La seguridad de cómputo en la nube o simplemente seguridad en la nube es un sub-dominio de la seguridad informática, seguridad de redes y más ampliamente, seguridad de información. Se refiere a una amplia gama de políticas, tecnologías y formas de control destinadas a proteger datos, aplicaciones y la infraestructura asociada a la computación en la nube.
Problemas de seguridad asociados a la nube
La computación en la nube y la solución de almacenamiento de información, proveen a los usuarios y empresas numerosas capacidades de almacenamiento y procesamiento de información en centros de información de terceros.[1] Las organizaciones utilizan la nube como diferentes modelos de servicio: (software como servicio, plataforma como servicio e infraestructura como servicio) y modelos de despliegue (privada, pública, híbrida, y comunitaria).[2] Hay varios problemas de seguridad asociados con la computación en la nube, sin embargo, se dividen en dos grandes categorías: problemas a los que se enfrentan los proveedores de la nube (organizaciones que proveen software-, plataforma-, o Infraestructura como servicio a través de la nube) y problemas de seguridad enfrentados por los clientes(compañías y organizaciones que utilizan la aplicación o almacenan información en la nube.[3] La responsabilidad es de los dos lados, sin embargo: el proveedor debe asegurar que la infraestructura que ofrece sea segura y que la información de sus clientes estará a salvo, los usuarios, por su parte, deben tomar medidas para fortalecer su aplicación y utilizar contraseñas fuertes y medidas de autenticación.
Cuando una organización elige almacenar datos o utilizar la nube pública para hospedar su aplicación, pierde la habilidad de tener acceso físico a los servidores que almacenan la información. Como resultado, información sensible y confidencial está en riesgo potencial de ser víctima de ataques internos. De acuerdo a un reporte reciente sobre Alianza de Seguridad en la nube, los ataques internos son la tercera mayor amenaza en la computación en la nube.[4] Por consiguiente, los proveedores del servicio de la nube deben proveer seguridad a través de chequeos realizados por los empleados que tienen acceso físico a los servidores en el centro de datos. Adicional a esto, los centros de datos deben ser monitoreados frecuentemente contra actividad sospechosa.
Con la finalidad de mantener recursos, reducir costos y mantener eficiencia, los proveedores de servicios en la nube a menudo almacenan diversa información de un mismo usuario en un solo servidor. Como resultado, hay más posibilidades de que la información del usuario pueda ser vista por otros usuarios (posiblemente hasta por competidores). Para controlar esta situación, los proveedores deben asegurar un correcto aislamiento de datos y segregación lógica de almacenamiento.[2]
El extenso uso de virtualización al implementar infraestructura de nube conlleva preocupaciones de seguridad para los clientes o inquilinos de una nube pública.[5] La virtualización altera la relación entre el sistema operativo y el hardware, siendo el procesamiento computacional, almacenamiento o incluso la red. Esto introduce una capa adicional-virtualización- que debe ser debidamente configurada, controlada y asegurada.[6] Algunas preocupaciones específicas incluyen la posible situación de comprometer el software de virtualización o "hipervisor". Mientras que estas preocupaciones son, en muchos casos, teoría, sí existen.[7] Por ejemplo, una brecha en la estación de trabajo de un administrador con el software de gestión de datos del software de virtualización, puede causar que todo el centro de datos se caiga o sea reconfigurado y conectado hacía un ataque.
Controles de seguridad en la nube
La arquitectura de seguridad en la nube es efectiva solo si se implementan defensas en los lugares correctos. Una arquitectura eficiente debe reconocer los problemas que pueden llegar a aparecer con la gestión de seguridad.[8] La gestión de seguridad agrupa estos problemas con controles de seguridad. Estos controles se utilizan para resguardar cualquier debilidad en el sistema y reducen el efecto de los ataques. A pesar de que hay muchos tipos de controles detrás una arquitectura en la nube, usualmente se pueden encontrar en una de las siguientes categorías:[8]
- Controles disuasivos
- Estos controles están destinados a reducir los ataques en un sistema en la nube. Cumplen el propósito de un signo de advertencia en una reja de una propiedad, los controles disuasivos reducen el nivel de amenaza al informar a los posibles atacantes que habrán consecuencias adversas hacia ellos si continúan con el ataque. (Algunos lo consideran un subconjunto de los controles preventivos).
- Controles preventivos
- Los controles preventivos refuerzan el sistema en contra de incidentes, generalmente reduciendo o eliminando vulnerabilidades. Autenticaciones fuertes de los usuarios de la nube, por ejemplo, hace menos probable que usuarios no autorizados tengan acceso al sistema y que los usuarios sean identificados.
- Controles de detección
- Los controles de detección están destinados a detector y reaccionar adecuadamente a cualquier incidente que ocurra. En el caso de ataque, un control de detección va a señalar los controles de prevención o los controles de corrección para reconocer el problema.[8] El monitoreo de la seguridad de red y de sistema, incluyen detección de intrusos y alistamientos de prevención y son típicamente utilizados para detectar ataques en el sistema de la nube y dan soporte a la infraestructura de comunicación.
- Controles correctivos
- Los controles correctivos reducen las consecuencias de un incidente, normalmente limitando el daño. Su efecto ocurre durante o después de un ataque. En ejemplo de control correctivo para reconstruir un sistema comprometido después de un ataque es restaurar sistemas de respaldo.
Dimensiones de la seguridad en la nube
Generalmente se recomienda que los controles de seguridad de información sean seleccionados e implementados de acuerdo y en proporción a los riesgos, típicamente evaluando las amenazas, vulnerabilidades y sus impactos. Preocupaciones acerca de seguridad en la nube pueden ser agrupadas de varias maneras; Gartner nombró siete[9] mientras que la Alianza de seguridad en la nube identificó 14 áreas de preocupación.[10][11] Aplicaciones de rompimiento de seguridad en la nube son utilizadas para añadir seguridad adicional a los servicios de la nube.[12]
Seguridad y privacidad
- Identificar gestión
- Cada empresa tiene su propio sistema de gestión de identidad para controlar el acceso a la información y recursos de computadoras. Los proveedores de nube integran este sistema de gestión de identidad a su infraestructura, usando federación, tecnología SSO o un sistema de identificación basado en biométrica,[1] o proveen una solución de manejo de identidad de su propiedad.[13] CloudID,[1] por ejemplo, provee una solución basada en la nube para preservar la privacidad y una identificación entre empresas de tipo biométrica para solucionar este problema. Junta la información confidencial de los usuarios a sus biométricas y lo almacena de manera encriptada. Haciendo uso de una técnica de encriptación, la identificación por biométrica es llevada a cabo en un dominio encriptado para asegurar que el proveedor de nube o los potenciales atacantes no ganen acceso a información sensible o incluso al contenido de consultas individuales.[1]
- Seguridad física
- Los proveedores de nube aseguran el hardware de manera física (servidores, routers, cables, etc.) contra acceso no autorizado, interferencia, robo, incendios, inundaciones, etc. y se aseguran de que reservas esenciales (como electricidad) sean suficientemente robustas para minimizar las posibles interrupciones. Esto, normalmente se logra obteniendo aplicaciones de centros de datos con calidad de clase mundial.
- Seguridad personal
- Varias preocupaciones de seguridad relacionadas con las TI y otros profesionales, asociadas con los servicios de nube son típicamente manejadas a través de programas realizados antes, durante y después del proceso de contratación de nuevo personal como programas de entrenamiento, conciencia de seguridad, vigilando a los posibles reclutas a través de sus pantallas, procedimientos disciplinarios y obligaciones contractuales establecidos en contratos, acuerdos de nivel de servicio, código de conducta, políticas, etc.
- Disponibilidad
- Los proveedores de servicio de nube ayudan a asegurar que los clientes puedan confiar en el acceso a sus datos y aplicaciones, al menos en parte (fallas en cualquier punto- no solo dentro del domino del proveedor del servicio de nube- puede interrumpir la comunicación entre usuarios y aplicaciones).
- Aplicación de seguridad
- Los proveedores de servicio de nube se aseguran que las aplicaciones disponibles como servicio a través de la nube sean aseguradas especificando, diseñando, implementando, probando y manteniendo aplicaciones de seguridad apropiadas. en el ambiente de producción. Nótese que- como en cualquier software comercial- los controles que se implementan no son necesariamente responsables de mitigar todos los riesgos que identifican y que no necesariamente identifican todos los riesgos que preocupan a los usuarios. Consecuentemente, los clientes también necesitan asegurarse ellos mismos que las aplicaciones de nube estén adecuadamente aseguradas para sus propósitos específicos, incluyendo sus obligaciones de conformidad.
- Privacidad
- Los proveedores aseguran que todos los datos críticos (números de tarjeta de crédito, por ejemplo) sean enmascarados o encriptados y que solo usuarios autorizados tengan acceso a la información en su totalidad. Más aún, identidades digitales y credenciales deben ser protegidas como cualquier información que el proveedor almacene o produzca a través de la actividad del usuario.
Conformidad
Numerosas leyes y regulaciones pertenecen al almacenamiento y uso de datos. En los Estados Unidos estas incluyen leyes de protección de datos y de privacidad. Industria de pago de tarjetas - Estándar de seguridad de datos, el Seguro de salud portátil y ley de responsabilidad, la ley Sarbanes-Oxley, la ley de seguridad de gestión de información federal de 2002 y la ley de protección de privacidad de infantes en línea de 1998, entre otros.
Leyes similares pueden aplicar a diferentes jurisdicciones y pueden diferir de manera marcada de aquellas que se hacen cumplir en Estados Unidos. Los usuarios de servicios de nube necesitan estar conscientes de las diferencias en temas legales y de regulaciones. Por ejemplo, los datos almacenados por un proveedor de servicios de nube pueden estar localizados en Singapur y reflejados en Estados Unidos.[14]
Muchas de estas regulaciones mandan controles particulares (como controles de acceso fuertes y pistas de auditoría) y requieren reporte regular. Los clientes de servicios de nube deben asegurarse que los proveedores cumplan adecuadamente con los requerimientos apropiados, permitiendo que cumplan con sus obligaciones ya que, en un alto grado, siguen siendo responsables de ello.
La computación en la nube también se verá afectada por leyes destinadas a promover la privacidad, como el RGPD. Según los académicos, el RGPD afectará la forma en que se desarrollen las tecnologías emergentes. Las tecnologías emergentes como la computación en la nube son un gran impulso para la economía, pero también requieren un uso sustancial de datos que podrían resultar intrusivos. Las regulaciones que impone el GDPR probablemente afectarán el desarrollo de la computación en la nube al aumentar los costos y limitar el alcance.[15]
- Continuidad de negocio y recuperación de datos
- Los proveedores de nube tienen planes de continuidad de negocio y planes de recuperación de datos para asegurar que el servicio pueda ser mantenido en caso de desastre o emergencia y que cualquier pérdida de información pueda ser recuperada.[16] Estos planes pueden ser compartidos y revisados idealmente con acuerdos de continuidad de los clientes. Ejercicios continuos de conjunto pueden ser apropiados, simulando una falla eléctrica o de internet mayor, por ejemplo.
- Registros y pistas de auditoría
- En adición a producir registros y pistas de auditoría, los proveedores de servicios en la nube trabajan en conjunto con sus clientes para asegurar que estos registros y pistas de auditoría estén adecuadamente protegidos, mantenidos el tiempo que el cliente lo requiera y accesibles para propósitos de investigación forense.
- Requerimientos de conformidad únicos
- Además de los requerimientos a los cuales están sujetos los sujetos, los centros de datos usados por los proveedores de nube pueden ser objeto de requerimientos de conformidad. Utilizar un proveedor de servicios en la nube puede conducir a preocupaciones de seguridad adicionales alrededor de la jurisdicción de datos ya que el cliente o la información puede no permanecer en el mismo sistema, en el mismo centro de datos o, en determinado caso, en el mismo proveedor de servicios en la nube.[17]
Problemas legales y contractuales
Además de los problemas de seguridad y conformidad mencionados anteriormente, los proveedores de servicio de nube y sus clientes deben negociar términos acerca de responsabilidad (estipulando cómo deben resolverse los incidentes que involucren pérdida de datos o que comprometan los mismos ), por ejemplo, propiedad intelectual, y término de servicio (cuando la información y aplicaciones son regresadas al cliente). Además, hay consideraciones por adquirir información de la nube que pueden estar involucradas con litigios.[18] Estos problemas son discutidos en acuerdos de nivel de servicio.
Registros públicos
Problemas legales también pueden incluir requerimientos de gestión documental en el sector público, donde muchas agencias tienen como requisito, por ley, retener y poner a disposición registros electrónicos en una manera específica. Esto puede ser determinado por legislación o la ley puede requerir de agencias para conformar las reglas y prácticas impuestas por una agencia de mantenimiento de registros. Agencias públicas que utilizan computación y almacenamiento en la nube deben tomar este asunto en consideración.
Referencias
- ↑ a b c d Haghighat, M., Zonouz, S., & Abdel-Mottaleb, M. (2015). CloudID: Trustworthy Cloud-based and Cross-Enterprise Biometric Identification. Expert Systems with Applications, 42(21), 7905–7916.
- ↑ «Swamp Computing a.k.a. Cloud Computing». Web Security Journal. 28 de diciembre de 2009. Archivado desde el original el 31 de agosto de 2019. Consultado el 25 de enero de 2010.
- ↑ «Top Threats to Cloud Computing v1.0». Cloud Security Alliance. Archivado desde el original el 28 de septiembre de 2018. Consultado el 20 de octubre de 2014.
- ↑ Winkler, Vic. «Cloud Computing: Virtual Cloud Security Concerns». Technet Magazine, Microsoft. Consultado el 12 de febrero de 2012.
- ↑ Hickey, Kathleen. «Dark Cloud: Study finds security risks in virtualization». Government Security News. Archivado desde el original el 30 de enero de 2012. Consultado el 12 de febrero de 2012.
- ↑ Winkler, Vic (2011). Securing the Cloud: Cloud Computer Security Techniques and Tactics. Waltham, MA USA: Elsevier. p. 59. ISBN 978-1-59749-592-9. Archivado desde el original el 29 de julio de 2012. Consultado el 24 de octubre de 2015.
- ↑ a b c Krutz, Ronald L., and Russell Dean Vines. "Cloud Computing Security Architecture." Cloud Security: A Comprehensive Guide to Secure Cloud Computing. Indianapolis, IN: Wiley, 2010. 179-80. Print.
- ↑ «Gartner: Seven cloud-computing security risks». InfoWorld. 2 de julio de 2008. Consultado el 25 de enero de 2010.
- ↑ «Security Guidance for Critical Areas of Focus in Cloud Computing». Cloud Security Alliance. 2011. Consultado el 4 de mayo de 2011.
- ↑ «Cloud Security Front and Center». Forrester Research. 18 de noviembre de 2009. Archivado desde el original el 24 de noviembre de 2009. Consultado el 25 de enero de 2010.
- ↑ «Cloud Access Security Brokers (CASBs) - Gartner IT Glossary». Consultado el 1 de octubre de 2015.
- ↑ «Identity Management in the Cloud». Information Week. 25 de octubre de 2013. Consultado el 5 de junio de 2013.
- ↑ «Managing legal risks arising from cloud computing». DLA Piper. Consultado el 22 de noviembre de 2014.
- ↑ Li, He; Yu, Lu; He, Wu (2 de enero de 2019). «The Impact of GDPR on Global Technology Development». Journal of Global Information Technology Management (en inglés) 22 (1): 1-6. ISSN 1097-198X. doi:10.1080/1097198X.2019.1569186. Consultado el 6 de octubre de 2023.
- ↑ «It’s Time to Explore the Benefits of Cloud-Based Disaster Recovery». Dell.com. Archivado desde el original el 15 de mayo de 2012. Consultado el 26 de marzo de 2012.
- ↑ Winkler, Vic (2011). Securing the Cloud: Cloud Computer Security Techniques and Tactics. Waltham, MA USA: Elsevier. pp. 65, 68, 72, 81, 218-219, 231, 240. ISBN 978-1-59749-592-9. Archivado desde el original el 29 de julio de 2012. Consultado el 24 de octubre de 2015.
- ↑ Adams, Richard (2013). «'The emergence of cloud storage and the need for a new digital forensic process model». Murdoch University.