stringtranslate.com

Seguridad de la computación en la nube

La seguridad de la computación en la nube o, más simplemente, seguridad en la nube , se refiere a un amplio conjunto de políticas, tecnologías, aplicaciones y controles utilizados para proteger la propiedad intelectual virtualizada, los datos, las aplicaciones, los servicios y la infraestructura asociada de la computación en la nube . Es un subdominio de la seguridad informática , la seguridad de la red y, de manera más amplia, la seguridad de la información .

Problemas de seguridad asociados a la nube

La computación y el almacenamiento en la nube brindan a los usuarios la capacidad de almacenar y procesar sus datos en centros de datos de terceros . [1] Las organizaciones utilizan la nube en una variedad de modelos de servicio diferentes (con acrónimos como SaaS , PaaS e IaaS ) y modelos de implementación ( privado , público , híbrido y comunitario ). [2]

Las preocupaciones de seguridad asociadas con la computación en la nube se suelen clasificar de dos maneras: como problemas de seguridad que enfrentan los proveedores de la nube (organizaciones que proporcionan software , plataforma o infraestructura como servicio a través de la nube) y problemas de seguridad que enfrentan sus clientes (empresas u organizaciones que alojan aplicaciones o almacenan datos en la nube). [3] Sin embargo, la responsabilidad es compartida y a menudo se detalla en el "modelo de responsabilidad de seguridad compartida" o "modelo de responsabilidad compartida" de un proveedor de la nube. [4] [5] [6] El proveedor debe garantizar que su infraestructura sea segura y que los datos y aplicaciones de sus clientes estén protegidos, mientras que el usuario debe tomar medidas para fortalecer su aplicación y utilizar contraseñas y medidas de autenticación seguras. [5] [6]

Cuando una organización decide almacenar datos o alojar aplicaciones en la nube pública, pierde su capacidad de tener acceso físico a los servidores que alojan su información. Como resultado, los datos potencialmente confidenciales están en riesgo de sufrir ataques internos. Según un informe de la Cloud Security Alliance de 2010 , los ataques internos son una de las siete principales amenazas en la computación en la nube. [7] Por lo tanto, los proveedores de servicios en la nube deben asegurarse de que se realicen verificaciones de antecedentes exhaustivas de los empleados que tienen acceso físico a los servidores del centro de datos. Además, se recomienda que los centros de datos se controlen con frecuencia para detectar actividades sospechosas.

Para conservar recursos, reducir costos y mantener la eficiencia, los proveedores de servicios en la nube suelen almacenar los datos de más de un cliente en el mismo servidor. Como resultado, existe la posibilidad de que otros usuarios (posiblemente incluso competidores) puedan ver los datos privados de un usuario. Para manejar situaciones tan sensibles, los proveedores de servicios en la nube deben garantizar un aislamiento adecuado de los datos y una segregación lógica del almacenamiento. [2]

El uso extensivo de la virtualización en la implementación de infraestructuras en la nube genera preocupaciones de seguridad únicas para los clientes o inquilinos de un servicio de nube pública. [8] La virtualización altera la relación entre el sistema operativo y el hardware subyacente, ya sea computación, almacenamiento o incluso redes. Esto introduce una capa adicional, la virtualización, que debe configurarse, administrarse y protegerse adecuadamente. [9] Las preocupaciones específicas incluyen la posibilidad de comprometer el software de virtualización, o " hipervisor ". Si bien estas preocupaciones son en gran medida teóricas, existen. [10] Por ejemplo, una brecha en la estación de trabajo del administrador con el software de administración del software de virtualización puede hacer que todo el centro de datos deje de funcionar o se reconfigure según el gusto de un atacante.

Controles de seguridad en la nube

La arquitectura de seguridad en la nube es eficaz solo si se implementan las medidas de defensa adecuadas. Una arquitectura de seguridad en la nube eficiente debe reconocer los problemas que surgirán con la gestión de la seguridad y seguir todas las mejores prácticas, procedimientos y pautas para garantizar un entorno de nube seguro. La gestión de la seguridad aborda estos problemas con controles de seguridad. Estos controles protegen los entornos de nube y se implementan para salvaguardar cualquier debilidad en el sistema y reducir el efecto de un ataque. Si bien hay muchos tipos de controles detrás de una arquitectura de seguridad en la nube, generalmente se pueden encontrar en una de las siguientes categorías:

Controles disuasorios
Estos controles son mecanismos administrativos destinados a reducir los ataques a un sistema en la nube y se utilizan para garantizar el cumplimiento de los controles externos. Al igual que una señal de advertencia en una cerca o una propiedad, los controles disuasorios suelen reducir el nivel de amenaza al informar a los posibles atacantes de que habrá consecuencias adversas para ellos si proceden. [11] (Algunos los consideran un subconjunto de los controles preventivos). Ejemplos de tales controles podrían considerarse políticas, procedimientos, estándares, pautas, leyes y regulaciones que guían a una organización hacia la seguridad. Aunque la mayoría de los actores maliciosos ignoran estos controles disuasorios, estos controles tienen como objetivo alejar a aquellos que no tienen experiencia o sienten curiosidad por comprometer la infraestructura de TI de una organización.
Controles preventivos
El objetivo principal de los controles preventivos es fortalecer el sistema contra incidentes, generalmente reduciendo, si no eliminando, las vulnerabilidades, así como impidiendo que intrusos no autorizados accedan o ingresen al sistema. [12] Esto se puede lograr agregando software o implementaciones de funciones (como protección de firewall, protección de puntos finales y autenticación multifactor), o eliminando funcionalidades innecesarias para minimizar la superficie de ataque (como en aplicaciones unikernel ). Además, la educación de las personas mediante capacitación y ejercicios de concienciación sobre seguridad se incluye en dichos controles debido a que el error humano es el punto más débil de la seguridad. La autenticación fuerte de los usuarios de la nube, por ejemplo, hace que sea menos probable que usuarios no autorizados puedan acceder a los sistemas en la nube y más probable que los usuarios de la nube sean identificados positivamente. En general, los controles preventivos afectan la probabilidad de que ocurra un evento de pérdida y tienen como objetivo prevenir o eliminar la exposición de los sistemas a acciones maliciosas.
Controles de detectives
Los controles de detección tienen como objetivo detectar y reaccionar adecuadamente ante cualquier incidente que se produzca. En caso de un ataque, un control de detección indicará los controles preventivos o correctivos para abordar el problema. Los controles de seguridad de detección funcionan no solo cuando dicha actividad está en curso y después de que haya ocurrido. La supervisión de la seguridad del sistema y la red, incluidos los acuerdos de detección y prevención de intrusiones, se emplean normalmente para detectar ataques a los sistemas en la nube y la infraestructura de comunicaciones de apoyo. La mayoría de las organizaciones adquieren o crean un centro de operaciones de seguridad (SOC) dedicado, donde los miembros dedicados supervisan continuamente la infraestructura de TI de la organización a través de registros y software de gestión de eventos e información de seguridad (SIEM). Los SIEM son soluciones de seguridad que ayudan a las organizaciones y a los equipos de seguridad a analizar "datos de registro en tiempo real para la detección rápida de incidentes de seguridad". [13] Los SIEMS no son los únicos ejemplos de controles de detección. También existen controles de seguridad física, sistemas de detección de intrusiones y herramientas antivirus/antimalware, que tienen diferentes funciones centradas en el propósito exacto de detectar vulneraciones de seguridad dentro de una infraestructura de TI.
Controles correctivos
Los controles correctivos reducen las consecuencias de un incidente, generalmente limitando el daño. Dichos controles incluyen medidas técnicas, físicas y administrativas que se aplican durante o después de un incidente para restaurar los sistemas o recursos a su estado anterior después de un incidente de seguridad. [14] Hay muchos ejemplos de controles correctivos, tanto físicos como técnicos. Por ejemplo, volver a emitir una tarjeta de acceso o reparar un daño físico pueden considerarse controles correctivos. Sin embargo, los controles técnicos, como la terminación de un proceso, y los controles administrativos, como la implementación de un plan de respuesta a incidentes, también podrían considerarse controles correctivos. Los controles correctivos se centran en recuperar y reparar cualquier daño causado por un incidente de seguridad o una actividad no autorizada. El valor es necesario para cambiar la función de la seguridad.

Dimensiones de la seguridad en la nube

La ingeniería de seguridad en la nube se caracteriza por las capas de seguridad, el diseño, el diseño, la programación y las mejores prácticas que existen dentro de una solución de seguridad en la nube. La ingeniería de seguridad en la nube requiere que el modelo escrito y visual (diseño e interfaz de usuario) se caracterice por las tareas dentro de la nube. Este proceso de ingeniería de seguridad en la nube incluye aspectos como el acceso a los administradores, las técnicas y los controles para proteger las aplicaciones y los datos. También incluye formas de gestionar y mantener la permeabilidad, la coherencia, la postura de riesgo y la seguridad en general. Los procesos para impartir estándares de seguridad en los servicios y actividades en la nube asumen un enfoque que cumple con las pautas uniformes y los componentes esenciales de seguridad del sistema. [15]

Para que el interés en los avances en la nube sea viable, las empresas deben reconocer las distintas partes de la nube y cómo siguen impactándolas y ayudándolas. Estos intereses pueden incluir inversiones en computación en la nube y seguridad, por ejemplo. Esto, por supuesto, conduce a impulsar el éxito de los avances en la nube.

Aunque la idea de la computación en la nube no es nueva, las asociaciones la están aplicando cada vez más debido a su escalabilidad flexible, su relativa confiabilidad y la frugalidad de los costos de los servicios. Sin embargo, a pesar de su rápido abandono en algunos sectores y disciplinas, es evidente a partir de la investigación y las estadísticas que los problemas relacionados con la seguridad son la protección más evidente para su abandono generalizado. [ cita requerida ]

En general, se recomienda que los controles de seguridad de la información se seleccionen e implementen de acuerdo con los riesgos y en proporción a ellos, generalmente evaluando las amenazas, las vulnerabilidades y los impactos. Las preocupaciones en materia de seguridad en la nube se pueden agrupar de varias maneras; Gartner mencionó siete [16], mientras que la Cloud Security Alliance identificó doce áreas de preocupación. [17] Los agentes de seguridad de acceso a la nube (CASB) son software que se ubican entre los usuarios de la nube y las aplicaciones en la nube para brindar visibilidad sobre el uso de las aplicaciones en la nube, la protección de datos y la gobernanza para monitorear toda la actividad y hacer cumplir las políticas de seguridad. [18]

Seguridad y privacidad

Cualquier servicio que no tenga un entorno "reforzado" se considera un objetivo "blando". Los servidores virtuales deben estar protegidos, al igual que un servidor físico, contra fugas de datos , malware y vulnerabilidades explotadas. "La pérdida o fuga de datos representa el 24,6% y el malware relacionado con la nube el 3,4% de las amenazas que provocan interrupciones en la nube". [19]

Gestión de identidad

Cada empresa tendrá su propio sistema de gestión de identidad para controlar el acceso a la información y a los recursos informáticos. Los proveedores de la nube integran el sistema de gestión de identidad del cliente en su propia infraestructura, utilizando tecnología de federación o SSO o un sistema de identificación basado en biometría [1] , o proporcionan un sistema de gestión de identidad propio [20] . CloudID [1] , por ejemplo, proporciona una identificación biométrica basada en la nube y entre empresas que preserva la privacidad. Vincula la información confidencial de los usuarios con sus datos biométricos y la almacena de forma cifrada. Al utilizar una técnica de cifrado que permite realizar búsquedas, la identificación biométrica se realiza en el dominio cifrado para asegurarse de que el proveedor de la nube o los posibles atacantes no obtengan acceso a ningún dato confidencial o incluso al contenido de las consultas individuales [1] .

Seguridad física

Los proveedores de servicios en la nube protegen físicamente el hardware informático (servidores, enrutadores, cables, etc.) contra accesos no autorizados, interferencias, robos, incendios, inundaciones, etc. y garantizan que los suministros esenciales (como la electricidad) sean lo suficientemente robustos como para minimizar la posibilidad de interrupciones. Esto normalmente se logra brindando servicios de aplicaciones en la nube desde centros de datos especificados, diseñados, construidos, administrados, monitoreados y mantenidos por profesionales.

Seguridad del personal

Varias preocupaciones de seguridad de la información relacionadas con TI y otros profesionales asociados con los servicios en la nube generalmente se manejan a través de actividades previas, posteriores y parael empleo, como la evaluación de seguridad de los posibles reclutas, programas de capacitación y concientización sobre seguridad y de manera proactiva.

Privacidad

Los proveedores se aseguran de que todos los datos críticos (por ejemplo, números de tarjetas de crédito) estén enmascarados o cifrados y de que solo los usuarios autorizados tengan acceso a los datos en su totalidad. Además, las identidades y credenciales digitales deben estar protegidas, al igual que cualquier dato que el proveedor recopile o produzca sobre la actividad de los clientes en la nube.

Pruebas de penetración

Las pruebas de penetración son el proceso de realizar pruebas de seguridad ofensivas en un sistema, servicio o red informática para encontrar debilidades de seguridad en él. Dado que la nube es un entorno compartido con otros clientes o inquilinos, seguir las reglas de participación en las pruebas de penetración paso a paso es un requisito obligatorio. El escaneo y las pruebas de penetración desde dentro o fuera de la nube deben ser autorizados por el proveedor de la nube. La violación de las políticas de uso aceptable puede dar lugar a la terminación del servicio. [21]

Pruebas de penetración y vulnerabilidad en la nube

Analizar la nube desde fuera y desde dentro con productos gratuitos o comerciales es crucial porque sin un entorno reforzado, su servicio se considera un objetivo fácil. Los servidores virtuales deben reforzarse al igual que un servidor físico contra fugas de datos , malware y vulnerabilidades explotadas. "La pérdida o fuga de datos representa el 24,6% y el malware relacionado con la nube el 3,4% de las amenazas que provocan interrupciones en la nube".

El proveedor de la nube debe autorizar el escaneo y las pruebas de penetración desde dentro o fuera de la nube. Dado que la nube es un entorno compartido con otros clientes o inquilinos, es obligatorio seguir las reglas de participación en las pruebas de penetración paso a paso. La violación de las políticas de uso aceptable puede dar lugar a la terminación del servicio. Una terminología clave que se debe comprender cuando se habla de pruebas de penetración es la diferencia entre pruebas de capa de aplicación y de red. Entender lo que se le pide a usted como evaluador es a veces el paso más importante del proceso. Las pruebas de capa de red se refieren a las pruebas que incluyen conexiones internas/externas, así como los sistemas interconectados en toda la red local. A menudo, se llevan a cabo ataques de ingeniería social, ya que el vínculo más vulnerable en materia de seguridad suele ser el empleado.

Prueba de caja blanca

Prueba bajo la condición de que el “atacante” tenga pleno conocimiento de la red interna, su diseño e implementación.

Prueba de caja gris

Prueba bajo la condición de que el “atacante” tenga conocimiento parcial de la red interna, su diseño e implementación.

Prueba de caja negra

Prueba bajo la condición de que el “atacante” no tenga conocimiento previo de la red interna, su diseño e implementación.

Seguridad de datos

Existen numerosas amenazas de seguridad asociadas con los servicios de datos en la nube. Esto incluye amenazas tradicionales y no tradicionales. Las amenazas tradicionales incluyen: escuchas ilegales de red , invasión ilegal y ataques de denegación de servicio, pero también amenazas específicas de computación en la nube, como ataques de canal lateral, vulnerabilidades de virtualización y abuso de servicios en la nube. Para mitigar estas amenazas, los controles de seguridad a menudo se basan en la supervisión de las tres áreas de la tríada CIA. La tríada CIA se refiere a la confidencialidad (incluida la capacidad de control del acceso, que se puede comprender mejor a partir de lo siguiente. [22] ), la integridad y la disponibilidad.

Muchas medidas de seguridad eficaces cubren varias o todas las tres categorías. Por ejemplo, el cifrado puede utilizarse para evitar el acceso no autorizado y también para garantizar la integridad de los datos. Por otra parte, las copias de seguridad generalmente cubren la integridad y la disponibilidad, mientras que los cortafuegos solo cubren la confidencialidad y el control del acceso. [23]

Confidencialidad

La confidencialidad de los datos es la propiedad de que el contenido de los datos no se pone a disposición ni se revela a usuarios ilegales. Los datos subcontratados se almacenan en una nube y están fuera del control directo de los propietarios. Solo los usuarios autorizados pueden acceder a los datos confidenciales, mientras que otros, incluidos los CSP, no deben obtener ninguna información sobre los datos. Mientras tanto, los propietarios de los datos esperan utilizar plenamente los servicios de datos en la nube, por ejemplo, búsqueda de datos, cálculo de datos y uso compartido de datos , sin que se filtre el contenido de los datos a los CSP u otros adversarios. La confidencialidad se refiere a cómo los datos deben mantenerse estrictamente confidenciales para el propietario de dichos datos.

Un ejemplo de control de seguridad que cubre la confidencialidad es el cifrado, de modo que sólo los usuarios autorizados puedan acceder a los datos. Para el cifrado se puede utilizar el paradigma de clave simétrica o asimétrica. [24]

Control de acceso

La capacidad de control del acceso significa que el propietario de los datos puede restringir de forma selectiva el acceso a sus datos externalizados en la nube. El propietario puede autorizar a los usuarios legales a acceder a los datos, mientras que otros no pueden hacerlo sin permiso. Además, es conveniente aplicar un control de acceso detallado a los datos externalizados, es decir, se deben conceder diferentes privilegios de acceso a los distintos usuarios con respecto a los distintos datos. La autorización de acceso debe estar controlada únicamente por el propietario en entornos de nube no confiables.

El control de acceso también puede denominarse disponibilidad. Si bien el acceso no autorizado debe prohibirse estrictamente, el acceso para usos administrativos o incluso de consumidores debe permitirse, pero también debe supervisarse. La disponibilidad y el control de acceso garantizan que se otorgue la cantidad adecuada de permisos a las personas correctas.

Integridad

La integridad de los datos exige mantener y garantizar la precisión y la integridad de los mismos. El propietario de los datos siempre espera que sus datos en la nube se puedan almacenar de forma correcta y fiable. Esto significa que los datos no deben ser manipulados ilegalmente, modificados de forma indebida, eliminados deliberadamente ni fabricados de forma maliciosa. Si alguna operación no deseada corrompe o elimina los datos, el propietario debe poder detectar la corrupción o la pérdida. Además, cuando una parte de los datos subcontratados se corrompe o se pierde, los usuarios de los datos pueden recuperarla. Los controles de seguridad de integridad eficaces van más allá de la protección contra agentes maliciosos y también protegen los datos de alteraciones no intencionadas.

Un ejemplo de control de seguridad que cubre la integridad son las copias de seguridad automatizadas de la información.

Riesgos y vulnerabilidades de la computación en la nube

Si bien la computación en la nube está a la vanguardia de la tecnología de la información, existen riesgos y vulnerabilidades que se deben tener en cuenta antes de invertir en ella. Existen controles y servicios de seguridad para la nube, pero, como sucede con cualquier sistema de seguridad, no se garantiza su éxito. Además, algunos riesgos van más allá de la seguridad de los activos y pueden implicar problemas de productividad e incluso de privacidad. [25]

Preocupaciones sobre la privacidad

La computación en la nube es todavía una tecnología emergente y, por lo tanto, se está desarrollando en estructuras tecnológicas relativamente nuevas. Como resultado, todos los servicios en la nube deben realizar evaluaciones de impacto sobre la privacidad (PIA) antes de lanzar su plataforma. Los consumidores que tengan la intención de utilizar nubes para almacenar los datos de sus clientes también deben ser conscientes de las vulnerabilidades de tener un almacenamiento no físico para la información privada. [26]

Acceso no autorizado a la interfaz de administración

Debido a la naturaleza autónoma de la nube, los consumidores suelen disponer de interfaces de gestión para supervisar sus bases de datos. Al disponer de controles en una ubicación tan concentrada y de una interfaz de fácil acceso para la comodidad de los usuarios, existe la posibilidad de que un único actor pueda obtener acceso a la interfaz de gestión de la nube, lo que le otorgaría un gran control y poder sobre la base de datos. [27]

Vulnerabilidades en la recuperación de datos

Las capacidades de la nube para asignar recursos según sea necesario a menudo dan como resultado que los recursos en la memoria y en otros lugares se reciclen para otro usuario en un evento posterior. En el caso de estos recursos de memoria o almacenamiento, los usuarios actuales podrían tener acceso a la información que dejaron los usuarios anteriores. [27]

Vulnerabilidades de Internet

La nube requiere una conexión a Internet y, por lo tanto, protocolos de Internet para acceder a ella. Por lo tanto, está expuesta a muchas vulnerabilidades de protocolos de Internet, como ataques de intermediarios. Además, al depender en gran medida de la conectividad a Internet, si la conexión falla, los consumidores quedarán completamente aislados de cualquier recurso de la nube. [27]

Vulnerabilidades de cifrado

La criptografía es un campo y una tecnología en constante crecimiento. Lo que era seguro hace 10 años puede considerarse un riesgo de seguridad significativo según los estándares actuales. A medida que la tecnología continúa avanzando y las tecnologías más antiguas se vuelven obsoletas, surgirán nuevos métodos para romper los cifrados, así como fallas fatales en los métodos de cifrado más antiguos. Los proveedores de la nube deben mantenerse actualizados con su cifrado, ya que los datos que suelen contener son especialmente valiosos. [28]

Cuestiones jurídicas

La legislación sobre privacidad varía a menudo de un país a otro. Al almacenar información en la nube, es difícil determinar en qué jurisdicciones se encuentran los datos. Las nubes transfronterizas son especialmente populares, dado que las empresas más grandes trascienden varios países. Otros dilemas legales derivados de la ambigüedad de la nube se refieren a la diferencia en la regulación de la privacidad entre la información compartida entre organizaciones y la información compartida dentro de ellas. [26]

Ataques

Existen varios tipos diferentes de ataques a la computación en la nube, uno que aún no se ha explotado es el ataque a la infraestructura. Aunque no se conoce por completo, se lo considera el ataque con mayor recompensa. [29] Lo que lo hace tan peligroso es que la persona que lleva a cabo el ataque puede obtener un nivel de privilegio que le permite tener acceso básicamente a la raíz de la máquina. Es muy difícil defenderse de ataques como estos porque son muy impredecibles y desconocidos; los ataques de este tipo también se denominan exploits de día cero porque son difíciles de defender ya que las vulnerabilidades eran previamente desconocidas y no se controlaban hasta que el ataque ya ha ocurrido.

Los ataques DoS tienen como objetivo que los sistemas no estén disponibles para sus usuarios. Dado que el software de computación en la nube es utilizado por una gran cantidad de personas, resolver estos ataques es cada vez más difícil. Ahora que la computación en la nube está en auge, esto ha dejado nuevas oportunidades para los ataques debido a la virtualización de los centros de datos y al uso cada vez mayor de los servicios en la nube. [30]

Con la pandemia mundial que comenzó a principios de 2020, se produjo un cambio masivo hacia el trabajo remoto, por lo que las empresas se volvieron más dependientes de la nube. Este cambio masivo no ha pasado desapercibido, especialmente para los ciberdelincuentes y los actores maliciosos, muchos de los cuales vieron la oportunidad de atacar la nube debido a este nuevo entorno de trabajo remoto. Las empresas deben recordar constantemente a sus empleados que se mantengan alerta, especialmente de forma remota. Mantenerse constantemente actualizado con las últimas medidas y políticas de seguridad, los errores en la comunicación son algunas de las cosas que estos ciberdelincuentes buscan y de las que se aprovechan.

Trasladar el trabajo al hogar fue fundamental para que los trabajadores pudieran continuar, pero cuando se produjo la transición al trabajo remoto, surgieron rápidamente varios problemas de seguridad. La necesidad de privacidad de los datos, el uso de aplicaciones, dispositivos personales e Internet pasaron a primer plano. La pandemia ha generado grandes cantidades de datos, especialmente en el sector de la salud. Ahora, más que nunca, se acumulan grandes cantidades de datos para el sector de la salud debido a la creciente pandemia de coronavirus. La nube tiene que poder organizar y compartir los datos con sus usuarios de forma segura. La calidad de los datos busca cuatro cosas: precisión, redundancia, integridad y coherencia. [31]

Los usuarios tuvieron que pensar en el hecho de que se comparten cantidades masivas de datos a nivel mundial. Los diferentes países tienen ciertas leyes y regulaciones que deben cumplirse. Las diferencias en políticas y jurisdicciones dan lugar al riesgo que implica la nube. Los trabajadores están utilizando más sus dispositivos personales ahora que trabajan desde casa. Los delincuentes ven este aumento como una oportunidad para explotar a las personas, se desarrolla software para infectar los dispositivos de las personas y obtener acceso a su nube. La pandemia actual ha puesto a las personas en una situación en la que son increíblemente vulnerables y susceptibles a los ataques. El cambio al trabajo remoto fue tan repentino que muchas empresas simplemente no estaban preparadas para lidiar con las tareas y la carga de trabajo posterior en la que se han visto profundamente atrincheradas. Se deben implementar medidas de seguridad más estrictas para aliviar esa nueva tensión dentro de las organizaciones.

Los ataques que se pueden realizar a los sistemas de computación en la nube incluyen ataques de intermediarios , ataques de phishing , ataques de autenticación y ataques de malware. Una de las mayores amenazas se considera ataques de malware, como los caballos de Troya .

Una investigación reciente realizada en 2022 ha revelado que el método de inyección de troyanos es un problema grave con efectos nocivos en los sistemas de computación en la nube. Un ataque de troyanos a los sistemas en la nube intenta insertar una aplicación o servicio en el sistema que puede afectar a los servicios en la nube modificando o deteniendo las funcionalidades. Cuando el sistema en la nube identifica los ataques como legítimos, se ejecuta el servicio o la aplicación que puede dañar e infectar el sistema en la nube. [32]

Encriptación

Algunos algoritmos de cifrado avanzados que se han aplicado a la computación en la nube aumentan la protección de la privacidad. En una práctica denominada criptodestrucción , las claves pueden eliminarse simplemente cuando ya no se utilizan los datos.

Cifrado basado en atributos (ABE)

El cifrado basado en atributos es un tipo de cifrado de clave pública en el que la clave secreta de un usuario y el texto cifrado dependen de atributos (por ejemplo, el país en el que vive o el tipo de suscripción que tiene). En un sistema de este tipo, el descifrado de un texto cifrado solo es posible si el conjunto de atributos de la clave del usuario coincide con los atributos del texto cifrado.

Algunas de las ventajas del cifrado basado en atributos son que intenta resolver problemas que existen en las implementaciones actuales de infraestructura de clave pública (PKI) y cifrado basado en identidad (IBE). Al depender de atributos, ABE evita la necesidad de compartir claves directamente, como con PKI, así como de conocer la identidad del receptor, como con IBE.

Estos beneficios tienen un costo, ya que ABE sufre el problema de la redistribución de claves de descifrado. Dado que las claves de descifrado en ABE solo contienen información sobre la estructura de acceso o los atributos del usuario, es difícil verificar la identidad real del usuario. Por lo tanto, los usuarios malintencionados pueden filtrar intencionalmente la información de sus atributos para que usuarios no autorizados puedan imitarlos y obtener acceso. [33]

Política de texto cifrado ABE (CP-ABE)

El algoritmo ABE de política de texto cifrado (CP-ABE) es un tipo de cifrado de clave pública. En el CP-ABE, el cifrador controla la estrategia de acceso. El principal trabajo de investigación del CP-ABE se centra en el diseño de la estructura de acceso. Un esquema de cifrado basado en atributos de política de texto cifrado consta de cuatro algoritmos: Setup, Encrypt, KeyGen y Decrypt. [34] El algoritmo Setup toma parámetros de seguridad y una descripción del universo de atributos como entrada y genera parámetros públicos y una clave maestra. El algoritmo de cifrado toma datos como entrada. Luego los cifra para producir un texto cifrado que solo un usuario que posee un conjunto de atributos que satisface la estructura de acceso descifrará el mensaje. Luego, el algoritmo KeyGen toma la clave maestra y los atributos del usuario para desarrollar una clave privada. Finalmente, el algoritmo Decrypt toma los parámetros públicos, el texto cifrado, la clave privada y los atributos del usuario como entrada. Con esta información, el algoritmo primero verifica si los atributos de los usuarios satisfacen la estructura de acceso y luego descifra el texto cifrado para devolver los datos.

Política clave ABE (KP-ABE)

El cifrado basado en atributos de política de claves, o KP-ABE, es un tipo importante de cifrado basado en atributos . KP-ABE permite a los remitentes cifrar sus mensajes bajo un conjunto de atributos, de forma muy similar a cualquier sistema de cifrado basado en atributos. Para cada cifrado, se generan claves de usuario privadas que contienen algoritmos de descifrado para descifrar el mensaje y estas claves de usuario privadas otorgan a los usuarios acceso a mensajes específicos a los que corresponden. En un sistema KP-ABE, los textos cifrados , o los mensajes cifrados, son etiquetados por los creadores con un conjunto de atributos, mientras que se emiten las claves privadas del usuario que especifican qué tipo de textos cifrados puede descifrar la clave. [35] Las claves privadas controlan qué textos cifrados puede descifrar un usuario. [36] En KP-ABE, los conjuntos de atributos se utilizan para describir los textos cifrados y las claves privadas se asocian a la política especificada que tendrán los usuarios para el descifrado de los textos cifrados. Una desventaja de KP-ABE es que en KP-ABE el encriptador no controla quién tiene acceso a los datos encriptados, excepto a través de atributos descriptivos, lo que crea una dependencia de que el emisor de la clave conceda o deniegue el acceso a los usuarios. De ahí la creación de otros sistemas ABE como el cifrado basado en atributos de política de texto cifrado. [37]

Cifrado totalmente homomórfico (FHE)

El cifrado totalmente homomórfico es un criptosistema que admite el cálculo arbitrario de texto cifrado y también permite calcular la suma y el producto de los datos cifrados sin descifrarlos. Otra característica interesante del cifrado totalmente homomórfico o FHE, por sus siglas en inglés, es que permite ejecutar operaciones sin la necesidad de una clave secreta. [38] El FHE se ha relacionado no solo con la computación en la nube, sino también con la votación electrónica. El cifrado totalmente homomórfico ha sido especialmente útil con el desarrollo de la computación en la nube y las tecnologías informáticas. Sin embargo, a medida que estos sistemas se desarrollan, también ha aumentado la necesidad de seguridad en la nube. El FHE tiene como objetivo proteger la transmisión de datos, así como el almacenamiento de la computación en la nube con sus algoritmos de cifrado. [39] Su objetivo es ser un método de cifrado mucho más seguro y eficiente a mayor escala para manejar las capacidades masivas de la nube.

Cifrado con capacidad de búsqueda (SE)

El cifrado buscable es un sistema criptográfico que ofrece funciones de búsqueda seguras sobre datos cifrados. [40] [41] Los esquemas SE se pueden clasificar en dos categorías: SE basado en criptografía de clave secreta (o clave simétrica) y SE basado en criptografía de clave pública. Para mejorar la eficiencia de la búsqueda, el SE de clave simétrica generalmente crea índices de palabras clave para responder a las consultas de los usuarios. Esto tiene la desventaja obvia de proporcionar rutas de acceso multimodales para la recuperación de datos no autorizados, evitando el algoritmo de cifrado al someter el marco a parámetros alternativos dentro del entorno de nube compartida. [42]

Cumplimiento

Existen numerosas leyes y normativas relacionadas con el almacenamiento y el uso de datos. En los EE. UU., estas incluyen leyes de privacidad o protección de datos, la Norma de seguridad de datos de la industria de tarjetas de pago (PCI DSS), la Ley de portabilidad y responsabilidad de seguros médicos (HIPAA), la Ley Sarbanes-Oxley , la Ley federal de gestión de seguridad de la información de 2002 (FISMA) y la Ley de protección de la privacidad infantil en línea de 1998 , entre otras. Existen normas similares en otras jurisdicciones, por ejemplo, la Norma de seguridad en la nube de varios niveles de Singapur .

Es posible que se apliquen leyes similares en distintas jurisdicciones jurídicas y que difieran considerablemente de las que se aplican en los EE. UU. Es posible que los usuarios de servicios en la nube deban tener en cuenta las diferencias legales y reglamentarias entre las jurisdicciones. Por ejemplo, los datos almacenados por un proveedor de servicios en la nube pueden estar ubicados, por ejemplo, en Singapur y reflejados en los EE. UU. [43]

Muchas de estas regulaciones exigen controles específicos (como controles de acceso estrictos y registros de auditoría) y requieren informes periódicos. Los clientes de la nube deben asegurarse de que sus proveedores de servicios en la nube cumplan adecuadamente con dichos requisitos, lo que les permite cumplir con sus obligaciones, ya que, en gran medida, siguen siendo responsables.

Continuidad de negocio y recuperación de datos
Los proveedores de servicios en la nube cuentan con planes de continuidad empresarial y recuperación de datos para garantizar que el servicio se pueda mantener en caso de desastre o emergencia y que se recupere cualquier pérdida de datos. [44] Estos planes pueden ser compartidos con sus clientes y revisados ​​por ellos, idealmente en sintonía con los propios acuerdos de continuidad de los clientes. Puede ser apropiado realizar ejercicios conjuntos de continuidad, por ejemplo, simulando una falla importante de Internet o del suministro eléctrico.
Registro y pista de auditoría
Además de producir registros y pistas de auditoría , los proveedores de la nube trabajan con sus clientes para garantizar que estos registros y pistas de auditoría estén adecuadamente protegidos, se mantengan durante el tiempo que el cliente lo requiera y sean accesibles para fines de investigación forense (por ejemplo, eDiscovery ).
Requisitos de cumplimiento únicos
Además de los requisitos a los que están sujetos los clientes, los centros de datos utilizados por los proveedores de servicios en la nube también pueden estar sujetos a requisitos de cumplimiento. El uso de un proveedor de servicios en la nube (CSP) puede generar preocupaciones de seguridad adicionales en torno a la jurisdicción de los datos, ya que los datos de los clientes o inquilinos pueden no permanecer en el mismo sistema, en el mismo centro de datos o incluso dentro de la nube del mismo proveedor. [45]
El RGPD de la Unión Europea ha introducido nuevos requisitos de cumplimiento para los datos de los clientes.

Cuestiones jurídicas y contractuales

Los acuerdos de seguridad y privacidad de los proveedores de la nube deben estar alineados con los requisitos y regulaciones de la demanda.

Además de las cuestiones de seguridad y cumplimiento enumeradas anteriormente, los proveedores de la nube y sus clientes negociarán términos en torno a la responsabilidad (estipulando cómo se resolverán los incidentes que impliquen pérdida o compromiso de datos, por ejemplo), la propiedad intelectual y el fin del servicio (cuando los datos y las aplicaciones se devuelven finalmente al cliente). Además, existen consideraciones para la adquisición de datos de la nube que pueden estar involucradas en litigios. [46] Estas cuestiones se analizan en los acuerdos de nivel de servicio (SLA).

Registros públicos

Las cuestiones legales también pueden incluir requisitos de conservación de registros en el sector público , donde muchas agencias están obligadas por ley a conservar y poner a disposición registros electrónicos de una manera específica. Esto puede estar determinado por la legislación, o la ley puede exigir que las agencias se ajusten a las normas y prácticas establecidas por una agencia de conservación de registros. Las agencias públicas que utilizan la computación y el almacenamiento en la nube deben tener en cuenta estas preocupaciones.

Véase también

Referencias

  1. ^ abcd Haghighat, Mohammad; Zonouz, Saman; Abdel-Mottaleb, Mohamed (noviembre de 2015). "CloudID: Identificación biométrica confiable basada en la nube y entre empresas". Sistemas expertos con aplicaciones . 42 (21): 7905–7916. doi :10.1016/j.eswa.2015.06.025. S2CID  30476498.
  2. ^ ab Srinivasan, Madhan Kumar; Sarukesi, K.; Rodrigues, Paul; Manoj, M. Sai; Revathy, P. (2012). "Taxonomías de seguridad de computación en la nube de última generación". Actas de la Conferencia internacional sobre avances en computación, comunicaciones e informática - ICACCI '12 . págs. 470–476. doi :10.1145/2345396.2345474. ISBN 978-1-4503-1196-0. Número de identificación del sujeto  18507025.
  3. ^ "Computación en pantano, también conocida como computación en la nube". Web Security Journal. 28 de diciembre de 2009. Archivado desde el original el 31 de agosto de 2019. Consultado el 25 de enero de 2010 .
  4. ^ "Cloud Controls Matrix v4" (xlsx) . Cloud Security Alliance. 15 de marzo de 2021 . Consultado el 21 de mayo de 2021 .
  5. ^ ab "Modelo de responsabilidad de seguridad compartida". Navegando por el cumplimiento del RGPD en AWS . AWS. Diciembre de 2020. Consultado el 21 de mayo de 2021 .
  6. ^ ab Tozzi, C. (24 de septiembre de 2020). "Cómo evitar los inconvenientes del modelo de responsabilidad compartida para la seguridad en la nube". Blog de Pal Alto . Palo Alto Networks . Consultado el 21 de mayo de 2021 .
  7. ^ "Principales amenazas a la computación en la nube v1.0" (PDF) . Cloud Security Alliance. Marzo de 2010 . Consultado el 19 de septiembre de 2020 .
  8. ^ Winkler, Vic. "Cloud Computing: Virtual Cloud Security Concerns" (Computación en la nube: preocupaciones sobre seguridad en la nube virtual). Technet Magazine, Microsoft . Consultado el 12 de febrero de 2012 .
  9. ^ Hickey, Kathleen (18 de marzo de 2010). «Dark Cloud: Study finds security risk in virtualization» (Nube oscura: estudio descubre riesgos de seguridad en la virtualización). Government Security News. Archivado desde el original el 30 de enero de 2012. Consultado el 12 de febrero de 2012 .
  10. ^ Winkler, Joachim R. (2011). Asegurar la nube: técnicas y tácticas de seguridad informática en la nube . Elsevier. p. 59. ISBN 978-1-59749-592-9.
  11. ^ Andress, Jason (2014). "Seguridad física". Fundamentos de la seguridad de la información . págs. 131–149. doi :10.1016/B978-0-12-800744-0.00009-9. ISBN 978-0-12-800744-0.
  12. ^ Virtue, Timothy; Rainey, Justin (2015). "Evaluación de riesgos de la información". Guía de estudio del HCISPP . págs. 131–166. doi :10.1016/B978-0-12-802043-2.00006-9. ISBN 978-0-12-802043-2.
  13. ^ Marturano, G. (2020b, 4 de diciembre). Controles de seguridad para detectives. Recuperado el 1 de diciembre de 2021, de https://lifars.com/2020/12/controles-de-seguridad-para-detectives/
  14. ^ Walkowski, D. (22 de agosto de 2019). ¿Qué son los controles de seguridad? Recuperado el 1 de diciembre de 2021 de https://www.f5.com/labs/articles/education/what-are-security-controls
  15. ^ "Arquitectura de seguridad en la nube". GuidePoint Security LLC. 2023. Consultado el 6 de diciembre de 2023 .
  16. ^ "Gartner: Siete riesgos de seguridad en la computación en la nube". InfoWorld . 2008-07-02 . Consultado el 2010-01-25 .
  17. ^ "Principales amenazas para la computación en la nube: perspectivas del sector". Cloud Security Alliance. 2017-10-20 . Consultado el 2018-10-20 .
  18. ^ "¿Qué es un CASB (Cloud Access Security Broker)?". CipherCloud. Archivado desde el original el 2018-08-31 . Consultado el 2018-08-30 .
  19. ^ Ahmad Dahari bin Jarno; Shahrin Bin Baharom; Maryam Shahpasand (2017). "Limitaciones y desafíos de las pruebas de seguridad en la nube" (PDF) . Revista de Tecnología Aplicada e Innovación . 1 (2): 89–90.
  20. ^ Chickowski, E. (25 de octubre de 2013). "Gestión de identidad en la nube". Informa PLC . Consultado el 6 de diciembre de 2013 .
  21. ^ Guarda, Teresa; Orozco, Walter; Augusto, María Fernanda; Morillo, Giovanna; Navarrete, Silvia Arévalo; Pinto, Filipe Mota (2016). "Pruebas de penetración en entornos virtuales". Actas de la 4ª Conferencia Internacional sobre Seguridad de la Información y las Redes - ICINS '16 . págs. 9-12. doi :10.1145/3026724.3026728. ISBN 978-1-4503-4796-9.S2CID14414621  .​
  22. ^ Tang, Jun; Cui, Yong; Li, Qi; Ren, Kui; Liu, Jiangchuan; Buyya, Rajkumar (28 de julio de 2016). "Cómo garantizar la seguridad y la preservación de la privacidad para los servicios de datos en la nube". Encuestas de informática de ACM . 49 (1): 1–39. doi :10.1145/2906153. S2CID  11126705.
  23. ^ "Confidencialidad, integridad y disponibilidad: la tríada de la CIA". CertMike . 2018-08-04 . Consultado el 2021-11-27 .
  24. ^ Tabrizchi, Hamed; Kuchaki Rafsanjani, Marjan (diciembre de 2020). "Una encuesta sobre los desafíos de seguridad en la computación en la nube: problemas, amenazas y soluciones". The Journal of Supercomputing . 76 (12): 9493–9532. doi :10.1007/s11227-020-03213-1. S2CID  255070071.
  25. ^ Carroll, Mariana; van der Merwe, Alta; Kotzé, Paula (agosto de 2011). "Computación segura en la nube: beneficios, riesgos y controles". 2011 Seguridad de la información para Sudáfrica . págs. 1–9. CiteSeerX 10.1.1.232.2868 . doi :10.1109/ISSA.2011.6027519. ISBN  978-1-4577-1481-8.S2CID6208118  .​
  26. ^ ab Svantesson, Dan; Clarke, Roger (julio de 2010). "Privacidad y riesgos para el consumidor en la computación en la nube". Computer Law & Security Review . 26 (4): 391–397. doi :10.1016/j.clsr.2010.05.005. hdl : 1885/57037 . S2CID  62515390.
  27. ^ abc Grobauer, Bernd; Walloschek, Tobias; Stocker, Elmar (marzo de 2011). "Entender las vulnerabilidades de la computación en la nube". IEEE Security Privacy . 9 (2): 50–57. doi :10.1109/MSP.2010.115. S2CID  1156866.
  28. ^ Rukavitsyn, Andrey N.; Borisenko, Konstantin A.; Holod, Ivan I.; Shorov, Andrey V. (2017). "El método para garantizar la confidencialidad e integridad de los datos en la computación en la nube". 2017 XX IEEE International Conference on Soft Computing and Measurements (SCM) . págs. 272–274. doi :10.1109/SCM.2017.7970558. ISBN 978-1-5386-1810-3. Número de identificación del sujeto  40593182.
  29. ^ Yao, Huiping; Shin, Dongwan (2013). "Hacia la prevención de ataques basados ​​en códigos QR en teléfonos Android mediante advertencias de seguridad". Actas del 8º simposio ACM SIGSAC sobre seguridad de la información, las computadoras y las comunicaciones - ASIA CCS '13 . p. 341. doi :10.1145/2484313.2484357. ISBN 9781450317672. Número de identificación del sujeto  1851039.
  30. ^ Iqbal, Salman; Mat Kiah, Miss Laiha; Dhaghighi, Babak; Hussain, Muzammil; Khan, Suleman; Khan, Muhammad Khurram; Raymond Choo, Kim-Kwang (octubre de 2016). "Sobre los ataques a la seguridad en la nube: una taxonomía y detección y prevención de intrusiones como servicio". Revista de aplicaciones informáticas y de redes . 74 : 98–120. doi :10.1016/j.jnca.2016.08.016. S2CID  9060910.
  31. ^ Alashhab, Ziyad R.; Anbar, Mohammed; Singh, Manmeet Mahinderjit; Leau, Yu-Beng; Al-Sai, Zaher Ali; Abu Alhayja'a, Sami (marzo de 2021). "Impacto de la crisis de la pandemia de coronavirus en las tecnologías y las aplicaciones de computación en la nube". Revista de ciencia y tecnología electrónica . 19 (1): 100059. doi : 10.1016/j.jnlest.2020.100059 .
  32. ^ Kanaker, Hasan; Abdel Karim, Nader; AB Awwad, Samer; HA Ismail, Nurul; Zraqou, Jamal; MF Al ali, Abdulla (20 de diciembre de 2022). "Detección de infecciones por caballos de Troya en un entorno basado en la nube mediante aprendizaje automático". Revista internacional de tecnologías móviles interactivas . 16 (24): 81–106. doi : 10.3991/ijim.v16i24.35763 .
  33. ^ Xu, Shengmin; Yuan, Jiaming; Xu, Guowen; Li, Yingjiu; Liu, Ximeng; Zhang, Yinghui; Ying, Zuobin (octubre de 2020). "Cifrado eficiente basado en atributos de política de texto cifrado con trazabilidad de caja negra". Ciencias de la Información . 538 : 19–38. doi :10.1016/j.ins.2020.05.115. S2CID  224845384.
  34. ^ Bethencourt, John; Sahai, Amit; Waters, Brent (mayo de 2007). "Cifrado basado en atributos de políticas de texto cifrado" (PDF) . Simposio IEEE sobre seguridad y privacidad de 2007 (SP '07) . Simposio IEEE sobre seguridad y privacidad de 2007 (SP '07). págs. 321–334. doi :10.1109/SP.2007.11. ISBN 978-0-7695-2848-9.S2CID6282684  .​
  35. ^ Wang, Changji; Luo, Jianfa (2013). "Un esquema de cifrado basado en atributos de política de claves eficiente con longitud de texto cifrado constante". Problemas matemáticos en ingeniería . 2013 : 1–7. doi : 10.1155/2013/810969 . S2CID  55470802.
  36. ^ Wang, Chang-Ji; Luo, Jian-Fa (noviembre de 2012). "Un esquema de cifrado basado en atributos de política de claves con texto cifrado de tamaño constante". 2012 Octava Conferencia Internacional sobre Inteligencia Computacional y Seguridad . págs. 447–451. doi :10.1109/CIS.2012.106. ISBN . 978-1-4673-4725-9.S2CID1116590  .​
  37. ^ Bethencourt, John; Sahai, Amit; Waters, Brent (mayo de 2007). "Cifrado basado en atributos de políticas de texto cifrado" (PDF) . Simposio IEEE sobre seguridad y privacidad de 2007 (SP '07) . Simposio IEEE sobre seguridad y privacidad de 2007 (SP '07). págs. 321–334. doi :10.1109/SP.2007.11. ISBN 978-0-7695-2848-9.S2CID6282684  .​
  38. ^ Armknecht, Frederik; Katzenbeisser, Stefan; Peter, Andreas (2012). "Cifrado homomórfico de tipo de cambio y su aplicación al cifrado completamente homomórfico" (PDF) . Progreso en criptología - AFRICACRYPT 2012. Apuntes de clase en informática. Vol. 7374. págs. 234–251. doi :10.1007/978-3-642-31410-0_15. ISBN 978-3-642-31409-4.
  39. ^ Zhao, Feng; Li, Chao; Liu, Chun Feng (2014). "Una solución de seguridad de computación en la nube basada en cifrado totalmente homomórfico". 16.ª Conferencia internacional sobre tecnología avanzada de comunicaciones . págs. 485–488. doi :10.1109/icact.2014.6779008. ISBN 978-89-968650-3-2.S2CID20678842  .​
  40. ^ Wang, Qian; He, Meiqi; Du, Minxin; Chow, Sherman SM; Lai, Russell WF; Zou, Qin (1 de mayo de 2018). "Cifrado buscable sobre datos ricos en características". Transacciones IEEE sobre computación segura y confiable . 15 (3): 496–510. doi :10.1109/TDSC.2016.2593444. S2CID  13708908.
  41. ^ Naveed, Muhammad; Prabhakaran, Manoj; Gunter, Carl A. (2014). "Cifrado dinámico con capacidad de búsqueda mediante almacenamiento ciego". Simposio IEEE sobre seguridad y privacidad de 2014. págs. 639–654. doi :10.1109/SP.2014.47. ISBN 978-1-4799-4686-0.S2CID10910918  .​
  42. ^ Sahayini, T (2016). "Mejora de la seguridad de los sistemas TIC modernos con criptosistemas biométricos multimodales y autenticación continua de usuarios". Revista Internacional de Seguridad Informática e Informática . 8 (1): 55. doi :10.1504/IJICS.2016.075310.
  43. ^ "Gestión de los riesgos legales derivados de la computación en la nube". DLA Piper. 29 de agosto de 2014. Consultado el 22 de noviembre de 2014 .
  44. ^ "Es hora de explorar los beneficios de la recuperación ante desastres basada en la nube". Dell.com. Archivado desde el original el 15 de mayo de 2012. Consultado el 26 de marzo de 2012 .
  45. ^ Winkler, Joachim R. (2011). Seguridad en la nube: técnicas y tácticas de seguridad informática en la nube . Elsevier. págs. 65, 68, 72, 81, 218-219, 231, 240. ISBN 978-1-59749-592-9.
  46. ^ Adams, Richard (2013). "El surgimiento del almacenamiento en la nube y la necesidad de un nuevo modelo de proceso forense digital" (PDF) . En Ruan, Keyun (ed.). Ciberdelito y análisis forense en la nube: aplicaciones para procesos de investigación . Referencia de la ciencia de la información. págs. 79–104. ISBN 978-1-4666-2662-1.

Lectura adicional

Enlaces externos

Archivo