Cree una política de seguridad para servicios de nube

Descubra cómo propósito, ámbito, contexto, acciones y restricciones moldean una política de seguridad

Frecuentemente, por razones económicas, empresas y agencias gubernamentales mueven las operaciones de centro de datos a la nube, quieran o no; las razones por las cuales no les agrada la idea de hospedar en la nube son confiabilidad y seguridad. Para ayudar a paliar esas cuestiones de seguridad empresarial, se debe establecer una política de seguridad de nube. En este artículo, la autora explica cómo crear una política de seguridad de nube para administrar usuarios, proteger datos y proporcionar seguridad a máquinas virtuales.

Judith M. Myerson, Systems Engineer and Architect

Judith M. Myerson es arquitecta e ingeniera de sistemas. Sus áreas de interés incluyen tecnologías de middleware, sistemas para toda la empresa, tecnologías de base de datos, desarrollo de aplicaciones, gestión de red, seguridad, tecnologías de RFID y gestión de proyectos. Es autora de RFID in the Supply Chain y editora de Enterprise Systems Integration, Second Edition Handbook.



01-08-2011

Una política de seguridad creada cuidadosamente describe lo que los consumidores e proveedores de servicios de computación en nube deben hacer; puede ahorrar muchas horas de gestión a los proveedores si desarrollan una política de seguridad.

La política de seguridad es moldeada por cuatro cosas:

  • El tipo de servicio de nube que el proveedor hospeda: Software as a Service (SaaS), Platform as a Service (PaaS) o Infrastructure as a Service (IaaS).
  • Si es pública o privada.
  • Cuánto control tiene el consumidor sobre los sistemas operativos, el hardware y el software.
  • Cómo se aplican las políticas de umbral de solicitudes de usuarios, recursos y datos a cada tipo de servicio de nube.

Éstas son otras variables a considerar, que pueden afectar el panorama de la política:

  • Cuáles cambios en el comportamiento proactivo de la aplicación ocurrieron para que una aplicación interna funcione bien y esté protegida en la nube.
  • Si el proveedor es interno y está dentro de un centro de datos controlado por la organización, o si está hospedado externamente por algún miembro de la industria de las telecomunicaciones.
  • Si el tipo de tipo que el consumidor representa es amplio — como comercio minorista, energía y servicios públicos, mercados financieros, atención sanitaria o productos químicos o petróleo.

Para atender la demanda de los consumidores respecto a la revisión de una política de seguridad, todos los proveedores deben proporcionar a los consumidores copias de la política (como también las políticas de umbral abordadas en un artículo anterior). Los proveedores deben incentivar a los consumidores a enviar preguntas sobre seguridad que tal vez tengan que ser respondidas o requieran negociación antes que el consumidor alquile o se suscriba a un tipo de servicio de nube.

Este artículo comienza con una descripción del foco de seguridad para cada tipo de nube y dé como usted puede usar una lista de comprobación para comenzar a escribir la política, con ejemplos de propósito, ámbito, contexto, acciones y restricciones.

¿Qué foco de seguridad? Mire el drama

Una política de seguridad de nube enfoca la administración de los usuarios y la protección de los datos y de las máquinas virtuales. Es influenciada por el nivel de control que el consumidor tiene sobre las aplicaciones desplegadas, sistemas operativos, hardware, software, almacenamiento y red para un modelo de entrega de nube.

Ahora mire el drama en tres actos cortos

Acto I: Administrar el acceso con SaaS

En el primer acto, la política de seguridad de SaaS enfoca la administración del acceso a aplicaciones específicas alquiladas a consumidores, no importando si son individuos privados, empresas o agencias gubernamentales. La administración del acceso incluye la mitigación del riesgo de robo o suplantación de identidad.

Éstas son variables de control que influencian el foco de seguridad de SaaS:

  • Usuario final de SaaS: El único control que un usuario final tiene es acceder a la aplicación del usuario final desde un desktop, laptop o teléfono móvil.
  • Proveedor de SaaS: Como mínimo, el proveedor controla los sistemas operativos, hardware, infraestructura de red, upgrades de aplicaciones y parches. El proveedor define los niveles de umbral de los usuarios.

Acto II: Proteger datos con PaaS

En este segundo acto, la política de seguridad de PaaS enfoca la protección de los datos, además de la administración del acceso a las aplicaciones. La protección de datos incluye la mitigación de riesgo de uso de la PaaS como centros comando y control que dirigen las operaciones de un botnet para uso en la instalación de aplicaciones de malware.

Éstas son las variables de control que influencian el foco de seguridad de la PaaS:

  • Desarrollador de aplicaciones de PaaS: El desarrollador controla todas las aplicaciones que se encuentran en un ciclo de vida empresarial completo creado y hospedado por proveedores de software independientes, nuevas empresas o unidades de grandes empresas. El desarrollador crea, despliega y ejecuta, por ejemplo, una aplicación personalizada de gestión minorista y administra upgrades y parches para todas las funcionalidades de esa aplicación. Como parte del ciclo de vida, el desarrollador usa hojas de cálculo, procesadores de texto, copias de seguridad, cobros, procesamiento de nómina y facturación.
  • Proveedor de PaaS: Como mínimo, el proveedor controla sistemas operativos, hardware, infraestructura de red y gestión de recursos. El proveedor define los niveles de umbral de las solicitudes de usuarios, recursos y datos.

Acto III: Administrar máquinas virtuales con IaaS

En este acto final, la política de seguridad de IaaS enfoca la administración de las máquinas virtuales, además de la protección de los datos y la administración del acceso de los usuarios a la infraestructura de los recursos de computación tradicionales subyacentes a la máquina virtual. La gestión de las máquinas virtuales incluye la mitigación del riesgo de uso de la IaaS como centros de comando y control para dirigir las operaciones de un botnet para uso en actualizaciones malintencionadas de la infraestructura virtual. Las variables de control que influencian la seguridad de IaaS:

  • Infraestructura de IaaS y especialista en red: El especialista controla los sistemas operativos, equipo de red y aplicaciones desplegadas al nivel de la máquina virtual. El especialista en infraestructura puede escalar verticalmente hacia arriba o hacia abajo los servidores virtuales o bloques del área de almacenamiento.
  • Proveedor de IaaS: Como mínimo, el proveedor controla la infraestructura de recursos tradicionales de computación en el entorno de nube. El proveedor define los niveles de umbral de las solicitudes de usuarios, recursos y datos.

Lápices listos: Su lista de comprobación

¿No sabe por dónde comenzar? No se preocupe; le presento una lista de comprobación de lo que se debe incluir en una política de seguridad. Ponga el lápiz detrás de la oreja o en el bolsillo de la chaqueta para que no lo pierda.

En ese caso de ejemplo simplificado, éstas son algunas sugerencias para cada artículo de la lista de comprobación, como sigue.

  • Propósito: ¿De qué se trata? Estoy curioso
  • Ámbito: No saltar una cerca
  • Contexto: ¿Desea saber más?
  • Acciones: ¿Listo? Remangue sus mangas
  • Restricciones: Trabaje con ellas

Declare sucintamente a qué se destina la política de seguridad. Usted puede usar una plantilla como esta para tener una idea de cómo establecer el propósito:

Propósito: ¿De qué se trata? Estoy curioso

El propósito de la política de seguridad es mitigar riesgos de que un tipo de servicio de nube sea instalado con aplicaciones de malware proyectadas para averiguar con mala intención:
  • El nivel de umbral de recursos definido originalmente por la Política de Umbral de Recursos. Niveles anormalmente altos indican instancias de recursos mal intencionadas; pueden hacer que los niveles garantizados de disponibilidad de servicio establecido en un acuerdo de nivel de servicio (SLA) no se cumplan. Una herramienta de mitigación de riesgo a tener en cuenta es la supervisión del nivel de umbral de las instancias de recursos.
  • Niveles máximos definidos originalmente por la Política de Umbral de Usuarios (basada en los límites de una licencia de usuarios). Cuando el nivel máximo supera el límite del usuario, un pirata informático o empleado disgustado puede pasarse por un usuario autorizado cuando no lo es. La verificación de antecedentes del personal y la revocación del acceso del usuario son herramientas de mitigación de riesgo a tener en cuenta.
  • Niveles de umbral de solicitud de datos definidos originalmente por la Política de Umbral de Solicitud de Datos. Niveles de umbral anormalmente altos pueden producir una latencia alta de la red debido a la acumulación de las solicitudes de datos en una fila. La supervisión del nivel de umbral de las solicitudes de datos es una herramienta de mitigación de riesgo a tener en cuenta.

Ámbito: Trace un límite alrededor de su política, por favor

Defina el ámbito al "trazar" un límite alrededor de la política de seguridad. Dentro de sus límites, especifique el tipo de servicio de nube que el proveedor hospeda y los consumidores alquilan y a las cuales se suscriben, las políticas de umbral que se aplican y la forma de aplicación de la política de seguridad.

Por ejemplo, si el proveedor hospeda los tres tipos de servicios en nube, necesitará establecer si:

  • El usuario final alquila una aplicación específica dentro de un nivel de umbral definido por la Política de Umbral de Usuarios.
  • Los desarrolladores de aplicaciones alquilan la PaaS sólo para personalizar o cambiar parámetros de una aplicación específica de SaaS que ejecuta en la PaaS y si la PaaS está dentro de los niveles de umbral definidos por las Políticas de Solicitud de Usuarios, Recursos y Datos.
  • Los desarrolladores de aplicaciones y sus usuarios de SaaS pueden comprar suscripciones a una aplicación de SaaS corresidente en la PaaS y si están dentro de los tres tipos de niveles de umbral.
  • El especialista en infraestructura y red alquila la IaaS para crear un entorno de infraestructura virtual y para ejecutar la PaaS en esa IaaS y si están dentro de los tres tipos de niveles de umbral.

Para cada uno de los cuatro casos de ejemplo arriba, el proveedor necesita averiguar si el consumidor queda dentro de los límites de la cerca (cumple con los términos de la política de seguridad sobre controles de acceso, protección de datos y gestión de máquinas virtuales). Si el consumidor se pasa de la cerca después de haber aceptado cumplir, el consumidor corre el riesgo de violar la política. En este caso el proveedor debe señalar las consecuencias del incumplimiento, para asegurarse de que el consumidor permanezca dentro de la cerca.

Ésta es una plantilla que se puede usar al declarar el ámbito:

Esta política aplica para todos los usuarios finales SaaS, para desarrolladores de aplicaciones PaaS y para arquitectos de infraestructura y de red IaaS. Deben consentir en todas las provisiones de esa política de seguridad y aceptar cumplir todos sus términos y condiciones sobre controles de acceso, protección de datos y gestión de máquinas virtuales. Cualquier usuario final, desarrollador o arquitecto de red cuyas acciones infrinjan esta política u otras políticas de umbral relacionadas y la política y los reglamentos de TI estará sujeto a limitaciones o pérdida de servicio impuestas por el proveedor.

Contexto: Observe lo que hay detrás de la política

Lo primero que el consumidor quiere saber es si el proveedor es interno o externo y cuáles son los límites de gestión de controles entre el proveedor y el consumidor (por ejemplo, el usuario final de SaaS tiene el menor control), cómo el proveedor administra los controles de acceso, proporciona protección de datos, administra máquinas virtuales y responde a ataques o incidentes de seguridad de nube.

Luego, el consumidor quiere saber cuál es el foco de seguridad para la política de umbral de solicitud de usuarios, recursos y datos para SaaS, PaaS e IaaS. El consumidor también desea saber cómo se relacionan los niveles de umbral con los niveles garantizados de disponibilidad del servicio, como se establece en un acuerdo de nivel de servicio (SLA).

En el drama de las compras de Navidad (consulte Construya políticas de umbral proactivas en la nube), el consumidor ve que las instancias de recursos están rebasando el nivel del umbral, lo que hace que el sistema cree instancias de recursos adicionales para equilibrar las demandas de carga de trabajo dinámicamente en la nube. Ello requirió usuarios, solicitudes de datos y seguridad adicionales.

Luego, el consumidor ve que el rendimiento está disminuyendo debido a problemas inesperados en el sistema, lo que hace que los niveles de umbral para solicitudes de usuarios, recursos y datos se desalineen respecto a los valores originales establecidos en las políticas de umbral. O bien el consumidor sufre un ataque o colgadura de la nube (y de los niveles de umbral) durante el procesamiento de una tarea empresarial o el desarrollo de una aplicación; luego, se da cuenta — demasiado tarde — de que la nube fue usada como centro de comando y control para dirigir las operaciones de un botnet con el objetivo de instalar aplicaciones de malware.

En cualquiera de los casos, el consumidor desea saber como la política de seguridad trata de la restauración del sistema (y de los niveles de umbral) y con qué rapidez él obtiene créditos, tiempo gratis o el derecho de terminar el servicio, según lo establecido en el SLA.

Ésta es una plantilla que puede usar para tener una idea de lo que debe incluir.

El proveedor de servicio en nube es hospedado externamente por IBM®, un miembro de la industria de las telecomunicaciones.

Si un aumento súbito en las demandas de carga de trabajo y solicitudes de usuarios y datos supera los niveles de umbral y hace que el rendimiento del sistema no cumpla los niveles garantizados de disponibilidad por 30 días, el proveedor debe dar a los consumidores créditos, tiempo gratis o el derecho de terminar el servicio, según lo establecido en el SLA. El proveedor debe informar al consumidor de las excepciones o restricciones del umbral y de las políticas de seguridad.

Una licencia de usuario tiene tres tipos de límites máximos:

  • Usuarios accediendo concurrentemente a la aplicación.
  • Instancias de recursos a ser asignadas para cada usuario.
  • Solicitudes de datos que el usuario puede manejar durante un aumento en la demanda de carga de trabajo.

Acciones: Remangue sus mangas

He aquí 10 sugerencias de acciones a realizar para satisfacer a los consumidores:

  • Acción #1. Envíe copias de las políticas de seguridad a los consumidores para revisión y preguntas a responder antes que el consumidor firme el contrato de un servicio de nube.
  • Acción #2. Indique en una licencia de usuario de SaaS el límite máximo de usuarios concurrentes, instancias de recursos para los usuarios y las solicitudes de datos que cada usuario puede manejar.
  • Acción #3. Consulte los niveles de umbral en las políticas de umbral de las solicitudes de recursos, usuarios y datos y de cada política respecto a los niveles garantizados de disponibilidad de servicio.
  • Acción #4. Envíe una notificación al consumidor sobre los cambios de comportamiento proactivo de la aplicación planeados, desarrollados en el centro de datos y dirigidos a reemplazar la aplicación que se está ejecutando actualmente en la nube SaaS.
  • Acción #5. Indique si el acceso a la nube es 24 horas al día o durante el horario de trabajo normal.
  • Acción #6. Permita a los desarrolladores de aplicaciones PaaS y sus usuarios SaaS suscribirse a aplicaciones SaaS corresidentes.
  • Acción #7. Exija la verificación de antecedentes de todos los usuarios pretendidos de la nube antes de otorgarles el acceso a la misma. La profundidad de las verificaciones de antecedentes depende del tipo de servicio de nube, del hecho de la nube ser pública o privada y del tipo de industria que los usuarios pretendidos representan.
  • Acción #8. Exija programas de entrenamiento para los usuarios aprobados de la nube sobre conciencia de seguridad y rotulado y manipulación de datos.
  • Acción #9. Exija la separación de tareas de un rol para otro al asignar roles a usuarios de nube, principalmente los de PaaS.
  • Acción #10. Informe con antelación sobre el mantenimiento planificado o upgrades a la gestión de acceso de los usuarios, tecnologías de protección de datos y máquinas virtuales.

Estas son algunas plantillas que puede utilizar:

Entrenamiento de seguridad: El proveedor define requisitos mínimos de entrenamiento de seguridad para los usuarios aprobados de la nube sobre conciencia de seguridad y rotulado y manipulación de datos.

Mantenimiento planificado: El proveedor define una planificación de mantenimiento, incluyendo upgrades a la gestión de acceso de los usuarios, tecnologías de protección de datos y máquinas virtuales.

Disponibilidad de servicio: El proveedor define la disponibilidad del acceso a la nube durante el horario normal de trabajo.

Corresidencia de servicios: El proveedor define los requisitos referentes a la corresidencia de las aplicaciones de SaaS en la PaaS.

Política de umbral de usuarios: El proveedor define los niveles de umbral de usuarios inferiores al número máximo de usuarios que pueden acceder concurrentemente. La política debe establecer que el número de usuarios concurrentes es proporcional al número de instancias de recursos disponibles a los usuarios y que forma parte de la política de seguridad.

Verificaciones de antecedentes: El proveedor define los requisitos para las verificaciones de antecedentes de los usuarios pretendidos de la nube.

Licencia de usuario de SaaS: El proveedor define el límite máximo para:

  • Usuarios que pueden accesar concurrentemente a la aplicación.
  • Instancias de recursos que los usuarios pueden usar para accesar y ejecutar la aplicación.
  • Solicitudes de datos que los usuarios pueden enviar y recibir concurrentemente usando las instancias de recursos disponibles.

Limitaciones: Trabaje con ellas

Muy probablemente habrá limitaciones en su camino, como:

  • Problemas de prioridad de servicio para diferentes grupos de consumidores, dependiendo de los roles asignados por la organización a ellos. Un usuario final con privilegios administrativos tiene una prioridad más alta que la del usuario final que no los tiene para el acceso a una aplicación de SaaS.
  • Grupos de gobierno de administración de cambios. Para reflejar los cambios, actualice la política de seguridad, las políticas de umbral y el SLA.
  • Excepciones de servicio para un tipo de servicio de nube. Una sugerencia: corte accidental de la fibra óptica que no está bajo el control directo del proveedor, mantenimiento programado (planificado o no) y upgrades planificados en el comportamiento proactivo de las aplicaciones.
  • Multas relacionadas con la seguridad por incumplimiento de todos los términos y condiciones de la política de seguridad. Especifique las consecuencias de la no conformidad con la política de seguridad y los reglamentos de la política de TI.

Éstas son algunas plantillas que puede utilizar:

Un usuario final SaaS que funciona como un administrador de una licencia de usuario tiene mayor prioridad sobre otros usuarios finales al momento de acceder a una aplicación licenciada.

Debido a un cambio reciente en la organización, el grupo de gobierno de políticas cambió del Departamento FGH al Departamento RST. Ello exige una actualización en la política de seguridad, las políticas de umbral y el SLA.

Actualmente las excepciones de servicio cubren:

  • Cambios o upgrades planificados en el comportamiento proactivo de las aplicaciones.
  • Ataque de botnet contra el host del proveedor.
  • Mantenimiento programado del proveedor.
  • La disponibilidad de servicio normal del proveedor de las 7 a las 18 horas y disponibilidad restringida de los servicios de las 20 a las 23 horas.

En conclusión

La creación de una política de seguridad exige planificación de antemano para resolver las cuestiones del establecimiento del propósito, ámbito y contexto de la política. Los desarrolladores deben comunicarse con el proveedor y el consumidor del servicio de nube acerca del nivel de control que el consumidor debe tener, las acciones que el proveedor debe realizar y las restricciones de la política. Lo más importante: el consumidor debe obtener una copia de la política de seguridad (como también las copias de las políticas de umbral) del proveedor para revisión y cuestiones a resolver antes de negociar con el proveedor.

Recursos

Aprender

Obtener los productos y tecnologías

Comentar

Comentarios

developerWorks: Ingrese

Los campos obligatorios están marcados con un asterisco (*).


¿Necesita un IBM ID?
¿Olvidó su IBM ID?


¿Olvidó su Password?
Cambie su Password

Al hacer clic en Enviar, usted está de acuerdo con los términos y condiciones de developerWorks.

 


La primera vez que inicie sesión en developerWorks, se creará un perfil para usted. La información en su propio perfil (nombre, país/región y nombre de la empresa) se muestra al público y acompañará a cualquier contenido que publique, a menos que opte por la opción de ocultar el nombre de su empresa. Puede actualizar su cuenta de IBM en cualquier momento.

Toda la información enviada es segura.

Elija su nombre para mostrar



La primera vez que inicia sesión en developerWorks se crea un perfil para usted, teniendo que elegir un nombre para mostrar en el mismo. Este nombre acompañará el contenido que usted publique en developerWorks.

Por favor elija un nombre de 3 - 31 caracteres. Su nombre de usuario debe ser único en la comunidad developerWorks y debe ser distinto a su dirección de email por motivos de privacidad.

Los campos obligatorios están marcados con un asterisco (*).

(Por favor elija un nombre de 3 - 31 caracteres.)

Al hacer clic en Enviar, usted está de acuerdo con los términos y condiciones de developerWorks.

 


Toda la información enviada es segura.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=90
Zone=Cloud computing
ArticleID=746561
ArticleTitle=Cree una política de seguridad para servicios de nube
publish-date=08012011