[antonio fernández claudio chifa] · [to cloud or not to cloud: automatizando auditorias de...

#CyberCamp17

[To cloud or not to cloud: Automatizando

auditorias de seguridad y hardening en

sistemas cloud]

[Antonio Fernández –

Claudio Chifa]

2

[To cloud or not to cloud: Automatizando auditorias de seguridad y hardening en sistemas cloud]

2

"Pienso que hay mercado en el mundo como para

unos cinco ordenadores"

-- Thomas J. Watson, Presidente de la Junta

Directiva de IBM, sobre 1948

"Podría parecer que hemos llegado a los límites

alcanzables por la tecnología informática,

aunque uno debe ser prudente con estas

afirmaciones, pues tienden a sonar bastante

tontas en cinco años"

-- John Von Neumann, sobre 1949

https://commons.wikimedia.org


3

It tradicional

Cloud computing

Auditorias de seguridad y hardening en

sistemas cloud


4

El gran panorama

4

Desktop

Server

Mobile

Laptop

Network

Database

Other

Cloud Computing


5

It (TIC) tradicional

Diseñar, comprar y montar

infraestructura

Pagar por activos mas su

administracion

indistintamente del uso

Red interna o cliente

especifico

Un tenant, dificil de escalar

Cloud computing

Contratar servicios

Pago por uso

Acesible desde cualquier

lugar

Multi-tenant, fácilmente

escalable


6

“Cloud Computing es un modelo para habilitar acceso

conveniente por demanda a un conjunto compartido de

recursos computacionales configurables, por ejemplo,

redes, servidores, almacenamiento, aplicaciones y

servicios, que pueden ser rápidamente provisionados y

liberados con un esfuerzo mínimo de administración o de

interacción con el proveedor de servicios. Este modelo de

nube promueve la disponibilidad y está compuesto por

cinco características esenciales, tres modelos de

servicio y cuatro modelos de despliegue.”


7

Auto-servicio por demanda:

Un consumidor puede aprovisionar de manera unilateral capacidades

de cómputo, tales como tiempo de servidor y almacenamiento en red,

en la medida en que las requiera sin necesidad de interacción humana

por parte del proveedor del servicio.

Rápida elasticidad:

Las capacidades pueden ser rápidamente y elásticamente

aprovisionadas, en algunos casos automáticamente, para escalar

hacia fuera rápidamente y también rápidamente liberadas para escalar

hacia dentro también de manera veloz.

Dentro de las características

esenciales tenemos:


8

Servicio medido:

Los sistemas en la nube controlan automáticamente y optimizan el uso

de recursos mediante una capacidad de medición a algún nivel de

abstracción adecuado al tipo de servicio.

Acceso amplio desde la red:

Las capacidades están disponibles sobre la red y se acceden a través

de mecanismos estándares que promueven el uso desde plataformas

clientes heterogéneas, clientes pesados o livianos, como el PC, un

teléfono móvil o un navegador Internet.


9

Conjunto de recursos:

Los recursos computacionales del proveedor se habilitan

para servir a múltiples consumidores mediante un modelo

“multi-tenant”, con varios recursos tanto físicos como

virtuales asignados y reasignados de acuerdo con los

requerimientos de los consumidores. Existe un sentido de

independencia de ubicación en cuanto a que el consumidor

no posee control o conocimiento sobre la ubicación exacta

de los recursos que se le están proveyendo aunque puede

estar en capacidad de especificar ubicación a un nivel de

abstracción alto; por ejemplo, país, estado o centro de

datos.


10

Dentro de los tres modelos

de servicio tenemos:

SaaS – Software as a Service

Esta es una capacidad que se refiere a que el consumidor

utiliza las aplicaciones del proveedor en una infraestructura

de nube.

El consumidor no administra ni controla la infraestructura

que soporta estos servicios, pero si algunos parámetros de

configuración como tamaño del Inbox, por mencionar

alguno.


11

PaaS – Platform as a Service

Esta capacidad le permite al consumidor desplegar en

la infraestructura del proveedor aplicaciones creadas

por el primero, incluso adquiridas, usando lenguajes

de programación y herramientas del proveedor.


12

IaaS – Infrastructure as a Service

Esta capacidad permite al consumidor aprovisionar

recursos computacionales como almacenamiento,

procesamiento, redes y otros elementos

fundamentales en donde el consumidor puede

desplegar y correr software arbitrario, el cual puede

incluir sistemas operacionales y aplicaciones


13

Por último, los modelos de

despliegue son:

Nube privada:

La infraestructura de esta

nube es operada

únicamente para una

organización. Puede ser

administrada por la

organización o por un

tercero y puede existir

dentro de la misma, “on

premises” o fuera de la

misma, “off premises”.


14

Nube comunitaria:

La infraestructura de esta nube es compartida por varias

organizaciones y apoya las preocupaciones de una

comunidad particular sobre un tema específico, por ejemplo,

seguridad, investigación, políticas o cumplimientos. Puede

ser administrada por la organización o por un tercero y

puede existir dentro de la misma, “on premises” o fuera de

la misma, “off premises”.


15

Nube pública:

La infraestructura de esta nube está disponible

para el público en general o para un gran

grupo de industria y dicha infraestructura la

provee una organización que vende servicios

en la nube.


16

Nube gubernamental:

La infraestructura de esta nube está disponible

exclusivamente para entidades gubernamentales.


17


18

Nube híbrida:

Es la composición de dos o más nubes, por ejemplo

privada y pública, que permanecen como entidades únicas

pero que coexisten por tener tecnología que permite

compartir datos o aplicaciones entre las mismas. Piensen

en un escenario en donde la aplicación se desarrolla y se

prueba en una nube privada y luego se despliega a una

nube pública.

18


19

Las anteriores definiciones se

tradujeron libremente desde el

documento NIST Definition of

Cloud Computing disponible en la

página Web Cloud Computing del

NIST, con algún añadido de última

hora.

https://blogs.technet.microsoft.com/guillermotaylor/2010/08/25/definicin-de-cloud-computing-por-el-nist/

Any mention of commercial products within NIST web pages is for information

only; it does not imply recommendation or endorsement by NIST


2020

Plataformas cloud


21

El Cloud Computing y

la democratización del

IT

Pago por uso,

optimización de coste,

auto-aprovisionamiento

Infinidad de productos “Free”


22

Capacidad vs demanda


23

Búsqueda google

210,000,000

11,500,000


24

Búsqueda Google549,000

3,530,000


25


26

“un click”Programar, encender, apagar y escalar por horario, fecha, carga

de trabajo o según necesidad con un “click”


27

“Pagar lo justo y despreocuparse de infraestructura física”

1. Porque el Cloud nos ayuda a ahorrar

2. Cambiar el presupuesto de hardware a operaciones


28

Tradicional VS Cloud


2929

Vilfredo Pareto


30

De inversión fija a

gasto recurrente

Imágenes de https://pxhere.com


31

Pago por uso

Imágenes de https://pxhere.com


32


33

SaaS, PaaS y IaaS

Capas visibles de

cloud segun tipo

de usuario y la

dependencia entre

las mismas


34

SaaS

Software-as-a-Service


35

PaaSPlatform-as-a-Service


36


37

Infraestructure-as-a-Service

37

IaaS


38

Cómputo Hipervisores


39

Almacenamiento “Storage”


40

Red SDN Redes definidas por software


4141

Balanceo de carga


424242

Base de datos como servicio


4343

To Cloud or not to Cloud


4444

Consideraciones técnicas antes de movernos al cloud

Si migramos nuestra

aplicación empresarial a

la web, y externalizamos

nuestras ventas y

desarrollo de productos...

Toda la empresa

puede ser

administrada por un

mono.

Además de un segundo

mono para ver las

diapositivas de

powerpoint del primer

mono.


454545

Pérdida de gobernanza.

Se van a ceder al proveedor una serie de cuestiones que pueden

influir en la seguridad. Si además no existen acuerdos específicos,

pueden existir carencias en materia de seguridad

1

RiesgosEspecíficos del cloud

El problema de vincularse al servicio de un proveedor puede hacer

que si no tenemos metódicamente planeada la opción de migrar el

servicio a otro proveedor, dependamos en exceso de un tercero y

la labor resulte demasiado compleja

2

La falta de aislamiento al utilizar recursos compartidos. Aquí se

incluye el atacar directamente a aquellas infraestructuras

compartidas, como memoria, almacenamiento o enrutamiento.

El ataque contra hipervisores irá progresivamente en aumento.

3

Cumplimiento.

Dependemos de que el proveedor del servicio pueda demostrar el

cumplimiento de los requisitos necesarios, al negarse por ejemplo

a hacer auditorias.

4


4646

Cualquier interfaz de gestión accesible desde internet puede hacer

vulnerable nuestro cloud y más si le sumamos las posibles

vulnerabilidades que puedan tener los navegadores que se utilicen5

RiesgosEspecíficos del cloud

Hacer que la gestión de datos se adapten conforme a las leyes

necesarias. Hay proveedores que si proporcionan información al

respecto de sus prácticas de gestión de datos, pero no todos lo

hacen

6

Asegurarse que los datos que deban destruirse, realmente se

destruyen. Esto es especialmente importante, ya que una de las

cosas que no podemos controlar directamente es el número de

copias que existen realmente de nuestros datos

7

Responsables del mantenimiento, administradores y técnicos. Son

un riesgo porque los daños que pueden causar son mucho más

perjudiciales.8


4747

Larry Ellison, CTO de Oracle

“Estamos perdiendo la ciberguerra, no

podemos luchar con humanos contra

máquinas y es imposible securizar un

centro de datos extremadamente

complejo solo con personas"

Bastionado de sistemas cloud


4848

Bastionado de sistemas cloud

Multitenancy (que se ejecute en varios

clientes al mismo tiempo)

Desde el Hipervisor: bastionado,

ataques red, arranque, cifrado

Buenas prácticas en gestión de datos:

mezcla, segregación, destrucción

Optimizar rendimiento

Identificar usos y definir políticas de

seguridad

Utilizar entornos separados para

pruebas, desarrollo, producción…

Hacer auditorias de red y datos

Verificación

Cumplimiento legal

Cifrado y gestión de claves

Tener un sistema de respuesta ante incidentes

Gestión de identidades

Seguridad en las aplicaciones

Seguridad tradicional: Física, continuidad

negocio

Servicios: SIEM(Security Information and

Event Management ), IDS(Intrusion Detection

System)/IPS(Intrusion Prevention System),

Gestión de identidades, DLP(Data Loss

Prevention), Seguridad Web, Cifrado,

Continuidad


4949

Herramientas


5050

Agradecimientos y créditos e información legal

La mayoría de imágenes de esta presentación

se han obtenido de plataformas como pixabay,

Pxhere o commons Wikimedia, intentando respetar

siempre los derechos de uso de las mismas

Todas las marcas mencionadas son propiedad de sus respectivos dueños.

https://www.linkedin.com/in/antonio-fernandez-es/

https://www.linkedin.com/in/claudiochn/

Agradecimientos a Damián Fernández

por sus desarrollos, sin los cuales esto

no hubiera sido lo mismo y al equipo

de SCASSI en general por su apoyo

https://www.linkedin.com/in/antonio-fernandez-es/

Gracias por su atención

Hora de las prácticas

[antonio fernández claudio chifa] · [to cloud or not to cloud: automatizando auditorias de...

Documents