Search Results for: cloud

Cloud Security Solutions: el nuevo paradigma

De la misma manera que brotes verdes inundan nuestros campos tras una fresca noche de primavera, despertándonos con la promesa de tallos decididos a germinar, de esa forma nos despertamos un día, con el surgimiento de un nuevo paradigma: el amanecer del Cloud Security. 

Si por un instante decidimos investigar sobre esta materia, descubriremos una dolorosa tendencia al uso de cuatro siglas para designar nuevas preocupaciones cuya existencia era absolutamente desconocida unos años atrás. En este universo infinito encontraremos los CISPA o Cloud Infrastructure Security Posture Assessment, pero también los CWPPS, o Cloud Workload Protection Platform, sin olvidarnos de los CASBs o Cloud Access Security Brokers o los CNAPP o Cloud-Native Application Protection Platform.

Si llegados a este punto habéis sobrevivido a esta retahíla de nombres, entenderé vuestro sincero interés por esta nueva ciencia, por lo que permitidme dar un paso atrás y comentar el porqué de esta curiosa amalgama de nuevas soluciones de seguridad. 

[Read more…]

Cloud: diseñar la estrategia

Tras los anteriores posts (There is no cloud, it’s just… y Cloud: construir desde la seguridad), es momento de entrar en materia. Tras haber identificado qué es necesario plantearse al enfrentarse a la nube, ahora debemos desgranar los puntos a considerar al diseñar la protección de la infraestructura.

La idea de los siguientes artículos es mostrar los aspectos básicos del diseño de la estrategia, y mostrar el camino para ganar en tranquilidad cuando no se tiene el control total de una plataforma, como es el caso del cloud.

En primer lugar, recurro al dicho “más importante que tener el conocimiento, es tener el teléfono de quién lo tiene”, por lo que, para diseñar la estrategia, que mejor que basarse en referencias clave de la industria.

MITRE ATT&CK

En concreto, destaca MITRE ATT&CK, y traduzco literalmente de su web: “es una base de datos de conocimiento accesible globalmente de tácticas y técnicas de ataque basadas en observaciones del mundo real”. Es decir, recoge el conjunto de estrategias utilizado actualmente por los atacantes para entrar en los sistemas y robar la información.

[Read more…]

Cloud: construir desde la seguridad

Continuando esta serie de posts relacionados con el cloud, hoy toca hablar sobre cómo enfrentarse ante el mundo de posibilidades que la nube ofrece. Este artículo busca arrojar un poco de luz ante tan enorme empresa y mostrar diferentes aspectos a tener en cuenta. Es un camino interesante, con múltiples opciones y que puede llegar a aportar un valor enorme, tanto al negocio como a nuestra calidad de vida, siempre y cuando se plantee desde un punto de vista objetivo, realista y crítico. No hay que ser reticentes al cambio, pero tampoco afrontar el cambio por el cambio en sí.

Dejando mantras filosóficos aparte, afirmar que el cloud es la panacea tiene el mismo poco sentido que decir que el cloud no nos aporta valor.

Como siempre, y perdón por la insistencia, dependerá de cada organización y sus necesidades. Lo que es fundamental, dentro del análisis del caso de negocio y en el cálculo del retorno de inversión de la implementación de estos nuevos paradigmas tecnológicos, es que se tengan en cuenta las consecuencias, necesidades y capacidades de la seguridad. Tanto en procesos de migración a la nube, como ante cualquier cambio tecnológico.

Dicho esto, y yendo al grano, no hay ninguna duda de que migrar al cloud tiene un coste significativo. Que este coste sea mayor o menor dependerá de con lo que se compare, pero se puede afirmar que no es una decisión “barata”. Si se hace el ejercicio simple de comparar un servidor físico con un servidor en la nube, obviamente no hay color. Ahora bien, si se pone todo en contexto, y sobre todo, haciendo hincapié en la seguridad, hay muchos costes a valorar.

[Read more…]

There is no cloud, it’s just…

A estas alturas, todo el mundo sabe lo que es cloud. Probablemente, muchos de nuestros lectores tengan servicios alojados en la nube o proyectos en marcha para migrar a ella. Y es que, aunque ha cambiado significativamente desde que Salesforce comenzó en 1999 con su SaaS, es un modelo que, tal y como lo conocemos hoy en día, lleva entre nosotros bastante más de una década.

Es cierto que el número de actores ha crecido de manera importante, los procesos se han consolidado y el número de servicios se ha incrementado (y lo sigue haciendo), y nuevos estándares, organizaciones y certificaciones han ido apareciendo (y lo siguen haciendo) ligados a este nuevo paradigma, pero con mayor o menor nivel de detalle, ya vamos entendiendo de qué va esto de la “nube”.

Y quizá el problema sea ese “vamos entendiendo” o “con mayor o menor nivel de detalle”, porque a nadie se le escapa que, siempre generalizando, aún falta mucho camino en la adopción e integración de prácticas puramente cloud, y por supuesto, en la implementación del cloud seguro. Y esa es precisamente la idea de esta serie: partir de ese “mayor o menor nivel de detalle” para ir ampliando, poco a poco, el grado de profundidad.

[Read more…]

Evadiendo por la via rápida el challenge de CloudFlare for-fun-and-profit

Para hoy tenemos una entrada de Vicente, un antiguo compañero de S2 Grupo, administrador de sistemas y fanático de la naturaleza. Se le puede encontrar en su twitter @vicendominguez y en su blog.

¡Buenos días amigos! Vuestro sysadmin favorito al teclado hoy. Vamos a la materia.

En el mercado existen multitud de herramientas para pentesting. Todas ellas incorporan sistemas de evasión tanto de IDS, como WAF etc.; nmap incorpora fragmentación, cloak, decoys, spoof, custom data packet; sqlmap lleva check-waf y un montón de tampers, y así casi-todas. Echadle un vistazo porque la lista de aplicaciones que usáis todos los días para vuestros pentest favoritos que incorporan estos extras es considerable. Además tienen cierto éxito con los habituales sistemas de protección/detección. Ya sabéis de lo que hablo. En detección: snort, suricata…; en protección-waf: modsecurity, naxsi… y todos estos requieren algunos esfuerzos “extras” para detectar todas las posibilidades existentes. Bien. Fantástico.

Y luego de todo esto, tenemos CloudFlare.

[Read more…]

Paseando por las nubes: una visión panorámica de la computación cloud

Este lunes y martes, 8 y 9 de julio respectivamente, se celebró en el campus universitario de Albacete un curso de verano dedicado al Cloud Computing, organizado por personal de la propia Universidad de Castilla – La Mancha.

Nos brindaron la oportunidad de participar y aportar nuestra visión sobre los aspectos de seguridad que deberíamos contemplar cuando planteamos hacer uso de servicios en la nube.

Este curso fue moderado por la Drª. Dª. Carmen Carrión y por la Drª. Dª. Blanca Caminero (ambas profesoras titulares del Departamento de Sistemas Informáticos de la Universidad de Castilla – La Mancha). En el mismo se trataba de abordar una visión de la situación, uso, evolución y adopción de las soluciones en la nube en la actualidad, desde distintos puntos de vista. Abarcando desde la perspectiva del cliente a la del proveedor desde aspectos de seguridad hasta aspectos puramente prácticos.

[Read more…]

Real Cloud Security

(Please note this post was originally published in the Spanish version of Security Art Work last 2th Oct 2012)

Acto I: La nube

(En una pequeña sala están reunidos el Director General, el Director de Seguridad y el Director de Marketing. Éste viene con la PC Actual debajo del brazo)

CMO: Blablablabla Cloud blablabla costes blablabla disponibilidad blablablabla Google.
CSO: Blablabla SLA blablabla, blablabla LOPD, deslocalización, blablabla blablabla privacidad, blablabla.
CEO: Blablablabla euros, blablabla personal, IT blablabla servidores. ¿Seguridad? Blablablabla.
CSO: Blablabla, blablabla LOPD, sanciones, blablabla robo de datos, blablabla prensa. Blablabla impacto y riesgo.
CMO: ¿Inseguro? Jajajajaja, blablabla, blablabla y blablabla. CSO blablabla, desconfianza. Blabla, blabla, Gartner, ¿blablabla? Blablablabla. Eso no pasa.
CEO: Blablablabla CIO, blablabla IT blablabla presupuesto.
CSO: Alea jacta est.

Acto II: Miel sobre hojuelas

(Mientras el Director General observa el tablet del Director de Marketing ven pasar al Director de Seguridad, quien acelera el paso pero es interceptado en pleno pasillo)

CMO: Blablabla acceso, blablabla iPad, iPhone. ¿Blablabla? ¿CSO? Blablabla, estos de seguridad blablabla. Acceso, blablabla, password blablabla, blablabla SSL.
CEO: Blablabla cómodo, blabla, blablabla acierto. Blablablabla razón, costes blabla, blablabla empresa 2.0.
CSO: Pater Noster qui es in caelis, sanctificétur nomen Tuum

Acto III: Un pequeño problema

(Ha pasado algo en las Islas Marshall que ha inutilizado la conexión con el proveedor de cloud y, no se sabe aún, puede haber ocasionado pérdida de datos)

CEO: Blablabla corte, blabla borrado, blablabla acceso. ¡¡Blablablabla datos, blablabla nube!!
CMO: Blablablabla probabilidad, blabla Gartner blablablabla CIO, blabla CSO.
CSO: Blablabla riesgo, blablabla impacto, blabla calidad de servicio, blablabla Google.
CEO: Blablabla reputación, blablabla negocio, ¡blablabla Google!
CMO: …
CSO: …

Acto IV: Elige tu propia aventura

(¿Os acordáis de estos libros? Pues en este post lo mismo ;)

Opción #1

CSO: Blablabla backup, blabla ignífuga, blablablabla recuperación, sistema blablabla.
CEO: Muacs.

Opción #2

10 CEO: …
20 CMO: …
30 CSO: …
goto 10

Opción #3

CSO: Blablablabla ¿CIO?
CIO: Blablabla, Terms of Service, blablablabla denuncia, blablabla compensación, blablablabla.
CEO: Blablabla datos, blablabla disponibles blablabla por mis #@!*& blablabla diez euros.

¿Qué, cómo ha acabado la aventura en la nube?

Por cierto, si has sido capaz de seguir esta conversación, quizás te interese este vídeo que ha localizado nuestro compañero Adrián:

Requisitos del ENS para proveedores de Cloud Computing

Algunos de ustedes se habrán planteado sin duda la posibilidad de externalizar algún plataforma a un servicio cloud, o hacer uso de alguna herramienta SaaS. Además seguramente la mayoría se habrán cuestionado acerca de las implicaciones de seguridad que puedo conllevar delegar la gestión de la información en un proveedor. Efectivamente, la gestión de la información y de los servicios por un tercero supone la pérdida parcial de control sobre sus sistemas de información y no nos engañemos, el ser humano no es un fan acérrimo de la incertidumbre (que se lo digan a los mercados…), a la vez que esta externalización supone que cierta parte de la gestión de los riesgos y el cumplimiento legal recaiga en el tercero.

Anteriormente en este blog ya hemos hablado en alguna ocasión sobre el cloud computing ([1] [2] [3] [4] [5]). Así pues de acuerdo con lo expuesto, en este post intentaremos arrojar un poco de luz sobre los aspectos legales que deben ser tenidos en cuenta a la hora de contratar un servicio en la nube, aunque solo entraremos en detalles referentes al cumplimiento del ENS y no de un modo exhaustivo.

Si somos un Administración Pública afectada por el ENS, tendremos en cuenta las consideraciones descritas en el punto 4.4. del Anexo II del ENS, como se indica a continuación:

4.4 Servicios externos [op.ext].

Cuando se utilicen recursos externos a la organización, sean servicios, equipos, instalaciones o personal, deberá tenerse en cuenta que la delegación se limita a las funciones.

La organización sigue siendo en todo momento responsable de los riesgos en que se incurre en la medida en que impacten sobre la información manejada y los servicios finales prestados por la organización.

La organización dispondrá las medidas necesarias para poder ejercer su responsabilidad y mantener el control en todo momento.

Este punto comprende 3 apartados:

  • 4.4.1 Contratación y acuerdos de nivel de servicio (solo aplicable a sistemas categorizados de nivel medio o alto)
  • 4.4.2 Gestión diaria (solo aplicable a sistemas categorizados de nivel medio o alto)
  • 4.4.3 Medios alternativos (Solo aplicable a sistemas con disponibilidad categorizada de nivel alto)

En primer lugar, previo a la contratación se deberá hacer o revisar el análisis de riesgos, para evaluar si el riesgo que introducimos al migrar servicios a la nube es mayor que el de tener los sistemas de información en local, en cuyo caso deberemos valorar si el nivel de riesgos es superior al criterio asumible por la Dirección de la entidad, siempre teniendo en cuenta los aspectos contractuales ofrecidos por el proveedor.

En lo referente al punto 4.4.1 el contratante deberá requerir contractualmente, siempre y cuando vaya a migrar servicios categorizados de nivel medio o superior:

  • Descripción del servicio, identificando el lugar o lugares donde residirán los sistemas.
  • Acuerdos de nivel de servicio.
    • Tiempo de respuesta ante desastres.
    • Tiempo de recuperación del servicio.
    • Porcentaje de disponibilidad del servicio.
    • Penalizaciones.
  • Funciones y obligaciones.
  • Devolución o destrucción de la información tras la finalización del acuerdo

Además, en caso de que se incluya el tratamiento de datos, éste deberá estar regulado de acuerdo a lo estipulado en el artículo 12 de LOPD, y siempre teniendo en cuenta las implicaciones que puedan las transferencias internacionales de datos.

Por otra parte, de acuerdo al apartado 4.4.2. Gestión diaria, es necesario establecer un proceso de monitorización para ver cumplimiento de SLA así como otras obligaciones que estén incluidas en el servicio, procedimientos de coordinar mantenimientos (como puede ser actualizaciones) y procedimientos para coordinación de incidencias y desastres. Por último de acuerdo con el punto 4.4.3 se deberán aportar garantías de disponibilidad del servicio ante la caída del servicio contratado. Es decir, que además de disponer de SLA ante desastre, el proveedor disponga de medidas que permitan la continuidad de negocio.

Sin entrar a detallar de modo exhaustivo los requisitos en la contratación de servicios cloud, he querido dar unas pinceladas rápidas de los aspectos que deben ser revisados por las Administraciones Públicas para la contratación de estos servicios. Por otra parte, los principales proveedores se ubican fuera del ámbito nacional, haciendo uso de infraestructura ubicada a su vez en otros países, por lo que están sujetos a legislación que puede ser equiparable o no la Española. Por ello, un aspecto recomendable sería la existencia de un certificación de acuerdo con la norma ISO 27001 cuyo alcance incluyan los servicios de Cloud Computing, para disponer de unas garantías de seguridad razonables.

Sin lugar a dudas el Cloud Computing está de moda, pero la controversia está servida cuando se trata de seguridad en la nube y no hay ninguna duda de que queda un largo recorrido cuando de asegurar la nube se trata. Pasen, con nubes o sin ellas, un buen fin de semana.

[Sobre el autor]

El cloud más seguro… y más dulce

(N.d.E. Después de las entradas técnicas de los últimos días, hoy traemos una visión diferente y más “fresca” del cloud)

Desde hace ya tiempo existe un consenso general sobre el hecho de algo está pasando, algo grande y profundo que, todavía hoy, no estamos muy seguros de lo que en realidad es.

Mucho se ha hablado acerca del cloud computing, y no es mi intención aburrir más a la audiencia con el tema. Ya parece que más o menos estamos todos de acuerdo de lo que estamos hablando. ¿O no?

Hace un par de años cayó en mis manos un estudio sesudo de una fundación innovadora acerca de eso que estaba generando tanto entusiasmo y alboroto. Me gustó la explicación que daban acerca del concepto. Se preguntaban entonces que era exactamente el cloud computing: ¿la evolución de internet? ¿Un nuevo modelo de computación? ¿Una forma de ofrecerlo todo como servicio? ¿O quizá suponía la industrialización de las tecnologías de la información, como ocurrió hace un siglo con la electricidad cuando se empezó a usar de forma masiva en la economía y en la sociedad?

El cloud computing, en su opinión, era todo lo mencionado y algo más. Era como la fábula de los ciegos y el elefante. Cada uno toca una parte diferente del elefante. Después comparan lo que han percibido y se dan cuenta de que están en completo desacuerdo.

[Read more…]

Cloud computing, el análisis de riesgos y los “servicios dinámicos” de seguridad

A estas alturas todos estaremos de acuerdo en que nos enfrentamos a cambios singulares en la forma de entender la gestión de las infraestructuras TIC. La irrupción de los servicios de cloud computing, y con ellos la IAAS “Infraestructure as a service”, va a provocar en los próximos años una reestructuración de gran calibre en este tipo de servicios, en buena parte consecuencia del desarrollo masivo de los servicios de virtualización que nos permite cambiar nuestras máquinas virtuales de CPD o datacenter en un abrir y cerrar de ojos, al menos teóricamente.

Todo esto tiene unas implicaciones en materia de seguridad de proporciones colosales. Los modelos de seguridad actuales, fundamentalmente “estáticos”, tienen que evolucionar a modelos de seguridad “dinámicos” adaptados a las necesidades de los servicios en la nube, porque esta tendencia no tiene vuelta atrás. No se trata de que opinemos si es mejor o peor la seguridad de los servicios “cloud”, se trata de que diseñemos servicios de seguridad adecuados a esta realidad, que como todo tiene aspectos positivos y aspectos negativos.

Ganamos en algunas cosas. Uno de nuestros puntos débiles en la seguridad ha sido siempre la disponibilidad y la continuidad de negocio. En este caso, en la nube, con escenarios de siniestro complicados como la caída de un datacenter por un desastre natural, la solución parece al alcance de cualquiera y los RTO parecen asumibles por cualquier tipo de negocio. Es evidente que hay muchas cosas que rediseñar en los servicios de seguridad en la nube.

Tomemos el caso de Google que tenía, en 2008, 36 localizaciones para sus centros de procesos de datos con entornos virtualizados que les permite cambiar estas ubicaciones de forma, digamos, “ágil”. Uno de sus objetivos es, lógicamente, minimizar el coste de hospedaje de su infraestructura y dado que podemos asumir que en un datacenter el 50% del coste es el coste energético de la refrigeración, entenderemos que los gestores de la infraestructura de Google busquen términos de eficiencia energética cada vez mejores. Por lo que hemos leído el factor PUE (Power use efficency) alcanzado por Google es impresionante: 1,21 de media. Esto supone que cada watio útil que llega a una máquina que da servicio a sus clientes necesita 1,2 watios de consumo real. Evidentemente esto se puede conseguir haciendo uso de datacenters que requieren poco uso energético para refrigerar las maquinas y por tanto llevándose, por ejemplo, los sistemas a localizaciones frías que utilicen aire del ambiente para refrigerar las salas técnicas. Todo esto se puede además complicar utilizando estrategias tipo “follow the moon” mediante las que buscamos tarifas nocturnas de consumo energético y por tanto tarifas económicas que, en definitiva, permiten reducir el coste de suministro eléctrico de la máquina y directamente el coste del servicio.

Si en este entorno empezamos a pensar en seguridad la primera reacción es la de estupefacción. Si ya es complicado conseguir un nivel de seguridad adecuado en entornos estáticos desde el punto de vista físico, si el entorno lógico, con la virtualización, es un entorno altamente cambiante y además el físico también, el resultado es directamente un manicomio especializado en la práctica de torturas, como medida terapéutica, para los profesionales de la seguridad.

Evidentemente este escenario que se nos viene encima no es compatible con las prácticas de seguridad actuales de la mayor parte de las empresas especializadas en este tipo de servicio. Este escenario nos está pidiendo a gritos que adaptemos las políticas, los procedimientos, los controles, los sistemas de monitorización y gestión de la seguridad a estos entornos que cambian a una velocidad endiablada.

Pensemos, por ejemplo, en un análisis de riesgos tradicional. En nuestra opinión, los análisis de riesgos tradicionales son ya de por si poco útiles, sobre todo si hacen uso de metodologías pesadas y complejas como puede ser el caso de algunas metodologías que todos conocemos ;-). Vaya por delante que son metodologías muy valiosas y que conforman un buen punto de partida teórico, pero que en mi opinión no pueden ser utilizadas de forma práctica sin los matices pertinentes. ¿Por qué? Básicamente porque nos enfrentamos a entornos en continuo cambio. Cuando se diseñaron este tipo de metodologías se hicieron pensando en infraestructuras manejables, con evoluciones tranquilas, y en las que revisar el análisis de riesgos periódicamente una vez al año podía ser suficiente. Estas no son las hipótesis de partida a las que nos enfrentamos hoy y por tanto estas metodologías no sirven cuando las aplicamos tal cual fueron diseñadas.

Nos enfrentamos a entornos cambiantes desde el punto de vista lógico, con continuas variaciones que tienen impactos en la estrategia de seguridad clarísimos y por si fuera poco, en virtud de lo comentado en la introducción de esta entrada, nos enfrentamos también a entornos físicos cambiantes. En estas circunstancias las amenazas son variables, sus probabilidades también y por tanto los riesgos también. En definitiva, dentro del marco de servicios dinámicos de seguridad al que nos hemos referido, tendremos que diseñar metodologías ágiles de análisis de riesgos en tiempo real.

Mucho vamos a tener que trabajar para poder definir un marco global de productos y servicios de seguridad dinámica en este nuevo entorno, y mucho tienen que opinar lectores asiduos de este blog en esta materia… pasen en cualquier caso, ya sea pasados por agua o no, un buen fin de semana.