Análisis comparativo de cloud access security broker (casb) y monkey security como herramientas de seguridad y control a usuarios que administran servicios en la nube

Texto completo

(1)UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES ANÁLISIS COMPARATIVO DE CLOUD ACCESS SECURITY BROKER (CASB) Y MONKEY SECURITY COMO HERRAMIENTAS DE SEGURIDAD Y CONTROL A USUARIOS QUE ADMINISTRAN SERVICIOS EN LA NUBE.. PROYECTO DE TITULACIÓN Previa a la obtención del Título de: INGENIERO EN NETWORKING Y TELECOMUNICACIONES AUTORES: ERICK WILLIAM HERRERA PÉREZ. MARÍA TERESA SALAZAR RIVAS. TUTOR: ING. JUAN YTURRALDE VILLAGOMEZ MSc GUAYAQUIL – ECUADOR 2019.

(2) REPOSITORIO NACIONAL EN CIENCIAS Y TECNOLOGÍA FICHA DE REGISTRO DE TESIS TÍTULO: Análisis comparativo de Cloud Access Security Broker (CASB) y Monkey Security como herramientas de seguridad y control a usuarios que administran servicios en la nube.. REVISOR: Ing. Ximena Acaro MSc. FACULTAD: Universidad de Ciencias Matemáticas y Físicas. Guayaquil CARRERA: Ingeniería en Networking y Telecomunicaciones INSTITUCIÓN:. FECHA DE PUBLICACIÓN: 18/06/2019. No. DE PÁGINAS:. ÁREA TEMÁTICA: Networking y Telecomunicaciones PALABRAS CLAVES: Computación en la nube, seguridad, Amazon Web Service, Agentes de Seguridad para el Acceso a la Nube, Monkey Security. RESUMEN: El presente proyecto de titulación tiene como objetivo principal realizar un análisis comparativo entre Oracle CASB, Microsoft Cloud App Security que son dos Agentes de Seguridad para el Acceso a la Nube (CASB, de sus siglas en inglés) y una herramienta Open Source llamada Security Monkey que permite monitorear políticas y alertar sobre configuraciones inseguras en la nube. Estas soluciones surgen con la finalidad de brindar una solución a la problemática relacionada con la falta de visibilidad que tiene una empresa u organización sobre la información almacenada en la nube, este control limitado sobre los datos puede generar problemas y amenazas que incluyen fuga de datos, intercambio de recursos, disponibilidad de datos y problemas originados por una mala administración de recursos ; los tipos de investigación aplicadas son exploratoria, descriptiva, comparativa y bibliográfica; adicionalmente se incluyen entrevistas realizadas a 7 profesionales con conocimientos en seguridad y cloud computing. Para llevar a cabo la comparación de las tecnologías ya mencionadas, se realizaron varias pruebas sobre una cuenta en Amazon Web Service permitiendo de esta manera evaluar las alertas que se generan en las herramientas al detectar vulnerabilidades, cambios y actividades sospechosas.. No. DE REGISTRO: DIRECCIÓN URL: ADJUNTO PDF: CONTACTO CON AUTOR: HERRERA PÉREZ ERICK SALAZAR RIVAS MARÍA. No. DE CLASIFICACIÓN: Sí TELÉF ONO: 0990726765 0963154300. CONTACTO DE LA INSTITUCIÓN:. No E-MAIL: [email protected] [email protected]. NOMBRE: Ab. Juan Chávez Atocha TELÉFONO: 04-2307729.

(3) APROBACIÓN DEL TUTOR. En mi calidad de Tutor del trabajo de investigación, “ANÁLISIS COMPARATIVO DE CLOUD ACCESS SECURITY BROKER (CASB) Y MONKEY SECURITY COMO HERRAMIENTAS DE SEGURIDAD Y CONTROL A USUARIOS QUE ADMINISTRAN SERVICIOS EN LA NUBE.” Elaborado por el Sr. ERICK WILLIAM HERRERA PÉREZ y por la Srta. MARÍA TERESA SALAZAR RIVAS, Alumnos no titulados de la Carrera de Ingeniería en Networking y Telecomunicaciones, Facultad de Ciencias Matemáticas y Físicas de la Universidad de Guayaquil, previo a la obtención del Título de Ingeniero en Networking y Telecomunicaciones, me permito declarar que luego de haber orientado, estudiado y revisado, los Apruebo en todas sus partes. Atentamente,. Ing. Juan Carlos Yturralde Villagómez, MSc TUTOR.. ii.

(4) DEDICATORIA. Dedico este logro primeramente a Dios por brindarme esa oportunidad de compartir este logro junto a mi familia y mi novia, A mi mamá Jeling Elizabeth Pérez Pacheco y a mí papá William Manuel Herrera Rivas que desde mi etapa inicial me inculcaron siempre el valor del estudio, de la superación, de la honestidad, la perseverancia, la responsabilidad y su apoyo en todo momento, a mi abuela Bella Felicita Pacheco Suarez que aunque ya no esté con nosotros en vida, siempre estará en nuestro corazones. Dedico también este logro a mi abuelo Jorge Benito Pérez Vera y hermanos Eicker Samuel Herrera Pérez y Elián Sebastián Herrera Pérez por todo el apoyo incondicional que me brindan cada día. También este logro a mi novia y amiga María Teresa Salazar Rivas, por ser alguien muy. especial. acompañarme. y en. humilde toda. mi. por vida. estudiantil y por ser siempre una fiel compañera de vida.. Erick William Herrera Pérez. iii.

(5) AGRADECIMIENTO. Agradezco en primer lugar a Dios por estar conmigo en todo momento y por permitirme culminar esta meta.. A mi mamá y papá por la confianza y el apoyo brindado, que sin duda alguna en el trayecto de mi vida me han demostrado su amor corrigiendo mis faltas y celebrando mis triunfos.. Así también a mi tutor y demás docentes por el esfuerzo y dedicación quienes,. con. conocimientos,. ayuda sus. de. sus. experiencias,. paciencia y su motivación nos han guiado en la realización de este sueño tan esperado.. Erick William Herrera Pérez. iv.

(6) DEDICATORIA. Dedico este triunfo principalmente a Dios por darme sabiduría y fortaleza para continuar día a día y vencer los obstáculos que se me presentan.. A mi mamá por su diario sacrifico para que yo pueda cumplir esta meta tan anhelada y por haberme inculcado constancia y responsabilidad. A mi hermana y demás miembros de mi familia. por. apoyarme. en. todo. momento. A mi padre por en vida darme el mejor ejemplo de lucha y perseverancia y que ahora desde el cielo me bendice en cada paso que doy.. También. agradezco. a. muchas. personas especiales que hoy ya no están conmigo pero que conservo los mejores recuerdos y ejemplos de vida.. María Teresa Salazar Rivas. v.

(7) AGRADECIMIENTO. Agradezco a Dios por guiarme día a día en todo lo que hago. A mi padres a quienes amo con todo mi ser por ser mi apoyo y mi guía en cada meta que me propongo , a mi familia por su amor infinito y sus consejos tan valiosos,. a mis compañeros de. universidad con quienes compartí muy buenos momentos en esta etapa, a mi novio y compañero de tesis por la paciencia y apoyo en este largo camino y por compartir los momentos más. bonitos. y. difíciles. de. la. universidad, a mis amigas del colegio por darme siempre una palabra de ánimo y cariño, expreso también agradecimiento a mi tutor y demás docentes por los consejos brindados para poder terminar con éxito el presente trabajo de titulación.. María Teresa Salazar Rivas. vi.

(8) TRIBUNAL DEL PROYECTO DE TITULACIÓN. Ing. Fausto Cabrera Montes, M.Sc, DECANO DE LA FACULTAD CIENCIAS MATEMATICAS Y FISICAS. Ing. Ximena Acaro Chacón, MSc PROFESOR REVISOR DEL ÁREA TRIBUNAL. Ing. Abel Alarcón Salvatierra, M.Sc. DIRECTOR CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES. Ing. Ingrid Giraldo Martínez MSc PROFESOR REVISOR DEL ÁREA TRIBUNAL. Ing. Juan Yturralde Villagómez, MSc,. PROFESOR TUTOR DEL PROYECTO DE TITULACIÓN. Ab. Juan Chávez Atocha, Esp, SECRETARIO TITULAR.. vii.

(9) DECLARACIÓN EXPRESA. “La responsabilidad del contenido de este Proyecto de Titulación,. me. corresponden exclusivamente; y el patrimonio intelectual de la misma a la UNIVERSIDAD DE GUAYAQUIL”. ERICK WILLIAM HERRERA PÉREZ. MARÍA TERESA SALAZAR RIVAS.. viii.

(10) UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERIA EN NETWORKING Y TELECOMUNICACIONES ANÁLISIS COMPARATIVO DE CLOUD ACCESS SECURITY BROKER (CASB) Y MONKEY SECURITY COMO HERRAMIENTAS DE SEGURIDAD Y CONTROL A USUARIOS QUE ADMINISTRAN SERVICIOS EN LA NUBE.. Proyecto de Titulación que se presenta como requisito para optar por el título de INGENIERO EN NETWORKING Y TELECOMUNICACIONES.. Autor: Herrera Pérez Erick William. C.I. 0930119268. Autora: Salazar Rivas María Teresa. C.I. 0926609314. Tutor: Ing. Juan Yturralde Villagómez MSc. Guayaquil, 02 octubre del 2019. ix.

(11) CERTIFICADO DE ACEPTACIÓN DEL TUTOR En mi calidad de Tutor del proyecto de titulación, nombrado por el Consejo Directivo de la Facultad de Ciencias Matemáticas y Físicas de la Universidad de Guayaquil.. CERTIFICO: Que he analizado el Proyecto de Titulación presentado por los estudiantes HERRERA PÉREZ ERICK WILLIAM y SALAZAR RIVAS MARÍA TERESA, como requisito previo para optar por el título de Ingeniero en NETWORKING Y TELECOMUNICACIONES cuyo problema es:. “ANÁLISIS COMPARATIVO DE CLOUD ACCESS SECURITY BROKER (CASB) Y MONKEY SECURITY COMO HERRAMIENTAS DE SEGURIDAD Y CONTROL A USUARIOS QUE ADMINISTRAN SERVICIOS EN LA NUBE.”. Considero aprobado el trabajo en su totalidad.. Presentado por:. HERRERA PÉREZ ERICK WILLIAM. 093011926-8. SALAZAR RIVAS MARÍA TERESA. 092660931-4. Tutor: Ing. Juan Yturralde Villagómez MSc. Guayaquil, 02 de octubre del 2019.. x.

(12) UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS CARRERA DE INGENIERIA EN NETWORKING Y TELECOMUNICACIONES. AUTORIZACIÓN PARA PUBLICACIÓN DE PROYECTO DE TITULACIÓN EN FORMATO DIGITAL 1. Identificación del Proyecto de Titulación. Nombre del Alumno: Erick William Herrera Pérez. Dirección: guasmo Norte Mz.16 Sol. 11. Teléfono: 0990725765. E-mail: [email protected]. Nombre del Alumno: María Teresa Salazar Rivas. Dirección: Alborada 8va etapa manzana 822 villa 6. Teléfono: 0963154300. E-mail: [email protected]. Facultad: Ciencias Matemáticas y Físicas Carrera: Ingeniería en Networking y Telecomunicaciones Proyecto de titulación al que opta: Análisis comparativo de Cloud Access Security Broker (CASB) y Monkey Security como herramientas de seguridad y control a usuarios que administran servicios en la nube. Profesor guía: Ing. Juan Yturralde Villagómez MSc. Título del Proyecto de Titulación: Análisis comparativo de Cloud Access Security Broker (CASB) y Security Monkey como herramientas de seguridad y control a usuarios que administran servicios en la nube.. Tema del Proyecto de Titulación: Cloud Access Security Broker (CASB) y Security Monkey como herramientas de seguridad y control a usuarios que administran servicios en la nube. xi.

(13) 2. Autorización de Publicación de Versión Electrónica del Proyecto de Titulación. A través de este medio autorizo a la Biblioteca de la Universidad de Guayaquil y a la Facultad de Ciencias Matemáticas y Físicas a publicar la versión electrónica de este Proyecto de titulación. Publicación electrónica: Inmediata X. Después de un año. Firman alumnos:. Herrera Pérez Erick. Salazar Rivas María. 3. Forma de envío:. El texto del proyecto de titulación debe ser enviado en formato Word, como archivo .Doc. O .RTF y .Puf para PC. Las imágenes que la acompañen pueden ser: .gif, .jpg o .TIFF.. DVDROM. X. CDROM. xii.

(14) ÍNDICE GENERAL. CARTA DE APROBACIÓN DEL TUTOR ................................................................ ii DEDICATORIA ........................................................................................................ iii AGRADECIMIENTO ............................................................................................... vi ÍNDICE GENERAL ................................................................................................ xiii ÍNDICE DE CUADROS ........................................................................................ xvii ÍNDICE DE GRÁFICOS ......................................................................................... xx RESUMEN .......................................................................................................... xxiv ABSTRACT .......................................................................................................... xxv INTRODUCCIÓN .................................................................................................... 1 CAPÍTULO I ............................................................................................................ 4 EL PROBLEMA ....................................................................................................... 4 PLANTEAMIENTO DEL PROBLEMA .................................................................... 4 Situación Conflicto Nudos Críticos. ........................................................................ 5 Causas y Consecuencias del Problema ................................................................. 5 Delimitación del Problema ...................................................................................... 6 Formulación del Problema ...................................................................................... 6 Evaluación del Problema ........................................................................................ 7 OBJETIVOS. ........................................................................................................... 8 ALCANCE DEL PROBLEMA .................................................................................. 8 JUSTIFICACION E IMPORTANCIA ..................................................................... 10 METODOLOGÍA DEL PROYECTO ...................................................................... 11 CAPÍTULO II ......................................................................................................... 13 MARCO TEÓRICO. .............................................................................................. 13 ANTECEDENTES DEL ESTUDIO........................................................................ 13 FUNDAMENTACIÓN TEÓRICA ........................................................................... 16. xiii.

(15) Cloud computing. .................................................................................................. 16 Evolución de la computación en la nube. ............................................................. 17 Arquitectura de Niveles del Cloud. ....................................................................... 18 Modelo de Computación en la Nube. ................................................................... 20 Modelos de entrega. ............................................................................................. 21 Modelos de despliegue. ........................................................................................ 22 Características del cloud computing. .................................................................... 23 COMPARACIÓN DE LA COMPUTACIÓN EN LA NUBE CONTRA MODELO DE COMPUTACIÓN TRADICIONAL.......................................................................... 26 COMPUTACIÓN TRADICIONAL VS CLOUD COMPUTING. ............................. 28 PROVEEDORES DE SERVICIOS CLOUD. ........................................................ 32 AMAZON WEB SERVICES. ................................................................................. 36 SEGURIDAD EN LA COMPUTACIÓN EN LA NUBE .......................................... 40 Aspectos clave de seguridad en cloud. ................................................................ 42 CLOUD ACCESS SECURITY BROKER. ............................................................. 44 Security Monkey.................................................................................................... 57 COMPARACIÓN DE MICROSOFT CLOUD APP SECURITY, ORACLE CASB. 59 FUNDAMENTO LEGAL. ....................................................................................... 66 PREGUNTAS A CONTESTARSE ........................................................................ 77 VARIABLES DE LA INVESTIGACIÓN. ................................................................ 77 DEFINICIONES CONCEPTUALES. ..................................................................... 78 CAPÍTULO III. ....................................................................................................... 80 METODOLOGÍA DE LA INVESTIGACIÓN. ......................................................... 80 DISEÑO DE LA INVESTIGACIÓN ....................................................................... 80 Modalidad de la Investigación .............................................................................. 80 Tipo de investigación ............................................................................................ 81 POBLACIÓN Y MUESTRA ................................................................................... 81. xiv.

(16) OPERACIONALIZACIÓN DE VARIABLES .......................................................... 83 Instrumentos de Recolección de Datos ................................................................ 84 PROCESAMIENTO Y ANÁLISIS.......................................................................... 86 Análisis de las entrevistas..................................................................................... 86 CAPÍTULO IV ........................................................................................................ 91 RESULTADOS ...................................................................................................... 91 ANÁLISIS COMPARATIVO .................................................................................. 91 Monitoreo de actividades en Oracle CASB, Microsoft Cloud App Security y Security Monkey.................................................................................................. 112 Métodos de pago de Oracle CASB .................................................................... 120 Estimación de costo de Oracle CASB ................................................................ 121 Métodos de pago de Microsoft Cloud App Security ........................................... 122 Análisis comparativo característico de Microsoft Cloud App Security, Oracle CASB, Security Monkey...................................................................................... 123 CONCLUSIONES. .............................................................................................. 127 RECOMENDACIONES. ...................................................................................... 129 BIBLIOGRAFÍA ................................................................................................... 130 ANEXOS ............................................................................................................. 137. xv.

(17) ABREVIATURAS CASB. Agente de Seguridad para el Acceso a la Nube. IAAS. Infraestructura como servicio. PAAS. Plataforma como servicio. SAAS. Software como servicio. DBaaS Base de datos como servicio AWS. Service Web de Amazon. GCP. Google Cloud Platform. EC2. Amazon Elastic Compute Cloud. S3. Amazon Simple Storage Service. TI. Tecnologías de la Información. NIST. Instituto Nacional de Estándares y Tecnología. SIR. Reporte de Inteligencia en Seguridad. SDK. Kits de desarrollo de software. CLI. Interfaz de línea de comandos. API. Interfaz de programación de aplicaciones. SQL. Lenguaje de consulta estructurada. CSA. Alianza de seguridad en la nube. UBA. Analítica del comportamiento de los usuarios. JSON. Notación de Objetos de JavaScript. RDS. Servicio de base de datos relacional. xvi.

(18) ÍNDICE DE CUADROS CUADRO N° 1 CAUSAS Y CONSECUENCIAS DEL PROBLEMA --------------------------------- 5 CUADRO N° 2 DELIMITACIÓN DEL PROBLEMA. ------------------------------------------------------ 6 CUADRO N° 3 COMPUTACIÓN TRADICIONAL VS CLOUD COMPUTING. ------------------- 28 CUADRO N° 4 CUADRO COMPARATIVO DE INFRAESTRUCTURA TRADICIONAL Y CLOUD COMPUTING. --------------------------------------------------------------------- 29 CUADRO N° 5 CUADRO COMPARATIVO DE LAS VENTAJAS DE LA INFRAESTRUCTURA TRADICIONAL Y EL CLOUD COMPUTING. --------- 30 CUADRO N° 6 COMPARACIÓN DE ARQUITECTURA DE HARDWARE Y SOFTWARE DE TECNOLOGÍA CLOUD VS INFRAESTRUCTURA TRADICIONAL. ---------- 31 CUADRO N° 7 COMPARACIÓN DE COSTOS DE OPERACIÓN DE LA TECNOLOGÍA CLOUD VS INFRAESTRUCTURA TRADICIONAL. ------------------------------- 31 CUADRO N° 8 RESUMEN DE LOS PRINCIPALES SERVICIOS QUE OFRECEN LAS PLATAFORMAS CLOUD COMPUTING. --------------------------------------------- 32 CUADRO N° 9 COMPARATIVA ENTRE LOS GIGANTES DEL CLOUD COMPUTING EMPRESARIAL ------------------------------------------------------------------------------ 35 CUADRO N° 10 TIPOS DE SERVICIOS MÁS COMUNES DE AMAZON WEB SERVICE --- 38 CUADRO N° 11 INFORMES DE ORACLE CASB -------------------------------------------------------- 52 CUADRO N° 12 PRECIOS- SERVICIOS CON LOS CRÉDITOS UNIVERSALES. ------------- 53. xvii.

(19) CUADRO N° 13 PRECIOS- SERVICIOS NO MEDIDOS. ---------------------------------------------- 54 CUADRO N° 14 CUADRO COMPARATIVO DE MICROSOFT CLOUD APP SECURITY Y ORACLE CASB SEGÚN EL TIPO DE EMPRESA --------------------------------- 62 CUADRO N° 15 CUADRO COMPARATIVO DE MICROSOFT CLOUD APP SECURITY, ORACLE CASB Y SECURITY MONKEY. -------------------------------------------- 63 CUADRO N° 16 VARIABLES DE LA INVESTIGACIÓN. ------------------------------------------------ 77 CUADRO N° 17 POBLACIÓN ---------------------------------------------------------------------------------- 82 CUADRO N° 18 OPERACIONALIZACIÓN DE VARIABLES------------------------------------------- 83 CUADRO N° 19 PONDERACIÓN DE EMISIÓN DE ALERTA. PRUEBA 1 ------------------------ 95 CUADRO N° 20 PONDERACIÓN DE VELOCIDAD DE DETECCIÓN DE ALERTA. PRUEBA 1 -------------------------------------------------------------------------------------------------- 95 CUADRO N° 21 PONDERACIÓN DE DESCRIPCIÓN DE ALERTA. PRUEBA 1 --------------- 95 CUADRO N° 22 PONDERACIÓN DE NIVEL DE RIESGO DE ALERTA. PRUEBA 1 ---------- 96 CUADRO N° 23 PONDERACIÓN DE EMISIÓN DE ALERTA. PRUEBA 2 ---------------------- 100 CUADRO N° 24 PONDERACIÓN DE VELOCIDAD DE DETECCIÓN DE ALERTA. PRUEBA 2 ------------------------------------------------------------------------------------------------ 100 CUADRO N° 25 PONDERACIÓN DE DESCRIPCIÓN DE ALERTA. PRUEBA 2 ------------- 100 CUADRO N° 26 PONDERACIÓN DE NIVEL DE RIESGO ALERTA. PRUEBA 2 ------------- 101 CUADRO N° 27 PONDERACIÓN DE EMISIÓN DE ALERTA. PRUEBA 3 ---------------------- 106. xviii.

(20) CUADRO N° 28 PONDERACIÓN DE MONITOREO DE CAMBIOS DE INSTANCIAS EC2 106 CUADRO N° 29 PONDERACIÓN DE NIVEL DE RIESGO DE ALERTA. PRUEBA 3 -------- 106 CUADRO N° 30 PONDERACIÓN DE EMISIÓN DE ALERTA. PRUEBA 4 ---------------------- 111 CUADRO N° 31 PONDERACIÓN DE MONITOREO DE CAMBIOS DE POLÍTICAS IAM. PRUEBA 4 ----------------------------------------------------------------------------------- 111 CUADRO N° 32 PONDERACIÓN DE NIVEL DE RIESGO DE ALERTA. PRUEBA 4 -------- 111 CUADRO N° 33 MÉTODOS DE PAGO DE ORACLE CASB ---------------------------------------- 120 CUADRO N° 34 ESTIMACIÓN DE COSTO DE ORACLE CASB ---------------------------------- 121 CUADRO N° 35 MÉTODOS DE PAGO DE MICROSOFT CLOUD APP SECURITY --------- 122 CUADRO N° 36 ANÁLISIS COMPARATIVO CARACTERÍSTICO. -------------------------------- 123 CUADRO N° 37 PUNTAJES DE TABLA DE ANÁLISIS COMPARATIVO DE MICROSOFT CLOUD APP SECURITY, ORACLE CASB, SECURITY MONKEY --------- 124. xix.

(21) ÍNDICE DE GRÁFICOS GRÁFICO N° 1 Cuentas observadas bajo ataque durante los primeros tres meses de 2016 y 2017. .............................................................................................................. 15 GRÁFICO N° 2 Historia de la evolución del cloud computing. ............................................... 18 GRÁFICO N° 3 Arquitectura de Niveles en la Nube. .............................................................. 20 GRÁFICO N° 4 Modelo de Computación en la Nube del NIST (Instituto Nacional de Estándares y Tecnología).............................................................................. 21 GRÁFICO N° 5 Modelo de despliegue.................................................................................... 23 GRÁFICO N° 6 Características asociadas al cloud computing. ............................................. 24 GRÁFICO N° 7 Agentes intervinientes en el cloud computing. .............................................. 25 GRÁFICO N° 8 Esquema de modelo tradicional vs modelo de computación en la nube. .... 27 GRÁFICO N° 9 Comparación de modelo tradicional vs modelo de computación en la nube. ....................................................................................................................... 28 GRÁFICO N° 10 Plataformas cloud más usadas. .................................................................... 33 GRÁFICO N° 11 Adopción de nuble pública, 2016-2019 ......................................................... 34 GRÁFICO N° 12 Adopción de la nube privada, 2016-2019. .................................................... 34 GRÁFICO N° 13 Servicios de almacenamiento de Amazon Web Service .............................. 37 GRÁFICO N° 14 Cuadrante mágico para corredores de seguridad de acceso a la nube ...... 47. xx.

(22) GRÁFICO N° 15 Plataformas cloud compatibles con Oracle CASB Cloud Service. ............... 48 GRÁFICO N° 16 Monitoreo de usuarios y ubicación geográfica. ............................................. 49 GRÁFICO N° 17 Monitoreo de las actividades de los usuarios. .............................................. 51 GRÁFICO N° 20 Diagrama de acceso a Security Monkey. ...................................................... 59 GRÁFICO N° 21 CUADRO COMPARATIVO DE MICROSOFT CLOUD APP SECURITY Y ORACLE CASB. ............................................................................................ 60 GRÁFICO N° 22 CUADRO ESTADÍSTICO DE COMPARACIÓN DE MICROSOFT CLOUD APP SECURITY Y ORACLE CASB. ............................................................. 61 GRÁFICO N° 23 CUADRO ESTADÍSTICO DE COMPARACIÓN DE MICROSOFT CLOUD APP SECURITY Y ORACLE CASB SEGÚN TIPO DE EMPRESA. ............ 62 GRÁFICO N° 24 Prueba 1. Error de inicio de sesión en Microsoft Cloud App Security. ......... 92 GRÁFICO N° 25 Prueba 1. Error de inicio de sesión en Oracle CASB. .................................. 93 GRÁFICO N° 26 Prueba 1. Alerta de ataque de fuerza bruta en Oracle CASB. ..................... 93 GRÁFICO N° 27 Análisis comparativo de prueba 1. ................................................................ 94 GRÁFICO N° 28 Prueba 2. Alerta de inicio de sesión con dirección IP anónima en Microsoft Cloud App Security. ....................................................................................... 96 GRÁFICO N° 29 Prueba 2. Alerta de actividades de viajes imposibles en Microsoft Cloud App Security. ......................................................................................................... 97 GRÁFICO N° 30 Prueba 2 Alerta de inicios de sesión fallidos con direcciones IP anónimas en Oracle CASB.................................................................................................. 98. xxi.

(23) GRÁFICO N° 31 Prueba 2. Alerta de actividad de viaje imposible en Oracle CASB . ...................................................................................................................... 98 GRÁFICO N° 32 Prueba 3. Alerta de instancias EC2 en stop en Microsoft Cloud App Security. ..................................................................................................................... 101 GRÁFICO N° 33 Prueba 3. Alerta de instancias EC2 en stop en Oracle CASB. .................. 102 GRÁFICO N° 34 Prueba 3. Alerta de cambios en grupos de seguridad en Security Monkey. ..................................................................................................................... 103 GRÁFICO N° 35 Prueba 3. Alerta de cambio de políticas de acceso en Security Monkey .. 104 GRÁFICO N° 36 Análisis comparativo de prueba 3. .............................................................. 105 GRÁFICO N° 37 Generación de alertas de modificaciones en políticas IAM en Microsoft Cloud App Security. ..................................................................................... 107 GRÁFICO N° 38 Generación de alertas de modificaciones en políticas IAM en Oracle CASB. ..................................................................................................................... 108 GRÁFICO N° 39 Generación de alertas de problemas en políticas IAM en Security Monkey. ..................................................................................................................... 109 GRÁFICO N° 40 Análisis comparativo de prueba 4. .............................................................. 110 GRÁFICO N° 41 Monitoreo de actividades y generación de alertas en Oracle CASB .......... 112 GRÁFICO N° 42 Monitoreo de las actividades en las cuentas de usuarios en Oracle CASB ..................................................................................................................... 113 GRÁFICO N° 43 Monitoreo de accesos registrados según la dirección IP, tipo de cliente y actividad en Oracle CASB ........................................................................... 114. xxii.

(24) GRÁFICO N° 44 Monitoreo de cuentas de usuarios y asignación de puntuaciones de riesgo en Oracle CASB .......................................................................................... 115 GRÁFICO N° 45 Monitoreo de cambios en políticas IAM, controles de accesos en Microsoft Cloud App Security ...................................................................................... 116 GRÁFICO N° 46 Monitoreo de acciones de los usuarios de Microsoft Cloud App Security . 117 GRÁFICO N° 47 Monitoreo de roles y políticas de usuarios en Security Monkey................. 118 GRÁFICO N° 48 Monitoreo y asignación de puntuación de riesgo a las actividades en Security Monkey .......................................................................................... 119. xxiii.

(25) UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES. “ANÁLISIS COMPARATIVO DE CLOUD ACCESS SECURITY BROKER (CASB) Y MONKEY SECURITY COMO HERRAMIENTAS DE SEGURIDAD Y CONTROL A USUARIOS QUE ADMINISTRAN SERVICIOS EN LA NUBE”. Autor: Erick William Herrera Pérez Autor: María Teresa Salazar Rivas Tutor: Ing. Juan Carlos Yturralde. RESUMEN El presente proyecto de titulación tiene como objetivo realizar un análisis comparativo entre Oracle CASB, Microsoft Cloud App Security que son dos Agentes de Seguridad para el Acceso a la Nube (CASB, de sus siglas en inglés) y una herramienta Open Source llamada Security Monkey que permite monitorear políticas y alertar sobre configuraciones inseguras en la nube. Estas soluciones surgen con la finalidad de brindar una solución a la problemática relacionada con la falta de visibilidad que tiene una empresa u organización sobre la información almacenada en la nube, este control limitado sobre los datos puede generar problemas y amenazas que incluyen fuga de datos, intercambio de recursos, disponibilidad de datos y problemas originados por una mala administración de recursos ; los tipos de investigación aplicadas son exploratoria, descriptiva, comparativa y bibliográfica; adicionalmente se incluyen entrevistas realizadas a 7 profesionales con conocimientos en seguridad y cloud computing. Para llevar a cabo la comparación de las tecnologías ya mencionadas, se realizaron varias pruebas sobre una cuenta en Amazon Web Service permitiendo de esta manera evaluar las alertas que se generan en las herramientas al detectar vulnerabilidades, cambios y actividades sospechosas.. Palabras claves: Computación en la nube, seguridad, Amazon Web Service, Agentes de Seguridad para el Acceso a la Nube, Mono de seguridad.. xxiv.

(26) UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES. “COMPARATIVE ANALYSIS OF CLOUD ACCESS SECURITY BROKER (CASB) AND MONKEY SECURITY AS SECURITY AND CONTROL TOOLS TO USERS THAT ADMINISTER SERVICES IN THE CLOUD”. Author: Erick William Herrera Pérez Author: María Teresa Salazar Rivas Tutor: Ing. Juan Carlos Yturralde. ABSTRACT The present project has the purpose of to realize a comparative analysis between Oracle CASB and Microsoft Cloud App Security, which are two security agents for the cloud access (CASB) and an Open Source tool called Security Monkey that allows the monitoring of policies and alerting about insecure configurations in the cloud. These solutions arise in order to improve the problem related to the lack of visibility that a company or organization has about the information stored in the cloud, a limited control the data can generate problems and threats that include data leakage, resource exchange, data availability and problems caused by mismanagement of resource; For that, this research is exploratory, descriptive, comparative and bibliographic, and includes 7 interviews with professionals with expertise and knowledge in security and cloud computing. In order to carry out the comparison between mentioned technologies, several test were done on an account in Amazon Web Service, allowing in this way the evaluation of the alerts in the tools at the moment of detecting vulnerabilities, changes and suspicious activities. Keywords: Cloud computing, security, Amazon Web Service, Security Agents for the Cloud Access (CASB), Monkey Security. xxv.

(27) INTRODUCCIÓN Debido al gran desarrollo de las TI (Tecnologías de Información), procesamiento y almacenamiento de datos, los requerimientos de cómputo de las empresas y organizaciones han incrementado sustancialmente. Por esta razón, y con el propósito de cumplir con las necesidades de cómputo más exigentes ha surgido una tecnología conocida hoy en día como computación en la nube (cloud computing). La computación en la nube trae consigo una serie de beneficios en relación con los centros de datos tradicionales como, por ejemplo, rápido aprovisionamiento de servicios, escalabilidad de servicios, optimización de recursos y minimización de costos operativos. La nube ofrece servicios de computación a través de internet, de tal forma que los usuarios que utilicen esta tecnología puedan acceder a la información desde cualquier lugar y dispositivo. Los clientes no necesitan tener su propia infraestructura física dentro de la empresa, sólo requieren de acceso vía web debido a que la información se encuentra alojada en servidores remotos pertenecientes al proveedor cloud. Al momento de migrar a la nube o almacenar información en un entorno cloud, es común que surjan inquietudes sobre la protección de los datos. Los principales riesgos que se presentan en la computación en la nube se resumen en amenazas de privacidad y seguridad de la información; adicionalmente otro factor a considerar es la falta de visibilidad del manejo de la información. Estos tres aspectos han sido identificados como las barreras más importantes en la adopción de la computación en la nube. No obstante, en los últimos años a medida que la tecnología evoluciona han aparecido varias tecnologías diseñadas para afrontar o minimizar los riesgos que representa la nube y proteger los datos e información sensible. Entre la extensa gama de soluciones a implementar se encuentran: los Agentes de Seguridad para el Acceso a la Nube (CASB, por sus siglas en inglés) y herramientas de auditoría como, por ejemplo, Security Monkey.. 1.

(28) Los CASB son herramientas que trabajan como intermediarios entre las aplicaciones que se encuentran en la nube y los clientes finales, con el objetivo de proveer visibilidad del uso de la información, limitar el acceso de los usuarios a servicios no autorizados en la nube y brindar seguridad a los datos. Otra funcionalidad muy importante de los CASB radica en que tienen la capacidad de incorporar políticas basadas en roles que permiten monitorear y determinar el incumplimiento de las mismas. Security Monkey en cambio es una tecnología que fue desarrollada por Netflix y que tiene por objetivo principal analizar la seguridad de los servicios de AWS (Amazon Web Services) y GCP (Google Cloud Platform). Es una herramienta Open Source que permite conocer las configuraciones que se encuentran dentro de los servicios EC2, RDS, S3 e IAM. El presente proyecto está enfocado en realizar un análisis comparativo de Oracle CASB, Microsoft Cloud App Security y Security Monkey mediante una serie de pruebas determinar la eficacia, alcance y funcionalidad de cada una de ellas. El presente trabajo consiste en cuatro capítulos que se describirán como un resumen en los siguientes párrafos. CAPÍTULO I – PLANTEAMIENTO DEL PROBLEMA, en este primer capítulo se detalla los temas referentes al planteamiento, delimitación, formulación, alcances, objetivos, causas y consecuencias del problema, que trae consigo la utilización de herramientas cloud para las empresas u organizaciones. CAPÍTULO II – MARCO TEÓRICO, en este segundo capítulo se describe los conceptos básicos de la seguridad en la nube y las herramientas para garantizar la seguridad de los servicios de la nube. CAPÍTULO III – METODOLOGÍA DE LA INVESTIGACIÓN, en este tercer capítulo se describe el diseño de la investigación, se determina la población, la muestra y se detallan los instrumentos utilizados para la recolección de datos y análisis de estos.. 2.

(29) CAPÍTULO IV –CONCLUSIÓN Y RECOMENDACIÓN, en este último capítulo se detallan las conclusiones de los resultados obtenidos mediante las pruebas realizadas durante el desarrollo de la propuesta de tesis y sus respectivas recomendaciones.. 3.

(30) CAPÍTULO I EL PROBLEMA PLANTEAMIENTO DEL PROBLEMA Ubicación del Problema en un Contexto En la actualidad el uso de servicios en la nube está teniendo una gran demanda, tanto así que pequeñas, medianas y grandes organizaciones e incluso gobiernos mundiales han adoptado este tipo de soluciones (por ejemplo: Netflix, Intercom, Nasa, etc.), esto se debe al sin número de ventajas que ofrece, entre ellas y la más importante es tener acceso a servicios ágiles y de pago desde cualquier dispositivo que tenga conexión a internet. Sin embargo, las principales problemáticas que sostienen las organizaciones que se niegan a utilizar servicios en la nube son: . Dependencia. del. proveedor. de. servicios. cloud:. muchas. organizaciones no están dispuestas a ceder el control total sobre sus datos a terceros. . Falta de visibilidad de las aplicaciones: no existe un nivel total de transparencia del uso no autorizado de aplicaciones alojadas en la nube.. . Carencia de control y monitoreo de usuarios: es imprescindible tener visibilidad continua de los usuarios que acceden a la información alojada en la nube y el uso que le dan los datos y servicios.. El problema de estudio está enfocado en la utilización y comparación de herramientas de monitoreo que permiten detectar y minimizar amenazas de seguridad en la nube, a través de los Agentes de seguridad para el acceso a la nube (CASB, Cloud Access Security Broker) es posible proporcionar puntos de control críticos para garantizar el uso de los servicios en la nube y Security Monkey que es una herramienta que permite monitorizar y analizar la seguridad de los servicios de AWS y GCP.. 4.

(31) Situación Conflicto Nudos Críticos. Las empresas y organizaciones hoy en día están empezando a seguir la tendencia de adoptar aplicaciones en la nube debido al sin número de ventajas que esta ofrece. Sin embargo, siempre que nace o evoluciona una tecnología es inevitable que existan preocupaciones por parte las empresas como: la falta de visibilidad y monitoreo de las aplicaciones y usuarios que tienen acceso a servicios en la nube. Aditya K. Sood, Ph.D.y Rehan Jalil (2018) en un estudio publicado por ISACA (Systems Audit and Control Association) afirman que las empresas muchas veces no cuentan con el personal ni el equipo suficiente que permita determinar cómo los usuarios acceden y comparten datos hacia y entre las diferentes aplicaciones de la nube.. Causas y Consecuencias del Problema CUADRO N° 1 CAUSAS Y CONSECUENCIAS DEL PROBLEMA Causas Dependencia. Consecuencias del. proveedor. Los clientes en su mayoría pierden el control del tratamiento de los datos, al adoptar proveedores de servicios en la nube, la información deja de estar exclusivamente en nuestro poder.. Deficiencia. en. las. Usuarios no autorizados pueden acceder a los. medidas de control de. servicios alojados en la nube sin dejar registro de. accesos e identidad. sus actividades.. de los usuarios. Pérdida. de. Desconfianza de los usuarios ante el uso de este. información. tipo de proveedores de servicios cloud.. Conexión a internet. El acceso y disponibilidad de los servicios en la nube dependen de la conexión a internet. Al estar alojados en servidores externos, los datos no están físicamente en nuestra empresa y sólo se pueden gestionar en la nube.. 5.

(32) Seguridad privacidad. de. y. Al circular por internet la información es susceptible. la. de ser interceptada o modificada por terceros.. información La falta de visibilidad. Bajo nivel de transparencia ante las políticas de. de los entornos en la. seguridad aplicadas y configuraciones establecidas por. nube.. los proveedores de servicios en la nube.. Elaborado por: María Salazar Rivas y Erick Herrera Pérez Fuente: Datos de la investigación. Delimitación del Problema CUADRO N° 2 DELIMITACIÓN DEL PROBLEMA. Campo:. Cloud Computing.. Área:. Seguridad de la información.. Aspecto:. Proporcionar herramientas de seguridad que permite llevar un control de acceso hacia los servicios de la nube.. Tema:. ANÁLISIS COMPARATIVO DE CLOUD ACCESS SECURITY BROKER (CASB) Y MONKEY SECURITY COMO. HERRAMIENTAS. DE. SEGURIDAD Y CONTROL A USUARIOS QUE ADMINISTRAN SERVICIOS EN LA NUBE. Elaborado por: María Salazar Rivas y Erick Herrera Pérez Fuente: Datos de la investigación.. Formulación del Problema La falta de visibilidad y control ante el acceso a plataformas en la nube y las actividades que los usuarios realizan dentro de ésta genera inseguridad a las empresas u organizaciones al momento de adoptar este tipo de soluciones.. 6.

(33) Evaluación del problema Los aspectos generales de evaluación son: Delimitado: Tener visibilidad de las operaciones que realizan los usuarios dentro de las plataformas en la nube es indispensable para garantizar el manejo seguro de la información, por tal motivo se lleva a cabo un análisis comparativo de herramientas de seguridad que permiten visualizar las actividades de los usuarios. Claro: El análisis comparativo de los Agentes de Seguridad para el Acceso a la Nube (CASB) y Security Monkey ayudará a los técnicos y administradores de TI a reforzar las medidas de protección de los datos que se encuentran alojados en la nube. Evidente: Al momento de migrar y almacenar información sensible en la nube, es común que surjan dudas sobre el nivel de seguridad con el que se cuenta. Relevante: Resulta de gran importancia para el cliente que contrate un proveedor de servicios en la nube tener visibilidad del manejo de su información para confirmar la seguridad y buen uso de su información. Factible: Dado que muchas empresas están optando por utilizar servicios cloud crece la necesidad de utilizar herramientas que brinden mayor seguridad para poder mitigar brechas de seguridad y errores ocasionados por los usuarios. Identifica los productos esperados: El análisis comparativo va a ser útil para los administradores de redes de empresas u organizaciones que requieren migrar sus infraestructuras a la nube y acceder a ella de forma segura.. 7.

(34) OBJETIVOS OBJETIVO GENERAL Realizar un análisis comparativo de Cloud Access Security Broker (CASB) y Security Monkey como herramientas de seguridad y control a usuarios que administran servicios en la nube.. OBJETIVOS ESPECÍFICOS . Realizar levantamiento de información de los Agentes de Seguridad para el Acceso a la nube y Security Monkey para la seguridad en la computación en la nube.. . Realizar. escenarios. de. prueba. que. permitan. demostrar. el. funcionamiento de los Agentes de Seguridad para el Acceso a la Nube (Oracle CASB, Microsoft Cloud App Security) y la herramienta Open Source Security Monkey. . Realizar monitoreo de tráfico de las aplicaciones y servicios en la nube mediante Oracle CASB, Microsoft Cloud App Security y Security Monkey.. ALCANCE DEL PROBLEMA El presente proyecto consiste en realizar un análisis comparativo de herramientas de gestión y monitorización de seguridad de la información en un entorno cloud. El alcance del proyecto abarcará los siguientes puntos específicos: . Dar a conocer las ventajas de la utilización de Cloud Computing para las empresas.. . Realizar un análisis comparativo de las herramientas de seguridad Oracle CASB, Microsoft Cloud App Security y Security Monkey.. 8.

(35) . La presente investigación permitirá obtener una visión de los diferentes riesgos asociados con los usuarios que utilizan las aplicaciones en la nube.. . Monitorear el tráfico que se dirige hacia y desde las aplicaciones y servicios alojados en la nube mediante Oracle CASB y Microsoft App Security lo cual permitirá conocer las actividades que realizan los usuarios que utilizan los servicios cloud.. . Realizar escenarios de prueba que permitan determinar el alcance y funcionalidad de cada una de las herramientas mencionadas.. . A través de los Agentes de Seguridad de Acceso a la Nube (CASB) y Security Monkey se identificarán actividades sospechosas en los servicios alojados en AWS como: inicios de sesión fallidos excesivos desde una dirección IP, comportamientos inusuales de los usuarios, emisión de alertas por una violación de política.. . Amazon Web Services (AWS) permitirá utilizar los servicios: IAM, EC2, S3 y Cloud Trail.. El presente proyecto no abarca los siguientes aspectos: . Durante el presente proyecto no se realizarán las pruebas de monitoreo con todos los proveedores CASB existentes en el mercado, se utilizarán únicamente las herramientas Oracle CASB y Microsoft Cloud App Security, por ser consideradas las más utilizadas según el cuadrante mágico de Gartner (Gráfico N° 14).. . Para poner a prueba el funcionamiento de las herramientas CASB y Security Monkey se trabajará únicamente con la plataforma en la nube Amazon Web Services.. . El servicio de Amazon Web Service adoptado incluye únicamente una capa gratuita (prueba gratuita de 12 meses).. 9.

(36) JUSTIFICACION E IMPORTANCIA La computación en la nube a lo largo del tiempo ha tenido un importante crecimiento dentro de las organizaciones debido a los beneficios que se obtienen al implementarla como una solución tecnológica para el almacenamiento, la gestión y administración de los datos. Entre sus principales ventajas se encuentra el fácil acceso a los servicios cuando el cliente lo requiera, reducción de costos logísticos y de infraestructura de TI al delegar esta tarea a un proveedor externo, brinda escalabilidad, gran capacidad de almacenamiento, entre otras. Así como la implementación de este modelo de almacenamiento trae consigo grandes beneficios, también existen desventajas o aspectos negativos que causan dudas en las organizaciones a la hora de utilizarlo, las más comunes son: falta de visibilidad, riesgos de la seguridad de la información y pérdida de la privacidad de los datos. El presente proyecto se enfoca en realizar un análisis comparativo entre dos herramientas conocidas como Agentes de Seguridad para el Acceso a la Nube (CASB, Cloud Access Security Broker) y Security Monkey. Estas tecnologías nacen como una necesidad para asistir ciertos riesgos de seguridad que generalmente no son considerados por los proveedores cloud, permiten básicamente tener visibilidad y control de los usuarios que administran o acceden a servicios en la nube. Si bien. los. proveedores. cloud. generalmente. se. enfocan. en. brindar. almacenamiento y protección contra ataques a las aplicaciones e infraestructuras de red en la nube, los CASB buscan reforzar estas medidas con la protección contra ataques dirigidos a la información y a los usuarios. Estas herramientas son consideradas de gran ayuda para los técnicos y personal encargado de la tecnología de la información dentro de las empresas ya que les permitirá rastrear y diagnosticar a tiempo problemas de rendimiento de las aplicaciones y revestir las políticas de seguridad implementadas en la nube.. 10.

(37) También brindan mejor visibilidad a las empresas de cómo están siendo administrados sus servicios y de esta manera disminuir las brechas de seguridad ocasionadas por los errores de configuración generados por los empleados.. METODOLOGÍA DEL PROYECTO La modalidad de investigación a aplicarse es de tipo bibliográfica, la cual está definida como un proceso sistemático que permite recolectar, seleccionar, clasificar, evaluar y analizar contenidos físicos, gráficos, y/o virtuales que servirán como fuente para una investigación determinada. Los tipos de investigación con los que se trabajará durante el desarrollo del proyecto son de tipo exploratorio y descriptivo. Durante el desarrollo de la investigación exploratoria se llevan a cabo una serie de procedimientos para obtener sus resultados. (Morales N., 2019) Entre estos encontramos: 1. Identificar problema: Esta es la etapa donde se define el tema de investigación y se determina el problema a estudiar. 2. Establecer preguntas: Se formulan las preguntas que van a contestarse y que son necesarias para identificar el problema. 3. Fundamenta. investigaciones. posteriores:. Con. la. información. recolectada anteriormente perteneciente a la investigación exploratoria, los investigadores continúan su estudio por medio de otra clase de investigación (generalmente investigación descriptiva). Al igual que la investigación exploratoria, la descriptiva está compuesta por una serie de etapas, estas se fusionan para llevar a cabo el desarrollo del proyecto. (Deisy, 2019) 1. Identificación y delimitación del problema: Se determina el problema que se va a investigar y las preguntas a realizarse.. 11.

(38) 2. Elaboración y construcción de los instrumentos: Es necesario escoger los instrumentos que permitan recolectar los datos. 3. Observación y registro de datos: implica estar atento y tomar nota de la mayor cantidad de detalles posible durante la investigación. 4. Decodificación y categorización de la información: Los datos recolectados se transcriben y clasifican de alguna manera. 5. Análisis: Interpretación y análisis de los datos con referencia al objeto de estudio. También se hace uso del método comparativo, el cual tiene como finalidad establecer las similitudes y diferencias entre dos o más fenómenos. El resultado que se obtenga durante este método debe alcanzar datos que lleven a la definición de un problema u obtener un mayor conocimiento sobre este (Isabel, 2019). En este caso en particular el resultado que se espera obtener se trata de un análisis comparativo de las herramientas de seguridad anteriormente nombradas. La población o universo donde se validará el estudio de la investigación es un grupo de profesionales relacionados con el área de seguridad, los cuales por medio de una entrevista darán a conocer su experiencia en ese ámbito. Para recopilar información adicionalmente se acudirá a bibliotecas científicas, foros, libros, sitios web que contengan temas referentes al tema de estudio.. 12.

(39) CAPÍTULO II MARCO TEÓRICO. Actualmente, las TIC (Tecnologías de la Información y la Comunicación) juegan un papel importante dentro del desarrollo de la sociedad, hasta el punto de convertirse en una gran prioridad para muchas empresas u organizaciones; originando la necesidad de acceder a la información desde cualquier lugar y dispositivo de manera confiable. Una solución a esta necesidad es sin duda el modelo de computación en la nube. La seguridad y la privacidad de la información es una de las principales preocupaciones de las empresas al contratar servicios en la nube. La reciente aparición de esta tecnología y la incertidumbre que se genera alrededor de este paradigma, en conjunto con la ausencia de visibilidad de las actividades que realizan los usuarios son los principales problemas para su adopción a pesar de ser una de las principales apuestas tecnológicas del sector de TI.. ANTECEDENTES DEL ESTUDIO Actualmente hay muchas empresas que no confían en el hecho de trasladar sus servicios y aplicaciones a la nube, indican no estar dispuestas a entregar sus datos a terceros y esto se debe a que temen sufrir pérdidas accidentales de información o ataques cibernéticos. Otro factor que sin duda frena el desarrollo de la nube es la pérdida de visibilidad de los datos alojados en la nube. Profesionales de TI que trabajan en empresas que ya han migrado a la nube han informado acerca de problemas relacionados con falta de visibilidad de aplicaciones y servicios en la nube, indican que no todos los proveedores cloud ofrecen las herramientas necesarias para monitorear sus infraestructuras y los servicios contratados dificultando. así la detección de vulnerabilidades.. (AlmacenamientoIT, 2019). 13.

(40) AlmacenamientoIT (2019), indica que en un estudio realizado por Dimensional Research, en el que se entrevistaron a 338 profesionales de TI de organizaciones de todo el mundo se determinó que, El 87% de profesionales de TI teme que la falta de visibilidad en los entornos de nube disfrace serios riesgos de seguridad para las organizaciones. Un 95% aseguran que los inconvenientes de visibilidad los ha llevado a afrontar problemas de rendimiento de la red y en las aplicaciones. Además, el 38% de los entrevistados asocia la visibilidad insuficiente con las interrupciones de las aplicaciones, y el 31% con las interrupciones en la red. (AlmacenamientoIT, 2019) Por otra parte, se dedujo que, El 86% de los encuestados asevera que la visibilidad es muy importante para el monitoreo de la red y aplicaciones, un 93% señala que es importante para la seguridad y un 99% de los entrevistados vincula la visibilidad de la red con el valor comercial. (AlmacenamientoIT, 2019) Durante este estudio también se precisa que: “los tres principales beneficios que aporta una visibilidad adecuada son la monitorización y la garantía del rendimiento de las aplicaciones (60%), que permite una mejor detección de amenazas (59%) y la identificación de indicadores de compromiso de seguridad (57%)”. (AlmacenamientoIT, 2019) El comercio (2017), informa mediante un reporte publicado por “Microsoft Security Intelligence Report Vol. 22” el 17 de agosto del 2017, que los usuarios de los países de Venezuela, Bolivia y Ecuador son los más propensos a riesgos de robos de identidad y otros tipos de amenazas cibernéticas. Microsoft. (2017), resaltó en la edición 22 de su informe SIR (Reporte de. Inteligencia en Seguridad), que el riesgo que sufrió Venezuela en el mes de marzo del 2017 alcanzó porcentajes de hasta 19,5 %, mientras que en países como Bolivia y Ecuador se alcanzaron porcentajes de 21,7% y 17,9% respectivamente.. 14.

(41) También advirtió que conforme las empresas migraran su infraestructura a la nube, los ataques hacia las cuentas de consumidores y empresas que utilizan estos servicios se realizaran con mayor frecuencia. La empresa tecnológica comenta que los ataques hacia las cuentas de sus usuarios en el año 2017 tuvieron un aumento del mucho mayor en comparación que en el año 2016 (Gráfico N° 1).. GRÁFICO N° 1 Cuentas observadas bajo ataque durante los primeros tres meses de 2016 y 2017.. Elaborada por: (Microsoft, 2017) Fuente: (Microsoft, 2017) Las empresas Blue Coat Systems y Elástica, dedicadas a la seguridad empresarial, presentaron un estudio en el año 2015 que hace referencia al shadow data, donde se realizó un análisis de aproximadamente 63 millones de documentos que clientes de la empresa Elástica almacenaban y compartían en servicios de almacenamiento en la nube como Microsoft office 365, Google Drive, SalesForce y Box. (Condés, 2016) El estudio muestra información relacionada con el aumento de los peligros de pérdida de datos debido al uso que los trabajadores hacen de aplicaciones cloud para compartir información con otras entidades, compañeros e incluso clientes.. 15.

(42) En el estudio se revelaron datos indicando que de todos los documentos que los empleados almacenaban dentro de aplicaciones de cloud computing, el 26% se solían difundir de forma generalizada permitiendo que cualquier trabajador pueda acceder a ellos, que eran compartidos de forma indebida con colaboradores y proveedores. Se diagnosticó también que parte de los archivos que eran compartidos. incluían. información. privada. que. estaba. relacionada. con. cumplimientos normativos, como código fuente (48%), datos personales (33%), datos sobre historiales médicos (14%) y datos de pago (5%). (Condés, 2016). Tomando como referencia los distintos tipos de ataques hacia la nube o cloud computing en Europa y América, se puede justificar por qué algunas empresas no migran su infraestructura o información a los distintos proveedores que ofrecen servicios en la nube. Basado en la seguridad que necesita el cliente para acceder de forma segura a los distintos servicios de la nube surgen los a Agentes de Seguridad para el Acceso a la Nube (CASB: Cloud Access Security Broker) y Security Monkey (Open Source), dos categorías de herramientas de seguridad que han tenido un crecimiento importante en el mundo de la seguridad.. FUNDAMENTACIÓN TEÓRICA Cloud computing. “El fortalecimiento de la computación en la nube se genera a partir del 2008 pero es en el año 2010 donde esta arquitectura informática y tecnológica se consolidó, llegando así a los usuarios que hoy en día utilizan sus servicios”. (Orozco & Jacobs, 2016) Según Siegel (2008) en un artículo llamado The Economist, pronosticaba para finales del 2008 el “advenimiento de esta arquitectura de almacenamiento de información, donde además analizaron con detalle el fenómeno de la computación en la nube, así como su impacto en las corporaciones y empresas.” El Instituto Nacional de Estándares y Tecnología (NIST por sus siglas en inglés, National Institute of Standards and Technology) describe al. cloud. computing como una tecnología que permite acceder a un conjunto de recursos de computación compartidos como, por ejemplo, redes, servidores, aplicaciones,. 16.

(43) almacenamiento y servicios de forma remota, es decir, desde cualquier lugar y dispositivo, estos recursos pueden estar disponibles y ser liberados con un esfuerzo de gestión reducido o comunicación mínima con el proveedor del servicio cloud. (Mell & Grance, 2011) La computación en la nube da un gran giro en la manera en que las empresas u organizaciones almacenan y procesan la información; las empresas que aún utilizan el modelo de TIC clásico invierten gran cantidad de recursos como hardware, software, centros de procesamiento de datos, redes, seguridad, etc.; mientras que con infraestructuras en la nube se reducen significativamente este tipo de inversiones. (ONTSI, 2012) Evolución de la computación en la nube. Siegel (2008), en un informe denominado A Special Report On Corporate IT dedicado a la Computación en la Nube, considera que los computadores han ido evolucionando a lo largo del tiempo. El primer acercamiento hacia la computación se dio a través del mainframe, siendo un ordenador de grandes dimensiones, posteriormente fue reemplazado por los minicomputadores, luego se dio paso a los computadores personales y estos a su vez están siendo desplazados por los dispositivos de mano cómo, por ejemplo, teléfonos inteligentes, consolas de videojuegos o los computadoras portátiles, tablets, etc. BBVA (2015), indica que a inicios de los 60 ya se empieza a hablar del poder del cómputo, pero no es hasta los años 90 cuando se adapta el término del cloud computing y en la primera década del siglo XXI cuando explosiona esa tendencia revolucionaria. A continuación, se detalla cronológicamente la evolución del cloud computing. (Gráfico N° 2).. 17.

(44) GRÁFICO N° 2 Historia de la evolución del cloud computing.. Elaborada por: María Salazar Rivas y Erick Herrera Pérez Fuente: Datos de la investigación Arquitectura de Niveles del Cloud. Según Zhang, Cheng y Boutaba (2010) afirma que “la arquitectura de un entorno de cloud computing se puede dividir en 4 capas: la capa de hardware/centro de datos, la capa de infraestructura, la capa de plataforma y la capa de aplicación” como se indica en el Gráfico N° 3.. 18.

(45) . La capa de hardware: esta capa se encarga de administrar los recursos físicos de la nube, dentro de esta capa se incluyen los servidores físicos, enrutadores, conmutadores, sistemas de alimentación y refrigeración. Esta capa por lo general se implementa en centros de datos. Los problemas comunes que se presentan en la capa de hardware suelen ser: tolerancia a fallos, la administración de las fuentes de alimentación y fuentes de refrigeración. (Zhang et al, 2010). . La capa de infraestructura: También llamada capa de virtualización. Es la que se encarga de crear una agrupación de recursos de cómputo y almacenamiento por medio de la partición de recursos físicos utilizando tecnologías de virtualización. Una de las características importantes como lo es la asignación dinámica de recursos está disponible únicamente a través de tecnologías de virtualización. (Zhang et al, 2010). . La capa de plataforma: Esta capa se encuentra sobre la capa de infraestructura, consta de aplicaciones y sistemas operativos. El principal objetivo de esta capa es minimizar la carga de implementar aplicaciones en máquinas virtuales. Por ejemplo, Google App Engine trabaja en la capa de plataforma para proporcionar soporte de API o implementar la lógica de almacenamiento, base de datos y negocios de las aplicaciones web típicas. (Zhang et al, 2010). . La capa de aplicación: Es la capa de nivel más alto, consta de las aplicaciones reales de nube. La modularidad de la arquitectura permite que la nube sea compatible con una extensa gama de requerimientos de aplicaciones y a la vez minimiza la administración y los gastos de mantenimiento. (Zhang et al, 2010). 19.

(46) GRÁFICO N° 3 Arquitectura de Niveles en la Nube.. Elaborada por: Zhang, Cheng y Boutaba Fuente: (Zhang, Cheng , & Boutaba, 2010) Modelo de Computación en la Nube. El modelo de computación en la nube según el NIST (Instituto Nacional de Estándares y Tecnología) está compuesto por cinco características esenciales, tres modelos de servicios y cuatro modelos de despliegue. (Mell & Grance, 2011) (Grafico N° 4).. 20.

(47) GRÁFICO N° 4 Modelo de Computación en la Nube del NIST (Instituto Nacional de Estándares y Tecnología).. Elaborado por: María Salazar Rivas y Erick Herrera Pérez Fuente: (Mell & Grance, 2011) Modelos de entrega Se refieren a los servicios específicos a los cuales se puede acceder en una plataforma de Computación en la Nube. (Mell & Grance, 2011) . SaaS. Software como servicio (SaaS) brinda la capacidad de utilizar las aplicaciones del proveedor que se ejecutan en la nube al consumidor. Estas aplicaciones se encuentran disponibles desde diversos dispositivos y desde navegadores web. El consumidor no es aquel que administra o controla la infraestructura en la nube, incluyendo redes, servidores, almacenamiento, sistemas operativos y otras aplicaciones. (Mell & Grance, 2011) . PaaS. Plataforma como servicio (PaaS) le brinda a los consumidores la capacidad de almacenar información y aplicaciones propias en la nube, ya sean adquiridas o desarrolladas y utilizando diferentes lenguajes de programación y herramientas. 21.

(48) ofrecidas por el proveedor. El consumidor no administra ni controla la infraestructura que se encuentra en la nube, sin embargo, sí posee el control sobre las aplicaciones instaladas y aplicaciones para la configuración del entorno de alojamiento. (Mell & Grance, 2011) . IaaS.. La Infraestructura como servicio (IaaS) es un modelo que le brinda capacidades de procesamiento, redes, almacenamiento, y demás recursos importantes que le permiten desplegar y ejecutar software. El consumidor posee el control sobre el sistema operativo, el almacenamiento, aplicaciones instaladas y un control limitado sobre componentes de red seleccionados. (Mell & Grance, 2011) . DBaaS. Base de datos como servicio (DBaaS) es un modelo cloud que permite a usuarios realizar requerimientos bajo demanda (On-demand) de ambientes de bases de datos a través de la elección de un catálogo de servicio definido utilizando un marco de trabajo de aprovisionamiento de autoservicio. Los beneficios de este tipo de modelo son agilidad y rápido despliegue de servicios de base de datos. (Pérez J. , 2016) Modelos de despliegue. Los modelos de despliegue se clasifican en cuatro categorías, las cuales se refieren a la localización y administración de la infraestructura en la nube. (Gráfico N° 5) (Mell & Grance, 2011) . Nube privada: En una nube privada, la infraestructura es por lo general administrada de forma interna por una empresa u organización, puede ser manejada por cuenta propia o también por un tercero y encontrarse ya sea dentro o fuera de la organización.. . Nube pública: En una nube pública la infraestructura se encuentra al alcance del público en general y pasa a manos de una organización o proveedor que ofrece los servicios en la nube.. 22.

(49) . Nube comunitaria: En este modelo la infraestructura generalmente suele ser compartida por varias organizaciones y brinda recursos a un grupo que comparte los mismos intereses, estos pueden ser requerimientos de seguridad y políticas. La nube comunitaria puede ser administrada por un tercero o bien cuenta propia ya sea dentro o fuera de las instalaciones de las organizaciones.. . Nube hibrida: En este tipo de modelo, la infraestructura es una mezcla de una o más nubes diferentes, las cuales son entidades únicas, pero se encuentran unidas por tecnologías o estándares que permiten la portabilidad de los datos y las aplicaciones.. GRÁFICO N° 5 Modelo de despliegue.. Elaborado por: (Mell & Grance, 2011) Fuente: (Mell & Grance, 2011) Características del cloud computing. Existe una serie de características principales que diferencian a la computación en la nube de los sistemas tradicionales las cuales se muestran a continuación. (ONTSI, 2012). 23.

(50) GRÁFICO N° 6 Características asociadas al cloud computing.. Elaborado por: (ONTSI, 2012) Fuente: (ONTSI, 2012). . Pago por uso: El costo de facturación de los servicios cloud están basados en el consumo, es decir, el pago que debe realizar un cliente varía según el uso que le dé a los servicios cloud contratados.. . Abstracción: En un modelo cloud es posible separar los recursos informáticos que han sido contratados al proveedor de los recursos informáticos del consumidor. No es necesario tener un personal dedicado al mantenimiento y operación de la infraestructura, actualización de sistemas, pruebas y demás tareas que ya quedan del lado del proveedor cloud contratado.. . Agilidad en la escalabilidad: Existe la posibilidad de aumentar o disminuir las funcionalidades brindadas al consumidor, ya esto depende de las necesidades puntuales del mismo y sin necesidad de tener que generar nuevos contratos. Los costes generados de los servicios contratados se modifican en función de las necesidades puntuales de uso.. 24.

(51) . Multiusuario: Varios usuarios pueden compartir los recursos informáticos, con la finalidad de optimizar sus usos.. . Autoservicio bajo demanda: El usuario puede de acceder a los servicios en la nube de forma automática y según como lo necesite sin tener una interacción con su proveedor cloud.. . Acceso sin restricciones: Los usuarios pueden tener acceso a sus servicios y aplicaciones alojados en la nube desde cualquier lugar, momento y dispositivo que disponga de conectividad a internet.. Agentes intervinientes en el cloud computing. Los principales agentes que intervienen en el cloud computing so: el proveedor, el intermediario, el habilitador, el auditor y el suscriptor, los cuales se detallan a continuación: (ONTSI, 2012) GRÁFICO N° 7 Agentes intervinientes en el cloud computing.. Elaborado por: (ONTSI, 2012) Fuente: (ONTSI, 2012) . Proveedor: “El proveedor presta servicios a través de la nube a suscriptores o intermediarios, es decir, el servicio ofertado por la empresa. 25.

(52) proveedora al cliente, ya sea de forma directa o a través de un intermediario”. (ONTSI, 2012, p. 22) . Intermediario: “El intermediario presta servicios de intermediación entre los usuarios finales y los proveedores en un mercado dinámico de oferta y demanda como es el cloud computing”. (ONTSI, 2012, p. 22). . Habilitador: “Se trata de un agente proveedor típicamente enfocado al mercado de proveedores de cloud. Son empresas que proveen de software y hardware a proveedores de servicios cloud, para que éstos desarrollen y ofrezcan al usuario servicios en la nube”. (ONTSI, 2012, p. 22). . Auditor: “Es el agente encargado de llevar a cabo las evaluaciones independientes de los servicios en la nube, de las operaciones asociadas a los sistemas de información, del rendimiento y de la seguridad en el uso de la solución cloud”. (ONTSI, 2012, p. 23). . Suscriptor: el suscriptor es el usuario contratante de los servicios cloud, por lo que se lo puede identificar como el cliente de los proveedores, los intermediarios y los auditores. (ONTSI, 2012, p. 23). COMPARACIÓN DE LA COMPUTACIÓN EN LA NUBE CONTRA MODELO DE COMPUTACIÓN TRADICIONAL. Centro de datos tradicional. El modelo de computación tradicional es aún utilizado por la mayoría de las empresas que cuentan con un centro de datos. En un centro de datos tradicional la infraestructura está conformada en su mayoría por un conjunto de servidores que se ejecutan 24/7 para mantener los datos almacenados y que estén disponibles en cualquier momento. Para garantizar el correcto funcionamiento de un centro de datos se debe de tomar en cuenta aspectos como control de temperatura, humedad, energía, almacenamiento, bases de datos, dispositivos de comunicación y la seguridad para así proporcionar un alto rendimiento y. 26.