Compa
Páginas: 38 (9331 palabras)
Publicado: 21 de diciembre de 2011
RIESGOS Y AMENAZAS EN CLOUD COMPUTING
INTECO-CERT
Marzo 2011
La presente publicación pertenece al Instituto Nacional de Tecnología de la Comunicación (INTECO) y esta bajo licencia Reconocimiento-No comercial 3.0 España de Creative Commons, y por ello estar permitido copiar, distribuir y comunicar públicamente esta obra bajo las condiciones siguientes: Reconocimiento: El contenido deeste informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra. Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados yexhibidos mientras su uso no tenga fines comerciales. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO.http://creativecommons.org/licenses/by-ncsa/3.0/es/ El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Así, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la secciónAccesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es
Riesgos y amenazas en Cloud Computing
2
ÍNDICE
1. 2. INTRODUCCIÓN CLOUD COMPUTING 2.1. Tipos de Infraestructuras cloud 2.1.1. 2.1.2. 2.1.3. 2.1.4. 2.2. 2.2.1. 2.2.2. 2.2.3. 3. Público Privado Comunitario Híbridos Software como Servicio (SaaS) Plataforma como Servicio (PaaS) Infraestructura como Servicio (IaaS)5 6 6 6 7 8 9 10 10 11 11 12 12 12 13 13 14 14 15 15 16 16 16 16 17 17 17 17 17 18 18 19 21 23
Tipos de servicios Cloud
SEGURIDAD EN CLOUD 3.1. Amenazas según CSA (Cloud Security Alliance) 3.1.1. 3.1.2. 3.1.3. 3.1.4. 3.1.5. 3.1.6. 3.1.7. 3.2. 3.2.1. 3.2.2. 3.2.3. 3.2.4. 3.2.5. 3.2.6. 3.2.7. 3.3. 3.3.1. 3.3.2. 3.3.3. 3.3.4. 3.3.5. Abuso y mal uso del cloud computing Interfaces y API pocoseguros Amenaza interna Problemas derivados de las tecnologías compartidas Perdida o fuga de información Secuestro de sesión o servicio Riesgos por desconocimiento Accesos de usuarios con privilegios Cumplimento normativo Localización de los datos Aislamiento de datos Recuperación Soporte investigativo Viabilidad a largo plazo Gobernanza Cumplimiento Confianza Arquitectura Identidad y control deacceso
Riesgos detectados por Gartner
Aspectos clave de seguridad en cloud según NIST
Informe sobre la seguridad en IPv6
3
3.3.6. 3.3.7. 3.3.8. 3.3.9. 3.4. 4. 5. 6.
Aislamiento de Software Protección de Datos Disponibilidad Respuesta a incidentes
24 25 26 28 28 30 31 32
Recomendaciones de seguridad según NIST
CONCLUSIONES GLOSARIO REFERENCIAS
Riesgos y amenazas en CloudComputing
4
1.
INTRODUCCIÓN
En la actualidad una de las tendencias del mercado de los sistemas de información es la proliferación de los servicios operando en la nube, los cuales son servicios que permiten la asignación dinámica de recursos en función de necesidades de los clientes y que aportan una reducción de costes en infraestructuras considerable. La reciente publicación del NIST(National Institute of Standards and Technologies) «Guidelines on Security and Privacy in Public Cloud Computing» pone de manifiesto, además de la actualidad de este nuevo modelo para la distribución de servicios y aplicaciones, la necesidad de difundir buenas prácticas de seguridad para este modelo. Este no es el único documento que refleja la creciente preocupación por la seguridad en estas...
INTECO-CERT
Marzo 2011
La presente publicación pertenece al Instituto Nacional de Tecnología de la Comunicación (INTECO) y esta bajo licencia Reconocimiento-No comercial 3.0 España de Creative Commons, y por ello estar permitido copiar, distribuir y comunicar públicamente esta obra bajo las condiciones siguientes: Reconocimiento: El contenido deeste informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra. Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados yexhibidos mientras su uso no tenga fines comerciales. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO.http://creativecommons.org/licenses/by-ncsa/3.0/es/ El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Así, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la secciónAccesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es
Riesgos y amenazas en Cloud Computing
2
ÍNDICE
1. 2. INTRODUCCIÓN CLOUD COMPUTING 2.1. Tipos de Infraestructuras cloud 2.1.1. 2.1.2. 2.1.3. 2.1.4. 2.2. 2.2.1. 2.2.2. 2.2.3. 3. Público Privado Comunitario Híbridos Software como Servicio (SaaS) Plataforma como Servicio (PaaS) Infraestructura como Servicio (IaaS)5 6 6 6 7 8 9 10 10 11 11 12 12 12 13 13 14 14 15 15 16 16 16 16 17 17 17 17 17 18 18 19 21 23
Tipos de servicios Cloud
SEGURIDAD EN CLOUD 3.1. Amenazas según CSA (Cloud Security Alliance) 3.1.1. 3.1.2. 3.1.3. 3.1.4. 3.1.5. 3.1.6. 3.1.7. 3.2. 3.2.1. 3.2.2. 3.2.3. 3.2.4. 3.2.5. 3.2.6. 3.2.7. 3.3. 3.3.1. 3.3.2. 3.3.3. 3.3.4. 3.3.5. Abuso y mal uso del cloud computing Interfaces y API pocoseguros Amenaza interna Problemas derivados de las tecnologías compartidas Perdida o fuga de información Secuestro de sesión o servicio Riesgos por desconocimiento Accesos de usuarios con privilegios Cumplimento normativo Localización de los datos Aislamiento de datos Recuperación Soporte investigativo Viabilidad a largo plazo Gobernanza Cumplimiento Confianza Arquitectura Identidad y control deacceso
Riesgos detectados por Gartner
Aspectos clave de seguridad en cloud según NIST
Informe sobre la seguridad en IPv6
3
3.3.6. 3.3.7. 3.3.8. 3.3.9. 3.4. 4. 5. 6.
Aislamiento de Software Protección de Datos Disponibilidad Respuesta a incidentes
24 25 26 28 28 30 31 32
Recomendaciones de seguridad según NIST
CONCLUSIONES GLOSARIO REFERENCIAS
Riesgos y amenazas en CloudComputing
4
1.
INTRODUCCIÓN
En la actualidad una de las tendencias del mercado de los sistemas de información es la proliferación de los servicios operando en la nube, los cuales son servicios que permiten la asignación dinámica de recursos en función de necesidades de los clientes y que aportan una reducción de costes en infraestructuras considerable. La reciente publicación del NIST(National Institute of Standards and Technologies) «Guidelines on Security and Privacy in Public Cloud Computing» pone de manifiesto, además de la actualidad de este nuevo modelo para la distribución de servicios y aplicaciones, la necesidad de difundir buenas prácticas de seguridad para este modelo. Este no es el único documento que refleja la creciente preocupación por la seguridad en estas...
Leer documento completo
Regístrate para leer el documento completo.