Cloud computing.

Cloud computing

El cloud computing consiste en la posibilidad de ofrecer servicios a través de Internet.

La computación en nube es una tecnología nueva que busca tener todos nuestros archivos e información en Internet y sin depender de poseer la capacidad suficiente para almacenar información.

Procedimiento

Toda la información, procesos, datos, etc. se localizan dentro de la red de internet, como en una nube, así todo el mundo puede acceder a la información completa, sin poseer una gran infraestructura.

Caracteristicas:

• Escabilidad sobre demanda
• Infraestructura compartida
• Independencia de ubicaciones físicas
• Precio por consumo
• Delivery inmediato
• Confianza = Redundancia + Disponibilidad
• Service Level Agreements (SLA)

Existen dos tipos de nubes: Privadas o Públicas.

Ventajas del cloud computing

Cloud computing utiliza tres clases esenciales

SAAS (Software as a Service)

El software como servicio es una de las modalidades más importantes de la computación en nube. Consiste en una aplicación de software ofrecida totalmente por Internet, con todas las funcionalidades y para todos los clientes que lo solicten.

Debitoor es un programa 100% online de facturación y contabilidad simple.

Infrastructure as a Service (Iaas): En español Infraestructura como Servicio. Modelo de distribución de infraestructura de computación como un servicio, normalmente mediante una plataforma de virtualización. En vez de adquirir servidores, espacio en un centro de datos o equipamiento de redes, los clientes compran todos estos recursos a un proveedor de servicios externo. Una diferencia fundamental con el hosting virtual es que el provisionamiento de estos servicios se hacen de manera integral a través de la web

Platform as a Service (PaaS): En español Plataforma como Servicio. Aunque suele identificarse como una evolución de SaaS, es más bien un modelo en el que se ofrece todo lo necesario para soportar el ciclo de vida completo de construcción y puesta en marcha de aplicaciones y servicios web completamente disponibles en la Internet. Otra característica importante es que no hay descarga de software que instalar en los equipos de los desarrolladores. PasS ofrece mútliples servicios, pero todos provisionados como una solución integral en la web. Aunque algunos servicios de Amazon Web Services como SimpleDB y SQS yo los considero PaaS, esta afirmación puede ser discutida.

Protocolos de seguridad

Desde el punto de vista del cliente que podría pasar?

• No conocemos los procesos de gestión del proveedor
• No tenemos acceso a la infraestructura
• No podemos auditar el código
• No analizamos logs de autenticación
• No estamos monitoreando ningún componente de base
• No conocemos a todos los usuarios

Necesitamos nuevos procesos de Gestión del Riesgo para servicios basados en Cloud Computing

Existen diferentes partes que integran el modelo tradicional de Gestion del Riesgo de Cloud Computing y son los siguientes:

• Identificar activos: Los activos no son conocidos solamente las interfaces
• Identificar amenazas: No se conocen ni se tiene acceso a la infraestructura ni a las ubicaciones físicas
• Identificar vulnerabilidades: Solamente a través de  las interfaces tanto las púlicas como las privadas
• Medir riesgo: Desde el punto de vista del negocio analizando el impacto de cada servicio
• Implementar controles: Necesidad de nuevas metodologías

Desafíos:

Desafíos de seguridad asociados con Cloud Computing:

• Amenazas y vulnerabilidades: Necesidad de delegar en el proveedor parte del proceso de Gestión del Riesgo

Cliente:

• IaaS: Evaluación recurrente de vulnerabilidades (Auditoria Eterna)
• PaaS: Solicitud de registros de Auditoria Interna, Certificaciones
• SaaS: Evaluación recurrente de vulnerabilidades en las interfaces

Proveedor:

• Evaluación independiente de vulnerabilidades (Auditoria Interna)
• Implementación de metodologías de mejora continua y gestión del riesgo

• Aspectos regulatorios: Leyes de protección de datos, locales a cada país, regulan los servicios de IT y compiten con el concepto de ubicuidad

Cliente:

• IaaS : Ownership de los Datos y gestión de la información en cada sitio
• PaaS: Independencia de la ubicación en el desarrollo pero no en el procesamiento
• SaaS: Integración del modelo de software del proveedor con la infraestructura local propia del cliente

Proveedor:

• Interconectividad para soportar múltiples orígenes de datos
• Locación física de activos en cumplimiento con regulaciones locales
• Integración de los departamentos de legales durante todo el ciclo del contrato

• Confidencialidad: ¿Quién tiene acceso a la información y cómo se controla?

Cliente:

• IaaS : Preferencia d proveedores dueños ante integradores
• PaaS: Mitigación de los riesgos a través de NDAs y seguros
• SaaS: Utilización del modelo de servicios para aplicaciones no críticas

Proveedor:

• Certificación de normas internacionales para aumentar el nivel de control y confianza
• Gestión integral del riesgo incluyendo a clientes, empleados y terceros
• Soporte para APIs y protocolos de encripción propietarios del cliente

• Integridad: ¿Qué procesos y personas, desconocidas para el cliente pueden modificar la información y que registros quedan?

Cliente:

• IaaS : Control del acceso a la información en cada sitio
• PaaS: Separación de ambientes y pruebas de concepto
• SaaS: Análisis detallado de la integración de los servicios con la información critica

Proveedor:

• Implementación de herramientas centralizadas y mejores prácticas para control de acceso
• Reportes a medida para trazabilidad de accesos
• Diseño de infraestructura de almacenamiento y procesamiento para optimizar las técnicas de forensics

• Disponibilidad: Infraestructura siempre disponible, entre muchas locaciones físicas

Cliente:

• IaaS : Redundancia en la arquitectura base y garantía de escabilidad en los vínculos públicos y privados
• PaaS: Garantía de escabilidad del software y del middleware
• SaaS: SLA con los principales parámetros de disponibilidad necesarios para el negocio

Proveedor:

• Concepto N+1 aplicado a todos los componentes de la arquitectura
• Formalización de las métricas de Disponibilidad en los SLAs
• Alto nivel de estandarización de procesos e infraestructura entre todas las localizaciones físicas

• Evidencias de auditoria: ¿Cómo almacenar filtrar y distribuir el gran volumen de información necesario para el cumplimiento regulatorio de una infraestructura que no es propia?

Cliente:

• IaaS : Almacenamiento local de la información y acceso distribuido
• PaaS: Separación de análisis y recolección de evidencias con la prestación del servicio
• SaaS: Planificación de auditorias externas periódicas pautadas en el SLA

Proveedor:

• Análisis detallado de la información necesaria para cada cliente, documentado en los SLA
• Dimensionamiento de la capacidad necesaria bajo el mismo modelo de servicio
• Herramientas específicas para análisis y correlación de eventos de seguridad.

...