Seguridad informática en la nube

Ir a: navegación, búsqueda de
Para software de seguridad organizado por nube, vea Seguridad como un servicio.

Seguridad informática en la nube o, más simplemente, seguridad en la nube es un subdominio en evolución de seguridad informática, seguridad de la redy, más ampliamente, seguridad de la información. Se refiere a un amplio conjunto de políticas, tecnologías y controles para proteger los datos, aplicaciones y la infraestructura asociada de Computación en la nube.

Contenido

  • 1 Problemas de seguridad asociados con la nube
  • 2 Controles de seguridad de la nube
  • 3 Dimensiones de la seguridad en la nube
  • 4 Seguridad y privacidad
  • 5 Seguridad de los datos
    • 5.1 Confidencialidad de los datos
    • 5.2 Control de acceso de datos
    • 5.3 Integridad de los datos
  • 6 Codificación efectiva
    • 6.1 Algoritmo de cifrado basada en atributos
      • 6.1.1 Texto cifrado-política ABE (CP-ABE)
      • 6.1.2 ABE de clave política (KP-ABE)
    • 6.2 Totalmente homomórficos cifrado (FHE)
    • 6.3 Cifrado de búsqueda (SE)
  • 7 Cumplimiento de normas
  • 8 Aspectos legales y contractuales
    • 8.1 Registros públicos
  • 9 Referencias
  • 10 Lectura adicional
  • 11 Acoplamientos externos

Problemas de seguridad asociados con la nube

Soluciones de Cloud computing y almacenamiento proporcionan a los usuarios y empresas con diferentes capacidades para almacenar y procesar sus datos en los centros de datos de terceros.[1] [2] Las organizaciones utilizan la nube en una variedad de servicio diferentes modelos (SaaS, PaaS, y IaaS) y modelos de implementación ()Privado, Público, Híbrido, y Comunidad).[3] Hay una serie de problemas de seguridad asociados a cloud computing. Estas cuestiones caen en dos amplias categorías: problemas de seguridad que enfrentan los proveedores de cloud (organizaciones que software-, plataforma-, o infraestructura como servicio través de la nube) y problemas de seguridad que enfrentan sus clientes (empresas u organizaciones que hospedar aplicaciones o para almacenan datos en la nube).[4] La responsabilidad es compartida, sin embargo. El proveedor debe asegurarse que su infraestructura es segura y que datos y aplicaciones de sus clientes están protegidos mientras que el usuario debe tomar medidas para fortalecer su aplicación y uso de contraseñas y medidas de autenticación.

Cuando una organización elige para almacenar datos o host de aplicaciones en la nube pública, pierde su capacidad de tener acceso físico a los servidores que alojan la información. Como resultado, los datos potencialmente sensibles corre el riesgo de ataques de insider. Según un reciente Cloud Security Alliance Informe, iniciado ataques son la tercera mayor amenaza en cloud computing.[5] Por lo tanto, los proveedores de servicios Cloud deben asegurarse de que fondo de fondo controles se llevan a cabo para los empleados que tienen acceso físico a los servidores en el data center. Además, los centros de datos deben controlarse con frecuencia para actividades sospechosas.

Con el fin de conservar los recursos, reducir costos y mantener la eficiencia, los proveedores de servicios de la nube a menudo almacenar más datos en el mismo servidor. Como resultado, hay una posibilidad de datos privados de un usuario pueden ser vistos por otros usuarios (posiblemente incluso competidores). Para manejar tales situaciones sensibles, los proveedores de servicios de nube deben garantizar adecuada aislamiento de datos y segregación de almacenamiento lógico.[3]

El uso extensivo de Virtualización en la aplicación cloud infraestructura trae preocupaciones de seguridad para los clientes o inquilinos de un servicio de nube pública.[6] Virtualización modifica la relación entre el sistema operativo y el hardware subyacente, ya sea computación, almacenamiento de información o incluso redes. Esto introduce una capa adicional - virtualización - que debe ser correctamente configurado, logró y asegurado.[7] Preocupaciones específicas incluyen el potencial de comprometer el software de virtualización, o "hypervisor". Mientras que estas preocupaciones son en gran parte teóricas, que existen.[8] Por ejemplo, una violación en la estación de trabajo del administrador con el software de gestión del software de virtualización puede causar el datacenter entero a bajar o a configurarse a gusto del atacante.

Controles de seguridad de la nube

Arquitectura de seguridad de la nube es eficaz sólo si las implementaciones defensivas correctas están en su lugar. Una arquitectura de seguridad de nube eficiente debe reconocer los problemas que surgen con la administración de la seguridad.[9] [10] La gestión de seguridad aborda estas cuestiones con controles de seguridad. Estos controles se ponen en práctica para salvaguardar cualquier debilidad en el sistema y reducir el efecto de un ataque. Si bien hay muchos tipos de controles detrás de una arquitectura de seguridad de nube, generalmente se encuentran en una de las siguientes categorías:[10]

Controles disuasorios
Estos controles se pretenden reducir los ataques en un sistema de nube. Mucho como una señal de advertencia en una valla o una propiedad, disuasorios controles suelen reducen el nivel de amenaza informando a atacantes potenciales que habrá consecuencias adversas para ellos si proceden. (Algunos los consideran un subconjunto de controles preventivos.)
Controles preventivos
Controles preventivos fortalecen el sistema contra incidentes, generalmente por reducir si no eliminar realmente las vulnerabilidades. Autenticación de usuarios de la nube, por ejemplo, hace menos probable que usuarios no autorizados acceder a sistemas de nube, y más probable que los usuarios de la nube se identifican positivamente.
Controles de detective
Detective control sirven para detectar y reaccionar adecuadamente a las incidencias que se producen. En caso de ataque, un detective control señalará los controles preventivos o correctivos para abordar el tema. [10] Sistema y red supervisión de la seguridad, incluyendo arreglos de detección y prevención de intrusiones, por lo general se emplean para detectar ataques sobre sistemas de nube y la infraestructura de comunicaciones soporte.
Controles correctivos
Controles correctivos reducen las consecuencias de un accidente, normalmente por limitar los daños. Entran en efecto durante o después de un incidente. Restaurar copias de seguridad de sistema con el fin de reconstruir un sistema comprometido es un ejemplo de un control correctivo.

Dimensiones de la seguridad en la nube

Generalmente se recomienda que controles de seguridad de la información ser seleccionados y ser implementados según y en proporción a los riesgos, por lo general mediante la evaluación de las amenazas, vulnerabilidades e impactos. Preocupaciones de seguridad de la nube pueden agruparse de varias maneras; Gartner llamado siete[11] mientras que la Cloud Security Alliance identificado catorce áreas de preocupación.[12][13] Corredores de seguridad aplicación de nube (CASB) se utilizan para añadir seguridad adicional a los servicios de nube.[14]

Seguridad y privacidad

Gestión de la identidad
Cada empresa tendrá su propio sistema de gestión de identidad para controlar el acceso a la información y recursos informáticos. Proveedores de Cloud o bien integran sistema de gestión de identidad del cliente en su propia infraestructura, utilizando Federación o SSO tecnología o un sistema de identificación biométrico basado, [2] o proporcionar una solución de gestión de identidad propia. [15] CloudID, [2] por ejemplo, proporciona una conservación de privacidad en la nube y la empresa identificación biométrica soluciones para este problema. Enlaza la información confidencial de los usuarios con sus datos biométricos y almacena de forma cifrada. Haciendo uso de una técnica de búsqueda cifrado, identificación biométrica se realiza en dominio cifrado para asegurarse de que el proveedor de la nube o los posibles atacantes no acceder a datos sensibles o incluso el contenido de las consultas individuales. [2]
Seguridad física
Los proveedores de servicios Cloud asegurar físicamente el ti hardware (servidores, routers, cables etc.) contra acceso no autorizado, interferencia, robo, incendios, inundaciones etc. y asegurar que suministros esenciales (como la electricidad) lo suficientemente robustas para minimizar la posibilidad de la interrupción. Esto normalmente se logra sirviendo a aplicaciones en la nube de 'clase mundial' (es decir, profesionalmente especificado, diseñado, construido, administrado, monitoreado y mantenido) los centros de datos.
Seguridad del personal
Varios problemas de seguridad información relativos a él y otros profesionales asociados a la nube de servicios por lo general se manejan a través de las actividades previas, para y post trabajar como reclutas potenciales de control de seguridad, conciencia de seguridad y entrenamiento programas, proactivo
Privacidad
Los proveedores de garantizar que todos los datos críticos (números de tarjeta de crédito, por ejemplo) son enmascarado o encriptados y que sólo los usuarios autorizados tienen acceso a datos en su totalidad. Además, las credenciales y las identidades digitales deben estar protegidas igual que los datos que el proveedor recoge o produce sobre la actividad del cliente en la nube.

Seguridad de los datos

Hay una serie de amenazas de seguridad relacionadas con servicios de datos de nube, no sólo cubriendo tradicionales amenazas a la seguridad, por ejemplo, red invasión escucha, ilegal, y ataques de denegación de servicio, pero también incluyendo amenazas informática nube específicos, por ejemplo, ataques de canal lateral, las vulnerabilidades de la virtualización y abuso de servicios en la nube. Para las amenazas de la válvula reguladora los siguientes requisitos de seguridad están en un servicio de nube de datos.[16]

Confidencialidad de los datos

Confidencialidad de los datos es la propiedad que contenido de datos no disponible o revelada a los usuarios ilegales. Outsourcing de datos se almacenan en una nube y fuera del control directo de los propietarios. Sólo los usuarios autorizados pueden acceder a los datos sensibles mientras que otros, incluyendo a CSP, no deben obtener cualquier información de los datos. Mientras tanto, los propietarios esperan aprovechar datos de nube servicios de datos, por ejemplo, búsqueda de datos, computación de datos y uso compartido de datos, sin la fuga de los contenidos de datos a CSP u otros adversarios.

Control de acceso de datos

Capacidad de control de acceso significa que un titular puede realizar la restricción selectiva de acceso a sus datos subcontratados para la nube. Los usuarios legales pueden ser autorizados por el dueño para acceder a los datos, mientras que otros no pueden acceder a ella sin permisos. Además, es deseable hacer cumplir control de acceso de grano fino a los datos externalizados, es decir, diversos usuarios se concedan privilegios de acceso diferentes en cuanto a piezas de diversos datos. Autorización de acceso de la debe ser controlada sólo por el propietario en entornos cloud no es de confianza.

Integridad de los datos

Integridad de los datos exige mantener y asegurar la exactitud e integridad de los datos. Un propietario de los datos espera siempre que pueden almacenar sus datos en una nube trustworthily y correctamente. Esto significa que los datos no deberían ilegalmente alterados, indebidamente modificados, deliberadamente borrados o fabricados maliciosamente. Si las operaciones indeseables corrupción o borrar los datos, el propietario debe ser capaz de detectar la pérdida o corrupción. Además, cuando una porción de los datos externalizados es dañada o perdida, se puede aún recuperar los datos de los usuarios.

Codificación efectiva

Algunas avanzadas cifrado de algoritmos que han sido aplicadas en la nube informática aumentar la protección de la privacidad.

Algoritmo de cifrado basada en atributos

Texto cifrado-política ABE (CP-ABE)

En la CP-ABE, los controles encryptor acceder a estrategia, la estrategia es más compleja, el diseño del sistema de clave pública se vuelve más complejo, y la seguridad del sistema se demuestra para ser más difícil. El trabajo principal de CP-ABE se centra en el diseño de la estructura de acceso.[17]

ABE de clave política (KP-ABE)

En el KP-ABE, conjuntos de atributos se utilizan para explicar los textos cifrados y las claves privadas con los textos cifrados especificados que los usuarios tendrán a la izquierda para descifrar.[18]

Totalmente homomórficos cifrado (FHE)

Completamente homomórficos cifrado permite cálculos sencillos en información encriptada y también informática suma y producto de los datos cifrados sin descifrar.[19]

Cifrado de búsqueda (SE)

El cifrado de búsqueda es una primitiva criptográfica que ofrece funciones de búsqueda segura de datos cifrados. Con el fin de mejorar la eficiencia de la búsqueda, una solución construye generalmente índices de palabras clave para realizar correctamente consultas de usuario. Los esquemas existentes SE pueden clasificar en dos categorías: SE basa en criptografía de clave secreta y SE basa en criptografía de clave pública.

Cumplimiento de normas

Numerosas leyes y reglamentos se refieren para el almacenamiento y uso de datos. En los Estados Unidos se trata de privacidad o las leyes de protección de datos, Estándar de seguridad de datos de la industria de pagos tarjeta (PCI DSS), el Health Insurance Portability and Accountability Act (HIPAA), la Ley Sarbanes-Oxley, la Ley de gestión de seguridad de información federal de 2002 (FISMA), y Ley de protección de la privacidad Online infantil de 1998, entre otros.

Leyes similares se pueden aplicar en diferentes jurisdicciones y pueden diferir muy marcado de las aplicadas en los Estados Unidos. Los usuarios de servicios de nube pueden a menudo necesitan ser conscientes de las diferencias entre las jurisdicciones legales y reglamentarias. Por ejemplo, los datos almacenados por un proveedor de servicios Cloud pueden ubicados en, digamos, Singapur y reflejados en los Estados Unidos.[20]

Muchos de estos reglamentos mandato particular controla (como controles de acceso fuerte y pistas de auditoría) y requieren la presentación de informes periódicos. Los clientes de la nube deben garantizar que sus proveedores cloud adecuadamente cumplen con estos requisitos según el caso, que les permita cumplir con sus obligaciones ya que, en gran parte, siguen siendo responsables.

Recuperación de datos y continuidad de negocio
Los proveedores de Cloud continuidad del negocio y recuperación de datos planes en lugar para asegurar que el servicio puede ser mantenido en caso de un desastre o una emergencia y que se recuperará cualquier pérdida de datos. [21] Estos planes pueden compartió con y revisados por sus clientes, coincidiendo muy bien con los arreglos de continuidad de los clientes. Ejercicios de continuidad conjunta pueden ser apropiados, simulando por ejemplo un importante fallo de la fuente de Internet o de electricidad.
Logs y auditoría
Además de producir troncos y pistas de auditoría, los proveedores de nube trabajan con sus clientes para garantizar que esos registros y seguimientos de auditoría estén bien fijados, mantenido para siempre y cuando el cliente lo requiere y son accesibles para los propósitos de la investigación forense (p. ej., eDiscovery).
Únicos requisitos
Además de los requisitos a que están sujetos los clientes, los centros de datos utilizados por los proveedores de nube también pueden ser sujeto a los requisitos de cumplimiento. Usando un proveedor de servicios de nube (CSP) puede conducir a preocupaciones de seguridad adicional alrededor de jurisdicción de datos puesto que los datos del arrendatario o cliente no pueden permanecer en el mismo sistema, o en el mismo data center o incluso dentro de la nube del proveedor mismo. [22]

Aspectos legales y contractuales

Aparte de las cuestiones de seguridad y cumplimiento de normas enumeradas anteriormente, los proveedores de cloud y sus clientes negociará términos alrededor de responsabilidad (estipulando cómo incidentes de pérdida de datos o compromiso se resolverá, por ejemplo), propiedad intelectualy término del servicio (cuando los datos y aplicaciones en última instancia se devuelven al cliente). Además, hay consideraciones para la adquisición de datos de la nube, que puede estar involucrado en el pleito.[23] Estos temas se discuten en Acuerdos de nivel de servicio (SLA).

Registros públicos

También pueden incluir cuestiones legales mantenimiento de registros requisitos en la sector público, donde muchas agencias están obligadas por ley a retener y poner a disposición registros electrónicos de manera específica. Esto puede determinarse por la legislación o ley requieran organismos a ajustarse a las normas y prácticas por un organismo de mantenimiento de registros. Organismos públicos usando el cloud computing y almacenamiento debe considerar estas preocupaciones.

Referencias

  1. ^ Gai, Keke; Saier Li (2012). "hacia la nube informática: una revisión de literatura sobre cloud computing y sus tendencias de desarrollo" (PDF):: 142-146. doi:10.1109/MINES.2012.240. 
  2. ^ a b c d Haghighat, M., Zonouz, S. & Abdel-Mottaleb, M. (2015). CloudID: Identificación biométrica confianza en la nube y la empresa. Experto en sistemas con aplicaciones, 42(21), 7905-7916.
  3. ^ a b Srinavasin, Madhan (2012). "'Taxonomías de seguridad de la computación en nube de vanguardia: una clasificación de amenazas a la seguridad en el presente entorno informático en la nube ". ACM ICACCI'. 
  4. ^ "Pantano de informática también conocido como Cloud Computing". Revista de seguridad Web. 2009-12-28. 2010-01-25. 
  5. ^ «Principales amenazas al Cloud Computing v1.0» (PDF). Cloud Security Alliance. 2014-10-20. 
  6. ^ Winkler, Vic. "cloud Computing: nube Virtual preocupaciones de seguridad". TechNet Magazine, Microsoft. 12 de febrero 2012. 
  7. ^ Hickey, Kathleen. «Nube oscura: estudio revela que los riesgos de seguridad en virtualización». Gobierno seguridad noticias. 12 de febrero 2012. 
  8. ^ Winkler, Vic (2011). Asegurar la nube: tácticas y técnicas de seguridad informática en la nube. Waltham, MA USA: Elsevier. p. 59. ISBN 978-1-59749-592-9. 
  9. ^ Gai, Keke; Meikang Qiu; Lixin Tao; Yongxin Zhu (2015). "Técnicas de detección de intrusión para móvil cloud computing en heterogéneo 5G". Seguridad y redes de comunicación. doi:10.1002/sec.1224. 
  10. ^ a b c Krutz, Ronald L. y Russell Dean vides. "Cloud Computing arquitectura de seguridad". Seguridad en la nube: Una guía completa de seguridad informática en la nube. Indianapolis, IN: Wiley, 2010. 179-80. impresión.
  11. ^ "Gartner: cloud computing siete riesgos para la seguridad". InfoWorld. 2008-07-02. 2010-01-25. 
  12. ^ "Directrices de seguridad para las áreas críticas de atención en Cloud Computing". Cloud Security Alliance. 2011. 2011-05-04. 
  13. ^ "Nube seguridad frente y al centro". Forrester Research. 2009-11-18. 2010-01-25. 
  14. ^ "Agentes de seguridad de acceso (CASBs) - Gartner la nube Glosario". 2015-10-01. 
  15. ^ "Gestión de la identidad en la nube". Semana de la información. 25 / 10 / 2013. 2013-06-05. 
  16. ^ Tang Jun, Yong Cui (2016). "Garantizar la seguridad y preservación de la privacidad para servicios de nube de datos" (PDF). ACM Computing encuestas. 
  17. ^ SU, Jin-Shu; CAO, Dan; WANG, Xiao Feng; El sol, Yi-Pin; HU, Qiao Lin. "Esquemas de cifrado basado en el atributo". Diario de Software 22 (6): 1299-1315. doi:10.3724/SP.j.1001.2011.03993. 
  18. ^ Attrapadung, Nuttapong; Herranz, Javier; Laguillaumie, Fabien; Libert, Benoît; de Panafieu, Elie; Ràfols, Carla (2012-03-09). "esquemas de cifrado basada en atributos con criptograma de tamaño constante". Informática teórica 422: 15-38. doi:10.1016/j.TCS.2011.12.004. 
  19. ^ S.Hemalatha, Raguram (2014). "Rendimiento de anillo completamente homomórficas de encriptación para la protección de datos en Cloud Computing" (PDF). Revista Internacional de investigación avanzada en informática e ingeniería de la comunicación. 
  20. ^ "Manejo riesgos legales derivados de la computación en la nube". DLA Piper. 2014-11-22. 
  21. ^ "Es tiempo para explorar los beneficios de la recuperación ante desastres basado en la nube". Dell.com. 2012-03-26. 
  22. ^ Winkler, Vic (2011). Asegurar la nube: tácticas y técnicas de seguridad informática en la nube. Waltham, MA USA: Elsevier. PP. 65, 68, 72, 81, 218, 219, 231, 240. ISBN 978-1-59749-592-9. 
  23. ^ Adams, Richard (2013). "'La aparición de almacenamiento en la nube y la necesidad de un nuevo modelo de proceso forense digital" (PDF). Universidad de Murdoch. 

Lectura adicional

  • Mowbray, Miranda (2009). "la niebla sobre el fango de Grimpen: Cloud Computing y la ley". Secuencias de comandos 6 (1): 129. 
  • Mather, Tim; Kumaraswamy, Subra; Latif, Shahed (2009). Seguridad y privacidad en la nube: una perspectiva empresarial sobre los riesgos y cumplimiento. O ' Reilly Media, Inc. ISBN 9780596802769. 
  • Winkler, Vic (2011). Asegurar la nube: tácticas y técnicas de seguridad informática en la nube. Elsevier. ISBN 9781597495929. 
  • Ottenheimer, Davi (2012). Asegurar el entorno Virtual: cómo defender la empresa contra un ataque. Wiley. ISBN 9781118155486. 
  • Haghighat, Mohammad (2015). "CloudID: identificación biométrica en la nube y la empresa digna de confianza". Sistemas expertos con aplicaciones 42 (21): 7905-7916. doi:10.1016/j.ESWA.2015.06.025. 

Acoplamientos externos

  • Cloud Security Alliance
  • Por qué la seguridad en la nube requiere varias capas
  • Cómo empresas pueden aliviar preocupaciones de seguridad de la nube
  • ¿Es computación en la nube realmente seguro?
  • Seguridad de los datos viola infografía

Otras Páginas

Obtenido de"https://en.copro.org/w/index.php?title=Cloud_computing_security&oldid=726499676"