Seguridad en Cloud Computing de la mano de Cloud Security Alliance (CSA)
ABSTRACT
La Cloud Security Alliance es una organización sin fines de lucro conformada para promover el uso de mejores prácticas y garantizar la seguridad en el ámbito de la computación en la nube o Cloud Computing, proporcionando elementos de educación y a su vez ayudar a proteger todas las demás formas de la informática. Desde su conformación hasta estos días, ya cuenta con un importante número de trabajos que facilitan el entendimiento de los riesgos y la gestión de la seguridad implícita en Cloud. En este artículo intentaremos acercar los principales proyectos con sus características clave para que el lector pueda optar por uno u otro como soporte a las distintas iniciativas asociadas a Cloud Computing (enfocándonos en seguridad) que lleven adelante.
Iniciativas de la Cloud Security Alliance
Guía de Seguridad para las Áreas Críticas en Cloud Computing
Es el documento de cabecera para aquellos que quieran abarcar la mayor cantidad de aspectos de seguridad en Cloud, va por la versión 2.1 y está compuesto por 3 secciones y 13 dominios. Se encuentra en PDF y actualmente se ha puesto en producción una Wiki que será la plataforma para las versiones futuras. A continuación un extracto de los dominios y secciones:
Section I. Cloud Architecture
Domain 1: Cloud Computing Architectural Framework
Section II. Governing in the Cloud
Domain 2: Governance and Enterprise Risk Management
Domain 3: Legal and Electronic Discovery
Domain 4: Compliance and Audit
Domain 5: Information Lifecycle Management
Domain 6: Portability and Interoperability
Section III. Operating in the Cloud
Domain 7: Traditional Security, Business Continuity, and Disaster Recovery
Domain 8: Data Center Operations
Domain 9: Incident Response, Notification, and Remediation
Domain 10: Application Security
Domain 11: Encryption and Key Management
Domain 12: Identity and Access Management
Domain 13: Virtualization
A su vez, dentro de este proyecto se encuentran 2 documentos más que abordan la gestión de identiidades y la seguridad en aplicaciones, correspondientes a los dominios 10 y 12, pero con documentos independientes:
Identity and Access Management: http://www.cloudsecurityalliance.org/guidance/csaguide-dom12-v2.10.pdf
Application Security: http://www.cloudsecurityalliance.org/guidance/csaguide-dom10-v2.10.pdf
Puedes consultar la página del proyecto por más información y versiones en otros idiomas: http://www.cloudsecurityalliance.org/guidance.html
Cuestionario de Aspectos Claves en Cloud Computing (herramienta de toma de decisiones).
En este caso se trata de un proyecto que busca definir preguntas claves que deberían responderse antes de decidir ir a una solución en Cloud. El documento es en formato Microsoft Excel y está conformado por una interesante cantidad de preguntas que responden a distintos dominios de seguridad en Cloud y que aportan gran valor al momento de la toma de decisiones.
Puedes acceder al cuestionario haciendo clic en el siguiente link: http://www.cloudsecurityalliance.org/guidance/CSA-CAI-Question-Set.1.0.xls
Puedes consultar la página del proyecto por más información: http://www.cloudsecurityalliance.org/cai.html
Matriz de Controles en Cloud Computing
Este proyecto tiene como objetivo proporcionar un marco de control sobre los distintos aspectos de seguridad relacionados con Cloud para que los proveedores de soluciones y clientes puedan identificar aquellos requerimientos asociados a cada modelo (SaaS, PaaS e IaaS) y/o regulación/ estándar de la industria relacionado. Entre los que se encuentran: CobIT, ISO27K, NIST y las regulaciones PCI DSS, HIPAA, etc. El documento se encuentra disponible en su versión 1.1 y en formato Microsoft Excel.
Puedes acceder a la matriz haciendo clic en el siguiente Link: http://www.cloudsecurityalliance.org/guidance/CSA%20Cloud%20Controls%20Matrix%20(CCM)_R1.1_FINAL.xlsx
Puedes consultar la página del proyecto por más información: http://www.cloudsecurityalliance.org/cm.html
Principales Amenazas en Cloud Computing
El objetivo de este trabajo es proveer a las organizaciones de un compendio de las amenazas principales asociadas con el Cloud Computing, de forma tal de que se puedan evaluar los riesgos asociados y agregar valor para la toma de decisiones ante la necesidad de establecer una estrategia de adopción de Cloud.
El documento va por su versión 1.0 y se encuentra en formato PDF.
Dentro de las principales amenazas se incluyen:
Abuso o Mal Uso de Cloud Computing
Desarrollo Inseguro de Interfaces en Aplicaciones.
Usuarios Deshonestos
Vulnerabilidades asociadas a infraestructura compartida
Pérdida de Información / Fugas
Abuso o Usurpación de Cuentas, Servicios y/o Tráfico
Perfil de Riesgo Desconocido
Para acceder al documento haz clic en el siguiente Link:
http://www.cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf
Puedes consultar la página del proyecto por más información: http://www.cloudsecurityalliance.org/topthreats.html
Governance, Risk and Compliance Stack
El objetivo de este trabajo es proveer un conjunto de herramientas para las empresas, proveedores de Cloud,los proveedores de soluciones de seguridad, auditores de TI y otros actores clave para instrumentar y evaluar tanto las nubes públicas y privadas en relación a las mejores prácticas de la industria y requisitos críticos de cumplimiento.
El Governance, Risk and Compliance está compuesto por las siguientes iniciativas de la Cloud Security Alliance:
CloudAudit: http://cloudaudit.org/
Cloud Controls Matrix: http://www.cloudsecurityalliance.org/cm.html
Consensus Assessments Initiative Questionnaire: http://www.cloudsecurityalliance.org/cai.html
Puedes acceder al material haciendo clic en el siguiente Link: http://www.cloudsecurityalliance.org/grcstack.zip
Puedes consultar la página del proyecto por más información:
http://www.cloudsecurityalliance.org/grcstack.html
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios