¿Cuáles son los problemas de seguridad que son específicos de la computación en la nube?

Hay una cantidad infinita de problemas de seguridad con la nube. Para ver una lista de ropa desagradable, echa un vistazo a ENISA 's documentos.

Un pequeño subconjunto de problemas de seguridad (no necesariamente nuevos per se en la nube, pero definitivamente más difíciles):

• control de acceso
• Privacidad y confidencialidad
• Disponibilidad (¿qué tan fuerte es su SLA, en realidad? ¿Su proveedor indemniza por cualquier daño resultante de estar fuera de línea?)
• conexión con sistemas internos: a menudo tendrá que abrir agujeros en su firewall para permitir que otros protocolos lleguen a sus sistemas internos sensibles.
• Cumplimiento: hay algunas regulaciones, en particular PCI-DSS, que actualmente no puede cumplir, si está utilizando sistemas basados en la nube. Tenga en cuenta que es posible que no rechacen explícitamente los sistemas en la nube, pero es simplemente imposible cumplir con los requisitos mientras utiliza los sistemas en la nube como lo son hoy .
• Hay ciertas leyes, en algunos países, que te prohíben mover datos privados de sus ciudadanos fuera de su país. Hay otros países en los que no quiere mover sus datos, ya que no desea estar sujeto a sus leyes ... Cuando se está nublando , realmente no sabe dónde están ubicados sus sistemas y datos, así que, ¿cómo puede garantizar a sus usuarios cualquier cosa y su ubicación? De hecho, ¿cómo sabe qué leyes debe cumplir en qué momento? ¿Y cómo sabes que ya no eres ilegal?

Desde el pdf de ENISA que @atdre ya ha vinculado en su respuesta.

PÉRDIDA DE GOBIERNO: al utilizar infraestructuras en la nube, el cliente cede necesariamente el control al Proveedor de la nube (CP) en una serie de problemas que pueden afectar la seguridad. Al mismo tiempo, es posible que los SLA no ofrezcan el compromiso de proporcionar dichos servicios por parte del proveedor de la nube, lo que deja un vacío en las defensas de seguridad.
LOCK-IN: actualmente hay poco Ofrece herramientas, procedimientos, formatos de datos estándar o interfaces de servicios que podrían garantizar la portabilidad de datos, aplicaciones y servicios. Esto puede dificultar la migración del cliente de un proveedor a otro o la migración de datos y servicios a un entorno de TI interno. Esto introduce una dependencia en un CP particular para la provisión de servicios, especialmente si la portabilidad de datos, como el aspecto más fundamental, no está habilitada.
FALTA DE AISLAMIENTO: los recursos compartidos y de múltiples tenencias son características definitorias de cloud computing. Esta categoría de riesgo cubre la falla de los mecanismos que separan el almacenamiento, la memoria, el enrutamiento e incluso la reputación entre diferentes inquilinos (por ejemplo, los llamados ataques de salto de invitado). Sin embargo, debe considerarse que los ataques a los mecanismos de aislamiento de recursos (por ejemplo, contra los hipervisores) son aún menos numerosos y mucho más difíciles de poner en práctica para un atacante en comparación con los ataques a sistemas operativos tradicionales.
RIESGOS DE CUMPLIMIENTO: la inversión en el logro de la certificación (por ejemplo, los estándares de la industria o los requisitos reglamentarios) puede ponerse en riesgo por la migración a la nube:
si el CP no puede proporcionar evidencia de su propio cumplimiento con los requisitos relevantes
si el CP no permite la auditoría por parte del cliente en la nube (CC).
En ciertos casos, también significa que usar una infraestructura de nube pública implica que no se pueden lograr ciertos tipos de cumplimiento (p. Ej., PCI DSS (4)).
COMPROMISO DE INTERFAZ DE ADMINISTRACIÓN: interfaces de administración de clientes de se puede acceder a un proveedor de nube pública a través de Internet y mediar el acceso a conjuntos de recursos más grandes (que los proveedores de alojamiento tradicionales) y, por lo tanto, representan un mayor riesgo, especialmente cuando se combinan con el acceso remoto y las vulnerabilidades del navegador web.
PROTECCIÓN DE DATOS: la computación en la nube plantea varios riesgos de protección de datos para los clientes y proveedores de la nube. En algunos casos, puede ser difícil para el cliente de la nube (en su función de controlador de datos) verificar de manera efectiva las prácticas de manejo de datos del proveedor de la nube y, por lo tanto, asegurarse de que los datos se manejen de manera legal. Este problema se agrava en casos de transferencias múltiples de datos, por ejemplo, entre nubes federadas. Por otro lado, algunos proveedores de la nube sí proporcionan información sobre sus prácticas de manejo de datos. Algunos también ofrecen resúmenes de certificación sobre sus actividades de procesamiento de datos y seguridad de datos y los controles de datos que tienen implementados, por ejemplo, la certificación SAS70.
ELIMINACIÓN INSEGURA O INJUSTA DE DATOS: cuando se solicita eliminar una nube se hace un recurso, como con la mayoría de los sistemas operativos, esto puede no resultar en un borrado verdadero de los datos. La eliminación adecuada o puntual de los datos también puede ser imposible (o no deseable desde la perspectiva del cliente), ya sea porque se almacenan copias adicionales de los datos pero no están disponibles, o porque el disco que se va a destruir también almacena datos de otros clientes. En el caso de los arrendamientos múltiples y la reutilización de los recursos de hardware, esto representa un mayor riesgo para el cliente que para el hardware dedicado.
MALICIOUS INSIDER: aunque generalmente es menos probable, el daño que puede causar por parte de los maliciosos es a menudo mucho mayor. Las arquitecturas en la nube requieren ciertos roles que son extremadamente de alto riesgo. Los ejemplos incluyen administradores de sistemas CP y proveedores de servicios de seguridad administrados.

Solo había una publicación de blog de Lenny Zeltser sobre este tema: Top 10 Cloud Security Riesgos

La mayoría de sus puntos hablan sobre el problema de que ya no tiene control total sobre la infraestructura y es posible que ni siquiera sepa cómo funciona internamente. Uno tampoco sabe quién más está en el mismo sistema, y una vulnerabilidad en su sistema podría filtrarse a sus datos.

Otro problema es que debe confiar en un extraño para proteger sus datos. Una configuración incorrecta y todos sus datos podrían filtrarse.

Hablando de manera práctica, he visto compañías que mueven sitios web a la nube sin una revisión de código. El código fue escrito para una sola máquina que ejecuta ASP.NET.

La nube en su mayoría ofrece capacidades de ampliación. Si el sitio no se hizo para escalar, entonces surgen problemas de concurrencia con la integridad de los datos o la seguridad de la sesión. Para resolver estos problemas, los desarrolladores o bien eliminarán el código no concurrente (a veces lo harán menos seguro) o volverán a escribir el código necesario para admitir implementaciones concurrentes sin sesión.

Puedo recomendar encarecidamente esta encuesta de problemas de seguridad con el alojamiento basado en la nube: Autoservicio frente a Cloud Hosting: Contabilidad por el impacto en la seguridad del alojamiento en la nube .

Para garantizar que los datos estén seguros y que se mantenga la privacidad de los datos, los proveedores de computación en la nube atienden las siguientes áreas:

Protección de datos : para ser considerados protegidos, los datos de un cliente se deben separar adecuadamente de los de otro; debe almacenarse de forma segura cuando está "en reposo" y debe poder moverse de forma segura de un lugar a otro. Los proveedores de la nube tienen sistemas establecidos para evitar fugas de datos o el acceso de terceros. La separación adecuada de funciones debe garantizar que la auditoría y / o el monitoreo no puedan ser anulados, incluso por usuarios privilegiados en el proveedor de la nube.

Gestión de identidad : cada empresa tendrá su propio sistema de gestión de identidad para controlar el acceso a la información y los recursos informáticos. Los proveedores de la nube integran el sistema de administración de identidades del cliente en su propia infraestructura, mediante el uso de tecnología de federación o SSO, o brindan una solución de administración de identidades propia.

Seguridad física y personal : los proveedores se aseguran de que las máquinas físicas estén adecuadamente seguras y que el acceso a estas máquinas, así como todos los datos relevantes del cliente, no solo esté restringido, sino que el acceso esté documentado.

Disponibilidad : los proveedores de la nube aseguran a los clientes que tendrán acceso regular y predecible a sus datos y aplicaciones.

Seguridad de la aplicación : los proveedores de la nube se aseguran de que las aplicaciones disponibles como un servicio a través de la nube sean seguras al implementar procedimientos de prueba y aceptación para el código de la aplicación subcontratada o empaquetada. También requiere que las medidas de seguridad de la aplicación (firewalls a nivel de la aplicación) estén implementadas en el entorno de producción.

Privacidad : finalmente, los proveedores se aseguran de que todos los datos críticos (por ejemplo, números de tarjetas de crédito) estén enmascarados y que solo los usuarios autorizados tengan acceso a los datos en su totalidad. Además, las identidades y credenciales digitales deben protegerse, al igual que cualquier información que el proveedor recopile o produzca sobre la actividad del cliente en la nube.

Para obtener más información sobre la computación en la nube en India, visite Enlace eliminado por mod

Además de los buenos puntos de AviD, los siguientes también son muy importantes:

• Disponibilidad: sí, AviD lo mencionó, pero no puedo enfatizar lo suficiente lo importante que es que entiendas tu dependencia de la nube. A menudo, los proveedores de la nube mencionan la invulnerabilidad de la nube, pero en realidad un ataque de denegación de servicio sigue siendo válido si no puede acceder a su aplicación de manera oportuna.
• Cumplimiento normativo: en dos frentes: ¿dónde están sus datos? ¿Puede garantizar que permanece en la jurisdicción correcta y, para el descubrimiento electrónico, puede garantizar que ha recuperado todos los elementos de datos relacionados con un individuo / evento?

La nube hace que ambos sean más difíciles de confirmar.

La virtualización, que es la raíz de la tecnología de computación en la nube, elimina el llamado término "perímetro", que era como una guía en los centros de datos (centros de datos) de DC habituales donde comenzar la defensa y qué hacer. Como la mayoría de los datos en la nube se transfieren entre servidores físicos y máquinas virtuales, existe un menor control de dicho sistema, lo que reduce las posibilidades de segmentación de la red y el uso de la protección de tipo hardware. Dicha nueva virtualización de DC requiere una nueva política de acceso y software de administración de datos.

Se creó la organización sin fines de lucro Cloud Security Alliance (CSA) que apunta a la seguridad en la nube: enlace . Allí puede encontrar una guía, las mejores prácticas de cómo lidiar con la computación en la nube.

Los entornos multiusuario son vulnerables a Ataques de cookies de dominio relacionados

• No hay ninguna resolución práctica por el momento

• El RFC TLS-OBC (descrito en el sitio fácil de usar enlace ) no se ha adoptado en general