En este trabajo, los autores argumentan que los riesgos asociados con los niveles apropiados de seguridad de datos y privacidad en las diferentes las capas de la computación en la nube son desafiantes para la organización del cliente. Esto se debe a la creciente importancia de los datos e información para las empresas y a las diferentes configuraciones de servicios de computación en la nube y modelos de implementación que son posibles.
Los servicios de computación en la nube se pueden entregar en términos de una o más prestaciones tales como infraestructura, plataforma y software y en términos de uno o más modelos de implementación como público, privado, híbrido y comunitario.
Estas diferentes configuraciones y modelos de implementación de computación en la nube significan que no es solo una de las partes responsable de la seguridad y privacidad de datos en un servicio de computación en la nube. Nosotros también creemos que es muy probable que muchas organizaciones de clientes no sean del todo conscientes y no tengan estrategias adecuadas de gestión de riesgos y mitigación para enfrentar temas de seguridad de los datos y la privacidad.
Amenazas de seguridad en la computación en la nube
La Cloud Security Alliance identifica 12 amenazas relacionadas con la seguridad en la nube. Se clasifican de acuerdo al orden de gravedad:
- Incumplimiento de datos.
- Identidad, credencial y gestión de acceso débiles.
- APIs inseguras.
- Vulnerabilidades de sistema y aplicación.
- Secuestro de cuenta.
- Inicio de sesión malintencionado.
- Amenazas persistentes avanzadas.
- Pérdida de datos.
- Evaluación Insuficiente.
- Abuso de los servicios en la nube.
- Denegación de Servicio.
- Vulnerabilidades de tecnología compartida.
Responsabilidades
Un análisis detallado sobre la seguridad de los datos y los controles de privacidad provistos en la nube por destacados proveedores de servicios, revela la siguiente matriz de diferentes tipos de controles de seguridad. Esto tendría que implementarse en los diferentes modelos de servicios en la nube (Amazon, Microsoft, IBM, Techtalk).
Tabla 1 – Mapa de responsabilidades
El mapeo de las responsabilidades de seguridad en la nube entre el CSP y la organización cliente en la tabla 1 demuestra que hay una superposición para algunos de los controles de seguridad que deben implementarse. Sin embargo, la seguridad de los datos y, más ampliamente, a gobernanza de los datos es principalmente responsabilidad de la organización cliente, aunque la seguridad o las vulnerabilidades de seguridad en niveles inferiores de la computación en la nube, pueden impactar seguridad de datos y privacidad.
Dado que las brechas de datos, su pérdida y eliminación, son las principales preocupaciones, la clasificación de los datos desempeñará un papel cada vez más importante, al determinar cuál es el nivel apropiado de seguridad y privacidad para los diferentes tipos de datos que se almacenan y procesan en la nube.
Marco de responsabilidad compartida: gestión de la seguridad de los datos en la nube
Los proveedores importantes,, como Amazon, Google y Microsoft ya han resaltado que la seguridad es una responsabilidad compartida donde ellos se hacen cargo de lo que está fuera de la nube y los usuarios son, en gran parte responsables, de la seguridad en la nube. Para mayor referencia puede leerse: Modelo de responsabilidad compartida de Amazon, Matriz de responsabilidades de la plataforma Google Cloud, Modelo de responsabilidad compartida de Microsoft Azure.
Claramente cuando se examina el Modelo de Responsabilidad Compartida de AWS, su enfoque de la responsabilidad es principalmente en IaaS. Es evidente que hay una responsabilidad significativa en el cliente o consumidor de los servicios en la nube de AWS para realizar su evaluación debidamente y garantizar que los controles están en su lugar para asegurar el nivel apropiado de seguridad y privacidad de los datos, particularmente en PaaS y más en SaaS y dependiendo del tipo de modelo (s) de implementación en la nube utilizado, esto complica aún más las cosas.
Microsoft también ve la seguridad de los servicios en la nube como una responsabilidad compartida entre el CSP, siglas del inglés Cloud Service Provider, y el cliente (vea la Figura 1) que se basa en gran medida en el estándar PCI DSS 3.2.
Curiosamente, ven a la clasificación de datos como responsabilidad de la organización del cliente en los tres modelos de servicios en la nube. Los niveles más bajo de la red que son la seguridad física, la infraestructura del host y los controles de red, son principalmente responsabilidad del proveedor de servicios en la nube.
Sin embargo, claramente este modelo de responsabilidad compartida indica que la responsabilidad de los datos y la seguridad reside en gran parte con la organización del cliente.
En la plataforma Google Cloud puede verse el Customer Responsibility Matrix. Éste también enfatiza que la seguridad es una responsabilidad compartida.
Utilizando el estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) Google detalla sus responsabilidades como proveedor de servicios en la nube y las de la organización del cliente que utiliza una Matriz de Responsabilidad PCI-DSS. Google se adhiere a los requisitos de PCI-DSS establecidos para un proveedor de servicios de nivel 1. En otras palabras, se requiere que Google Cloud Platform (GCP) cumpla con PCI DSS y todos los requisitos que se aplican directamente a un proveedor de servicios. Google también deja muy claro su rol como proveedor de servicios en la nube, servicio en el que:
Algunos de los requisitos de PCI DSS son responsabilidad exclusiva y deben ser implementados por la plataforma Google Cloud.
Otros de los requerimientos de PCI DSS son de exclusiva responsabilidad y deben ser implementados por el cliente.
Otros requisitos son responsabilidad compartida y deben ser implementados por ambas partes.
En este sentido, proponemos que el principio de responsabilidad compartida para la seguridad de los datos y la privacidad en la computación en la nube es una perspectiva importante a considerar aplicando los principios clave del Bright Internet Framework. Creemos que el uso de servicios en la nube por parte de una organización es una responsabilidad compartida en cuanto al almacenamiento datos potencialmente confidenciales en un sistema en el que la organización no puede poseer control. Si bien la mayoría de los proveedores de servicios en la nube prometen un cuidado «razonable» para minimizar los riesgos para la seguridad y privacidad de los datos, la carga de la evaluación de las prácticas de seguridad de un proveedor de servicios en la nube es, en gran medida, responsabilidad del organización cliente.
A medida que las organizaciones trasladan cada vez más partes importantes de sus TIC empresariales a la nube es esencial que comprendan las mejores prácticas de tecnología y seguridad que tanto el proveedor de la nube como ellos mismos pueden implementar para minimizar de forma efectiva los riesgos y para garantizar un nivel apropiado de seguridad y privacidad para los datos.
La iniciativa Bright Internet proporciona un excelente marco para establecer los principios de la responsabilidad de origen y distribución del tráfico de Internet. Sin embargo, creemos que el marco Bright Internet puede mejorarse al incluir una responsabilidad compartida en su marco.
Una responsabilidad compartida, que incluye expectativas claras desde el lado del «usuario» y el Cloud Service Provider, potenciará la Iniciativa de Internet para cumplir sus objetivos principales de prevenir ataques maliciosos de origen anónimo mientras se mantiene la libertad de expresión y la protección de la privacidad en la nube adhiriendo a las jurisdicciones legales y leyes de privacidad relevantes.
Fuente: The Bright Internet Global Summit 2017, Seoul, Korea. Managing the Risks of Data Security and Privacy in the Cloud: A Shared Responsibility between the Cloud Service Provider and the Client Organisation. Autores: Michael Lane, Anup Shrestha, Omar Ali. Los tres autores son investigadores de la University of Southern Queensland Toowoomba, Queensland, Australia.
Traducido y adaptado por la División consultoría de EvaluandoCloud.com