it-swarm-es.com

¿Cuáles son los problemas de seguridad específicos de la computación en nube?

Mover casi todo a la nube se convierte gradualmente en una corriente principal.

¿Existen problemas de seguridad que aparecieron junto con esta tendencia?

¿Qué deberían comprobar todos, desde el punto de vista de la seguridad, antes de trasladar sus aplicaciones web y bases de datos a Amazon Cloud, Azure, etc.?

23
rem

Hay una cantidad infinita de problemas de seguridad con la nube. Para ver una desagradable lista de lavandería, consulte los documentos de ENISA .

14
atdre

Un pequeño subconjunto de problemas de seguridad (no necesariamente nuevos per se para la nube, pero definitivamente más difíciles):

  • Control de acceso
  • Privacidad y confidencialidad
  • Disponibilidad (¿qué tan fuerte es su SLA, realmente? ¿Su proveedor indemniza por cualquier daño resultante de estar fuera de línea?)
  • conexión con sistemas internos: a menudo tendrá que abrir agujeros en su firewall para permitir que otros protocolos lleguen a sus sistemas internos sensibles.
  • Cumplimiento: existen algunas regulaciones, en particular PCI-DSS, que actualmente no puede cumplir si está utilizando sistemas basados ​​en la nube. Tenga en cuenta que es posible que no rechacen explícitamente los sistemas en la nube, pero es simplemente imposible cumplir mientras se utilizan los sistemas en la nube como lo son hoy.
  • Existen ciertas leyes, en algunos países, que le prohíben mover los datos privados de sus ciudadanos fuera de su país. Hay otros países a los que no quiere mover sus datos, ya que no quiere estar sujeto a sus leyes ... Cuando está nublando , usted realmente no sabe dónde están ubicados sus sistemas y datos, entonces, ¿cómo puede asegurar a sus usuarios algo relacionado con su ubicación? De hecho, ¿cómo sabe qué leyes debe cumplir en qué momento? ¿Y cómo sabes que ya no eres ilegal?
8
AviD

Del pdf de ENISA al que @atdre ya enlazó en su respuesta.

PÉRDIDA DE GOBERNANZA: en el uso de infraestructuras en la nube, el cliente cede necesariamente el control al Proveedor de Nube (CP) sobre una serie de cuestiones que pueden afectar la seguridad. Al mismo tiempo, es posible que los SLA no ofrezcan el compromiso de proporcionar dichos servicios por parte del proveedor de la nube, lo que deja una brecha en las defensas de seguridad.
LOCK-IN: Actualmente hay poca oferta en cuanto a herramientas, procedimientos o formatos de datos estándar o interfaces de servicios que puedan garantizar la portabilidad de datos, aplicaciones y servicios. Esto puede dificultar que el cliente migre de un proveedor a otro o migre datos y servicios a un entorno de TI interno. Esto introduce una dependencia de un CP particular para la prestación del servicio, especialmente si la portabilidad de datos, como aspecto más fundamental, no está habilitada.
FALLO DE AISLAMIENTO: multi-tenencia y recursos compartidos son características definitorias de la computación en nube. Esta categoría de riesgo cubre la falla de los mecanismos que separan el almacenamiento, la memoria, el enrutamiento e incluso la reputación entre diferentes inquilinos (por ejemplo, los llamados ataques de salto de invitado). Sin embargo, debe tenerse en cuenta que los ataques a los mecanismos de aislamiento de recursos (por ejemplo, contra los hipervisores) son aún menos numerosos y mucho más difíciles de poner en práctica para un atacante en comparación con los ataques a los sistemas operativos tradicionales.
RIESGOS DE CUMPLIMIENTO: la inversión para lograr la certificación (p. Ej., Estándares de la industria o requisitos reglamentarios) puede verse en riesgo por la migración a la nube:
si el PC no puede proporcionar pruebas de su propio cumplimiento de los requisitos pertinentes
si el CP no permite la auditoría por parte del cliente de la nube (CC).
En ciertos casos, también significa que el uso de una infraestructura de nube pública implica que no se pueden lograr ciertos tipos de cumplimiento (por ejemplo, PCI DSS (4)).
COMPROMISO DE INTERFAZ DE ADMINISTRACIÓN: Las interfaces de administración de clientes de un proveedor de nube pública son accesibles a través de Internet y median el acceso a conjuntos de recursos más grandes (que los proveedores de alojamiento tradicionales) y, por lo tanto, representan un mayor riesgo, especialmente cuando se combina con el acceso remoto y las vulnerabilidades del navegador web.
PROTECCIÓN DE DATOS : la computación en la nube presenta varios riesgos de protección de datos para los clientes y proveedores de la nube. En algunos casos, puede ser difícil para el cliente de la nube (en su función de controlador de datos) verificar de manera efectiva las prácticas de manejo de datos del proveedor de la nube y, por lo tanto, asegurarse de que los datos se manejen de manera legal. Este problema se agrava en casos de múltiples transferencias de datos, por ejemplo, entre nubes federadas. Por otro lado, algunos proveedores de nube brindan información sobre sus prácticas de manejo de datos. Algunos también ofrecen resúmenes de certificación sobre sus actividades de procesamiento y seguridad de datos y los controles de datos que tienen, por ejemplo, la certificación SAS70.
INSEGURO OR ELIMINACIÓN DE DATOS INCOMPLETOS: cuando se realiza una solicitud para eliminar un recurso en la nube, como con la mayoría de los sistemas operativos, esto puede no resultar en una Borrado de datos. El borrado de datos adecuado u oportuno también puede ser imposible (o indeseable desde la perspectiva del cliente), ya sea porque se almacenan copias adicionales de datos pero no están disponibles, o porque el disco que se va a destruir también almacena datos de otros clientes. En el caso de múltiples arrendamientos y la reutilización de recursos de hardware, esto representa un riesgo mayor para el cliente que con hardware dedicado.
INSIDER MALICIOSO: aunque por lo general es menos probable, el daño que pueden causar los internos maliciosos suele ser mucho mayor. Las arquitecturas en la nube necesitan ciertos roles que son de riesgo extremadamente alto. Los ejemplos incluyen administradores de sistemas CP y proveedores de servicios de seguridad gestionados.

8
Anonymous Type

Solo había una publicación de blog de Lenny Zeltser sobre este tema: Los 10 principales riesgos de seguridad en la nube

La mayoría de sus puntos hablan sobre el problema de que ya no tienes el control total sobre la infraestructura y es posible que ni siquiera sepas cómo funciona internamente. Uno tampoco sabe ya quién más está en el mismo sistema, y ​​una vulnerabilidad en su sistema podría filtrarse a sus datos.

Otro problema es que debe confiar en un extraño para proteger sus datos. Una configuración incorrecta y todos sus datos podrían filtrarse.

6
Andreas Arnold

En términos prácticos, he visto empresas trasladar sitios web a la nube sin una revisión de código. El código fue escrito para una sola máquina que ejecuta ASP.NET.

La nube ofrece principalmente capacidades de escalamiento horizontal. Si el sitio no se hizo para escalar horizontalmente, entonces surgen problemas de simultaneidad con la integridad de los datos o la seguridad de la sesión. Para hacer frente a estos problemas, los desarrolladores eliminarán el código no concurrente (a veces lo hace menos seguro) o reescribirán el código necesario para admitir implementaciones simultáneas sin sesión.

4
goodguys_activate

Puedo recomendar encarecidamente esta encuesta sobre problemas de seguridad con el alojamiento basado en la nube: Autohospedaje frente al alojamiento en la nube: contabilización del impacto de seguridad del alojamiento en la nube .

4
D.W.

Para garantizar que los datos estén seguros y que se mantenga la privacidad de los datos, los proveedores de computación en la nube se ocupan de las siguientes áreas:

Protección de datos - Para ser considerado protegido, los datos de un cliente deben estar debidamente separados de los de otro; debe almacenarse de forma segura cuando esté "en reposo" y debe poder moverse de forma segura de un lugar a otro. Los proveedores de la nube cuentan con sistemas para evitar la filtración de datos o el acceso de terceros. La separación adecuada de tareas debe garantizar que la auditoría y/o el monitoreo no puedan ser derrotados, incluso por usuarios privilegiados en el proveedor de la nube.

Gestión de identidad - Cada empresa tendrá su propio sistema de gestión de identidad para controlar el acceso a la información y los recursos informáticos. Los proveedores de la nube integran el sistema de gestión de identidad del cliente en su propia infraestructura, utilizando tecnología de federación o SSO, o proporcionan una solución de gestión de identidad propia.

Seguridad física y del personal - Los proveedores garantizan que las máquinas físicas sean lo suficientemente seguras y que el acceso a estas máquinas, así como a todos los datos relevantes del cliente, no solo esté restringido, sino que el acceso esté documentado.

Disponibilidad - Los proveedores de la nube aseguran a los clientes que tendrán acceso regular y predecible a sus datos y aplicaciones.

Seguridad de la aplicación - Los proveedores de la nube garantizan que las aplicaciones disponibles como servicio a través de la nube sean seguras mediante la implementación de procedimientos de prueba y aceptación para el código de aplicación empaquetado o subcontratado. También requiere que se implementen medidas de seguridad de la aplicación (firewalls a nivel de la aplicación) en el entorno de producción.

Privacidad - Finalmente, los proveedores se aseguran de que todos los datos críticos (números de tarjetas de crédito, por ejemplo) estén enmascarados y que solo los usuarios autorizados tengan acceso a los datos en su totalidad. Además, las identidades y credenciales digitales deben protegerse, al igual que cualquier dato que el proveedor recopile o produzca sobre la actividad del cliente en la nube.

Para obtener más información sobre Cloud Computing en India, visite - Enlace eliminado por mod

3

Además de los puntos positivos de AviD, los siguientes también son muy importantes:

  • Disponibilidad: sí, AviD lo mencionó, pero no puedo enfatizar lo suficiente lo importante que es que comprenda su dependencia de la nube. A menudo, los proveedores de la nube mencionan la invulnerabilidad de la nube, pero en realidad un ataque de denegación de servicio sigue siendo válido si no puede acceder a su aplicación de manera oportuna.
  • Cumplimiento normativo: en dos frentes: ¿dónde están sus datos? ¿Puede garantizar que permanece en la jurisdicción correcta y, para el descubrimiento electrónico, puede garantizar que ha recuperado todos los datos relacionados con un individuo/evento?

La nube hace que ambos sean más difíciles de confirmar.

3
Rory Alsop

La virtualización, que es la raíz de la tecnología de computación en la nube, elimina el llamado término "perímetro", que era como una guía en los CD (centros de datos) habituales, dónde comenzar la defensa y qué hacer. Como la mayoría de los datos en las nubes se transfieren entre servidores físicos, máquinas virtuales, hay menos control de dicho sistema, menos posibilidades de segmentación de la red y uso de protección de tipo hardware. Esta nueva virtualización DC requiere una nueva política de acceso y software de gestión de datos).

Se creó una organización sin fines de lucro Cloud Security Alliance (CSA) que tiene como objetivo la seguridad en la nube: http://www.cloudsecurityalliance.org/ . Allí puede encontrar guías y mejores prácticas sobre cómo lidiar con la computación en la nube.

2
anonymous

Los entornos de múltiples inquilinos son vulnerables a Ataques de cookies de dominio relacionado

0
goodguys_activate