Professional Documents
Culture Documents
1, enero de
2013
kashifbwp@hotmail.com
sell@must.edu.my
UnBSTRACT
El cloud computing es un conjunto de recursos y servicios ofrecidos a travs de
Internet.
Los servicios cloud Se entregan desde centros de datos ubicados en todo el mundo. Cloud computing
facilita a sus consumidores proporcionando recursos virtuales a travs de internet. El mayor reto de la
computacin en la nube es la seguridad y privacidad problemas causados por su naturaleza multitenancy y la externalizacin de la infraestructura, los datos confidenciales y las aplicaciones crticas.
Las empresas estn adoptando rpidamente el uso de los servicios en la nube para sus negocios, las
medidas deben ser desarrollados de manera que las organizaciones pueden estar seguros de la
seguridad en sus negocios y puede elegir un proveedor adecuado para satisfacer sus necesidades
informticas. Cloud computing depende del internet como un medio para que los usuarios tengan acceso
a los servicios requeridos en cualquier momento en pay-per-use patrn. Sin embargo, esta tecnologa
an est en sus etapas iniciales de desarrollo, porque sufre amenazas y vulnerabilidades que impiden
que los usuarios confen en l. Diversas actividades maliciosas de los usuarios ilegales han amenazado
con esta tecnologa, tales como el uso indebido de datos, control de acceso inflexible y una supervisin
limitada. La ocurrencia de estas amenazas pueden resultar en daos o el acceso ilegal de crtica y datos
confidenciales de los usuarios. En este documento se identifican las amenazas de seguridad ms
vulnerables/ataques en cloud computing, que permitirn a los usuarios finales y proveedores para
conocer las principales amenazas de seguridad relacionadas con la computacin en nube y proponer
soluciones pertinentes directivas para reforzar la seguridad en el entorno cloud. Proponemos tambin la
arquitectura cloud segura para las organizaciones para reforzar la seguridad.
KEYWORDS
Cloud Computing; la seguridad y la privacidad; las amenazas, vulnerabilidades, arquitectura cloud segura.
1. INTRODUCCIN
Con Cloud Computing convirtindose en un trmino popular en la tecnologa de la
informacin (TI) del mercado, la seguridad y la rendicin de cuentas se ha convertido
en cuestiones importantes para resaltar. Hay una serie de cuestiones y preocupaciones de
seguridad relacionadas con la computacin en nube, pero estos problemas se dividen en dos
grandes categoras: los problemas de seguridad que enfrentan los proveedores de nube
(organizaciones proporcionar software, la plataforma o infraestructura como servicio a travs
de la nube) y problemas de seguridad que enfrentan sus clientes.[1] En la mayora de los
casos, el proveedor debe garantizar que su infraestructura sea segura y que los datos de sus
clientes y aplicaciones estn protegidos mientras el cliente debe asegurarse de que el
proveedor ha adoptado las medidas de seguridad para proteger su informacin.[2]
DOI: 10.5121/acij.2013.4102
2013
Cloud computing
ha surgido como una manera para que las empresas aumenten la capacidad
sobre la marcha sin tener que invertir mucho en nuevas infraestructuras, formacin de
personals o en licencias de nuevo software [3].
DOI: 10.5121/acij.2013.4102
El NIST define Cloud computing como un "modelo para habilitar ubicuo, cmoda, en
demanda de red acceso a un pool compartido de recursos informticos configurables que se
pueden aprovisionar y entregado con un mnimo esfuerzo de gestin o interaccin del
proveedor de servicios" [4]. Sigue un simple "pay as you go" modelo, que permite a una
organizacin slo pagar por los servicios que utilizan. Elimina la necesidad de mantener un
centro de datos empresarial mediante la migracin de datos a una ubicacin remota en el sitio
web del proveedor de cloud. Mnima inversin, reduccin de costes y la rpida
implementacin son los principales factores que impulsan a las industrias a utilizar servicios
Cloud y les permite centrarse en las principales preocupaciones y prioridades de negocios en
lugar de ocuparse de cuestiones tcnicas. Segn [5], el 91 % de las organizaciones en Europa y
Estados Unidos coincidieron en que la reduccin de los costos es una de las principales
razones para migrar a un entorno de cloud.
Como se muestra en la figura. 1, servicios en la nube se ofrecen en trminos de infraestructura
como servicio (IaaS), Plataforma como servicio (PaaS) y software como servicio (SaaS). Sigue
un enfoque bottom-up, donde a nivel de infraestructura; la alimentacin de la mquina es delivered en trminos de consumo de CPU para la asignacin de memoria. En la parte superior
de ste, se encuentra la capa que proporciona un entorno en trminos de un marco para el
desarrollo de aplicaciones, denominado PaaS. En el nivel superior se encuentra la capa de
aplicacin, proporcionando software subcontratado a travs de Internet, eliminando la
necesidad de mantenimiento de la casa de software sofisticado [6]. En la capa de la aplicacin,
los usuarios finales pueden utilizar el software que se ejecuta en un sitio remoto por
proveedores de servicios de aplicaciones (ASP). Aqu, los clientes no necesitan comprar e
instalar software costoso. Pueden pagar por el uso y sus preocupaciones para el mantenimiento
son removidos.
2. REUFRICO WORK
En [7], los autores examinan los problemas de seguridad en un entorno de cloud computing. Se
centran en cuestiones tcnicas de seguridad derivados del uso de los servicios en la nube.
Hablaron de las amenazas de seguridad presentados en la nube tales como ataques a nivel de la
VM, fallo de aislamiento, compromiso y cumplimiento de la interfaz de administracin de
10
11
[14] Wayne: En este documento las ventajas de cloud computing estn resaltados junto con los
problemas de seguridad bsicos que an estn asociados con los servicios en la nube. La
conformacin de la seguridad de sistemas crticos es muy importante. Abordar los problemas
de seguridad que enfrentan los usuarios finales es extremadamente obligatorio, investigadores
y profesionales deben trabajar sobre las cuestiones de seguridad relacionadas con la
computacin en nube. Slidas medidas de seguridad deben estar diseados para garantizar que
los datos estn seguros y se impide el acceso no autorizado, tanto en los centros de datos
corporativos y en la nube.
Una visin abstracta de la amenaza para el modelo de Cloud Computing es que se muestra en
la figura. 2. Los clientes de nube se enfrentan a dos tipos de amenazas de seguridad viz;
Los ataques a la red externa de la nube estn aumentando a un ritmo notable. Usuario
malicioso fuera la nube a menudo realiza DoS o ataques de DDoS a unfect la disponibilidad
de recursos y los servicios de la nube. Escaneo de puertos, IP spoofing, envenenamiento de
DNS, el phishing tambin se ejecutan para obtener acceso a los recursos de la nube. Un usuario
malicioso puede capturar y analizar los datos de los paquetes enviados a travs de esta red en el
rastreo de paquetes. IP spoofing se produce cuando un usuario malintencionado suplanta una
direccin IP donde los usuarios legtimos puedan acceder a la informacin que no habran
podido acceder a otra cosa. Disponibilidad es muy importante. No tener acceso a servicios
cuando es necesario puede ser un desastre para cualquier persona, especialmente en el caso de
denegacin de servicio. Esto puede ocurrir cuando el agotamiento de los servidores host
provoca solicitudes legtimas de los consumidores a ser denegado. Esto puede costar a una
empresa de grandes sumas de dinero y tiempo si los servicios que dependen de operar no estn
disponibles.
Atacante interno (usuario autorizado) puede fcilmente obtener acceso a otros recursos del
usuario sin ser detectado. Un empleado tiene mayores privilegios y conocimiento (relacionadas
con la red, mecanismo de seguridad y recursos para atacar) que el atacante externo. Por lo
tanto, es fcil para un abuso de informacin privilegiada para penetrar en un ataque de
atacantes externos.
basados en Internet que plantean varios interrogantes tales como en los casos de incumplimiento,
cules son las formas de solucin existentes para los interesados? Cul es la responsabilidad de
los proveedores de nube? Cules sern los procedimientos apropiados para resolver estos
problemas? [23].
ataques graves. Las reas de preocupacin incluyen la contrasea y clave grietas, etc. tales
amenazas afectan a la IaaS y PaaS de modelos de servicio.
Mitigacin: Para solucionar esto, registro inicial debera ser a travs de la adecuada
validacin/verificacin y a travs de una autenticacin ms fuerte. Adems de esto, el trfico
de red del usuario deben ser monitoreados exhaustivamente.
cifrado dbiles, claves dbiles, riesgo de asociacin, centro de datos poco fiables, y la falta de
recuperacin de desastres. Esta amenaza puede aplicable a SaaS, PaaS y IaaS.
Mitigacin: Soluciones incluyen seguridad de API, la integridad de los datos, almacenamiento
seguro de claves utilizado, backup de datos y polticas de retencin.
Mitigacin: Algunas de las estrategias de mitigacin para abordar esta amenaza incluyen
polticas de seguridad, autenticacin fuerte, y la supervisin de la actividad.
6.3.1
Escapar de la VM
En este tipo de ataque, el atacante de programa que se ejecuta en una VM rompe la capa de
aislamiento a fin de ejecutar con los privilegios de root del hipervisor en su lugar con los
privilegios de VM. Esto permite a un atacante para interactuar directamente con el hipervisor.
Por lo tanto, VM escapar del aislamiento es proporcionado por la capa virtual. Por VM escapar,
un atacante obtiene acceso al sistema operativo host y las otras mquinas virtuales que se
ejecutan en la mquina fsica.
6.3.2
Rootkit en el hipervisor
controlar los recursos de la vctima y puede hacer que sea un zombi para intentar un ataque
DDoS. Tambin se puede utilizar para revelar la informacin confidencial de la vctima.
Mitigacin: Mejor autenticacin y aislamiento entre las mquinas virtuales pueden ofrecer
proteccin contra estos ataques.
8. CONCLUSION
En este estudio hemos analizado las caractersticas de seguridad en la nube que contiene
amenazas o ataques y vulnerabilidades. Las organizaciones que implementan el cloud
computing, ampliando su infraestructura in situ, debe ser consciente de los desafos que
enfrenta la seguridad del cloud computing. Para proteger contra el compromiso de
cumplimiento de la integridad y seguridad de sus aplicaciones y datos, defensa en
profundidad de enfoque debe aplicarse. Esta lnea de defensa incluye firewall, deteccin y
prevencin de intrusiones, la monitorizacin de la integridad, inspeccin de registro y
proteccin contra malware. Organizaciones y proveedores de servicio proactivo debera
aplicar esta proteccin en sus infraestructuras de cloud computing, para lograr la seguridad
para que puedan beneficiarse de la cloud computing, por delante de sus competidores. En este
documento, un fsico de la arquitectura de seguridad del cloud computing ha sido presentado.
En el futuro, la arquitectura propuesta podr ser modificado con el avance de las tecnologas
de seguridad utilizados para implementar esta arquitectura de seguridad cloud fsicos.
Teniendo en cuenta las contribuciones de varias industrias de todo el mundo, es evidente que
el cloud computing ser una de las principales tecnologas estratgicas e innovadoras en el
futuro cercano.
References
[1] "Pantano Computing" alias Cloud Computing". Seguridad en la web oficial. 2009-12-28. Recupera
2010- 25-01.
[2] "Nubarrones: gestin de SOA-Cloud riesgo", Philip Wik". Revista de Tecnologa de servicio. 2011-10.
Recupera 2011-21-21.
[3]
Qu
significa
realmente
la
cloud
computing.
InfoWorld. http://www.infoworld.com/d/cloud- Informtica/qu-cloud-computing
realmente
significa-031?page=0,0
[4]
P
Mell,
Grance
T
(2011)
La
definicin
del
NIST
cloud
computing
(borrador). http://csrc.nist.gov/publications/drafts/800-145/Proyecto-SP-800-145_cloud
definicin.pdf
[5]
Ponemon
(2011)
Seguridad
de
los
proveedores
de
cloud
computing
estudio. http://www.ca.com/~/media/Files/ IndustryResearch/seguridad de los proveedores de cloud
computing-final-Abril-2011.pdf
[6] Software como servicio Wikipedia. Wikipedia. http://en.wikipedia.org/wiki/Software_as_a_service
[7] A. Tripathi y A. Mishra, "Consideraciones de seguridad del cloud computing" Conferencia sobre
signalprocessing IEEE Int., la comunicacin y la informtica (ICSPCC), 14-16 de septiembre, Xi'an,
Shaanxi, China, 2011
20
[8] Vadym Mukhin, Artem Volokyta, "Anlisis de riesgos para la seguridad de Cloud Computing
Systems" La 6 Conferencia internacional IEEE sobre adquisicin de datos inteligentes y sistemas
avanzados de computacin: Tecnologa y Aplicaciones, Praga, Repblica Checa, del 15 al 17 de
septiembre de 2011
[9] Mathisen, "Desafos y soluciones de seguridad en la Cloud Computing" 5 Conferencia internacional
IEEE sobre los ecosistemas y las tecnologas digitales (DEST IEEE2011) , Daejeon, Corea, 31 de
Mayo -3 de junio de 2011
[10] R. La'Cuota Sumter, -Cloud Computing: clasificacin de riesgo de seguridad, ACMSE 2010,
Oxford, EE.UU.
21
[11] Meiko Jensen ,Jorg Sehwenk et al., "sobre la seguridad tcnica,Problemas con icloud Computing
"Conferencia internacional IEEE sobre Cloud Computing, 2009.
[12] M.Jensen ,N.Gruschka et al., "El impacto de los ataques de inundacin en servicios basados en la
red"actuaciones de la IEEE
Conferencia internacional sobre Availiabilty,fiabilidad y
seguridad (ARES) 2008.
[13] Armbrust ,M. ,Fox, A. Griffth, R., et al., "Por encima de las Nubes: Una vista de Berkeley de Cloud
Computing" , UCB/CEA-2009-28,CEA Department de la Universidad de California, Berkeley,
2009 http://www.eecs.berkeley.edu/Pubs/TechRpts/2009/EECS-2009-28.pdf
[14] Wayne A. Jansen, -Cloud anzuelos: Cuestiones de Seguridad y privacidad en Cloud Computing,
44 Conferencia Internacional sobre Sistema de Hawaii Sciesnces 2011.
[15]
Rituik
Dubey
et
al.,
"solucionar
los
problemas
de
seguridad
en
la
Cloud Computing"http://www.contrib.andrew.cmu.edu/~rdubey/index_files/cloud%20com
poniendo.pdf
[16] M.
Okuhara
Et
Al.
"Seguridad Arquitectura
Para Nube
Computing", www.fujitsu.com/downloads/MAG/vol46-4/paper09.pdf
[17] "Un anlisis de la seguridad de la Cloud
Computing" http://cloudcomputing.sys- Con.com/node/1203943 [18] "Cloud Security Preguntas?
Aqu estn algunas respuestas".http://cloudcomputing.sysCon.com/node/1330353
[19] el Cloud Computing y la seguridad -una coincidencia Natural, Trusted Computing Group
(TCG) http://www.trustedcomputinggroup.org
[20] "controlar los datos en la nube:Clculo de externalizacin sin control de
outsourcing http://www.parc.com/content/attachments/ControllingDataInTheCloudCCSW-09.pdf
[21] "Amazon Web Services: Descripcin general de los procesos de seguridad " Septiembre de
2008 http://aws.amazon.com [22] T. Schreiber, "Sesin montando una gran vulnerabilidad en
hoy'saplicaciones Web" [Online]
Disponible: http://www.securenet.de/papers/Session_Riding.pdf, libro blanco, 2004. [Accessed:
20-Jul-2011].
[23] J., Grimes, P., Jaeger, J., Lin, "Capear el temporal: Las implicaciones polticas de la Cloud
Computing"
[En
lnea],
disponiblehttp://ischools.org/images/iConferences/CloudAbstract13109F INAL.pdf , [Accessed:
19-Jul-2011].
[24] B. Walloschek Grobauer, T. y E.
Stocker, "Conocimiento de Cloud
Computing", vulnerabilidades de seguridad y privacidad, IEEE, volumen 9, no. 2, pp.50-57,
2011.
[25] A. Greenberg, "Por qu necesidades de Cloud Computing Ms caos" [En lnea],
disponible:http://www.forbes.com/2009/07/30/cloud-computing- seguridad-tecnologa-cio- -red cloudcomputing.html, 2009, [Accessed: 20-Jul-2011].
[26] Top 7 de amenazas para el cloud computing. HELP NET Security. Http://www.netsecurity.org/secworld.php?id=8943
[27] el Rion Dutta, "Planificacin para inicio de sesin unificado", Libro Blanco, miel e- Seguridad Pvt.
[28] M. Armbrust, et al., una vista de cloud computing. Commun. ACM. vol 53 (2010), pp. 50-58
[29] Miranda Mowbray y Siani Pearson, basada en un cliente Privacy Manager para cloud computing.
En Proc. Cuarta Conferencia Internacional sobre Comunicacin System Software y Middleware
(ComsWare), Dubln, Irlanda, del 16 al 19 de junio de 2009.
Autores
Kashif Munir recibe su Licenciatura Licenciatura en Matemticas y Fsica en la
Universidad Islamia Bahawalpur en 1999. Recibi su maestra en tecnologa de la
informacin de la Universidad Sains Malaysia en 2001. Tambin obtuvo otro MS
Grado en Ingeniera del Software de la Universidad de Malaya, Malasia en 2005. Su
rea de investigacin en el campo de red segura para dispositivos mviles, la
computacin en nube y la computacin ubicua.
El Sr. Kashif fue profesor en la Universidad de Stamford, Malasia. Actualmente, es profesor titular
En las ciencias de la Computacin e Ingeniera en la unidad de Hafr Al-Batin Community
College\KFUPM, Arabia Saudita. l est haciendo su doctorado en la Universidad de Malasia de la
ciencia y la tecnologa, en Malasia.
Informtica avanzada: Una Revista Internacional ( ACIJ ), Vol.4, No.1, enero de 2013
El Prof. Dr. Sellappan Palaniappan es actualmente el Provost interino y el decano
de la Escuela de Ciencias e Ingeniera en la Universidad de Malasia de la ciencia y
la Tecnologa (debe). Antes de unirse a debe, fue profesor asociado en la Facultad de
Ciencias de la Computacin y la tecnologa de la Informacin, Universidad de
Malaya. Tiene un doctorado en Ciencias de la informacin interdisciplinaria de la
Universidad de Pittsburgh y un Master en Ciencias de la Computacin de la
Universidad de Londres.
La Dra. Sellappan es un receptor de varias becas de investigacin gubernamentales y ha publicado
numerosas revistas, documentos de conferencias y libros. l ha servido como consultor de diversos
organismos nacionales e internacionales tales como el Banco Asitico de Desarrollo, el Programa de las
Naciones Unidas para el Desarrollo, el Banco Mundial y el Gobierno de Malasia. l ha llevado a cabo
seminarios para empresas. l tambin es un examinador externo/asesor de varias universidades pblicas
y privadas. l era un miembro del IEEE (USA), Chartered Engineering Council (UK) y la British
Computer Society (Reino Unido), y actualmente es miembro del Equipo Nacional de Malasia
(Confederacin MNCC).
22