¿Qué consideraciones de seguridad debo tener en cuenta al planificar la respuesta a incidentes en mi entorno de nube pública híbrida?

Navega tus respuestas
0

Estoy tratando de compilar una lista de áreas que se deben tener en cuenta al realizar Respuesta ante incidentes en entornos de nube pública, por ejemplo. una nube pública híbrida, donde algunos servicios se aprovisionan en un centro de datos local, mientras están en la nube.

Algunos pensamientos:

  • La extracción de RAM para realizar análisis forenses de memoria será difícil, si no imposible, en SAAS, PAAS o un servicio similar.
  • En la mayoría de los casos, el acceso físico a los dispositivos será imposible. Si tiene que obtener el disco físico que almacena material ilegal, lo más probable es que no tenga suerte.
  • El servicio que está utilizando puede ser limitado, alterado o de otra manera diferente de lo que normalmente usa. P.ej. Azure SQL como servicio, no tiene una base de datos completa como solía hacerlo. Plan para esto

Algunas inquietudes que no se ven afectadas directamente por el Manejo de incidentes, pero es posible que suceda:

  • Aislamiento vs. Multi-tenancy. De alguna manera, vas a compartir recursos. Su servicio en la nube puede hacer que otros clientes lo arruinen para sus sistemas.
  • Lo anterior también puede aplicarse a la seguridad. El compromiso de un cliente SAAS, puede llevar al compromiso de otros si el proveedor no está configurado correctamente.
  • VM Escape es una posibilidad temida. Un compromiso en el hipervisor subyacente puede comprometer a todos los hosts.
  • Si no está familiarizado con las ACL del servicio en la nube, es posible que esté exponiendo los servicios en la Internet abierta sin sospechar que, de lo contrario, pensaba que solo era interno.
  • El proveedor de la nube puede no ser tan inteligente como usted cuando se trata de limitar el acceso físico. #BadUSB
  • Sus datos pueden ser susceptibles de descubrimiento electrónico, incluso si no tuvo nada que ver con el incidente.

¿Alguien tiene alguna otra idea o inquietud sobre cómo una nube pública puede afectar nuestro manejo de incidentes? Preferiblemente podríamos tener en cuenta las 6 fases también:

  • preparación
  • Identificación / Análisis
  • Contención
  • erradicación
  • recuperación
  • Lección aprendida
pregunta Chris Dale 07.04.2015 - 21:10
fuente

1 respuesta

1

Gran parte de esto se debe a la asociación, la identificación de responsabilidades y la comunicación entre usted y el proveedor de servicios en la nube (CSP)

Preparación

Identifique quién es responsable de monitorear actividades sospechosas. ¿Capturas registros, monitorear y revisar registros y alertas? ¿El CSP?

Identificación / Análisis

Si sospecha de un incidente, ¿sabe con quién hablar en el CSP? Si el CSP sospecha de un incidente, ¿lo contactarán? Si es así, ¿es este estándar o una escalada? es decir, ¿está informado de manera oportuna o demasiado tarde?

Contención

¿Tienes las herramientas para hacer esto? ¿Sabes qué recursos estás compartiendo con otros? Como oferta de nube híbrida, ¿tiene otras instalaciones, entornos en los que pueda confiar? ¿Cómo se identifica la infección y la propagación de la misma? ¿A quién informas? ¿Tiene que decirle al CSP antes de contener el problema? ¿Deben tomar medidas en su nombre?

Erradicación

¿Tiene recursos disponibles para erradicar cuando también contiene? ¿Se puede confirmar la erradicación? ¿CSP puede confirmar o responder por lo mismo?

Recuperación

¿Tiene copias de seguridad, imágenes limpias? ¿Necesita volver a sincronizar con otros entornos? ¿Tiene mecanismos para lograr esto y verificar la integridad de sus sistemas, aplicaciones y datos una vez que se hayan completado?

Lecciones aprendidas

Si esto vuelve a suceder, ¿puede reducir toda la carga de trabajo anterior? Según cómo se gestionó la situación, ¿debería otorgarle más o menos responsabilidad al CSP? ¿Se puede mejorar la comunicación y la transparencia de las actividades? ¿Es posible cambiar aquellos problemas que usted identifica requieren un cambio o deben identificarse alternativas?

    
respondido por el AndyMac 07.04.2015 - 21:25
fuente

Lea otras preguntas en las etiquetas

Determine la seguridad de un archivo PDF [cerrado] Inicio de sesión de las cuentas de Google: ¿es lo suficientemente bueno para los servicios financieros?