Cloud computing security. La computación en la nube
Enviado por Boris Valenzuela • 10 de Octubre de 2019 • Ensayo • 5.720 Palabras (23 Páginas) • 169 Visitas
R esumen
Examinamos brevemente los problemas de seguridad informática en la nube. El hecho de que los datos se compartan con el proveedor de servicios en la nube se identifica como el principal problema científico que separa la seguridad informática en la nube de otros temas en seguridad informática. Examinamos tres direcciones de investigación actuales y las evaluamos en términos de un ejemplo de software como servicio en ejecución.
1 What is cloud computing security?
La computación en la nube es la idea de que los datos y los programas se pueden almacenar centralmente, en la nube, y acceder a ellos en cualquier momento desde cualquier lugar a través de clientes ligeros y dispositivos móviles livianos. Esto trae muchas ventajas, incluida la ubicuidad de los datos, la flexibilidad de acceso y la resistencia. En muchos sentidos, también mejora la seguridad: el proveedor de la nube puede permitirse invertir en tecnologías y prácticas de seguridad mejores y más actualizadas que el propietario de los datos. Sin embargo, dado que la computación en la nube necesariamente coloca los datos fuera del control del propietario de los datos, inevitablemente también presenta problemas de seguridad.
La seguridad informática en la nube se refiere a todos los aspectos de hacer que la informática en la nube sea segura. Muchos de estos aspectos no son exclusivos de la configuración de la nube: los datos son vulnerables a ataques independientemente de dónde estén almacenados. Por lo tanto, la seguridad informática en la nube abarca todos los temas de seguridad informática, incluido el diseño de arquitecturas de seguridad, la minimización de las superficies de ataque, la protección contra malware y la aplicación del control de acceso. Pero hay algunos aspectos de la seguridad informática en la nube que parecen ser específicos de ese dominio [1, 2, 3]:
1. La nube suele ser un recurso compartido, y otros usuarios (llamados inquilinos) pueden ser atacantes.
2. Los datos basados en la nube generalmente son intencionalmente accesibles mediante protocolos y API potencialmente inseguros en las redes públicas.
3. Los datos en la nube son vulnerables a la pérdida (por ejemplo, borrados accidentalmente) o modificados incorrectamente por el proveedor de la nube.
4. El proveedor de la nube, sus subcontratistas y empleados pueden acceder a los datos en la nube.
Las tecnologías para abordar los puntos 1, 2 y 3 en la lista anterior han existido durante algún tiempo, y no son específicas de la seguridad informática en la nube. El aspecto multicliente se aborda mediante la implementación de sólidos sistemas de gestión de máquinas virtuales y sistemas operativos que garanticen la separación entre procesos; ese fue siempre su propósito. Asegurar el acceso a los datos a través de las redes públicas, aunque es esencial para la computación en la nube, es de hecho un desafío anterior al tema, y ya existen soluciones maduras que incluyen protocolos de autenticación, marcos de autorización y cifrado. La pérdida de datos se aborda mediante políticas de copia de seguridad cuidadosas, incluida la copia de seguridad remota. Existen varias técnicas que pueden usarse para detectar modificaciones incorrectas. Si bien la implementación de estas soluciones puede ser un desafío importante de gestión e ingeniería, no es un desafío científico. Desde un punto de vista científico, los puntos 1, 2 y 3 en la lista anterior son problemas resueltos.
Por lo tanto, el desafío verdaderamente único que plantea la seguridad informática en la nube se reduce a una sola cosa: el proveedor de la nube puede acceder a los datos en la nube. El proveedor de la nube en su conjunto (o sus empleados individualmente) puede revelar de manera deliberada o inadvertida los datos de los clientes. Además, el proveedor de la nube puede tener subcontratistas (normalmente, un proveedor de "software como servicio" subcontratará a un proveedor de "infraestructura como servicio"), y los subcontratistas también pueden tener acceso a los datos. Este documento aborda la cuestión de cómo un cliente podría proteger sus datos de proveedores de nube maliciosos o negligentes.
Si la función de la nube se limita a almacenar los datos en nombre del propietario, entonces el problema se puede resolver encriptando los datos, con el propietario sosteniendo las claves. Sin embargo, normalmente uno quiere que el proveedor de la nube pueda hacer cálculos no triviales con los datos y, por lo tanto, el problema es muy difícil de resolver. Dichos cálculos pueden incluir búsquedas, transformaciones, selecciones y decisiones de control de acceso. Por ejemplo:
- Los datos son un archivo de correo electrónico, y se espera que la nube maneje el correo electrónico de una manera que depende de su contenido (por ejemplo, filtrado de spam, clasificación de temas, cumplimiento de las políticas de divulgación corporativa).
- Los datos son documentos y fotografías, y se espera que la nube imponga reglas de acceso que dependen del contenido.
- Los datos pueden ser datos científicos obtenidos por experimento y observación, y el cálculo puede ser encontrar patrones u organizar los datos de acuerdo con las reglas. Otros ejemplos en esta categoría incluyen modelado financiero intensivo en datos o modelado de tráfico de red.
- Los datos pueden ser datos financieros, datos de nómina, datos de recursos humanos, datos bancarios, etc., y el cálculo es el procesamiento comercial habitual.
- Los datos pueden ser documentos para revisar (solicitudes de empleo, trabajos de investigación, licitaciones comerciales) y el cálculo puede ser para respaldar el proceso de revisión (envío a revisores, recopilación de revisiones, etc.).
1.1 Un ejemplo corriente
Para comprender la importancia de la confidencialidad del proveedor de la nube, detallamos los problemas y consideraciones que rodean los sistemas de gestión de conferencias basados en la nube, que representan un ejemplo de estos problemas dentro de la comunidad de investigación académica [4]. Es un ejemplo interesante, porque es pequeño y específico, lo que hace que sea más fácil explorar la naturaleza exacta del problema de confidencialidad y pensar en soluciones. Los sistemas como EasyChair y EDAS permiten que un presidente o gerente de la conferencia cree la cuenta de la conferencia "en la nube", y esos sistemas manejan toda la administración necesaria, como la distribución de documentos a los miembros del comité de programa (PC), la recopilación y distribución de revisiones y discusión y producción de correos electrónicos a autores y revisores e informes tales como estadísticas de aceptación y el programa de la conferencia. Debido a que un proveedor de la nube asume la responsabilidad de los datos en todas las conferencias, todo el negocio de administrar el servidor (incluidas las copias de seguridad y la seguridad) lo realiza un tercero diferente de los organizadores o participantes de la conferencia, y gana economía de escala. Al mismo tiempo, ya existen cuentas para autores y miembros de PC, y no es necesario administrarlas por conferencia.
...