Mover servicios a la nube

Navega tus respuestas
2

Nuestra compañía ha tomado la decisión de cambiar de un sistema de chat basado en Jabber alojado internamente a una solución de chat más moderna y basada en la nube. Al alojar nuestros propios servidores de chat y software presentamos el mantenimiento estándar y los problemas que suelen surgir con cualquier pila auto hospedada, pero el sistema funcionó y generó pocas quejas. Desde una perspectiva de seguridad, tener datos bajo nuestro control y sujetos a nuestros estándares y controles de seguridad parece ser una gran ventaja adicional. Quién sabe qué tipo de datos confidenciales están flotando en los historiales de chat 1: 1.

Las implicaciones de seguridad de poner nuestros servidores de chat, registros, etc. en la nube con poco control deberían aterrorizarme como profesional de la seguridad, pero cuando paso atrás y pienso que todo se está transformando y me encuentro cada vez más evaluando nuevas herramientas. que realmente prometen el tipo de seguridad que exigiría fuera de mi propia red. Esto se ha convertido en una gran parte de mi trabajo: investigar las implicaciones de seguridad desde ir a un servicio administrado.

Esta es una pregunta más filosófica para todos los que están haciendo seguridad en una empresa moderna que está tratando de proporcionar herramientas internas que a veces solo pueden alojarse en la nube o que la mejor opción es sacarlas de casa. ¿Cómo sopesa los beneficios y los riesgos de poner nuestra información potencialmente confidencial a un tercero? Tengo mis propias metodologías de evaluación que he aprendido a lo largo de los años, pero siento curiosidad por lo que está haciendo todo el mundo, ¿cómo está examinando nuestra infraestructura en la nube cuando la gente quiere mover las cosas fuera de su control?

    
pregunta jmbmxer 22.10.2014 - 03:43
fuente

3 respuestas

2

Digo que estás interpretando la nube como una instancia "basada en el inquilino" en la que estás en un servidor alojado, con cientos de otras compañías. Este no es siempre el caso. Usando AWS como ejemplo, o Softlayer, puede lanzar sus instancias y usar los mismos principios para bloquear las cosas. Por ejemplo, active una ACL de firewall SOLAMENTE permitiendo conexiones a su instancia desde las fuentes que desee.

He tenido problemas con la entrega de claves de reinos a proveedores de la nube. Una cosa que nunca hago es confiar en casi todo lo que dicen. Voy a bloquear mis instancias de la misma manera que lo haría si estuvieran físicamente presentes. El mayor problema que tengo, incluso con ese modelo, es que la gente falla, los servicios fallan, entonces, ¿estoy dispuesto a aprovechar esa oportunidad?

Piensa en lo siguiente, creas una instancia y la bloqueas hasta el grado N. Un empleado de Softlayer no autorizado toma una instantánea de su invitado de ESX y lo exporta. Nunca lo sabrías sin importar lo que pongas en tu invitado. Esto no quiere decir que alguien de Softlayer u otra compañía lo haría, pero existe esa posibilidad. Estás a merced de otra organización, y esperas que estén en la cima de su juego con respecto a la seguridad. QUE en sí mismo es ridículo teniendo en cuenta la cantidad de empresas que han sido violadas.

Entonces, para mí ... Si hubiera lanzado un servidor de chat, seguro, estaría encriptado en el cable, en tránsito, en el registro externo, con bloqueo completo como todo lo demás. ¿Me gustaría decir que mis bases de datos almacenan cosas de misión crítica? No, gracias. Eso es solo yo.

    
respondido por el munkeyoto 22.10.2014 - 05:08
fuente
2

A su primer punto, sí, puede haber un mayor riesgo. Dependiendo de lo que busque un atacante, un proveedor en la nube es un gran objetivo. Usted puede potencialmente obtener mucha información jugosa sobre objetivos o incluso materiales de autenticación. Un gran ejemplo de esto es la violación de MongoHQ, que resultó en un Buffer comprometido, ya que habían almacenado sus tokens de acceso sin cifrar.

La buena noticia es que si está transfiriendo servicios a servicios de terceros, probablemente tenga más recursos para revisar a estos proveedores. Obviamente, como todo, no hay una bala de plata, pero he encontrado un buen éxito con los proveedores de auditoría antes de aceptar pagarles. Lo importante es que este proceso sea liviano, pero como eres un profesional de la seguridad, estoy seguro de que es una de las primeras cosas en tu mente. Los procesos que implican fricción a menudo no se siguen.

He tenido mucha suerte con la creación de una pregunta de 20 o más para preguntar a los posibles proveedores de la nube. Preguntar cosas como la forma en que está estructurado su equipo de seguridad (oh, no tienes uno, gracias por jugar), cómo realizan la seguridad operativa, los estándares a los que se adhieren, etc. pueden ayudarte a elegir.

El proceso debe ser transparente y permitirle calificar cada categoría y dar una calificación general. Esto es importante para sus usuarios internos para que comprendan por qué no pueden almacenar sus datos importantes en el entorno de un proveedor con una calificación deficiente. Sus políticas de clasificación de datos pueden ser diferentes a las mías, pero básicamente no usaría un proveedor con una puntuación baja con datos confidenciales. Si están alojando un directorio de la empresa que es solo fotos e información de contacto, tal vez el riesgo no sea tan grande. Si están alojando sus registros de chat, lo que señala correctamente podría contener información confidencial, querría que estuvieran más abotonados.

    
respondido por el theterribletrivium 22.10.2014 - 06:48
fuente
0

Usted tiene la comodidad de que cuando su proveedor de nube se vea comprometido, o se bloquee, estará en compañía de muchos otros.

    
respondido por el ddyer 09.11.2014 - 03:00
fuente

Lea otras preguntas en las etiquetas

Forzar DNS para adjuntar una dirección IP incorrecta URL maliciosas * *?