La seguridad en la nube y la seguridad en la nube ( Cloud Security en inglés) es un dominio en la nube ( computación en la nube , computación en la nube) en relación con la seguridad de la información . Implica conceptos como la seguridad de la red, el hardware y las estrategias de control implementadas para proteger los datos, las aplicaciones y la infraestructura asociada con la computación en la nube.
Un aspecto importante de la nube es la noción de interconexión con varios hardware, lo que dificulta y hace necesario proteger estos entornos. Un problema de seguridad en una plataforma en la nube puede generar pérdidas económicas pero también una mala reputación si esta plataforma está orientada al público en general. Las preocupaciones por la seguridad en la nube son la causa del retraso en la adopción masiva de esta nueva solución.
El uso cada vez más frecuente de la computación en la nube está planteando nuevos riesgos de seguridad. De este modo, aumenta el interés de los delincuentes en encontrar nuevas vulnerabilidades y exponer a los usuarios a que sus datos se vean comprometidos.
Para mitigar esta amenaza, las partes interesadas en la nube deben invertir mucho en la evaluación de riesgos de TI para garantizar que los datos estén bien protegidos.
Establezca bases y estándares confiables para asegurar su infraestructura. Todo esto con el fin de generar confianza en esta nueva tecnología que es la computación en la nube.
En 2009, se formó el grupo de "alianza de seguridad en la nube" para promover buenas prácticas de seguridad en el entorno de la nube. Dado que este grupo tiene 40.000 miembros .
La computación en la nube introduce el intercambio de recursos, lo que potencialmente puede conducir a ataques de tipo ataque de canal lateral (información de escucha pasiva) o canal oculto (enviar información) entre diferentes máquinas virtuales que operan en el mismo entorno.
El problema del aislamiento radica en el hecho de que el entorno (máquina virtual) de un atacante puede terminar potencialmente en la misma máquina física de un usuario, haciendo que este último aloje varias máquinas virtuales. Esto le permite configurar diferentes ataques de hardware o software para escuchar o interrumpir otras máquinas virtuales.
La virtualización está relacionada con la computación en la nube. De hecho, el proveedor de la nube ofrece a sus clientes adquirir su propio servidor, es decir, su propia máquina virtual . El proveedor de la nube ofrece este servicio sin conocer el sistema operativo instalado en esta máquina virtual, ni su configuración. Sin embargo, este último ofrece un sistema de seguridad como servicio basado en la introspección de máquinas virtuales.
Introspección de máquinas virtuales por seguridadPara garantizar la seguridad de los recursos de las máquinas virtuales, existe un componente para controlar la memoria, el disco virtual y el sistema operativo instalado en él. Este componente se basa en la introspección de máquinas virtuales (VMI). Un ejemplo de dicho componente es Xen Access . Le permite comprobar que los recursos están seguros y que no ha habido intrusiones antes de que se inicie la máquina virtual.
Protección de la memoriaUna máquina virtual puede sufrir un ataque de modificación de la memoria. El atacante puede introducir un Rootkit o datos en las áreas protegidas del mismo. Algunas implementaciones de protección de memoria:
Asegurar la ejecución del código en el kernel ayuda a predecir ejecuciones maliciosas. Un ejemplo de un sistema para solucionar este problema y proporcionar protección contra la ejecución de código es Manitou . Este sistema utiliza el monitor de memoria virtual (VMM) para calcular un hash en cada página de memoria y para verificar antes de la ejecución del código si el hash está en la lista de hash permitidos.
Seguridad del flujo de datosUn ataque a máquinas virtuales puede actuar sobre los flujos de datos, por ejemplo. Es por ello que la implementación de un sistema de control e integridad debe permitir evitar la modificación de los flujos de datos. Lares es un ejemplo de un componente que permite, mediante la introducción de una herramienta en el sistema operativo de destino, comprobar si la máquina virtual es segura. Para ello, verifica las reglas de seguridad y la introspección de la máquina virtual (VMI).
Actualmente no existe una norma ISO que estandarice explícitamente la nube. Este próximo estándar se está creando y estandarizará la nube para poner a disposición una única API para el uso de varios proveedores de la nube, pero también definirá la seguridad requerida para la nube. No obstante, los proveedores de la nube hacen realidad su nivel de seguridad al obtener estándares de seguridad de la información que pueden aplicarse en parte a la nube. Estos estándares se establecen a continuación.
La seguridad en la nube se puede definir en el Service Level Agreement (SLA), con el fin de prevenir y garantizar los niveles de seguridad de cada servicio.
El proveedor o proveedor de la nube la empresa que ofrece una oferta en la nube. El cliente la persona o empresa que invierte en una oferta en la nube para alojar datos potencialmente confidenciales o personales.El Acuerdo de Nivel de Servicio (o SLA) permite definir la seguridad implementada contra ataques maliciosos y posibles fallas entre el proveedor de servicios y el cliente .
Este documento es importante para ambas partes, si se usa correctamente:
El SLA no es adecuado para la computación en nube debido a su arquitectura muy diferente a la de los sistemas informáticos anteriores. De hecho, la nube se basa en una arquitectura centralizada en los centros de procesamiento de datos que están expuestos en Internet. El SLA garantiza hoy, salvo en casos muy puntuales, los siguientes términos:
Reclamación al proveedor tras avería El cliente debe abrir un ticket de soporte ingresando la información necesaria especificada en el SLA. Reclamación al proveedor por falta del cliente. El cliente puede ser penalizado económicamente o su cuenta puede ser bloqueada si surge un problema que lo involucra. Esta es una causa de incumplimiento del contrato y permite prever ataques u otras acciones provenientes de la infraestructura del cliente. Red privada El proveedor garantiza una disponibilidad del 99,9% de la red privada entre el centro de datos y el cliente. Esto incluye configurar y asegurar una VPN, el máximo ancho de banda posible y herramientas para analizar el tráfico de la red. Red pública El proveedor garantiza una disponibilidad del 99,9% de la red pública (internet), con redundancias en las conexiones. Redundancia de infraestructuras El proveedor garantiza un 99,9% de disponibilidad de infraestructura y servicios. El cambio de material Para satisfacer la demanda del cliente o la necesidad de mantenimiento de la infraestructura, pueden ser necesarios cambios de hardware. Estos cambios deben ser planificados y si este cambio no es posible, se aplicará una penalización al proveedor. Estandarización del SLAPara garantizar un nivel de seguridad, el SLA debe definir los métodos utilizados para mantener y garantizar la seguridad de la infraestructura en la nube que utilizará el cliente. Los términos en discusión para la estandarización del SLA se enumeran a continuación:
Acceso de usuario privilegiado Los administradores tienen acceso global a la información, es necesario definir los administradores autorizados para intervenir en las infraestructuras del cliente en el marco de la confidencialidad de los datos de una empresa. Conformidad reglamentaria El cliente es responsable de la seguridad e integridad de estos datos. Para ello, el proveedor de la nube proporciona los servicios y herramientas necesarios para la finalización satisfactoria de estas tareas. El proveedor tradicional está sujeto a auditorías y certificaciones. Los proveedores de la nube que rechacen estas auditorías deben informar esto a los clientes y especificar que el cliente solo puede usar las funciones más insignificantes. Ubicación de los datos En la nube, es difícil adquirir una noción de ubicación de datos. De hecho, un proveedor de nube tiene varios centros de datos en todo el mundo y en diferentes países. Por eso es necesario que el cliente conozca la ubicación de estos datos, ya que pueden estar almacenados en países donde las leyes de privacidad de datos son diferentes. Segregación de datos Los datos en la nube están presentes en múltiples centros de datos para que el proveedor de la nube pueda garantizar un servicio de alta disponibilidad a su cliente. La protección de los datos mediante cifrado es necesaria para su transmisión a los distintos centros de datos. El cliente debe conocer el método de encriptación así como el método utilizado para la transferencia aprobado por un especialista. La restauración El cliente debe conocer el nivel de servicio en cuanto a recuperación de datos. Los proveedores no tienen la obligación de replicar los datos de los clientes. En el caso de que la infraestructura utilizada por el cliente sufra una falla, este último podría perder parte o la totalidad de estos datos si, no obstante, el proveedor no incluye en su oferta la replicación o respaldo de datos. El apoyo Monitorear la actividad ilegal en las interfaces de la nube es muy difícil. El motivo de esta dificultad es la centralización de las infraestructuras que genera la presencia de varios clientes en un mismo servidor, la ubicación de los centros de datos. Por tanto, es muy difícil para el proveedor detectar y bloquear usos maliciosos de las infraestructuras. Esta información debe especificarse al cliente para que esté atento. Eficiencia Es necesario que el cliente tenga información sobre la infraestructura del proveedor y garantías sobre la confiabilidad de estas soluciones. El cliente que subcontrata estas infraestructuras a un proveedor en la nube necesita garantías sobre estas aplicaciones y datos para estar seguro de que este último no sufre pérdidas como consecuencia de una interrupción.Los componentes de seguridad, como los cortafuegos o los sistemas de detección de intrusos, no son adecuados para detectar ataques distribuidos, por lo que estos ataques se subdividen en subataques para que no sean detectables por dicho sistema de seguridad.
El ataque de escaneo de puertos permite que el puerto descubra puertos de comunicación explotables. Este ataque se puede evitar gracias a sistemas de seguridad como un firewall o un sistema de detección de intrusos ( (en) IDS: Intrusion System Detection). Las infraestructuras en la nube son susceptibles a este tipo de ataques si se llevan a cabo en paralelo. Un sistema como IDS escanea parte del tráfico y, por lo tanto, no detecta un ataque de escaneo de puertos si se realiza con diferentes escáneres. Las soluciones de seguridad actuales no son adecuadas para este tipo de ataque a dicha infraestructura.
El propósito del ataque de denegación de servicio es hacer que un servicio no esté disponible debido a una sobrecarga de la red, por ejemplo. El proveedor debe implementar las soluciones contra estos ataques. Este ataque se puede evitar gracias a la escalabilidad de la nube. Los servicios como Amazon permiten de forma dinámica que se agreguen más recursos o instancias según sea necesario. Sin embargo, los clientes que no utilizan los servicios de escalabilidad están sujetos a los riesgos de estos ataques, en este caso es difícil detectar estos ataques para bloquearlos debido a la cantidad potencial de ataques simultáneos.
El cliente y el proveedor deben asegurarse de que el software que utilizan esté actualizado para evitar la explotación de errores de software. Esta acción no permite evitarlos sino limitar los riesgos.
El ataque man-in-the-middle tiene como objetivo interceptar las comunicaciones entre un cliente y un servidor para ver, capturar y controlar la comunicación sin problemas.
El analizador de paquetes es una aplicación o un periférico que permite leer, capturar los datos que pasan por una red. Este ataque permite al atacante recuperar datos y luego leerlos.
El principio de este ataque es inyectar código malicioso en una de las plataformas en la nube (Saas, Iaas, Paas) para comprometer la infraestructura de la víctima.
Los ataques distribuidos, como la denegación de servicio, tienen un impacto económico en el cliente. Estos ataques se pueden contrarrestar gracias a la escalabilidad de la nube y, por tanto, generan costes adicionales para el cliente. Si el cliente no ha implementado este tipo de solución, existe el riesgo de que su infraestructura quede fuera de servicio y, por lo tanto, pierda sus beneficios.
La puesta en común de equipos permite optimizar los costes en comparación con los sistemas convencionales (con el fin de lograr ahorros) y desarrollar aplicaciones compartidas sin tener que poseer o alquilar sus propios servidores de un host. También evita cualquier mantenimiento de las máquinas. Estas ventajas pueden fomentar el uso de la computación en la nube y hacer aceptable una mayor asunción de riesgos.
Si un proveedor quiebra, el cliente pierde el acceso a sus aplicaciones y datos a medida que la infraestructura del proveedor se desconecta. Por lo tanto, los datos del proveedor no son recuperables y pasan a ser propiedad del acreedor del proveedor de la nube. Esta situación puede llevar a la quiebra del cliente si, sin embargo, éste es una empresa y los datos que aloja el proveedor son sensibles y esenciales para la empresa.
El sistema de pago a los recursos consumidos puede generar un sobrecoste por parte del proveedor por los recursos asignados pero no consumidos. Esta sobrecarga es una pérdida para el cliente.
Los servicios de seguridad en la nube son un mercado cada vez más rentable. Después de haber cruzado los 2.000 millones de dólares en 2013, el mercado mundial podría superar los 3.000 millones en 2015. El avance económico de la seguridad en términos de Cloud-computing es del orden del 20% anual, gracias en particular a la democratización del SaaS. Gartner incluso estima que en 2015, el 10% de los productos de seguridad de TI pasarán por la nube.
Víctima | Con fecha de | Tipo de ataque | Descripción |
---|---|---|---|
Dropbox | Octubre 2012 | Análisis del cliente de Dropbox | Análisis del cliente de Dropbox y demostración de vulnerabilidades que se pueden explotar de forma local y remota. http://archive.hack.lu/2012/Dropbox%20security.pdf |
Epsilon | Marzo de 2012 | Phishing de correo electrónico | Recuperación de los nombres y direcciones de correo electrónico de más de 20 clientes de la empresa Epsilon. |
Dropbox | junio 2012 | Robo de contraseñas e ingeniería social | Robo de la contraseña de la cuenta de Dropbox de un empleado y recuperación de información sobre un proyecto confidencial. Conduciendo a una gran campaña de spam. |
Rackspace | junio 2012 | Predicción de contraseña de administrador | Varias brechas de seguridad han hecho posible predecir o modificar la contraseña de administrador de una cuenta de rackspace. http://mesoscale-convective-vortex.blogspot.fr/2012/06/multiple-rackspace-security.html |
iCloud | Agosto 2012 | Robo de contraseñas e ingeniería social | Un periodista con una cuenta de iCloud fue víctima del robo de varias de sus cuentas, incluido el borrado de sus datos en dispositivos Apple usando iCloud. |
CloudFlare | Mayo de 2012 | Explotación de una vulnerabilidad de Google Apps / Gmail | AT&T engañado para redirigir un mensaje de correo de voz a un buzón de correo de voz fraudulento. El proceso de recuperación de la cuenta de Google ha sido aprovechado por un buzón de correo de voz fraudulento, lo que ayuda a lograr los crackers del PIN de recuperación de la cuenta de Gmail y a restablecer la cuenta de Gmail. Una vulnerabilidad en el proceso de recuperación de las aplicaciones empresariales de Google que permitía a los piratas eludir la autenticación de dos factores de la URL de usuario de CloudFlare.com. Vulnerabilidades BCCing CloudFlare permitió a los ciberdelincuentes restablecer la contraseña de un cliente después de obtener acceso a una cuenta de correo electrónico administrativa. |
Playstation network | Abril de 2011 | inyección SQL | El servicio PlayStation Network de Sony sufrió un ataque de inyección de sql y aprovechó una falla para encriptar los datos del usuario de PSN, lo que obligó a la compañía a cerrar completamente su red de videojuegos en línea y PlayStation Store. |
VMWARE | Junio de 2009 | Ejecución de código fuera de VMWARE Guest | CHAPARRÓN
Un invitado de VMware para presentar una historia de escape http://www.blackhat.com/presentations/bh-usa-09/KORTCHINSKY/BHUSA09-Kortchinsky-Cloudburst-SLIDES.pdf |