Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Seguridad en el Cloud

Presentación sobre la seguridad y best practices en los servicios Cloud
by

Ivan Hernanz

on 13 October 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Seguridad en el Cloud

Servicios Cloud Computing.
La nube es un modelo a la carta para la asignación y el consumo de computación.
La nube describe el uso de una serie de servicios, aplicaciones, información e infraestructura compuesta por reservas de recursos de computación, redes, información y almacenamiento.
Estos componentes pueden orquestarse, abastecerse, implementarse y desmantelarse rapidamente, y escalar en función de las dimensiones para ofrecer unos servicios de tipo utilidad.
Seguridad según la arquitectura entregada.
Marcos de actuación de la seguridad.
Gobierno y Gestión de Riesgo de la empresa.
Cuestiones Legales y eDiscovery.
Gestión del ciclo de vida de la información.
Continuidad de negocio y recuperación de catastrofes.
Respuesta ante incidencias.
Seguridad de las aplicaciones.
Cifrado y gestión de claves.
Gestión de acceso e identidades.
Virtualización.
Best Practices.
Contratos de Nivel de Servicio.

Auditorías tradicionales (No disponibles).

La estrategia de Gestión de riesgo debe incluir la identificación y valoración de activos cloud.

Incluir en "inventario activo" estos servicios.

El servicio y no solo el Distribuidor, debería ser objeto de la evaluación de riesgos.

La evaluación del proveedor de servicios debería centrarse en la gestión de incidencias, politicas y procedimientos de continuidad de negocio.
Best Practices.
Dimensión Funcional, Jurisdiccional y Contractual
Clientes y Proveedores deben comprender mutauamente las funciones y responsabilidades de cada uno con relación con el eDiscovery(investigación electronica).

Preservación de datos como autenticos y fiables.

Los datos en la nube deben de recibir la misma tutela que si estuvieran en manos del propieatario.

Conocer donde se hospedara la nube.

Cuestiones de seguridad, como sospechas de violación de los datos, tratarse de manera contractual.

Proveedor y cliente deberián disponer de un proceso unificado para responder a licitaciones.

Asegurar bajo contrato los problemas relacionados a la recuperación de datos del cliente una vez finalizada su relación contractual.

ISO 27001/27002.
Best Practices.
Retos:
Seguridad de los datos.
Geo-localización de los datos.
Persistencia de datos.
Mezcla de datos con otros clientes.
Planes de Backup.
Agregación de datos e inferencia.
Segun las fases del ciclo de vida:

Crear:
Identificar las capacidades de etiquetado y clasificación.
Tagging.

Almacenar:
Identificar los controles de acceso disponibles dentro del sistema de archivos, DBs, etc.
Cifrado de la información (en transporte, archivos, etc).

Utilizar y Compartir:
Seguimiento a traves de logs.
Logica de aplicaciones.
Controles de nivel de objetos en DBs.
Controles de acceso.
Cifrado.

Archivar:
Cifrado y logs de seguimiento.

Destruir:
Crypto-Shredding.
Aseguraminto del borrado.
Best Practices.
Realizar inspecciones de las instalaciones.

Asegurarse que los RTOs se comprenden e incluyen de manera contractual.

Solicitar el programa de Continuidad de negocio del Proveedor.
Best Practices.
Seguridad en el ciclo de vida. (Cliente).

Iaas: Imagenes de la VM con las politicas del cliente.

DMZ sobre las VMs y servicios abiertos.

Gestionar y proteger "claves".

Control de ficheros con información sensible y de debug.

Aplicación de métricas y scoring de vulnerabilidades.Parches.

Clientes deberian obtener permiso de manerqa contractual para llevar a cabo evaluaciones de seguridad.
Best Practices.
Cifrado para la confidencialidad e integridad:
Cifrado de datos en transito.

Cifrado de datos estadisticos.

Cifrado de datos en soporte de backup.

Gestión de claves:
Almacenes de claves seguros.

Control de acceso a los almacenes de claves.

Backup de los almacenes.

General:
Separar la gestión de claves del proveedor de la del cliente.

Estipular cifrado en el contrato cubriendo los standares del sector o gobierno.

Comprender los procesos del proveedor para el ciclo de vida de gestión de claves.

Claves independientes por cliente pòr parte del proveedor.
Principales funciones.
Abastecimiento/Desabastecimiento de identidades.

Autenticación.

Federación.

Gestión de perfiles.

Soporte para el cumplimiento normativo.
Best Practices.
Autenticación para empresa.
Autenticación para usuarios individuales.
Delegación de autentificación en SaaS.
Para personal informático: VPN a la Federación o red corporativa
Dar varias posibilidades de Autenticación Fuerte: Contraseñas de un solo uso, Certificados digitales y Kerberos.
Bajo Federación que el proveedor cumpla con al menos uno de los standares (SMAL y WS-Federation).
Revisar la adecuación del modelo de control de acceso.
Evaluar el cumplimiento de las políticas de privacidad.
Mecanismo de transmisión de políticas.
Para IaaS, las imágenes de terceros utilizadas deben ser autenticadas.
Best Practices.
Identificar tipo de virtualización, cuando corresponda.

Sistemas de seguridad de terceros, por capas.

Controles de seguridad en las interfaces administrativas.

Acceso y control administrativo de los sistemas operativos virtualizados.

Segregar VMs, por uso: Escritorio vs Servidor, por etapa de producción.

Mecanismo de generación de informes de aislamiento.
CLOUD SECURITY ALLIANCE
CADEX TECHNOLOGY.
Gracias aL USO de la familia de productos vCloud de VMware, contamos con una tecnología de seguridad única, permitiéndonos una completa gestión a nivel de red (dicho de otra forma, distintas redes para la comunicación entre nodos con políticas de seguridad independientes).
Estas redes virtuales están aisladas y cuentan con la misma privacidad que se puede alcanzar en una solución tradicional.

Nuestros servicios cloud se encuentran sobre una Arquitectura:
Granjas de servidores completamente redundados.
Red: Redundancia de cores switchs por interfaces 10 Gb.
Almacenamiento fiber chanel.
Accesos internet redundados.
Sistema de Virtualización vSphere (HA + DRS)
vCloud VMware.

Servicios incluidos:
SLAs con seguridad incluida.
Contrato incluyendo niveles de servicio, garantía de disponibilidad, tiempos de RTOs, tiempos de resolución.
ISO 27001.
Gestión de incidencias 24x7.
Monitorización HW/SW/Virtualización.
Mantenimiento correctivo y preventivo.

CLOUD MOVILIDAD y SEGURIDAD
SmartPhones, Tablets, portatiles ..
¿Nuevos retos?
¿Se ha unido todo?
Dispositivos personales conectados a redes corporativas
Dependencia mayor a la movilidad ...
BYOD ...
Accesos no solo al mail, sino aplicaciones corporativas tipo ERPs, CRMs, etc ...
¿He de gestionar dispositivos no corporativos?, Dicen desde TI ..
Y la información corporativa, ¿que pasa si se va de la empresa?, roban el dispositivo ...
Jailbreakeado !!, Dios Que hago !!!
HACIA DONDE VAMOS:
Se acabo la red perimetral ..
Separación de lo personal Y lo corporativo ...
Ya no existen las separaciones ...
Uso masivo de Servicios Cloud personales y corporativos ...
Soluciones a la movilidad desde Cadex
GESTION
MAM
VDI
MDM
Aplicaciónes, Servicios y seguridad
¿Demasiado intrusivo para BYOD?
¿Necesito una APP Store corporativa?
Uhmmm, parece una gran solución ...
NAC
Solución de control de Dispositivos ..
Full transcript