seguridad en cloud computing
TRANSCRIPT
Hernan M. Racciatti / SICLabs
Analista Programador, CISSP, CSSLP, CEH, MCP, QCS, etc.
Miembro del Core Team de ISECOM
ISSAF Key Contributor at OISSG
Colaborador de los proyectos ISSAF, HHS y OSSTMM, entre otros.
Presidente del Capitulo Argentino de la Cloud Security Alliance
Director de Comunicaciones de ISSA Argentina
Security Director at SIClabs
2Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Acerca del Autor
* ISECOM (Institute for Security and Open Methodologies)
* OISSG (Open Information System Security Group)
* ISSA (Internet Systems Security Association)
* ISSAF (Information Systems Security Assessment Framework)
* OSSTMM (Open Source Security Testing Methodology Manual)
* HHS (Hackers Highschool, Security Awareness for Teens)
Cloud Computing en 5’
Que es Cloud Computing?
Ventajas y Desventajas
Seguridad y Seguridad en la Nube
Principales Amenazas (CSA)
Guía de Seguridad (CSA)
Herramientas de Control y Auditoria (CSA)
Desafíos
Conclusiones
Referencias y Lecturas Complementarias
Apertura de Foro (Preguntas / Exposición de los Asistentes)
Agenda
3Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
4Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Que he aprendido o confirmado?
El ser humano siempre encontrara una forma de hacer negocios…
Siempre habrá organizaciones pensando en lo que “yo necesito”…
Seguiré teniendo trabajo por algunos años mas…
A excepción de algunas palabras nuevas, el resto es conocido…
En internet hay muchas imágenes de nubes…
5Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Que es Cloud Computing?
`
6Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Que es Cloud Computing?
Buzzword
Nuevo “Modelo” o “Paradigma” que permite ofrecer servicios a través de Internet.
“Cloud Computing es un modelo para habilitar acceso conveniente por demanda a un
conjunto compartido de recursos computacionales configurables, por ejemplo, redes,
servidores, almacenamiento, aplicaciones y servicios, que pueden ser rápidamente
aprovisionados y liberados con un esfuerzo mínimo de administración o de interacción
con el proveedor de servicios. Este modelo de nube promueve la disponibilidad y está
compuesto por cinco características esenciales, tres modelos de servicio y cuatro
modelos de despliegue.”
7Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Que es Cloud Computing? (Cont.)
8Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Que es Cloud Computing (Cont.)
9Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Ventajas
10Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Desventajas
11Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Seguridad != Seguridad en la Nube?
12Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Principales Amenazas (CSA)
13Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Principales Amenazas (CSA) (Cont.)
Principales Amenazas
#1: Abuse and Nefarious Use of Cloud Computing
#2: Insecure Interfaces and APIs
#3: Malicious Insiders
#4: Shared Technology Issues
#5: Data Loss or Leakage
#6: Account or Service Hijacking
#7: Unknow Risk Profile
14Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Guía de Seguridad (CSA)
Governance and Enterprise Risk Management
Legal and Electronic Discovery
Compliance and Audit
Information Lifecycle Management
Portability and Interoperability
Security, Bus. Cont,, and Disaster Recovery
Data Center Operations
Incident Response, Notification, Remediation
Application Security
Encryption and Key Management
Identity and Access Management
Virtualization
Cloud Architecture
Op
era
tin
g in
th
e C
lou
d
Go
ve
rnin
g th
e C
lou
d
15Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Guía de Seguridad (CSA) (Cont.)
16Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Herramientas de Control y Auditoria (CSA)
Cloud Control Matrix Tool
Controles derivados de la guía
Ordenados de acuerdo a su aplicación (SPI)
Ópticas: Customer vs Provider
Mapeado con: ISO27001
COBIT
PCI
HIPAA
Puente para el gap IT & IT Auditors
17Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Desafíos
18Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Conclusiones
Cloud Computing no necesariamente es mas o menos seguro que su entorno actual.
Como toda nueva tecnología, esta crea nuevos riesgos y oportunidades.
En algunos casos, moverse a la nube puede proveer una oportunidad para llevar adelante la re-arquitectura de viejas aplicaciones y/o infraestructura, de modo tal que esta cumpla con modernos requerimientos de seguridad.
El riesgo de mover datos sensibles y aplicaciones a una infraestructura emergente, puede que exceda su tolerancia (Y esto no esta mal!!)
Si no resolvemos temas de base, trasladaremos la ineficiencia y falta de buenas practicas a la nube.
19Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Referencias y Lectura Complementarias
NIST (National Institute of Standards and Technology)
http://csrc.nist.gov/groups/SNS/cloud-computing/
Cloud Security Alliance
http://www.cloudsecurityalliance.org
CSA Argentina Chapter (Linkedin)
http://www.linkedin.com/groups?home=&gid=3350613
CSA Argentina Chapter (Twitter)
@cloudsa_arg
20Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Apertura de Foro, Preguntas, Aportes?