• No se han encontrado resultados

en Cloud Computing

N/A
N/A
Info
Descargar
Protected

Academic year: 2023

Share "en Cloud Computing "

Copied!
53
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 53 página )

Texto completo

Este dominio, Cloud Computing Architecture Framework, proporciona el marco conceptual para otro material informativo relacionado con Cloud Security Alliance. Así como las capacidades se heredan, también lo son los problemas y riesgos de seguridad de la información.

Resumen

Gobierno y gestión de riesgos de las empresas

El gobierno empresarial y la gestión de riesgos efectivos en entornos de computación en la nube son el resultado de procesos de administración de seguridad de la información bien desarrollados dentro de las obligaciones de gobierno corporativo de una organización relacionadas con el debido cuidado. Los procesos de seguridad de la información bien desarrollados deben conducir a programas de gestión de la seguridad de la información que sean escalables con el negocio, repetibles en toda la organización, medibles, sostenibles, defendibles, que mejoren continuamente y que sean consistentemente rentables.

Recomendaciones para el gobierno

Los temas fundamentales del gobierno empresarial y la gestión de riesgos en la computación en la nube se refieren a la identificación e implementación de las estructuras, los procesos y los controles organizativos adecuados necesarios para mantener el gobierno y la seguridad de la información, así como una gestión de riesgos eficaz y el cumplimiento normativo. Establezca métricas y puntos de referencia para medir los resultados y la eficacia de la gestión de la seguridad antes de pasar a la nube.

Recomendaciones de gestión de riesgos de las empresas

Los resultados de los planes de tratamiento de riesgos deben incorporarse en los contratos de trabajo. El uso de los servicios en la nube y los modelos específicos de servicio e implementación que se utilizarán deben ser coherentes con los objetivos de gestión de riesgos de la organización, así como con los objetivos comerciales.

Recomendaciones para la gestión de terceros

Cuestiones legales y eDiscovery

La computación en la nube crea una nueva dinámica en la relación entre una organización y su información, lo que implica la presencia de un tercero, un proveedor de la nube. Si bien este problema ya ha estado en la infraestructura informática tradicional, es un problema particularmente urgente en la computación en la nube debido a la falta de antecedentes legales en el caso de la nube.

Recomendaciones

Cumplimiento normativo y auditorías

Separación de las responsabilidades de cumplimiento normativo entre el proveedor de la nube y el cliente de la nube. Que la capacidad del proveedor de la nube para presentar pruebas es necesaria para el cumplimiento normativo. El tipo de servicio en la nube determinará en cierta medida si el cliente o el proveedor del servicio en la nube será responsable de establecer los controles de seguridad.

En un escenario SaaS, el proveedor de servicios en la nube debe proporcionar los controles necesarios. En el área de infraestructura, el cambio a servicios en la nube también requerirá una cuidadosa consideración. Según el tipo de servicio en la nube, es posible que el proveedor de la nube deba proporcionar mucha de esta información.

Gestión del ciclo de vida de la información

Gestión del ciclo de vida de la información

Asegúrese de que existan especificaciones escritas de que la entidad es responsable de cada control entre el propietario de los datos y el proveedor de servicios en la nube. Se debe incluir un sistema de penalización en el contrato entre el propietario de los datos y el proveedor de servicios en la nube. El propietario de los datos debe aplicar una política de "Denegación predeterminada" tanto a los empleados del propietario de los datos como al proveedor de servicios en la nube.

Esto se aplica específicamente a los empleados de Cloud Services y sus clientes que no sean empleados del propietario de los datos y personal autorizado. La responsabilidad del propietario de los datos es definir e identificar la clasificación de los datos. Es responsabilidad del proveedor de servicios en la nube hacer cumplir los requisitos de acceso del propietario de los datos en función de la clasificación de los datos.

Recomendaciones sobre seguridad de datos por parte de ILM Phase

  • Portabilidad e interoperabilidad
  • Seguridad tradicional, continuidad del negocio y recuperación de catástrofes
  • Operaciones del centro de datos
  • Respuesta ante incidencias, notificación y subsanación
  • Seguridad de las aplicaciones
  • Cifrado y gestión de claves

Comprenda cómo se pueden capturar y transferir imágenes de máquinas virtuales al nuevo proveedor de nube. Identifique y elimine (o al menos documente) cualquier complemento específico del proveedor en el entorno de la máquina virtual. El problema para el cliente de la nube es que las aplicaciones implementadas en las estructuras de la nube no siempre están diseñadas teniendo en cuenta la integridad y la seguridad de los datos.

Una organización deberá comprender la estrategia de respuesta a incidentes del proveedor de la nube que elija. Este entorno crea la necesidad de cambios en la arquitectura para garantizar la seguridad de las aplicaciones. La seguridad del ciclo de vida del desarrollo de software (SDLC) es importante y, en los niveles altos de desarrollo de la nube, debe abordar las siguientes tres áreas principales de diferenciación: 1) Modelos de confianza y amenazas actualizados 2) Herramientas de evaluación de aplicaciones actualizadas para entornos de nube y 3) Procesos SDLC y controles de calidad que tengan en cuenta los cambios en la arquitectura de seguridad de la aplicación.

Los proveedores y clientes de la nube deben tomar medidas para evitar la pérdida y el robo de datos. De manera similar, el proveedor de la nube debe proteger los datos confidenciales de sus clientes por razones similares.

Cifrado para la confidencialidad y la integridad

Gestión de acceso e identidades

La administración de identidades y el control de acceso para las aplicaciones comerciales sigue siendo uno de los mayores desafíos que enfrenta la informática en la actualidad. Garantía de identidad: uno de los desafíos más importantes para las organizaciones que adoptan servicios de computación en la nube es la gestión segura y oportuna de los registros de usuarios (aprovisionamiento) y el desaprovisionamiento (desaprovisionamiento) de usuarios de la nube. Además, las empresas que han invertido en procesos de gestión de usuarios internos extenderán esos procesos y prácticas a los servicios en la nube.

Las organizaciones se enfrentan a desafíos relacionados con la autenticación, como la gestión de credenciales, la autenticación sólida, la autenticación delegada y la gestión de confianza en todo tipo de servicios en la nube. Federación: en el entorno de la computación en la nube, la administración de identidades federadas desempeña un papel vital al permitir que las organizaciones autentiquen a sus usuarios de servicios en la nube mediante el proveedor de identidad (IdP) elegido por la organización. Las organizaciones que consideren la administración de identidades federadas en la nube deben comprender los diversos desafíos y las posibles soluciones para abordar esos desafíos relacionados con la administración del ciclo de vida de la identidad, los métodos de autenticación disponibles para proteger la confidencialidad y la integridad. al mismo tiempo que se puede aplicar el descargo de responsabilidad.

Abastecimiento de identidades – Recomendaciones

Autenticación – Recomendaciones

Este enfoque permitirá a las organizaciones implementar SSO federado no solo dentro de la empresa, sino también extenderlo a sus aplicaciones en la nube. OpenID es otra opción cuando la aplicación está destinada a algo más que usuarios comerciales. Sin embargo, dado que el control sobre las credenciales de OpenID es externo a la empresa, los derechos de acceso ampliados para dichos usuarios deben restringirse adecuadamente.

Todos los servicios de autenticación implementados localmente dentro del proveedor de la nube deben cumplir con OATH. Con una solución compatible con OATH, las empresas pueden evitar bloquear una de las credenciales de autenticación del proveedor. Para permitir una autenticación sólida (independientemente de la tecnología), las aplicaciones en la nube deben tener la capacidad de delegar la autenticación a la empresa que utiliza los servicios, por ejemplo, a través de SAML.

Recomendaciones para la federación

Los proveedores de servicios en la nube que deseen tener diferentes formatos de token de federación deberían considerar implementar algún tipo de puerta de enlace de federación. Es posible que las organizaciones deseen evaluar el SSO público federado en relación con el SSO privado federado. El SSO público federado se basa en estándares como SAML o WS-Federation del proveedor de la nube, mientras que el SSO privado federado permite a las organizaciones aprovechar su arquitectura de SSO existente a través de una VPN.

A largo plazo, el SSO público federado será ideal, aunque una organización con una arquitectura de SSO madura y una cantidad limitada de nubes puede lograr beneficios de costos a corto plazo con el SSO privado federado. Es posible que las organizaciones deseen elegir puertas de enlace de federación para subcontratar la implementación de su federación para administrar la emisión y verificación de tokens. Con este método, las organizaciones pueden delegar la emisión de diferentes tipos de tokens a la puerta de enlace de la federación, donde la puerta de enlace de la federación se encarga del trabajo principal de traducir las señales de un formato a otro.

Recomendaciones de control de acceso

Los proveedores de la nube deben tener la flexibilidad para aceptar formatos de federación estándar de diferentes proveedores de identidad. Sin embargo, la mayoría de los proveedores de servicios en la nube tienen un estándar en el momento de escribir este artículo (por ejemplo, SAML 1.1 o SAML 2.0). Aplicar la decisión de la política en el Punto de aplicación de la política (PEP).

Recomendaciones para IDaaS

Virtualización

Por lo tanto, los controles de seguridad de red estándar ahora son inútiles para este tráfico y no pueden realizar sus funciones de seguimiento o bloqueo en línea. Los sistemas operativos virtualizados deben complementarse con tecnologías de seguridad de terceros para proporcionar controles de seguridad en capas y reducir la dependencia del proveedor de la plataforma por sí solo. Comprenda qué controles de seguridad están disponibles dentro de las máquinas virtuales además del aislamiento del hipervisor incorporado, como detección de intrusos, antivirus, escaneo de vulnerabilidades, etc.

Comprenda qué controles de seguridad existen para los clientes fuera de las máquinas virtuales para proteger las interfaces administrativas (en línea, API, etc.). Los mecanismos de seguridad específicos de la máquina virtual integrados en las API del hipervisor deben usarse para proporcionar un seguimiento granular de los backplanes de la máquina virtual que atraviesan el tráfico que sería opaco para los controles de seguridad tradicionales de la red. Explore la efectividad y viabilidad de particionar máquinas virtuales y crear zonas de seguridad por tipo de uso (p. ej.

Referencias

Descargar ahora ( PDF - 53 página - 1.19 MB )

Outline

Operaciones del centro de datos Respuesta ante incidencias, notificación y subsanación Cifrado para la confidencialidad y la integridad Recomendaciones para IDaaS

Documento similar

Automatising the learning of lexical patterns: An application to the enrichment of WordNet by extracting semantic relationships from Wikipedia

We have found general patterns for the hyperonymy, hyponymy, holonymy and meronymy relations and, using them, we have extracted more than 2600 new relationships that did not appear