![Page 1: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/1.jpg)
![Page 2: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/2.jpg)
Tendencias Generales
¿Que es “La Nube”?
Infraestructuras
Retos, Oportunidades y Amenazas
Las 5 Consideraciones de Seguridad
Recomendaciones
![Page 3: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/3.jpg)
Tendencias Generales
![Page 4: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/4.jpg)
Evolución histórica de los Servicios Públicos en la Nube
Era de los Portales Era de las Aplicaciones Online Era de los Servicios Web
1989 1994-95 1997 2002 2004 2006 2008
Era de la Nube
2010
![Page 5: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/5.jpg)
Evolución de las redes corporativas
![Page 6: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/6.jpg)
Evolución de las redes corporativas
![Page 7: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/7.jpg)
Evolución de las redes corporativas
![Page 8: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/8.jpg)
Que es «La Nube»
Es un nuevo modelo computacional, NO una nueva tecnología, que persigue una reducción de costos proporcionando a los clientes todo lo necesario en modo servicio a través de un proveedor.
• Características – Auto Servicio bajo demanda.
– Amplio acceso de red
– Recursos comunes
• Independiente de la Ubicación
– Rápida Elasticidad
– Servicio Medible
![Page 9: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/9.jpg)
Modelos de Servicios en “La Nube”
Fuente: NIST (http://csrc.nist.gov/groups/SNS/cloud-computing/cloud-def-v15.doc)
Software as a Service SaaS
Aplicación ofrecida por el Proveedor
Plattform as a Service PaaS
Aplicación desarrollada por el Cliente
Plataforma ofrecida por el Proveedor
Infrastructure as a Service IaaS
El Proveedor ofrece infraestructura fundamental (ejem. CPU, Alimentación, Almacenamiento, Red,
etc.)
![Page 10: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/10.jpg)
• Nube Privada – Que pertenece y es operado por una organización
• Nube Común – Infraestructura compartida por una comunidad
• Nube Publica – Ofrecida al publico, amplia escalabilidad
• Nube Hibrida – Compuesta de dos o mas modelos
Modelos de Despliegue de “La Nube”
Fuente: NIST (http://csrc.nist.gov/groups/SNS/cloud-computing/cloud-def-v15.doc)
![Page 11: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/11.jpg)
Catalogación de los Modelos de Despliegue de “La Nube”
Co
ste
Agilidad / Seguridad
Nube Pública
Nube Comunitaria
Nube Privada
![Page 12: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/12.jpg)
Evolución de los Data Center - Microsoft
![Page 13: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/13.jpg)
Generation 4 Datacenter
![Page 14: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/14.jpg)
Economía de Escala
![Page 15: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/15.jpg)
De lo mejor de la industria en seguridad y Fiabilidad
Características Clave • Data Centers Geo-redundantes • Arquitectura N+1 • 9 Capas de Seguridad • Certificado CyberTrust • Acceso Seguro via SSL • Operaciones con ITIL/MOF • Soporte 24 x 7 x 365 • 99.9% te Respaldado
financieramente con el SLA
• Routers de Filtrado • Firewalls • Sistemas detección Intrusion • Seguridada a nivel Sistema • Autenticación de Aplicación • Contramedidas a nivel de
Aplicación • Escaneo de Virus • Redes de Datos Separadas • Autenticación a los datos
Certificaciones FISMA, SAS 70, ISO
en todos los centros y servicios
ISO27001 e(strategico)
SAS70
(audit)
FISMA (tactico)
Seguridad y Regulación en los Data Centers
![Page 16: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/16.jpg)
• La Información esta bajo el control del proveedor – No está limitado al espacio o la geografía
• Cambios en los Procesos de IT – El proveedor puede tener mejores procesos de seguridad
– El proveedor de la nube gestiona la seguridad física
– Retos sobre la soberanía y la legalidad
• Almacenamiento de datos Centralizado – Economía de escala
– Atractivo para los criminales
• Problemas de Privacidad
• Forense
• Dispositivos
Retos y Oportunidades
![Page 17: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/17.jpg)
• Amenazas derivadas de la Tecnología – Son los de siempre con algunas incorporaciones
– Se solucionan con mas tecnología
• Amenazas de la parte cliente (PC, dispositivos móviles)
• Amenazas filosóficas y de procedimiento – Hay muchas novedades
– Se solucionan con cambios de mentalidad y aprendizaje
Por ser «la nube» un cambio de Paradigma, son mucho mas importantes las amenazas de tipo
filosófico y de procedimiento
Amenazas de Seguridad en la Nube
![Page 18: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/18.jpg)
• Las amenazas tradicionales siguen existiendo – Ataques a la Capa de Aplicación (XSS, ataques de inyección de código)
– Ataques a la Capa de Red (Ataques DNS , network flooding)
• Se potencian otras amenazas – Ataques a las tecnologías de Virtualización
• Nuevos ataques de Escalada de Privilegios (VM a host o VM a VM)
• Romper las barreras de las VM
• Hyperjacking (rootkitting al host o a la VM)
• Hay mas amenazas pero menos riesgo: – La tecnología y procedimientos empleados en proteger los DataCenter
de «la nube» son muy superior a la empleada en nuestras organizaciones.
– Gestión de riesgos, de cambios, de regulación , de Identidad, de Acceso
– Es un problema de confianza, y no de seguridad
Amenazas de Seguridad derivadas de la Tecnología
![Page 19: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/19.jpg)
• En el nuevo entorno cada PC ha de ser seguro por si mismo.
• Seguridad Física: – Ya no cuenta con la protección física de nuestras oficinas
– Hay que proteger la información a nivel físico (TPM, Bitlocker, Bitlocker to go, etc…)
• Seguridad en toda la pila de Software: – El Software a utilizar ha de estar bien desarrollado (SDL)
– El Sistema ha de tener su propio software de seguridad: Firewall, IDS, Antivirus, etc..(FEP 2010 incluye todo)
– Sistema Operativo ha de contar con funcionalidad para conexiones sencillas y seguras. (DirectAccess)
• PRIVACIDAD
Amenazas - PC
![Page 20: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/20.jpg)
• En el nuevo entorno cada dispositivo ha de ser seguro por si mismo y cumplir con los requisitos legales.
• Seguridad Física:
– O no han de almacenar información o esta ha de estar protegida
– Funcionalidades de borrado en remoto
• Seguridad en toda la pila de Software:
– El Software a utilizar ha de estar bien desarrollado (SDL)
– El Sistema ha de tener su propio software de seguridad: Firewall, IDS, Antivirus, etc.
– Gestión del dispositivo
– Borrado en remoto
– Gestión de Usuarios
– Gestión y auditoria de la Información.
– Cifrado
– Control sobre la instalación de aplicaciones
– Conectividad Segura
• PRIVACIDAD
Amenazas– Otros Dispositivos
![Page 21: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/21.jpg)
• En el nuevo entorno cambian mas cosas de las que parecen. – Arquitectura de Red abierta
• Ubicuidad de los datos
• Ubicuidad de los usuarios y sus terminales
– Compartición de Procesos y responsabilidades
• Gestión de la seguridad entre proveedor y cliente
– Acceso
– Identidad
– Regulación
– Protección de Datos
– Auditoria y Forense
Además de entender el entorno, es necesario un buen entendimiento entre el proveedor y el cliente
Amenazas filosóficas y de procedimiento
![Page 22: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/22.jpg)
• El desconocimiento del entorno nos lleva a los 7 pecados capitales
Amenazas de método y procedimiento
Ignorancia
Ambigüedad
Duda
Transgresión
Desorden
Engreimiento
Complacencia
![Page 23: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/23.jpg)
Consideraciones de Seguridad en «La Nube»
Gestión de Riesgos y Regulación
Gestion de Identidad y Accesos
Integridad del Servicio
Integridad del Punto Final
Protección de la Información
![Page 24: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/24.jpg)
• La Conformidad/Legalidad sigue siendo una tarea del Cliente
• Es necesario una gestión de Riesgos al adoptar una solución en la nube.
• La colaboración entre el cliente y el proveedor es esencial – Se necesita cierto grado de trasparencia en los procesos
• Es necesario un equipo interno fuerte – Negociación del Contrato
– Definición de las métricas y el control
– Integración de los Controles en los procesos internos
Gestión del Riesgo y Regulación
Los requisitos de Conformidad pueden conseguirse con un equipo interno capacitato y un cierto nivel de transparencia en los procesos del provvedor.
![Page 25: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/25.jpg)
• La Colaboración entre Dominios requiere de Identidades de Seguridad – Personas y Dispositivos
• Basado en Pruebas Personales o Similar
• Basado en reclamo.
• Basado en Estándares de Interoperabilidad
• Ha de existir un equilibrio entre Privacidad vs. Autenticación
• Los Procesos han de poder incluir varios proveedores
Gestión de Acceso e identidad
Cualquier sistema de Identidad Digital en “La Nube” ha de ser Interoperable entre varias organizaciones y proveedores , y ha de estar basado en fuertes
procesos.
![Page 26: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/26.jpg)
• Desarrollo e Ingenieria del Servicio – Son necesarios Procesos de ingenieria serios y transparentes
• Requerimientos
• Diseño
• Implementación
• Verificación
• Públcio
• Respuesta
– Probado
– Basado en Modelo de Amenazas o Similar
Integridad del Servicio
El Proveedor debe de seguir un proceso claro, definido y probado para integrar seguridad y privacidad en el servicio desde el principio y para todo el ciclo de
vida.
![Page 27: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/27.jpg)
• Prestación del Servicio – Los procesos internos deven de poder cubrir varios proveedores
• Monitorización de la Seguridad
• Audoria
• Forense
• Respuesta a incidentes
• Continuidad del negocio
• Etc.
– Los requerimientos dependen de la aplicación y las necesidades de la información
Integridad del Servicio
Las capacidades de prestación del servicio del proveedor y las nececesidades de auditoria y gestion de la seguridad del cliente, han de estar alineadas.
![Page 28: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/28.jpg)
• Dispositivos de conexión
• Es parte de la cadena de prestación del servicio
• A menudo objeto de ataques de ingeniería social (y similares)
• Revisar con los procesos y políticas de cada día
Integridad del Punto Final
Es muy importante incluir el Punto Final en cualquier consideración de seguridad para un servicio en «La Nube»
![Page 29: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/29.jpg)
• El fundamento es la Clasificación de los datos – Requerimientos
– Necesidades Legales
• Se necesita que la protección de los datos sea Persistente – Cifrado/Gestión de los derechos digitales
• Ha de cubrir toda la transacción – Los datos durante el Transito
• Nuevos Retos – Soberanía de los Datos
– Acceso a la información
– Procesamiento y Partición de los datos
Protección de la Información
La Implementación de una Clasificación de los dato ayuda a decidir que datos estan listos para “La Nube” bajo que circunstancias , y con que controles
![Page 30: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/30.jpg)
• Es necesario un equipo interno bien formado en temas relacionados con la nube
• Elegir el Modelo de despliegue adecuado (Privada, Comunitaria o Publica)
• Son obligatorios los planes de riesgos y de cumplimiento de normativa.
• El proveedor debe de tener procesos transparentes, control del cumplimiento legales y auditoria
• La clasificación de los datos es clave
• Control sobre el Ciclo de Vida de la Información
• Mejores controles de acceso y federación de identidad
Recommendations
![Page 31: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/31.jpg)
Iniciativa Confianza Extremo a Extremo
SDL y SD3
Defensa en profundidad
Mitigación amenazas
“I+4
A”
Reclamos de Identidad
Autenticación Autorización Mecanismos
Control de Accesos
Gente de Confianza
Datos de Confianza
Software de Confianza
Hardware de Confianza
![Page 32: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/32.jpg)
• Microsoft Government Cloud Site
– http://www.microsoft.com/govcloud
• Microsoft Windows Azure
– http://www.microsoft.com/windowsazure/
• Security Best Practices For Developing Windows Azure Applications
– http://download.microsoft.com/download/7/3/E/73E4EE93-559F-4D0F-A6FC-7FEC5F1542D1/SecurityBestPracticesWindowsAzureApps.docx
• Cloud Computing Security Considerations
– http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=3269a73d-9a74-4cbf-aa6c-11fbafdb8257
• Building Confidence in Cloud Computing (US)
– http://www.microsoft.com/presspass/presskits/cloudpolicy/
• Microsoft Generation 4 Datacenter videos:
– http://www.microsoft.com/video/en/us/details/36db4da6-8777-431e-aefb-316ccbb63e4e
– http://www.microsoft.com/showcase/en/us/details/84f44749-1343-4467-8012-9c70ef77981c
• Microsoft Datacenter information site:
– http://www.globalfoundationservices.com/
Recursos
![Page 33: Work in Progress - CriptoRed · Tendencias Generales ¿Que es “La Nube”? Infraestructuras Retos, Oportunidades y Amenazas Las 5 Consideraciones de Seguridad Recomendaciones](https://reader031.vdocuments.pub/reader031/viewer/2022022022/5ba38c9709d3f2af168bb5fe/html5/thumbnails/33.jpg)