Seguridad en la nube controlada por modelo

Implemente la automatización de la política de seguridad de la aplicación en la nube para mejorar la seguridad en la nube

Traducir de forma manual la política de seguridad en la implementación técnica es difícil, costoso y tiene probabilidades de error, especialmente cuando se lo implementa a la capa de la aplicación. Las herramientas de la seguridad en la nube necesitan ser más automáticas para obtener más ahorros en costos en lo que respecta a la inversión en tiempo y dinero. También se necesita la automatización de estas herramientas para que la gestión de la seguridad en la nube sea una tarea más sencilla que permite al administrador de la nube concentrarse en las cuestiones de seguridad más importantes.

Este artículo detalla los desafíos de la aplicación efectiva de la automatización de la política de seguridad, explica los beneficios que agrega la seguridad controlada por el modelo a la automatización de la política de seguridad y, luego, muestra como alcanzar la automatización de la política de seguridad de la aplicación en la nube.

Ulrich Lang, CEO, Object Security

Ulrich LangEl Dr. Ulrich Lang es el cofundador y CEO de ObjectSecurity. El producto OpenPMF de ObjectSecurity hace que la seguridad de la aplicación sea gestionable mediante la automatización. Ulrich es un renombrado líder del pensamiento, autor y orador en la seguridad guiada por modelos, políticas de seguridad, nube/SOA/middleware/aplicaciones de seguridad y tiene más de 15 años de experiencia en la seguridad de la información. Recibió un doctorado de la Universidad del Laboratorio de Informática de Cambridge (Grupo de seguridad) sobre aspectos conceptuales de la seguridad del middleware en 2003, después de haber obtenido la maestría en Seguridad de la Información con distinción de la Facultad Royal Holloway (Universidad de Londres) en 1997.



10-12-2012

Desarrolle habilidades de este tema

Este contenido es parte de knowledge paths progresivo para avanzar en sus habilidades. Vea:

La seguridad es necesaria para la adopción de la nube y, a menudo, la falta de seguridad es un error informático en la adopción de la nube. Sin embargo, al aumentar la complejidad de la política de seguridad y de cumplimiento, la complejidad y la agilidad de la TI, la tarea de traducir las políticas de seguridad en la implementación de seguridad lleva más tiempo, es repetitiva, costosa y con probabilidades de error y puede equivaler fácilmente a la mayor parte del esfuerzo en seguridad para las organizaciones de usuarios finales. La automatización puede ayudar a las organizaciones que son consumidores finales (y proveedores en la nube) a reducir ese esfuerzo y a mejorar la eficacia de la precisión de la política. Este artículo se focaliza en un tema particularmente interesante, desafiante y hasta olvidado: la automatización de la política de seguridad para la capa de la aplicación.

Automatización de la seguridad de la aplicación en la nube

La automatización de la política de seguridad de la aplicación se trata de la automatización del proceso de convertir los requisitos de seguridad entendidos por el hombre, como las políticas de seguridad empresarial, las normativas vigentes y las recomendaciones en reglas de políticas de seguridad técnica coincidentes y las configuraciones exigidas a nivel de la capa de la aplicación. Para cerrar el círculo, también incluye la automatización de la auditoría; por ejemplo, la colección de alertas de la capa de la aplicación y la correlación de las que retornan a la seguridad entendida por los humanos y los requisitos de cumplimiento para acceder a la postura de seguridad de forma continua.

Anatomía de las políticas de seguridad de la aplicación en la nube

A menudo, las políticas de seguridad de las aplicaciones son particularmente complejas para los paisajes de las aplicaciones que cambian de forma dinámica, como las arquitecturas orientadas al servicio (SOA), las aplicaciones web híbridas en la nube y otros entornos de aplicaciones "plug and play". Dichos entornos de aplicaciones se adoptan por varios motivos comerciales y las necesidades de soportar esos motivos con el menor esfuerzo de mantenimiento total posible. Por lo tanto, la automatización es clave.

La automatización de seguridad es especialmente importante para la computación en la nube porque los usuarios demandan soporte para la gestión de la política de cumplimiento normativa de los proveedores en la nube, pero al mismo tiempo juzgan los beneficios por las mismas medidas que las de computación en la nube en general (en cuánto recorta su gasto en inversiones de capital por adelantada y su esfuerzo de mantenimiento manual in situ).

En general, la "seguridad de la capa de aplicación" es más amplia que los aspectos de automatización de la política que se abarcan en este artículo y también incluye tareas como el escaneo de la vulnerabilidad, los firewalls de la capa de aplicación, la gestión de configuración y la supervisión de alertas y análisis, y el análisis del código fuente. Una tarea que se relaciona bastante con la política de seguridad de la capa de aplicaciones es la gestión de la identidad y el acceso. Aunque con frecuencia se vieron más asociadas con la gestión de la identidad del usuario con la seguridad de las aplicaciones, la gestión del acceso y de la identidad en realidad está estrechamente relacionada con la seguridad de la capa de aplicación. Esto se debe a que cuando los usuarios acceden a aplicaciones y se autentica, debe exigirse una política de autorización, que a menudo depende en gran medida de la aplicación a la que se accede.

En ese momento, surgen varias preguntas: ¿De dónde proviene la política de autorización? ¿Quién escribe y mantiene esa política? ¿Cómo se la exige? ¿Cómo se la audita? Estas cuestiones justifican también la utilización de la automatización de la política de seguridad de la aplicación junto con la gestión de la identidad y el acceso para que la gestión de la política lleve menos tiempo, no sea repetitiva, costosa y propensa a los errores.

Despliegues de la automatización de la política de seguridad de la aplicación en la nube

En general, la automatización de la política de seguridad, y específicamente para la nube, aún se encuentra en una etapa relativamente nueva. Se focaliza principalmente en la identidad/autenticación como un servicio (por ejemplo, conexión de Facebook). También existen algunos servicios de seguridad basados en la nube (antivirus, escaneo de emails, el sistema de detección de intrusiones [IDS], gestión de registro), algunos de los cuales se relacionan indirectamente con las aplicaciones.

Este artículo se focaliza en la automatización de la política de seguridad de aplicaciones como un servicio y, en la actualidad, existen pocos despliegues de consumidores tempranos: En primer lugar, ObjectSecurity integró su producto de automatización de la política de seguridad controlado por el modelo de OpenPMF con una plataforma privada como un servicio (PaaS) en la nube (Intalio Cloud con Intalio BPMS), que ofrece la automatización sin problemas en la nube para las aplicaciones web híbridas en la nube. Otro despliegue de etapa temprana que incluye OpenPMF es para la fuerza naval de los Estados Unidos y se encuentra en algún lugar del área gris entre la nube privada y la SOA. Implica una política como un servicio para los servicios de TI visualizados en un entorno garantizado. Ambos estudios de caso se cubren más tarde en la sección estudios de caso.

También hay una cantidad de otros despliegues de la automatización de la política de seguridad controlada por el modelo, pero no para la nube y en su mayoría sin incluir la política como un servicio.


Los desafíos de la automatización de la política de seguridad de las aplicaciones

Desafortunadamente, en la mayoría de los casos, la automatización de la política de seguridad es más fácil dicha que hecha. Esta sección resalta los motivos de las dificultades en lograr la automatización de la política de seguridad de la aplicación.

Las políticas son más difíciles de implementar y de automatizar a medida que las políticas son cada vez más significativas para las personas y las organizaciones.

En la actualidad, muchas herramientas de seguridad ofrecen un grado de automatización (libre de mantenimiento) al precio de la comercialización de la relevancia, la exactitud y la automatización: En algunos casos, las herramientas automatizadas se crean con la creencia de que el proveedor conoce qué políticas de seguridad predeterminadas desea implementar la organización de usuarios finales. En otros casos, los productos se desarrollan para que puedan conocer las políticas en la práctica con el paso del tiempo. La dificultad de ambos enfoques es que existe una probabilidad de que implementen políticas no intencionadas, irrelevantes o incompletas incluso si los mecanismos de seguridad funcionan por sí mismos.

Dicha automatización convencional en seguridad tiende a funcionar mejor para las herramientas de seguridad genéricas que no requieren políticas específicas de la organización y orientan las capas inferiores del conjunto de tecnología (por ejemplo, la red o la capa del sistema operativo), como el antivirus, anti malware, sistemas de detección de intrusión de redes pre configuradas y el escaneo de la vulnerabilidad de la aplicación genética.

La automatización del servicio se dificulta cuando el comportamiento organizacional, del usuario y de la aplicación deben tenerse en cuenta para exigir y auditar las políticas de seguridad. Por ejemplo, una organización que procesa pagos con tarjetas de crédito querrá implementar política como por ejemplo "ninguna información de tarjeta de crédito debe dejar sin encriptar la organización" y la "información de la tarjeta de crédito debe eliminarse cuando ya no se la utiliza". Otro ejemplo sería la organización de atención médica que deseará implementar política como "los doctores y las enfermeras deberían solo poder acceder a los registros de sus pacientes actuales, y solamente si necesitan acceder por un propósito valido sin la creación de un registro de auditoría de alarma. Dichas políticas complejas y contextuales sobre las políticas de seguridad de la organización particular, los procesos comerciales, las aplicaciones y las interacciones de las aplicaciones. A menudo, el motivo para implementar dichas políticas complejas y contextuales es porque las organizaciones para el usuario final deben cumplir con las regulaciones específicas de la industria (DSS PCI Estándar de Seguridad de Datos de PCI y la Portabilidad de Seguros de la Salud y Act-HIPAA contabilidad).

Las políticas está siendo difíciles de implementar y automatizar dado que son cada vez más numerosas, complejas, ricas en funciones, específicas y contextuales.

La "Administración de la autorización" convencional que hoy se categoriza como parte de la gestión de identidad y de acceso, ilustra los siguientes desafíos: Las políticas pasan a ser inmanejables cuando los sistemas y los participantes son muchos, cuando las aplicaciones interconectadas evolucionan dinámicamente ("agilidad") y cuando las políticas son ricas en funciones, específicas y contextuales. Existen demasiadas normas técnicas de seguridad que son demasiado complejas de administrar, entonces las políticas de autorización pasan a ser inespecificables e inmanejables, y puede socavarse la confianza en la política exigida. Como mencionamos anteriormente, las preguntas que necesitan responderse son las siguientes: ¿De dónde proviene la política de autorización? ¿Quién escribe y mantiene esa política? ¿Cómo se la exige? ¿Cómo se la audita?

La automatización de la política se hace más difícil a medida que los paisajes de TI se agilizan e interconectan (especialmente para las aplicaciones web híbridas en la nube).

Para sustentar la adopción racional detrás de los entornos de aplicaciones ágiles, como la nube o la SOA, la administración de la autorización necesitará ser al menos igual de ágil y también automatizada, administrable, con detalles finos y contextual. Desafortunadamente, la creación y el mantenimiento de políticas de seguridad técnicas correctas y consistentes frente a los cambios frecuentes y dinámicos del sistema es un gran desafío. Esto es porque los cambios dinámicos (por ejemplo, las aplicaciones web híbridas en la nube) pueden hacer inefectivas las políticas técnicas implementadas y porque, a menudo, las políticas de seguridad de las aplicaciones son complejas especialmente para los paisajes de la aplicación, como la SOA, las aplicaciones web híbridas en la nube y otros entornos de aplicaciones "plug and play". Independientemente de esas deficiencias, la gestión de la autorización forma un bloque de creación técnico importante para exigir y auditar las políticas de autorización de la aplicación para todos los recursos protegidos. Tiene un papel fundamental en la aplicación de seguridad en la nube, y todavía más en las mezclas de la nube, ya que diferentes actores (ya sean los usuarios o las aplicaciones de la nube) deben solo poder invocar otros servicios si están autorizados a hacerlo en una situación específica basada en políticas de seguridad. Un estándar de administración de la autorización importante es el Lenguaje de Marcación de Control del Acceso a OASIS eXtensible (XACML).

El cumplimiento normativo es un requisito que se relaciona con la política y, por lo tanto, también necesita ser sustentado con la mayor cantidad de automatización como sea posible.

Es inevitable que los usuarios empresariales de la nube requerirán facilidad, soporte de cumplimiento y de bajo mantenimiento (automático) para sus aplicaciones y servicios alojados en la nube. Esto sucede porque muchas aplicaciones en la nube tratarán sobre información regulada (privacidad, información sobre salud, información sobre pagos) que frecuentemente cruzarán los límites organizacionales y necesitarán ser auditadas. La auditoría de cumplimiento no puede ser la única responsable por el usuario de la nube, ya que la visibilidad del usuario en la pila de la nube es limitada (especialmente para PaaS y SaaS, pero también para IaaS). El cumplimiento regulatorio (como la gestión de política de seguridad y el control de incidentes) tendrá que ser preparado, en parte, en la plataforma de la nube.

Se necesita una política basada en una Whitelist, ya que las Blacklist no son lo suficientemente buenas.

Recuerde que blacklisting significa que le brinda acceso a cualquier usuario que no esté en la blacklist. Whitelisting significa que solo le brinda acceso a quienes están en la whitelist.


El componente de seguridad basado en modelo

Para lograr la automatización, se necesita algún "algoritmo" que sea capaz de entender las necesidades de la política de seguridad y todo lo relacionado con esta política (usuarios, aplicaciones, interconexiones entre las aplicaciones y flujos de trabajo entre las aplicaciones) y generar automáticamente la implementación de la política de seguridad que cumpla con los requisitos técnicos. La seguridad basada en modelo facilita este nivel requerido para la automatización de la política de seguridad mediante la aplicación de los enfoques de desarrollo del software basado en modelos a la seguridad y a la gestión de la política de cumplimiento.

Seguridad basada en modelo

Esencialmente, la seguridad basada en modelo puede generar automáticamente una (o más) reglas de autorización mediante el análisis de la aplicación con todas sus interacciones y la aplicación de requisitos genéricos de seguridad a esta. La seguridad basada en modelo es un proceso basado en herramientas que involucra requisitos de modelos de seguridad en un nivel alto de abstracción y usar otras fuentes de información disponibles sobre el sistema, especialmente las aplicaciones de modelos funcionales (producidos por otro accionista) para generar automáticamente una (o más) reglas de autorización específicas en un contexto técnico. Las entradas de la seguridad basada en modelo se expresan en Lenguajes de Dominio Específico (DSL), utilizando lenguajes de modelado genérico (como Lenguaje Unificado de Modelado o UML) o Marcos de Arquitectura Empresarial (EA Frameworks) (por ejemplo, Department of Defense Architecture Framework o DODAF, Ministry of Defense Architecture Framework o MODAF, y NATO Architecture Framework o NAF).

No se deben identificar los requisitos de seguridad mediante un editor gráfico. Se puede realizar utilizando un editor de modelos textuales (por ejemplo, con una herramienta de modelos como Eclipse). Estas son luego transformadas automáticamente en reglas de seguridad aplicables (reglas de control de acceso y monitoreo) mediante el análisis de la información sobre las aplicaciones con todas sus interacciones.

El tiempo de ejecución de la seguridad basada en modelo admite el cumplimiento del tiempo de ejecución de la política de seguridad a través de las aplicaciones TI protegidas, las actualizaciones automáticas de la política y el control integrado de los incumplimientos a la política. En el primer escalón de la seguridad basada en modelo, se modelan las normas y los estándares de gobernabilidad (o se seleccionan de las plantillas prediseñadas) como una política de seguridad de alto nivel en una herramienta de seguridad basada en modelo. Este modelo de política de seguridad se aplica luego a los modelos funcionales de los sistemas que constituyen mediante la correlación de los actores del modelo de política de seguridad y los actores del sistema, y mediante el contraste del comportamiento de esos actores del sistema de acuerdo con el modelo de política de seguridad.

Desde una perspectiva técnica, estos modelos (de seguridad y funcionales) son traducidos automáticamente a políticas de seguridad contextuales, específicas, de bajo nivel y cumplidas a través de la orquestación de toda la nube, las mezclas en la nube o el entorno SOA (por ejemplo, a través de puntos de cumplimiento locales integrados en middleware o en un límite de dominio). Los puntos de cumplimiento locales también tratan el control de los eventos de cumplimiento de la seguridad. Y cada vez que cambie la aplicación SOA (o su configuración de interacción), la seguridad basada en modelo puede actualizar automáticamente el cumplimiento de la seguridad y el control.

En síntesis, el proceso de seguridad basado en modelos puede ser dividido en los siguientes escalones: modelos de políticas, generación automática de políticas, cumplimiento de políticas, auditoría de políticas y actualización automática. Examinemos cómo trabajan cada uno de esos pasos en el contexto de las aplicaciones en la nube.

Arquitectura de seguridad basada en modelo

El diagrama de la Ilustración 1 ilustra la arquitectura básica: La parte superior izquierda muestra el desarrollo basado en la nube y el entorno de mezcla (servicios web orquestados por el Sistema de Gestión de Procesos de Negocio [BPMS]). Además indica que es necesario que el proveedor de la nube instale los componentes de seguridad basados en el modelo en el conjunto de herramientas de desarrollo y mezclas para automatizar la generación de la política.

La parte superior derecha señala que el servicio de seguridad de la nube provee a la PaaS el complemento de seguridad basado en el modelo para las herramientas de desarrollo con actualizaciones periódicas de política, de forma genérica. Además, indica la funcionalidad de la gestión del tiempo de ejecución (supervisión, análisis, informes) que el servicio de seguridad de la nube ofrece.

La parte superior indica algunos de los servicios de la nube desplegados en los servidores de aplicación (y el resto de la pila de tiempo de ejecución de la nube) con la Ejecución de la Política (PEP) + Puntos de supervisión que el proveedor de la nube debe instalar con la pila de tiempo de ejecución.

Cuando una aplicación es desarrollada e integrada, la seguridad basada en el modelo automáticamente analiza la aplicación y los modelos de política, y luego genera reglas técnicas que automáticamente se aplican en los PEP/Puntos de supervisión relevantes. Cada vez que un mensaje se transmite entre alguno de los servicios protegidos, la seguridad basada en el modelo automáticamente evalúa y ejecuta la política técnica, y — de ser necesario — envía una alerta de incidencia a la función de gestión de la política de seguridad del servicio de seguridad de la nube.

Ilustración 1 Visión general de la arquitectura: Automatización de la política de seguridad basada en el modelo mediante PaaS para la nube:
Architecture overview: Model-driven security policy automation using PaaS for cloud

Beneficios

Cuando se emplea de manera efectiva (ver Estudios de casos), la seguridad basada en el modelo tiene una serie de beneficios:

  • Reduce sobrecargas de administración manual y ahorra costos/tiempo a través de la automatización (generación de la política, ejecución, supervisión, actualización) — especialmente para aplicaciones ágiles de software.
  • Además reduce los riesgos de seguridad e incrementa la seguridad al minimizar el potencial de error humano y al garantizar que la implementación de la seguridad se desarrolle según los requisitos de negocio y el comportamiento funcional del sistema, para que mejoren tanto la seguridad como la protección del sistema.
  • Además, unifica sistemáticamente la política en todos los silos de seguridad (por ejemplo, diferentes plataformas de aplicación de tiempo de ejecución).
  • Finalmente, forma parte de un abordaje basado en el modelo más automatizado hacia la acreditación ágil.

Desventajas

La adopción de la seguridad basada en el modelo algunas veces presenta ciertas objeciones por varias razones:

  • Dependencia en especificaciones de aplicación y un ciclo de vida de desarrollo de software (SDLC) razonablemente bien definido. Sin embargo, modelar los aspectos del sistema interconectado (especialmente interacciones de mezcla de la nube) es una parte importante de la PaaS de la nube y las mezclas de última generación y también del diseño robusto de sistemas.
  • Esfuerzo de modelar los sistemas y políticas de seguridad. Sin embargo, modelar los sistemas con la granularidad correcta (por ejemplo, modelos de mezcla de la nube) en realidad no suma al total de costos de la gestión de la política. Esto se debe a que si los administradores de seguridad deben especificar manualmente las reglas detalladas de seguridad técnica porque sus herramientas no soportan la seguridad basada en el modelo, especifican de manera efectiva los aspectos relacionados con la seguridad de la especificación de la aplicación dentro de su herramienta de administración de política. En la práctica, esto es imposible para sistemas no triviales, especialmente en todo el ciclo de vida del sistema. La seguridad basada en el modelo simplemente reutiliza esta información (que generalmente representa la mayor parte de las reglas de la política de seguridad) de modelos especificados por especialistas (y/o herramientas) que entienden sobre aplicaciones y flujo de trabajo mejor que nadie (desarrolladores/integradores de aplicaciones y modeladores de proceso).

Gracias a la experiencia práctica, se sabe que, incluso luego de un período breve en operación, la seguridad basada en el modelo reduce considerablemente los costos del esfuerzo de proteger el sistema y mejorar la seguridad y la protección, en comparación con la definición y la gestión tradicional y manual de la política.


Automatización de la política de seguridad de la aplicación de la nube

Con la aparición de las PaaS de la nube, es lógico trasladar todo o parte de la arquitectura descrita de la seguridad basada en el modelo dentro de la nube para proteger y auditar las aplicaciones de la nube y las mezclas con una automatización máxima. En concreto, los modelos de la política de seguridad se proveen como servicio de la nube para el desarrollo de aplicaciones y el despliegue de herramientas (política como servicio) y la automatización de la política forma parte de despliegues de aplicación de la nube y plataformas de tiempo de ejecución (generación/actualización de política automatizada, ejecución, supervisión).

Son posibles diferentes escenarios de despliegue de la nube, por ejemplo, las funciones de seguridad de las herramientas de desarrollo y la plataforma de aplicación se encuentran en el mismo servicio de la nube como parte del suministro de PaaS, o donde algunas funciones de seguridad se encuentran de manera separada (especialmente la configuración y la supervisión de la política). Esto difiere de los despliegues locales sin la nube, en los que la seguridad basada en el modelo está convenientemente instalada dentro o junto con una herramienta de desarrollo local instalada (como Eclipse) para proteger las aplicaciones en una serie de plataformas locales de aplicación del tiempo de ejecución (por ejemplo, servidores de aplicación web) y para soportar supervisión e informes locales.

Como se describe anteriormente, el proceso general de seguridad basada en el modelo puede dividirse en los siguientes pasos: Modelación de la política, generación automática de la política, ejecución de la política, auditoría de la política y actualización automática. Examinemos cómo trabajan cada uno de esos pasos en el contexto de las aplicaciones en la nube. En el contexto de la nube, los cinco pasos de la seguridad basada en el modelo se detallan abajo.

Configuración de la política en la nube (política como servicio)

En la versión de la nube de la seguridad basada en el modelo, las configuraciones de la política pueden proveerse como servicio de la nube basado en la suscripción para herramientas de desarrollo de aplicaciones. Proveer especificación, mantenimiento y actualización de los modelos de política como servicio de la nube a los desarrolladores de aplicaciones y expertos en seguridad tiene beneficios significativos: Lo que es más importante es que en vez de tener que especificar (o comprar o instalar) y mantener los modelos de política utilizados para la seguridad basada en el modelo de modo permanente, los desarrolladores de aplicaciones y los especialistas en seguridad ahora pueden simplemente suscribirse a los tipos de suministros de política que necesiten sin tener que conocer los detalles de los modelos.

La política como proveedor de servicio (típicamente diferente del proveedor de la nube) se encarga de la modelación, el mantenimiento y la actualización de la política. Otros beneficios incluyen que el usuario de la organización no necesita ser un experto en seguridad y cumplimiento, ya que los modelos de política actualizados se proveerán como suministros de modo permanente. Además, el obstáculo de gastos iniciales se minimiza gracias al modelo de suscripción, y no hay necesidad de que el usuario final de la organización supervise de manera continua las regulaciones y las buenas prácticas para los cambios.

Para políticas más complejas, puede que sea necesaria una configuración simple y un potencial marcado de la información relevante sobre seguridad: Por ejemplo, para la suscripción al modelo de política PCI DSS, tal vez sea necesario marcar interfaces relacionadas con el pago de la información junto con los modelos de aplicación de mezclas. Mientras más integrados estén los módulos de la nube pre-empaquetados con la nube, menor será la necesidad de marcar la información para el usuario de la organización, porque los módulos de la nube pueden ser marcados con anterioridad por el proveedor de la nube (por ejemplo, marcas relevantes de PCI para los módulos de procesamiento de pagos).

En general, el modelo de tercerización descrito no es nuevo. Se lo ha usado de manera exitosa durante años para otras ramas de seguridad como antivirus y antispyware. Los usuarios se suscriben de manera simple a una política feed desde un proveedor de antivirus y dejan que el cliente del antivirus refuerce esa política automáticamente (pero, a diferencia del antivirus, este artículo ilustra los modelos de tercerización aplicados a la seguridad en la nube).

Aunque sea normal desafiar la confiabilidad y veracidad de un servicio de un servicio de autorización de administración de políticas basadas en la nube (especialmente para entornos de misión crítica), las implicancias de semejante panorama de desarrollo deben estudiarse en relación al nivel inherente de confiabilidad y veracidad de las aplicaciones protegidas en la nube. Si los servicios protegidos en la nube son accesibles en Internet, podrían dirigirse muchos ataques al servicio de administración de políticas (por ejemplo, la caída del servicio) a los servicios protegidos — en tal caso, el administrador de políticas basadas en la nube no asume ese riesgo. Si se requiere de más confiabilidad y veracidad, para una nube privada con Calidad de Servicio (QoS) habilitada, entonces se requeriría de una infraestructura reforzada para el administrador de políticas y los servicios protegidos. En resumen, la seguridad de la administración de políticas basada en la nube es la elección correcta para una amplia variedad de servicios que se brindan a muchas organizaciones, pero no para todas.

Generación automática de política técnica en la nube

La función de generación automática de política seguridad basada en modelo está integrada al desarrollo, despliegue y herramientas de mezcla (para acceder a información de aplicación funcional). Consume la política feed descrita en la sección anterior. PaaS a veces incluye desarrollo alojado en la nube y herramientas de mezcla y una plataforma de aplicación de tiempo de ejecución alojada en la nube En este caso, la generación automática de política técnica que usa seguridad basada en modelo puede también insertarse en la nube, cosa que las políticas de seguridad técnica puedan generarse automáticamente para las aplicaciones durante el desarrollo alojado en la nube, el proceso de despliegue o mezcla. Éste es el caso particular para las herramientas mezcla, ya que esas herramientas son más fáciles de alojar en la nube, son generalmente gráficas o basadas en modelo, y están involucradas con los flujos de interacción e información entre los servicios de nube. Si las herramientas de desarrollo no se alojan en la nube PaaS, entonces se necesitará integrar la función de auto generación de política técnica basada en modelo a las herramientas de desarrollo local.

Refuerzo automático de política de seguridad en la nube

El refuerzo de políticas debería integrarse automáticamente a la plataforma de aplicación PaaS para que las políticas técnicas generadas se refuercen automáticamente cuando se accede a servicios en la nube. Como se describió en la sección anterior, las políticas se generan dentro de la nube con seguridad basada en modelo alojada y herramientas de desarrollo PaaS o se las sube desde la seguridad basada en modelo local y herramientas de seguridad.

Como los puntos de refuerzo de políticas se insertan en la plataforma de aplicación PaaS esto depende de si la plataforma de aplicación PaaS: Permite la instalación de un punto de refuerzo de seguridad (por ejemplo, varias plataformas PaaS de código abierto; vea Estudios de casos); soporta un punto de refuerzo de políticas basadas en estándar (por ejemplo, OASIS XACML); o soporta un punto de refuerzo políticas privadas.

Monitoreo de políticas automático en la nube

Los puntos de refuerzo de políticas generalmente elevan alertas de tiempo de ejecución vinculadas a la seguridad, especialmente conectadas a incidentes de invocaciones que se han bloqueado. La conexión, análisis y representación de estas alertas puede también subirse a la nube. Cuestión que tiene cuantiosos beneficios: Los incidentes pueden analizarse de manera centralizada para varios servicios en la nube junto con otra información (como detección de intrusión en red); también se puede proveer de una representación visual integrada de la postura de seguridad a lo largo de múltiples servicios en la nube; se puede almacenar información de incidentes integrada para propósitos de edición; y se puede ofrecer herramientas de soporte vinculadas a decisiones de cumplimiento como servicios en la nueve.

Actualización automática

El enfoque basado en modelo descrito permite la actualización automática del refuerzo de política de seguridad técnica y editar cualquier aplicación, especialmente sus cambios e interacciones. Es posible la misma automatización cuando cambian los requisitos de políticas de seguridad.

Cómo las organizaciones usuario-final y los proveedores de nube pueden usar la automatización de políticas de seguridad

El mencionado enfoque de política como servicio elimina gran parte de los problemas a las organizaciones usuario-final y también a los proveedores de nubes:

  • Los profesionales de seguridad para organizaciones usuario final básicamente necesitan suscribirse a la opción de seguridad de política como servicio con su suscripción en la nube, adoptar potencialmente funciones de monitoreo de seguridad (o entrenar a sus desarrolladores) y controlar sus reportes de cumplimiento regularmente. Pero antes de que eso pueda ocurrir, un trabajo importante para los profesionales de seguridad es exigir a sus proveedores la automatización de políticas (principalmente para sus nubes privadas).
  • Los desarrolladores e integradores de aplicaciones en organizaciones usuario final necesitan utilizar las herramientas reforzadas de desarrollo y mezclas de política como servicio que les brinda el proveedor de la nube y adoptar potencialmente algunas funciones de monitoreo de seguridad.
  • Los PaaS proveedores de nube habilitarán estas simplificaciones a las organizaciones usuario final al explicarles estos pasos a seguir para la automatización de políticas: Primero, establecerán un contrato de suscripción y a nivel de servicios con el proveedor de política como servicio. Luego, necesitarán conseguir el software de automatización de políticas basadas en modelos y el software de monitoreo y refuerzo de parte del proveedor de política como servicio e instalarlo en sus herramientas PaaS de desarrollo y mezcla, y plataforma de tiempo de ejecución respectivamente. También deberán brindar a las organizaciones usuario final las opciones relevantes de seguridad de suscripción, manuales y acceso a los reportes de cumplimiento creados por el proveedor de políticas como servicio. A corto plazo, los proveedores privados de nube tendrán más posibilidades de ofrecer dichos servicios (ver el estudio más adelante) que los proveedores públicos, porque las nubes privadas se usan para más casos de misión crítica.

¿Concepto nuevo o uno usado?

Algunas herramientas de seguridad están disponibles como servicios de nube (seguridad como servicio), por ejemplo, para prueba de aplicaciones web. De todas formas, la seguridad basada en modelo para administración de autorización tal como un servicio de nube (política como servicio) no se ha (a conocimiento de su autor) implementado antes, principalmente, debido a la lenta adopción de estándares, especialmente los PEP. El autor evitó este problema a la referencia de implementación de OpenPMF (vea Estudios de casos) al colaborar directamente con el proveedor de la nube. De esta manera, los puntos adecuados de integración pudieron desarrollarse dentro de su infraestructura.


Estudios de casos

Veamos algunos casos.

Aplicación de automatización de política de seguridad para una nube privada

OpenPMF de ObjectSecurity implementa la aplicación de automatización de políticas de seguridad para numerosas tecnologías diferentes. En la instalación convencional, OpenPMF se usa como herramienta de desarrollo local, orquestación y monitoreo para cargar que reside dentro o junto con una herramienta de desarrollo instalada localmente (por ejemplo Eclipse, Intalio BPMS), para proteger las aplicaciones en numerosas plataformas (varios servidores de aplicaciones web Java EE, Data Distribution Service-DDS, CORBA/CORBA Component Model-CCM). Con el surgimiento del PaaS, sólo era lógico poner a disponibilidad sólo OpenPMF a pedido como servicio en la nube.

Por ejemplo, para la aplicación automatizada de política de seguridad para una nube privada, el movimiento que se ha descrito desde la política local de automatización hasta la política de automatización basada en nubes ha sido integrada en una nube Intalio. La nube Intalio es una nube ofrecida completa, de fuente abierta que incluye los requisitos previos necesarios para la política de automatización, incluyendo el desarrollo de la aplicación y la integración por medio del uso del modelo de procesos de negocios (vea la Ilustración a continuación), y una plataforma para la ejecución basada en servicios web. La integración técnica actual a OpenPMF se realiza para el desarrollo (Intalio BPMS/Eclipse), ejecución (Apache Axis 2), y autenticar/cifrar (capa de conexión segura o SSL/Seguridad de la capa de transporte o TLS). La Ilustración 3 muestra las características de la política de automatización que se encuentra agregada en la herramienta de orquestación del servicio web BPM (menú Abrir PMF > Generar política de seguridad). Cuando se pincha esto, se generan en forma automática las normas de seguridad técnica detalladas para la aplicación específica (Ilustración 4).

Ilustración 2 Instalación (para proveedores de la plataforma de la nube)
Installation (for cloud platform providers)
Ilustración 3 generación automática de la política (para usuarios de PaaS)
Automatic policy generation (for PaaS users)
Ilustración 4 Implemento técnico de la política (para usuarios de PaaS, u ocultos completos)
Technical policy deployment (for PaaS users, or full hidden)
Ilustración 5 Ejecución del control (usuarios y política como un proveedor de servicios)
Runtime monitoring (users and policy-as-a-service provider)

Seguridad siguiendo el modelo de implemento para la nube y para SOA

La seguridad siguiendo el modelo de la política de automatización se está utilizando en contextos reales de implemento operacional para la Marina de estados Unidos por medio de ObjectSecurity, que es una aplicación que provee de políticas de seguridad automatizadas, y es el contratista principal de Promia, un proveedor de tecnología segura para el gobierno y la industria. El implemento abarca mucho más de lo que se describe en este artículo, ya que se ocupa de todas las capas de la nube y de la ejecución de la pila de SOA, en especial las aplicaciones, middleware, máquinas virtuales, sistemas de operación y red. El proyecto provee de un medio para gestionar la garantía de información en forma eficiente, para cambiar en forma dinámica la SOA interconectada y para las aplicaciones de las nubes, además, particularmente es una facilidad para agilizar el cambio rápido de envíos, certificaciones y acreditaciones ágiles y gestiones de política flexibles.

Las tecnologías utilizadas (vea la Ilustración 6) incluyen: La seguridad dirigida por modelos de ObjectSecurity OpenPMF, control de aplicaciones de seguridad, y gestión de políticas; detección de intrusión, control, auditoría, e información sobre la capacidad de intercambio XML para Promia Raven; nube con aumento de seguridad y desarrollo, y ejecución de las herramientas de SOA que refuerzan el desarrollo seguro del círculo de vida; Control de acceso basado en autorización expansible (ZBAC) para la distribución de autorizaciones; una plataforma de ejecución endurecida y confiable con protección completa que recibe la SOA y a las aplicaciones y la protección de la nube; y una gestión global de sistema con automatización, gestión y política completa, reporte, automatización de la acreditación y soporte en la decisión, configuración, versiones, escaneo, y evaluación.

Ilustración 6 Implemento de la automatización de la política de seguridad dirigida por modelos
Implementation of model-driven security policy automation

En conclusión:

En conclusión, este artículo ilustra la gestión de la seguridad y el cumplimiento de políticas para la ágil distribución de políticas en terrenos como nubes mezcladas que necesitan ser dirigidas por modelos y automatizadas para poder ser más ágiles, manejables, confiables y expansibles. Esto incluye dos conceptos principales: Primero, la política de la configuración se provee como un servicio de nube basado en suscripciones para las herramientas de desarrollo de las aplicaciones (política como servicio); segundo, la generación de una política técnica, refuerzo, auditoría y actualización están dentro del desarrollo de la aplicación y la plataforma de ejecución de la nube. Al mover la seguridad y la política de automatización del cumplimiento para las aplicaciones de la nube y la mezcla dentro de la nube, las aplicaciones de la nube y la mezcla son protegidas sin problemas dentro de la base global detrás de la adopción de una nube. Esto también mejora y simplifica el desarrollo del ciclo de vida del software para las aplicaciones de la nube.

Aquí se encuentran varios consejos concretos para los pasos a seguir a la hora de comenzar con la seguridad automatizada dirigida por modelos:

  • Inténtelo
    Los proveedores de la nube deben tratar de incorporar la automatización de la política de seguridad en sus plataformas (por ejemplo, obtener una prueba gratuita de ObjectSecurity para Eclipse y así comenzar). Los usuarios de la nube, deben probar la política de automatización dirigida por modelos si se encuentran creando aplicaciones con nubes IaaS o PaaS que soporte la mezcla dirigidos por modelos y automatización de política o al menos autorización de gestión (por ejemplo, obtener una prueba gratuita de la herramienta de ObjectSecurity para la nube Intalio).
  • Planee y venda su idea
    Si está en la etapa de planeamiento de la adopción de una nube, debería de planear su arquitectura para soportar la política de automatización incluso si usted no la está implementando exactamente desde el comienzo. Las herramientas de las mezclas dirigidos por modelos son particularmente efectivas para soportar la política de automatización, y usted puede hacer uso del argumento "el todo es más grande que la suma de sus partes" cuando realice la venta de ambos, la política de automatización y las herramientas de la mezcla a su gerencia.
  • Exija políticas de automatización a su proveedor de nubes siempre que sea posible
    Muestre a su proveedor de nubes que la tecnología y el abordaje están disponibles y cómo puede ayudarle a lidiar con los costos de la seguridad de nubes en forma más efectiva. En forma predeterminada, los proveedores de nubes parecen ofrecer las nubes con una actitud de "tómelo déjelo" que no ayuda a los profesionales en seguridad a hacer su trabajo de la mejor manera. Lamentablemente, algunos de los proveedores de nubes (en especial PaaS) no abren su infraestructura, por ello, la integración de su propia política de automatización puede llegar a ser un desafío. Los profesionales de la seguridad deben hacer las preguntas adecuadas para poder guiar a los proveedores de nubes en la dirección correcta o seleccionar un proveedor de nubes menos estructurado.
  • Integre la política de un tercero como un servicio cuando sea posible
    Si usted despliega nubes privadas para una organización más grande, considere el uso de una aplicación de política de seguridad automatizada basada en los estándares de los productos de nube tercera, de este modo, podrá suscribirse a la política como un servicio desde el especialista en seguridad de un tercero, mientras la capa de refuerzo de la aplicación es realizada bajo los estándares basados en las características de los proveedores de la nube (por ejemplo, Control de acceso Markup Language XACML).
  • Integre un control de incidente tercero y servicios de evaluación siempre que sea posible
    Lo mismo rige para el control — si su proveedor de control no otorga lo que usted necesita, asegúrese de que pueda exportar las alertas en un formato estándar (por ejemplo, syslog) para el procesamiento futuro por productos terceros.

Recursos

Aprender

  • El OpenPMF de ObjectSecurity ayuda a desarrollar, operar o mantener aplicaciones seguras al facilitar la gestión de la aplicación de políticas de seguridad para control de acceso y auditoría.
  • Una referencia para ejemplificar la seguridad dirigida por motor puede encontrarse en Políticas de acceso para Middleware.
  • En los recursos del desarrollador en la nube de developerWorks, descubra y comparta el conocimiento y la experiencia de los desarrolladores de aplicaciones y servicios al crear sus proyectos para el despliegue en la nube.
  • Encuentre artículos técnicos, tutoriales, comunidades, wikis y recursos de empresas que podrían interesarle si trabaja en un área específica en la zona de industrias developerWorks de IBM.

Obtener los productos y tecnologías

  • Vea las imágenes de productos disponibles en IBM Smart Business Development and Test en la nube de IBM Cloud.

Comentar

Comentarios

developerWorks: Ingrese

Los campos obligatorios están marcados con un asterisco (*).


¿Necesita un IBM ID?
¿Olvidó su IBM ID?


¿Olvidó su Password?
Cambie su Password

Al hacer clic en Enviar, usted está de acuerdo con los términos y condiciones de developerWorks.

 


La primera vez que inicie sesión en developerWorks, se creará un perfil para usted. La información en su propio perfil (nombre, país/región y nombre de la empresa) se muestra al público y acompañará a cualquier contenido que publique, a menos que opte por la opción de ocultar el nombre de su empresa. Puede actualizar su cuenta de IBM en cualquier momento.

Toda la información enviada es segura.

Elija su nombre para mostrar



La primera vez que inicia sesión en developerWorks se crea un perfil para usted, teniendo que elegir un nombre para mostrar en el mismo. Este nombre acompañará el contenido que usted publique en developerWorks.

Por favor elija un nombre de 3 - 31 caracteres. Su nombre de usuario debe ser único en la comunidad developerWorks y debe ser distinto a su dirección de email por motivos de privacidad.

Los campos obligatorios están marcados con un asterisco (*).

(Por favor elija un nombre de 3 - 31 caracteres.)

Al hacer clic en Enviar, usted está de acuerdo con los términos y condiciones de developerWorks.

 


Toda la información enviada es segura.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=90
Zone=Cloud computing, SOA y servicios web
ArticleID=850832
ArticleTitle=Seguridad en la nube controlada por modelo
publish-date=12102012