Modelo de seguridad para plataformas colaborativas de e ciencia sobre cloud computing
149
0
0
Texto completo
(2) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. Pedro Julio Vargas Barrios. Tesis presentada como requisito para optar al título de: Magister en Ciencias de la Información y las Comunicaciones. Director: Dr. JOSÉ NELSON PÉREZ CASTILLO. Línea de Investigación: Ingeniería de Sistemas, telemática y afines Grupo de Investigación: GICOGE. UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS Maestría en Ciencias de la Información y las Comunicaciones Bogotá, Colombia Enero de 2018.
(3) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 3. Agradecimientos Doy gracias a la Universidad Distrital Francisco José de Caldas que me brindó la oportunidad de formarme en la modalidad de maestría y me permitió desarrollar en el Centro de Investigación de Alto Desempeño (CECAD) la investigación y desarrollo de mi trabajo de grado. Agradezco a mi familia por su confianza y apoyo, a todos los docentes de la maestría por su labor como formadores al realizar aportes y observaciones constructivas que consolidaron este proyecto..
(4) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 4. Contenido Lista de figuras ...................................................................................................... 9 Lista de tablas ..................................................................................................... 11 Introducción......................................................................................................... 12 1. 2. 3. Formulación de la Investigación ................................................................. 14 1.1. Problema de Investigación................................................................................. 14. 1.2. Pregunta de Investigación ................................................................................. 15. 1.3. Justificación ....................................................................................................... 16. Objetivos ....................................................................................................... 17 2.1. Objetivo general ................................................................................................ 17. 2.2. Objetivos específicos ......................................................................................... 17. Cloud Computing y Seguridad de la Información ...................................... 18 3.1. Modelos de servicio ........................................................................................... 20 Software as a Service (SaaS) ..................................................................... 20 Platform as a Service (PaaS) ...................................................................... 21 IaaS (Infraestructura as a Service) ............................................................. 22. 3.2. Modelos de Despliegue ..................................................................................... 24 Nube Pública .............................................................................................. 24 Nube Privada .............................................................................................. 24 Nube Comunitaria ....................................................................................... 24 Nube hibrida ............................................................................................... 24. 3.3. Seguridad de la información .............................................................................. 25. 3.4. Principios de la seguridad de la información. ..................................................... 25.
(5) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 5. Confidencialidad ......................................................................................... 25 Integridad ................................................................................................... 26 Disponibilidad ............................................................................................. 26 Identificación............................................................................................... 27 Autenticación .............................................................................................. 27 Autorización ................................................................................................ 27 Accountability o trazabilidad ....................................................................... 28 No Repudio ................................................................................................ 28 3.5. Problemas de seguridad en Cloud Computing ................................................... 28 Vulnerabilidades en Cloud Computing ........................................................ 28 Amenazas en Cloud Computing ................................................................. 29 Tipos de ataque en la nube ........................................................................ 29. 3.6. Enfoques de Modelos de Seguridad en Cloud Computing ................................. 30 Nubes Públicas........................................................................................... 30. 3.7. Investigación & e-ciencia ................................................................................... 32. 3.8. Sistema de Gestión de Seguridad de la Información (SGSI).............................. 33 Ciclo PDCA ................................................................................................ 33. 4. Análisis de estándares de seguridad en Cloud Computing...................... 34 4.1. Organizaciones relevantes en estandarización de Cloud Computing ................. 34 ISO ............................................................................................................. 36 NIST ........................................................................................................... 37 CSA ............................................................................................................ 37. 4.2. Familia ISO 27000 ............................................................................................. 38 Vocabulario Estándar ................................................................................. 39 Estándares que especifican requisitos ........................................................ 39 Normas que describen directrices generales .............................................. 39.
(6) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 6. Normas que describen directrices en sectores específicos ......................... 40 4.3. National Institute of Standards and Technology (NIST) ..................................... 42 Federal Information Processing Standards (FIPS): ..................................... 42 NIST Special Publications (SPs): ................................................................ 43 Information Technology Laboratory (ITL) Bulletins: ..................................... 43 NIST Special Publication ............................................................................ 43 NIST Special Publication - Cloud ................................................................ 44. 4.4. Cloud Security Alliance (CSA) ........................................................................... 46 Dominio 1: Cloud Computing Architectural Framework ............................... 47 Dominio 2: Governance and Enterprise Risk Management ......................... 47 Dominio 3: Legal Issues: Contracts and Electronic Discovery ..................... 48 Dominio 4 Compliance and Audit Management .......................................... 48 Dominio 5: Information Management and Data Security ............................. 49 Dominio 6: Interoperability And Portability .................................................. 49 Dominio 7: Traditional Security, Business Continuity, and Disaster Recovery 50 Dominio 8: Data Center Operations ............................................................ 50 Dominio 9: Incident Response .................................................................... 50 Dominio 10: Application Security ................................................................ 51 Dominio 11: Encryption and Key Management ........................................... 51 Dominio 12: Identity, Entitlement, and Access Management....................... 51 Dominio 13: Virtualization ........................................................................... 51 Dominio 14: Security as a Service .............................................................. 52. 5. Propuesta de Modelo de seguridad ............................................................ 53 5.1. ¿A quiénes va dirigido? ..................................................................................... 53. 5.2. Disposición del entorno y preparación ............................................................... 54. 5.3. Establecer situación inicial ................................................................................. 56.
(7) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 7. Reconocimiento de la estructura organizacional ......................................... 57 Verificación de políticas y controles de seguridad existentes ...................... 57 Realización de encuestas ........................................................................... 58 5.4. Definir el alcance ............................................................................................... 59. 5.5. Análisis de riesgos y vulnerabilidades................................................................ 60 Identificación y valoración de activos .......................................................... 60 Análisis de riesgos ...................................................................................... 61. 5.6. Modelo propuesto para determinación de controles de seguridad y gestión de. riesgos ......................................................................................................................... 64 Determinación de controles de seguridad basados en normas internacionales para una nube privada. ............................................................................................. 65. 6. 5.7. Implantación del SGSI ....................................................................................... 81. 5.8. Monitorización y revisión.................................................................................... 81. 5.9. Mantenimiento y mejora..................................................................................... 81. Caso de estudio: Modelo de Seguridad para la nube privada del CECAD de. la Universidad Distrital Francisco José de Caldas........................................... 82 6.1. Centro de Computación de Alto de Desempeño (CECAD) ................................ 82. 6.2. Disposición del entorno y preparación ............................................................... 83 Contexto del modelo cloud en el CECAD ................................................... 83 Sensibilización de los altos cargos ............................................................. 83 Personal y roles para la implementación .................................................... 84. 6.3. Situación actual del CECAD .............................................................................. 85 Estructura Organizacional........................................................................... 85 Controles de seguridad existentes en la organización ................................ 87. 6.4. Alcance del SGSI para el CECAD ..................................................................... 88. 6.5. Análisis de riesgos y vulnerabilidades del CECAD............................................. 88 Identificación y valoración de activos del CECAD ....................................... 88.
(8) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 8. Análisis de riesgos del CECAD ................................................................... 91 6.6. Determinación de controles de seguridad y gestión de riesgos – aplicación del. modelo propuesto ........................................................................................................ 94 Categorización de la información del CECAD ............................................. 94 Determinación de línea base de control para la nube privada ..................... 95. 7. Conclusiones .............................................................................................. 109. 8. Trabajos futuros ......................................................................................... 110. 9. Anexos ......................................................................................................... 111 9.1. Anexo A - lista de Controles ISO 27001/27017/27018 ..................................... 111. 9.2. Anexo B - Lista de controles CSA .................................................................... 114. 9.3. Anexo C - Mapeo ISO/IEC 27001 a NIST SP800-53 ....................................... 117. 9.4. Anexo D - Guía de controles y líneas base del NIST ....................................... 122. 9.5. Anexo E - Lista de preguntas para evaluación de controles............................. 128. 9.6. Anexo F - Lista de controles consolidados ....................................................... 134. 9.7. Anexo G – Evaluación ISO- NIST .................................................................... 135 Anexo G.1 – Evaluación ISO/IEC 27001 – NIST AC ................................. 135 Anexo G.2 - Evaluación ISO/IEC 27001 – NIST AT, AU ........................... 136 Anexo G.3 - Evaluación ISO/IEC 27001 – NIST CA-CM ........................... 137 Anexo G.4 - Evaluación ISO/IEC 27001 – NIST CP-IA ............................. 138 Anexo E.G Evaluación ISO/IEC 27001 – NIST IR-MA .............................. 139 Anexo G.6 Evaluación ISO/IEC 27001 – NIST MP-PL-PS-RA .................. 140 Anexo G.7 Evaluación ISO/IEC 27001 – NIST PE .................................... 141 Anexo G.8 Evaluación ISO/IEC 27001 – NIST SA .................................... 142 Anexo G.9 Evaluación ISO/IEC 27001 – NIST SC-SI ............................... 143. 9.8. Anexo H – Evaluación CSA – NIST ................................................................. 144. 10 Bibliografía .................................................................................................. 146.
(9) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 9. Lista de figuras Figura 1 Características de Cloud Computing basadas en el Modelo Visual NIST [3, p. 10]. ........................................................................................................................................ 19 Figura 2 . Responsabilidades en el modelo de servicio SaaS. Autoría propia. ................. 21 Figura 3. Responsabilidades en el modelo de servicio PaaS. Autoría propia. .................. 22 Figura 4. Responsabilidades en el modelo de servicio IaaS. Autoría propia. ................... 23 Figura 5. Distribución de normas de seguridad. Autoría propia. ....................................... 36 Figura 6. Relación entre el SGSI y la familia de estándares ISO [4, p. 21]. ...................... 38 Figura 7 . Documentación publicada por el NITS – Clasificación de series técnicas. Autoría propia. ............................................................................................................................. 42 Figura 8 . Perfiles de seguridad informática en las organizaciones. Autoría propia. ......... 55 Figura 9. Etapas para determinar la situación inicial de seguridad en la organización. Autoría propia .............................................................................................................................. 57 Figura 10. Jurisdicciones, entidades jurídicas o marcos involucrados en la aplicabilidad de requisitos legales [3, p. 37] .............................................................................................. 66 Figura 11. Composición de los controles de seguridad seleccionados. Autoría propia..... 70 Figura 12 . Línea base de seguridad para la categoría de seguridad "baja". Autoría propia. ........................................................................................................................................ 73 Figura 13 . Línea base de seguridad para la categoría de seguridad "media". Autoría propia. ........................................................................................................................................ 74 Figura 14 . Línea base de seguridad para la categoría de seguridad "alta". Autoría propia. ........................................................................................................................................ 74 Figura 15 . Comparación de líneas base de seguridad. Autoría propia. ........................... 75 Figura 16 . Etapas para la selección de controles de seguridad de la nube privada. Autoría propia. ............................................................................................................................. 76.
(10) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 10. Figura 17 . Organigrama general de la Universidad Distrital Francisco José de Caldas. Fuente página web Universidad Distrital. ......................................................................... 85 Figura 18 . Organigrama del CECAD de la Universidad Distrital Francisco José de Caldas. Autoría propia. ................................................................................................................. 86 Figura 19. Servidor en rack PowerEdge R610 [37] .......................................................... 89 Figura 20. Servidor PowerEdge R710 [38] ....................................................................... 89 Figura 21. PowerEdge R900 ............................................................................................ 89 Figura 22. HP DL160 G6 [39]........................................................................................... 89 Figura 23. BladeCenter S 8886 [40] ................................................................................. 89 Figura 24. Blade HSS 22 [41]. ......................................................................................... 89 Figura 25 . Determinación de línea base de control para la nube privada del CECAD. Autoría propia. ................................................................................................................. 95 Figura 26 . Clasificación de preguntas para evaluación de controles de seguridad. Autoría propia. ............................................................................................................................. 96 Figura 27. Línea base de seguridad para el CECAD - Categoría ALTA. Autoría propia. .. 99 Figura 28 .Línea base de seguridad para el CECAD - Categoría MEDIA. Autoría propia. 99 Figura 29 .Línea base de seguridad para el CECAD - Categoría BAJA. Autoría propia. 100 Figura 30 . Estado general de seguridad del CECAD. Autoría propia. ........................... 102 Figura 31 . Línea base de seguridad física del CECAD - Estado ideal. Autoría propia. .. 103 Figura 32 . Estado real de la seguridad física del CECAD. Autoría propia. .................... 103 Figura 33 . Línea base de seguridad de datos del CECAD - Estado ideal. Autoría propia. ...................................................................................................................................... 104 Figura 34 . Estado real de la seguridad de datos del CECAD. Autoría propia. ............... 104 Figura 35 . Línea base de seguridad de red del CECAD - Estado ideal. Autoría propia. 105 Figura 36 . Estado real de la seguridad de datos del CECAD. Autoría propia. ............... 105.
(11) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 11. Lista de tablas Tabla 1. Organizaciones relevantes de estandarización en Cloud Computing [18]. ......... 35 Tabla 2. N° de certificados ISO/IEC 27001 por región – Fuente ISO ............................... 37 Tabla 3. Perfiles básicos para implementación de modelo de seguridad. Autoría propia. 56 Tabla 4. Valoración cualitativa de activos. Autoría propia ................................................ 60 Tabla 5. Valoración cuantitativa de activos. Autoría propia .............................................. 61 Tabla 6. Valoración total de activos ................................................................................. 61 Tabla 7. Criterios de Valoración de vulnerabilidades. Autoría propia. .............................. 62 Tabla 8. Valoración de riesgos......................................................................................... 63 Tabla 9. Estados y valores del riesgo .............................................................................. 63 Tabla 10. Matriz de riesgo por activo – Autoría propia ..................................................... 64 Tabla 11. Organizaciones relevantes en desarrollo de normas y certificaciones Cloud [31]. ........................................................................................................................................ 67 Tabla 12. Identificadores y nombres de controles de seguridad del NIST [33, p. 9] ......... 72 Tabla 13. Estructura de la tabla de categorización y evaluación de controles para la nube privada. Autoría propia..................................................................................................... 77 Tabla 14 . Ejemplo de preguntas para la valoración de controles de seguridad. Autoría propia. ............................................................................................................................. 79 Tabla 15. Criterios para la valoración de los controles de seguridad. Autoría propia. ...... 80 Tabla 16. Activos del CECAD que hacen parte de la nube. Autoría propia. ..................... 89 Tabla 17. Imágenes de equipos que hacen parte de la nube privada ............................. 89 Tabla 18. Tabla de Valoración Cualitativa del CECAD. Autoría Propia. ........................... 90 Tabla 19. Tabla de Valoración Cuantitativa del CECAD. Autoría Propia. ......................... 90 Tabla 20. Valoración de activos del CECAD. Autoría propia. ........................................... 90 Tabla 21. Rangos de valores para la determinación de tipos de riesgo. .......................... 91 Tabla 22 . Matriz de riesgos del CECAD. Autoría propia. ................................................. 93 Tabla 23 . Categorías de seguridad según el NIST - FIPS 199. ....................................... 94 Tabla 24 . Estructura de la tabla para la elaboración de controles de seguridad. Autoría propia. ............................................................................................................................. 97 Tabla 25 . Número de preguntas por tipo de pregunta para el CECAD. ........................... 97 Tabla 26 . Cantidad de preguntas por norma y por mapeo al NIST.................................. 98 Tabla 27 . Evaluación de controles ................................................................................ 101 Tabla 28 . Principales Recomendaciones/Controles de seguridad para el CECAD ........ 107.
(12) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 12. Introducción Las preocupaciones de seguridad en Cloud Computing están asociadas con la protección de los datos personales de sus usuarios, la denegación de servicios, la pérdida de datos, la seguridad de las APIs, entre otros aspectos que afectan este modelo; ahora bien, aunque es cierto que una nube pública está mucho más expuesta a amenazas y ataques informáticos, la organización que opta por implantar una nube privada tiene estas mismas preocupaciones pero con la dificultad de establecer cómo abordarlas, por un lado debe mantener en gran medida la seguridad tradicional en los recursos que la soportan, y por otro debe escoger los controles de seguridad me mejor protegerán los servicios que ofrecerá. Lo anterior implica que deba garantizar la implantación de un modelo de seguridad que se enfoque en sus particularidades con el fin de generar confianza en sus usuarios/clientes. Este proyecto se centra precisamente en la seguridad de nubes privadas, con una distinción adicional que consiste en que la nube privada esté orientada a investigación, donde la protección de los datos que son resultado de proyectos de investigación toma mayor relevancia. Existe una extensa cantidad de estándares técnicos que aplican para diferentes disciplinas o áreas, estos son elaborados por diferentes organizaciones que pueden coincidir algunas veces en la temática del estándar pero no así en su contenido, en el área de la seguridad informática por ejemplo se presenta esta situación, ya que aunque algunas organizaciones son más reconocidas que otras, como es el caso de la familia ISO/IEC 27000, es posible que los estándares publicados no cubran por completo las características de una tecnología específica, o que de alguna forma incluya reglas que sean innecesarias o limiten tales características. Es así como en el Cloud Computing los controles de la ISO/IEC 27001 pueden ser complementados por estándares o buenas prácticas que son expedidas por otras organizaciones que están dedicadas a todo lo relacionado con la Cloud; ahora bien, si se piensa concretamente en una nube privada, el análisis de unos criterios específicos mínimos de seguridad dentro esta amplia cantidad de estándares se hace mucho más complejo. Este proyecto busca hacer un aporte en este sentido, proponiendo una.
(13) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 13. metodología que facilite a las organizaciones que han implementado una nube privada, la protección de los servicios que ofrece y la infraestructura que la soporta. Este trabajo se propone a través de unos criterios de seguridad seleccionados de diferentes organizaciones, establecer una metodología para que las organizaciones obtengan una línea base de seguridad que se ajuste a su nube privada. Se presentará así mismo un caso de estudio realizado en el Centro de Computación de Alto Desempeño (CECAD) de la Universidad Distrital Francisco José de Caldas. En los dos primero capítulos se encuentra la caracterización básica y el enfoque del proyecto, presentando en el primer capítulo la formulación de la investigación, donde se define el problema de investigación, la pregunta de investigación y la justificación; en el segundo capítulo se exponen los objetivos del proyecto. El tercer y cuarto capítulo contienen los temas asociados al marco teórico, que debido a la robustez de su contenido debieron dividirse de esa forma para facilitar la comprensión que se dificultaría vinculándolos en un solo. Básicamente en el tercer capítulo se presentan conceptos básicos de Cloud Computing y seguridad de la información y en el capítulo cuatro se pretende dimensionar la cantidad de normas relacionadas con la seguridad de la información y la dificultad para relacionarlas o centrarse en algunas específicas. En el capítulo quinto se expone el modelo propuesto, que está basado en el tradicional ciclo PDCA, así mismo se realiza un aporte planteando una metodología para definir los controles de seguridad para una nube privada basado en normas y buenas prácticas de organizaciones reconocidas. En el capítulo sexto se presenta el caso de estudio realizado en el CECAD y su diferencia con el estado “ideal” de seguridad planteado..
(14) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 14. 1 Formulación de la Investigación. 1.1 Problema de Investigación El concepto de Cloud Computing continúa en auge y su uso se sigue extendiendo como una alternativa para diferentes empresas y usuarios que buscan obtener poder y capacidad de cómputo de forma ágil y a bajo precio; por ejemplo, empresas que optan por ofrecer infraestructura como servicio (IAAS), han invertido en soluciones de software que les permite utilizar sus recursos de cómputo para construir nubes privadas con el fin de obtener una mejor administración de recursos. Así mismo, este proceso de migración a la nube se refleja en universidades que han comenzado un proceso de implementación de nubes privadas en sus centros de datos. Uno de los casos es el de la Universidad de los Andes, que en el año 2012 instaló un escenario completo de Cloud Computing a partir del cual surgieron y se continúan desarrollando proyectos del área de investigación; de la misma forma, la Universidad Distrital implementó desde el año 2015 una nube privada en su Centro de Computación de Alto Desempeño (CECAD), la cual ha beneficiado tanto a docentes y estudiantes de postgrado y doctorado en el desarrollo de sus proyectos de investigación. Este tipo de iniciativas son una tendencia, e inclusive no se puede descartar a futuro la creación de una federación de “nubes” orientadas a investigación entre universidades a partir de estos proyectos. “La Federación comprende los servicios de diferentes proveedores de agregados en un solo grupo de apoyo, y tiene tres características básicas de interoperabilidad - la migración de recursos, redundancia de recursos y la combinación de los recursos complementarios” (Kurze, y otros, 2015). En la implementación de tales tipos de arquitectura se deben considerar varios aspectos de seguridad que pueden no ser suficientes para generar confianza en el usuario que utiliza el servicio, sobre todo si el usuario es un investigador, quien puede considerar que expone una potencial publicación reconocida o el trabajo de toda su vida. Lo anterior implica que se deban considerar los principales estándares de seguridad en la nube y las buenas prácticas que mitiguen riesgos como el acceso no autorizado a información de investigación, su alteración o la.
(15) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 15. disponibilidad de la misma; así mismo el uso de estándares puede ayudar a prevenir amenazas tanto internas como externas. La aplicación o el uso de la nube para proyectos científicos no ha tenido mucha difusión, es relativamente reciente su utilización en esta área, todo gira por lo general en torno a temas más comerciales que resultan económicamente atractivos para los proveedores de servicio. El investigador que utilice la nube, en todo caso debe asimilar y cambiar de mentalidad, porque la información de su investigación se puede procesar y almacenar en diferentes sitios y quedarán siempre dudas asociadas a su seguridad y privacidad, ya que por ejemplo desconoce el estado de la infraestructura que soporta los servicios de la nube, este es uno de sus rasgos característicos de este modelo. En el ámbito comercial los usuarios cuentan por lo general con un alto grado de confianza del manejo de la información en la nube, pero en el académico, cuando se trata de nubes privadas, esta confianza estará asociada a riesgos relacionados con la calidad de los equipos que soportan los servicios, las garantías técnicas de los mismos, la arquitectura de la nube, el personal capacitado, el uso adecuado del almacenamiento, etc. En general no se ve con claridad un modelo de seguridad orientado a nubes privadas dedicadas a investigación; es por ello que el presente proyecto de tesis busca abordar este tema.. 1.2 Pregunta de Investigación ¿Cómo adaptar los modelos de seguridad tradicionales y estándares para optimizar la seguridad de la información que resulta de investigaciones científicas en plataformas colaborativas de e-ciencia implementados en nubes privadas?.
(16) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 16. 1.3 Justificación Un modelo de referencia de seguridad se orienta a crear consistentes y efectivos mecanismos que permitan definir e implementar controles adecuados contra los riesgos identificados. Es indiscutible que la implementación de una nube lleva consigo un conjunto de elementos de seguridad propios, pero estos se deben respaldar con un modelo adecuado que se ajuste a las características de la organización que lo está implementando, en particular si se quiere elaborar un modelo para un entorno en donde la Cloud se enfoca en investigación, como es el caso de la nube privada del Centro de Computación de Alto Desempeño (CECAD) de la Universidad Distrital. Por tanto, se hace necesario definir los parámetros y el modelo de seguridad con los estándares apropiados que proporcionen mayores garantías de seguridad a las investigaciones desarrolladas en él, esto a partir de la selección correcta de los controles que se deban instaurar. El no tomar medidas adicionales para fortalecer la seguridad en este tipo de escenarios, elevaría la exposición de los servicios ofrecidos a los investigadores a posibles ataques, fuga de datos u otras vulnerabilidades. Adicionalmente se necesita contar con un referente que sirva de guía a otras organizaciones o instituciones decididas a adaptar sus centros de datos como nubes privadas. El uso inadecuado de los recursos también supone un riesgo para la información de los proyectos de investigación que se desarrollen, por ello se deben establecer pautas o recomendaciones que orienten a un buen uso de los mismos. Los aspectos que cobran más relevancia en este escenario son el almacenamiento y la integridad de la información..
(17) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 17. 2 Objetivos 2.1 Objetivo general Presentar un modelo conceptual de seguridad que permita optimizar la disponibilidad, integridad y confidencialidad de la información generada en proyectos de investigación desarrollados en plataformas colaborativas de e-ciencia sobre una Cloud privada.. 2.2 Objetivos específicos •. Identificar recursos del entorno de implementación de la Cloud privada.. •. Establecer vulnerabilidades y riesgos potenciales.. •. Analizar modelos y estándares de seguridad y su aplicabilidad en el entorno de Cloud Privada.. •. Proponer y ajustar un modelo de seguridad que permita definir e implementar controles a las vulnerabilidades de la nube privada..
(18) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 18. 3 Cloud Computing y Seguridad de la Información El National Institute of Standards and Technology (NIST) define la Computación en la Nube o Cloud Computing como “un modelo para habilitar acceso conveniente por demanda a un conjunto compartido de recursos computacionales configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios), que pueden ser rápidamente aprovisionados y liberados con un esfuerzo mínimo de administración o de interacción con el proveedor de servicios” [1, p. 2]. Esta una definición robusta es bastante aceptada, ya que describe de forma concisa las principales características del modelo Cloud y es ampliamente referenciada en diferentes documentos y por varios expertos. Sin embargo el concepto de Cloud ya era contemplado (aunque sin utilizar este término) por John McCarthy, quien en 1961 pronosticó que la computación se organizaría en el futuro como un servicio; posteriormente, J.C.R. Licklider introdujo la idea de “red galáctica de computación” concebida como una red interconectada globalmente. Sin embargo estas ideas no se concretarían sino hasta finales de los 90 y comienzos del 2000, con empresas como Salesforce y Amazon que hicieron realidad estos conceptos ofreciendo sus novedosos servicios. El NITS, en [2, p. 8] identifica un conjunto de características esenciales del Cloud Computing conformadas en primer lugar por el autoservicio por demanda, que implica que un usuario puede asignarse los recursos de computación según sus necesidades; amplio acceso a la red, que hace referencia a que las capacidades que proporciona la Cloud se pueden acceder desde cualquier lugar por medio de mecanismos estándar de plataformas clientes; agrupación de recursos, que consiste, entre otras cosas, en el uso por parte de varios usuarios de los recursos de cómputo del proveedor (p.ej., almacenamiento, procesamiento, memoria); rapidez y elasticidad, que se refiere a la posibilidad de aumentar o disminuir las capacidades provisionadas con rapidez; servicio supervisado, que involucra el control y optimización de los recursos de forma automática, así como su monitoreo por parte tanto del proveedor como de los usuarios. La Cloud Security Alliance (CSA) en el documento Security Guidance For Critical Areas Of Focus In Cloud Computing V3.0, hace una representación gráfica de los modelos y características definidos por el NITS. Este modelo visual se puede observar en la Figura 1..
(19) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 19. Figura 1 Características de Cloud Computing basadas en el Modelo Visual NIST [3, p. 10].. En los siguientes subtemas se explica en qué consisten los modelos de servicio y los modelos de despliegue presentados en la Figura 1. Así mismo se comienza a exponer la forma en que se puede asimilar la seguridad de estos modelos en el ámbito investigativo y académico. Si bien, los riesgos son similares, se quiere resaltar el manejo de la información en nubes privadas, como es el caso de resultados de investigaciones científicas que pueden desarrollarse en este ambiente. Dentro de los Roles o perfiles de los usuarios que hacen parte de un modelo cloud se encuentran: Cliente: El cliente o usuario de la nube es quien solicita los servicios que le resultan conveniente de un proveedor Cloud, es el actor principal en Cloud Computing. Proveedor: Es el responsable por mantener el servicio. Este adquiere y administra la infraestructura necesaria para proveer el servicio en la nube que se pondrá a disposición de los clientes. Las principales actividades del proveedor son: la implementación del servicio, su administración y la seguridad..
(20) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 20. Distribuidor: provee conectividad y transporte, el proveedor le requiere conexiones dedicadas y encriptadas para asegurar un nivel de consistencia acorde a las obligaciones contractuales con sus consumidores Auditor: verifica la conformidad con estándares, evalúa servicios en términos de controles de seguridad, privacidad y performance Intermediario: administra el uso, performance y distribución de los servicios, negocia relaciones entre proveedores y clientes. En ocasiones el cliente tiene relación con el intermediario sin conocer al proveedor.. 3.1 Modelos de servicio Los modelos de servicio de Cloud Computing están asociados con el tipo de servicio que se ofrece, conocer sus definiciones permite establecer y comprender las responsabilidades de seguridad por parte del proveedor y el usuario/cliente. Para ello, a continuación se presentarán los conceptos expuestos por el NITS en el documento NIST Cloud Computing Reference Standars Roadmap o SP 500-291, así mismo se describirán los compromisos de seguridad que conciernen tanto al proveedor como al usuario dependiendo del modelo de servicio. La caracterización de estos modelos se orientará especialmente a su uso en la investigación.. Software as a Service (SaaS) En este modelo “la capacidad otorgada al cliente es para usar aplicaciones del proveedor de una infraestructura cloud. Las aplicaciones son accesibles desde diferentes dispositivos de cliente a través de una interfaz de cliente ligero, como un navegador web o una interfaz de programa.” [2, p. 9]. Por lo general se accede a este tipo de servicios desde el navegador sin utilizar software, ya que el software es administrado por el proveedor y lo expone a través de la red. En este caso, debido a que el proveedor es quien asume las mayores responsabilidades sobre el servicio ofrecido, es quien debe garantizar en todos los niveles la seguridad del mismo. El cliente o usuario final no debe preocuparse por las capas que soportan el servicio, como se observa en la Figura 2, el proveedor será quien se responsabilice por su protección..
(21) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 21. Figura 2 . Responsabilidades en el modelo de servicio SaaS. Autoría propia.. En un proyecto de e-ciencia el modelo anterior se contempla en el siguiente escenario: teniendo un conjunto de datos que están almacenados en la nube como resultado de un determinado experimento, estos se pueden analizar a partir de una herramienta ofrecida por el proveedor, a través por ejemplo de una página web en la que el investigador selecciona los cálculos o estadísticas de su interés. El investigador no deberá preocuparse ni por el software, framework, sistema operativo o hardware, él deberá concentrarse en los resultados objeto de su investigación, y el proveedor deberá ser quien garantice que tanto la información como la aplicación tienen la seguridad debida.. Platform as a Service (PaaS) Este modelo comprende “la capacidad otorgada al cliente para desplegar en la infraestructura de la nube aplicaciones propias o adquiridas utilizando lenguajes de programación, bibliotecas, servicios y herramientas soportadas por el proveedor.” [2, p. 9]. No es una preocupación del usuario la infraestructura, él se enfoca en el desarrollo de sus aplicaciones o servicios y los ejecuta en la nube. Como ejemplo de PaaS encontramos Google app engine, Heroku y Rollbase, que los desarrolladores pueden elegir de acuerdo a sus necesidades y lenguajes de programación preferidos..
(22) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 22. Es de resaltar, que a diferencia del SaaS, en el PaaS el cliente comienza a tener un papel más destacado en lo concerniente a seguridad, ya que a nivel de aplicación asume este tipo de responsabilidad porque depende de su conocimiento y habilidad que los desarrollos resultantes sean confiables. El proveedor por su parte debe seguir garantizando la seguridad en los demás niveles, desde la infraestructura hasta el framework ofrecido como se puede visualizar en la Figura 3.. Figura 3. Responsabilidades en el modelo de servicio PaaS. Autoría propia.. IaaS (Infraestructura as a Service) El modelo de infraestructura como servicio consiste en “la capacidad otorgada al cliente para proveer procesamiento, almacenamiento, redes, y otros recursos de cómputo fundamentales, donde es capaz. de desplegar software arbitrario, que puede incluir. sistemas operativos y aplicaciones” [2, p. 9]. En este modelo el usuario o cliente tiene mayores responsabilidades en temas de seguridad, sin desconocer que el proveedor tiene un papel sumamente importante. Entre los elementos de seguridad que competen al proveedor se encuentra en primer lugar la seguridad física del centro de datos, donde está la infraestructura física que soporta la.
(23) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 23. nube, ya que aunque resulta evidente que la seguridad física no está asociada exclusivamente al modelo cloud, sino también a los modelos tradicionales, vale la pena aclarar su importancia. Así mismo entran en este aspecto temas como la garantía de los equipos, la autenticación multifactor para los usuarios que tienen acceso al centro de datos, etc. También es importante para el proveedor proteger otras características de los servicios Cloud, como lo son la seguridad de las instancias, los métodos de autenticación de los usuarios que ingresan a ellas, la seguridad de las APIs, el almacenamiento por bloques y por objetos que se asigna a los usuarios, entre otros factores que se detallarán más adelante. Por su parte, en este modelo el cliente o usuario de la nube puede administrar máquinas virtuales, el sistema operativo de las mismas, el tipo de almacenamiento que necesita, redes virtuales, etc., todo a partir de una arquitectura que se planteé ajustada a las necesidades y recursos financieros con que se cuente. El modelo IaaS se puede encontrar con los siguientes proveedores: Amazon Web Service (AWS), vCloud, Microsoft Azure. Teniendo en cuenta lo anterior, las responsabilidades en seguridad del proveedor y el cliente se pueden observar en la Figura 4.. Figura 4. Responsabilidades en el modelo de servicio IaaS. Autoría propia..
(24) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 24. 3.2 Modelos de Despliegue Nube Pública En este modelo de despliegue “la infraestructura de la nube se aprovisiona para libre uso por el público en general. Puede ser propiedad, administrada y operada por una organización comercial, académica o gubernamental, o por una combinación de ellas” [2, p. 10].. Nube Privada La nube privada se caracteriza por “la infraestructura de nube se aprovisiona para uso exclusivo de una sola organización que comprende múltiples clientes (por ejemplo, unidades de negocio) … puede existir dentro o fuera de las instalaciones” [2, p. 10].. Nube Comunitaria En la nube comunitaria “la infraestructura se aprovisiona para uso exclusivo de una comunidad de clientes de organizaciones que tienen preocupaciones compartidas (por ejemplo, misión, requisitos de seguridad, políticas y consideraciones de cumplimiento” [2, p. 10].. Nube hibrida Es un modelo de despliegue en el cual “la infraestructura en la nube es una composición de dos o más distintas infraestructuras cloud (privada, comunitaria o pública) que siguen siendo entidades únicas, pero quedan vinculadas por la tecnología estandarizada o de propiedad que permite la portabilidad de datos y aplicaciones” [2, p. 10]..
(25) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 25. 3.3 Seguridad de la información Existen distintas definiciones de seguridad de la información, sin embargo se hace alusión a la presentada por la ISO 27000, en ella se indica que la seguridad de la información se refiere a “la protección de la confidencialidad, integridad y disponibilidad de activos de información ya sea en almacenamiento, procesamiento o transmisión. Esta se obtiene mediante la aplicación de políticas, educación, formación y conocimiento, y tecnología. ” [4, p. 15], la Confidencialidad, Integridad y Disponibilidad de la información es conocida también como CIA por sus siglas en inglés, y un escenario ideal es aquel donde se puede garantizar que se cumple con los anteriores criterios en su totalidad, pero no es posible llegar a tal grado de certeza, lo que se busca con la seguridad de la información es reducir al máximo los riesgos utilizando las medidas adecuadas, y esto es un proceso continuo de mejoras en las políticas y controles. La información es un activo primordial de cualquier organización y puede resultar catastrófico que una vulnerabilidad sea explotada, por ejemplo, el acceso a información confidencial de proveedores o clientes podría llevar a graves consecuencias legales. Ahora bien, llevando este tipo de inconvenientes al entorno académico e investigativo, se encuentra la seguridad de la información como un elemento que ayuda a evitar el riesgo de perder información resultados de experimentos computacionales, trabajos realizados con años de investigación, posibilidades de patentes, proyectos de tesis, etc. La Confidencialidad, Integridad y Disponibilidad de la información son principios o características básicas de la seguridad de la información, pero existen otros conceptos importantes que vale la pena comprender y que se presentan a continuación.. 3.4 Principios de la seguridad de la información. Confidencialidad Según el NIST en la publicación FIPS 199, la confidencialidad consiste en “la preservación de las restricciones autorizadas sobre el acceso y divulgación de información, incluidos los medios para proteger la privacidad personal y la información propietaria” [5, p. 2] así mismo se indica que un ejemplo de pérdida de confidencialidad es la divulgación no autorizada de.
(26) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 26. información. Otra definición presente en [6, p. 13] indica que la confidencialidad abarca dos conceptos adicionales, el primero es la confidencialidad de los datos que consiste en asegurar que la información privada no está disponible ni es revelada a personas no autorizadas, y en segundo lugar la privacidad la cual consiste en que los individuos controlan qué información relacionada con ellos puede ser recopilada o almacenada y a quien puede ser revelada... Integridad La integridad es la “protección contra la modificación inadecuada o destrucción de la información, e incluye asegurar la autenticidad y no repudio de la información” [5, p. 2]. La información para el usuario debe ser exacta, consistente con las modificaciones que él ha realizado, no deben presentarse modificaciones no autorizadas ni destrucción de la misma. En [6, p. 13] se indica como aporte que la integridad abarca el término integridad de datos que el cual consiste en que la información y los programas cambian sólo de un modo específico y autorizado; y el término integridad del sistema, que asegura que un sistema realiza su función de manera intacta, libre de manipulación no autorizada deliberada o inadvertida en el sistema. La integridad tiene que ver mucho con la calidad de la información, con una representación idónea de la misma que no refleje inconsistencias; por ejemplo, un problema contable en una organización debido a la modificación no autorizada de los datos o la eliminación de estos puede tener graves implicaciones, como ejemplo adicional, si en una investigación que se esté realizando y se genere una gran cantidad de datos durante un largo periodo de tiempo, resultaría muy perjudicial que al final se encontrara que la base de datos donde se almacena la información esta corrupta. Por ello la importancia de esta característica al momento de pensar en la seguridad de la información.. Disponibilidad La disponibilidad consiste en “garantizar el acceso oportuno y confiable a la información y su uso” [5, p. 2], lo anterior por parte de los usuarios, procesos o aplicaciones autorizadas, “la información debe ser accedida sin interferencias u obstrucciones y debe ser recibida en el formato requerido” [7, p. 12]..
(27) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 27. Ahora se expondrán otros procesos o características que están orientados a la protección de los anteriores criterios. Entre ellos se encuentra la identificación, la autenticación y la autorización y el no repudio.. Identificación “Es el proceso por el cual un sujeto afirma una identidad” [8], es el primer paso en la secuencia de identificación-autenticación-autorización, la identificación por sí sola no es suficiente, como se explica en [9, p. 10] si un sujeto llamado Persona X, dice llamarse así, también podría identificarse diciendo que se llama Persona Y, por lo que la identidad sola es débil, no es una prueba , para probarlo se necesita el proceso de autenticación.. Autenticación La autenticación es “el proceso de verificar o probar que una identidad reclamada es válida. Esta requiere que un sujeto proporcione información adicional que debe corresponder exactamente a la identidad profesada” [8]. Es decir que en esta etapa el individuo debe probar que es quien dice ser. Hay tres métodos de autenticación para los usuarios basados en qué conoce, qué tiene y quien es. •. Factor - Qué conoce: Está relacionado con algo que el usuario conoce, por ejemplo contraseñas, números de PIN, códigos, etc.. •. Factor - Qué tiene: En este, el usuario debe autenticarse con algún dispositivo que tenga, por ejemplo un token, una tarjeta, una USB, etc.. •. Factor – Algo que es: En este tipo de autenticación, el usuario mediante una característica física, a través de dispositivos biométricos debe confirmar su identidad.. Autorización “La autorización describe las acciones que puede realizar en un sistema una vez que haya identificado y autenticado. Las acciones pueden incluir lectura, escritura o ejecución de archivos o programas” [9, p. 10]. Esta autorización está asociada con los denominados privilegios o permisos para el uso del sistema que a su vez son definidos por un administrador del sistema..
(28) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 28. Accountability o trazabilidad El proceso de Accountability que se puede traducir como trazabilidad o registro para el tema que se está tratando, “se realiza a través de auditoría, registro y monitoreo, asegura que los sujetos puedan ser responsabilizados por sus acciones” [8], con ello se puede rastrear la actividad del usuario relacionada por ejemplo con el uso de recursos de red, intentos de acceso no permitidos, en fin, el objetivo es poder identificar intentos de violación a las políticas de seguridad y resulta útil cuando se presentan incidentes de seguridad en general.. No Repudio El No Repudio significa que “un usuario no puede negar (repudiar) haber realizado una transacción. Combina la autenticación y la integridad: la no-repudiación autentica la identidad de un usuario que realiza una transacción y garantiza la integridad de dicha transacción” [9, p. 10]. El No Repudio es un elemento útil para emplear por ejemplo en el comercio electrónico.. 3.5 Problemas de seguridad en Cloud Computing Vulnerabilidades en Cloud Computing La vulnerabilidad representa un grado de exposición, un elemento de un sistema informático que puede ser aprovechado por un atacante para violar la seguridad. La nube en este sentido comparte muchas características con los sistemas tradicionales. Estas pueden estar relacionadas con un mal diseño de la seguridad perimetral por parte del proveedor, debilidad en el diseño de protocolos utilizados en las redes, políticas de seguridad deficiente e inexistente, errores de programación, configuración inadecuada de los sistemas informáticos o plataformas cloud e inclusive por el uso inadecuado de los usuarios finales de la nube. Las nubes públicas reconocidas (AWS, Azure,…) están constantemente trabajando para reducir las “debilidades” que se identifican debido a las amenazas que surgen diariamente. Sin embargo cuando se trata de nubes privadas en plataformas como por ejemplo Openstack, OpenNebula, etc., depende en gran medida de los administradores estar.
(29) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 29. verificando las actualizaciones de las versiones de sus plataformas, los parches o recomendaciones de seguridad que se identifiquen, de tal forma que por lo menos en lo que corresponde a la plataforma que ofrece los servicios se puedan reducir las vulnerabilidades.. Amenazas en Cloud Computing Los entornos en la nube enfrentan muchas de las mismas amenazas que las redes corporativas tradicionales, pero además contemplando la gran cantidad de datos almacenados en servidores en la nube, los proveedores se convierten en un objetivo atractivo. Dentro de las amenazas comunes a la confidencialidad de la información se encuentra el malvare, ingeniería social, redes inseguras y una mala administración del sistema. La información expuesta va de desde datos financieros, información de salud, propiedad intelectual, y en el campo de la ciencia se puede pensar en resultados de investigación. Otro ejemplo tiene que ver con problemas de autenticación, si la organización proveedora está expuesta a ataques de fuerza bruta u otro tipo de ataques, deben revisarse métodos como administración de claves o certificados que brinden mayor confianza, y de ser viable utilizar una autenticación multifactor. Los ataques a las APIs de la nube también se destacan como amenaza. Prácticamente todos los servicios y aplicaciones en la nube ahora ofrecen APIs. Los equipos de TI utilizan interfaces y API para gestionar e interactuar con servicios en la nube, incluidos aquellos que ofrecen aprovisionamiento, gestión, orquestación y supervisión en la nube.. Tipos de ataque en la nube Dentro de los ataques más comunes que pueden ocurrir en la nube se encuentran los siguientes [10, p. 51]: Ataques XML Signature Wrapping: En este tipo de ataque los hackers explotan la envoltura de firmas XML (XML signature wrapping) de la estructura SOAP inyectando elementos maliciosos en la estructura del mensaje. “Una de las opciones para restringir este tipo de ataques es el uso del protocolo REST en lugar de SOAP” [11]..
(30) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 30. Ataques Cross site scripting: este tipo de ataques está dentro de la categoría de ataques sobre aplicaciones web, y a su vez se divide en otras subcategorías, sin embargo, la forma en que se utiliza en la nube consiste inyectar en un trozo de código en la aplicación web para evitar los mecanismos de control de acceso. Ataque Denial-of-Service: los ataques de denegación de servicio (DoS) están orientados a interrumpir un sitio web, red o servicio dejándolo inutilizable o no disponible impidiendo a usuarios legítimos el acceso. Existen diferentes tipos y cada uno tiene efectos específicos sobre la nube, se puede mencionar por ejemplo el “Bandwidth Attack que consiste en una sobrecarga de tráfico, o el ataque ICMP (Ping) Flood que consume los recursos de la víctima mediante muchas peticiones de ICMP” [12]. Robo de datos por fuerza bruta: este tipo de ataques se llevan a cabo para revelar credenciales de inicio de sesión y acceder a datos a través de sitios web, son difíciles de detectar, sobre todo cuando son ataques sofisticados y se realizan de forma distribuida. Algunas medidas que permiten mitigarlos son el uso de programas CAPTCHA, el uso de contraseñas seguras, o proporcionar acceso a los servicios mediante VPNs.. 3.6 Enfoques de Modelos de Seguridad en Cloud Computing Nubes Públicas 3.6.1.1 Amazon web service Según AWS [13] los beneficios de seguridad con que cuenta son los siguientes: Protección de los datos: La infraestructura de AWS implanta potentes medidas de seguridad para proteger la privacidad de los clientes. Todos los datos se almacenan en centros de datos de AWS de alta seguridad. Cumple requisitos de conformidad y residencia de datos: El cliente conserva el control y la propiedad total sobre la región en que los datos se encuentran físicamente, lo que facilita el cumplimiento de los requisitos regionales de conformidad y residencia de datos..
(31) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 31. Reducción de costos: Se mantienen los máximos estándares de seguridad sin tener que administrar sus propias instalaciones. Escalable rápidamente: La seguridad se escala con su uso de la nube de AWS. Sea cual sea el tamaño de su negocio, la infraestructura de AWS está diseñada para proteger los datos. Mejora de continuidad con replicación entre regiones: Además de replicar aplicaciones y datos en varios centros de datos de la misma región de las zonas de disponibilidad, se puede optar también por aumentar la redundancia y la tolerancia a fallos mediante la replicación de los datos entre regiones geográficas. Expansión geográfica: La infraestructura de AWS se extiende a diferentes regiones geográficas durante el año.. 3.6.1.2 Microsoft Azure Esta nube según Microsoft [14], [15] cumple con los siguientes criterios de seguridad: Privacidad: Se afirma que no se usan los datos de clientes ni se deriva información de los mismos con fines de publicidad o minería de datos, así mismo se indica que el usuario tiene los datos, control sobre la ubicación donde se almacenan y sobre cómo se tiene acceso a ellos y cómo se eliminan de forma segura. Cumplimiento: Azure cumple un conjunto amplio de estándares de cumplimiento internacionales y específicos de la industria, como ISO 27001, HIPAA, FedRAMP, SOC 1 y SOC 2, así como estándares específicos de cada país como el IRAP en Australia, el GCloud en el Reino Unido y el MTCS en Singapur. Auditorías de terceros rigurosas, como la del Instituto Británico de Estándares, comprueban que Azure se adhiera a los controles de seguridad estrictos que estos estándares exigen Gestión de identidad y accesos: Microsoft utiliza una gestión de identidades y controles de acceso estrictos para limitar el acceso a datos y sistemas, empleando el principio de acceso menos privilegiado. Infraestructura segura: Una estrategia de "asumir incumplimiento" permite a Microsoft fortalecer sus productos empresariales y servicios en la nube y mantenerse al frente de las.
(32) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 32. amenazas emergentes asumiendo que los atacantes ya han aprovechado las vulnerabilidades o han ganado acceso privilegiado.. 3.7 Investigación & e-ciencia La e-ciencia como se define en [16, p. 4] se entiende como “la actividad científica y de investigación a la que se aplican nuevos recursos tecnológicos de apoyo con nuevas posibilidades de comunicación para que los científicos realicen su actividad puedan comunicar su producción de forma interactiva”. De la misma manera se indica que la e-ciencia se desarrolla comúnmente sobre los llamados Los Entornos Virtuales de Investigación (EVI) o VREs por sus siglas en inglés. Estos VREs “están constituidos por la infraestructura y los servicios digitales que permiten que la investigación tenga lugar… Actualmente un VRE se ve mejor como un marco en el que las herramientas, servicios y recursos se pueden conectar. ” [16, p. 5]. En el mismo documento referenciado se indica que resulta difícil concebir un VRE en una sola institución, ya que está comúnmente una investigación de este tipo debe abarcar varias organizaciones o instituciones, se trata de usar los recursos de forma colaborativa con el fin de obtener resultados de investigación más robustos Existen diferentes motivos por los cuales un “intruso” o hacker puede estar interesado en realizar un ataque, pero con respecto a investigación se deduce que las principales razones se concentrarían en: •. Afectar la imagen del investigador o la institución de la que hace parte. •. Sabotaje a investigaciones institucionales. •. Apropiarse de investigaciones ajenas.
(33) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 33. 3.8 Sistema de Gestión de Seguridad de la Información (SGSI) Un Sistema de Gestión de Seguridad de la Información (SGSI) o ISMS por sus siglas en inglés “consiste en políticas, procedimientos, directrices y recursos y actividades asociadas, administradas en conjunto por una organización, con el fin de proteger sus activos de información” [4, p. 14], a partir de estos criterios, junto con el análisis y la gestión de riesgos, la organización debe establecer unos controles que ayuden a alcanzar los objetivos previstos en al establecer el alcance del SGSI, todo lo anterior dentro de un plan de mejora continua.. Ciclo PDCA El ciclo PDCA (Plan, do, check, act), en su equivalencia en español es Planificar, hacer, verificar y actuar (PHVA), es una estrategia de mejora continua de calidad. Tradicionalmente utilizado en la ISO/IEC 27001 para implementar un SGSI, es un método que tiene muchas más aplicaciones, sobre todo en procesos de generación de productos y servicios. Aunque en la versión más reciente de la ISO/IEC 27001:2013 no se adopta como el método para la generación del SGSI, su utilización no se considera indebida, únicamente se ha dado la posibilidad de elegir otros métodos que la organización considere adecuados. Este proyecto por su parte, se basará en el tradicional PDCA, debido a que es un ciclo de mejora continua conocido que proporcionará lo necesario para centrar los esfuerzos en el foco de la investigación que son los controles de seguridad..
(34) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 34. 4 Análisis de estándares de seguridad en Cloud Computing 4.1 Organizaciones relevantes en estandarización de Cloud Computing “Un estándar es un documento que proporciona requisitos, especificaciones, directrices o características que se pueden utilizar de manera consistente para asegurar que los materiales, productos, procesos y servicios son adecuados para su propósito.” [17]. Adicionalmente, se puede decir que un estándar permite por tanto verificar el cumplimiento de determinados criterios o requisitos mínimos aceptables que se asumen válidos para quienes lo implementan. Existe gran cantidad de estándares orientados a diferentes disciplinas o áreas, los hay abiertos, cerrados, aplicables a determinadas regiones o países, vinculantes, no vinculantes, y dependiendo de si interviene en su elaboración una organización de estandarización oficial o no, se dividen en estándares de jure y de facto. Son numerosas las comunidades y organizaciones de estándares técnicos reconocidas, entre ellas se encuentran 3GPP, ATIS, CISPR, IEC, IEEE, IETF, OpenTravel Alliance, OSGi, W3C, ISO, ect, sin embargo, y teniendo en cuenta el tema de la presente investigación, vale la pena destacar algunas que elaboran documentación para el entorno del Cloud Computing, entre ellas se encuentran las mencionadas en la Tabla 1, y que hacen parte del listado presentado por la iniciativa Cloud Standardization Coordination (CSC) en su primera fase, este listado está compuesto por 20 organizaciones. Este listado se redujo a 15 organizaciones durante la segunda fase de la iniciativa, como se presentará en otro capítulo..
(35) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. Siglas. Nombre. ATIS. Alliance for Telecommunications Industry Solutions. CEN. European Committee for Standarization. CENELEC CSMIC CSA. Comité Européen de Normalisation Electrotechnique Cloud Services Measurement Initiative Consortium Cloud Security Alliance. CSCC. Cloud Standards Customer Council. DMTF. Distributed Management Task Force. ENISA. European Union Agency for Network and Information Security. ETSI GICTF IEC. European Telecommunications Standards Institute Global Inter-Cloud Technology Forum International Electrical Commission. IEEE. Institute for the Electrical and Electronics Engineers. IETF. Internet Engineering Task Force. ISO. International Organization for Standardization. ITU. International Telecommunication Union. ITU-T. ITU Telecommunication Standardization Sector. NIST. National Institute for Standards and Technology. OASIS. Organization for the Advancement of Structured Information Standards. ODCA. Open Data Center Alliance. OGF QuEST. 35. Open Grid Forum Quality Excellence for Suppliers of Telecommunication. SNIA. Storage Networking Industry Association. TIA. Telecommunication Industry Association. TMF. TeleManagement Forum. TOG. The Open Group. Tabla 1. Organizaciones relevantes de estandarización en Cloud Computing [18].. De las anteriores organizaciones, se presentará en la siguiente sección una descripción de aquellas que se destacan en la publicación de estándares de seguridad para Cloud Computing. Con lo anterior se busca lograr el propósito de facilitar la selección de controles de seguridad para las nubes privadas, centrándose en los controles que tienen mayor impacto para este tipo de entornos. Gráficamente se presenta la idea de la siguiente forma:.
(36) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. 36. Estándares de seguridad informática. Estándares para seguridad en la nube. Estándares para seguridad en nubes privadas. Figura 5. Distribución de normas de seguridad. Autoría propia.. ISO A pesar de que casi la totalidad de las normas pertenecientes a la serie ISO 27000 no son de libre difusión y deben ser compradas para acceder a su contenido, es indiscutible su importancia en el ámbito de gestión de la seguridad de la información, desde la ISO/IEC 27001:2013 con un enfoque al “modelo tradicional” hasta la ISO/IEC 27017:2014 y la ISO/IEC 27018:2014 con mayor orientación al manejo de datos en Cloud Computing. En la encuesta realizada por la ISO a nivel mundial a los organismos de certificación acreditados,. se. encontró. que. número. de. certificados. aprobados. a. organizaciones/entidades pasó de 27.536 en el año 2015 a 33.290 en el 2016, lo que representó un crecimiento del 21%. Se debe tener en cuenta que este certificado tiene una validez de 3 años. La siguiente tabla presenta información por región..
(37) Modelo de Seguridad para plataformas colaborativas de e-ciencia sobre Cloud Computing. Region Africa Central / South America North America Europe East Asia and Pacific Central and South Asia Middle East Total. 37. Certificates 224 564 1469 12532 14704 2987 810 33290. Tabla 2. N° de certificados ISO/IEC 27001 por región – Fuente ISO. Vale la pena mencionar que en Sudamérica el país más destacado fue Colombia con 163 certificados.. NIST Esta agencia del departamento de Comercio de los estados unidos tiene una gran cantidad de publicaciones, pero en temas de seguridad se destaca la serie SP 800, que son documentos relacionados con la gestión de la seguridad de la información. A diferencia de la serie ISO 27000, los documentos del NIST son de libre descarga. Mayores detalles del NIST se expondrán en otro capítulo, pero se destaca su reconocimiento como autoridad en los temas asociados a Cloud Computing, sus conceptos son comúnmente referenciados en investigaciones, publicaciones, normas, etc. Otra de las razones para su selección en el presente proyecto tiene que ver en la asociación que existe entre los controles de la ISO 27001 y los controles publicados en el SP 800-53 del NIST, de tal forma que se pueden categorizar los controles para diferentes análisis.. CSA Esta organización se centra en promover buenas prácticas de seguridad para Cloud Computing, muchos de sus conceptos son tomados de publicaciones del NIST. Sus recomendaciones para el área de seguridad se encuentran listadas en su documento principal denominado “Security Guidance For Critical Areas Of Focus In Cloud Computing” que consta de 14 dominios. Su principal ventaja es que se encuentra totalmente orientado a Cloud Computing, de tal forma que complementa con rigurosidad los aportes de las ISO 27001 y el NIST..
Documento similar