banner

[Resumen] NIST SP 800-144: Guidelines on Security and Privacy in Public Cloud Computing

En diciembre del 2011 el NIST (National Institute of Standards and Technology) publico la guía de Seguridad (NIST SP 800-144) y buenas prácticas sobre la Privacidad en entornos de "Cloud Computing".

Objetivo

El objetivo de esta guia es proporcionar una visión general de los retos en Seguridad y Privacidad inherentes a los entornos públicos de "cloud computing", así como exponer los "puntos claves" que las organizaciones han de plantearse en el momento de externalización de los datos, aplicaciones o infraestructura basado en entornos públicos de cloud computing.

Contenido

A grandes rasgos el contenido de la guia se centra fundamentalmente en:
  • Repaso de los modelos y tipos de Servicios en el Cloud Computing.
  • Descripción de los servicios en "Public Cloud".
  • Las Claves de la Seguridad y la Privacidad en Public Cloud.
Resumén de los puntos Claves

Gobernance: El gobierno consiste en que la Organización debe de tener una completa visión y control sobre las políticas, procedimientos y estándares que se estén aplicando en los servicios adquiridos. 

Se debe de llegar a un "acuerdo" con el centro de servicios del "Public Cloud" para determinar los Roles y responsabilidades entre ambas organizaciones, en especial sobre la gestión del riesgo y la aplicación de los requisitos establecidos (políticas y procedimientos). Así mismo se deberán de establecer los mecanismos de control adecuados para su correcta monitorización y seguimiento, por ejemplo, mediante auditorías periódicas.

Las auditorías deberán, al menos, ser orientadas a verificar cómo los datos son almacenados, protegidos y usados.

Compliance: Es responsabilidad de la Organización cumplir con la regulación y normativa establecida en las leyes.  

Será por tanto, tarea del centro de servicios de "Public Cloud", informar sobre la jurisdicción que les aplica, para poder "vigilar" y "verificar" desde la Organización el cumplimiento normativo de la zona. Los esfuerzos se debe poner en asegurar el cumplimiento normativo entorno a la Seguridad y la Privacidad de los datos, de forma que se deberá hacer especial a los siguientes puntos:
  • Localización de los Datos: En especial cuando se realizan transferencias internacionales (cruzan las fronteras) de los mismos. Estableciendo un mapa del flujo real de los datos, para comprobar que "leyes" aplican en el seguimiento de los datos, "recogida", "transferencia", "almacenamiento", todo con objeto de valorar los riesgos o beneficios diferentes en cada  situación.
  • Proceso electrónico: Este proceso contempla la identificación, proceso de captura, análisis y tratamiento por el software de almacenamiento de la información (ESI). Esto debe tenerse en consideración sobre todo en cuento a la eliminación de la información, prestando especial interés la localización y borrado seguro. Controles y auditorías para asegurarse el cumplimiento normativo, si aplicase.

Trust: La mayor parte del control sobre los aspectos de seguridad y privacidad se base en una relación de confianza, entre el proveedor de los servicios y la organización. A este respecto, las bases de la confianza, se establecen según las "contramedidas" controles establecidos para mitigar los riesgos de accesos no autorizados, en algunos casos serán organismos externos los encargados de "asegurar" que la información esta siendo protegida como es debido.

En los entornos de "Public Cloud" la confianza puede verse comprometida por varios tipos de amenazas:
  • Acceso desde dentro (Insider): dado que la información esta realmente almacenada fuera de los limite físicos de la organización, las medidas de seguridad establecida por está quedan fuera del alcance en la gestión del riesgo. Aparecen nuevos riesgos, y amenazas a incluir, es decir el "Insiders" son el propio personal administrativo del centro/proveedor de los servicios, operadores de mantenimiento o incluso terceras empresas con acceso a las instalaciones del "Public Cloud". Se puede controlar, mediante "Gobernance", medidas de control procedimentales y acuerdos contractuales.
  • Dueño de los Datos: debe de quedar claro y explicito en el contrato del servicio, quién es el dueño de los datos.
  • Visibilidad: unos de los aspectos mas importantes es disponer de completa visibilidad, por ejemplo, si el centro de servicios (public cloud) dispone de sistemas de monitorización de los servicios, auditorías de seguridad y análisis de vulnerabilidades, se debería establecer un mecanismo para que la organización tuviera acceso a los datos y poder actualizar el análisis de riesgos convenientemente. La transparencia en la operaciones llevadas a cabo por el centro de servicios será la clave del éxito.
  • Gestión del Riesgo: como cualquier proceso en el ciclo de vida, la gestión de riesgo en entornos de public cloud, deberán ser considerados implementando los controles anteriores, de transparencia y visibilidad, de modo que se puedan llevar a cabo adecuados análisis de riesgos.

Architecture: el diseño de la arquitectura tanto software como hardware sobre la que se despliega la infraestructura que proporciona y da soporte al servicios ofrecido en el entorno "public cloud" es crucial para la protección de la seguridad y la privacidad de los datos. Es crucial, disponer de un servicio "seguro" en el centro de servicios. Se debe de concocer la tecnologías que utiliza el centro de servicios con objeto de saber qué y cuales serán los mejores controles que se deben de aplicar para la protección de los datos. Con esa información, se podrá descomponer en un conjunto de controles y medidas para ser utilizados en la gestión y análisis del riesgo.  El conocimiento de la infraestructura, ayudará a definir y minimizar las amenazas tales como:
  • Superficie de ataque: por ejemplo la utilización de entornos virtualizados donde se comparten recursos, introduce un aumento de la superficie de exposición en cuanto, se hace más amplio el abanico de posibilidades de ataque. Las políticas de seguridad y los procedimientos de la organización deberán poner énfasis en la protección y configuración de forma segura los entorno virtualizados.
  • Protección de las redes virtualizadas: La utilización de entornos virtualizados, lleva a utilizar elementos típicos de red en el espacio virtual "router" y "switches", de este modo se deben de tomar la precauciones necesarias para asegurar las redes, en los entornos virtuales. Ejemplo: separación de redes (VLAN), etc.
  • Imagenes virtuales: se debe de prestar especial atención a las copias de seguridad de las imagenes virtuales, ya que contienen información relevante sobre la configuración, del servicios, así como datos de explotación. Se debe considerar la creación de un procedimiento especifico para la gestión de las "imagenes virtuales" y ponerlo en común con el proveedor del servicio.
  • Protección en el cliente: por ultimo no se debe descuidar la seguridad en el lado del cliente, las organizaciones deben de revisar las medidas de seguridad entorno al software con el que se explota y accede al servicio en la nube.
Identify and Access Management: los mecanismos necesarios para conocer en todo momento quién (identificación y autenticación) y cómo (controles de acceso, permisos, roles) accede a la información (los datos). Se debe de evitar utilizar sistemas diferentes para este cometido, tendiendo a unificar los sistemas de control de acceso, estableciendo lo que se conoce como federaciones en los sistemas de identificación y gestión del acceso. Estas "federaciones" permiten establecer un nivel de confianza para la creación de un sistema de "single sign on", donde se comparte de manera segura los datos de acceso entre el proveedor y la organización. La federación de identidades puede implementarse mediante SAML(Security Assertion Markup language) o el estándar OPENID.


Software Insolation: La utilización de entornos virtualizados ayudan a controlar este punto clave, no obstante la necesidad de los centro de servicios de utilizar entornos compartidos y no dedicados, incrementan el riesgo y las amenazas, que se han de considerar para la adecuada gestión del riesgo. En estos entornos, la adecuada seguridad del "núcleo" será necesariamente la seguridad que proporcione el "Hypervisor" del sistema de virtualización. En definitiva, para gestionar adecuadamente el riesgo se debe de conocer en profundidad la arquitectura utilizada por el "proveedor" de la nube. Esto es necesario con objeto de dimensionar adecuadamente los múltiples "vectores de ataque" que se presentan en los entornos virtualizados, y conocer los controles que el propio centro de servicios utiliza para ello. "Esto implica disponer de un acuerdo de servicio y claususlas contractuales que te respalden".

Data Protecction: típicamente los centros de servicios comparten la infraestructura entre diferentes "clientes" u Organismos, de modo que la protección y privacidad de los datos, pudiera verse afectada. por ello, la protección de los datos debe centrarse en:
  • Aislamiento de los Datos: puesto que los datos pueden estar presente en múltiples formas, se deben de utilizar mecanismos que permitan aislar unos de otros, como por ejemplo: Sistemas de cifrado, de forma que a pesar de compartir un mismo medio físico, los datos no puedan ser visibles entre si, y solamente sean accesibles para quienes tenga la autorización correspondiente.
  • Sanitización de los datos: la eliminación de los datos, debe asegurarse que se toman las medidas apropiadas para eliminar por completo la información almacenada. Se deberá de establecer los controles necesarios (procedimientos, auditorías) para asegurar que lo datos son borrados de manera segura.
Availabity: la disponibilidad de los datos, puede ocasionar medidas adicionales para controlar la ubicación de los datos, en ocasiones, estas medidas de protección frente a los ataques de denegación de servicio, implican la utilización de centros "contratados con terceros". Para poder gestionar adecaudamente el riesgo se deben de tener en consideración todas las situaciones, así como las medidas y salvaguardas establecidas.

Incident Response: la gestión de incidentes debe ser "manejada" como en cualquier otro sistema de información debe tratarse de identificar la causa, aislar el problema, aplicar las medidas de contención, eliminación y reparación.  Es por ello, que los centro de cloud computing deben de disponer un mecanismo de gestión de incidentes claro y conciso, capaz de poner a disposición de la organización todo el procedimiento con objeto de analizarlo y detectar las posibles implicaciones. De modo que la organización pueda adaptar su "procedimiento de gestión de incidentes" al del centro de servicio, que se sincronicen para llevar a cabo un actuación adecuada en cuanto al incidente, y la organización conozca las implicaciones en la privacidad y la seguridad que un posterior análisis forense pudiera ocasionar. Hay que tener en cuenta que el "centro de servicios" puede sufrir un incidente de seguridad que afecte a otros clientes, e indirectamente implique un riesgo para la seguridad de los datos de la organización.

Por ultimo, la guía proporciona un cuadro resumen con las "directrices" y "recomendaciones" claves para proteger la Seguridad y Privacidad de los datos.

No hay comentarios :

Publicar un comentario en la entrada