El almacenamiento de datos es un requisito importante para la mayoría de las empresas en el borde digital moderno. La razón principal de este hecho es el uso de sistemas basados ​​en TI y el flujo de trabajo digitalizado en el entorno empresarial. El rápido crecimiento de la tecnología siempre se ha acercado a un modelo de almacenamiento de datos más eficiente, confiable y rentable. Cloud Computing es una de las tecnologías de vanguardia que ha satisfecho la necesidad de una poderosa infraestructura de almacenamiento de datos para pequeñas empresas y empresas. Sin embargo, el aspecto de seguridad de la nube es un tema de discusión en entornos industriales y académicos.

Introducción a la computación en la nube y la seguridad en la nube

La computación en la nube es un concepto revolucionario y un mecanismo que se ha registrado como un hito en la historia de las redes de computadoras. Virtualización o la tecnología de crear y gestionar un conjunto de recursos de hardware compartido que actúe como una sola máquina remotamente accesible es la tecnología fundamental de la computación en la nube.

Figura 1: Virtualización en Cloud Computing (Intel, 2013)

Según Xing y Zhan (2012), la idea de la computación en la nube se originó a partir de la década de 1960 y la palabra «Computación en la nube» involucrado en la historia en 1997 por el Prof. Ramnath Chellappa. La computación en la nube permite a los usuarios acceder y administrar recursos de hardware remotos virtualizados a través de Internet y brinda muchos servicios al usuario. Como,

  • Software como servicio – SaaS (por ejemplo: G Suite, Office 365, Netflix, Zoho Apps)
  • Plataforma como servicio – PaaS (por ejemplo: Google App Engine, Apache Stratos)
  • Infraestructura como un servicio – IaaS (por ejemplo: Amazon Web Services, Google Cloud, Digital Ocean)

Además, la Universidad de Illinois (2018) ha mencionado que hay Modelos de entrega en la nube se clasifican según la estructura de la infraestructura como públicas, privadas e híbridas.

La virtualización del servidor también se refiere a la computación en la nube. Específicamente, eso se puede definir como la técnica detrás de la configuración de los recursos agrupados (servidores). Sin embargo, Winn (2014) ha declarado que virtualización del servidor es el proceso que tiene lugar un administrador humano para configurar el recurso mientras la computación en la nube utiliza un proceso automatizado de configuración mediante la Interfaz de programación de aplicaciones (API).

Cloud Computing ofrece muchas ventajas al usuario que los centros de datos tradicionales. Algunos de ellos son,

  • Mayor velocidad
  • Elasticidad rápida o escalabilidad
  • Servicio medido
  • En demanda auto servicio
  • Disponibilidad 24/7

Aunque la computación en la nube ofrece muchas ventajas, la organización o la persona que utiliza el alojamiento en la nube debe considerarse la seguridad de usar estos servicios en la nube. En ese punto, el término «Seguridad en la nube«Llamó la atención de la comunidad de computación en la nube e introdujo contramedidas para las vulnerabilidades de las redes de computación en la nube y produjo muchas oportunidades de trabajo para los expertos en seguridad de TI para participar en la industria de la computación en la nube.

Amenazas de seguridad en la nube

Violino (2018) ha identificado claramente 12 tipos principales de amenazas a la computación en la nube en la era moderna. Son,

  • Violaciones de datos (robo de datos confidenciales del almacenamiento en la nube)
  • Acceso no autorizado / secuestro de cuenta
  • Uso indebido de las interfaces de programación de aplicaciones (API)
  • Vulnerabilidades de los sistemas y tecnologías asociadas.
  • Insiders maliciosos
  • Pérdida de datos
  • Ataques de denegación de servicio (DOS: el sistema no podrá para los usuarios autorizados)

A pesar de que existen muchos desafíos identificados para las infraestructuras de la nube como se indicó anteriormente, los entornos de la nube pueden haberse asegurado fácilmente mediante las técnicas de seguridad en la nube que se mencionan en el Métodos para proteger entornos en la nube sección. Sin embargo, los ataques internos como los expertos maliciosos son difíciles de mitigar sin buenas políticas comerciales.

Ataques recientes a la seguridad de la nube

Empresa Año Ataque Resultado
Microsoft 2010 Microsoft Office 365 tenía un problema de configuración y los usuarios no autorizados podían acceder a la libreta de direcciones sin conexión de Microsoft que contiene los contactos de sus empleados. Microsoft ha resuelto el error en 2 horas y solo unos pocos usuarios se vieron afectados.
Dropbox 2012 Los atacantes han robado más de 68 millones de datos de cuentas de usuario, incluidas direcciones de correo electrónico, contraseñas que equivalen a 5 GB de almacenamiento de datos. Los atacantes han vendido los datos robados al mercado web oscuro. Dropbox ha llevado a cabo un restablecimiento de contraseña basado en el usuario como solución para esta violación de datos.
Instituto Nacional Electoral de México. 2016 Más de 93 millones de registros de registro de votantes se vieron comprometidos y disponibles públicamente. La organización ha decidido dejar su proveedor de servicios en la nube Amazon Aws y almacenar sus datos confidenciales dentro de su propia infraestructura.
LinkedIn 2012 Se robaron 6 millones de datos confidenciales del usuario y se publicaron en un foro web ruso. LinkedIn tiene contraseñas de los usuarios afectados e introdujo la autenticación bidireccional para sus usuarios.
Apple iCloud 2014 Las fotos privadas de una celebridad que se almacenó en Apple iCloud se filtraron a Internet. Apple ha establecido una nueva política de contraseña e introducido notificaciones de registro de actividad de la cuenta a sus usuarios.

(Bradford, 2018)

Métodos para proteger entornos en la nube

Seguridad de infraestructura en la nube

En un entorno en la nube, la gestión de la infraestructura es responsabilidad del proveedor de servicios en la nube. Como resultado de eso, el usuario de un SaaS, PaaS o incluso IaaS no podrá involucrarse directamente en la gestión de seguridad de la infraestructura de la nube. Las auditorías de seguridad y el apoyo de expertos técnicos en el extremo de la infraestructura generalmente protegen los datos de los usuarios. Sin embargo, la infraestructura no es un activo real del usuario. Este es uno de los hechos más soportables por ser un usuario de infraestructura en la nube.

Malik, Gupta y Kaushik (2014) han declarado que la seguridad de la infraestructura debe configurarse o administrarse a nivel de red, nivel de host y nivel de aplicación. En el nivel de red, la infraestructura debe poder proporcionar un entorno lógico dedicado a cada usuario para garantizar la confidencialidad y la integridad de los datos, también con cifrado en tránsito a través de la red con Transport Layer Security (TLS) La seguridad del hipervisor debe manejarse en el nivel del host y las aplicaciones deben actualizarse para minimizar las vulnerabilidades en el nivel de la aplicación.

Mitigación DDOS en la nube

La disponibilidad 24/7 es una de las mejores ventajas de la computación en la nube. Según lo explicado por AWS (2016) Ataque de denegación de servicio (DOS) es una amenaza que puede afectar directamente a la disponibilidad de un servicio en línea para los usuarios autorizados mediante el envío continuo de paquetes de datos no válidos al servidor. Los ataques de DOS bien organizados que operaron para múltiples ubicaciones se denominan como Ataques distribuidos de denegación de servicio (DDOS) Estos ataques pueden apagar completamente la red por un tiempo y el usuario puede tener que pagar por el uso indebido de los recursos.

Figura 2: ATAQUE DDOS (Amazon Web Services, 2016)

Una red inteligente de computación en la nube puede identificar y mitigar fácilmente los ataques DDOS automáticamente sin la participación del usuario. La arquitectura de nube resiliente DDOS del popular servicio de alojamiento en la nube Amazon Web Services se puede representar a continuación.

Figura 3: Arquitectura de Amazon CloudFront (Amazon Web Services, 2016)

La mitigación de DDOS se ha convertido en un mecanismo de seguridad esencial que debe implementarse para cualquier tipo de servidor en la nube en la era moderna de Internet. Las características de seguridad de herramientas modernas de seguridad en la nube como Cloudflare defienda a los usuarios y recursos de la nube de todo tipo de amenazas a nivel de red, incluidos los ataques DDOS.

Cifrado de datos en la nube

El cifrado de datos es un mecanismo que utiliza criptografía para transformar o codificar datos reales en otro formato de datos que solo puedan leer los usuarios autorizados. Los conceptos de cifrado de datos se aplican a la nube de dos maneras distintas. Están encriptando datos almacenados en los servidores de la nube y encriptando la comunicación dentro o entre las redes.

Lord (2016) ha mencionado claramente que el cifrado de datos en la nube también se llama Cifrado en la nube. Este método protege los datos de las infracciones de datos porque el atacante no tiene la clave para descifrar los datos cifrados. Hoy en día, el cifrado de datos es el requisito principal de cualquier almacenamiento de datos que esté regulado por políticas de Internet como HIPAA, PCI DSS, SOX, etc.

El cifrado de datos debe ocurrir en la comunicación de datos para evitar ataques como el hombre en el medio y el phishing. Según Microsoft (2018), el cifrado se aplica a la transformación de datos en una nube cuando el cliente se comunica con el servidor de la nube y el movimiento de datos entre los servidores del centro de datos de la nube. Capa de conexión segura (SSL) se puede utilizar para proteger la comunicación del cliente con el servidor de la nube.

Figura 4: Cifrado de datos en tránsito (Microsoft, 2018)

Monitoreo e inicio de sesión en la nube

Los registros de actividad de monitoreo y grabación también son necesarios en un entorno en la nube y es muy fácil implementar un sistema de monitoreo en la parte superior de la pila de servicios de software en la nube. Como lo menciona AWS (2018), los registros de actividad identifican y notifican fácilmente el acceso no autorizado, la falla de recursos y la actividad no natural.

Figura 5: registro de actividad de AWS (CloudTrail) (Amazon Web Services, 2018)

Autorización y control de acceso en la nube

Los recursos en la nube son evaluables a través de Internet. Este es el mayor desafío de seguridad en la computación en la nube. El motivo es que una persona que puede robar las credenciales de una persona autorizada puede acceder al almacenamiento en la nube sin ningún problema. Younis, Kifayat y Merabti (2014) han declarado que el control de acceso basado en roles no puede cumplir con la seguridad de una red en la nube. La autenticación multifactorial es una práctica recomendada para la seguridad en esta perspectiva.

Figura 6: Identidad de la nube en Office 365 y MS Azure (Duddington, 2017)

Conclusión

La computación en la nube ha cambiado toda la industria de redes en pocos años a una infraestructura de datos rápida, eficiente y siempre en línea. Aunque, la computación en la nube tiene varios inconvenientes en la seguridad. Principalmente, los usuarios almacenan sus datos en un entorno físico desconocido. Para evitar este problema de confiabilidad y otros riesgos de seguridad, el informe sugiere centrarse en la infraestructura de la nube en 5 soluciones y también sugiere las mejores prácticas que los proveedores de servicios de nube populares en la industria han utilizado para superar los problemas de la nube.

Referencias

  • Servicios web de Amazon. (2018) AWS CloudTrail. [Online] Disponible en: https://aws.amazon.com/cloudtrail. [Accessed: 20th March 2018].
  • Servicios web de Amazon. (2016) Mejores prácticas de AWS para la resistencia DDoS. [Online] Disponible en: https://d1.awsstatic.com/whitepapers/Security/DDoS_White_Paper.pdf. [Accessed: 24th March 2018].
  • Bradford, C. (2018). 7 infracciones de seguridad en la nube más infames – StorageCraft. [online] StorageCraft Technology Corporation. Disponible en: https://blog.storagecraft.com/7-infamous-cloud-security-breaches/ [14th March 2018].
  • Duddington, M. (2017) Descripción general de la identidad de la nube – Parte 2 (Autorización). [Online] Disponible en: https://blogs.msdn.microsoft.com/oncloud/2017/06/22/cloud-identity-overview-part-2-authorisation/. [Accessed: 19th March 2018].
  • Intel (2013) Guía de planificación: virtualización y computación en la nube. [Online] Disponible en: https://www.intel.com/content/dam/www/public/us/en/documents/guides/cloud-computing-virtualization-building-private-iaas-guide.pdf. [Accessed: 19th March 2018].
  • Señor, N. (2016) ¿Qué es el cifrado en la nube?. [Online] Disponible en: https://digitalguardian.com/blog/what-cloud-encryption. [Accessed: 19th March 2018].
  • Malik, V., Gupta, S. y Kaushik, J. (2014) Seguridad de red: seguridad en la computación en la nube, Revista Internacional de Ingeniería y Ciencias de la Computación, vol. 3, pp: 3643-3651.[[[[En línea]Disponible en: http://www.ijecs.in/index.php/ijecs/article/view/38/30. [Accessed: 20th March 2018].
  • Microsoft (2018) Cifrado de datos en OneDrive para empresas y SharePoint Online. [Online] Disponible en: https://support.office.com/en-us/article/data-encryption-in-onedrive-for-business-and-sharepoint-online-6501b5ef-6bf7-43df-b60d-f65781847d6c. [Accessed: 20th March 2018].
  • Winn, O. (2014). Diferencias entre la computación en la nube y la virtualización. [Online Video]. 29 de enero de 2014. Disponible en: https://www.youtube.com/watch?v=14KJoDs6reg. [Accessed: 21st April 2018].
  • Universidad de Illinois. (2018) Tipos de computación en la nube: nubes privadas, públicas e híbridas. [Online] Disponible en: https://cloud.illinois.edu/types-of-cloud-computing-private-public-and-hybrid-clouds. [Accessed: 19th March 2018].
  • Violino, B. (2018) La docena sucia: 12 amenazas principales de seguridad en la nube para 2018. [Online] Disponible en: https://www.csoonline.com/article/3043030/security/12-top-cloud-security-threats-for-2018.html. [Accessed: 12th May 2018].
  • Xing, Y. y Zhan, Y. (2012) Virtualización y Cloud Computing. En: Zhang Y. (eds) Futuras redes inalámbricas y sistemas de información. Lecture Notes in Electrical Engineering, vol 143. Springer, Berlín, Heidelberg
  • Younis, A., Kifayat, K. y Merabti, M. (2014) Un modelo de control de acceso para la computación en la nube., Revista de Seguridad de la Información y Aplicaciones, vol. 19, pp: 45-60.[[[[En línea]Disponible en: https://doi.org/10.1016/j.jisa.2014.04.003. [Accessed: 30th March 2018].