Seguridad: el lado oscuro de la nube - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Seguridad: el lado oscuro de la nube

Hola, ¿qué tal colega?. Yo soy Simón Sánchez y en esta ocasión vamos a hablar sobre Seguridad: el lado oscuro de la nube

La computación en la nube es un nuevo paradigma informático para muchos, pero para el resto de nosotros es simplemente la versión actual del tiempo compartido: el tiempo compartido 2.0. El uso bajo demanda o pago ha sido la norma para muchas organizaciones de HPC durante varias décadas. Estos usuarios nunca tuvieron el presupuesto para sus recursos informáticos o el proyecto solo necesitaba acceso limitado a potentes recursos informáticos.

En este sentido, los usuarios de HPC, como los usuarios comerciales más importantes, ya confían en la computación en la nube con sus aplicaciones, datos y resultados patentados. Han estado utilizando servicios pagos durante años y muchos han evolucionado desde los primeros días del tiempo compartido. En muchos casos, los centros de supercomputación y los laboratorios de investigación gubernamentales proporcionan los recursos informáticos. Si es un usuario comercial de HPC en las industrias de petróleo y gas, servicios financieros, fabricación u otras, es probable que sus recursos informáticos se encuentren en el centro de datos corporativo.

Esta comunidad de usuarios de HPC ha sido pionera en las herramientas necesarias para asignar, medir y controlar el acceso a usuarios y proyectos específicos, protegiendo a los usuarios de una

Sin lugar a dudas, el mayor desafío para la computación en la nube es la seguridad, el lado oscuro de la nube. En el paradigma de la nube, a la comunidad de usuarios no le importa o no debería preocuparse por el lado físico de las operaciones comerciales. En la mayoría de los casos, la infraestructura física está alojada, administrada y es propiedad de un tercero y usted paga por los recursos utilizados al igual que los servicios públicos de electricidad y gas. A pesar de todas estas maravillosas capacidades y características, la seguridad sigue siendo una preocupación para la comunidad HPC, así como para los consumidores preocupados por proteger su identidad y la información de su tarjeta de crédito.

Imagine por un momento las ramificaciones de los negocios si los datos críticos de drogas o los resultados del diseño de aviones fueran alterados y comprometidos por actividades maliciosas o fueran lanzados al mundo prematuramente. Los costos reales e intangibles para su negocio pueden ser devastadores.

Las amenazas a la red y la seguridad de la información existen desde hace décadas, nada nuevo. Sin embargo, la complejidad y la escala de los ataques están aumentando a un ritmo alarmante, lo que presenta a las organizaciones un gran desafío mientras luchan por defenderse de esta amenaza siempre presente. Hoy en día, el ciberdelito es más rentable y menos riesgoso que otras formas de actividad delictiva. Los niveles de amenazas y ataques van en aumento, afectando cada vez a más empresas. Las estimaciones de interrupciones, robo de datos y otras actividades nefastas se han fijado en un asombroso billón de dólares para 2008. ¡Ciertamente más que un error de redondeo!

Justo este mes, los titulares de las noticias de CNET News incluyen «Google China Insiders pueden haber ayudado con el ataque» y en el Wall Street Journal: «Fallout from Cyber ​​Attack Spreads». CCTV.com informó que «el motor de búsqueda más grande de China se ha visto paralizado por un ataque cibernético …» Y un titular de ZDNet el 21 de enero decía: «Microsoft ha sido consciente de la falla de día cero de IE desde septiembre pasado «.

En julio de 2009, los titulares de associatedcontent.com decían «Ataques cibernéticos casi simultáneos en sitios web del gobierno de EE. UU.». El artículo informó que el ataque tuvo como objetivo la «Casa Blanca, Pentágono, NYSE, Servicio Secreto, NSA, Seguridad Nacional, Estado, Nasdaq, Tesoro, FAA, FTC y sitios web». DOT «.

El bajo riesgo y el bajo costo de entrada del ciberdelito lo convierten en un «negocio» atractivo y rentable. La computación en la nube agrava la situación al facilitar el acceso a cantidades cada vez mayores de información. Las organizaciones de TI tienen bastante dificultad para defender sus recursos internos de nube privada. Las empresas que ofrecen modelos de pago en la nube pública se enfrentan a un desafío más difícil, ya que deben atender a varias organizaciones en la misma plataforma. Al mismo tiempo, existe la oportunidad de innovar en las ofertas de servicios de seguridad flexibles basados ​​en la nube.

El elemento criminal emplea herramientas poderosas como botnets, que permiten a los atacantes infiltrarse en una gran cantidad de máquinas. El «Informe sobre amenazas emergentes 2009 del Centro de seguridad de la información de Georgia Tech (GTISC)» estima que las máquinas afectadas por botnets pueden representar el 15% de las computadoras Online. Otro informe elaborado por Panda Labs estima que en el segundo trimestre de 2008 se utilizaron diariamente 10 millones de botnets para distribuir spam y malware en Internet. A medida que el paradigma de la nube crece, más y más información de misión crítica fluirá a través de la web a los servicios en la nube alojados públicamente. La sabiduría convencional de defender el perímetro es insuficiente para este entorno distribuido dinámico. Un punto en común entre las aplicaciones comerciales comerciales es que los usuarios deben tener en cuenta la seguridad antes de registrarse en los servicios de nube pública.

Durante SC09, conocí a muchos de los proveedores de infraestructura de HPC y también hablé con algunos usuarios de la nube de HPC del mundo real sobre sus preocupaciones sobre el uso de la computación en la nube para sus cargas de trabajo. (Esta no fue una encuesta estructurada de la industria). Algunos han expresado preocupaciones acerca de la seguridad, pero principalmente en el contexto del uso de recursos de nube pública frente a recursos de nube privada. Sin embargo, también expresaron su preocupación por la transición de las cargas de trabajo de HPC de los recursos internos a los recursos externos de la nube pública, ya que este es un escenario muy diferente y de las cargas de trabajo comerciales. Desde el punto de vista de la seguridad, las preocupaciones iban desde la ONU

Los usuarios de HPC suelen tener muchas opciones disponibles para ejecutar sus cargas de trabajo. Por ejemplo, un usuario académico puede tener acceso a recursos informáticos centrales internos compartidos entre varios departamentos, o incluso acceso a centros de supercomputación a gran escala. En este entorno, los datos de los usuarios, los resultados y las aplicaciones siguen siendo muy «internos» e incluso si existe algún riesgo de seguridad, los usuarios están mejor protegidos en este entorno. Los usuarios de HPC en el sector privado, particularmente aquellos en empresas multinacionales a gran escala, pueden tener la opción de nubes privadas disponibles para sus cargas de trabajo y, como los usuarios de HPC académicos, tienen menos preocupaciones de seguridad. Sin embargo, si el usuario de HPC está buscando proveedores de nube pública de terceros comerciales, ya sea EC2 de Amazon, App Engine de Google o, mejor aún, proveedores de nube específicos de HPC, deben tomarse el tiempo para asegurarse de que estos los proveedores se ocupan completamente de sus problemas de seguridad, cifrado y persistencia.

Para aquellas organizaciones que no tienen nubes privadas internas y desean utilizar la computación en nube de un proveedor externo, les recomiendo que consideren los siguientes cinco criterios de evaluación de seguridad:

  1. Evalúe las características de seguridad del proveedor con mucho cuidado. Asegúrese de que proporcionen más que un acceso protegido con contraseña.
  2. Revise las herramientas de colaboración y el uso compartido de recursos para evitar la fuga de datos. La seguridad se trata de datos.
  3. Examine la seguridad y la autenticación de la infraestructura central. ¿Qué sucede en caso de desastre? ¿Cuál es su plan de recuperación ante desastres, sus procedimientos de respaldo y con qué frecuencia prueban este proceso? ¿El proveedor ha experimentado alguna vez una avería o una infracción de seguridad y, de ser así, qué pasó?
  4. ¿Pueden crear una nube privada para su carga de trabajo? ¿Cuál es su política de persistencia de datos? ¿Pueden garantizar la seguridad de la transferencia de datos desde los recursos internos a la nube pública?
  5. Solicite revisar sus políticas y procedimientos de mejores prácticas y ver si incluyen auditorías y pruebas de seguridad periódicas.

La computación en la nube no es tanto una tecnología nueva como un nuevo modelo de entrega, pero su impacto será enorme. La firma de investigación IDC estimó que los servicios en la nube en todo el mundo en 2009 fueron de $ 17.4 mil millones y se prevé que crezcan a $ 44.2 mil millones en 2013. Economías de escala y recursos centralizados crear nuevos desafíos de seguridad para una infraestructura de TI ya estresada.

Esta concentración de recursos y datos será un objetivo atractivo para los ciberdelincuentes. En consecuencia, la seguridad basada en la nube debe ser más sólida. Tómese el tiempo para evaluar la seguridad y asegúrese de que esté diseñada y no agregada después de una infracción. Trabaje con un proveedor confiable. Y en caso de duda, pida consejo.

Acerca de

Steve Campbell, consultor de la industria HPC y HPC / Cloud Evangelist, ha ocupado puestos de vicepresidente senior en gestión de productos y marketing de productos para proveedores de HPC y empresas. Campbell se ha desempeñado como vicepresidente de capacidades de marketing para Hitachi, Sun Microsystems, FPS Computing y también ocupó puestos de liderazgo en marketing en Convex Computer Corporation y Scientific Computer Systems. Campbell también se ha desempeñado en las juntas directivas y como CEO / CMO interino de varias empresas de tecnología en etapa inicial.

Deberías compartir en en tu Twitter y Facebook para que tus colegas lo vean

??? ? ? ???

Comparte