Future Internet, IoT and cloud computing

Blog del grupo de investigación GRITS. Redes de próxima generación para el Internet del futuro, Fog Computing e Internet de las cosas para implementar nuestros diseños personalizados en nubes híbridas ciberseguras, en sistemas de almacenamiento a gran escala y comunicaciones de larga distancia.

27 Marzo 2015 | Publicado por Editorial Team GRITS

Seguridad en el cloud

cloud key

Al final del  post anterior se nombraron los diferentes modelos de cloud computing existentes. En éste empezaremos nombrando los diferentes entornos cloud que se pueden crear o contratar, para poder entender mejor los problemas de seguridad que pueden haber que se trataran a continuación. Cuando alguien quiere contratar un servicio en la nube, éste puede contratar diferentes tipos de arquitecturas según los recursos necesarios.

El más básico es el que utiliza las aplicaciones del proveedor sobre una red llamado SaaS (Software as a Service), como puede ser Google Docs o Office365. Después está el PaaS (Platform as a Service), en la que se despliega aplicacones creadas por el cliente en una nube. En este caso el proveedor proporciona un servidor de aplicaciones y una base de datos. Un claro ejemplo es el App Engine de Google. Para finalizar, la arquitectura con la que disponemos más recursos es la llamada IaaS (Infraestructure as a Service), en la que se alquila el procesamiento, almacenamiento, capacidad de red y otros recursos, como puede ser la Amazon EC2 .

iaas_saas_paas

Como hay una lista muy larga de posibles vulnerabilidades, vamos a empezar por la arquitectura IaaS, en la que, al tener más recursos disponibles, pueden haber más agujeros de seguridad. Para crear una infraestructura se tiene que evitar el acceso a los recursos físicos compartidos evitando los fallos de aislamiento monitoreando el entorno para detectar cambios anormales a tiempos. A parte de la correcta protección de los usuarios de alto riesgo como son el administrador o el usuario root, que tiene total libertad para crear, eliminar y modificar todos los archivos y directorios del sistema.

Otro de los grandes problemas que pueden ocurrir es que al viajar la información de un punto a otro ésta sea interceptada a partir de un ataque Man-in-the-middle. Una de las maneras de prevenirlos puede ser implementando técnicas de autenticación de doble factor, haciendo un monitoreo proactivo y sobretodo cifrando los datos que se transfieren (tanto internamente, como los que salen al exterior) a partir de una buena gestión de claves.

Para esto último existen diferentes protocolos como el KMIP o el estándard IEEE 1619.3. Como se puede ver los datos son la pieza clave de todo, por lo que siempre se tiene que hacer un respaldo antes de poder lamentarlo, y hacer una correcta eliminación para que sean irrecuperables.

 

Heartbleed

 

Como último consejo general, se tiene que tener especial cuidado en todos los protocolos, sistemas de autenticación, y APIs que se vayan a utilizar en el entorno en la nube. Teniendo siempre todos los sistemas actualizados a sus últimas versiones, y estando informado de las últimas vulnerabilidades que vayan saliendo. Por ejemplo este año han habido dos grandes agujeros relacionados con la libreria OpenSSL, como es el ya conocido Heartbleed o Poodle , que afectaron -y siguen afectando- a una cantidad enorme de servidores en todo el mundo.

Share