La seguridad de la computación en la nube o, más simplemente, seguridad en la nube , se refiere a un amplio conjunto de políticas, tecnologías, aplicaciones y controles utilizados para proteger la propiedad intelectual virtualizada, los datos, las aplicaciones, los servicios y la infraestructura asociada de la computación en la nube . Es un subdominio de la seguridad informática , la seguridad de la red y, de manera más amplia, la seguridad de la información .
La computación y el almacenamiento en la nube brindan a los usuarios la capacidad de almacenar y procesar sus datos en centros de datos de terceros . [1] Las organizaciones utilizan la nube en una variedad de modelos de servicio diferentes (con acrónimos como SaaS , PaaS e IaaS ) y modelos de implementación ( privado , público , híbrido y comunitario ). [2]
Las preocupaciones de seguridad asociadas con la computación en la nube se suelen clasificar de dos maneras: como problemas de seguridad que enfrentan los proveedores de la nube (organizaciones que proporcionan software , plataforma o infraestructura como servicio a través de la nube) y problemas de seguridad que enfrentan sus clientes (empresas u organizaciones que alojan aplicaciones o almacenan datos en la nube). [3] Sin embargo, la responsabilidad es compartida y a menudo se detalla en el "modelo de responsabilidad de seguridad compartida" o "modelo de responsabilidad compartida" de un proveedor de la nube. [4] [5] [6] El proveedor debe garantizar que su infraestructura sea segura y que los datos y aplicaciones de sus clientes estén protegidos, mientras que el usuario debe tomar medidas para fortalecer su aplicación y utilizar contraseñas y medidas de autenticación seguras. [5] [6]
Cuando una organización decide almacenar datos o alojar aplicaciones en la nube pública, pierde su capacidad de tener acceso físico a los servidores que alojan su información. Como resultado, los datos potencialmente confidenciales están en riesgo de sufrir ataques internos. Según un informe de la Cloud Security Alliance de 2010 , los ataques internos son una de las siete principales amenazas en la computación en la nube. [7] Por lo tanto, los proveedores de servicios en la nube deben asegurarse de que se realicen verificaciones de antecedentes exhaustivas de los empleados que tienen acceso físico a los servidores del centro de datos. Además, se recomienda que los centros de datos se controlen con frecuencia para detectar actividades sospechosas.
Para conservar recursos, reducir costos y mantener la eficiencia, los proveedores de servicios en la nube suelen almacenar los datos de más de un cliente en el mismo servidor. Como resultado, existe la posibilidad de que otros usuarios (posiblemente incluso competidores) puedan ver los datos privados de un usuario. Para manejar situaciones tan sensibles, los proveedores de servicios en la nube deben garantizar un aislamiento adecuado de los datos y una segregación lógica del almacenamiento. [2]
El uso extensivo de la virtualización en la implementación de infraestructuras en la nube genera preocupaciones de seguridad únicas para los clientes o inquilinos de un servicio de nube pública. [8] La virtualización altera la relación entre el sistema operativo y el hardware subyacente, ya sea computación, almacenamiento o incluso redes. Esto introduce una capa adicional, la virtualización, que debe configurarse, administrarse y protegerse adecuadamente. [9] Las preocupaciones específicas incluyen la posibilidad de comprometer el software de virtualización, o " hipervisor ". Si bien estas preocupaciones son en gran medida teóricas, existen. [10] Por ejemplo, una brecha en la estación de trabajo del administrador con el software de administración del software de virtualización puede hacer que todo el centro de datos deje de funcionar o se reconfigure según el gusto de un atacante.
La arquitectura de seguridad en la nube es eficaz solo si se implementan las medidas de defensa adecuadas. Una arquitectura de seguridad en la nube eficiente debe reconocer los problemas que surgirán con la gestión de la seguridad y seguir todas las mejores prácticas, procedimientos y pautas para garantizar un entorno de nube seguro. La gestión de la seguridad aborda estos problemas con controles de seguridad. Estos controles protegen los entornos de nube y se implementan para salvaguardar cualquier debilidad en el sistema y reducir el efecto de un ataque. Si bien hay muchos tipos de controles detrás de una arquitectura de seguridad en la nube, generalmente se pueden encontrar en una de las siguientes categorías:
La ingeniería de seguridad en la nube se caracteriza por las capas de seguridad, el diseño, el diseño, la programación y las mejores prácticas que existen dentro de una solución de seguridad en la nube. La ingeniería de seguridad en la nube requiere que el modelo escrito y visual (diseño e interfaz de usuario) se caracterice por las tareas dentro de la nube. Este proceso de ingeniería de seguridad en la nube incluye aspectos como el acceso a los administradores, las técnicas y los controles para proteger las aplicaciones y los datos. También incluye formas de gestionar y mantener la permeabilidad, la coherencia, la postura de riesgo y la seguridad en general. Los procesos para impartir estándares de seguridad en los servicios y actividades en la nube asumen un enfoque que cumple con las pautas uniformes y los componentes esenciales de seguridad del sistema. [15]
Para que el interés en los avances en la nube sea viable, las empresas deben reconocer las distintas partes de la nube y cómo siguen impactándolas y ayudándolas. Estos intereses pueden incluir inversiones en computación en la nube y seguridad, por ejemplo. Esto, por supuesto, conduce a impulsar el éxito de los avances en la nube.
Aunque la idea de la computación en la nube no es nueva, las asociaciones la están aplicando cada vez más debido a su escalabilidad flexible, su relativa confiabilidad y la frugalidad de los costos de los servicios. Sin embargo, a pesar de su rápido abandono en algunos sectores y disciplinas, es evidente a partir de la investigación y las estadísticas que los problemas relacionados con la seguridad son la protección más evidente para su abandono generalizado. [ cita requerida ]
En general, se recomienda que los controles de seguridad de la información se seleccionen e implementen de acuerdo con los riesgos y en proporción a ellos, generalmente evaluando las amenazas, las vulnerabilidades y los impactos. Las preocupaciones en materia de seguridad en la nube se pueden agrupar de varias maneras; Gartner mencionó siete [16], mientras que la Cloud Security Alliance identificó doce áreas de preocupación. [17] Los agentes de seguridad de acceso a la nube (CASB) son software que se ubican entre los usuarios de la nube y las aplicaciones en la nube para brindar visibilidad sobre el uso de las aplicaciones en la nube, la protección de datos y la gobernanza para monitorear toda la actividad y hacer cumplir las políticas de seguridad. [18]
Cualquier servicio que no tenga un entorno "reforzado" se considera un objetivo "blando". Los servidores virtuales deben estar protegidos, al igual que un servidor físico, contra fugas de datos , malware y vulnerabilidades explotadas. "La pérdida o fuga de datos representa el 24,6% y el malware relacionado con la nube el 3,4% de las amenazas que provocan interrupciones en la nube". [19]
Cada empresa tendrá su propio sistema de gestión de identidad para controlar el acceso a la información y a los recursos informáticos. Los proveedores de la nube integran el sistema de gestión de identidad del cliente en su propia infraestructura, utilizando tecnología de federación o SSO o un sistema de identificación basado en biometría [1] , o proporcionan un sistema de gestión de identidad propio [20] . CloudID [1] , por ejemplo, proporciona una identificación biométrica basada en la nube y entre empresas que preserva la privacidad. Vincula la información confidencial de los usuarios con sus datos biométricos y la almacena de forma cifrada. Al utilizar una técnica de cifrado que permite realizar búsquedas, la identificación biométrica se realiza en el dominio cifrado para asegurarse de que el proveedor de la nube o los posibles atacantes no obtengan acceso a ningún dato confidencial o incluso al contenido de las consultas individuales [1] .
Los proveedores de servicios en la nube protegen físicamente el hardware informático (servidores, enrutadores, cables, etc.) contra accesos no autorizados, interferencias, robos, incendios, inundaciones, etc. y garantizan que los suministros esenciales (como la electricidad) sean lo suficientemente robustos como para minimizar la posibilidad de interrupciones. Esto normalmente se logra brindando servicios de aplicaciones en la nube desde centros de datos especificados, diseñados, construidos, administrados, monitoreados y mantenidos por profesionales.
Varias preocupaciones de seguridad de la información relacionadas con TI y otros profesionales asociados con los servicios en la nube generalmente se manejan a través de actividades previas, posteriores y parael empleo, como la evaluación de seguridad de los posibles reclutas, programas de capacitación y concientización sobre seguridad y de manera proactiva.
Los proveedores se aseguran de que todos los datos críticos (por ejemplo, números de tarjetas de crédito) estén enmascarados o cifrados y de que solo los usuarios autorizados tengan acceso a los datos en su totalidad. Además, las identidades y credenciales digitales deben estar protegidas, al igual que cualquier dato que el proveedor recopile o produzca sobre la actividad de los clientes en la nube.
Las pruebas de penetración son el proceso de realizar pruebas de seguridad ofensivas en un sistema, servicio o red informática para encontrar debilidades de seguridad en él. Dado que la nube es un entorno compartido con otros clientes o inquilinos, seguir las reglas de participación en las pruebas de penetración paso a paso es un requisito obligatorio. El escaneo y las pruebas de penetración desde dentro o fuera de la nube deben ser autorizados por el proveedor de la nube. La violación de las políticas de uso aceptable puede dar lugar a la terminación del servicio. [21]
Analizar la nube desde fuera y desde dentro con productos gratuitos o comerciales es crucial porque sin un entorno reforzado, su servicio se considera un objetivo fácil. Los servidores virtuales deben reforzarse al igual que un servidor físico contra fugas de datos , malware y vulnerabilidades explotadas. "La pérdida o fuga de datos representa el 24,6% y el malware relacionado con la nube el 3,4% de las amenazas que provocan interrupciones en la nube".
El proveedor de la nube debe autorizar el escaneo y las pruebas de penetración desde dentro o fuera de la nube. Dado que la nube es un entorno compartido con otros clientes o inquilinos, es obligatorio seguir las reglas de participación en las pruebas de penetración paso a paso. La violación de las políticas de uso aceptable puede dar lugar a la terminación del servicio. Una terminología clave que se debe comprender cuando se habla de pruebas de penetración es la diferencia entre pruebas de capa de aplicación y de red. Entender lo que se le pide a usted como evaluador es a veces el paso más importante del proceso. Las pruebas de capa de red se refieren a las pruebas que incluyen conexiones internas/externas, así como los sistemas interconectados en toda la red local. A menudo, se llevan a cabo ataques de ingeniería social, ya que el vínculo más vulnerable en materia de seguridad suele ser el empleado.
Prueba de caja blanca
Prueba bajo la condición de que el “atacante” tenga pleno conocimiento de la red interna, su diseño e implementación.
Prueba de caja gris
Prueba bajo la condición de que el “atacante” tenga conocimiento parcial de la red interna, su diseño e implementación.
Prueba de caja negra
Prueba bajo la condición de que el “atacante” no tenga conocimiento previo de la red interna, su diseño e implementación.
Existen numerosas amenazas de seguridad asociadas con los servicios de datos en la nube. Esto incluye amenazas tradicionales y no tradicionales. Las amenazas tradicionales incluyen: escuchas ilegales de red , invasión ilegal y ataques de denegación de servicio, pero también amenazas específicas de computación en la nube, como ataques de canal lateral, vulnerabilidades de virtualización y abuso de servicios en la nube. Para mitigar estas amenazas, los controles de seguridad a menudo se basan en la supervisión de las tres áreas de la tríada CIA. La tríada CIA se refiere a la confidencialidad (incluida la capacidad de control del acceso, que se puede comprender mejor a partir de lo siguiente. [22] ), la integridad y la disponibilidad.
Muchas medidas de seguridad eficaces cubren varias o todas las tres categorías. Por ejemplo, el cifrado puede utilizarse para evitar el acceso no autorizado y también para garantizar la integridad de los datos. Por otra parte, las copias de seguridad generalmente cubren la integridad y la disponibilidad, mientras que los cortafuegos solo cubren la confidencialidad y el control del acceso. [23]
La confidencialidad de los datos es la propiedad de que el contenido de los datos no se pone a disposición ni se revela a usuarios ilegales. Los datos subcontratados se almacenan en una nube y están fuera del control directo de los propietarios. Solo los usuarios autorizados pueden acceder a los datos confidenciales, mientras que otros, incluidos los CSP, no deben obtener ninguna información sobre los datos. Mientras tanto, los propietarios de los datos esperan utilizar plenamente los servicios de datos en la nube, por ejemplo, búsqueda de datos, cálculo de datos y uso compartido de datos , sin que se filtre el contenido de los datos a los CSP u otros adversarios. La confidencialidad se refiere a cómo los datos deben mantenerse estrictamente confidenciales para el propietario de dichos datos.
Un ejemplo de control de seguridad que cubre la confidencialidad es el cifrado, de modo que sólo los usuarios autorizados puedan acceder a los datos. Para el cifrado se puede utilizar el paradigma de clave simétrica o asimétrica. [24]
La capacidad de control del acceso significa que el propietario de los datos puede restringir de forma selectiva el acceso a sus datos externalizados en la nube. El propietario puede autorizar a los usuarios legales a acceder a los datos, mientras que otros no pueden hacerlo sin permiso. Además, es conveniente aplicar un control de acceso detallado a los datos externalizados, es decir, se deben conceder diferentes privilegios de acceso a los distintos usuarios con respecto a los distintos datos. La autorización de acceso debe estar controlada únicamente por el propietario en entornos de nube no confiables.
El control de acceso también puede denominarse disponibilidad. Si bien el acceso no autorizado debe prohibirse estrictamente, el acceso para usos administrativos o incluso de consumidores debe permitirse, pero también debe supervisarse. La disponibilidad y el control de acceso garantizan que se otorgue la cantidad adecuada de permisos a las personas correctas.
La integridad de los datos exige mantener y garantizar la precisión y la integridad de los mismos. El propietario de los datos siempre espera que sus datos en la nube se puedan almacenar de forma correcta y fiable. Esto significa que los datos no deben ser manipulados ilegalmente, modificados de forma indebida, eliminados deliberadamente ni fabricados de forma maliciosa. Si alguna operación no deseada corrompe o elimina los datos, el propietario debe poder detectar la corrupción o la pérdida. Además, cuando una parte de los datos subcontratados se corrompe o se pierde, los usuarios de los datos pueden recuperarla. Los controles de seguridad de integridad eficaces van más allá de la protección contra agentes maliciosos y también protegen los datos de alteraciones no intencionadas.
Un ejemplo de control de seguridad que cubre la integridad son las copias de seguridad automatizadas de la información.
Si bien la computación en la nube está a la vanguardia de la tecnología de la información, existen riesgos y vulnerabilidades que se deben tener en cuenta antes de invertir en ella. Existen controles y servicios de seguridad para la nube, pero, como sucede con cualquier sistema de seguridad, no se garantiza su éxito. Además, algunos riesgos van más allá de la seguridad de los activos y pueden implicar problemas de productividad e incluso de privacidad. [25]
La computación en la nube es todavía una tecnología emergente y, por lo tanto, se está desarrollando en estructuras tecnológicas relativamente nuevas. Como resultado, todos los servicios en la nube deben realizar evaluaciones de impacto sobre la privacidad (PIA) antes de lanzar su plataforma. Los consumidores que tengan la intención de utilizar nubes para almacenar los datos de sus clientes también deben ser conscientes de las vulnerabilidades de tener un almacenamiento no físico para la información privada. [26]
Debido a la naturaleza autónoma de la nube, los consumidores suelen disponer de interfaces de gestión para supervisar sus bases de datos. Al disponer de controles en una ubicación tan concentrada y de una interfaz de fácil acceso para la comodidad de los usuarios, existe la posibilidad de que un único actor pueda obtener acceso a la interfaz de gestión de la nube, lo que le otorgaría un gran control y poder sobre la base de datos. [27]
Las capacidades de la nube para asignar recursos según sea necesario a menudo dan como resultado que los recursos en la memoria y en otros lugares se reciclen para otro usuario en un evento posterior. En el caso de estos recursos de memoria o almacenamiento, los usuarios actuales podrían tener acceso a la información que dejaron los usuarios anteriores. [27]
La nube requiere una conexión a Internet y, por lo tanto, protocolos de Internet para acceder a ella. Por lo tanto, está expuesta a muchas vulnerabilidades de protocolos de Internet, como ataques de intermediarios. Además, al depender en gran medida de la conectividad a Internet, si la conexión falla, los consumidores quedarán completamente aislados de cualquier recurso de la nube. [27]
La criptografía es un campo y una tecnología en constante crecimiento. Lo que era seguro hace 10 años puede considerarse un riesgo de seguridad significativo según los estándares actuales. A medida que la tecnología continúa avanzando y las tecnologías más antiguas se vuelven obsoletas, surgirán nuevos métodos para romper los cifrados, así como fallas fatales en los métodos de cifrado más antiguos. Los proveedores de la nube deben mantenerse actualizados con su cifrado, ya que los datos que suelen contener son especialmente valiosos. [28]
La legislación sobre privacidad varía a menudo de un país a otro. Al almacenar información en la nube, es difícil determinar en qué jurisdicciones se encuentran los datos. Las nubes transfronterizas son especialmente populares, dado que las empresas más grandes trascienden varios países. Otros dilemas legales derivados de la ambigüedad de la nube se refieren a la diferencia en la regulación de la privacidad entre la información compartida entre organizaciones y la información compartida dentro de ellas. [26]
Existen varios tipos diferentes de ataques a la computación en la nube, uno que aún no se ha explotado es el ataque a la infraestructura. Aunque no se conoce por completo, se lo considera el ataque con mayor recompensa. [29] Lo que lo hace tan peligroso es que la persona que lleva a cabo el ataque puede obtener un nivel de privilegio que le permite tener acceso básicamente a la raíz de la máquina. Es muy difícil defenderse de ataques como estos porque son muy impredecibles y desconocidos; los ataques de este tipo también se denominan exploits de día cero porque son difíciles de defender ya que las vulnerabilidades eran previamente desconocidas y no se controlaban hasta que el ataque ya ha ocurrido.
Los ataques DoS tienen como objetivo que los sistemas no estén disponibles para sus usuarios. Dado que el software de computación en la nube es utilizado por una gran cantidad de personas, resolver estos ataques es cada vez más difícil. Ahora que la computación en la nube está en auge, esto ha dejado nuevas oportunidades para los ataques debido a la virtualización de los centros de datos y al uso cada vez mayor de los servicios en la nube. [30]
Con la pandemia mundial que comenzó a principios de 2020, se produjo un cambio masivo hacia el trabajo remoto, por lo que las empresas se volvieron más dependientes de la nube. Este cambio masivo no ha pasado desapercibido, especialmente para los ciberdelincuentes y los actores maliciosos, muchos de los cuales vieron la oportunidad de atacar la nube debido a este nuevo entorno de trabajo remoto. Las empresas deben recordar constantemente a sus empleados que se mantengan alerta, especialmente de forma remota. Mantenerse constantemente actualizado con las últimas medidas y políticas de seguridad, los errores en la comunicación son algunas de las cosas que estos ciberdelincuentes buscan y de las que se aprovechan.
Trasladar el trabajo al hogar fue fundamental para que los trabajadores pudieran continuar, pero cuando se produjo la transición al trabajo remoto, surgieron rápidamente varios problemas de seguridad. La necesidad de privacidad de los datos, el uso de aplicaciones, dispositivos personales e Internet pasaron a primer plano. La pandemia ha generado grandes cantidades de datos, especialmente en el sector de la salud. Ahora, más que nunca, se acumulan grandes cantidades de datos para el sector de la salud debido a la creciente pandemia de coronavirus. La nube tiene que poder organizar y compartir los datos con sus usuarios de forma segura. La calidad de los datos busca cuatro cosas: precisión, redundancia, integridad y coherencia. [31]
Los usuarios tuvieron que pensar en el hecho de que se comparten cantidades masivas de datos a nivel mundial. Los diferentes países tienen ciertas leyes y regulaciones que deben cumplirse. Las diferencias en políticas y jurisdicciones dan lugar al riesgo que implica la nube. Los trabajadores están utilizando más sus dispositivos personales ahora que trabajan desde casa. Los delincuentes ven este aumento como una oportunidad para explotar a las personas, se desarrolla software para infectar los dispositivos de las personas y obtener acceso a su nube. La pandemia actual ha puesto a las personas en una situación en la que son increíblemente vulnerables y susceptibles a los ataques. El cambio al trabajo remoto fue tan repentino que muchas empresas simplemente no estaban preparadas para lidiar con las tareas y la carga de trabajo posterior en la que se han visto profundamente atrincheradas. Se deben implementar medidas de seguridad más estrictas para aliviar esa nueva tensión dentro de las organizaciones.
Los ataques que se pueden realizar a los sistemas de computación en la nube incluyen ataques de intermediarios , ataques de phishing , ataques de autenticación y ataques de malware. Una de las mayores amenazas se considera ataques de malware, como los caballos de Troya .
Una investigación reciente realizada en 2022 ha revelado que el método de inyección de troyanos es un problema grave con efectos nocivos en los sistemas de computación en la nube. Un ataque de troyanos a los sistemas en la nube intenta insertar una aplicación o servicio en el sistema que puede afectar a los servicios en la nube modificando o deteniendo las funcionalidades. Cuando el sistema en la nube identifica los ataques como legítimos, se ejecuta el servicio o la aplicación que puede dañar e infectar el sistema en la nube. [32]
Algunos algoritmos de cifrado avanzados que se han aplicado a la computación en la nube aumentan la protección de la privacidad. En una práctica denominada criptodestrucción , las claves pueden eliminarse simplemente cuando ya no se utilizan los datos.
El cifrado basado en atributos es un tipo de cifrado de clave pública en el que la clave secreta de un usuario y el texto cifrado dependen de atributos (por ejemplo, el país en el que vive o el tipo de suscripción que tiene). En un sistema de este tipo, el descifrado de un texto cifrado solo es posible si el conjunto de atributos de la clave del usuario coincide con los atributos del texto cifrado.
Algunas de las ventajas del cifrado basado en atributos son que intenta resolver problemas que existen en las implementaciones actuales de infraestructura de clave pública (PKI) y cifrado basado en identidad (IBE). Al depender de atributos, ABE evita la necesidad de compartir claves directamente, como con PKI, así como de conocer la identidad del receptor, como con IBE.
Estos beneficios tienen un costo, ya que ABE sufre el problema de la redistribución de claves de descifrado. Dado que las claves de descifrado en ABE solo contienen información sobre la estructura de acceso o los atributos del usuario, es difícil verificar la identidad real del usuario. Por lo tanto, los usuarios malintencionados pueden filtrar intencionalmente la información de sus atributos para que usuarios no autorizados puedan imitarlos y obtener acceso. [33]
El algoritmo ABE de política de texto cifrado (CP-ABE) es un tipo de cifrado de clave pública. En el CP-ABE, el cifrador controla la estrategia de acceso. El principal trabajo de investigación del CP-ABE se centra en el diseño de la estructura de acceso. Un esquema de cifrado basado en atributos de política de texto cifrado consta de cuatro algoritmos: Setup, Encrypt, KeyGen y Decrypt. [34] El algoritmo Setup toma parámetros de seguridad y una descripción del universo de atributos como entrada y genera parámetros públicos y una clave maestra. El algoritmo de cifrado toma datos como entrada. Luego los cifra para producir un texto cifrado que solo un usuario que posee un conjunto de atributos que satisface la estructura de acceso descifrará el mensaje. Luego, el algoritmo KeyGen toma la clave maestra y los atributos del usuario para desarrollar una clave privada. Finalmente, el algoritmo Decrypt toma los parámetros públicos, el texto cifrado, la clave privada y los atributos del usuario como entrada. Con esta información, el algoritmo primero verifica si los atributos de los usuarios satisfacen la estructura de acceso y luego descifra el texto cifrado para devolver los datos.
El cifrado basado en atributos de política de claves, o KP-ABE, es un tipo importante de cifrado basado en atributos . KP-ABE permite a los remitentes cifrar sus mensajes bajo un conjunto de atributos, de forma muy similar a cualquier sistema de cifrado basado en atributos. Para cada cifrado, se generan claves de usuario privadas que contienen algoritmos de descifrado para descifrar el mensaje y estas claves de usuario privadas otorgan a los usuarios acceso a mensajes específicos a los que corresponden. En un sistema KP-ABE, los textos cifrados , o los mensajes cifrados, son etiquetados por los creadores con un conjunto de atributos, mientras que se emiten las claves privadas del usuario que especifican qué tipo de textos cifrados puede descifrar la clave. [35] Las claves privadas controlan qué textos cifrados puede descifrar un usuario. [36] En KP-ABE, los conjuntos de atributos se utilizan para describir los textos cifrados y las claves privadas se asocian a la política especificada que tendrán los usuarios para el descifrado de los textos cifrados. Una desventaja de KP-ABE es que en KP-ABE el encriptador no controla quién tiene acceso a los datos encriptados, excepto a través de atributos descriptivos, lo que crea una dependencia de que el emisor de la clave conceda o deniegue el acceso a los usuarios. De ahí la creación de otros sistemas ABE como el cifrado basado en atributos de política de texto cifrado. [37]
El cifrado totalmente homomórfico es un criptosistema que admite el cálculo arbitrario de texto cifrado y también permite calcular la suma y el producto de los datos cifrados sin descifrarlos. Otra característica interesante del cifrado totalmente homomórfico o FHE, por sus siglas en inglés, es que permite ejecutar operaciones sin la necesidad de una clave secreta. [38] El FHE se ha relacionado no solo con la computación en la nube, sino también con la votación electrónica. El cifrado totalmente homomórfico ha sido especialmente útil con el desarrollo de la computación en la nube y las tecnologías informáticas. Sin embargo, a medida que estos sistemas se desarrollan, también ha aumentado la necesidad de seguridad en la nube. El FHE tiene como objetivo proteger la transmisión de datos, así como el almacenamiento de la computación en la nube con sus algoritmos de cifrado. [39] Su objetivo es ser un método de cifrado mucho más seguro y eficiente a mayor escala para manejar las capacidades masivas de la nube.
El cifrado buscable es un sistema criptográfico que ofrece funciones de búsqueda seguras sobre datos cifrados. [40] [41] Los esquemas SE se pueden clasificar en dos categorías: SE basado en criptografía de clave secreta (o clave simétrica) y SE basado en criptografía de clave pública. Para mejorar la eficiencia de la búsqueda, el SE de clave simétrica generalmente crea índices de palabras clave para responder a las consultas de los usuarios. Esto tiene la desventaja obvia de proporcionar rutas de acceso multimodales para la recuperación de datos no autorizados, evitando el algoritmo de cifrado al someter el marco a parámetros alternativos dentro del entorno de nube compartida. [42]
Existen numerosas leyes y normativas relacionadas con el almacenamiento y el uso de datos. En los EE. UU., estas incluyen leyes de privacidad o protección de datos, la Norma de seguridad de datos de la industria de tarjetas de pago (PCI DSS), la Ley de portabilidad y responsabilidad de seguros médicos (HIPAA), la Ley Sarbanes-Oxley , la Ley federal de gestión de seguridad de la información de 2002 (FISMA) y la Ley de protección de la privacidad infantil en línea de 1998 , entre otras. Existen normas similares en otras jurisdicciones, por ejemplo, la Norma de seguridad en la nube de varios niveles de Singapur .
Es posible que se apliquen leyes similares en distintas jurisdicciones jurídicas y que difieran considerablemente de las que se aplican en los EE. UU. Es posible que los usuarios de servicios en la nube deban tener en cuenta las diferencias legales y reglamentarias entre las jurisdicciones. Por ejemplo, los datos almacenados por un proveedor de servicios en la nube pueden estar ubicados, por ejemplo, en Singapur y reflejados en los EE. UU. [43]
Muchas de estas regulaciones exigen controles específicos (como controles de acceso estrictos y registros de auditoría) y requieren informes periódicos. Los clientes de la nube deben asegurarse de que sus proveedores de servicios en la nube cumplan adecuadamente con dichos requisitos, lo que les permite cumplir con sus obligaciones, ya que, en gran medida, siguen siendo responsables.
Además de las cuestiones de seguridad y cumplimiento enumeradas anteriormente, los proveedores de la nube y sus clientes negociarán términos en torno a la responsabilidad (estipulando cómo se resolverán los incidentes que impliquen pérdida o compromiso de datos, por ejemplo), la propiedad intelectual y el fin del servicio (cuando los datos y las aplicaciones se devuelven finalmente al cliente). Además, existen consideraciones para la adquisición de datos de la nube que pueden estar involucradas en litigios. [46] Estas cuestiones se analizan en los acuerdos de nivel de servicio (SLA).
Las cuestiones legales también pueden incluir requisitos de conservación de registros en el sector público , donde muchas agencias están obligadas por ley a conservar y poner a disposición registros electrónicos de una manera específica. Esto puede estar determinado por la legislación, o la ley puede exigir que las agencias se ajusten a las normas y prácticas establecidas por una agencia de conservación de registros. Las agencias públicas que utilizan la computación y el almacenamiento en la nube deben tener en cuenta estas preocupaciones.