Aspectos y riesgos del Cloud que pasan desapercibidos

Cap-001

Últimamente todo lo relacionado con informática e Internet que no utilice la palabra ”cloud” parece que o no es importante o no es algo nuevo ni novedoso, tecnológicamente hablando claro. El cloud ha dejado de ser una tendencia y es ya una realidad tras el apoyo de marcas tan conocidas como Google, Amazon o Microsoft y otras más recientes como Salesforce y alguna otra. Aparte de las diferentes ventajas que tiene el disponer de nuestros sistemas en el ”cloud” y de los distintos cambios en el enfoque de las políticas de seguridad corporativas que ello conlleva, hay determinados aspectos importantes que normalmente no se tienen en cuenta; algunos de ellos son:

Google Cloud.

– SLAs (Service Level Agreement): los acuerdos de niveles de servicio que aparecen reflejados en los diferentes contratos se refieren a la disponibilidad de la máquina virtual. Cifras del 99,9% de disponibilidad son fácilmente alcanzables por los entornos en cloud pero nadie tiene en cuenta el tema del ancho de banda y la conectividad, que no aparecen reflejados en ningún apartado o cláusula, y que son, lógicamente, importantes. El equipo estará disponible pero si no se cuenta con conectividad y/o no se puede acceder al mismo, de poco servirá ese 99,9% garantizado.

Amazon Cloud.

– DoS (Denial of Service): todos los sistemas en cloud ofrecen protección contra ataques de Denegación de Servicio (y DDoS) y el ataque en sí no es el principal problema. Normalmente, al contratar un sistema en el cloud, se paga por los recursos disponibles, número de transacciones soportadas, ancho de banda, etc. En un ataque tipo de Denegación de Servicio se consume más ancho de banda, se consumen más recursos, más CPU, más memoria, etc y eso supone un aumento en la cantidad a pagar por el servicio que, inicialmente, no se suele sopesar.

Microsoft Cloud.

– Borrado de datos ya sea de forma accidental o intencionada: en el cloud, el almacenamiento suele darse de forma dinámica con lo que si, por ejemplo, tenemos asignado un nuevo disco y movemos o copiamos parte de nuestra información, el antiguo disco virtual es reasignado y categorizado como “disponible” dentro del almacenamiento y en seguida es reasignado a cualquiera que demande nuevo espacio. De esta forma, se complica enormemente el poder recuperar un archivo borrado o, incluso, el poder realizar un análisis forense en caso de necesidad.

Microsoft SkyDrive (Cloud).

– Complicaciones a nivel de gestión: si ya es difícil administrar desde el punto de vista de los sistemas y la infraestructura una granja de servidores y equipos corporativos, con los servicios en cloud se incorpora una nueva capa que dificulta su correcta administración. Un nuevo panel de gestión para el propio sistema en cloud. Por no hablar del riesgo innato que supone dado que un sistema de gestión global para un servicio en cloud pasa a ser objetivo directo de posibles atacantes.

– Problemas con los vecinos: en los sistemas anti-SPAM y, en general, en las últimas soluciones de seguridad (IPS, WAFs, etc.) existen mecanismos de filtrado y protección basados en la reputación para detectar posibles comportamientos maliciosos en Internet y clasificar determinadas direcciones IP o, directamente, segmentos de red según sus acciones ¿Qué pasaría si se está compartiendo infraestructura en el cloud con un generador de SPAM y/o malware? Los sistemas de correo corporativos podrían verse afectados por estos mecanismos de reputación y aparecer en alguna blacklists o lista negra con el perjuicio que ello supone.

Cloud Computing.

– Hardening: lo que cualquier servicio de cloud ofrece son máquinas virtuales provisionadas con un Sistema Operativo estándar. Si en algún momento se quiere modificar el funcionamiento y configuración de dichos sistemas —securizándolos, por ejemplo—, se resienten los SLAs y, en resumen, todas aquellas cláusulas contractuales relacionadas con la disponibilidad de la máquina, eludiendo cualquier responsabilidad por parte del prestador del servicio en el cloud (léase Amazon, Google, etc.).

– Riesgos legales: los sistemas en el cloud —y valga la redundancia— están en el cloud y eso dificulta enormemente situarlos en un área geográfica determinada. La legislación no es la misma en cada país y se pueden dar casos en los que la empresa esté ubicada, por ejemplo, en Estados Unidos y el datacenter del servicio en Cloud se sitúe en Europa, y es cuando surge una serie de dudas al respecto: ¿Es necesario cifrar la información? ¿Es legalmente necesario colocar un IPS y capturar determinado tráfico de red? ¿Los datos médicos de mis clientes, pueden salir del país? etc. Así mismo, ¿qué leyes hay que aplicar ante un posible problema legal? ¿las del país de origen del servicio donde se contrata? ¿las del país donde reside físicamente el datacenter? ¿las del país donde esté registrada la empresa como tal? O, mirando temas de protección de datos, ¿durante cuánto tiempo es necesario retener y almacenar la información de mis usuarios o mis clientes?

Empresas de servicios Cloud.

– Licencias: si, por ejemplo, mi servidor de correo está montado en un sistema cloud que ofrece protección y mecanismos para “disaster recovery” ¿es preciso que cada copia de Microsoft Exchange disponga de una licencia independiente? ¿o el Oracle, MS SQL Server y, en general, todos aquellos sistemas que permiten compartir su funcionalidad,  bases de datos, etc.?

– Auditorías y revisiones de seguridad: al final toda la infraestructura donde están instalados nuestros sistemas y nuestras aplicaciones son propiedad de Salesforce, Microsoft y/o del proveedor que nos dé servicio en el cloud. De forma periódica, es necesario revisar el nivel de seguridad de toda la plataforma para comprobar si existen errores de configuración o si la aplicación se ha adaptado a dicha infraestructura correctamente o si toda la información y datos corporativos están seguros y a salvo de miradas indiscretas. En el cloud, no siempre es posible poder auditar alegremente porque los recursos, ancho de banda, etc están compartidos y no son propiedad del cliente.

From: Hacktimes

TonyHAT - 005

Anuncios

Un comentario en “Aspectos y riesgos del Cloud que pasan desapercibidos”

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s