Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Seguridad En La Nube
Lelio García, Juan Oviedo, Robinson Borrero.
Escuela de Ciencias Básicas Tecnología e Ingeniería, Universidad Nacional Abierta y a Distancia (UNAD)
Bogotá - Colombia
leliogamada@yahoo.es
juango.ot26@gmail.com
raborrero@hotmail.com
jaredsa@msn.com
Abstract— El presente documento implementa un modelo de Morilo, 2012); De esta manera cada uno de los procesos y recursos
seguridad para los servicios en la NUBE, mejor conocido como tecnológicos que anteriormente se desarrollaban de forma local en
Cloud Computing, que permite el desarrollo de herramientas de redes privadas, ahora se introducen como servicios virtuales, alojados
software y nuevos métodos de protección. En primer lugar, se de manera externa a la organización, generalmente utilizando redes
muestra el análisis de mecanismos, procesos y modelos utilizados públicas como Internet.
por los distintos proveedores de estos servicios para protección;
además se analiza los riesgos y amenazas presentes en el Cloud
Computing. En segundo lugar, a través de estudios documentales B. TIPOS DE NUBE
(“estado del arte”) sobre herramientas, Normas, Protocolos y
mecanismos de seguridad informática, se identifica los actuales
avances en desarrollo, propuestas y modelos avanzados de
seguridad en la Nube
1. Fig. Tipos de Nube
siglas en inglés) define este modelo como aquel que se organiza con PaaS (Platform as a Service)
la finalidad de servir a una función o propósito común (seguridad,
política…), y son administradas por las organizaciones constituyentes
o terceras partes.
D. NORMAS DE SEGURIDAD
evaluación de los riesgos posibles a los que esté expuesta la La certificación ISO 27000 es considerada en la actualidad una
información minimizando el riesgo. obligación de cualquier organización que desee exigir niveles
concretos y adecuados de seguridad informática. (Agustín, 2005)
En este sentido existen estándares diseñados para la protección de
la información como son ISO/IEC, encargados de proporcionan un
marco de la gestión de la seguridad de la información utilizable para
E. SEGURIDAD POR PARTE DEL PROVEEDOR
cualquier tipo de organización, privada o pública, pequeña o grande.
implementar un modelo de seguridad adecuado. IPS: (Instrusion Prevention System) o sistema de prevención de
intrusos. Establece politiza de seguridad para evitar el ataque al
El siguiente diagrama expone las áreas involucradas en la norma sistema usando como parámetros de detección:
para las organizaciones que exponen sus Infraestructuras de (Intrusion Detection System) o sistema de detección de intrusos sirve
información u ofrecen servicios como lo son el Cloud computing y para detectar ataques y accesos no autorizados. Existen dos clases de
la nube.
Asimismo, los IDS pueden ser sistemas pasivos -anotan la Como resultado se consolidaron esto factores como los más
incidencia y envían una alerta- o reactivos -ante una incidencia, se preocupantes:
aplican reglas de seguridad determinadas, como bloqueos en el
cortafuegos- y pueden implementarse tanto con hardware, software o 1-Consolidar toda la información en un mismo sitio
en combinación. Como ejemplo observamos que la compañía de servicios
almacenaje MediaMax, salió del mercado luego de que un error del
sistema eliminó toda la información de los clientes.
Como recomendación antes de implementar un servicio en la
nube, los usuarios y compañías deben clasificar la información a
administrar e implementar un sistema de back alternativo.
2-Exceso de confianza
El caso de Amazon Web Services es emblemático y los de
Sensepost lo analizaron con detenimiento. El proceso de utilización
del servicio implica iniciar una nueva instancia dentro de la EC2 de
8. Fig. Sguridad ContaFuegos y WAF. Amazon (Elastic Compute Cloud) y crear una AMI (Amazon
Machine Image) que contenga tus aplicaciones, librerías, información
Cortafuegos y WAF: El cortafuegos es en este caso un conjunto de
y datos. Como una alternativa puedes utilizar una imagen pre-
dispositivos que permite gestionar las conexiones entrantes y
configurada para estar listo para utilizar el servicio en un dos por tres.
salientes mediante la aplicación de reglas concretas de bloqueo o
Solo que hay un problema con eso. Mientras que Amazon nos ha
autorización, así como cifrar y descifrar el tráfico. Como herramienta
provisto con 47 imágenes de máquina (si se vale la traducción literal),
complementaria al cortafuegos está el WAF (Web Application
cuando los 2721 restantes fueron construidas por usuarios. ¿Cuántas
Firewall), un dispositivo físico que analiza el tráfico entre el servidor
de esas creen que fueron construidas de forma segura? El contenido
y la red WAN (red de área amplia) con el fin de proteger frente a
generado por usuarios puede ser descrito en una sola palabra:
diversos ataques. Su funcionamiento está diseñado conforme a dos
RIESGOSO.
modelos.
3-Manejo de contraseñas
Toda cuenta de todo usuario es tan solo tan segura como la
contraseña que le concede a ella.
La compañía SplashData, empresa experta en seguridad, presenta
cada año un listado de contraseña más comunes en el mundo, para
esto recopilo 3.3 millones de contraseñas filtradas durante el año
9. Fig. Amenazas y Vulnerabilidades en la Nube. 2014, encontrando los dos primeros lugares “123456” y “password”,
De acuerdo al estudio realizado por Sensepost sobre los factores estas siguen siendo las más comunes desde el año 2011.
de riesgo detectados en la nube, se indicaron varios ejemplos que dan La diferencia entre una red corporativa y una cuenta en línea es
como constante, unos comportamientos y prácticas que se están que, en un ecosistema de negocios, los administradores pueden crear
tipificando en la implementación y utilización de la computación en políticas para la creación de contraseñas que los obliguen a mantener
Universidad Nacional Abierta y a Distancia. García, Oviedo, Borrero, Seguridad en la Nube. 5
ciertos niveles de complejidad y pueden obligarlos a crear nuevas nube comprender y entender que debe regirse por un gobierno que da
contraseñas periódicamente. No obstante, en la nube, tenemos la seguridad a la información demostrara que la seguridad viene desde
libertad de establecer lo que sea como contraseña y no volver a los usuarios y su conocimiento sobre las protecciones del sistema.
cambiarlos nunca más.
Debe considerarse el escenario de migración, es decir a qué tipo de
4. Encripción de Datos En la Nube nube se debe migrar para definir el tipo de servicios que se debe
Aunque el este proceso ha avanzado, en los últimos 5 años muchas adquirir.
empresas y personas desconocen este procedimiento, por que para
muchos clientes es complejo, también por que se utiliza computación Se debe migrar la información cifrada en la medida de lo posible
virtual, que su por su naturaleza en más sencillo de descifrar por los para garantizar la integridad de la misma.
hackers.
Debe reforzarse la capacitación al usuario, en el manejo y la
5. Uso Adecuado de los servicios en la nube gestión de cambio; inducción, concientización y responsabilidad
Esta tecnología, ha abierto, un sinnúmero de posibilidades podrá llegar a comprender que la responsabilidad de la seguridad es
ampliando los escenarios de trabajo y acceso de la información, como compartida y que el usuario es la primera barrera de protección.
activo valioso, esta debe ser administrada y resguardada en primera
instancia como el cliente, y no dar toda la autonomía a las empresas
generadoras de servicio. H. RECOMENDACIONES
I. REFERENCIAS