Computación en la nube: futuros desafíos y soluciones de seguridad

4

Actualmente estoy escribiendo un documento sobre los futuros desafíos de seguridad de la computación en la nube y posibles soluciones a estos problemas . Después de muchas horas de leer artículos en Internet (mi biblioteca cercana no tiene libros disponibles en este momento sobre el tema) ciertamente aprendí mucho, pero también me confundí mucho más sobre lo que realmente quiero incluir en mi artículo. Dado que el tema / área de Cloud Computing es tan amplio: desde servicios ofrecidos a personas privadas frente a grandes empresas, que requieren una seguridad diferente según el uso y los datos almacenados, etc. Pero también todos los diferentes tipos que se ofrecen: SaaS, PaaS e IaaS. .. Privado vs híbrido vs nube pública.

Mi problema podría ser que no soy muy pesado en el conocimiento tecnológico, y muchos artículos parecen apuntar a posibles clientes de la nube (muy tranquilizadores sobre la seguridad del servicio) vs publicaciones escritas y probablemente dirigidas a personas que conocen un Mucho de esta tecnología y seguridad de antes. Y necesitaría algo entre eso :)

Algunos de los desafíos que he enumerado hasta ahora son:

  • Multitenancy & Arquitectura multi-instancia: varias personas / empresas almacenan sus datos o aplicaciones en el mismo lugar, manteniendo esto por separado
  • La posibilidad de que el proveedor de la nube pueda dar acceso a los datos de sus clientes a las instituciones encargadas de hacer cumplir la ley, al gobierno, etc. El desafío se basa en la confianza, la ley, el acuerdo entre el proveedor y el cliente.
  • Más datos (posiblemente muy privados / confidenciales) en tránsito: tecnología de red
  • Cifrado: para buscar de manera efectiva a través de los datos en la nube, esto requiere descifrarlo, lo que le permite al proveedor de la nube (y posibles atacantes o instancias con capacidad para afectar al proveedor) acceder a los datos
  • Gestión de identidad y acceso: algunos datos deben ser accesibles para personas externas / clientes / colaboradores, mientras que otros datos deben ser confidenciales
  • Seguridad del hipervisor
  • Gran problema general: personas / empresas que ya no están a cargo de sus propios datos, aplicaciones, etc. Acuerdos estándar, estándares, etc. para que el cliente sepa qué esperar del proveedor

Entonces, mis preguntas son:

  • Cualquier artículo / página / blog recomendado para leer sobre el tema
  • Cualquier punto importante / interesante que no haya incluido aquí que valga la pena echarle un vistazo
  • Páginas / investigación o productos disponibles que resuelven o esperan resolver en el futuro cualquiera de estos desafíos

De soluciones He encontrado hasta ahora que hay cosas como Dome9 para la administración de cortafuegos en la nube, el cifrado homomórfico ... ¡Así que cualquier consejo / palabras clave sobre esto sería increíble!

Fuentes que he consultado:

  • Cloud Security Alliance Blog
  • Blog de Bruce Schneiers
  • Wired: Cloudline Blog
  • páginas de IBM con productos
  • Blog experto de IBM Institute for Advanced Security

+++ otros artículos y sitios que comentan sobre el tema

:)

    
pregunta Scott Pack 12.12.2011 - 14:14
fuente

4 respuestas

3

Hay una amplia gama de problemas que podría incluir en un documento de seguridad en la nube. Una que he descubierto que creo que será la causa de un buen número de problemas es la forma en que la mala configuración de la seguridad se expone a Internet y, por lo tanto, puede tener una mayor probabilidad de ser explotada.

En una red "tradicional", hay una visibilidad limitada de la configuración incorrecta de la seguridad (por ejemplo, fallas de parches, controles de acceso configurados incorrectamente, credenciales predeterminadas) y, como tal, hay una menor probabilidad de que esos problemas sean explotados. Esto no quiere decir que esos problemas estén "bien" de ninguna manera, simplemente que estás algo escondido de los atacantes generales.

En cuanto a las configuraciones de la nube, en algunos casos, una sola configuración errónea puede ser catastrófica desde el punto de vista de la seguridad de los datos.

Como ejemplo, observe a las empresas que utilizan Amazon S3 como su almacenamiento principal para sus aplicaciones. Si las ACL de S3 se realizan de forma incorrecta, es posible que las personas accedan a cualquier información en ese depósito. El acceso también está controlado por una clave API estática, así como por un par de nombre de usuario / contraseña. Si alguna de estas credenciales se ve comprometida, nuevamente, todos los datos almacenados en ese sistema están potencialmente en riesgo.

    
respondido por el Rоry McCune 16.12.2011 - 14:59
fuente
2

Para mí, la computación en nube disuelve aún más el perímetro de la empresa (TI). Intentaría evaluar qué tecnologías de seguridad dependen en gran medida de la presencia de un perímetro y qué tecnologías (por ejemplo, DRM) no asumen un perímetro. Luego buscaría desarrollar un concepto de seguridad centrado en los datos donde no haya perímetro presente.

    
respondido por el J Fritsch 12.12.2011 - 23:12
fuente
1

Aquí hay algunas lecturas que creo que son útiles sobre la seguridad de la computación en la nube:

respondido por el D.W. 19.12.2011 - 05:59
fuente
1

Lea mi publicación de blog sobre virtualización aquí en Security StackExchange - ya que hay bastantes mensajes allí que probablemente sean apropiados para su trabajo. Temas principales en este post:

  • Segregación de sistemas y datos
  • Segregación de funciones
  • Licencias y gestión de activos
  • resiliencia
  • Madurez de las herramientas y conciencia de seguridad
  • Seguridad de las comunicaciones y el almacenamiento
  • Auditoría, registro y supervisión
respondido por el Rory Alsop 19.12.2011 - 14:08
fuente

Lea otras preguntas en las etiquetas