Escolar Documentos
Profissional Documentos
Cultura Documentos
RESUMEN 1. INTRODUCCIÓN
La computación en nube ha tomado un lugar central en el escenario actual de negocios debido a La computación en nube está transformando rápidamente la forma en que las organizaciones
su naturaleza de pay-as-you-uso, donde los usuarios no tienen que molestarse en comprar los ven sus recursos de TI. Desde un escenario de un único sistema que consiste en solo sistema
recursos como el hardware, software, operativo y la aplicación única, las organizaciones se están moviendo hacia la computación en
infraestructura, etc. permanente. Por mucho que los beneficios tecnológicos, la nube, donde están disponibles en abundancia los recursos y el usuario tiene una amplia gama
computación en nube también tiene riesgos involucrados. Al observar sus beneficios para elegir. En la computación en nube, los usuarios finales no necesitan saber los detalles de
financieros, los clientes que no pueden pagar la inversión inicial, elija la nube por el una tecnología específica mientras que recibe su aplicación, ya que el servicio está totalmente
compromiso en los problemas de seguridad. Al mismo tiempo, debido a sus riesgos, los gestionado por el proveedor de servicios cloud (CSP). Los usuarios pueden consumir servicios
clientes relativamente a un ritmo que es fijado por sus necesidades particulares. Este servicio bajo demanda se
mayoría en número, evitar la migración hacia la nube. Este documento analiza los retos puede proporcionar cualquier momento. CSP se encarga de todas las operaciones complejas
actuales de seguridad en entorno de cloud computing basado en taxonomías de seguridad necesarias en nombre del usuario. Proporciona todo el sistema que asigna los recursos
cloud computing estado de la técnica en virtud de aspectos tecnológicos y relacionados necesarios para la ejecución de aplicaciones de usuario y la gestión de todo el flujo del
con el proceso. sistema. La figura 1, representan la representación visual de la arquitectura de computación en
la nube.
Descriptor de Sujeto y Categorias
D.4.6 [ Sistemas operativos]: Seguridad y Protección acceso
controles, autenticación, controles criptográficos, controles de flujo de información, granos
de seguridad, verificación.
Términos generales
Seguridad, Normalización, Verificación de Gestión.
Palabras clave
La computación en nube, seguridad en la nube, el estado de la técnica de las taxonomías de
seguridad cloud computing, la segregación lógica de almacenamiento, múltiples clientes, información
privilegiada maliciosos, gestión de identidades, virtualización, las vulnerabilidades de hipervisor, la
API de nube, la nube de migración, SLA.
Se permite hacer copias digitales o impresas de parte o la totalidad de este trabajo para uso
personal o en el aula se concede sin siempre que las copias no se hacen o se distribuyen con fines
de lucro o de ventajas comerciales y que las copias llevan este aviso y la cita completa en la
primera página . Derechos de autor para los componentes de este trabajo no sean propiedad de
ACM deben ser respetados. Se permite abstraer con el crédito. Para copiar lo contrario, volver a
publicar, para publicar en servidores o redistribuir en las listas, se requiere una autorización previa y
/ o una tasa. Figura 1. Arquitectura de Cloud Computing.
ICACCI '12, 3 hasta 5 agosto 2012, Chennai, India Derecho de autor Hay muchos beneficios de la computación en la nube. Optimización de costes entre ellos
2012 ACM 978-1-4503-1196- . es el favorito, ya que pagar a medida que avanza. los
470
otros beneficios se incrementan la movilidad, facilidad de uso, portabilidad de la aplicación, 2.2.2 Amplio Acceso a la Red
etc. Esto significa que los usuarios pueden tener acceso a la información La aplicación cliente desplegado debe estar disponible para los usuarios finales en el entorno
en cualquier lugar con facilidad. heterogéneo es decir, plataformas de cliente delgadas o gruesas (por ejemplo, teléfonos móviles,
tabletas, ordenadores portátiles, y estaciones de trabajo).
Como por International Data Corporation (IDC) [1] informes proliferación de
dispositivos, conformidad, sistemas mejorados
2.2.3 agrupación de recursos
el rendimiento, el comercio en línea y aumento de la replicación de sitios secundarios o de
para servir a múltiples clientes
copia de seguridad está contribuyendo a una duplicación anual de la cantidad de información
compartir / uniendo sus recursos en un modelo multi-arrendatario, manteniendo clientes
transmitida por el Inter t
lejos de las preocupaciones transparencia de ubicación (a través de mecanismos de
de manejar la enorme cantidad de datos es algo que cada organización debe abordar.
asignación apropiados entre máquinas físicas o virtuales).
Teniendo en cuenta el aumento de la economía actual, las organizaciones están buscando
medidas de ahorro de costes. Entre todos, la mejor parte de la computación en nube es
que proporciona más flexibilidad que sus contrapartes anteriores. 2.2.4 Rápido Elasticidad
Como fue prometido - as-you-uso modelo de computación, los clientes
debe ser capaz de escalar en marcha y las características disponibles a escala reducida de forma
Habiendo reconocido dos importantes beneficios de la computación en la nube son más bajos
automática bajo demanda.
costos de servicio y facilidad de uso, sino que también tiene problemas de seguridad
significativos y desafíos en muchos aspectos. Es importante entender y abordar estas brechas
2.2.5 Servicio Medido
de seguridad, teniendo en cuenta la privacidad de los usuarios, la sensibilidad de los datos en
Basándose en las decisiones dinámicas tomadas por los clientes mientras que el acceso /
las aplicaciones críticas de la empresa cuando se despliega en la nube, especialmente en
uso de los servicios en la nube (ejemplo, el cambio entre
entornos de nube pública e híbridos.
2.2 Características
2.2.1 En la demanda de autoservicio
Figura 3. Modelo de Referencia Cloud.
Clientes debe ser capaz de acceso / control
/ Aprovisionamiento de su aplicación desplegada de forma independiente cada vez
Fuente: Orientación de seguridad para áreas críticas de foco en Cloud Computing
V2.1, Cloud Security Alliance
Se requieren recursos de infraestructura de cómputo como el almacenamiento, red, controlado, mantenido o maniobrado por un tercero o de la propia organización o la
balanceadores de carga, máquinas virtuales, etc se proporcionan al usuario la nube a través de combinación de ellos.
Internet bajo demanda y alquiler (pay-as-you-uso) base. En este modelo, los clientes no tienen
que mantener grandes servidores; que sólo tiene que escoger su infraestructura requerida
utilizando un navegador web y estarán provistos de todo tipo de infraestructura de hardware de
CSP. Citrix, 3tera, VMware, HP, Dell, IBM, etc., son ejemplos de proveedores de IaaS.
3. DESAFÍOS DE SEGURIDAD
La computación en nube atrae a los usuarios con su gran elasticidad y escalabilidad de los
recursos con un pay-as-you-utilización atractiva línea de la etiqueta a precios relativamente bajos.
En comparación con la construcción de sus propias infraestructuras, los clientes son capaces de
reducir los gastos de manera significativa mediante la migración de computación, almacenamiento
y hosting en la nube. Aunque esto proporciona un ahorro en términos de finanzas y recursos
Figura 4. Los proveedores de CSP.
humanos, que trae consigo nuevos riesgos de seguridad. Teniendo en cuenta la influencia de la
computación en la nube con respecto a sus beneficios de negocio y tecnológica
2.4 Modelos de implementación embargo tiene numerosos problemas y retos con respecto a los aspectos de seguridad.
La Figura 5 demuestra los diferentes modelos de despliegue nube y las conexiones entre ellos Hay muchas organizaciones de investigación, proveedores de la nube, las empresas de
[3]. Independientemente del modelo de servicio que se utiliza, basado en la forma de los desarrollo de productos e institutos de investigación académicos que trabajan en
usuarios finales publicar su aplicación en la nube, los modelos de despliegue se clasifican de la diferentes clasificaciones de seguridad de la computación en nube y sus soluciones. Este
siguiente manera: documento analiza los retos actuales de seguridad en entorno de cloud computing basado
en el estado de la técnica de Cloud Computing de Seguridad taxonomías (T1 a T9) en las
2.4.1 nube privada siguientes dos categorías.
Este tipo de configuración de la nube es para el uso exclusivo de una sola compañía /
organización y sus clientes. Esta configuración puede residir
T8. las cuestiones de migración en la nube y CSP Mientras tanto el acceso a sus datos almacenados relevante tiene que ser controlada y otorgado
por el nivel de acceso definido para que el modo como se menciona en el SLA. IDM tradicional
T9. SLA y lagunas gestión de la confianza no es directamente responsable de la computación en nube debido a estas características de
almacenamiento y multiusuario
El uso de la computación en nube, los clientes pueden almacenar y entregar sus datos (datos,
aplicaciones y bases de datos) en todo el mundo a través de Internet. El usuario (propietario de cuestiones como IDM, aprovisionamiento / de-aprovisionamiento, la sincronización, el derecho, la
los datos) no controla, y por lo general lo hace gestión del ciclo de vida, etc.
la naturaleza de la computación en nube, hay una fuerte posibilidad de que los clientes 3.3 ataques internos
datos s'pueden residir en el mismo Una de las preocupaciones de seguridad primarios en la computación en nube es que el
dispositivo de almacenamiento físico con la segregación lógica [4]. Debido a esta razón, existe una cliente pierde el control directo de los datos potencialmente sensibles y confidenciales de
alta probabilidad de que uno de los usuarios de datos privados para ser visto por los demás negocios. Esto necesita más atención debido a que la CSP está fuera del dominio de
usuarios. Si los datos y la información no están protegidos de otros usuarios, entonces es un confianza del cliente. El riesgo de un miembro interno es una o las amenazas de seguridad
riesgo importante para el usuario a mantener su información privada, números de cuentas más peligrosos. El informe de Cloud Security Alliance [8] enumera información privilegiada
bancarias, códigos secretos, contraseñas, y así sucesivamente en la nube. Además, los datos se maliciosos como el número tres primeros amenaza de computación en la nube. Esta
amenaza se intensifica para los clientes de servicios en la nube por la unión de
en un multi- infraestructuras, servicios y clientes bajo un único dominio de control, con una enorme falta
base modelo inquilino. Esta situación lleva a los siguientes problemas de seguridad que deben de transparencia en la forma en que los servicios de CSP a través de sus procesos y
tratarse adecuadamente por CSP. procedimientos. Por ejemplo, un proveedor no puede revelar cómo se otorga a los
empleados el acceso a los activos físicos y virtuales, cómo se monitorea estos empleados, o
Pregunta 1: ¿Quién posee la propiedad de los datos de control y la propiedad? cómo se analiza e informa sobre el cumplimiento de la política [8]. Para añadir a la
amenaza, a menudo hay poca o ninguna visibilidad de las normas y prácticas de
contratación para los empleados en la nube. Nube Security Alliance [8] resumir que este tipo
Pregunta 2: ¿Quién mantiene los registros de auditoría de los datos?
de situación crea claramente una oportunidad atractiva para un enemigo
Pregunta 3: ¿Cuál es el mecanismo de la entrega de este registro de auditoría
para el cliente?
que van desde la
Pregunta 4: Como un verdadero titular de los datos, no el CSP permite a los clientes a
pirata informático aficionado, con el crimen organizado, al espionaje industrial, o incluso
proteger y gestionar el acceso de los usuarios finales
Estado-nación patrocinado intrusión. El nivel de acceso concedido podría permitir a un enemigo
tan recopilar datos confidenciales o hacerse con el control total sobre los servicios en la nube
Para manejar este tipo de situaciones delicadas, CSP debe garantizar el aislamiento de datos con poco o ningún riesgo de detección. Esto puede llevar a situaciones como impacto financiero,
adecuada. Este aislamiento no es sólo de interés para la protección de datos (y aplicaciones) de la marca
amenazas o penetraciones externas, sino también la prevención de cambios no deseados por el
CSP. Por lo tanto, proporcionar seguridad a los datos del usuario, que es segregada lógicamente, [9] sensibiliza a los ataques internos que están en aumento. También Verizon 2010 informe de
de cualquier otro usuario (y / o CSP), en términos de acceso / ataques no autorizados, aislamiento violación de datos [10] indica que hay un 26% de aumento en las violaciones de datos de
de los datos, y el mantenimiento adecuado cumplimiento de los SLA y se convierte en el fin-de-el- información privilegiada maliciosos que representan a un total del 48% de las violaciones de datos
día de todos los problemas de seguridad de computación en nube. se lleva a cabo por los internos. Así que a pesar de que el proveedor de la nube puede ser de
confianza, un administrador de la nube podría ser potencialmente un pícaro.
presenta problemas de seguridad significativos debido a la agregación de 3.6 de gobierno y cumplimiento de la normativa
riesgos. Asociar múltiples servidores con un host elimina la separación física entre los nube S [3] Orientación de seguridad para Críticos
servidores, aumentando el riesgo de la cooperación no deseable de una aplicación (de Áreas de atención en Cloud Computing informe afirma que un gobierno eficaz en entornos
uno VM) con otros en el mismo host. Al mismo tiempo [13], si un atacante obtiene la raíz de Cloud Computing se desprende de los procesos de gobierno bien desarrollada
para acceder al hipervisor, entonces trae una importante amenaza para la visión holística seguridad de la información, como parte de la organiz
de la computación en la nube. Si el atacante hacks el host de virtualización máquina es con
decir de ordenador que ejecuta el hipervisor y gestiona las máquinas virtuales (por cuidado necesario. Tales procesos de gobierno de seguridad de la información bien desarrollados
ejemplo, Host de virtualización VH, de CloudStack v3.0.0), entonces el atacante puede deben tener las siguientes propiedades:
obtener acceso
Escalable (con el negocio)
También pueden dirigirse al sistema de gestión de la virtualización. Para evitar los riesgos Rentable (de forma continua)
de seguridad asociados con la virtualización, cada uno de estos componentes deben ser
Además de la implementación de aplicaciones y apoyar responsable de incorporar el
protegidos y aislados unos de otros.
cumplimiento de la normativa correspondiente con las políticas específicas de cada
3.5 Criptografía y gestión de claves país (gobierno) y legales, tales como SOX, HIPAA, FISMA, FIPS 140-2, GLBA, ITAR,
Hypervisor necesidad anfitrión a ser bien protegida y aislada GLBA La Ley Gramm Leach Bliley
servicios de mapas en la nube para ser protegidos para evitar el acceso físico directo a las Tráfico Internacional de Armas
ITAR
máquinas virtuales Reglamento
3.7 Riesgo 4: Si el CSP está frente a los problemas relacionados con los nuevos
interfaz (también llamado interfaz de software) API de programación de aplicaciones es la
patrones de seguridad con respecto al canal seguro?
documentación estructural detallado que proporciona los detalles necesarios para utilizar el
software del producto / servicio, sobre todo por escrito por los desarrolladores, que los clientes Riesgo 5: ¿Pueden los datos almacenados con un proveedor de servicios puede exportar
utilizan para administrar e interactuar con los servicios. API se puede definir como un manual de (portabilidad de datos) a petición del cliente?
usuario del producto desde la perspectiva de los desarrolladores que crean o amplían en el
Suponiendo que la situación de la migración de uno a otro CSP es decir, nivel 2 migración a la
producto.
nube, se dirige a unos cuantos problemas de seguridad, además de los riesgos de seguridad
migración de nivel 1.
público en general, por dos razones.
Riesgo 6: El cliente nunca puede estar seguro de que sus datos se transfieren de
1. Exponer las características disponibles de los componentes en la nube para sus clientes
forma segura a otra nube
Riesgo 7: ¿Cuál es la garantía de la (antigua) de borrado CSP / extracción de los datos originales
2. Para facilitar al cliente (s) de formular su despliegue rediseñado, si es necesario,
(y la aplicación) de los clientes de forma permanente después de migración a la nube?
para obtener mejores beneficios mutuos
teniendo en cuenta que f - de visión en términos de 3.9 lagunas de gestión de SLA y de confianza
Acuerdo de Nivel de Servicio es un documento que describe los criterios mínimos de
tiempo, la misma naturaleza también puede invitar a la atención atacantes conocer la arquitectura rendimiento un CSP promete satisfacer al tiempo que ofrece el servicio (s) a su cliente
de los CSP y el diseño interno de datos, si no completamente, sino a una (mayor) medida. Por lo (s). Por lo general también establece las medidas correctivas y de las consecuencias
tanto, APIs inseguros pueden dar lugar a importantes problemas de seguridad para CSP así como que entrarán en vigor si el rendimiento cae por debajo del estándar prometido. Esto es
clientes como ataques cibernéticos y el control ilegítimo más de las cuentas de usuario, etc. En claramente un elemento muy importante contrato legal entre un proveedor de servicio
cualquier punto-de- en la nube y el consumidor que debe tener las siguientes cualidades [15].
R1. Entrando en la nube (a un CSP específico) 6. Eliminar las expectativas poco realistas
R2. Pasar de una a otra CSP En este proceso, el cliente debe entender sus requisitos de seguridad y patrones de
control y lo federación son necesarios para cumplir con esos requisitos. CSP tiene
Los requisitos anteriores R1 y R2 serán abordados por los siguientes niveles de que entender lo que tienen que entregar al cliente para permitir a los patrones de
migración respectivamente, control y la federación adecuadas [16].
4. CONCLUSIÓN Alianza de Seguridad. [9] Maggie Shiels 2009. los ataques internos maliciosos
Es cierto que la computación en nube está dominando predominantemente presente
informática empresarial de la empresa con sus beneficios financieros tentadoras. Al mismo en aumento.
tiempo, debido a la naturaleza abierta y pública de la nube, que igual atrae la atención de los Reporte técnico. BBC News, Silicon Valley. [10] Wade Baker, Alexander
atacantes a la par con los clientes (a veces en la dirección de recuento), que anexar más Hutton. 2010. 2010 violación de datos
severos retos y los riesgos de seguridad a la misma. Al mismo tiempo, las cantidades de Informe de investigaciones, un estudio llevado a cabo por el equipo RISK de Verizon
inversión hechas por estos proveedores de la nube son también significativamente alta. En con la cooperación del Servicio Secreto de Estados Unidos y de la Unidad de Delitos de
Alta Tecnología holandesa. Reporte técnico. Verizon, Nueva Jersey.
en la consecución de más clientes (al menos los más necesitados) en un futuro próximo a
[11] Bill Sunderland, Ajay Chandramouly. Noviembre de 2011.
presentarse en el uso de servicios en la nube, sin el temor de las actuales vulnerabilidades
La superación de los desafíos de seguridad para virtualizar aplicaciones
de seguridad, van a estar en el borde de otra crisis seria. En las líneas similares, este
documento aborda las taxonomías de computación en nube el estado de la técnica de
Internetfacing. Reporte técnico. Corporación Intel. [12] Sabahi, F. seguridad
vanguardia para sistemas de computación en la nube presentes. Este papel puede ser una 2011.-nivel de virtualización en la nube
mejor sótano para cualquier CSP para construir (nueva CSP) y / o mejorar (CSP existente) informática. Actas de la Conferencia Internacional IEEE sobre Software de
de su sistema de nubes actual a más seguro y sofisticado que a su vez redundará en comunicación y redes. Nº de página. 250
beneficio mutuo tanto para el CSP y el cliente. Además, este documento da una hoja de ruta 254. DOI: 10.1109 / ICCSN.2011.6014716.
clara para los aspectos de seguridad de los clientes. [13] Vaquero, LM, Rodero-Merino, L., Cáceres, J., Lindner, M.
2009. Una ruptura en las nubes: Hacia una definición de la nube.
ACM SIGCOMM ordenador examen de la comunicación. 39 (1). [14] Jansen,
Timoteo Grance. Septiembre de 2011. el NIST [15] Balachandra Reddy Kandukuri, Ramakrishna Paturi V,
Definición de Cloud Computing. NIST Special Publication 800-145. Instituto Atanu Rakshit. Nube de 2009. Problemas de seguridad. IEEE Computer Society. Nº
Nacional de Ciencia y Tecnología. [3] Orientación de seguridad para áreas de página. 517 520. DOI 10.1109 / SCC.2009.84. [16] Rabi Prasad Padhy, Manas
Computar V2.1. Nube de diciembre de 2009. Alianza de Seguridad. [4] Hong Li, Satapathy. Marzo de 2012. Los SLAs en Cloud Systems: La perspectiva de negocio. Revista
Internacional de Ciencia y Tecnología de Computadores. Vol. 3, Número 1. Nº de
Jeff Sedayao, Jay Hahn-Steichen, Ed Jimison,
página. 481 488.
Catalina Spence, y Sudip Chahal. Enero de 2009.
El desarrollo de una estrategia de cloud computing.
Reporte técnico. Corporación Intel.