cloud computing y seguridad
DESCRIPTION
TRANSCRIPT
Seguridad y Cloud Computing
Por dónde empezar (y qué es…)
De qué vamos a hablar
• Sobre la nube– qué es– modelos a tomar en cuenta– algunas ventajas
• Seguridad en la nube– riesgos y recomendaciones
Quién soy
• Eduardo Dávila G.NetMXEl Taller Web– Socio AMIPCI
VP Servicios Profesionales– trabajando con internet desde 1995
Cómo le hacemos
• Levanten la mano en el momento que tengan una duda; si no:– preguntar al final ya se perdió todo el contexto– igual y ya no se acuerdan– igual y no nos da tiempo llegar a las preguntas
• si voy muy lento apúrenme• si voy muy rápido deténganme• si no terminamos la liga de la presentación es http://etw.mx/K9onAu• si terminamos antes, nos vamos a ver Phineas and Ferb
CLOUD COMPUTING
Qué es Cloud Computing
«Es un modelo para habilitar acceso por red conveniente y sobre demanda a un depósito de recursos de cómputo compartidos configurables
(v.gr. redes, servidores, almacenamiento, aplicaciones y servicios) que pueden ser
provisionados rápidamente y liberados con un mínimo esfuerzo de administración o interacción
por parte del proveedor de servicios.» NIST, http://etw.mx/w12lPj
Qué es Cloud Computing
• Es pasar tareas a un espacio descentralizado para aprovechar economías de escala, propias o de un tercero, y así tomar ventaja de uno o varios factores de infraestructura (recursos, conocimientos, capacidades).
Características esenciales• autoservicio sobre demanda
– cada que se necesite– para arriba o para abajo– sin intervención humana
• acceso por red amplio y diverso– escritorio– celular– tableta– dispositivos varios (webcam, refrigerador, coche)
• compartición de recursos– recursos disponibles a partir de un depósito central– se distribuyen sobre demanda los mismos recursos a diferentes clientes– la ubicación de los recursos es irrelevante
• elasticidad rápida– posibilidad de expandir o reducir rápidamente– al usuario los recursos aparentan ilimitados– están disponibles 24/7
• servicio medido– la utilización es contabilizada a través de algún parámetro mensurable (almacenamiento, procesamiento, ancho de banda, usuarios)– el uso es medido, controlado y reportado dando transparencia a cliente y proveedor
Potencial
• Según PwC, para el 2012 el uso de nubes alcanzará masa crítica de tal forma que se convertirá en el medio preferido para los esfuerzos de desarrollo de aplicaciones de las grandes empresas
• El potencial de productividad es enorme:– PCs y servidores son utilizados al 10% de su capacidad
de procesamiento– almacenamiento de red es utilizado al 50%
Fuente: PwC, http://etw.mx/C1Gx3W
Modelos de Servicio
• SAAS, software como servicio• PAAS, plataforma como servicio• IAAS, infraestructura como servicio
SAAS
• El usuario tiene acceso a una aplicación alojada en infraestructura de nube.
• El acceso es a través de alguna interfaz de cliente, típicamente el navegador o una aplicación móvil
• El usuario no tiene control sobre la infraestructura
Ejemplos de SAAS• Correo electrónico
– Gmail– Yahoo mail– Windows Live (HotMail)
• Suites de oficina– Zoho– Google– Windows Office Live
• Fotografías (edición y almacenaje)– Flickr– Photobucket– Picnik
• Otros– Popplet (mapas mentales)– Mint (servicios financieros)
PAAS
• El usuario puede publicar aplicaciones propias o de terceros en infraestructura de nube utilizando lenguajes de programación o herramientas proporcionadas por el proveedor.
• El usuario no tiene control sobre la infraestructura pero sí tiene control sobre la aplicación y algunos aspectos del ambiente de alojamiento.
Faux PAAS
• Desarrollo basado en navegador– no debiera tener que instalarse nada en la máquina del usuario, si
se requiere entonces no es PAAS• Publicación transparente (seamless deployment)
– si se requiere la intervención de un humano (además del cliente, por supuesto), no es PAAS
• Herramientas de administración adecuadas– si necesitan compensar por su cuenta las herramientas, no es PAAS
• Pago por consumo– si no se puede pagar por consumo, entonces no es PAAS
Fuente: JavaLobby, http://etw.mx/4Y87DP
Ejemplos de PAAS
• AppEngine de Google basado en Python y Django• Force.com de SalesForce basado en la
infraestructura SAAS de SalesForce y Apex• Bungee Connect visual development studio basado
en Java• LongJump basado en Java/Eclipse• WaveMaker visual development studio basado en
Java y alojado en Amazon EC2
IAAS
• El usuario tiene la posibilidad de provisionar procesamiento, almacenamiento, redes y otros recursos de cómputo fundamentales.
• El usuario no controla la infraestructura de bajo nivel pero sí tiene control sobre sistemas operativos, almacenamiento, aplicaciones y control limitado sobre ciertos elementos de red.
Ejemplos de IAAS
• Amazon Web Services• GoGrid• Rackspace• RightScale• OpenNebula
Modelos de Implementación• nube privada
– es para uso interno solamente– puede contemplar clientes, proveedores y otros externos
• nube comunitaria– participan actores con intereses afines que les permite aplicar aun más
aprovechar recursos compartidos• nube pública
– cualquiera puede acceder a utilizar los servicios• nube híbrida
– una mezcla entre dos o tres de los tipos anteriores donde se mantienen como entidades separadas pero comparten recursos
Conveniencia
Ventajas• Velocidad al mercado
– más rápido para sacar nuevos servicios
• Economía de escala• Reducción de costos*
– pago por consumo
• Tecnología de punta• Infraestructura de soporte (SLA)*• Seguridad*• Escalabilidad
– disponibilidad dinámica de recursos
• Administración de infraestructura es delegada*
• Liberación de recursos*
Preocupaciones• Seguridad y privacidad• Garantías de servicio (SLA)• Costos• Administración (control)• Control de recursos
SEGURIDAD
Seguridad
• La seguridad es un componente principal de cualquier proyecto
• En nuestras aplicaciones el impacto de una mala seguridad puede tener implicaciones graves– datos personales– datos financieros
• En la nube podemos identificar dos grupos para englobar los temas de seguridad– seguridad del proveedor– seguridad del cliente
Aseguramiento de la Nube• Seguridad
– cifrado– ubicación de datos– segregación– manejo de riesgos– acceso a usuarios– manejo de sistemas– respuesta de incidentes
• Privacidad• Cumplimiento en las áreas de más
alto riesgo– el proveedor debe adherirse al
menos a las mismas prácticas que la empresa
• Escalabilidad– qué tanto crecimiento nos puede
soportar el proveedor• Medición
– integridad y seguridad de los sistemas de medición
• Disponibilidad– infraestructura del proveedor
• Filtrado de datos– evaluación de riesgos de filtrado de
datos
Fuente: PwC, http://etw.mx/C1Gx3W
Siete riesgos de la nube
1. Acceso con privilegios2. Cumplimiento regulatorio3. Ubicación de datos4. Segregación de datos5. Restablecimiento de fallas6. Soporte forense7. Viabilidad a largo plazo
Fuente: Gartner, http://etw.mx/pOoYja
Análisis básico de Seguridad• Identifica activos
– qué estamos tratando de proteger• datos• aplicaciones
• Identifica amenazas– tipos de ataque
• fallas en seguridad del proveedor• ataques de otros clientes• temas de disponibilidad y confiabilidad• temas legales y regulatorios
– otras amenazas• desastres naturales• huelgas, manifestaciones• actos de terrorismo
• Identifica medidas de respuesta– cómo contraatacamos
Fuente: Juniper Networks, http://etw.mx/MX6uOS
Principios de Seguridad confidencialidad integridad disponibilidad
Áreas a cubrir
• Segregación de datos• Administración de usuarios• Seguridad física y de
personal• Acceso garantizado• Seguridad en las aplicaciones• Privacidad de datos• Cumplimiento
– legislación aplicable
• Relación contractual con el proveedor
• Auditorías• Respaldo y recuperación de
datos• SLA• Cancelación
– ¿los datos verdaderamente se borran del servidor y sus respaldos?
¿Es para todos?
• Como todo en esta vida, primero infórmense, entiendan y luego lo intentan (especialmente cuando el tema es crítico)– no descarten asesorarse por externos
• Cada caso tiene sus propias características• Deben conocer perfectamente sus necesidades y sus riesgos
para poder evaluar la viabilidad• Familiarícense con los términos y condiciones del proveedor• La seguridad de la nube para PyMES probablemente es mejor
que la que tienen actualmente• Implementen mejores prácticas*
Ejemplos (aventurándome un poco)
Sí• cuando requieren atender picos de
demanda• cuando no tienen la infraestructura
propia o controlada (ojo, de todas maneras van a tener que saber moverle)
• cuando quieren utilizar un ambiente de pruebas temporal
• cuando requieren acceso a tecnología de punta y el costo es prohibitivo, la usan temporalmente
• cuando requieren una rápida reacción, y además pueden automatizar
No• cuando la información que se
maneja es demasiado sensible y no se logran los controles adecuados
• cuando hay restricciones regulatorias para la exportación de datos y no se tiene control sobre la ubicación física de los mismos
Algunas lecturas recomendadas
• Security Guidance for Critical Areas of Focus in Cloud Computing v2.1, CSA, http://etw.mx/MbO96E
• Cloud Computing Gets Strategic, PwC, http://etw.mx/nJ0iLu
• Ten Minutes on the Cloud, PwC, http://etw.mx/Zp95mi
• Security Among the Clouds, PwC, http://etw.mx/C1Gx3W
