Post on 17-Aug-2015
La seguridad en la operación de la nube
(El CISO saliendo del banco de suplentes)
Daniel S. LeviDirector de Servicios de Datacenter@danielslevi - dlevi@perceptiongrp.comhttp://dlevi.com/BlogTechie
La nube en un slide (recapitulamos)
PersonalizableControl
Elasticidad Basado en UsoAuto ServicioRecursos
Compartidos
…y si es privada:
ITaaS: Maduración de IT end-to-endFlexibilidad y Elasticidad
IT Service Management
Aprovisionamiento de Infraestructura
Monitoreo de infraestructura y performance de
aplicaciones.
Templates de Servicio
Administración de Operaciones
Tickets (incidentes/problemas)
Orquestación de procesos
Administrador de Configuraciones
Backup + DRP
Proveedor A
On-premises
Proveedor B
Múltiples tenants
Admin. del
servicio
Modelo de Servicios
Self-serviceAutomatización
Tecnologías heterogéneas: Hipervisores, Sistemas Operativos, Dispositivos (Tablets, Smartphones), SANs, swichtes, etc.
Identificar
Proteger
DetectarResponder
Recuperar
Framework de mejora de Seguridad para infraestructura crítica
http://www.nist.gov/cyberframework/
Identificar
Proteger
DetectarResponder
Recuperar
Framework de mejora de Seguridad para infraestructura crítica EN LA NUBE
http://www.nist.gov/cyberframework/
La diferencia está en el alcanceSaaS PaaS IaaS On-Premise
Data Governance & Administración de riesgo.
Endpoints del cliente
Administración de cuentas y accesos
Infraestructura de identidades
Aplicaciones
Controles de Red
Sistema Operativo
Hosts físicos
Red física
Infraestructura física del Centro de datos.
Cliente
Proveedor
Compartido
¿Por dónde suelen comenzar los problemas?• Usualmente todo comienza en un cliente (o servidor) mal
administrado (ej. ¿cómo están implementadas las políticas de pen drives en tu empresa?)
• Entonces, el siguiente paso es utilizar credenciales legítimas para acceder a la información.
Compliance en 2014 de acuerdo a PCI
205Cantidad de días promedio que toma a una organización detector la brecha de seguridad
80% 29% 64%
80% 0%Compañías que estaban en clumpimiento al momento de una brecha de Seguridad (sobre 10 años)
De las compañías fallan en la evaluación interna (problemas de sostenimiento de controles)
De las compañías están en situación de cumplimiento a menos de un año de la validación
De las brechas de datos causada por errores humanos y problemas de sistemas
Del ciber espionaje es dado a través de sistemas internos
Fuente: PCI SSC
Del lado del proveedor…
27018 Artículo 29(Unión Europea)
Y, por supuesto, SDLC
• Privacidad de los datos• Compliance• Seguridad de la información (general)• Seguridad en el workflow de contenidos (media)• Seguridad transaccional• Remoción de datos borrados en forma segura
¡Pero son tus datos!
• Sos el dueño y tenés el control de los mismos.• Pero tu proveedor está a cargo del servicio y no puede desentenderse.
Transparencia
Seguridad inherente al modelo de servicios Privacidad desde el diseño Cumplimiento continuo
Y en la práctica, ¿qué tengo que exigirle a mi proveedor?(algunos ejemplos)
SLA (¡obvio!)
Integración con ITaaS
Cómputo
Almacenamiento
• VPN• Encripción fuerte SSL/TLS entre todos los nodos del
servicio (on-premise, proveedor 1, proveedor 2)• Cerrado por defecto. Endpoints internos vs endpoints
externos• Yo defino qué sale y qué no a Internet (en entornos
multicapa)Encripción de las máquinas virtuales.
¡Que el mecanismo sea aplicable fuera de la nube!
• Encripción• Replicación• Repositorio de certificados para las
funciones de seguridad.
Protección en los accesos
Aislación Personal Tecnología
• Mínima intervención humana (por seguridad y por necesidad –escala-)
• Automatización con base de conocimiento
• Contenido aislado de las operaciones
• Autenticación multifactor
• Cero acceso por defecto.
• Múltiples niveles de aprobación (inclusive del cliente según el caso –SaaS-).
• Accesos de menor privilegio.
• Acceso just-in-time
• Acceso sólo suficiente
• Limitado en el tiempo
Desde tu punto de vista
• La nube como una extensión del datacenter• Notación, mantenimiento, procesos.
• Accesos con scripts en forma preferente al portal• ¿Por qué no segregación de suscripciones?• La nube como parte del ejercicio del DRP• ¿Quién monitorea el gasto mensual? ¿Quién los desvíos?
Es hora de que el CISO se ponga creativo
Key: 040F:38AB:A6B2:4039:9AB2
Key: 1391:34AB:381B:C539:0028
Key: 3572:35AB:A982:4129:8DEA
Key: 789A:4594:7AB6:7BBB:6373
Key: 9B53:4B42:C4DA:6AB9:1168
Key: 8904:6ABB:B62A:7393:8BCA