Cloud y Seguridad

Resumen del CURSO DE CLOUD COMPUTING, profes: Juanjo García y Moisés Navarro, en “Actívate, Google España”.

MÓDULO 3. >> SEGURIDAD EN CLOUD.

1. Profundizamos: Seguridad en la empresa.

  • El proveedor de cloud busca la seguridad máximas. Las máquinas virtuales están alojadas en centros de datos, y están gestionadas por proveedores cloud que siempre están a lo último en seguridad.
  • Tener los datos a tu lado no es más seguro que tenerlos en la nube, puede ser —y de hecho es— mucho menos seguro.
  • Los back-ups. Muchos usuarios y PYMES no no hacen back-ups de sus datos, en los entornos cloud son pieza clave para la seguridad y el respaldo, y se hacen automáticamente y con un solo clic.
  • Información repartida, fracturada y ultracifrada,
  • El tema de la seguridad cloud vista desde el punto de vista del usuario es más importante si cabe, que la de los propios data centers, a saber:
    • Intercambiamos la información con nuestros compañeros y proveedores a través de entornos virtuales seguros.
    • Ya no hay que temer que los datos en los ordenadores se pierdan o los roben.
  • Respecto a las conjeturas típica del cloud: ¿Dónde estarán mis datos? ¿Quién los tendrá?… Hay que decir que:
    • La mayoria de los proveedores cloud te permiten decidir dónde quieres colocar tus datos.
    • El usuario tiene la obligación de leerse el contrato, para conocer cuestiones técnicas relativas a tráfico, almacenamiento, facturación, etc.
Ejemplo de proveedor cloud.

2. Seguridad a nivel de usuario.

  • El modelo cloud supone una transformación cultural para el usuario. (Vease: «Transformación digital Vs Digitalización«).
  • Los documentos participativos en la nube y se acceden a ellos por permisos, se evita así el tráfico de datos por mails, en pendrives, etc.
  • La autentificación. Adiós a las miles de contraseñas fáciles:
    • Single sign on.
    • Doble autentificación.

3. Seguridad a nivel de empresa.

  • La política de seguridad de la empresa debe ser:
    • Única.
    • Integradora.
    • Pero la realidad es que no es así.
    • Las empresas se gastan el 80% del presupuesto de seguridad en proteger el perímetro.
    • La microsegmentación: poner una llave y una cerradura allí donde allá algo que proteger.

4. Profundizamos: Seguridad en la empresa.

  • Marcos de referencia y áreas de seguridad habituales.
  • Las certificaciones:
    • ISO20001,
  • El Gobierno de EEUU. FedRAMP.
    • Promulgo unas OBLIGACIONES (más que recomendaciones) para las Agencias Federales a la hora de consumir servicios cloud.
    • El gobierno de EEUU adoptó la política «cloud first«.
      1. Contrata un servicio Cloud.
      2. Si no hay uno para ti, ya estudiamos uno a medida.
  • El modelo «Zero Trust» o «confianza cero», desarrollado por Forrester Research para el gobierno de EEUU.
    • Margina el perímetro en favor de la microsegmentación.
  • El perímetro ya no existe. Los ataques o ciberataques por desgracia se producen, por lo tanto lo mejor es prevenirlos y, una vez que tienen lugar, gestionar la crisis lo mejor posible. «I am convinced that there are only two types of companies: those that have been hacked and those that will be. And even they are converging into one category: companies that have been hacked and will be hacked again». Robert S.Mueller, FBI.
  • Fases de un ataque informático:
    1. Intrusion.
    2. Propagation.
    3. Extraction.
  • La cuestión clave es la microsegmentación: Hay que llevar la protección a cada recurso que se quiere proteger.
  • La idea de la «protección perimetral· está obsoleta y se basaba en la intranet, una red arcaica y aislada.
  • Los conceptos intranet, extranet e internet saltaron por los aires y ahora todo es móvil, cloud y multicloud.
  • Ante un panorama tan complejo, en el que los ataques pueden venir por todas partes, la industria propone como solución la microsegmentación: el ejemplo de las magdalenas.
  • Llevemos la microsegmentación dentro y fuera del centro de datos.

cloudsecurityalliance.org

Objetivos:

  • Analizar las implicaciones de seguridad de una solución cloud.
  • Comprender las obligaciones que tiene tanto el proveedor como el consumidor.
  • Nuevas opciones de seguridad en el mundo cloud.
 Cloud Computing – 3.1 a 3.4 Seguridad en cloud – Google Actívate

ARTÍCULO EN DESARROLLO…