USAT

Metodologa de la Investigacin Cientfica

Jos Villegas

LA SEGURIDAD INFORMTICA EN LA CLOUD COMPUTING

RESUMEN La Cloud Computer es un nuevo servicio que se brinda a travs de internet. Las empresas ahora pueden liberarse de costos y recursos que implican las tecnologas de informacin. A pesar de estas ventajas, surge las siguientes preguntas: si los sistemas de informacin y los datos ya no van a estar alojados en la propia empresa, entonces dnde estarn, quin puede brindar la seguridad a estos elementos tan vitales para una institucin. Existen problemas de seguridad de los datos, y el presente trabajo realiza una breve descripcin sobre los peligros potenciales a lo que estn expuestos los datos en la cloud computing.
1.- INTRODUCCIN
Sucedi en Octubre del 2006 cuando George Gilder escribe un artculo publicado en la revista Wired titulado

Las fbricas de informacin; desde entonces se describe un nuevo modelo de servicio en Internet. Ahora Cloud
Computing es un tema que muchos lo vislumbra como el futuro del servicio de Internet. Cluod Computing se define como un nuevo modelo de internet que permite acceder a un conjunto compartido de recursos informticos como son: Redes Servidores Almacenamiento Aplicaciones.

La finalidad del presente trabajo es identificar y describir las alternativas de solucin ante el problema de la seguridad de los datos en los proveedores de Cloud Computing.

2.- TRES COMPONENTES PRINCIPALES

IAAS PAAS SAAS

METODOLOGA DE LA INVESTIGACIN CIENTIFICA Profesora: Ing. Karla Reyes Burgos

Pgina 1

IS&C

2.1.- IAAS (INFRASTRUCTURE AS A SERVICE)

Infraestructura como servicio, el ejemplo ms comn es el hosting, el cual, nos provee de hardware como un servidor y de software como un webserver, sin embargo, este concepto ha evolucionado a infraestructura como EC2 y S3. (Barrios 2009) La IaaS es la manera de compartir recursos utilizando tecnologa de virtualizacin, en donde mltiples usuarios utilizan dichos recursos. En caso de incrementarse la demanda de los recursos, estos fcilmente pueden escalar.

2.2.- PAAS (PLATFORM AS A SERVICE)

Plataforma como servicio, es la plataforma de desarrollo para desarrolladores web. Por ejemplo, Google App Engine. Adems se ofrece un ambiente de ejecucin como el servidor de aplicaciones. (Limited 2011)

2.3.- SAAS (SOFTWARE AS A SERVICE)

Software como Servicio, es donde el software y los datos se alojan en servidores de la compaa de tecnologas de informacin y comunicacin (TIC) y se accede con un navegador web. Se deduce que la informacin, el procesamiento, los insumos y los resultados de la lgica de negocio del software estn hospedados en la compaa de TIC. (Limited 2011)

3.- LOS DIFERENTES TIPOS DE SERVICIOS EN LA NUBE.

Servicio

Infraestructura como servicio (IaaS)

Platform-as-aservice (PaaS)

Ofrecimiento Los procesadores, memoria, ancho de banda de la red (tales como cortafuegos y equilibradores de carga), y el almacenamiento en la demanda de uso de la virtualizacin tecnologas Platform Computing incluyendo addon instalaciones de desarrollo e independientes entornos de desarrollo, un entorno de

Beneficios

Proveedores

Bajo la infraestructura de TI, administrativa, y los costes de mantenimiento

Microsoft SQL Azure The Rackspace Cloud Oracle EnterpriseDB

La reduccin de costes, especialmente en garantizar la seguridad, la escalabilidad, y los servicios de

Google App Engine Sun Microsystems GoGrid

Pgina 2

IS&C

ejecucin para aplicacin de cdigo compilado

conmutacin por error; distribuidos geogrficamente los equipos de desarrollo Bajos costos de iniciacin, sin dolor actualizaciones, la integracin sin fisuras, facilidad de personalizacin y gestin de nivel de servicio (SLA)

Software-as-aservice (SaaS)

Software accesible a travs de un proveedor thin-client de la interfaz, en la demanda, por el empleo de arquitectura multi- y los mecanismos complejos de almacenamiento en cach (trata con el usuario final, directamente)

Salesforce.com CRM 3Tera IB M Lotus Live

FUENTE: (Rajarshi Chakraborty 2010)

4.- SOBRE LA SEGURIDAD EN LA NUBE

Cuando se guardan los datos en la nube, surgen las siguientes preguntas: dnde se encuentran mis datos? y quin tiene acceso a ellos?; esto es una preocupacin, ya que empresas importantes han sufrido ataques virtuales en sus centros de datos, debido a su exposicin a internet. La seguridad de la informacin se define como la proteccin de datos de la observacin no autorizada de personas que intentan violar su integridad. La seguridad de la informacin puede verse desde tres tipos de funciones diferentes: El control de acceso Una comunicacin segura y La proteccin de los datos confidenciales

La computacin de nube engloba clases diferentes de usuarios. Se tiene usuarios que requieren una seguridad muy alta y estn usando el mismo sistema operativo como los usuarios que requieren la seguridad baja, e ingresan utilizando el mismo nivel de acceso. Tambin, los usuarios que requieren una seguridad alta y los usuarios que requieren la seguridad baja, operan las mismas aplicaciones, habiendo pasado el mismo acceso requerido por el software de aplicacin.

Pgina 3

IS&C

4.1..- UN EJEMPLO:

Como un ejemplo de la seguridad informtica en la nube, considere una base de datos mdica muy grande. Alice representa el administrador de la oficina del mdico que debe entrar y recuperar la informacin del paciente. Bob representa a un administrador de la empresa de seguros que debe entrar y tener acceso a la informacin del paciente para una aseguradora en particular. Carole representa un segundo administrador de base de datos mdica con cierta superposicin con la primera base de datos. Dave es el mdico en el consultorio de Alice y tendr que acceder a cualquier cosa del as que Alice tiene acceso como: los recordatorios, los cambios, y las tareas de para el diagnstico. Un acceso adicional a la base de datos puede ser requerida por la farmacia de los pacientes, el hospital o los mdicos especialistas. Considere la posibilidad de que Eva es un espa para un detective privado que trata de obtener ilegalmente informacin de salud de un paciente. El cifrado de la conexin entre dos procesadores dentro de la nube impide la utilizacin de un proceso de supervisin del sistema operativo que se ejecuta la aplicacin de base de datos para un mdico particular. Tambin, considere la posibilidad de que Mallory maliciosamente acceda a la informacin sobre un paciente en los archivos. Ella no puede acceder a la oficina del doctor, pero podra ingresar como una agencia de seguros para la comprobacin de los futuros clientes. Considere la posibilidad de Imelda, un impostor que quiere hacerse pasar por otra persona. Imelda puede tener acceso legtimo a la farmacia para la comprobacin de las prescripciones de una paciente. Imelda puede manipular la informacin de los pacientes para llevar a cabo los procesos que slo se le permite al Dr. Dave. Al pretender estar en una situacin de emergencia, el impostor puede acceder a causar una violacin de la brecha de seguridad. Imelda tambin podra interferir con la compaa de seguros por los reiterados ataques en su base de datos hacindose pasar por el Dr. Dave. Entonces, como un impostor podra causar una denegacin de servicio como resultado de que la oficina del mdico no puede cobrar el pago oportuno de seguros. Incluso con un rbitro de confianza, Trento, en el trabajo, tiene cada base de datos en diferentes plataformas para asegurar la confianza, por lo que Mallory genera dificultades aunque slo sea para obtener datos sin importar su incompatibilidad. As que por motivos de seguridad, Wally los monitorea desde Warden transacciones. Sin embargo, Wally slo guarda el nivel fsico de cifrado (autenticacin de la identidad falsa), sin considerar los problemas de acceso, as como las infracciones a nivel de aplicacin. Fuente: (Sehgal, y otros 2011)

Pgina 4

uc Use Case Model

EA 9.2 Unregistered los guardianes? Quin es la v igilancia de Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2

EA 9.2 Unregistered TriallaVersion EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Acceder Acceder a BD
como agencia de seguros maliciosamente a la informacin como agencia de seguros Denegacin de serv icio por no cobrar pago BOB / Adm empresa seguros Recuperar informacin del paciente MALLORY

EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2
<<Extend>>

EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2
Inferir en la compaa de por DAVE

EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version pasar 9.2 Unregistered Trial Version EA 9.2 seguros haciendose EA
ALICE / Adm. oficina medico

<<Include>> EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2

EA 9.2 Unregistered Trial Version Entrar9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 EA
<<Include>>
Causar una v iolacin en la

DAVE Trial brecha de seguridad EA 9.2 Unregistered Trial Version EA 9.2 Unregistered/ Mdico Version IMELDA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 EA / Impostor Realizar cambios y tareas de diagnstico Atender emergencia

EA 9.2 Unregistered recordatorios, Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2

EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2
Comprobar Farmacia

prescripcin EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Obtener ilegalmente informacin del paciente

EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 EVA / Espa
fsico de cifrado

EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 el niv el Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Guardar

EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 WALLY

EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2
FUENTE: Elaboracin propia

EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2

Pgina 5 METODOLOGA DE LA INVESTIGACIN CIENTIFICA Profesora: Ing. Karla Reyes Burgos Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 EA 9.2 Unregistered Trial

EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2

EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2

EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2 Unregistered Trial Version EA 9.2

Existen diferentes puntos de vista cuando se trata proteger los datos, pues los intentos van desde proteger la informacin a travs de las leyes hasta el uso de la tecnologa para la seguridad de los mismos. A continuacin se hace una breve descripcin:
4.2.- EL INTENTO DE PROTEG ER LOS DATOS A TRAVS DE LAS LEYES

En este aspecto la informacin es el punto focal, sin interesar cul es la ubicacin donde se encuentren los datos. Aqu lo ms importante es proteger los datos, y para ellos las leyes deben estar orientadas a este tema por que es un derecho fundamental a la privacidad y la seguridad, garantizado por los estados democrticos. Si la ley no se orienta en dar seguridad a los datos que se encuentran en la nube, entonces se corre el riesgo a que muchas empresas vean sus datos como algo vulnerable y expuesto a tantos ataques como puedan existir con el uso de internet. . (Vela 2011)

4.3.- EL INTENTO DE PROTEG ER LOS DATOS A TRAVS DE LA TECNOLOGA

En este campo existen tantas amenazas como las tecnologas que se usan, en las siguientes lneas se hace mencin de algunas de ellas: (Luis M. Vaquero 2011) Los proveedores de IaaS han sido sede de las redes de bots, troyanos y exploits de software. Un conjunto de APIs para administrar e interactuar con servicios en la nube suelen estar expuestos de aprovisionamiento, monitoreo, etc. Los vendedores IaaS prestan sus servicios en una forma escalable mediante la infraestructura de distribucin, esto significa que ms inquilinos implica una mayor complejidad en la deteccin de quin y cmo se est utilizando la infraestructura. El secuestro de una cuenta o de servicio son bien conocido en temas de TI. La nube aade una nueva dimensin a esta amenaza: Si un atacante obtiene acceso a sus credenciales, se puede realizar transacciones, manipular los datos, devolver informacin falsificada, y redirigir a sus clientes a sitios ilegtimos. Su cuenta puede llegar a ser una nueva base para el atacante.

Si bien es cierto que la computacin en nube trae ventajas muy atractivas, pues tambin es una preocupacin el tema de la seguridad de los datos y se espera que en un futuro cercano se logre frenar las amenazas por parte de los atacantes hacia los proveedores de Cloud Computing.

METODOLOGA DE LA INVESTIGACIN CIENTIFICA Profesora: Ing. Karla Reyes Burgos

Pgina 6

IS&C

5.- WINDOWS AZURE

Windows Azure se presenta como una plataforma donde se puede desarrollar y ejecutar aplicaciones para la nube. Las facilidades que brinda hace que los programadores de las diferentes empresas puedan desarrollar y ejecutar aplicaciones con una mayor rapidez, ya sea que utilice .NET, Java o PHP. Brinda un entorno de alta escalabilidad y esto significa que se paga por el servicio que se slo se utiliza liberando al personal especializado de cualquier responsabilidad tcnica. Muchas empresas de renombre internacional estn apostando por los beneficios que brinda los servicios de computacin en nube, dando preferencia a Windows Azure como su proveedor de cloud computer.

5.1.- PREOCUPACIONES EN LA NUBE

Y entonces qu sucede con la seguridad y la privacidad de los datos que estn colgados en la nube. Windows Azure a desarrollado herramientas para dar seguridad a los datos que se encuentran almacenados IaaS. Estas herramientas poseen las siguientes caractersticas: Contiene un programa basado en la evaluacin de riesgos que persigue y etiqueta las amenazas Mantiene actualizado un conjunto pormenorizado de controles de seguridad. Aplica un marco de cumplimiento normativo que permite garantizar el correcto diseo y funcionamiento (microsoft 2011)

5.2.- LOS ESTNDARES ISO 27001

Reservar los datos ntegros y seguros, es una cualidad que debe ser demostrada a los clientes. Es por eso que los proveedores de cloud computing ven la alternativa de poder certificarse con las normas ISO 27001 (ISO27000 2005).

Pgina 7

IS&C

Esto es una manera de decirle al cliente que los procesos que se realizan en la empresa estn siendo supervisados peridicamente por entidades externas. Algunos de los beneficios que los proveedores pueden tener con esta certificacin son: Una metodologa para gestionar la seguridad de una manera clara y estructurada. Se reduce el riesgo de prdida, robo o corrupcin de los datos. Los peligros y sus controles son continuamente revisados. Las auditoras externas ayudan a encontrar los puntos dbiles del sistema y las reas a mejorar. Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad. Conformidad con la legislacin vigente sobre informacin personal, propiedad intelectual y otras.

Es una ventaja para los proveedores, el dar a sus clientes una imagen del trabajo serio que realizan, y actan con total transparencia, al ser supervisados por entidades externas con la finalidad de seguir brindando un mejor servicio en la seguridad de los datos que se encuentran almacenados en la nube.
6.- CONCLUSIONES

En este documento se han observado dos formas que pretenden brindar seguridad a los datos guardados en la nube, estas son: Las leyes y La tecnologa.

En el tema de las leyes simplemente existe un pronunciamiento al respecto sin haber logrado avances significativos para poder mantener la seguridad e integridad de los datos, pese a que los estados democrticos garantizan el derecho fundamental a la privacidad y seguridad. Con el uso de la tecnologa si se ha logrado realizar implementaciones para poder mantener la integridad de los datos en la nube. Microsoft, es uno de los proveedores que apuesta por este nuevo servicio de internet, y que a futuro lo visualiza como un servicio que va a prevalecer, otorgando notables ventajas para sus clientes. Si bien es cierto que los peligros a los que estn sometidos los datos, no van a desaparecer, hay que pensar tambin que frente a ellos existen entidades que contrarrestan dichas actividades punibles, como la hacen algunos proveedores de computacin en nube: Microsoft SQL Azure, The Rackspace Cloud, Oracle, EnterpriseDB entre otros. Es muy importante elegir correctamente al proveedor de cloud computing, pues este debe brindar las garantas necesarias para que nuestros datos no estn expuestos ante cualquier alteracin o vulneracin por parte de terceros, poniendo en peligro uno de los puntos mas vitales de toda institucin como son los datos.
Pgina 8

IS&C

REFERENCIAS BIBLIOGRFICAS

Barrios, Luis Fernando Espino. CLOUD COMPUTING COMO UNA RED DE SERVICIOS. Noviembre de 2009. http://www.luisespino.com/pub/cloud_computing_luis_espino.pdf (ltimo acceso: 22 de 02 de 2012). ISO27000. iso27000. 2005. http://www.iso27000.es/download/doc_iso27000_all.pdf (ltimo acceso: 13 de 03 de 2012). Limited, Diversity. La comprensin de la pila de Cloud Computing: PaaS, SaaS, IaaS . 2011. http://broadcast.rackspace.com/hosting_knowledge/whitepapers/Understanding-the-Cloud-ComputingStack.pdf. Luis M. Vaquero, Luis Rodero-Merino, Daniel Morn. ProQuest Central. 2011. http://search.proquest.com/docview/840080305?accountid=37610 (ltimo acceso: 13 de 02 de 2012). microsoft. microsoft. 2011. http://www.microsoft.com/es-es/cloud/cloudpowersolutions/development-andhosting.aspx#tab1-tabs. Rajarshi Chakraborty, Srilakshmi Ramireddy, T.S. Raghu, H. Raghav Rao. ProQuest Central. 2010. http://search.proquest.com/pqcentral/docview/610368585/134DE6E38F642D3FF78/8?accountid=37610 (ltimo acceso: 13 de 02 de 2012). Sehgal, Naresh, Sohum Sohoni, Ying Xiong, David Fritz, Wira Mulia, y John Acken. A Cross Section of the Issues and Research Activities Related to Both Information Security and Cloud Computing. 07 de 2011. http://search.proquest.com/docview/884779649?accountid=37610 (ltimo acceso: 13 de 02 de 2012). Vela, Lorie. Cloud computing: un reto para la privacidad y la seguridad. 27 de 06 de 2011. http://www.collaborationideas.com/2011/06/cloud-computing-un-reto-para-la-privacidad-y-laseguridad/?lang=es (ltimo acceso: 24 de 02 de 2012).

Pgina 9