Seguridad en Cloud Computing de la mano de Cloud Security Alliance (CSA)


ABSTRACT
La Cloud Security Alliance es una organización sin fines de lucro conformada para promover el uso de mejores prácticas y garantizar la seguridad en el ámbito de la computación en la nube o Cloud Computing, proporcionando elementos de educación y a su vez ayudar a proteger todas las demás formas de la informática. Desde su conformación hasta estos días, ya cuenta con un importante número de trabajos que facilitan el entendimiento de los riesgos y la gestión de la seguridad implícita en Cloud. En este artículo intentaremos acercar los principales proyectos con sus características clave para que el lector pueda optar por uno u otro como soporte a las distintas iniciativas asociadas a Cloud Computing (enfocándonos en seguridad) que lleven adelante.

Iniciativas de la Cloud Security Alliance
Guía de Seguridad para las Áreas Críticas en Cloud Computing
Es el documento de cabecera para aquellos que quieran abarcar la mayor cantidad de aspectos de seguridad en Cloud, va por la versión 2.1 y está compuesto por 3 secciones y 13 dominios. Se encuentra en PDF y actualmente se ha puesto en producción una Wiki que será la plataforma para las versiones futuras. A continuación un extracto de los dominios y secciones:

Section I. Cloud Architecture
Domain 1: Cloud Computing Architectural Framework
Section II. Governing in the Cloud
Domain 2: Governance and Enterprise Risk Management
Domain 3: Legal and Electronic Discovery
Domain 4: Compliance and Audit
Domain 5: Information Lifecycle Management
Domain 6: Portability and Interoperability
Section III. Operating in the Cloud
Domain 7: Traditional Security, Business Continuity, and Disaster Recovery
Domain 8: Data Center Operations
Domain 9: Incident Response, Notification, and Remediation
Domain 10: Application Security
Domain 11: Encryption and Key Management
Domain 12: Identity and Access Management
Domain 13: Virtualization
A su vez, dentro de este proyecto se encuentran 2 documentos más que abordan la gestión de identiidades y la seguridad en aplicaciones, correspondientes a los dominios 10 y 12, pero con documentos independientes:

Identity and Access Management: http://www.cloudsecurityalliance.org/guidance/csaguide-dom12-v2.10.pdf
Application Security: http://www.cloudsecurityalliance.org/guidance/csaguide-dom10-v2.10.pdf


Puedes consultar la página del proyecto por más información y versiones en otros idiomas: http://www.cloudsecurityalliance.org/guidance.html



Cuestionario de Aspectos Claves en Cloud Computing (herramienta de toma de decisiones).



En este caso se trata de un proyecto que busca definir preguntas claves que deberían responderse antes de decidir ir a una solución en Cloud. El documento es en formato Microsoft Excel y está conformado por una interesante cantidad de preguntas que responden a distintos dominios de seguridad en Cloud y que aportan gran valor al momento de la toma de decisiones.




Puedes acceder al cuestionario haciendo clic en el siguiente link: http://www.cloudsecurityalliance.org/guidance/CSA-CAI-Question-Set.1.0.xls

Puedes consultar la página del proyecto por más información: http://www.cloudsecurityalliance.org/cai.html

Matriz de Controles en Cloud Computing
Este proyecto tiene como objetivo proporcionar un marco de control sobre los distintos aspectos de seguridad relacionados con Cloud para que los proveedores de soluciones y clientes puedan identificar aquellos requerimientos asociados a cada modelo (SaaS, PaaS e IaaS) y/o regulación/ estándar de la industria relacionado. Entre los que se encuentran: CobIT, ISO27K, NIST y las regulaciones PCI DSS, HIPAA, etc. El documento se encuentra disponible en su versión 1.1 y en formato Microsoft Excel.




Puedes acceder a la matriz haciendo clic en el siguiente Link: http://www.cloudsecurityalliance.org/guidance/CSA%20Cloud%20Controls%20Matrix%20(CCM)_R1.1_FINAL.xlsx

Puedes consultar la página del proyecto por más información: http://www.cloudsecurityalliance.org/cm.html


Principales Amenazas en Cloud Computing



El objetivo de este trabajo es proveer a las organizaciones de un compendio de las amenazas principales asociadas con el Cloud Computing, de forma tal de que se puedan evaluar los riesgos asociados y agregar valor para la toma de decisiones ante la necesidad de establecer una estrategia de adopción de Cloud.


El documento va por su versión 1.0 y se encuentra en formato PDF.
Dentro de las principales amenazas se incluyen:

Abuso o Mal Uso de Cloud Computing
Desarrollo Inseguro de Interfaces en Aplicaciones.
Usuarios Deshonestos
Vulnerabilidades asociadas a infraestructura compartida
Pérdida de Información / Fugas
Abuso o Usurpación de Cuentas, Servicios y/o Tráfico
Perfil de Riesgo Desconocido

Para acceder al documento haz clic en el siguiente Link:
http://www.cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf

Puedes consultar la página del proyecto por más información: http://www.cloudsecurityalliance.org/topthreats.html

Governance, Risk and Compliance Stack



El objetivo de este trabajo es proveer un conjunto de herramientas para las empresas, proveedores de Cloud,los proveedores de soluciones de seguridad, auditores de TI y otros actores clave para instrumentar y evaluar tanto las nubes públicas y privadas en relación a las mejores prácticas de la industria y requisitos críticos de cumplimiento.

El Governance, Risk and Compliance está compuesto por las siguientes iniciativas de la Cloud Security Alliance:

CloudAudit: http://cloudaudit.org/
Cloud Controls Matrix: http://www.cloudsecurityalliance.org/cm.html
Consensus Assessments Initiative Questionnaire: http://www.cloudsecurityalliance.org/cai.html

Puedes acceder al material haciendo clic en el siguiente Link: http://www.cloudsecurityalliance.org/grcstack.zip

Puedes consultar la página del proyecto por más información:
http://www.cloudsecurityalliance.org/grcstack.html

Comentarios

Publicar un comentario

siempre es bueno, leer tus comentarios

Entradas populares de este blog

El Modelado de Amenazas de Seguridad

Imagen
El Modelado de Amenazas de Seguridad es un proceso para la evaluación y documentación de los riesgos de seguridad de un sistema. El Modelado permite comprender el perfil de amenazas a las que está expuesto un sistema, mediante una evaluación a través de los ojos de sus potenciales enemigos. Con técnicas tales como la identificación de puntos de entrada, fronteras de privilegios y árboles de amenazas, se pueden identificar estrategias para mitigar las posibles amenazas del sistema. El Modelado de Amenazas también permitirá la justificación de la implementación de las características de seguridad dentro de su sistema, o las prácticas de seguridad para utilizarlo, para la protección de los activos de la empresa. En el mundo de componentes distribuidos el compartir datos sensibles a través de las redes a significado un aumento de la exposición a los atacantes hambrientos por sus datos. Necesita crear un modelo de seguridad firme para beneficiarse de la visión de .NET de una informática tot
Leer más

¿Como atacar Kerberos?

Introducción En este artículo de Kerberos, se mostraran algunos ataques contra el protocolo. En caso de necesitar refrescar los conceptos en que se basan estos ataques, se recomienda leer primero la primera parte sobre teoría de Kerberos . El post se divide en una sección por ataque: Kerberos brute-force ASREPRoast Kerberoasting Pass the key Pass the ticket Silver ticket Golden ticket Los ataques están ordenados por el nivel de privilegios necesarios para realizarlos, de manera ascendiente. De este modo, para llevar a cabo los primeros ataques solo hace falta tener conectividad con el DC (Domain Controller), que en el caso de AD (Active Directory) es también el KDC (Key Distribution Center). Sin embargo, el último de los ataques requiere que se posean privilegios de Domain Administrator o similares. Como añadido, cada ataque se mostrará desde la perspectiva de 2 escenarios comunes: Máquina Linux : Desde un ordenador externo al dominio, controlado por el audito
Leer más

Trámites a Distancia: Serie de vulnerabilidades permiten el acceso a datos personales de terceros

Imagen
INTRODUCCIÓN La información provista este documento tiene com único fin lograr evitar que nuestra información personal pueda ser accedida por usuarios malintencionados. Esta falla ha sido reportada anteriormente, sin obtener respuesta o solución alguna. El desarrollo del presente documento se ha realizado por Martín Aberastegue ( @Xyborg ) y reportado de forma responsable a la Dirección Nacional de Tramitación e Identificación a Distancia | Subsecretaría de Innovación Administrativa | Secretaría de Innovación Pública quienes procedieron a la solución del problema. INTRODUCCIÓN          0 RESUMEN          1 OBJETIVOS          1 DESARROLLO          2 ¿Es posible realizar este ataque de forma anónima?          3 ¿Dónde obtengo un CUIL válido?          4 Origen del problema          5 PRUEBAS DE CONCEPTO          7 Extracción masiva de datos personales:          7 Consulta de datos personales por CUIT:          8 Usos potenciales de esta información    
Leer más