¿Qué tecnologías y enfoques se utilizan para proteger la información y los servicios implementados en las infraestructuras de computación en la nube?

Las tecnologías y enfoques detrás de una arquitectura de seguridad en la nube se pueden clasificar en las siguientes categorías:

Seguridad de aplicaciones e interfaces

    • Seguridad de las aplicaciones: las interfaces de aplicaciones y programación (API) se diseñarán, desarrollarán, implementarán y probarán de acuerdo con los estándares líderes de la industria (por ejemplo, OWASP para aplicaciones web) y cumplirán con las obligaciones legales, estatutarias o regulatorias aplicables.
    • Integridad de los datos: se implementarán rutinas de integridad de entrada y salida de datos (es decir, verificaciones de conciliación y edición) para las interfaces y bases de datos de la aplicación para evitar errores de procesamiento manual o sistemático, corrupción de datos o mal uso.
    • Seguridad de los datos : las políticas y procedimientos se establecerán y mantendrán en apoyo de la seguridad de los datos para incluir (confidencialidad, integridad y disponibilidad) en múltiples interfaces del sistema, jurisdicciones y funciones comerciales para evitar la divulgación, alteración o destrucción inadecuada.

Seguridad del centro de datos

    • Gestión de activos : se establecerán políticas y procedimientos para el etiquetado, el manejo y la seguridad de los datos y objetos que contienen datos. Se implementarán mecanismos para la herencia de etiquetas para los objetos que actúan como contenedores agregados para los datos.
    • Puntos de acceso controlados : se instalarán perímetros de seguridad física (por ejemplo, cercas, muros, barreras, guardias, puertas, vigilancia electrónica, mecanismos de autenticación física, escritorios de recepción y patrullas de seguridad) para salvaguardar los datos confidenciales y los sistemas de información.
    • Identificación del equipo: la identificación automatizada del equipo se utilizará como método de autenticación de conexión. Las tecnologías con reconocimiento de ubicación se pueden usar para validar la integridad de la autenticación de conexión en función de la ubicación conocida del equipo.
    • Autorización de área segura: los mecanismos de control de acceso físico restringirán y supervisarán el ingreso y la salida a áreas seguras para garantizar que solo el personal autorizado tenga acceso.
    • Acceso de usuarios: se restringirá el acceso físico a los activos y funciones de información por parte de los usuarios y el personal de soporte.

Seguridad de datos y gestión del ciclo de vida de la información

    • Datos de no producción: los datos de producción no se deben replicar ni utilizar en entornos de no producción. Cualquier uso de datos de clientes en entornos que no sean de producción requiere la aprobación explícita y documentada de todos los clientes cuyos datos se vean afectados, y debe cumplir con todos los requisitos legales y reglamentarios para la eliminación de elementos de datos confidenciales.

Cifrado y gestión de claves

    • Derecho : las claves deben tener propietarios identificables (claves vinculantes para las identidades) y debe haber políticas de gestión de claves.
    • Generación de claves : se establecerán políticas y procedimientos para la gestión de claves criptográficas en el criptosistema del servicio (por ejemplo, gestión del ciclo de vida desde la generación de claves hasta la revocación y reemplazo, infraestructura de claves públicas, diseño de protocolos criptográficos y algoritmos utilizados, controles de acceso establecidos para claves seguras generación e intercambio y almacenamiento, incluida la segregación de claves utilizadas para datos cifrados o sesiones). Previa solicitud, el proveedor informará al cliente (inquilino) de los cambios dentro del sistema de cifrado, especialmente si los datos del cliente (inquilino) se utilizan como parte del servicio, y / o el cliente (inquilino) tiene alguna responsabilidad compartida sobre la implementación del control .
    • Protección de datos confidenciales : se establecerán políticas y procedimientos, y se respaldarán los procesos comerciales y las medidas técnicas implementadas, para el uso de protocolos de cifrado para la protección de datos confidenciales en el almacenamiento (por ejemplo, servidores de archivos, bases de datos y estaciones de trabajo de usuarios finales), datos en uso (memoria) y datos en transmisión (p. ej., interfaces del sistema, a través de redes públicas y mensajes electrónicos) según las obligaciones legales, estatutarias y de cumplimiento normativo aplicables.
    • Almacenamiento y acceso : se requerirá un cifrado apropiado para la plataforma y los datos (por ejemplo, AES-256) en formatos abiertos / validados y algoritmos estándar. Las claves no deben almacenarse en la nube (es decir, en el proveedor de la nube en cuestión), sino que deben ser mantenidas por el consumidor de la nube o el proveedor confiable de administración de claves. La gestión de claves y el uso de claves serán tareas separadas.

Gestión de identidad y acceso

    • Se establecerán políticas y procedimientos de acceso de los usuarios, y se implementarán los procesos comerciales y las medidas técnicas de apoyo, para garantizar la identidad, los derechos y la gestión de acceso apropiados para todos los usuarios internos corporativos y de clientes (inquilinos) con acceso a datos y propiedad o administración organizacional (física y virtual) interfaces de aplicaciones e infraestructura de red y componentes de sistemas. Estas políticas, procedimientos, procesos y medidas deben incorporar lo siguiente:

      • Procedimientos, roles de soporte y responsabilidades para el aprovisionamiento y desaprovisionamiento de derechos de cuenta de usuario siguiendo la regla del mínimo privilegio basado en la función del trabajo (p. Ej., Cambios internos de personal y personal contingente, acceso controlado por el cliente, relaciones comerciales de proveedores u otros relaciones comerciales de terceros)

      • Consideraciones de casos de negocios para niveles más altos de seguridad y secretos de autenticación de múltiples factores (por ejemplo, interfaces de administración, generación de claves, acceso remoto, segregación de funciones, acceso de emergencia, aprovisionamiento a gran escala o despliegues distribuidos geográficamente y redundancia de personal para sistemas críticos )

      • Segmentación de acceso a sesiones y datos en arquitecturas multiinquilino por parte de un tercero (por ejemplo, proveedor y / u otro cliente (inquilino))

      • Verificación de confianza de identidad y aplicación de servicio a servicio (API) e interoperabilidad de procesamiento de información (por ejemplo, SSO y federación)

      • Gestión del ciclo de vida de las credenciales de la cuenta desde la creación de instancias hasta la revocación.

      • Credencial de cuenta y / o minimización o reutilización del almacén de identidad cuando sea posible

      • Reglas de autenticación, autorización y contabilidad (AAA) para el acceso a datos y sesiones (p. Ej., Cifrado y secretos de autenticación fuerte / multifactor, caduca, no compartido)

      • Permisos y capacidades de soporte para los controles del cliente (inquilino) sobre las reglas de autenticación, autorización y contabilidad (AAA) para el acceso a datos y sesiones

      • Adhesión a los requisitos legales, legales o reglamentarios de cumplimiento aplicables.

    • Restricción de acceso al código fuente: el acceso al código fuente de las aplicaciones, programas u objetos desarrollados por la propia organización, o cualquier otra forma de propiedad intelectual (IP), y el uso de software propietario se restringirá de manera apropiada siguiendo la regla del mínimo privilegio basado en la función del trabajo según las políticas y procedimientos de acceso de usuarios establecidos.

Infraestructura y seguridad de virtualización

    • Endurecimiento del sistema operativo y controles básicos : cada sistema operativo se fortalecerá para proporcionar solo los puertos, protocolos y servicios necesarios para satisfacer las necesidades comerciales y contar con controles técnicos de soporte tales como: antivirus, monitoreo de integridad de archivos y registro como parte de su operación de referencia construir estándar o plantilla.
    • Seguridad de VM – Protección de datos – Se utilizarán canales de comunicación seguros y encriptados al migrar servidores físicos, aplicaciones o datos a servidores virtualizados y, cuando sea posible, se utilizará una red separada de las redes de nivel de producción para tales migraciones.

Interoperabilidad y Portabilidad

    • API : el proveedor utilizará API abiertas y publicadas para garantizar el soporte para la interoperabilidad entre componentes y para facilitar la migración de aplicaciones.
    • Protocolos de red estandarizados : el proveedor utilizará protocolos de red estandarizados seguros (por ejemplo, texto no claro y autenticado) para la importación y exportación de datos y para administrar el servicio, y pondrá a disposición de los consumidores (inquilinos) un documento que detalle la interoperabilidad relevante y estándares de portabilidad que están involucrados.

Seguridad móvil

    • Cifrado : la política de dispositivos móviles requerirá el uso de cifrado para todo el dispositivo o para los datos identificados como sensibles en todos los dispositivos móviles, y se aplicará a través de controles de tecnología.
    • Jailbreaking y Rooting : la política de dispositivos móviles debe prohibir la elusión de los controles de seguridad integrados en los dispositivos móviles (por ejemplo, jailbreak o rooting) y debe hacer cumplir la prohibición mediante controles de detección y preventivos en el dispositivo o mediante un sistema centralizado de administración de dispositivos (eg , Gestión de dispositivos móviles).
    • Parches de seguridad : los dispositivos móviles que se conectan a redes corporativas, o que almacenan y acceden a información de la empresa, permitirán la validación remota de la versión / parche de software. Todos los dispositivos móviles deberán tener los últimos parches disponibles relacionados con la seguridad instalados tras el lanzamiento general por parte del fabricante o el operador del dispositivo, y el personal de TI autorizado podrá realizar estas actualizaciones de forma remota.

Gestión de amenazas y vulnerabilidades

    • Virus / software malicioso : se establecerán políticas y procedimientos, y se implementarán los procesos comerciales y las medidas técnicas implementadas, para evitar la ejecución de malware en dispositivos de punto final de usuarios administrados o de propiedad de la organización (es decir, estaciones de trabajo emitidas, computadoras portátiles y dispositivos móviles) y componentes de red y sistemas de infraestructura de TI.
    • Gestión de vulnerabilidades / parches : se establecerán políticas y procedimientos, y se implementarán procesos de apoyo y medidas técnicas, para la detección oportuna de vulnerabilidades dentro de aplicaciones administradas o de propiedad de la organización, red de infraestructura y componentes del sistema (por ejemplo, evaluación de vulnerabilidad de red, pruebas de penetración) para garantizar La eficiencia de los controles de seguridad implementados. Se utilizará un modelo basado en el riesgo para priorizar la reparación de las vulnerabilidades identificadas. Los cambios se gestionarán mediante un proceso de gestión de cambios para todos los parches, cambios de configuración o cambios proporcionados por el proveedor en el software desarrollado internamente por la organización. Previa solicitud, el proveedor informa al cliente (inquilino) de las políticas y procedimientos y las debilidades identificadas, especialmente si los datos del cliente (inquilino) se utilizan como parte del servicio y / o el cliente (inquilino) tiene alguna responsabilidad compartida sobre la implementación del control.

Estas tecnologías y principios están tomados de Cloud Control Matrix (CCM) creado por Cloud Security Alliance (CSA)

Si le gusta mi respuesta, presione el botón “Votar a favor” a continuación. ¡Muchas gracias! ❤️

Si está buscando almacenamiento en la nube y uso compartido de archivos, no dude en tomar una prueba gratuita de 14 días del servicio seguro de uso compartido de archivos Quatrix o simplemente consulte nuestros otros productos.

Related Content

¿En qué se diferenciaba Cotendo de Akamai, Cloudfront o cualquier otra CDN?

¿Quiénes son los clientes típicos de Oracle Cloud?

¿Tiene la fuerza de ventas (CRM) la posibilidad de alcanzar una evaluación de $ 200B en 10 años?

¿Por qué AWS se considera el mejor servicio en la nube?

¿Hay algún proveedor de Cloud que le permita desconectar un nuevo servidor instantáneamente (idealmente menos de 10 segundos, pero menos de 30 también es aceptable)?

Se implementan algoritmos de cifrado sólidos para el almacenamiento y, a menudo, se solicita a cada servicio que se autorice a sí mismo antes de intentar una solicitud para asegurar un servicio falso que no derribará otros servicios.

Cada proveedor de la nube tiene su propio conjunto de certificaciones y es mejor verificar sitios individuales para confirmar qué prácticas están siguiendo para proteger sus datos.

Trinadh Narayana

More Interesting

¿Cuáles son algunos métodos populares para calcular valores p multivariados?

¿Se necesitarán siempre centros de datos?

¿Apple cobrará mucho menos por canción por el servicio en la nube de iTunes?

¿Cuál es el mejor en el sector de TI AWS, Azure o MCSE?

¿Cuáles son los mejores motores de flujo de trabajo distribuido?

¿Qué sería adecuado para un graduado en comercio, análisis de big data o computación en la nube?

¿Qué universidad ofreció un programa de B.Tech con especialización en computación en la nube?

¿Por qué es tan confuso iCloud?

En el campo de TI actual, ¿cuál es la mejor tecnología para aprender: IA, computación en la nube, AngularJS o big data?

¿Qué métodos de cifrado utilizan los proveedores de servicios en la nube para cifrar datos en reposo? ¿Cómo eligen estos métodos?

¿Cuánto costaría (o cuántas horas hombre tomaría) desarrollar un software de contabilidad personalizado basado en la nube?

¿Puedo llamarme desarrollador de la nube si aprendo AWS y Azure?

¿Qué le pasó a DigitalOcean?

¿Cuál es la mejor plataforma para desarrollar API REST (Java - DropWizard, Python Flask, Node.js y Express) y luego vender la API por llamada?

¿Cuáles son las últimas tendencias tecnológicas que darán forma a 2017 como IoT, realidad virtual, análisis de datos, nube, etc.?