¿Cómo podemos abordar los problemas de seguridad de la computación en la nube?

La respuesta de Anastasia Derunova es una buena descripción de cómo proporcionar seguridad.

La seguridad en la nube depende en gran medida del tipo de seguridad que debe proporcionar; y uno de los aspectos más importantes para asegurar su organización es determinar el perfil de riesgo que aceptará y cómo lograrlo.

La nube no es tan diferente de las instalaciones en la mayoría de los casos. Necesita mantener el software actualizado y parcheado. Debe estar configurado correctamente. Debe emplear tácticas como el cifrado punto a punto (comúnmente TLS / SSL / VPN) y el cifrado de datos en reposo, cuando corresponda. Todos estos principios todavía se aplican, pero a veces se pasan por alto o se supone que están presentes al comprar servicios en la nube (especialmente las ofertas de IaaS o PaaS).

Usted menciona una guía de seguridad específica con la que no estoy familiarizado, pero hay varias de estas, y todas cubrirán la mayoría de los casos de uso perfectamente. Asegúrate de seguir todas las pautas, ahí es donde la mayoría de las personas llaman corto.

Aspectos adicionales de Cloud que son diferentes:

  • Integraciones: gran parte del poder de la nube proviene de la integración de software con otro software. Estos puntos de integración deben examinarse en busca de fallas de seguridad, por ejemplo, ¿confía en ambos lados de la ecuación? ¿Entiende cómo esas organizaciones están transportando y almacenando sus datos? ¿Están subcontratando o subcontratando a partes a las que no tiene visibilidad?
  • Ubicaciones de acceso: las oficinas tradicionales tenían centros de datos ubicados dentro de ellas o en otra ubicación operada por la compañía. Esto permite una buena seguridad física y la capacidad de filtrar el tráfico de acceso a ciertas ubicaciones. Cloud ha cambiado esto en gran medida. Ahora los empleados acceden a aplicaciones de todas partes (hogar, Starbucks, aeropuertos, etc.).
  • Seguridad subcontratada: cuando compra un servicio en la nube, está comprando su interpretación de toda la pila de software a continuación, donde compra. Para IaaS está comprando la plataforma física subyacente, no puede (en general) cambiar lo que AWS o Azure hace debajo, solo puede comprar lo que construyeron o no. Si compra SaaS, está comprando el físico, el sistema operativo, la plataforma y las configuraciones de todos esos aspectos. Sin cambios, ¿quieres el software o no?

Para muchas organizaciones, el problema es que no consideran sus riesgos reales y no operan de acuerdo con los principios que tienen sentido. En NAWAH decidimos tener una red de huella cero. Todos los usuarios se conectaron directamente a servicios alojados o administrados en la nube directamente desde su computadora portátil, sin red en el medio. Esto eliminó la necesidad de proteger nuestra red y nos permitió centrarnos en la detección de problemas (en lugar de la prevención).

También teníamos políticas estrictas en toda la compañía sobre lo que se podía enviar por correo electrónico y lo que se transmitiría de manera más segura. Además, implementamos políticas para eliminar materiales más antiguos para que no corrieran el riesgo de ser robados o comprometidos.

Me hubiera gustado ir más allá y requerir que todos los usuarios tengan Chromebooks con almacenamiento local limitado. Esto habría permitido que todas las computadoras estuvieran completamente encriptadas, controlables por los administradores de forma remota, y las comunicaciones completamente encriptadas entre el dispositivo y la nube.

En casi todas las empresas con las que trabajo, el correo electrónico se utiliza como la principal herramienta de comunicación, almacenamiento de archivos, archivo y programación. Mi sugerencia es eliminar esta capacidad y obligar a los usuarios a tomar información y archivos de correos electrónicos y colocarlos en sistemas especialmente diseñados para ese tipo de información; luego elimine los correos electrónicos después de 90 días, universalmente. Una de las mayores amenazas para la seguridad es lo desconocido de lo que tiene y lo que puede perder. ¿Qué hay en esos borradores de correos electrónicos? Quién sabe, pero usted sabe exactamente qué hay en su sistema de almacenamiento de archivos (Box, Dropbox).

Massk Consulting menciona que la banca es lenta para adoptar estándares en la nube. Yo diría que tal vez son correctos. Los bancos y las instituciones financieras en general tienden a tener muy buen personal de seguridad ya que asegurar su información es primordial para la supervivencia de la organización. Esto no es cierto para la mayoría de las organizaciones donde los correos electrónicos perdidos son más embarazosos, pero no terriblemente dañinos en general.

¡Mi queja en el lado bancario es en realidad la lentitud para adoptar mejores interfaces y medidas de seguridad en el lado de la banca minorista! No fue hasta hace muy poco que pude forzar el inicio de sesión de dos factores en algunos de mis bancos, y otros todavía no lo tienen. ¿O qué pasa con “chip y firma?”. La razón declarada fue que “chip y pin” fueron demasiados cambios para que los clientes estadounidenses los entendieran de inmediato; espera, ¿qué pasa con esas tarjetas de débito que hemos estado usando durante una década? Hmm …

TL; DR: La respuesta general a su pregunta es que abordamos los problemas de seguridad en la nube de la misma manera que los problemas locales: sea inteligente sobre lo que es importante y gaste el dinero y los recursos allí. Pero sea honesto, la mayoría de sus datos no importan, y la mayoría de ellos se pueden eliminar después de un período de tiempo.

Related Content

¿Por qué Facebook no proporciona servicios similares a AWS o Google App Engine?

¿Cuál es la aplicación en tiempo real del almacenamiento en la nube?

¿Qué bancos usan AWS?

¿Qué tipo de proyectos académicos podemos hacer sobre virtualización?

Si desea elegir una plataforma en la nube (AWS, GCP, Azure) hoy, ¿cuál sería la mejor?

Podemos abordar los problemas de seguridad de la computación en la nube implementando medidas de seguridad:

  • Seguridad física

Asegúrese de que los servidores estén ubicados en un entorno seguro. Aparentemente, si sus servidores en la nube están ubicados en un centro de datos, es posible que desee saber si este centro de datos es confiable, resistente y seguro. El American National Standards Institute (ANSI) clasifica los centros de datos por niveles, en particular a 4 niveles de diseño e implementación de centros de datos. Cada nivel posterior (nivel) del centro de datos proporciona más confiabilidad y seguridad.

  • Sistema de detección de intrusos

Existen sistemas de detección de intrusos basados ​​en red (NIDS) y basados ​​en host (HIDS). Instalar sistemas operativos que detecten intrusos y ataques DoS, así como los ataques de IIS y MySQL ayudarán a responder oportunamente al tráfico anómalo o malicioso.

  • Cortafuegos

Un firewall es una barrera entre una red confiable y una red no confiable. Un firewall controla el acceso a los recursos de la red a través de un modelo de control positivo. Esto significa que el único tráfico permitido en la red está definido en la política de firewall; todo el otro tráfico es denegado.

  • Sistema operativo

Todos los sistemas operativos deben actualizarse diariamente con parches de seguridad.

  • Protocolos

El acceso a los servidores puede estar restringido solo a protocolos seguros. Los protocolos seguros más populares son el Protocolo seguro de transferencia de archivos (SFTP), el Protocolo seguro de transferencia de hipertexto (HTTPS) y la Capa de conexión segura (SSL).

  • Acceso seguro del usuario

Las sesiones de usuario deben finalizar después de un período de inactividad. Los usuarios se ven obligados a crear contraseñas o frases de contraseña seguras y se recomienda la autenticación multifactor para el inicio de sesión del usuario.

  • Encriptado de fin a fin

El cifrado de extremo a extremo se convirtió en una palabra de moda últimamente desde que muchas aplicaciones comenzaron a implementarlo. El cifrado de extremo a extremo evita que terceros accedan a los datos mientras se transfieren de un dispositivo a otro.

  • VPS (servidor privado virtual)

Es bastante común que todos los usuarios operen en un VPS, donde se pueden alojar servicios adicionales, como FTP, servidor de correo y otras aplicaciones.

  • Copias de seguridad de datos o replicación de datos

Si tiene una copia de seguridad de sus datos, es fácil restaurarlos. La copia de seguridad es parte del plan de recuperación ante desastres.
Compruebe si es posible realizar copias de seguridad de sus datos cada hora en caso de que los archivos se eliminen accidentalmente, etc.

La replicación de datos significa que sus datos se copian en otra ubicación, por lo que en caso de que una ubicación se vea afectada, otra permanecerá segura e intacta.

Si le gusta mi respuesta, presione el botón “Votar a favor” a continuación. ¡Muchas gracias! ❤️

¡No dude en hacerme preguntas y suscribirse a mis actualizaciones!

Si está buscando compartir archivos grandes y almacenamiento en la nube, ¡no dude en tomar una prueba gratuita de 14 días del servicio de intercambio de archivos Quatrix o simplemente póngase en contacto conmigo!

Albert Anthony

Marco de seguridad conceptual de computación en la nube para la industria bancaria

Resumen

La computación en la nube es una tecnología próspera que la mayoría de las organizaciones financieras están considerando adoptar como costo
estrategia efectiva para gestionar la tecnología de la información (TI). Sin embargo, las organizaciones financieras como los bancos todavía consideran que la tecnología está asociada con muchos riesgos comerciales que aún no se han resuelto. Dichos problemas incluyen riesgos de seguridad, privacidad, legales, de cumplimiento y regulatorios. Debido a la falta de profesionales y marcos de seguridad adecuados en el área, el problema se está ampliando para convertirse en un problema grave. En esta investigación, a través de la revisión sistemática de la literatura sobre computación en la nube y estándares, políticas y mejores prácticas de seguridad de la industria bancaria, junto con la entrevista como métodos de recopilación de datos, propusimos el Marco de seguridad conceptual de computación en la nube aplicable para la industria bancaria. El modelo de seguridad empresarial Sherwood Applied Business Security Architecture (SABSA) se utiliza como guía para diseñar el marco de seguridad recientemente propuesto que se centra en la vista de los arquitectos de cinco preguntas básicas de la matriz de seguridad (Qué, Quién, Por qué, Dónde, Cómo). El marco propuesto incorpora un componente principal que aborda cuestiones de seguridad, privacidad, legales y de cumplimiento y normativas.
http://cisjournal.org/journalofc… .

Autor

Meskerem Alemu
MS-Informática, (CEH, CISA)
Experto en consultoría de negocios, seguridad de TI, auditoría de TI

Massk Consulting

Para la seguridad de la computación en la nube, primero descubrirá cuál es el modelo de seguridad de su proveedor de la nube.

Por ej. AWS tiene un modelo de responsabilidad de seguridad compartida, donde afirman que AWS es responsable de la seguridad de la nube y que usted es responsable de todo lo que coloca o crea sobre esa nube.

Una vez que haya resuelto esa cosa, puede trabajar en la configuración de lo siguiente:

  • Asegurar el control de acceso, autenticación y autorización
  • Seguridad de datos en reposo y en tránsito
  • Asegurando su red virtual en la nube con Firewalls y otros dispositivos virtuales
  • Asegurar sus aplicaciones que se ejecutan en la nube

Los proveedores de la nube le brindan diversos servicios y herramientas para habilitar “Security By Design”, una arquitectura de recuperación automática, idealmente a eso debe apuntar.

Massk Consulting

Los sistemas de computación en la nube pueden contener vulnerabilidades del sistema, especialmente en redes que tienen infraestructuras complejas y múltiples plataformas de terceros. Los protocolos de actualización y parches adecuados, además de las soluciones de monitoreo, son críticos para combatir esta amenaza.

Además, y quizás el más importante, es asegurarse de tener un plan adecuado de recuperación ante desastres (DR). Ya no nos estamos refiriendo a la copia de seguridad tradicional y habitual, estamos viendo un sistema que está destinado a proteger sus datos a fondo, en momentos de bloqueo total. Otra cosa que no es menos crucial en mi opinión es una prueba de DR adecuada. Después de implementar nuestro plan de recuperación ante desastres con Cloudendure, tuvimos que asegurarnos de que todo funciona correctamente y que estamos altamente protegidos y listos para cualquier escenario.

Sandra Díaz

Puede encontrar su consulta aquí:

Problemas y desafíos de seguridad de la computación en la nube de Sandra Díaz sobre seguridad de datos en la nube

Massk Consulting

More Interesting

¿La virtualización realmente está reduciendo los costos para las empresas de TI?

¿Qué compañías ofrecen soluciones completas y combinadas de hardware y software para construir nubes?

Cómo proporcionar a mis clientes un servicio confiable en la nube

Cómo configurar un servidor Jump en azul

¿Cuáles son las similitudes y diferencias entre OpenStack y VMware?

¿Qué campo / tecnología es bueno para mí, el desarrollo web, la nube de AWS o DevOps?

Tecnología legal: ¿Existe un software colaborativo de redacción de contratos basado en la nube?

¿Puedo vender el exceso de capacidad de mi cuenta de AWS al mercado de instancias puntuales, durante las horas no operativas de la empresa?

¿Quién es un candidato legítimo para AWS de Amazon o quién podría convertirse en uno en los próximos 5 años?

¿Cuáles son los módulos de computación en la nube y cuál es el mejor?

¿Qué tan bueno es obtener una Maestría en Computación en la Nube de la Universidad de Maryland University College?

¿Por qué los proveedores de la nube cobran por el ancho de banda?

¿Cuál es la forma de manejar la sincronización de datos entre una base de datos local y el servidor en modo en línea y fuera de línea?

¿Cuáles son sus predicciones de Cloud Computing para 2014?

¿Para qué utiliza la etiqueta de instancia AWS EC2?