
atacante, ya que los ataques no están restringidos a la red interna.
• El mayor uso de la federación de Single Sign On implica que un conjunto
de credenciales puede comprometer un mayor número de servicios
• El factor de autenticación múltiple ofrece una de las mejores opciones para reducir la suplantación
de cuentas. Confiar solo en un factor de autenticación (contraseña) para los servicios en la nube
conlleva un riesgo muy alto.
• Cuando se usan múltiples factores con federación, el proveedor de identidades puede y debería
enviar el estado de dichos factores como un atributo a la entidad que confía en sus decisiones.
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
145
ÁREAS DE ENFOQUE CRÍTICO
GESTIÓN DE IDENTIDADES, DERECHOS Y ACCESOS.
Autenticación y credenciales
• Opciones para implementar factor de autenticación múltiple:
• Token hardware: dispositivos físicos que generan una contraseña de un
solo uso. Mejor opción cuando se necesita el máximo nivel de seguridad
• Token software: similar a los tokens hardware pero son aplicaciones
que se ejecutan en un móvil o en un ordenador. Excelente opción pero
pueden ser comprometidos si se compromete el dispositivo del usuario.
• Contraseñas fuera de banda: texto u otros mensajes enviados al
teléfono del usuario que son usados como contraseña de un solo uso.
Buena opción pero se debe considerar la intercepción del mensaje.
• Biometría: Se utilizan los lectores biométricos disponibles en teléfonos
móviles. Para los servicios en la nube, la biometría es una protección
local que no envía información biométrica al proveedor de servicios en la
nube. Por esto la seguridad y la propiedad del dispositivo local tiene que
ser considerada.
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
146
ÁREAS DE ENFOQUE CRÍTICO
GESTIÓN DE IDENTIDADES, DERECHOS Y ACCESOS.
Ejemplo: El proveedor de servicios en la nube dispone de una API para lanzar nuevas máquinas. Esa API tiene su
correspondiente autorización para permitir lanzar nuevas máquinas, con opciones adicionales de autorización para
determinar en qué red dicho usuario puede lanzar la máquina virtual. El administrador de la nube crea una asignación de
derechos que dice que los usuarios en el grupo de desarrolladores pueden lanzar máquinas virtuales solo en sus
proyectos y solo si están autenticados usando factor de autenticación múltiple. El grupo y el uso del factor de
autenticación múltiple son atributos de la identidad del usuario. Esa asignación de derechos está escrita como una
política que está cargada en el sistema del proveedor de servicios en la nube para su imposición.
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
148
ÁREAS DE ENFOQUE CRÍTICO
GESTIÓN DE IDENTIDADES, DERECHOS Y ACCESOS.
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
149
ÁREAS DE ENFOQUE CRÍTICO
SEGURIDAD COMO SERVICIO
• En la seguridad como servicio (SecaaS), los proveedores ofrecen capacidades de seguridad como
un servicio en la nube.
• Esto incluye tanto proveedores SecaaS dedicados como características empaquetadas de
seguridad de proveedores generales de servicios en la nube.
• La seguridad como servicio abarca una gama muy amplia de tecnologías, pero debe cumplir los
siguientes criterios:
• SecaaS incluye seguridad de productos o servicios entregados como un servicio en la nube.
• Para ser considerado SecaaS, los servicios deben cumplir con las características esenciales de
NIST para la computación en la nube.
Security Guidance for Critical Areas of Focus in Cloud Computing v4.0 (Spanish Translation),
Cloud Security Alliance (CSA), 2018
150
ÁREAS DE ENFOQUE CRÍTICO
SEGURIDAD COMO SERVICIO