Professional Documents
Culture Documents
Seguridad En La Nube
Erick Arminio Alvarez Velasquez
Universidad Mayor de San Andres
Facultad de Ciencias Puras y Naturales
Informática
Simulación de Sistemas
dive777@gmail.com
Palabras Clave
Computación en la nube, proveedor de nube, seguridad, ventajas,
desventajas, vulnerabilidades.
1. INTRODUCCION
En este artículo se hablara de la seguridad en términos de
seguridad de la información, esta seguridad es las precauciones
que se tienen en las empresas que proveen computación en la
nube, de manera que la información cumpla con tres principios: la
confidencialidad, la disponibilidad y la integridad.
La computación en la nube empezó a construirse a principios de
los 90. La idea principal de la computación en la nube es el Figure 1. Implementación de la computación en la nube
separar al sistema de la infraestructura y los mecanismos de los
que está compuesto, separándolo de las aplicaciones y servicios 2. SEGURIDAD
que ofrece.[1] La seguridad de la información gano un gran terreno en la
Ahora la pregunta que nos planteamos es: ¿Que es la computación informática, ahora se pueden escoger distintas áreas de
en la nube? especialización, como por ejemplo en la auditoria de sistemas,
planificación de negocios, informática forense y administración de
Bueno en una corta explicación a grandes rasgos, la computación sistemas.
en la nube es software y hardware que esta hospedado en un
ambiente centralizado que puede ser alquilado, de esta manera el Como principios básicos de la seguridad de la información se
usuario se convierte en un cliente ligero y acceder a los recursos tiene a: La confidencialidad, la integridad y la disponibilidad.
independientemente del dispositivo que use. La confidencialidad este principio asegura que la información no
Específicamente, la computación en la nube es un modelo de se divulgara o publicara a ninguna persona que no cuente con
computación que tiene recursos virtualizados que se proveen autorización, solo deberán tener acceso a la misma personas con
como servicios o recursos sobre el internet. El concepto incorpora autorización.
infraestructura como servicios, plataforma como servicio y La integridad no permite cambios a la información por personas
software como servicio, así como las recientes tecnologías que ajenas a la misma.
tienen tema principal la confiabilidad sobre internet para satisfacer
las necesidades de los usuarios. La computación en la nube provee
7
REVISTA DE INFORMACIÓN TECONOLOGÍA Y SOCIEDAD
La Disponibilidad es la posibilidad de un usuario de ingresar a la actualizaciones. Además en caso de error o de desastres a causa de
información en cualquier momento que desee, sin importar el cambios en una máquina virtual, es posible deshacer el error y
lugar donde se encuentre. volver a un estado estable previo. [3]
La manera en la que la seguridad esta implementada en la 2.1.6. Beneficios de la concentración de recursos
computación en la nube en la mayoría de los casos, es muy similar Al tener todos los recursos concentrados, los costos de
a la seguridad en los ambientes de Tecnologías de la información mantenimiento rebajan y permite que un fácil acceso físico a los
(TI) tradicionales. Pero debido a la naturaleza distribuida de los mismos. [3]
bienes, el riesgo de seguridad varía dependiendo en la clase de
bien a usar, quien y como maneja esos bienes, cuales son los 2.2. Riesgos de seguridad
mecanismos de control a usar y cuando se encuentran localizados
y finalmente quien consume los bienes. 2.2.1. Encerrado
Como mencionamos anteriormente que está diseñada para Como se mencionó anteriormente todavía no hay estandarización
múltiples usuarios, se debe tener un set de políticas que deben ser en cómo mover la información y los recursos entre los diferentes
implementadas para el aislamiento de recursos, facturación, PNs. Esto significa que en caso de que un usuario decida moverse
segmentación y más, para alcanzar una forma concisa y segura. de un PN a otro, no le será posible debido a las incompatibilidades
que existen entre los PNs. Esto crea dependencia de los usuarios a
Para poder verificar si la seguridad que el proveedor de la nube un PN en particular. [2]
(PN) ofrece es la adecuada, debemos tener a consideración la
madures, efectividad y la completitud del ajuste de riesgo de la 2.2.2. Fallo de aislamiento
seguridad que controla e implementa nuestro PN. La seguridad Una de las desventajas de los recursos que son compartidos por
puede ser implementada en uno o más niveles. Estos niveles que múltiples usuarios ocurre cuando el mecanismo de aislamiento
cubren solo la infraestructura de la nube son: seguridad física, falla en separar los recursos entre los usuarios. Este problema se
seguridad de red, seguridad de sistemas y seguridad de da por un ataque o debido a un mal diseño de mecanismo de
aplicaciones. Adicionalmente seguridad puede tener lugar en un aislamiento. En estos días los ataques de esta clase son muy raro
nivel más alto, en las personas, obligaciones y procesos. comparados a los ataques tradicionales, pero no se puede asegurar
Es necesario en este punto que se entienda la diferencia de las en confiar solo en este hecho. La categoría de riesgo cubre la falla
responsabilidades de seguridad que tiene el PN y el usuario final. de mecanismos separando almacenamiento, memoria, ruteo e
Algunas veces hasta entre los diferentes PNs las responsabilidades incluso entre diferentes arrendatarios. [2]
de seguridad varían. 2.2.3. Riesgos de conformidad
A continuación se verán los distintos tipos de beneficios, riesgos y Al usar una infraestructura de computación en la nube pública, no
vulnerabilidades que se pueden llegar a tener al elegir un se podrá alcanzar la conformidad de los estándares de una
determinado proveedor de nube y ver la implementación de industria. [2]
seguridad que el proveedor ofrece.
2.2.4. Administración de interfaces comprometida
2.1. Beneficios de la seguridad Los diferentes PNs provén al usuario, administración de interfaces
por sus recursos en infraestructuras públicas de nube. Haciendo
2.1.1. Seguridad y los beneficios de escalabilidad que esas interfaces sean accesibles por internet permitiendo el
Cuando se implementa la seguridad en un sistema grande el costo acceso remoto a las aplicaciones o vulnerabilidades de los
para su implementación es compartida por todos los recursos y navegadores permitiendo el acceso a usuarios no autorizados. [2]
como resultado de inversión termina siendo más efectiva y se
ahorran costos. 2.2.5. Protección de Información
Los PNs pueden manejar la información de maneras que no son
2.1.2. La seguridad como diferenciador de mercado conocidas por los usuarios, debido a que los usuarios pierden por
Como la confidencialidad, integridad y la flexibilidad son una completo el control de la información, pero existen algunos PNs
prioridad para muchos de los usuarios finales, la decisión en si que brindan información en como manejan la información,
ellos eligen a un PN en lugar de otro está basada en la reputación además de ofrecer certificación adicional en como procesan la
que tiene acerca de la seguridad la PN. Por lo tanto la competición información y de sus actividades de seguridad. [2]
entre las PNs hace que provean mejores niveles de servicios.
2.2.6. Inseguro o información incompleta
2.1.3. Recursos rápidamente escalables Existen varios sistemas que a pedidos de eliminación de recursos
La computación en la nube es considerada flexible debido a su no los eliminan completamente. También en el caso de la
habilidad de poder aumentar o reducir recursos. [3] computación en la nube. Además de que surgen dificultades al
eliminar un recurso debido a la existencia de copias de respaldo o
2.1.4. Auditoria y Reunir evidencia razones de redundancia. Por estos casos de riesgo se añade
Debido a que se usa la virtualización en muchas protección a la información. [2]
implementaciones en computación en la nube, es fácil recolectar
toda la información necesaria para hacer auditorias para así poder 2.2.7. Interno malicioso
proceder con el análisis forense de la información. [3] Existe siempre la posibilidad de que alguien dentro de la PN cause
daño. Por esta razón una política por roles específicos para cada
2.1.5. Mayor tiempo, actualizaciones efectivas usuario debe ser implementada. [2]
Otro beneficio de la computación en la nube y la virtualización es
que las máquinas virtuales pueden venir con las últimas
8
REVISTA DE INFORMACIÓN TECONOLOGÍA Y SOCIEDAD