Cloud Computing (IV)

by Fernando on 05/09/2016

Seguridad En Los Servicios De Cloud Computing

Una parte importante de la seguridad en el cloud computing depende de la empresa proveedora del servicio, si bien ha de existir una colaboración entre esta y el cliente a la hora de aplicar los mecanismos de seguridad destinados a proteger los datos alojados en «la nube».

En este sentido, una buena medida para garantizar que el sistema está protegido frente a posibles amenazas es la realización de auditorías de seguridad conjuntas.

Es quien se encarga de garantizar tanto la seguridad física en sus centros de procesos de datos –impidiendo que usuarios no autorizados accedan a los centros físicos en los que se ubiquen los equipos– como el mantenimiento de los equipos actualizados a nivel de hardware y software para hacer frente a las amenazas existentes en la Red.

Entre los mecanismos que el proveedor utiliza para reforzar los servicios de seguridad del servicio de cloud computing cabe destacar los siguientes:

  •  Virtualización. Aunque en un único servidor se ejecuten varias máquinas virtuales, cada una de ellas ejecuta de forma aislada un sistema operativo, siendo que el espacio de memoria lo controla un hipervisor (que es una plataforma de virtualización que permite utilizar simultáneamente diferentes sistemas operativos), impidiendo que los procesos que se ejecuten en distintas máquinas virtuales puedan interactuar entre ellos.El control y la eliminación del software malintencionado que pretenda burlar las protecciones del hipervisor para tener acceso a otras máquinas virtuales o incluso al sistema anfitrión es el mayor riesgo al que debe enfrentarse el proveedor de servicios.
  • Deslocalización (o segmentación) de datos. De esta manera, los datos de un cliente pueden ubicarse en diferentes servidores; e incluso en diferentes centros de datos, protegiéndolos, así, de un posible robo en las instalaciones del proveedor de servicios; lo que igualmente representa una especie de sistema de copias de seguridad que permite, en caso de fallos de seguridad, la recuperación de la actividad y la continuidad del negocio.

Prestación de servicios por terceros

Puede darse el caso de que la prestación del servicio de cloud computing sea llevada a cabo por terceros ajenos a la organización responsable; lo que la Ley de Protección de Datos (LOPD) y su Reglamento de desarrollo (RDLOPD) denominan «encargo del tratamiento», de manera que en la prestación del servicio los datos son objeto de algún tipo de tratamiento por parte del prestador/proveedor, que pasa a ser el encargado del tratamiento.

Es esta una figura que el artículo 5 del RDLOPD define como la «persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio».
En este sentido, es por tanto conveniente contemplar una serie de principios básicos que se incluyan en las cláusulas contractuales que regulen tales circunstancias. En concreto, en lo que se refiere al acceso a los datos por cuenta de terceros, al responsable le corresponde:

  • La supervisión de que el encargado reúne las garantías para el cumplimiento de cuanto al respecto dispone el RDLOPD.
  • La inclusión de una descripción del conjunto de instrucciones aplicadas por el encargado para el tratamiento de los datos.
  • El establecimiento de las correspondientes medidas de seguridad de obligada implantación para el encargado del tratamiento.

Por su parte, al encargado le corresponde:

  • Destinar el uso de los datos única y exclusivamente a los fines contratados, siendo que, de lo contrario, adquiere la condición de responsable y, en su caso, ha de responder por la infracción cometida.
  • La no comunicación de la información a terceros; ni siquiera para su conservación.
  • Estar autorizado por el responsable para, en su caso, subcontratar y cumplir todos los requisitos establecidos por la LOPD y el RDLOPD.
  • La destrucción o devolución al responsable de la información tratada una vez que haya finalizado el contrato.

En cuanto a la seguridad de los datos propiamente dicha, el responsable está obligado a:

  • La adopción de cuantas medidas técnicas y organizativas sean necesarias para garantizar la seguridad de los ficheros.
  •  Impedir la pérdida de información, o que a esta se tenga acceso o sea tratada por personal no autorizado.
  •  El establecimiento de medidas de prevención ante los distintos riesgos a los que se encuentran sometidos los datos.

Evidentemente, es al usuario del servicio a quien le corresponde mantener actualizado el sistema operativo e instalar los correspondientes parches de seguridad que vayan surgiendo, así como la aplicación de las políticas de seguridad tradicionales; a saber: control de usuarios, borrado de cuentas que ya no se usen, revisiones de software a los efectos de detectar vulnerabilidades..

A nivel de seguridad en la propia «nube», el usuario puede aplicar medidas de control perimetral, criptografía y gestión de logs o archivos de registro de eventos.

Respecto al control perimetral, representa uno de los pilares de la seguridad informática, siendo que para su aplicación se recomienda instalar y configurar un firewall (cortafuegos) que permita monitorizar todas las comunicaciones, tanto las enviadas por el equipo o la red como las recibidas, decidiendo si se permiten en función de las reglas establecidas por el administrador del sistema.

Es asimismo recomendable instalar y configurar un IDS (Intrusion Detection System o Sistema de Detección de Intrusiones), cuya función es la de analizar conexiones, permitiéndolas o bloqueándolas –en el caso de que detecte que alguna de ellas incluye algún contenido que pueda resultar peligroso para el equipo o la red–, clasificando, además, las distintas amenazas detectadas e informando al administrador del sistema.

Por otra parte, la criptografía es otro mecanismo que proporciona un nivel superior de seguridad en los servicios de cloud computing; concretamente, en tres aspectos principales:

    • Protección de conexiones de red entre usuarios y aplicaciones en «la nube» mediante el uso de SSL (Secure Sockets Layer) y TLS (Transport Layer Security), protocolos que garantizan que los datos se transmitan cifrados desde el servidor en «la nube» hasta el usuario, de manera que no sea posible el acceso a ellos por parte de terceras personas (incluso en los casos en que se emplee una red Wi-Fi no segura).

      SSL (Protocolo de Capa de Conexión Segura) es un protocolo gracias al cual se proporciona autenticación y privacidad de la información entre extremos sobre Internet mediante el uso de criptografía. Al igual que TLS (Seguridad de la Capa de Transporte), protocolo criptográfico independiente que proporciona comunicaciones seguras a través de Internet, permitiendo a los protocolos de niveles superiores actuar por encima de él de manera transparente. TLS está basado en SSL de Netscape 3.0, por lo que supone la evolución de su predecesor (aunque no son operables entre sí).

 

  • Protección de las conexiones entre los administradores del sistema y los servicios de cloud computing. Con el uso de SSH (Secure Shell) y VPN (Virtual Private Network) los administradores del sistema o los desarrolla-dores de las aplicaciones pueden mantener un canal de comunicación seguro con los sistemas de «la nube».
    Secure Shell (Intérprete de órdenes segura) es un protocolo –y el programa que lo implementa– que permite acceder a máquinas remotas a través de una red, mientras que Virtual Private Network (Red Privada Virtual) es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada (por ejemplo, Internet).
  • Protección criptográfica de datos. Es especialmente recomendable emplear un nivel de cifrado adecuado en el caso de que los servicios de cloud computing del usuario consistan en el almacenamiento de datos, de manera que si se produce la circunstancia de que un usuario no autorizado interceptara los datos o tuviera acceso a los ficheros almacenados en «la nube», no pueda leer su contenido sin conocer la clave de cifrado.

Para comprobar la actividad informática y, en su caso, detectar posibles incidentes que hubieran podido producirse y establecer un plan preventivo para evitar que vuelvan a producirse es importante mantener una gestión de los logs del sistema, que no son sino ficheros de texto en los que queda recogida toda la actividad que tiene lugar en un determinado equipo, permitiendo en ciertos programas que su propietario o administrador detecte actividades ilícitas e identifique, por medio de su dirección IP, al usuario correspondiente.
Si bien es posible que no se tenga acceso a toda la información sobre los eventos del sistema, es más que conveniente que el usuario almacene y revise todos los logs que estén bajo su responsabilidad (registro de usuarios que acceden a la aplicación; que manipulan o borran ficheros en la máquina virtual; de conexiones potencialmente peligrosas que hayan detectado el IDS o el firewall…).

No hay que olvidar, asimismo, la importancia de realizar periódicamente copias de seguridad de estos logs; e incluso almacenarlos en equipos distintos.

Fuente: http://www.cedro.org

Por tu éxito,
Fernando Amaro

Banner Horiz.590px Únete Al Club De Los Hacedores

Artículos Relacionados
=> Cloud Computing (I)
=> Modelos De Cloud Computing
=> Riesgos En El Cloud Computing

Comments on this entry are closed.

Previous post:

Next post:

Página 1 de 11