Professional Documents
Culture Documents
seguretat en cloud
computing
PID_00286161
Cap part d'aquesta publicació, incloent-hi el disseny general i la coberta, no pot ser copiada,
reproduïda, emmagatzemada o transmesa de cap manera ni per cap mitjà, tant si és elèctric com
mecànic, òptic, de gravació, de fotocòpia o per altres mètodes, sense l'autorització prèvia
per escrit del titular dels drets.
© FUOC • PID_00286161 Introducció a la seguretat en cloud computing
Índex
7. Supervisió i auditoria....................................................................... 27
8. Recomanacions................................................................................... 29
Bibliografia................................................................................................. 33
© FUOC • PID_00286161 5 Introducció a la seguretat en cloud computing
• La localització de la informació;
• el proveïdor i model del servei cloud, i
• els nivells de servei respecte a la integritat i la disponibilitat de les dades.
Els clients en el núvol necessiten que se'ls garanteixi que els proveïdors apli- Exemples de riscos
quen pràctiques adequades de seguretat per a mitigar els riscos als quals
Alguns exemples dels riscos als
s'enfronten el client i el proveïdor. Necessiten aquesta garantia per a poder quals s'enfronten el client i el
prendre decisions de negoci correctes i per a mantenir o obtenir certificats proveïdor són els atacs distri-
buïts de denegació de servei (o
de seguretat. Un símptoma inicial d'aquesta necessitat d'asseguració és que DDoS).
Els documents basats en la llista de comprovació han d'aportar als clients mit-
jans per a:
Fins que els reglaments i precedents legals abordin les preocupacions concretes
en matèria de seguretat relatives a la computació en núvol, els clients i els
proveïdors en núvol han d'assegurar-se que les condicions del seu contracte
aborden de manera efectiva els riscos de seguretat.
© FUOC • PID_00286161 9 Introducció a la seguretat en cloud computing
Els models de seguretat en el núvol són eines per a ajudar a orientar les deci-
sions de seguretat. El terme model es pot utilitzar de forma una mica nebulosa,
per la qual cosa per als nostres propòsits es descompon en els tipus següents:
Les línies entre aquests models sovint es difuminen i se superposen, segons els
objectius del desenvolupador del model. Fins i tot agrupar-los tots junts sota
l'encapçalament «model» és probablement inexacte, però, atès que veiem els
termes usats de manera intercanviable en diferents fonts, té sentit agrupar-los.
Atès que els diferents projectes en el núvol, fins i tot en un sol proveïdor, Avaluació per propis
probablement aprofitaran conjunts de configuracions i tecnologies completa- mèrits
ment diferents, cada projecte ha d'avaluar-se pels seus propis mèrits. Per exemple, els controls de
seguretat per a una aplicació
implementada en IaaS pur en
un proveïdor poden semblar
La clau és identificar els requisits, dissenyar l'arquitectura i identificar molt diferents d'un projecte si-
milar que en el seu lloc utilitza
els buits en funció de les capacitats de la plataforma subjacent del núvol. més PaaS d'aquest mateix pro-
veïdor.
És per això que necessita conèixer l'arquitectura i el proveïdor de serveis
en el núvol abans de començar a traduir els requisits de seguretat en
controls.
Quan té lloc una fugida de dades, les empreses poden incórrer en multes, o
poden enfrontar-se a demandes o fins i tot a càrrecs criminals. També cal con-
siderar aspectes com les recerques de la infracció i les notificacions cap als
clients que per danys d'imatge poden afegir costos molt significatius. Efectes
indirectes, com danys a la marca i la pèrdua de negoci, poden afectar les orga-
nitzacions durant diversos anys.
Les bretxes de dades i altres atacs sovint resulten d'un sistema d'autenticació
«pobre», com permetre contrasenyes febles i una mala administració de claus
o certificats. Les organitzacions sovint lluiten amb la gestió d'identitats a me-
sura que tracten d'assignar permisos adequats a la funció de treball de l'usuari.
Però, en algunes ocasions, la falta de gestió correcta de les baixes provoca que
aquestes no siguin efectives en el moment en el qual la funció de treball canvia
o el mateix usuari abandona l'organització.
Els sistemes d'autenticació multifactor, com les contrasenyes d'un sol ús,
l'autenticació mitjançant dispositius mòbils i les targetes intel·ligents, prote-
geixen els serveis en el núvol perquè dificulten que els atacants iniciïn sessió
amb contrasenyes robades. Hi ha multitud d'exemples d'organitzacions i ser-
veis d'internet, molt coneguts, que han exposat milions de registres de clients
o usuaris, com a resultat de credencials d'usuari robades. En la majoria dels
casos associat a fallades en el desplegament d'un procés d'autenticació de ti-
pus multifactor, així que una vegada que els atacants obtenen les credencials,
només cal esperar que el procés que s'encarrega a la resposta a incidents sigui
efectiu.
Pràcticament, tots els serveis i aplicacions en el núvol ara ofereixen API per a
facilitar tasques d'automatització i interoperabilitat. Els equips de TI utilitzen
interfícies i API per a gestionar i interactuar amb serveis en el núvol, inclosos
aquells que ofereixen aprovisionament en autoservei, gestió remota, orques-
tració, monitoratge i supervisió en el núvol.
Les API i les interfícies tendeixen a ser la part més exposada d'un sistema per-
què normalment són accessibles des d'internet. Es recomanen controls ade-
quats com la «primera línia de defensa i detecció». Les aplicacions i els sistemes
de modelatge d'amenaces, inclosos els fluxos de dades i l'arquitectura/disseny,
es converteixen en parts importants del cicle de vida del desenvolupament.
També es recomana fer revisions de codi enfocades a la seguretat i rigoroses
proves de penetració.
Afortunadament, els atacs a les vulnerabilitats del sistema poden ser mitigats
amb «processos de TI bàsics». Les millors pràctiques inclouen l'exploració re-
gular de vulnerabilitats, l'administració ràpida de pedaços i un ràpid seguiment
de les amenaces informades.
© FUOC • PID_00286161 18 Introducció a la seguretat en cloud computing
És important considerar que els costos de mitigar les vulnerabilitats del siste-
ma «són relativament petits en comparació amb altres despeses de TI». El cost
de posar els processos de TI en el lloc que els correspon, amb l'objectiu de
controlar, detectar i reparar vulnerabilitats, és petit en comparació amb el mal
potencial. Les organitzacions necessiten posar pedaços el més ràpid possible,
preferiblement com a part d'un procés automatitzat i recurrent. Els processos
de control de canvis que tracten els pedaços d'emergència asseguren que les
activitats relacionades amb el manteniment del programari estiguin deguda-
ment documentades i revisades pels equips tècnics.
Es recomana que siguin les mateixes organitzacions les que controlin el procés
de xifratge i les claus, segregant les tasques i minimitzant l'accés donat als
usuaris. Les activitats de registre, monitoratge i auditoria dels administradors
també són considerades avui com a crítiques.
Entre els punts d'entrada comuns s'inclouen la pesca electrònica, els atacs di-
rectes, unitats USB precarregades amb un programa maligne i xarxes de tercers
compromeses. En particular, es recomana entrenar els usuaris perquè recone-
guin les tècniques de pesca electrònica o phishing.
Els serveis en el núvol poden ser utilitzats per a donar suport a activitats
il·legals, com l'ús de recursos de computació en el núvol per a trencar una clau
de xifratge i llançar un atac. Altres exemples inclouen el llançament d'atacs
DDoS, l'enviament de correus electrònics d'spam i phishing, i l'allotjament de
contingut maliciós.
Els proveïdors han de reconèixer aquests tipus d'abús –com l'anàlisi del trànsit
per a reconèixer els atacs DDoS– i oferir eines perquè els clients puguin super-
visar la salut dels seus entorns cloud. Els clients han d'assegurar-se que els pro-
veïdors ofereixin un mecanisme per a notificar l'abús. Encara que els clients
no poden ser víctimes directes d'accions malicioses, l'abús en el servei en el
núvol pot generar problemes de disponibilitat de serveis i pèrdua de dades.
© FUOC • PID_00286161 21 Introducció a la seguretat en cloud computing
Els atacs DoS han existit durant anys, però han guanyat prominència gràcies
a la computació en el núvol, ja que sovint afecten de manera destacada la
disponibilitat. Els sistemes poden alentir-se o estar fora de joc.
La norma habitual és que els proveïdors de núvol tendeixin a estar més ben
preparats per a controlar atacs de DoS que els seus clients. La clau és tenir un
pla per a mitigar l'atac abans que ocorri, per la qual cosa els administradors
tenen accés a aquests recursos quan els necessiten.
Algunes operacions del servei han de ser realitzades de manera conjunta per
totes dues parts: contractada i contractant, i cal establir els rols, les respon-
sabilitats (capacitat d'autoritzar i obligació de rendir comptes) i els protocols
adequats per a dur-les a terme.
Cal destacar les activitats següents, sense que siguin les úniques que s'han de
procedimentar:
En els serveis prestats per tercers a l'organització, tan important és l'acord con-
tractual amb el proveïdor de serveis com el seguiment que cal realitzar del
servei prestat. Per a poder tenir el control dels serveis, i per tant també poder
exigir-li al proveïdor el compliment de qualssevol mesures de seguretat apli-
cables, cal un monitoratge d'aquests.
Un altre aspecte que cal tractar en la gestió diària del servei és el referent a
la gestió� i� coordinació� del� manteniment� dels� sistemes. En aquest sentit,
s'haurà d'establir contractualment d'acord amb els requisits mínims de nor-
© FUOC • PID_00286161 24 Introducció a la seguretat en cloud computing
7. Supervisió i auditoria
L'organització client, com a responsable última dels possibles riscos que afec-
tin tant la informació com els serveis prestats, haurà de disposar d'un determi-
nat nivell de control sobre aquests serveis. En aquest sentit, i per a garantir el
compliment de les mesures de seguretat d'aplicació en cada cas, l'organització
haurà d'avaluar�la�conveniència�de�disposar�del�dret�d'auditoria, amb la
profunditat corresponent, sobre el proveïdor de serveis o de sol·licitar-li la do-
cumentació següent:
Taula 1. Control de mesures de seguretat basades en la norma ISO 27001 i Cloud Control Ma-
trix (CSA)
• 5.1 • 5.2
27002: • 5.3
• 5.1.1
27002:
• 5.1.2 • 6.1.1
• 6.1.2 • 18.1.1
• 6.1.3
• 15.1.1
© FUOC • PID_00286161 29 Introducció a la seguretat en cloud computing
8. Recomanacions
Bibliografia
Beck, Kent i altres (2001, febrer). Manifesto for Agile Programari Development [en línia].
http://agilemanifesto.org
Guijarro Olivares, Jordi; Caparrós, Joan; Cubero, Lorenzo (2019). Devops i Seguretat
Cloud. Barcelona: UOC.
Marick, Brian (2003, 22 d'agost). Agile testing directions: tests and examples [en línia]. http://
www.exampler.com/old-blog/2003/08/22/http://www.exampler.com/old-blog/2003/08/22/
Enllaços recomanats
CSA - CCSK