El valor de la gestión de datos

IaaS: consideraciones de seguridad

Posted on Wed, Dec 12, 2018

IaaS, las siglas por las que se conoce a la infraestructura como servicio, es el modelo tradicional de nube proporcionado por proveedores como VMware, Microsoft Azure o Amazon AWS, entre otros. Bajo este planteamiento se ofrecen equipos virtuales o servicios informáticos sin servidor.

IaaS

Jirsak

Una de las ventajas de IaaS es que existen muy pocas limitaciones acerca de qué aplicaciones se pueden ejecutar en la infraestructura o qué herramientas se pueden usar para ejecutar las aplicaciones. Además, muchos proveedores de servicios también ofrecen bases de datos o almacenamiento en la nube, como complemento a la infraestructura.

Sin embargo, los servicios de seguridad son una de las adiciones necesarias a la ecuación de IaaS puesto que, en este tipo de plataforma, pueden presentarse diversos problemas que requieren una buena solución.

IaaS: seguridad en los servicios en la nube

La seguridad de cualquier servicio que se ejecute en la nube depende del nivel de protección que la infraestructura cloud pueda garantizar, así como de la visión de la empresa usuaria para evitar la amenaza haciendo las mejores elecciones. En general, los riesgos de este tipo que afectan a la infraestructura suponen una importante preocupación de seguridad, que va más allá de las que afectan a los servidores tradicionales.

Entre los más destacables, se encuentran los siguientes:

  • Amenazas internas. Los empleados del proveedor de servicios en la nube tienen acceso directo al hardware y las redes, y muchos tienen acceso a los hipervisores, los sistemas de aprovisionamiento y la infraestructura de autenticación. Por lo tanto, suponen una amenaza potencial debido a sus privilegios. La forma de prevenir este tipo de situaciones es centrándose en la elección de proveedores IaaS confiables.
  • Escape de máquinas virtuales, contenedores o sandboxes. Si un cliente puede escapar de una máquina virtual, un contenedor o un entorno aislado sin servidor, podría ganar acceso al hipervisor o sistema operativo que ejecuta las cargas de trabajo de otros clientes. Una vez en un hipervisor, el atacante tendría la posibilidad de modificar el código, robar secretos e instalar malware en cualquier instancia del mismo hardware. El riesgo de tales desgloses se puede reducir al minimizar el número de controladores de virtualización y otras funciones compatibles con el hipervisor, el uso estricto de SELinux en el modo de cumplimiento y las herramientas de detección de intrusos.
  • Obtención ilícita de autenticaciones. El acceso a las cuentas utilizadas para aprovisionar las máquinas virtuales y otros servicios en la nube permite al atacante simplemente utilizar la API o la interfaz de usuario del servicio en la nube para destruir los servicios u otorgar acceso adicional según se desee. Las credenciales para acceder al servicio en la nube se pueden obtener, por ejemplo, instalando un registrador de teclas en el escritorio de un administrador como parte de una violación más amplia en la red interna. La formación e información a los usuarios de negocio es una de las maneras más efectivas de ampliar la protección de la empresa que usa IaaS.
  • Vulneración de la encriptación. Una forma de obtener acceso a la nube es romper el cifrado. La mayoría de los servicios en la nube y las API están protegidos mediante el protocolo TLS, que a su vez depende de PKI para la autenticación. La forma típica de romper el cifrado es romper la PKI. Un PKI generalmente proporciona un buen nivel de seguridad contra atacantes ocasionales, sin embargo, puede vulnerarse mediante la obtención de un certificado de CA de cualquiera de las autoridades de certificación, previa a la creación de nuevos certificados para cualquier sitio que se combinarían con ataques de nivel de red, potencialmente realizar un ataque de intermediario en cualquier usuario final o API o conexión de base de datos asociada con la aplicación. Así se produciría un ataque con fines diversos, que podrían ir desde el robo a la modificación de datos. La manera de evitar esta amenaza para la integridad de la IaaS es asegurándose el proveedor de servicios en la nube de mantener su infraestructura bien parcheada y configurada adecuadamente.

¿Listo para explotar los beneficios de IaaS sin riesgos?

 

powerdata_transicion_nube

Topics: Cloud