Seguridad informática en la nube
Securityen la computación en nube es una preocupación importante. Los datos en la nube deben almacenarse en forma cifrada. Para restringir el acceso del cliente a los datos compartidos directamente, se deben emplear servicios de proxy y corretaje.
Planificación de seguridad
Antes de implementar un recurso en particular en la nube, es necesario analizar varios aspectos del recurso, como:
Seleccione el recurso que necesita trasladarse a la nube y analice su sensibilidad al riesgo.
Considere modelos de servicios en la nube como IaaS, PaaS, y SaaS. Estos modelos requieren que el cliente sea responsable de la seguridad en diferentes niveles de servicio.
Considere el tipo de nube que se utilizará, como public, private, community o hybrid.
Comprender el sistema del proveedor de servicios en la nube sobre el almacenamiento de datos y su transferencia hacia y desde la nube.
El riesgo en la implementación de la nube depende principalmente de los modelos de servicio y los tipos de nube.
Comprensión de la seguridad de la nube
Límites de seguridad
Un modelo de servicio particular define el límite entre las responsabilidades del proveedor de servicios y el cliente. Cloud Security Alliance (CSA) El modelo de pila define los límites entre cada modelo de servicio y muestra cómo las diferentes unidades funcionales se relacionan entre sí. El siguiente diagrama muestra elCSA stack model:
Puntos clave del modelo CSA
IaaS es el nivel de servicio más básico con PaaS y SaaS siguientes dos niveles de servicios por encima.
Moviéndose hacia arriba, cada uno de los servicios hereda capacidades y preocupaciones de seguridad del modelo a continuación.
IaaS proporciona la infraestructura, PaaS proporciona el entorno de desarrollo de la plataforma y SaaS proporciona el entorno operativo.
IaaS tiene el menor nivel de funcionalidades integradas y seguridad integrada, mientras que SaaS tiene más.
Este modelo describe los límites de seguridad en los que terminan las responsabilidades del proveedor de servicios en la nube y comienzan las responsabilidades del cliente.
Cualquier mecanismo de seguridad por debajo del límite de seguridad debe estar integrado en el sistema y debe ser mantenido por el cliente.
Aunque cada modelo de servicio tiene un mecanismo de seguridad, las necesidades de seguridad también dependen de dónde se encuentren estos servicios, en la nube privada, pública, híbrida o comunitaria.
Comprensión de la seguridad de los datos
Dado que todos los datos se transfieren a través de Internet, la seguridad de los datos es una preocupación importante en la nube. Estos son los mecanismos clave para proteger los datos.
- Control de acceso
- Auditing
- Authentication
- Authorization
Todos los modelos de servicios deben incorporar mecanismos de seguridad que operen en todas las áreas mencionadas.
Acceso aislado a los datos
Dado que se puede acceder a los datos almacenados en la nube desde cualquier lugar, debemos tener un mecanismo para aislar los datos y protegerlos del acceso directo del cliente.
Brokered Cloud Storage Access es un enfoque para aislar el almacenamiento en la nube. En este enfoque, se crean dos servicios:
Un corredor con acceso completo al almacenamiento pero sin acceso al cliente.
Un proxy sin acceso al almacenamiento pero con acceso tanto al cliente como al corredor.
Funcionamiento del sistema de acceso de almacenamiento en la nube intermediado
Cuando el cliente emite una solicitud para acceder a los datos:
La solicitud de datos del cliente va a la interfaz de servicio externo del proxy.
El proxy reenvía la solicitud al corredor.
El corredor solicita los datos del sistema de almacenamiento en la nube.
El sistema de almacenamiento en la nube devuelve los datos al corredor.
El corredor devuelve los datos al proxy.
Finalmente, el proxy envía los datos al cliente.
Todos los pasos anteriores se muestran en el siguiente diagrama:
Cifrado
El cifrado ayuda a proteger los datos para que no se vean comprometidos. Protege los datos que se transfieren y los datos almacenados en la nube. Aunque el cifrado ayuda a proteger los datos de cualquier acceso no autorizado, no evita la pérdida de datos.