CLOUD COMPUTING

Alumno: Wilbert Marroquin Olivera

 Security and Privacy Challenges in Cloud Computing Environments
Retos de seguridad y privacidad en entornos de computacin
en la nube

IEEE Security and Privacy

SJR: 1.2
Autor:
o Hassan Takabi y James B.D. Joshi University of
Pittsburgh
o Gail-Joon Ahn Arizona State Universit
 Security and Privacy in Cloud Computing

BENEFICIOS PROBLEMAS
Consolidacin
de recursos
Proveedor Administracin
Uniforme
Operacin
Seguridad
rentable CLOUD Privacidad
COMPUTING
Capacidad bajo
demanda.
usuario Bajo costo de
propiedad
Precios flexibles
 DEFINICION Y CARACTERISTICAS
Cloud Computing promueve la disponibilidad y se compone de:

Autoservicio bajo demanda

Acceso a la red
5 caractersticas: Agrupacin de Recursos independientes de la ubicacin
Elasticidad
Servicio Medido

3 modelos de entrega : Saas , PaaS, Iaas

4 modelos de implementacin : Nubes Pblicas y Nubes privadas e hbridas.
 SEGURIDAD Y PRIVACIDAD EN CLOUD
COMPUTING
Outsourcing de datos y aplicaciones
Se requieres de medios tcnicos y no tcnicos para evitar
el uso de datos de los clientes por parte del los
proveedores.
Extensibilidad y responsabilidades compartidas
Los proveedores y clientes de la nube deben compartir la
responsabilidad de la seguridad y la privacidad en los entornos
de computacin en nube, pero los niveles de uso compartido
sern diferentes para los diferentes modelos de entrega, lo que a
su vez afectar la extensibilidad de la nube.
Multi-tenancy; permite a los proveedores de la nube administrar
la utilizacin de los recursos de manera ms eficiente mediante
la particin de una infraestructura virtualizada y compartida entre
varios clientes.
 ACUERDOS DE NIVELES DE SERVICIO
Un SLA es parte de un contrato de servicio entre el
consumidor y el proveedor que define formalmente el nivel
de servicio. Son necesarios para el control del uso de los
recursos informticos.
VIRTUALIZACION E HIPERVIORES

La virtualizacin es una tecnologa habilitadora importante

que ayuda a que la infraestructura y los recursos
abstractos estn disponibles para los clientes como
mquinas virtuales aisladas. Un hipervisor o monitor de
VM es una pieza de software de virtualizacin de
plataforma que permite que varios sistemas operativos se
ejecuten simultneamente en una computadora host
 HETEROGENIEDAD
Por ejemplo, un cliente puede suscribirse a un IaaS de un proveedor, acoplarlo
con un PaaS de otro proveedor de la nube y adquirir varios fragmentos de
SaaS de un tercer proveedor de la nube. Las suposiciones que cada uno de
estos proveedores de servicios en la nube hacen que al construir los servicios
pueden afectar severamente las propiedades emergentes de confianza y
seguridad.

CUMPLIMIENTO Y REGULACIONES
Como mencionamos anteriormente, asegurar que los proveedores y
clientes de la nube cumplan con los SLA establecidos y los requisitos
normativos existentes, como SarbanesOxley y HIPAA, es un tema
clave
RETOS DE SEGURIDAD Y PRIVACIDAD
Autenticacin y gestin de identidad.
Control de accesos y contabilidad (basado en roles el +)
Gestin de confianza e integracin de polticas.
Gestin de confianza e integracin de polticas
Gestion de servicios seguros
Privacidad y proteccin de datos.
 Cloud Computing and EU Data Privacy Regulations
Cloud Computing y regulaciones de privacidad de datos en E.U.

Computer
SJR: 2.25
Autor:
Nir Kshetri University of North Carolina at Greensboro
San Murugesan BRITE Professional Services, Australia
 REGLAMENTO DE PRIVACIDAD DE DATOS
DE o LA UE
Una caracterstica clave de la Directiva es que restringe la transferencia de datos personales de
ciudadanos de la UE a jurisdicciones que carecen de proteccin adecuada. La Directiva tambin
pretende garantizar normas uniformes de proteccin de datos para los miembros de la UE. No
obstante, como revel una encuesta Gallup 2003 de compaas europeas, existe una
heterogeneidad sustancial entre los estados miembros de la UE en la implementacin e
interpretacin de las regulaciones de privacidad de datos. Por ejemplo, las penas mximas por el
mal uso de la informacin personal varan considerablemente. En Espaa, la multa es de
600,000; en Francia, es 150,000 por una primera ofensa ms cinco aos en prisin; y en
Alemania, es 250,000
FORTALEZAS/BENEFICIOS DEBILIDADES

Marco basado en principios = modelo de buenas practicas
Armoniza la norma de proteccin de datos en cierta medida
Permite a la los miembros de la UE variar los requisitos para
adaptarse a circunstancias.
Enfoque tecnolgicamente neutral
Una de las principales debilidades de la Directiva es que no vincula claramente el
concepto de datos personales con los riesgos reales de privacidad.
Las reglas anticuadas y los engorrosos procedimientos del modelo de la UE
obstaculizan la transferencia de datos a otros pases para su almacenamiento y
procesamiento.
Carece de medidas coherentes y efectivas para proporcionar transparencia en el
procesamiento de datos.
Otro inconveniente es la rendicin de cuentas y el cumplimiento incoherentes
entre las autoridades de proteccin de datos de los Estados miembros.
Enfoque excesivamente simplista y esttico de la Directiva para definir entidades
involucradas en el procesamiento y la gestin de datos.
 LA NUEVA ESTRATEGIA DE LA NUBE DE LA UE
Tres reas clave de la nueva estrategia.
1. European Cloud Partnership, que rene a las autoridades pblicas y los
organismos de la industria para desarrollar un marco regulador comn
2. Estndares y certificacin de computacin en la nube, cuyo principal
componente es introducir esquemas de certificacin Pan-europeos.
3. Trminos contractuales modelo para la computacin en la nube que
abordan cuestiones tales como la preservacin de datos despus de la
terminacin del contrato, divulgacin e integridad, propiedad, ubicacin,
transferencia y portabilidad entre proveedores de datos, y subcontratacin
Se espera que la Agencia Europea de Seguridad de las Redes y la Informacin (ENISA),
un centro de expertos en redes y seguridad de la informacin para la UE, facilite los
esquemas de certificacin voluntaria en la nube. La UE considera que la computacin en
la nube es un habilitador de la competitividad nacional y regional. Segn un comunicado
de prensa de la UE, la implementacin de todos los elementos clave en la nueva
estrategia de la nube generara una ganancia neta anual de 160 mil millones de euros
para el PIB de la UE para 2020. Adems, las presiones e ideas generadas por diversos
interesados estn moldeando la formulacin y implementacin de la poltica de nube de
la UE.
 ENFOQUES DE LA UE FRENTE A LA PRIVACIDAD DE LOS DATOS

1. La UE ha establecido un nivel bsico de derechos de privacidad de datos.

2. Estados Unidos, por otro lado, sigue un enfoque de autorregulacin y cuenta
con regulaciones sectoriales especficas para el manejo de datos confidenciales

Ley Sarbanes-Oxley de 2002, las empresas pblicas deben tener controles para
garantizar que los datos sean precisos y estn protegidos contra cambios no
autorizados.
Ley de Portabilidad y Responsabilidad del Seguro Mdico de Salud y Servicios
Humanos de 1996 exige que los proveedores de atencin mdica implementen
medidas para proteger la privacidad, la integridad y la disponibilidad de los datos
de los pacientes.
(Ley Patriot) Existe una percepcin muy arraigada entre algunos consumidores y
activistas basados en la UE de que los proveedores de servicios en la nube de
los EE. UU. deben divulgar los datos almacenados en nubes a su gobierno sin el
consentimiento o conocimiento del propietario de la informacin. Irnicamente, la
veracidad de tales afirmaciones es menos relevante que el miedo en s mismo, lo
que puede daar la reputacin de los proveedores de servicios de nube de los
 MPACTO EN LOS PROVEEDORES Y USUARIOS DE LA NUBE DE LA UE Y DE
NONEU

La estrategia de computacin en la nube propuesta por la Comisin Europea abordara directamente las percepciones de
riesgo de los usuarios de la nube. Sus iniciativas de estandarizacin y certificacin facilitaran la sealizacin y verificacin
del cumplimiento. Adems, la Comisin respalda el desarrollo de normas de ciberseguridad y ayudar a los sistemas de
certificacin voluntaria a escala de la UE en el mbito de la computacin en la nube, teniendo en cuenta la necesidad de
garantizar la proteccin de datos. Adems, el posible aumento en los servicios en la nube compatibles debido a las nuevas
regulaciones aumentar la competencia y podra disminuir el costo de los servicios en la nube para los usuarios de la UE.
La nueva estrategia en la nube tambin aborda la fragmentacin del mercado inherente a las mltiples
jurisdicciones de los pases de la UE, lo que podra conducir al crecimiento de las empresas locales en la nube.
Otro mecanismo que contribuye al desarrollo de los proveedores locales de la nube es la mayor demanda de sus
servicios, ya que abordan las cuestiones de privacidad, seguridad y fiabilidad de los usuarios

Las reglamentaciones en la nube propuestas podran tener efectos negativos y positivos en las empresas
en la nube extranjeras que ofrecen sus servicios en la UE. Por un lado, las firmas en la nube local podran
emerger como fuertes competidores de compaas extranjeras debido a un mejor conocimiento de las
necesidades y preferencias del mercado local. Por otro lado, la certificacin del cumplimiento de las
reglamentaciones de la UE podra mejorar el sesgo negativo en contra de las empresas con sede en los
Estados Unidos con respecto a la privacidad de los datos. Los crticos tambin argumentan que los
requisitos de cumplimiento normativo han impuesto ineficiencias y han actuado como una barrera para el
desarrollo de la nube. Tambin sealan que la fragmentacin del mercado y la falta de economas de
escala hacen que la bsqueda de soluciones innovadoras no sea atractiva. Estas preocupaciones se
reflejan en la tasa de crecimiento relativamente lenta de la industria de la nube de la UE..
 Understanding Cloud Computing Vulnerabilities
Comprendiendo las vulnerabilidades en Cloud Computig

IEEE Transactions on Cloud Computing

SJR: 0.8
Autor:
Bernd Grobauer, Tobias Walloschek, and Elmar Stcker
Siemens
 DEFINCION DE VULNERABILIDAD

Una vulnerabilidad general es un factor

prominente de riesgo. ISO 27005 define el
riesgo como "la posibilidad de que una
amenaza determinada explote las
vulnerabilidades de un activo o grupo de
activos y, por lo tanto, cause dao a la
organizacin", midindolo en trminos tanto
de la probabilidad de un evento como de sus
consecuencias.
 FACTORES DE RIESGO

1.- Probabilidad de un evento daino (frecuencia de evento de

perdida). Depende de 2 factores:
* Frecuencia con la que los agentes de amenazas intentan
explotar una vulnerabilidad.
* La diferencia entre las capacidades de ataque de los
agentes de amenaza y la fuerza del sistema para resistir el
ataque.
2.- Consecuencia (magnitud de perdida probable)
*Influye en el costo final de un evento daino.

*La vulnerabilidad existe cuando hay una diferencia entre la fuerza

que aplica el agente de amenaza y la capacidad de un objeto para
resistir esa fuerza.
 TECNOLOGIAS BASICAS DE CLOUD COMPUTING

- Software como servicio (SaaS)

- Plataforma como servicio (PaaS
- Infraestructura como servicio (IaaS)

Virtualizacin.
Criptografa
.

CARACTERISTICAS ESCENCIALES

- Autoservicio bajo demanda: Los usuarios pueden solicitar y

administrar servicios sin interaccin humana con el
proveedor de servicios, utilizando, por ejemplo, un portal
web e interfaz de administracin
- Acceso a la red Ubicuo
- Puesta en comn de los recursos
- Elasticidad Rpida
- Servicio Medido
.

VULNERABILIDADES DE LA NUBE

Una vulnerabilidad es especfica de la nube si:

Es intrnseco o prevalente en una tecnologa de
computacin en la nube central
Tiene su origen en una de las caractersticas de nube
esenciales del NIST (National Institute of Standards and
Technology)
Se produce cuando las innovaciones en la nube
hacen que los controles de seguridad probados sean
difciles o imposibles de implementar
.

CARACTERISTICAS VULNERABLES DE LA NUBE

- Acceso no autorizado a la interfaz de administracin.

- Vulnerabilidades del protocolo de internet.
- Vulnerabilidad de recuperacin de datos.
- Evasin de medicin y facturacin
DEFECTOS EN LOS CONTROLES DE SEGURIDAD CONOCIDOS.

DESAFIOS DE CONTROL
1.- Las redes virtuales ofrecen controles insuficientes. El acceso administrativo a
la infraestructura de la red de Iaas y la capacidad de adaptar la infraestructura son
tpicamente limitados.
2.- Pobres procedimientos de gestin de claves. Debido a que las mquinas
virtuales no tienen una infraestructura de hardware fija y el contenido basado en la
nube a menudo se distribuye geogrficamente, es ms difcil aplicar controles
estndar
3.- Las mtricas de seguridad no estn adaptadas a las infraestructura de la nube.
Gracias!