PDF de programación - Riesgos y amenazas en cloud computing

RIESGOS Y AMENAZAS EN

CLOUD COMPUTING



INTECO-CERT

Marzo 2011





La presente publicación pertenece al Instituto Nacional de Tecnología de la Comunicación (INTECO) y esta bajo
licencia Reconocimiento-No comercial 3.0 España de Creative Commons, y por ello estar permitido copiar, distribuir
y comunicar públicamente esta obra bajo las condiciones siguientes:



Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros,
citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web:
www.inteco.es. Dicho reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho
tercero o apoya el uso que hace de su obra.

Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y
exhibidos mientras su uso no tenga fines comerciales.


Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas
condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en
esta licencia menoscaba o restringe los derechos morales de INTECO. http://creativecommons.org/licenses/by-nc-
sa/3.0/es/

El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format).
Así, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual,
marcado de idioma y orden de lectura adecuado.

Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible
en la sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es


Riesgos y amenazas en Cloud Computing

2

ÍNDICE

1.

2.

INTRODUCCIÓN

CLOUD COMPUTING

2.1.

Tipos de Infraestructuras cloud

2.1.1.

2.1.2.

2.1.3.

2.1.4.

Público

Privado

Comunitario

Híbridos

2.2.

Tipos de servicios Cloud

2.2.1.

2.2.2.

2.2.3.

Software como Servicio (SaaS)

Plataforma como Servicio (PaaS)

Infraestructura como Servicio (IaaS)

3.

SEGURIDAD EN CLOUD

3.1.

Amenazas según CSA (Cloud Security Alliance)

3.1.1.

3.1.2.

3.1.3.

3.1.4.

3.1.5.

3.1.6.

3.1.7.

Abuso y mal uso del cloud computing

Interfaces y API poco seguros

Amenaza interna

Problemas derivados de las tecnologías compartidas

Perdida o fuga de información

Secuestro de sesión o servicio

Riesgos por desconocimiento

3.2.

Riesgos detectados por Gartner

3.2.1.

3.2.2.

3.2.3.

3.2.4.

3.2.5.

3.2.6.

3.2.7.

Accesos de usuarios con privilegios

Cumplimento normativo

Localización de los datos

Aislamiento de datos

Recuperación

Soporte investigativo

Viabilidad a largo plazo

3.3.

Aspectos clave de seguridad en cloud según NIST

3.3.1.

3.3.2.

3.3.3.

3.3.4.

3.3.5.

Gobernanza

Cumplimiento

Confianza

Arquitectura

Identidad y control de acceso

Informe sobre la seguridad en IPv6



5

6

6

6

7

8

9

10

10

11

11

12

12

12

13

13

14

14

15

15

16

16

16

16

17

17

17

17

17

18

18

19

21

23

3

3.3.6.

3.3.7.

3.3.8.

3.3.9.

Aislamiento de Software

Protección de Datos

Disponibilidad

Respuesta a incidentes

3.4.

Recomendaciones de seguridad según NIST

4.

CONCLUSIONES

5. GLOSARIO

6.

REFERENCIAS



24

25

26

28

28

30

31

32

Riesgos y amenazas en Cloud Computing

4



1.

INTRODUCCIÓN

En la actualidad una de las tendencias del mercado de los sistemas de información es la
proliferación de los servicios operando en la nube, los cuales son servicios que permiten la
asignación dinámica de recursos en función de necesidades de los clientes y que aportan
una reducción de costes en infraestructuras considerable.

La reciente publicación del NIST (National Institute of Standards and Technologies)
«Guidelines on Security and Privacy in Public Cloud Computing» pone de manifiesto,
además de la actualidad de este nuevo modelo para la distribución de servicios y
aplicaciones, la necesidad de difundir buenas prácticas de seguridad para este modelo. Este
no es el único documento que refleja la creciente preocupación por la seguridad en estas
plataformas, como se refleja en documentos de entidades de referencia que también
abordan este tema.

El informe siguiente resume algunos de estos documentos con el propósito de facilitar una
visión general de amenazas, riesgos y aspectos a considerar en la seguridad en cloud.

Este informe realiza, en primer lugar, una descripción de los tipos de infraestructuras y
servicios cloud para, a continuación, abordar los distintos elementos que han de tenerse en
cuenta para abordar su seguridad, según el citado documento del NIST e informes recientes
de la organización internacional CSA (Cloud Security Alliance) y de la consultora Gartner.

Las preocupaciones que derivan de estos informes se centran en aspectos la gestión de
los datos, fundamentalmente en la propiedad de los mismos y la forma de operarlos y
tratarlos por parte de los proveedores, así como en la identificación y control de acceso a
los recursos.



Riesgos y amenazas en Cloud Computing

5



2. CLOUD COMPUTING

Cloud computing se ha definido por el NIST1 como un modelo para hacer posible el acceso
a red adecuado y bajo demanda a un conjunto de recursos de computación configurables y
compartidos (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios…)
cuyo aprovisionamiento y liberación puede realizarse con rapidez y con un mínimo esfuerzo
de gestión e interacción por parte del proveedor del cloud.

El origen del término está en el gráfico de uso común para representar Internet como si
fuera una nube (cloud). Los recursos de computación (hardware y software) de estos
modelos están disponibles a través de Internet.

A continuación, se describen los distintos tipos de infraestructuras y servicios cloud.

2.1.

TIPOS DE INFRAESTRUCTURAS CLOUD

Atendiendo a la titularidad de la infraestructura en la nube se pueden distinguir tres tipos de
infraestructuras cloud: privada, pública y comunitaria. A continuación se presentan las
ventajas e inconvenientes de cada uno.

2.1.1.

Público

Es aquel tipo de cloud en el cual la infraestructura y los recursos lógicos que forman parte
del entorno se encuentran disponibles para el público en general a través de Internet.

Suele ser propiedad de un proveedor que gestiona la infraestructura y el servicio o servicios
que se ofrecen.

Ventajas

Inconvenientes

Escalabilidad.

Se comparte la infraestructura con más

organizaciones.

Eficiencia de los recursos mediante los

Poca transparencia para el cliente, ya que

modelos de pago por uso.

no se conoce el resto de servicios que

comparten recursos, almacenamiento, etc.

Gran ahorro de tiempo y costes.

Dependencia de la seguridad de un tercero.



1 Peter Mell, Tim Grance, The NIST Definition of Cloud Computing, Version 15,
October 7, 2009, <URL: http://csrc.nist.gov/groups/SNS/cloud-computing>.

Riesgos y amenazas en Cloud Computing

6





Imagen 1: Cloud Público

Fuente: INTECO-CERT

2.1.2.

Privado



Este tipo de infraestructuras cloud se crean con los recursos propios de la empresa que lo
implanta, generalmente con la ayuda de empresas especializadas en este tipo de
tecnologías.

Ventajas

Inconvenientes

Cumplimiento de las políticas internas.

Elevado coste material.

Facilidad para trabajo colaborativo entre

Dependencia de la infraestructura

sedes distribuidas.

contratada.

Control total de los recursos.

Retorno de inversión lento dado su carácter

de servicio interno.

Riesgos y amenazas en Cloud Computing

7

Empresa ACloud PúblicoParticulares

Imagen 2: Cloud Privado



Fuente: INTECO-CERT

2.1.3.

Comunitario



Un cloud comunitario se da cuando dos o más organizaciones forman una alianza para
implementar una infraestructura cloud orientada a objetivos similares y con un marco de
seguridad y privacidad común.

Ventajas

Inconvenientes

Cumplimiento con las políticas internas.

Seguridad dependiente del anfitrión de la

infraestructura.

Reducción de costes al compartir la

Dependencia de la infraestructura

infraestructura y recursos.

contratada.

Rápido retorno de inversión.



Riesgos y amenazas en Cloud Computing

8

Empresa ACloud Privado

Imagen 3: Cloud Comunitario



Fuente: INTECO-CERT



2.1.4.

Híbridos



Este es un término amplio que implica la utilización conjunta de varias infraestructuras cloud
de cualquiera de los tres tipos anteriores, que se mantienen como entidades separadas pero
que a su vez se encuentran unidas por la tecnología estandarizada o propietaria,
proporcionando una portabilidad de datos y aplicaciones.

En este caso las ventajas e inconvenientes son los mismos que los relativos a los tipos de
cloud que incluya la infraestructura.



Riesgos y amenazas en Cloud Computing

9

Empresa BEmpresa AEmpresa CCloud Comunitario



Imagen 4: Cloud Hibrido



Fuente: INTECO-CERT



2.2.

TIPOS DE SERVICIOS CLOUD

Los servicios en cloud pueden identificarse según se ofrezca software, plataformas o
infraestructuras como servicio.

2.2.1.

Software como servicio (SaaS)

Este modelo, Software como servicio o SaaS (del inglés, Software as a Service) consiste en
un despliegue de software en el cual las aplicaciones y los recursos computacionales se han
diseñado para ser ofrecidos como servicios de funcionamiento bajo demanda, con estructura
de serv