Estado actual de la técnica de Cloud Computing de Seguridad taxonomías Una

clasificación de los desafíos de seguridad en el presente nube

entorno informático
Madhan Kumar Srinivasan Universidad K Universidad Paul
Infosys Limited Mysore, Sarukesi Hindustan Rodrigues Hindustan
India madhankrs@gmail.com Chennai, India Chennai, India
vc@hindustanuniv.ac.in drpaulprof@gmail.com

Sai Manoj M Revathy P Infosys Limited

IIITMK Trivandrum, Mysore, India
India saimanoj30@gmail.com revamadhankr@gmail.com

RESUMEN 1. INTRODUCCIÓN
La computación en nube ha tomado un lugar central en el escenario actual de negocios debido a La computación en nube está transformando rápidamente la forma en que las organizaciones
su naturaleza de pay-as-you-uso, donde los usuarios no tienen que molestarse en comprar los ven sus recursos de TI. Desde un escenario de un único sistema que consiste en solo sistema
recursos como el hardware, software, operativo y la aplicación única, las organizaciones se están moviendo hacia la computación en
infraestructura, etc. permanente. Por mucho que los beneficios tecnológicos, la nube, donde están disponibles en abundancia los recursos y el usuario tiene una amplia gama
computación en nube también tiene riesgos involucrados. Al observar sus beneficios para elegir. En la computación en nube, los usuarios finales no necesitan saber los detalles de
financieros, los clientes que no pueden pagar la inversión inicial, elija la nube por el una tecnología específica mientras que recibe su aplicación, ya que el servicio está totalmente
compromiso en los problemas de seguridad. Al mismo tiempo, debido a sus riesgos, los gestionado por el proveedor de servicios cloud (CSP). Los usuarios pueden consumir servicios
clientes relativamente a un ritmo que es fijado por sus necesidades particulares. Este servicio bajo demanda se
mayoría en número, evitar la migración hacia la nube. Este documento analiza los retos puede proporcionar cualquier momento. CSP se encarga de todas las operaciones complejas
actuales de seguridad en entorno de cloud computing basado en taxonomías de seguridad necesarias en nombre del usuario. Proporciona todo el sistema que asigna los recursos
cloud computing estado de la técnica en virtud de aspectos tecnológicos y relacionados necesarios para la ejecución de aplicaciones de usuario y la gestión de todo el flujo del
con el proceso. sistema. La figura 1, representan la representación visual de la arquitectura de computación en
la nube.
Descriptor de Sujeto y Categorias
D.4.6 [ Sistemas operativos]: Seguridad y Protección acceso
controles, autenticación, controles criptográficos, controles de flujo de información, granos
de seguridad, verificación.

K.6.5 [ Gestión de Informática y Sistemas de Información]:

Seguridad y Protección autenticación, seguridad física,
Acceso no autorizado.

Términos generales
Seguridad, Normalización, Verificación de Gestión.

Palabras clave
La computación en nube, seguridad en la nube, el estado de la técnica de las taxonomías de
seguridad cloud computing, la segregación lógica de almacenamiento, múltiples clientes, información
privilegiada maliciosos, gestión de identidades, virtualización, las vulnerabilidades de hipervisor, la
API de nube, la nube de migración, SLA.

Se permite hacer copias digitales o impresas de parte o la totalidad de este trabajo para uso
personal o en el aula se concede sin siempre que las copias no se hacen o se distribuyen con fines
de lucro o de ventajas comerciales y que las copias llevan este aviso y la cita completa en la
primera página . Derechos de autor para los componentes de este trabajo no sean propiedad de
ACM deben ser respetados. Se permite abstraer con el crédito. Para copiar lo contrario, volver a
publicar, para publicar en servidores o redistribuir en las listas, se requiere una autorización previa y
/ o una tasa. Figura 1. Arquitectura de Cloud Computing.

ICACCI '12, 3 hasta 5 agosto 2012, Chennai, India Derecho de autor Hay muchos beneficios de la computación en la nube. Optimización de costes entre ellos
2012 ACM 978-1-4503-1196- . es el favorito, ya que pagar a medida que avanza. los

470
otros beneficios se incrementan la movilidad, facilidad de uso, portabilidad de la aplicación, 2.2.2 Amplio Acceso a la Red
etc. Esto significa que los usuarios pueden tener acceso a la información La aplicación cliente desplegado debe estar disponible para los usuarios finales en el entorno
en cualquier lugar con facilidad. heterogéneo es decir, plataformas de cliente delgadas o gruesas (por ejemplo, teléfonos móviles,
tabletas, ordenadores portátiles, y estaciones de trabajo).
Como por International Data Corporation (IDC) [1] informes proliferación de
dispositivos, conformidad, sistemas mejorados
2.2.3 agrupación de recursos
el rendimiento, el comercio en línea y aumento de la replicación de sitios secundarios o de
para servir a múltiples clientes
copia de seguridad está contribuyendo a una duplicación anual de la cantidad de información
compartir / uniendo sus recursos en un modelo multi-arrendatario, manteniendo clientes
transmitida por el Inter t
lejos de las preocupaciones transparencia de ubicación (a través de mecanismos de
de manejar la enorme cantidad de datos es algo que cada organización debe abordar.
asignación apropiados entre máquinas físicas o virtuales).
Teniendo en cuenta el aumento de la economía actual, las organizaciones están buscando
medidas de ahorro de costes. Entre todos, la mejor parte de la computación en nube es
que proporciona más flexibilidad que sus contrapartes anteriores. 2.2.4 Rápido Elasticidad
Como fue prometido - as-you-uso modelo de computación, los clientes
debe ser capaz de escalar en marcha y las características disponibles a escala reducida de forma
Habiendo reconocido dos importantes beneficios de la computación en la nube son más bajos
automática bajo demanda.
costos de servicio y facilidad de uso, sino que también tiene problemas de seguridad
significativos y desafíos en muchos aspectos. Es importante entender y abordar estas brechas
2.2.5 Servicio Medido
de seguridad, teniendo en cuenta la privacidad de los usuarios, la sensibilidad de los datos en
Basándose en las decisiones dinámicas tomadas por los clientes mientras que el acceso /
las aplicaciones críticas de la empresa cuando se despliega en la nube, especialmente en
uso de los servicios en la nube (ejemplo, el cambio entre
entornos de nube pública e híbridos.

control automático en la prestación de servicios apropiados (para facilitar la carga

En el presente trabajo, hemos investigado los problemas de seguridad que intervienen en la por uso) según lo exigido por el cliente sin la participación de CSP.
computación en nube con respecto a sus aspectos arquitectónicos y tecnológicos, y el proceso
y aspectos relacionados reguladoras.
2.3 Modelos de Servicios
2. La computación en nube La figura 3 aclara el modelo de referencia nube dada por Cloud Security Alliance (CSA)
[3]. En general, hay tres diseños básicos de modelos de computación en nube como
Fisonomías Y MODELOS
describen a continuación:
2.1 Definición
La computación en nube [2] es un modelo que permite, acceso ubicuo conveniente, a
pedido de red a un conjunto compartido de recursos informáticos configurables (por
ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que pueden ser
rápidamente aprovisionados y liberados con un mínimo de rapidez esfuerzo de gestión o
interacción proveedor de servicios con las siguientes cinco características esenciales. La
Figura 2 ilustra la vista holístico de los entornos de computación en la nube con sus
características obligatorias y diferentes modelos.

Figura 2. Características y modelos.

2.2 Características
2.2.1 En la demanda de autoservicio
Figura 3. Modelo de Referencia Cloud.
Clientes debe ser capaz de acceso / control
/ Aprovisionamiento de su aplicación desplegada de forma independiente cada vez
Fuente: Orientación de seguridad para áreas críticas de foco en Cloud Computing
V2.1, Cloud Security Alliance

Conferencia Internacional sobre Avances en Informática, Comunicaciones e Informática (ICACCI-2012) 471

2.3.1 Infraestructura-as-a-Service (IaaS) dentro o fuera de las instalaciones del cliente. Esta configuración nube podría ser

Se requieren recursos de infraestructura de cómputo como el almacenamiento, red, controlado, mantenido o maniobrado por un tercero o de la propia organización o la

balanceadores de carga, máquinas virtuales, etc se proporcionan al usuario la nube a través de combinación de ellos.

Internet bajo demanda y alquiler (pay-as-you-uso) base. En este modelo, los clientes no tienen
que mantener grandes servidores; que sólo tiene que escoger su infraestructura requerida
utilizando un navegador web y estarán provistos de todo tipo de infraestructura de hardware de
CSP. Citrix, 3tera, VMware, HP, Dell, IBM, etc., son ejemplos de proveedores de IaaS.

2.3.2 Plataforma-como-a-Service (PaaS)

Este modelo proporciona un entorno de desarrollo completa a los clientes, que
incluye todas las fases del SDLC con un soporte apropiado de APIs. PaaS facilitar
una organización cliente en aplicaciones de software sin tener que invertir en
desarrollo enorme en la infraestructura que será entregado a los usuarios a través
de Internet bajo demanda y alquiler
(Pay-as-you-uso) base. servidores web,
solicitud servidores, desarrollo ambiente, tiempo de ejecución
medio ambiente, etc., son los componentes de ejemplo con respecto a PaaS. En este modelo
los clientes no tienen que mantener la infraestructura subyacente que incluye máquinas de
Figura 5. Esquema de implementación de modelo.
mantenimiento de servidores, refrigeración, sistemas operativos, almacenamiento, etc. Google
App Engine, Force.com, Microsoft Windows Azure, RedHat, etc., son ejemplo de los
Fuente: Orientación de seguridad para áreas críticas de foco en Cloud Computing
proveedores de PaaS.
V2.1, Cloud Security Alliance

2.4.2 Nube Comunidad

2.3.3 Software-as-a-Service (SaaS)
el software (s) aplicación con licencia funciona a CSP y los clientes pueden acceder a ese
software a través de clientes ligeros (navegador web, teléfonos, etc.) bajo demanda y base de
alquiler (pay-as-you-uso). componentes ejemplo con respecto a SaaS son suites de oficina
(docs), juegos online, aplicaciones de correo electrónico, los lectores en línea, reproductores de
películas en línea, etc. En este modelo, los clientes no tienen que mantener una fuerte inversión
de la configuración del sistema para ejecutar todas estas aplicaciones; que sólo requieren
conexión a Internet y un navegador web. Salesforce.com, Amazon, Zoho, Microsoft Dynamics
CRM, Google, etc., son ejemplos de proveedores de SaaS.
Este tipo de configuración de la nube es para uso exclusivo de una comunidad particular de los
consumidores de las organizaciones que tienen vistas comunes. Esta configuración puede residir
dentro o fuera de las instalaciones de CSP. Esta configuración nube podría ser controlado,
mantenido o maniobrado por un tercero o una combinación de las propias organizaciones.
2.4.3 nube pública
Este tipo de configuración de la nube es para uso abierto por los individuos es decir, del
público en general u organizaciones. Reside en las instalaciones de la CSP. Esta configuración
nube podría ser controlado, mantenido o maniobrado por diferentes organizaciones
gubernamentales u organizaciones empresariales o instituciones académicas o combinación
de ellos en la medida permitida por el CSP.

2.4.4 nube híbrida

Esta configuración de la nube es una composición de dos o más configuración distinta y
única nube (privada, comunitaria o pública) y se ata junto con la tecnología estandarizada o
registrada que garantiza y permite que los datos y la portabilidad de aplicaciones.

3. DESAFÍOS DE SEGURIDAD
La computación en nube atrae a los usuarios con su gran elasticidad y escalabilidad de los
recursos con un pay-as-you-utilización atractiva línea de la etiqueta a precios relativamente bajos.
En comparación con la construcción de sus propias infraestructuras, los clientes son capaces de
reducir los gastos de manera significativa mediante la migración de computación, almacenamiento
y hosting en la nube. Aunque esto proporciona un ahorro en términos de finanzas y recursos
Figura 4. Los proveedores de CSP.
humanos, que trae consigo nuevos riesgos de seguridad. Teniendo en cuenta la influencia de la
computación en la nube con respecto a sus beneficios de negocio y tecnológica

La Figura 4 muestra el algunos de los vendedores comerciales que proporcionan servicios en

transformaciones, el futuro de la empresa
diferentes dominios de la nube.
aplicaciones van a ser completamente dependiente de él. Tiene sus ventajas; sin

2.4 Modelos de implementación embargo tiene numerosos problemas y retos con respecto a los aspectos de seguridad.

La Figura 5 demuestra los diferentes modelos de despliegue nube y las conexiones entre ellos Hay muchas organizaciones de investigación, proveedores de la nube, las empresas de

[3]. Independientemente del modelo de servicio que se utiliza, basado en la forma de los desarrollo de productos e institutos de investigación académicos que trabajan en

usuarios finales publicar su aplicación en la nube, los modelos de despliegue se clasifican de la diferentes clasificaciones de seguridad de la computación en nube y sus soluciones. Este

siguiente manera: documento analiza los retos actuales de seguridad en entorno de cloud computing basado
en el estado de la técnica de Cloud Computing de Seguridad taxonomías (T1 a T9) en las
2.4.1 nube privada siguientes dos categorías.
Este tipo de configuración de la nube es para el uso exclusivo de una sola compañía /
organización y sus clientes. Esta configuración puede residir

472 Conferencia Internacional sobre Avances en Informática, Comunicaciones e Informática (ICACCI-2012)

Categoría 1: Aspectos arquitectónicos y tecnológicos
T1. La segregación de almacenamiento lógico y multiempresa problemas de
seguridad
T2. cuestiones de gestión de identidad
T3. los ataques internos
T4. temas de virtualización
T5. Criptografía y gestión de claves
Categoría 2: Proceso y reglamentarias relacionadas con aspectos
T6. Gobernabilidad y brechas de cumplimiento de normativas
T7. API inseguros
T8. las cuestiones de migración en la nube y CSP
T9. SLA y lagunas gestión de la confianza
3.1 problemas de seguridad lógicas de segregación de
almacenamiento y multiusuario
El uso de la computación en nube, los clientes pueden almacenar y entregar sus datos (datos,
aplicaciones y bases de datos) en todo el mundo a través de Internet. El usuario (propietario de
los datos) no controla, y por lo general lo hace
la naturaleza de la computación en nube, hay una fuerte posibilidad de que los clientes
datos s'pueden residir en el mismo
dispositivo de almacenamiento físico con la segregación lógica [4]. Debido a esta razón, existe una
alta probabilidad de que uno de los usuarios de datos privados para ser visto por los demás
usuarios. Si los datos y la información no están protegidos de otros usuarios, entonces es un
riesgo importante para el usuario a mantener su información privada, números de cuentas
bancarias, códigos secretos, contraseñas, y así sucesivamente en la nube. Además, los datos se
en un multi-
base modelo inquilino. Esta situación lleva a los siguientes problemas de seguridad que deben
tratarse adecuadamente por CSP.
Pregunta 1: ¿Quién posee la propiedad de los datos de control y la propiedad?
Pregunta 2: ¿Quién mantiene los registros de auditoría de los datos?
Pregunta 3: ¿Cuál es el mecanismo de la entrega de este registro de auditoría
para el cliente?
Pregunta 4: Como un verdadero titular de los datos, no el CSP permite a los clientes a
proteger y gestionar el acceso de los usuarios finales
Para manejar este tipo de situaciones delicadas, CSP debe garantizar el aislamiento de datos
adecuada. Este aislamiento no es sólo de interés para la protección de datos (y aplicaciones) de
amenazas o penetraciones externas, sino también la prevención de cambios no deseados por el
CSP. Por lo tanto, proporcionar seguridad a los datos del usuario, que es segregada lógicamente,
de cualquier otro usuario (y / o CSP), en términos de acceso / ataques no autorizados, aislamiento
de los datos, y el mantenimiento adecuado cumplimiento de los SLA y se convierte en el fin-de-el-
día de todos los problemas de seguridad de computación en nube.
3.2 cuestiones de gestión de identidad
Hoy en día, el avance de la computación en la nube basado en numerosos modelos
técnicos y de negocio, tales como SaaS / PaaS / IaaS, grid computing / cluster,
computación de alto rendimiento, etc., significa que la computación en nube con una
gestión de identidad apropiado (IDM), Nube de IDM, puede ser considerado como un
superconjunto de todos los temas correspondientes de estos paradigmas y muchos
Conferencia Internacional sobre Avances en Informática, Comunicaciones e Informática (ICACCI-2012)
más [5]. Como la identidad tradicional y la gestión de acceso todavía se enfrenta a tantos
desafíos [6] [7] a partir de varios aspectos como la seguridad, la privacidad, el
aprovisionamiento del servicio, así como máquinas virtuales, etc., cuando se considera que la
computación en nube, que tiene que ser más seguro y sofisticado. Reclamando
- como tu-
atracciones, cloud computing realmente requiere fuertes capacidades de gestión de identidad,
para cargar apropiadamente y con precisión el cliente correcto a través de un aprovisionamiento
sensible granular. Como se indica por [5] un IDM en la nube tiene que gestionar los puntos de
control, compuestas dinámico / máquinas fuera de servicio, dispositivo o servicio identidades
virtuales, etc. implementaciones de la nube son dinámicas con servidores poniendo en marcha o
terminados; Las direcciones IP de forma dinámica reasignados; y los servicios iniciados o fuera
de servicio o volver a empezar. Así, a diferencia de IDM tradicional, sólo la administración de
usuarios y servicios no es suficiente. Cuando está fuera de servicio de un despliegue o servicio o
de la máquina (VM), el IDM tiene que ser informado de manera que el acceso futuro a que sea
revocado. IDM, en la nube, idealmente debería almacenar sus datos hasta que se activa.
Mientras tanto el acceso a sus datos almacenados relevante tiene que ser controlada y otorgado
por el nivel de acceso definido para que el modo como se menciona en el SLA. IDM tradicional
no es directamente responsable de la computación en nube debido a estas características de
cuestiones como IDM, aprovisionamiento / de-aprovisionamiento, la sincronización, el derecho, la
gestión del ciclo de vida, etc.
3.3 ataques internos
Una de las preocupaciones de seguridad primarios en la computación en nube es que el
cliente pierde el control directo de los datos potencialmente sensibles y confidenciales de
negocios. Esto necesita más atención debido a que la CSP está fuera del dominio de
confianza del cliente. El riesgo de un miembro interno es una o las amenazas de seguridad
más peligrosos. El informe de Cloud Security Alliance [8] enumera información privilegiada
maliciosos como el número tres primeros amenaza de computación en la nube. Esta
amenaza se intensifica para los clientes de servicios en la nube por la unión de
infraestructuras, servicios y clientes bajo un único dominio de control, con una enorme falta
de transparencia en la forma en que los servicios de CSP a través de sus procesos y
procedimientos. Por ejemplo, un proveedor no puede revelar cómo se otorga a los
empleados el acceso a los activos físicos y virtuales, cómo se monitorea estos empleados, o
cómo se analiza e informa sobre el cumplimiento de la política [8]. Para añadir a la
amenaza, a menudo hay poca o ninguna visibilidad de las normas y prácticas de
contratación para los empleados en la nube. Nube Security Alliance [8] resumir que este tipo
de situación crea claramente una oportunidad atractiva para un enemigo
que van desde la
pirata informático aficionado, con el crimen organizado, al espionaje industrial, o incluso
Estado-nación patrocinado intrusión. El nivel de acceso concedido podría permitir a un enemigo
tan recopilar datos confidenciales o hacerse con el control total sobre los servicios en la nube
con poco o ningún riesgo de detección. Esto puede llevar a situaciones como impacto financiero,
la marca
[9] sensibiliza a los ataques internos que están en aumento. También Verizon 2010 informe de
violación de datos [10] indica que hay un 26% de aumento en las violaciones de datos de
información privilegiada maliciosos que representan a un total del 48% de las violaciones de datos
se lleva a cabo por los internos. Así que a pesar de que el proveedor de la nube puede ser de
confianza, un administrador de la nube podría ser potencialmente un pícaro.
3.4 cuestiones de virtualización
La virtualización es un elemento clave para la computación en nube para lograr su
Desafíos de seguridad para virtualizar Internet [11] afirma que, debido a las
preocupaciones por la seguridad, que al principio (cuando Intel entró en el mercado de la
nube) no virtualizar aplicaciones con requisitos de seguridad importantes que incluyen
Internet-
473
frente a las solicitudes de los clientes. Con anterioridad a la inclusión de la virtualización Individual aislamiento VM para proporcionar un mayor nivel de producción entre dos máquinas

virtuales de los clientes

niveles típicamente corriendo en un servidor físico dedicado, que estaba conectado a
La actualización de todos los sistemas criptográficos existentes con respecto a los nuevos patrones de
la red de la empresa a través de una LAN virtual dedicado (VLAN). Aunque esto era
seguridad
muy segura, teniendo en cuenta la utilización de los recursos de hardware,
este enfoque (sin Además, a menos que la CSP se adelanta para entender las tendencias actuales y la
virtualización) no fue efectivo en el largo plazo. La virtualización puede lograrse a través de un
sofisticación de la piratería mecanismos y actualizar sus sistemas de seguridad con los
hipervisor (también llamado VMM, Virtual Machine Monitor). Hipervisor (ejemplo, Citrix XenServer
últimos algoritmos criptográficos como homomórficas cifrado, AES, DES, SHA-2, MD5,
6.0) es una plataforma que permite a varios SO y las aplicaciones relacionadas (llamado máquinas
Blum Blum Shub, Fortuna, RC4, etc, van a ser propensos a constantes amenazas de
virtuales, las máquinas virtuales) para ejecutarse en una máquina de la nube al mismo tiempo para
seguridad.
facilitar el intercambio de recursos de la nube. La virtualización de servidores de la empresa

presenta problemas de seguridad significativos debido a la agregación de 3.6 de gobierno y cumplimiento de la normativa
riesgos. Asociar múltiples servidores con un host elimina la separación física entre los nube S [3] Orientación de seguridad para Críticos
servidores, aumentando el riesgo de la cooperación no deseable de una aplicación (de Áreas de atención en Cloud Computing informe afirma que un gobierno eficaz en entornos
uno VM) con otros en el mismo host. Al mismo tiempo [13], si un atacante obtiene la raíz de Cloud Computing se desprende de los procesos de gobierno bien desarrollada
para acceder al hipervisor, entonces trae una importante amenaza para la visión holística seguridad de la información, como parte de la organiz
de la computación en la nube. Si el atacante hacks el host de virtualización máquina es con
decir de ordenador que ejecuta el hipervisor y gestiona las máquinas virtuales (por cuidado necesario. Tales procesos de gobierno de seguridad de la información bien desarrollados
ejemplo, Host de virtualización VH, de CloudStack v3.0.0), entonces el atacante puede deben tener las siguientes propiedades:
obtener acceso
Escalable (con el negocio)

Repetible (a través de la organización)

dirigirse a numerosas áreas de un host de virtualización tales como el hipervisor, el
hardware y los sistemas operativos invitados y las aplicaciones dentro de máquinas Mensurable
virtuales individuales. Las técnicas más comúnmente usadas son [3]:
Sostenible

Modificar el hipervisor en el VH para obtener su acceso directo Defendible

Instalar un rootkit en VH la mejora continua

También pueden dirigirse al sistema de gestión de la virtualización. Para evitar los riesgos Rentable (de forma continua)
de seguridad asociados con la virtualización, cada uno de estos componentes deben ser
Además de la implementación de aplicaciones y apoyar responsable de incorporar el
protegidos y aislados unos de otros.
cumplimiento de la normativa correspondiente con las políticas específicas de cada

3.5 Criptografía y gestión de claves país (gobierno) y legales, tales como SOX, HIPAA, FISMA, FIPS 140-2, GLBA, ITAR,

temas de criptografía y gestión de claves no son algo exclusivo de la computación en nube.

ISAE
3402, ISO / IEC 27001, SAS 70, SSAE 16, etc. Cuando un CSP falla para identificar e
Como cualquier otro sistema tradicional, esto se convierte en el requisito más importante
implementar cualquiera de la característica (s) apropiadamente antes mencionado, en que
también en la computación en nube. Esto, a su vez, se refleja en las posibilidades de riesgo
incurra pérdida sustancial tanto para las partes que participan en el IE Business CSP y cliente
de alta seguridad [14].
. Actualmente es muy difícil de encontrar cualquier CSP que garantiza la rendición de cuentas
De hecho, la necesidad de que, hasta al día los sistemas de criptografía de clave y pasivos de dicho proceso de gobierno de seguridad de la información completa. Esto es
adecuados con los eficiente será el orden del día para cualquier CSP con la información principalmente debido al estado evolutivo de la computación en la nube, pero que necesita ser
del cliente altamente sensible. En comparación con los sistemas tradicionales, la enorme dada de alta prioridad en este punto de tiempo teniendo en cuenta su importancia.
cantidad de datos de negocio en la nube atrae la atención de los atacantes que
constantemente los ojos de información privada. A medida que la generación actual
técnicas de piratería avanzan a un nivel totalmente nuevo, muchos de los algoritmos
Tabla 1. Las políticas de gobierno y reguladores importantes
criptográficos tradicionales y los mecanismos no se adaptan a la nube
Nombre políticas
ES. Las siguientes son las
SOX Sarbanes-Oxley
posibles componentes vulnerables en el entorno de la nube con respecto a los
mecanismos criptográficos indebidos. La Ley de Responsabilidad y Portabilidad
HIPAA del Seguro Médico (HIPAA) de 1996
Los canales de comunicación entre (migración durante nube y otras
comunicaciones de negocio) cliente-a-CSP y CSP-a-CSP o CSP-a-usuarios
La Ley Federal de Gestión de Seguridad de la
finales (mientras que consume servicios en la nube) FISMA
Información de 2002

El Estándar Federal de Procesamiento

Las áreas de almacenamiento de datos de los clientes de una
FIPS 140-2 de Información (FIPS) 140-2
la seguridad y la privacidad son cuestiones que deben abordarse predominantes
publicación

Hypervisor necesidad anfitrión a ser bien protegida y aislada GLBA La Ley Gramm Leach Bliley

servicios de mapas en la nube para ser protegidos para evitar el acceso físico directo a las Tráfico Internacional de Armas
ITAR
máquinas virtuales Reglamento

474 Conferencia Internacional sobre Avances en Informática, Comunicaciones e Informática (ICACCI-2012)

 Las normas internacionales para encargos Cuando un cliente quiere mover sus servicios a la nube entonces tienen que migrar los
ISAE 3402
de fiabilidad No. 3402 datos y la aplicación de juntas en thepremise a blanquecino thepremise es decir, la
migración de nivel 1, entonces hay una posibilidad de que los siguientes riesgos de
Organización Internacional de
Normalización y la Comisión seguridad.
ISO / IEC 27001
Electrotécnica Internacional
Riesgo 1: ¿Es CSP migrando los datos en una forma sistemática de una manera escalonada

con los procesos y las políticas adecuadas?

Declaración de Normas de Auditoría No. 70
SAS 70 Riesgo 2: ¿Qué nivel de tecnología se ha utilizado en el flujo de trabajo de
migración?
La Declaración de Normas de
16 SSAE
Certificación compromisos N ° 16 Riesgo 3: Puede CSP capaz de manejar la replicación infraestructura y plataforma de
interoperabilidad en consecuencia?

3.7
interfaz (también llamado interfaz de software) API de programación de aplicaciones es la
documentación estructural detallado que proporciona los detalles necesarios para utilizar el
software del producto / servicio, sobre todo por escrito por los desarrolladores, que los clientes
Riesgo 4: Si el CSP está frente a los problemas relacionados con los nuevos
patrones de seguridad con respecto al canal seguro?
Riesgo 5: ¿Pueden los datos almacenados con un proveedor de servicios puede exportar

utilizan para administrar e interactuar con los servicios. API se puede definir como un manual de (portabilidad de datos) a petición del cliente?

usuario del producto desde la perspectiva de los desarrolladores que crean o amplían en el
Suponiendo que la situación de la migración de uno a otro CSP es decir, nivel 2 migración a la
producto.
nube, se dirige a unos cuantos problemas de seguridad, además de los riesgos de seguridad
migración de nivel 1.
público en general, por dos razones.

Riesgo 6: El cliente nunca puede estar seguro de que sus datos se transfieren de
1. Exponer las características disponibles de los componentes en la nube para sus clientes
forma segura a otra nube

Riesgo 7: ¿Cuál es la garantía de la (antigua) de borrado CSP / extracción de los datos originales
2. Para facilitar al cliente (s) de formular su despliegue rediseñado, si es necesario,
(y la aplicación) de los clientes de forma permanente después de migración a la nube?
para obtener mejores beneficios mutuos

teniendo en cuenta que f - de visión en términos de
tiempo, la misma naturaleza también puede invitar a la atención atacantes conocer la arquitectura
de los CSP y el diseño interno de datos, si no completamente, sino a una (mayor) medida. Por lo
tanto, APIs inseguros pueden dar lugar a importantes problemas de seguridad para CSP así como
clientes como ataques cibernéticos y el control ilegítimo más de las cuentas de usuario, etc. En
cualquier punto-de-
3.9 lagunas de gestión de SLA y de confianza
Acuerdo de Nivel de Servicio es un documento que describe los criterios mínimos de
rendimiento un CSP promete satisfacer al tiempo que ofrece el servicio (s) a su cliente
(s). Por lo general también establece las medidas correctivas y de las consecuencias
que entrarán en vigor si el rendimiento cae por debajo del estándar prometido. Esto es
claramente un elemento muy importante contrato legal entre un proveedor de servicio
en la nube y el consumidor que debe tener las siguientes cualidades [15].

El anuncio debido a la fuerte influencia de los servicios web y XML-mezcla con

respecto a la computación en nube. En su lugar, debe CSP
1.
qué
funcionalidades a través de mecanismos de cifrado, la abstracción y la encapsulación. 2. Proporcionar un marco para el cliente para comprender mejor las instalaciones
disponibles

3. Simplificar cuestiones complejas

3.8 Nube y CSP cuestiones de migración
Cuando una empresa (cliente o nube) está haciendo cualquiera de las siguientes 4. Reducir las zonas de conflicto
decisiones, la migración (es decir, los datos y la nube) serán la única solución,
5. Facilitar soluciones en caso de conflicto

R1. Entrando en la nube (a un CSP específico) 6. Eliminar las expectativas poco realistas

R2. Pasar de una a otra CSP En este proceso, el cliente debe entender sus requisitos de seguridad y patrones de
control y lo federación son necesarios para cumplir con esos requisitos. CSP tiene
Los requisitos anteriores R1 y R2 serán abordados por los siguientes niveles de que entender lo que tienen que entregar al cliente para permitir a los patrones de
migración respectivamente, control y la federación adecuadas [16].

Nivel 1: Los datos (y la aplicación) la migración

Conociendo la importancia de SLA y sus aspectos legales, es muy recomendable que

Nivel 2: migración a la nube
Teniendo en cuenta la separación física de las organizaciones (puede ser cliente-a-CSP o
CSP-a-CSP), la migración trae una situación (s) desafiante tanto para las partes que involucran
en el negocio, tales como la transmisión segura de contenidos digitales (los problemas de
seguridad de datos y de red ), el mantenimiento del cliente y finalizar su ciclo
el cliente debe saber y ser claro en los requisitos completos, específicamente con
respecto a los aspectos de seguridad de su negocio. Se identificaron los siguientes
como cualidades de seguridad SLA (SSQ), que son obligatorios para cualquier cliente
que entran en el modelo de negocio nube con CSP.

SSQ1. Promises sobre segregación lógica de los datos del cliente

(cuestiones de privacidad), junto con el cumplimiento de gobierno (cuestiones
reglamentarias), etc. SSQ2. Accesibilidad y auditabilidad de los clientes y de CSP

Conferencia Internacional sobre Avances en Informática, Comunicaciones e Informática (ICACCI-2012) 475

 SSQ3. Aseguramiento en la eliminación completa (formato de disco) de datos cuando ya no
está con CSP al cliente
SSQ4. Disponibilidad (7x24 tiempo de actividad) de los servicios
SSQ5. Seguridad y privacidad de los datos del cliente con respecto al usuario no
autorizado, así como CSP
SSQ6. Tecnología y estándares de enriquecimiento de CSP a estrictas disponibles
SSQ7. Gobernabilidad y mantenimiento cumplimiento de la normativa en
relación con el país (s) unido de la aplicación desplegada
amenazas críticas de seguridad del negocio y no pueden reclamar al CSP.
4. CONCLUSIÓN
Es cierto que la computación en nube está dominando predominantemente presente
informática empresarial de la empresa con sus beneficios financieros tentadoras. Al mismo
tiempo, debido a la naturaleza abierta y pública de la nube, que igual atrae la atención de los
atacantes a la par con los clientes (a veces en la dirección de recuento), que anexar más
severos retos y los riesgos de seguridad a la misma. Al mismo tiempo, las cantidades de
inversión hechas por estos proveedores de la nube son también significativamente alta. En
en la consecución de más clientes (al menos los más necesitados) en un futuro próximo a
presentarse en el uso de servicios en la nube, sin el temor de las actuales vulnerabilidades
de seguridad, van a estar en el borde de otra crisis seria. En las líneas similares, este
documento aborda las taxonomías de computación en nube el estado de la técnica de
vanguardia para sistemas de computación en la nube presentes. Este papel puede ser una
mejor sótano para cualquier CSP para construir (nueva CSP) y / o mejorar (CSP existente)
de su sistema de nubes actual a más seguro y sofisticado que a su vez redundará en
beneficio mutuo tanto para el CSP y el cliente. Además, este documento da una hoja de ruta
clara para los aspectos de seguridad de los clientes.
5. REFERENCIAS
[1] Michael Gregg. 2010. 10 Las preocupaciones de seguridad para la nube
Informática. Reporte técnico. El conocimiento global. [2] Peter Mell,
Timoteo Grance. Septiembre de 2011. el NIST
Definición de Cloud Computing. NIST Special Publication 800-145. Instituto
Nacional de Ciencia y Tecnología. [3] Orientación de seguridad para áreas
críticas de Enfoque en la nube
Computar V2.1. Nube de diciembre de 2009. Alianza de Seguridad. [4] Hong Li,
Jeff Sedayao, Jay Hahn-Steichen, Ed Jimison,
Catalina Spence, y Sudip Chahal. Enero de 2009.
El desarrollo de una estrategia de cloud computing.
Reporte técnico. Corporación Intel.
476 Conferencia Internacional sobre Avances en Informática, Comunicaciones e Informática (ICACCI-2012)
[5] Anu Gopalakrishnan. 2009. Identidad Cloud Computing
Administración. SETLabs Reuniones de información. Vol. 7, N ° 7. Nº de página. 45
55.
[6] Madhan Kumar Srinivasan, Paul Rodrigues. 2010. Un
hoja de ruta para la comparación de soluciones de gestión de identidad basada en
taxonomías IdM el estado de la técnica. Springer Comunicaciones en Informática y
Ciencias de la Información. Nº de página. 349 358. Springer-Verlag Berlin Heidelberg,
Nueva York, EE.UU..
[7] Madhan Kumar Srinivasan, Paul Rodrigues. 2010. Análisis
en los sistemas de gestión de identidad con factores de IdM taxonomía extendidos
estado de Theart, International Journal of ad hoc, sensores y computación ubicua. ( Diciembre
de 2010), Vol.1, No.4. Nº de página. 62 70. DOI = 10.5121 / ijasuc.2010.1406. [8] Principales
amenazas a Cloud Computing V1.0. Marzo de 2010. Nube
Alianza de Seguridad. [9] Maggie Shiels 2009. los ataques internos maliciosos
en aumento.
Reporte técnico. BBC News, Silicon Valley. [10] Wade Baker, Alexander
Hutton. 2010. 2010 violación de datos
Informe de investigaciones, un estudio llevado a cabo por el equipo RISK de Verizon
con la cooperación del Servicio Secreto de Estados Unidos y de la Unidad de Delitos de
Alta Tecnología holandesa. Reporte técnico. Verizon, Nueva Jersey.
[11] Bill Sunderland, Ajay Chandramouly. Noviembre de 2011.
La superación de los desafíos de seguridad para virtualizar aplicaciones
Internetfacing. Reporte técnico. Corporación Intel. [12] Sabahi, F. seguridad
2011.-nivel de virtualización en la nube
informática. Actas de la Conferencia Internacional IEEE sobre Software de
comunicación y redes. Nº de página. 250
254. DOI: 10.1109 / ICCSN.2011.6014716.
[13] Vaquero, LM, Rodero-Merino, L., Cáceres, J., Lindner, M.
2009. Una ruptura en las nubes: Hacia una definición de la nube.
ACM SIGCOMM ordenador examen de la comunicación. 39 (1). [14] Jansen,
WA 2011. Nube Ganchos: Seguridad y privacidad
Problemas en la nube. Actas del 44º Hawaii Conferencia Internacional
sobre Ciencias de Sistemas. Página No. 1-
10.DOI: 10.1109 / HICSS.2011.103
[15] Balachandra Reddy Kandukuri, Ramakrishna Paturi V,
Atanu Rakshit. Nube de 2009. Problemas de seguridad. IEEE Computer Society. Nº
de página. 517 520. DOI 10.1109 / SCC.2009.84. [16] Rabi Prasad Padhy, Manas
Ranjan Patra, Suresh Chandra
Satapathy. Marzo de 2012. Los SLAs en Cloud Systems: La perspectiva de negocio. Revista
Internacional de Ciencia y Tecnología de Computadores. Vol. 3, Número 1. Nº de
página. 481 488.