Universidad Tecnológica Oteima

Santiago

Especialización y Maestría en Tecnología Informática

Curso:

Seguridad en Redes

Tema:

Cloud Security

Profesor:

Mgter. Leandro Espinoza

Estudiante:

Eduardo Zea
Mario Carrasco
Alex Sanson

2020
Indice
Introducción

La seguridad en la nube se refiere a una variedad de políticas, procedimientos

tecnológicos, servicios y soluciones diseñadas para admitir una funcionalidad
segura al crear, implementar y administrar aplicaciones basadas en la nube y
datos asociados. Ya sea que opere en entornos de nube pública, privada o
híbrida, la seguridad en la nube crea y mantiene estrategias y acciones
preventivas para combatir cualquier amenaza a los sistemas y aplicaciones en red.
Dada la agilidad en la que se desarrollan las aplicaciones en la nube, los procesos
operativos tradicionales se están moviendo hacia un proceso más integrado de
desarrollo-seguridad-operacional (DevSecOps), con una mentalidad de seguridad
primero.
Seguridad en la Computación en la Nube

En los últimos años el interés en la Computación en la Nube se ha incrementado

rápidamente debido a las ventajas que ofrece este paradigma, mayor flexibilidad y
disponibilidad de recursos a un menor costo. Sin embargo, la seguridad y la
privacidad constituyen una de las principales preocupaciones para las empresas y
organizaciones que consideran la transición de datos y aplicaciones hacia una
infraestructura en la nube.

Según las oportunidades que ofrece la Computación en la Nube generan un gran

entusiasmo en los consumidores. No obstante, los riesgos en la seguridad y la
pérdida del control directo de los sistemas de los cuales no son responsables
continúan siendo una constante preocupación.
Las organizaciones que consideren la transición hacia una infraestructura en la
nube deben comprender los riesgos asociados que acarrea cualquier servicio
externo y evaluarlos en áreas tales como la integridad, recuperación, privacidad y
cuestiones legales tales como normativas y auditorias.
Señala que una visión de los aspectos críticos de seguridad se puede extraer de
las experiencias obtenidas por los primeros en adoptar infraestructuras en la nube
y por investigadores que analizan y experimentan con las plataformas en la nube y
tecnologías asociadas de distintos proveedores.

¿Qué es la seguridad en la nube

La seguridad en la nube se refiere a una

variedad de políticas, procedimientos
tecnológicos, servicios y soluciones diseñadas
para admitir una funcionalidad segura al crear,
implementar y administrar aplicaciones basadas
en la nube y datos asociados. Ya sea que opere
en entornos de nube pública, privada o híbrida, la
seguridad en la nube crea y mantiene estrategias
y acciones preventivas para combatir cualquier
amenaza a los sistemas y aplicaciones en red

Como saben los gerentes de TI, la seguridad es un componente crítico para la

adopción exitosa de la nube, y las empresas deben implementar contramedidas
adecuadas para defenderse de ataques cada vez más complejos. Sin embargo, la
seguridad en la nube es mucho más que una lista de protocolos defensivos
establecidos para restringir el uso de la red. Más bien, está diseñado para crear
una mayor agilidad en la nube y facilitar el crecimiento de la organización al tiempo
que protege las aplicaciones comerciales.
Dada la agilidad en la que se desarrollan las aplicaciones en la nube, los procesos
operativos tradicionales se están moviendo hacia un proceso más integrado de
desarrollo-seguridad-operacional (DevSecOps), con una mentalidad de seguridad
primero.

Las nueve amenazas a la seguridad

En una encuesta realizada por la CSA en el 2012 entre expertos de la industria

para identificar las principales vulnerabilidades de la Computación en la Nube
relacionadas con la seguridad, se identificaron nueve amenazas críticas:

1. Violación de datos privados. Información confidencial copiada, transmitida,

leída, robada o utilizada por una persona no autorizada.

2. Pérdida de datos. Error en los sistemas, fallas en los dispositivos de

almacenamiento, transmisión o procesamiento de la información.

3. Secuestro de cuentas o servicios (hijacking). Proceso por el cual una cuenta de

correo, usuario o sistema asociado a un dispositivo de computo, es robada o
secuestrada con propósitos mal intencionados.

4. Interfaces y APIs inseguras. Interfaces de Programación de Aplicaciones

(APIs) con vulnerabilidades o debilidades que permiten explotar servicios o
datos de manera no autorizada.

5. Negación de servicio. Una interrupción a una red de computadoras o

servicios, típicamente causado por un intento mal intencionado.

6. Persona interna mal intencionada (insider). Empleados o ex-empleados,

socios de negocio y proveedores con acceso autorizado a la red, sistemas o
datos y que pueden utilizarlo afectando la confidencialidad, integridad y
disponibilidad de la información.

7. Abuso de servicios en la nube. El uso de recursos legítimos en la nube para

darles mal uso.

8. Due diligence insuficiente. La adopción de servicios en la nube sin tener una

clara comprensión de los riesgos de seguridad en su despliegue o sin realizar
una validación de controles de seguridad y privacidad en la nube de terceros o
del proveedor de servicios en la nube.

9. Vulnerabilidades en tecnologías compartidas. Vulnerabilidades en

tecnologías clave que hacen posible la computación en la nube (hipervisores).
Seguridad y privacidad

Identificar gestión

Cada empresa tiene su propio sistema de gestión de identidad para controlar el

acceso a la información y recursos de computadoras. Los proveedores de nube
integran este sistema de gestión de identidad a su infraestructura, usando
federación, tecnología SSO o un sistema de identificación basado en biométrica, o
proveen una solución de manejo de identidad de su propiedad. CloudID, por
ejemplo, provee una solución basada en la nube para preservar la privacidad y
una identificación entre empresas de tipo biométrica para solucionar este
problema. Junta la información confidencial de los usuarios a sus biométricas y lo
almacena de manera encriptada. Haciendo uso de una técnica de encriptación, la
identificación por biométrica es llevada a cabo en un dominio encriptado para
asegurar que el proveedor de nube o los potenciales atacantes no ganen acceso a
información sensible o incluso al contenido de consultas individuales.

Seguridad física

Los proveedores de nube aseguran el hardware de manera física (servidores,

routers, cables, etc.) contra acceso no autorizado, interferencia, robo, incendios,
inundaciones, etc. y se aseguran de que reservas esenciales (como electricidad)
sean suficientemente robustas para minimizar las posibles interrupciones. Esto,
normalmente se logra obteniendo aplicaciones de centros de datos con calidad de
clase mundial.

Seguridad personal

Varias preocupaciones de seguridad

relacionadas a las TI y otros profesionales,
asociadas con los servicios de nube son
típicamente manejadas a través de programas
realizados antes, durante y después de el
proceso de contratación de nuevo personal
como programas de entrenamiento,
conciencia de seguridad, vigilando a los
posibles reclutas a través de sus pantallas,
procedimientos disciplinarios y obligaciones
contractuales establecidos en contratos,
acuerdos de nivel de servicio, código de
conducta, políticas, etc.
Disponibilidad

Los proveedores de servicio de nube ayudan a asegurar que los clientes puedan
confiar en el acceso a sus datos y aplicaciones, al menos en parte (fallas en
cualquier punto- no solo dentro del domino del proveedor del servicio de nube-
puede interrumpir la comunicación entre usuarios y aplicaciones).

Aplicación de seguridad

Los proveedores de servicio de nube se aseguran que las aplicaciones disponibles

como servicio a través de la nube sean aseguradas especificando, diseñando,
implementando, probando y manteniendo aplicaciones de seguridad apropiadas.
en el ambiente de producción. Nótese que- como en cualquier software comercial-
los controles que se implementan no son necesariamente responsables de mitigar
todos los riesgos que identifican y que no necesariamente identifican todos los
riesgos que preocupan a los usuarios. Consecuentemente, los clientes también
necesitan asegurarse ellos mismos que las aplicaciones de nube estén
adecuadamente aseguradas para sus propósitos específicos, incluyendo sus
obligaciones de conformidad.

Privacidad

Los proveedores aseguran que todos los datos

críticos (números de tarjeta de crédito, por
ejemplo) sean enmascarados o encriptados y
que solo usuarios autorizados tengan acceso a
la información en su totalidad. Más aun,
identidades digitales y credenciales deben ser
protegidas como cualquier información que el
proveedor almacene o produzca a través de la
actividad del usuario.

Evaluación de los riesgos de seguridad

Las organizaciones pueden obtener ventajas competitivas al adoptar la

computación en la Nube. Sin embargo, antes deben tener una visión integral de
los riesgos de seguridad asociados.
Antes de contratar un proveedor en la nube es necesario evaluar:
• Privilegios en el acceso de usuarios.
• Cumplimiento de la normativa.
• Ubicación de los datos.
• Separación de los datos
• Recuperación.
• Soporte a la investigación.
• Viabilidad a largo plazo.
Los datos confidenciales procesados fuera de la organización corren un riesgo si
los servicios IT tercerizados no ejercen los mismos controles físicos, lógicos y de
personal que se realizan para las aplicaciones de la empresa. Es necesario
solicitar a los proveedores información específica sobre la contratación y
supervisión de los administradores con privilegios sobre la información sensible y
los controles que realizan en el acceso a esta.

El consumidor es el responsable de la seguridad e integridad de sus datos, incluso

cuando estos se encuentran en manos de un proveedor de servicios externos. Los
proveedores en la nube están sujetos a auditorías externas y certificaciones de
seguridad. Aquellos que se nieguen o no cuenten con estos controles no son
confiables.

En una infraestructura en la nube, es probable que el consumidor no tenga

conocimiento en qué país están alojados sus datos. Esto es motivo de
preocupación
para cualquier organización que necesite cumplir con regulaciones nacionales de
privacidad. Se debe tener claro si los proveedores de servicios en la nube se
comprometen a almacenar y procesar datos en una jurisdicción específica y, si
están operando en ella, si está dispuesto a un compromiso contractual para
obedecer la ley en nombre de los consumidores.

Normalmente, en una infraestructura en la nube los datos se encuentran en un

entorno compartido con otro cliente. El cifrado es imprescindible, pero puede
convertir los datos en irrecuperables. El proveedor debe aportar la seguridad de
que los esquemas de cifrado están diseñados y probados por especialistas.

El proveedor debe garantizar la capacidad de una restauración completa en un

mínimo de tiempo en caso de fallas.

La investigación de actividades ilegales en una infraestructura en la nube puede

ser una actividad compleja puesto que los datos y registro de actividades es varios
clientes pueden coexistir e incluso estar en una gran cantidad de equipos y
centros de datos. Es necesario un compromiso contractual con el proveedor para
apoyar a formas específicas de investigación.

Es imprescindible asegurarse que el proveedor de servicios en la nube no tenga

dificultades financieras o que pueda ser absorbido por otra empresa. Llegado el
caso, es necesario saber que los datos se pueden recuperar.
Lista de verificación de evaluación

Antes de implementar cargas de trabajo e integrar sistemas en un entorno basado

en la nube, asegúrese de evaluar sus necesidades comerciales actuales para
asegurarse de que puede crear un modelo de negocio de computación en la nube
seguro y sostenible. A continuación, se muestra una lista de verificación de
evaluación de seguridad en la nube que puede seguir para ayudar a mitigar los
riesgos de seguridad:

 Políticas, estándares y pautas: Desarrolle políticas de seguridad

documentadas que definan claramente las acciones obligatorias a seguir al
implementar nuevas herramientas y servicios basados en la nube.
 Propiedad de los datos: asegúrese de comprender las políticas y
estándares vigentes de los proveedores de la nube y las empresas de
servicios administrados para asegurarse de que estén alineados
adecuadamente con los suyos. Lo más importante es reconocer quién es
responsable de cumplir con las normas de cumplimiento.
 Acceso de personal: establezca una política que explique los pasos
necesarios para evaluar las disposiciones y restricciones de acceso a datos
de los empleados nuevos y actuales.
 Aprovisionamiento de recursos: cree controles y procedimientos para
administrar las asignaciones de recursos que pueden adaptarse a la
congestión de red imprevista o restricciones de almacenamiento según sea
necesario.
 Garantía de software: implemente servicios o soluciones para que
mantengan la integridad de los sistemas operativos, las aplicaciones y otro
software esencial en todo momento.
 Gestión de registros: establezca protocolos de gestión de registros
automáticos o manuales para facilitar la transparencia adecuada del
intercambio de datos entre usuarios, dispositivos en red, aplicaciones,
herramientas y servicios.
 Seguridad de red: adopte protocolos específicos para monitorear y evitar
interrupciones en la red. Esto es especialmente importante para aislar
eventos DDoS y anomalías en el uso de datos de fuentes externas e
internas.
 Cumplimiento y evidencia: Su empresa debe poder generar, preparar y
presentar evidencia exhaustiva de cumplimiento.
 Continuidad del negocio: formalice y documente un plan de recuperación
ante desastres para evitar posibles interrupciones en caso de interrupciones
no planificadas o violaciones de datos.
Seguridad en la nube como servicio (CSaaS)
Estas capacidades y soluciones pueden implementarse como software o
consumirse "como un servicio": Cloud Security-as-a-Service.
Para las empresas que desean beneficiarse de un enfoque más directo a la
seguridad de la nube, Cloud Security-as-a-Service (CSaaS) es una forma
asequible de minimizar los gastos de ancho de banda interno mediante la
subcontratación de procesos de seguridad en la nube a una empresa de servicios
gestionados.
Un modelo CSaaS elimina la necesidad de que las empresas desarrollen e
implementen sus propias estrategias de seguridad cuando operan en entornos de
nube. Esto puede conducir a ahorros de costos significativos en comparación con
el gasto inicial de establecer su propia infraestructura de seguridad y administrar
múltiples miembros administrativos y de personal de TI. La adopción de un modelo
CSaaS también permite a las organizaciones beneficiarse de un enfoque de
seguridad mucho más ágil, permitiéndoles adaptarse y escalar sus necesidades
operativas más rápido y con mayor eficiencia.
Los modelos CSaaS también ofrecen una variedad de soluciones a gran escala
para ayudar a mejorar su postura de ciberseguridad, que incluyen lo siguiente:

Soluciones de monitoreo en la nube: las soluciones y plataformas de monitoreo en

la nube ayudan a los equipos
de seguridad a tomar mejores
decisiones sobre la integridad
de sus sistemas y ayudan a
exponer inconsistencias
potencialmente peligrosas en
sus procesos de seguridad en
la nube. Estas herramientas le
brindan una mayor
transparencia en la actividad
en la nube y le permiten ver,
administrar y editar procesos
para cumplir con los
estándares de cumplimiento.
Servicios de seguridad de red: las soluciones CSaaS proporcionan un conjunto de
servicios de seguridad de red para ayudar a fortalecer sus aplicaciones y servicios.
Los cortafuegos y los grupos de seguridad proporcionan seguridad a nivel de
instancia, lo que le permite administrar eficazmente el tráfico en múltiples redes en
la nube, lo que ayuda a evitar ataques DDoS y el robo de datos. Los
administradores de claves de cifrado son otras valiosas herramientas de red que le
permiten generar y almacenar claves de cifrado de datos en una solución segura
de gestión basada en la nube.
Gerentes de identidad y acceso: para mantener seguros sus sistemas y redes,
todo comienza fortaleciendo la verificación del cumplimiento y la validación del
usuario. Los administradores de identidad y acceso
ayudan a los administradores a recuperar el control de
su administración de acceso, mitigando los riesgos
asociados con las credenciales de inicio de sesión
comprometidas y el acceso no autorizado al sistema.
Los administradores de certificados también son
herramientas útiles que ayudan a los administradores a
detectar y administrar rápidamente los certificados SSL /
TLS actualmente en uso mientras los ayudan a
configurar controles de acceso y evitar interrupciones en
el servicio.
Arquitectura de Referencia de Seguridad del NIST
El NIST, junto con otros organismos, fue el encargado de las actividades
específicas encaminadas a acelerar la adopción de la Computación en la Nube.
Estas incluyen la creación de las Publicaciones Especiales del NIST (NIST SP),
las cuales se ocupan de las definiciones, arquitectura de referencia y aspectos de
seguridad.
El grupo de trabajo de Seguridad en la Computación en la Nube del NIST fue
creado con el objeto de lograr la colaboración entre actores privados y federales
para hacer frente a las preocupaciones relacionadas con la seguridad. Este, se
encargó del diseño de la Arquitectura de Referencia de Seguridad de la
Computación en la Nube (NCC-SRA: NIST Cloud Computing Security Reference
Architecture), la cual complementa a la NCC-RA [5] con un modelo formal que
identifica el conjunto de componentes de seguridad recomendados para un
ecosistema de Computación en la Nube exitoso.
La NCC-SRA se basa en datos recolectados y validados en nubes públicas,
teniendo en cuenta los tres modelos de servicio y todos los actores en la nube. Sin
embargo, el estudio es agnóstico en cuanto al modelo de despliegue y su
metodología puede aplicarse a nubes privadas, comunitarias o hibridas. Es un
marco de trabajo que:
• Identifica un conjunto de componentes de seguridad los cuales se pueden
implementar en un ecosistema en la nube para asegurar el entorno, la
operación y la migración de datos hacia la nube.
• Proporciona un conjunto de componentes de seguridad y responsabilidades
para cada actor en la nube, según el modelo de despliegue y servicios.
• Define un modelo de arquitectura formal centrado en la seguridad para la
NCCAR.
• Proporciona diferentes enfoques para el análisis de datos.
La intención es ofrecer un marco de trabajo elástico y dinámico sobre las capas de
la
NCC-RA teniendo en cuenta:
• Los modelos de servicio.
• Los modelos de despliegue.
• Los actores definidos.
Modelo Formal de la NCC-SRA
El borrador del modelo formal de la NCC-SRA, derivado de la NCC-RA actualizado
(Fig. de abajo), indica cada uno de los componentes de la arquitectura
actualizada, los cuales deben asegurarse mediante la implementación de
componentes de seguridad.

En la representación en capas del modelo formal de la NCC-SRA de la Fig. 6, se

pueden apreciar en primer plano los componentes de la arquitectura de seguridad
para cada uno de los actores ilustrados en segundo plano.
Conclusión

La seguridad es un aspecto transversal de la arquitectura y se extiende a través

de
todas las capas del modelo de referencia, abarcando tanto aspectos físicos como
de las aplicaciones. Por lo tanto, la seguridad en la Computación en la Nube no es
exclusivamente competencia de los proveedores, sino también de los
consumidores y otros actores relevantes. Los sistemas basados en la nube deben
hacer frente a
requisitos de seguridad tales como autentificación, autorización, disponibilidad,
confidencialidad, gestión de la identidad, integridad, auditoria, supervisión,
respuesta a incidentes y gestión de políticas de seguridad. Las organizaciones
deben tener una visión integral de los riesgos de seguridad asociados y antes de
contratar un proveedor en la nube es necesario evaluarlos.
Bibliografía

Areitio, J. “Seguridad de la Información: Redes,

Informática y SI”. Cengage Learning-Paraninfo.
2009.
Areitio, J. “Análisis en torno a los esquemas de
compromiso digital y su aplicación en seguridad
de red”. REE. Nº 644/645. Julio-Agosto 2008.
Areitio, J. “Análisis en torno a la auditoria de
seguridad en tecnologías de la información y
las comunicaciones”. REE. Nº 625. Diciembre
2006.
Areitio, J. “Test de penetración y gestión de
vulnerabilidades, estrategias clave para evaluar la
seguridad de red”. REE. Nº 653. Abril 2009.
Areitio, J. “Tipificación de amenazas, identificación de contramedidas de seguridad
en el
ámbito de gestión de redes y sistemas”. REE. Nº
613. Dic. 2005.
Areitio, J. “Identificación de la tecnología firewall para la protección de la seguridad
de red”. REE.
Nº 638. Enero 2008.
Buffington, J. “Data Protection for Virtual Data
Centers”. Sybex. 2010.
Referencias

C. R. Primorac. (2015). Computación en Nube [En línea]. Disponible:

http://exa.unne.edu.ar/informatica/SO/primorac_monografia_computacion_en_nu
be.pdf [22 de Septiembre de 2015].

P. Mell, T. Grance. (2011). NIST Special Publication 800-145, The NIST Definition
of Cloud Computing [En línea]. Disponible:
http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf [22 de
Septiembre de 2015]

B. Furht and A. Escalante. Handbook of Cloud Computing.New York: Springer,

2010.

Intel IT Center (2003). Virtualization and Cloud Computing. Steps in the Evolution
from Virtualization to Private Cloud Infraestructure as a Service [En línea].
Disponible:http://www.intel.in/content/dam/www/public/us/en/documents/guides/cl
oud-computing-virtualization-building-private-iaas-guide.pdf [22 de Septiembre
de 2015].

F. Liu, J. Tong, J. Mao, R. Bohn, J. Messina, L. Badger and D. Leaf. (2001). NIST
Special Publication 500-292, NIST Cloud Computing Reference Architecture [En
línea]. Disponible: http://www.nist.gov/customcf/get_pdf.cfm?pub_id=909505 [22
de Septiembre de 2015].

W. Jansen and T. Grance. (2011). NIST Special Publication 800-144, Guidelines

on
Security and Privacy in Public Cloud Computing [En línea]. Disponible:
http://csrc.nist.gov/publications/nistpubs/800-144/SP800-144.pdf [22 de
Septiembre de 2015].

Cloud Security Alliance. (2010). Top Threats to Cloud Computing V1.0 [En línea].
Disponible: https://cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf [22 de
Septiembre de 2015].

Gartner. (2008). Assessing the Security Risks of Cloud Computing [En línea].
Disponible:http://www.globalcloudbusiness.com/SharedFiles/Download.aspx?pag
eid=138&mid=220&fileid=12 [22 de Septiembre de 2015].

Cloud Security Alliance. (2013). The Notorious Nine Cloud Computing Top Threats
in 2013 [En línea]. Disponible:
https://downloads.cloudsecurityalliance.org/initiatives/top_threats/The_Notorious
_Nine_Cloud_Computing_Top_Threats_in_2013.pdf [22 de Septiembre de
2015].