Cloud Computing: Problemas de seguridad de nube
Aunque sigue siendo un tema de preocupación mantener un nivel adecuado de seguridad para los datos, la infraestructura de informática en nube de hecho puede mejorar la seguridad global.
VIC (J.R.) Winkler
Adaptado de "Protección de la nube" (Syngress, una huella de Elsevier)
Aunque todavía algunos de ustedes pueden albergar profunda preocupación sobre cloud computing desde una perspectiva de seguridad, es esencialmente una conclusión inexacta. Con sus cualidades inherentes, cloud computing tiene un potencial enorme para las organizaciones a mejorar su postura de seguridad global de información.
Hay muchas razones para ello. El modelo de nube permite la devolución de un control eficaz y profesional operación a través de TI, procesamiento de información y recursos. En virtud de la escala de la nube pública, los inquilinos y los usuarios de equipos pueden conseguir una mayor seguridad ya que la inversión del proveedor para lograr una mayor seguridad tiene un costo menor por consumidor.
Una nube privada proporciona ventajas significativas de seguridad para las mismas razones. Hay condiciones, sin embargo: no obtendrá el beneficio sin realizar inversiones, y no cada modelo es adecuado para todas las organizaciones. Independientemente de qué modelo de prestación de servicios o elige el modelo de implementación, se transferirán cierto grado de control para el proveedor de nube. Esto es completamente razonable si el control se administra de manera y con un costo que satisfaga sus necesidades.
Realizar un seguimiento de la seguridad
Hay varias áreas de preocupación en cuanto a cloud computing:
- Disponibilidad de la red: sólo se puede obtener el valor de cloud computing cuando la conectividad de red y el ancho de banda de satisfacen las necesidades mínimas. La nube debe estar disponible siempre que lo necesite. De lo contrario, las consecuencias no son diferentes que un ataque de denegación de servicio.
- Viabilidad de proveedor de la nube: debido a que los proveedores de nube son relativamente nuevos para el negocio, hay preguntas sobre su viabilidad y compromiso. Esta preocupación se profundiza cuando un proveedor requiere los inquilinos utilizar interfaces patentadas, conducen a inquilinos en bloqueo.
- Recuperación ante desastres y continuidad del negocio: los inquilinos y los usuarios requieren que sus operaciones y servicios continuará si el entorno de producción del proveedor de la nube está sujeto a un desastre de confianza.
- Incidentes de seguridad: el proveedor debe informar a los inquilinos y los usuarios de cualquier infracción de seguridad. Los inquilinos o los usuarios pueden requerir compatibilidad del proveedor para responder a la auditoría o resultados de la evaluación. También, un proveedor puede no ofrecer apoyo suficiente a los inquilinos o los usuarios para resolver las investigaciones.
- Transparencia: cuando un proveedor de la nube no expone los detalles de su propia directiva interna o la tecnología, los inquilinos o los usuarios deben confiar en las reclamaciones de seguridad del proveedor. Los inquilinos y los usuarios todavía pueden requerir algunos transparencia por proveedores como cómo administran la seguridad de la nube, privacidad e incidentes de seguridad.
- Pérdida de Control físico: porque los inquilinos y los usuarios pierden control físico sobre sus datos y aplicaciones, esto da lugar a una gama de preocupaciones:
- Privacidad de datos: con nubes públicas o la Comunidad, datos no pueden permanecer en el mismo sistema, provocar varios problemas legales.
- Control de datos: datos podrían proceder al proveedor de diversas maneras con algunos datos que pertenecen a otras personas. Un administrador del inquilino ha limitado el ámbito de control y rendición de cuentas dentro de una infraestructura pública como una aplicación de servicio (IaaS) y menos aún con una plataforma como un servicio (FCA) en uno. Necesitan los inquilinos para que su proveedor de confianza le ofrecerá un control adecuado, reconociendo la necesidad de adaptar sus expectativas para el control es razonable dentro de estos modelos.
- Nuevos riesgos y vulnerabilidades: existe preocupación que cloud computing trae nuevas clases de vulnerabilidades y riesgos. Hay nuevos riesgos hipotéticos, pero los ataques reales en gran medida será una función de la implementación de un proveedor. Todo el software, hardware y equipos de red están sujetos a desenterrar nuevas vulnerabilidades. Aplicando la seguridad por capas y bien concebidos procesos operacionales, puede proteger una nube de ataques comunes, incluso si algunos de sus componentes son intrínsecamente vulnerables.
- Legal y cumplimiento de normas: puede ser difícil o poco realistas para utilizar los permisos de nubes públicas si los datos están sujetos a restricciones legales o cumplimiento de normas. Puede esperar que los proveedores para generar y certificar infraestructuras cloud para satisfacer las necesidades de los mercados regulados. Para obtener la certificación puede ser compleja debido a los técnicos muchos factores, incluido el estado actual de conocimientos generales de nube. Mejores prácticas para cloud computing abarcar un ámbito mayor, debe atenuar esta preocupación.
Aunque el modelo de la nube pública es apropiado para muchas necesidades no es de vital importancia, el hecho es que mover la información confidencial en ninguna nube no certificada para dicha transformación presenta riesgos inadecuado. Debe ser absolutamente nada acerca de determinadas prácticas recomendadas: resulta prudente utilizar una nube pública para el procesamiento de datos de misión críticos, importante o de propiedad. Resulta caro y excesivo a los sistemas de carga no es de vital importancia y de bajo impacto con seguridad alta seguridad. Por último, es irresponsable de cloud computing como intrínsecamente insegura de descartar o reclamar que sea más seguro que las alternativas.
Al elegir un modelo de implementación de la nube, siga una evaluación del riesgo razonable. También debe asegurarse de que tener controles de seguridad adecuados en su lugar. Lista de problemas de seguridad para que pueda descartar o validarlos y responder a ellas con controles de compensación.
La función de la virtualización
Como considere las cuestiones de las seguridad de cloud computing, también tener en cuenta las preocupaciones de seguridad alrededor de la virtualización y su función en cloud computing. Debe comprender cómo se implementa la virtualización dentro de una infraestructura cloud.
Desde el nivel de nuestro objetivo, una máquina virtual (VM) es normalmente un estándar OS capturado en una imagen de sistema totalmente configurada y listas operativamente. Importes de esta imagen a una instantánea de un sistema en ejecución, incluido el espacio en la imagen para el almacenamiento de discos virtualizados.
Apoyar la operación de la máquina virtual es alguna forma de habilitar la función. Normalmente, esto se denomina un hipervisor, que representa a sí mismo a la máquina virtual como el hardware subyacente. Las implementaciones de virtualización diferentes varían, pero en términos generales, hay varios tipos:
- Tipo 1: también se denomina "nativa" o "bare metal" virtualización. Se implementa mediante un hipervisor que se ejecuta directamente en el hardware bare. Sistemas operativos invitados se ejecutan en el hipervisor. Algunos ejemplos son Oracle VM, Microsoft Hyper-V, LynxSecure, VMware ESX y IBM z/VM.
- Tipo 2: también se denomina host de virtualización. Esto tiene un hipervisor que se ejecuta como una aplicación dentro de un sistema operativo del host. También ejecutan máquinas virtuales por encima el hipervisor. Algunos ejemplos son Oracle VirtualBox, paralelos, Virtual PC de Windows de Microsoft, fusión de VMware, VMware Server, Citrix XenApp y Citrix XenServer.
- Sistema operativo implementado la virtualización: se implementa dentro del propio sistema operativo, tomando el lugar del hipervisor. Contenedores de Solaris, cárceles BSD, OpenVZ, servidor Linux-V y Parallels Virtuozzo Containers son ejemplos de esto.
Hay interesantes las cuestiones de seguridad el uso de la virtualización, incluso antes de que considere la posibilidad de utilizarlo para cloud computing. En primer lugar, al agregar cada nueva máquina virtual, va a agregar un sistema operativo adicional. Esto solo conlleva riesgos de seguridad adicionales. Cada sistema operativo debe ser adecuadamente parcheado, mantiene y controlado según corresponda por su uso previsto.
Segundo, la detección de intrusiones típicos basados en red no funciona bien con servidores virtuales, ubicados en el mismo host. Por consiguiente, debe utilizar técnicas avanzadas para supervisar el tráfico entre máquinas virtuales. Cuando se mueve entre varios servidores físicos para conmutación por error o equilibrio de carga de datos y aplicaciones, sistemas de monitorado en red no se puede evaluar y reflejar estas operaciones, por lo que son. Esto es exagerado cuando el uso de clústeres en conjunción con la virtualización.
En tercer lugar, exige administración diferentes enfoques para muchas funciones, incluyendo la administración de la configuración, la colocación de la VM y la administración de la capacidad mediante la virtualización. Del mismo modo, los problemas de asignación de recursos pueden convertirse rápidamente en problemas de rendimiento. Por lo tanto, las prácticas de administración de rendimiento refinado son críticas para operar un entorno virtualizado eficaz y seguro.
.jpg)
VIC (J.R.) Winkler es consultor jefe asociado en Booz Allen Hamilton, proporcionando consulta técnica en principalmente en EE. clientes del gobierno. Es una seguridad de la información publicada y cyber investigador de seguridad, así como un experto en la detección de intrusiones o anomalías.
© 2011 Elsevier Inc. Todos los derechos reservados. Impreso con el permiso de Syngress, una huella de Elsevier. Copyright 2011. "Seguridad en la nube" de Vic (J.R.) Winkler. Para obtener más información sobre este título y otros libros similares, visite elsevierdirect.com.