El cloud computing (o abreviadamente cloud o nube) puede contemplarse desde numerosos puntos de vista, como por ejemplo: la de tecnología, la de paradigma, la de filosofía-modelo-enfoque IT, la de ecosistema, etc. Soporta en principio tres tipos básicos: SaaS (Software as a Service), PaaS (Platform as a Service), IaaS (Infrastructure as a Service). El cloud computing es ante todo computación basada en Internet donde un conjunto de recursos compartidos, software e información se proporcionan a todo tipo de dispositivos de computación con navegador y conexión a Internet de forma similar a la corriente suministrada por la red eléctrica.

Exploracion1El cloud computing es un término general utilizado para describir una nueva clase de computación basada en red que utiliza Internet, proporcionado por un proveedor de servicio,  soporta acceso a red bajo demanda e integra un conjunto compartido de recursos de computación configurable. Integra un colectivo/grupo de hardware/software en red integrado e infraestructura Internet denominado plataforma. Utiliza Internet para la comunicación-transporte de información y proporciona hardware, software y servicios de red a los clientes. Estas plataformas ocultan la complejidad y los detalles de la infraestructura subyacente de usuarios y aplicaciones proporcionando una interfaz gráfica simple o API (Applications Programming Interface). La plataforma proporciona servicios bajo demanda que siempre están activos independientemente del lugar fecha y hora. Se paga por su uso y cuando se necesita, los servicios son elásticos, permiten escalado tanto al alta como a la baja en capacidad y funcionalidades. Los servicios hardware y software están disponibles para empresas, grandes corporaciones, mercados de negocios, público en general.

 


Características principales. Valores y peligros
Las características principales que definen los datos, servicios de aplicaciones e infraestructura de nube son:

(i)    Los servicios o datos se hospedan en infraestructuras remotas.
(ii)    Ubicuos. Los servicios o datos están disponibles desde cualquier sitio donde haya Internet (y ¿Qué pasa con  los ataques por jamming, interferencias EM e inhibidores de RF).
(iii)    Presenta un enfoque del tipo modelo de utility computing similar a servicios tradicionales como gas, agua, electricidad, pagando por lo que se gasta. Actualmente el cloud computing se encuentra en un período de cierto crecimiento, no obstante dicha tecnología sigue presentando diversas cuestiones no resueltas sobre ciberseguridad-ciberprivacidad y en cierto modo es inmadura.

El principal valor del cloud computing radica en su capacidad para posibilitar que los recursos (IAAS: infraestructura de computación como entorno de virtualización de plataforma, PaaS: plataforma de computación para desarrollar aplicaciones, SaaS: aplicaciones software propiamente dichas, etc.) se encuentren disponibles de forma transparente independientemente del lugar donde se encuentre el consumidor y sobre todo tipo de gadgets hardware como tablets, smartphones, máquinas de juegos, PCs, gafas con realidad aumentada, prótesis médicas, etc. con conexión a Internet.   


Uno de los líderes mundiales en virtualización e infraestructura de nube VMware define cloud computing como un nuevo enfoque que reduce la complejidad IT en base a combinar de forma eficiente infraestructura virtual auto-gestionada bajo demanda, consumida como servicio. Algunos de los muchos desarrollos clave en cloud son Google App Engine (PaaS), Blue Cloud Force-com de IBM-Salesforce-com, Azure de Microsoft, AWS de Amazon.com, etc.


Exploracion2La compañía Dell trabaja en un proyecto denominado Ophelia, se trata de un computador virtual en la nube que puede accederse desde cualquier sitio con conexión a Internet. El objetivo es permitir a los usuarios acceso a su propio computador y aplicaciones desde cualquier dispositivo conectado. El proveedor de servicio monitoriza el rendimiento para mantenerlo constante, permitiendo que múltiples usuarios puedan utilizar los recursos y servicios proporcionados. Según el Institute of Engineering and Technology, IHS la tendencia en almacenamiento en la nube pasará de unos 625 millones de abonados en el 2013 a unos 820 en el 2015, a unos 1000 en el 2016 y a unos 1300 en el 2017. La GTRA (Government Technology Research Alliance) indica que el mayor problema a la hora de implantar cloud computing sigue siendo la ciberseguridad.

 


Inconvenientes y problemas del Cloud-Computing
Los despliegues cloud computing van siendo cada día más populares incluye un creciente número de aplicaciones de usuario desde procesadores de texto Word, antivirus,  fotos, calendario, mapas, vídeos, CRM, almacenamiento de información hasta Redes Sociales.  Algunos servicios que utilizan cloud son: Dropbox, Worldcat, Mendeley, ExLibris, Library Thing, Research Gate, etc. además de Google Apps, Youtube, Remotexs, Zimbara, Facebook, Cybrarian, Word365, Liblime Koha, etc. Los servicios de cloud son atractivos ya que ofrecen disponibilidad, fiabilidad, accesibilidad global, etc. lo no es tan sencillo con las aplicaciones de computador de sobremesa.


Desafortunadamente estos beneficios conllevan el costo de tener que confiar en el proveedor de servicios con la confidencialidad, integridad y disponibilidad de los datos del cliente. Nuestros datos privados guardados en los proveedores de cloud pueden ser copiados-robados-filtrados-fugados sin garantías a entidades maliciosas de fuera (competidores), de dentro (personal deshonesto), gobiernos (locales o extranjeros). Un proveedor de cloud tanto comprometido como malicioso puede manipular los datos del usuario o incluso equivocarse mostrando a diferentes usuarios vistas divergentes del estado del sistema. Algunas contramedidas se están desplegando basadas en la seguridad de la gestión de claves criptográficas, pero aún en este caso es posible saltarse el secreto de claves y de cifrados en base a técnicas avanzadas de ingeniería inversa, criptoanálisis, side-channel, etc.


Exploracion3Áreas de ciberataques. Ciber-Salvaguardas en Cloud-Computing
Un análisis sosegado de las cuestiones de ciberseguridad en torno a la nube permite identificar diferentes áreas de ciberataques:

(1)    Ciberataques a la disponibilidad. Hay cosas que no se pueden ejecutar en la nube por el peligro de colapsar a esta, relacionadas por el volumen de personas implicadas o por la potencia exigida como herramientas tipo SAPvX. De qué forma el proveedor de la nube asegura la integridad de las computaciones, por ejemplo, con su palabra o bien poniendo la misma tarea-aplicación ejecutándose por muchos procesadores hasta que se alcance un consenso sobre el resultado correcto. Existen muchos puntos de ataque contra la disponibilidad en enlaces, servidores, sistemas operativos, hipervisores, aplicaciones, drivers, datos, etc.


(2)    Ciberataques tradicionales. En este apartado se engloban los ataques a: (i) Nivel de máquina virtual. Vulnerabilidades en la tecnología de máquina virtual/hipervisor utilizados por los proveedores de nubes en sus arquitecturas multi-arrendatario. Como componentes de mitigación firewalls, monitorización e IDS/IPS/IAM. (ii) Vulnerabilidades del proveedor de nube. Es el caso de inyección SQL, XSS, etc. Como componentes de mitigación las herramientas de gestión de vulnerabilidades y de auditoria. (iii) Análisis forense profesional en la nube incluso frente a técnicas anti-forenses. Actualmente es una misión imposible. (iv) Vectores de ataques de phishing. La nube puede servir de vector de ataque para ingeniería social. (v) Tareas de autenticación y autorización. No se pueden extender a la nube. (vi) Superficie de ataque de red super-extendida. El usuario de la nube debe proteger la infraestructura usada para conectar e interactuar con la nube, tarea muy complicada.


(3)    Ciberataques al control de datos de terceras partes. En este apartado se engloban los ataques a: (i) Espionaje del proveedor de la nube. (ii) Aplicación de obligaciones contractuales y SLAs (Service Level Agreetments) con el proveedor de la nube. (iii) Auditoría y estándares de cumplimiento. Para ciertas regulaciones se exige mantener los datos y operaciones en ciertas localizaciones geográficas. Algunos proveedores han comenzado a incluir servicios de geo-targeted.


(4)    Ciberataques a la gestión de claves. La gestión de claves criptográficas de cifrado fue diseñada para servidores físicos y no opera adecuadamente en virtualización. No es seguro almacenar contraseñas o certificados en VMs individuales.

 

Exploracion4(5)    Otros ciberataques. Ataque al aislamiento de procesos/VMs, a la segregación de datos, al multi-arrendamiento, a la localización de datos, a la autenticación, a la compartición de datos, al acceso a los datos, al cifrado/firma digital/generación de nonces/PRNG pseudoaleatorios, a la delegación de autoridad de acceso, a la IAM/AAA, a las arquitecturas-modelos de seguridad, etc. Si la plataforma VM proporciona alta disponibilidad, las aplicaciones no y viceversa. Ataques a la protección de datos en tres direcciones seguridad de datos personales, localización de datos personales y acceso a dichos datos personales.

 


Tecnologías de virtualización y Cloud-Computing. Xen
La tecnología de virtualización es una tecnología clave en cloud computing. Algunos productos bien conocidos de virtualización son: Xen (originalmente desarrollado por Cambridge, ahora Citrix para Linux), VMWare (para Linux y Windows) y Parallel desktop (para Mac). La tecnología de virtualización permite que múltiples sistemas operativos compartan una máquina de computación. Una instancia que se ejecuta de un sistema operativo invitado se denomina VM (Virtual Machine). La tecnología de virtualización puede hospedar cientos de máquinas virtuales. Los principales beneficios que ofrece la virtualización son la consolidación de recursos, la migración de VMs, el balanceo de carga de trabajo y el aislamiento del entorno.


Los componentes de Xen son:

(i)    El hipervisor. Se sitúa entre el hardware y cualquier sistema operativo. Es responsable de planificar la CPU y la partición de memoria de las VM. Permite controlar las ejecuciones de otros dominios y utiliza la filosofía menos es más (una nueva versión es menos que la versión antigua y no re-implementa las funciones que han sido proporcionadas por el sistema operativo como por ejemplo red y E/S).
(iI)    Dominio 0. Es un kernel de Linux modificado con gestión y control de dominios, contiene drivers de dispositivo para acceder al hardware (por ejemplo ND-Network Driver y BBD-Block Backend Driver) e interactúa con otras VMs.
(iii)    Dominio U. No tiene acceso directo al hardware, comparte recursos con otros dominios (los recursos son virtualizados). En la versión Xen 3.X se requiere sistemas operativos modificados (Linux, Windows, Solares, UNIX). Desde la versión Xen 4 soporta sistemas operativos originales. Escribir en Xen es similar a escribir en el sistema operativo Linux, por ejemplo las system call son hypercall, las signals son events, los filesystem son XenStore. Agunos hipervisores típicos utilizados en entorno de virtualización son: KVM, Xen/XCP, HyperV, VMWare, Grizzly, etc.


Exploracion5Consideraciones finales
El paradigma cloud computing es un área activa de investigaciones, por ejemplo se han propuesto métodos de almacenamiento en la nube algo más privados que Dropbox/Google-Drive/iCloud como Own-Cloud y Tahoe-lafs. Así mismo en código abierto Seafile (permite construir una nube privada para compartir ficheros y colaborar en red, funciona de forma similar a Dropbox con clientes que se sincronizan de forma transparente), Duplicati (es una herramienta de backup de ficheros con cifrado, se conecta con sistemas de almacenamiento en la nube como Amazon S3, Google-Drive, Windows-Skydrive y Rackspace y servidores personales con acceso SSH/FTP). Nuestro grupo de investigación lleva más de quince años evaluando/analizando y sintetizando/implantando sistemas de protección para mejorar la ciberseguridad/privacidad tan importante sobre todo en entornos de clouds públicas-híbridas.

Este artículo se enmarca en las actividades desarrolladas dentro de LEFIS Network.

Autor:

Prof. Dr. Javier Areitio Bertolín – E.Mail: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
Catedrático de la Facultad de Ingeniería. Universidad de Deusto.
Director del Grupo de Investigación Redes y Sistemas.


Bibliografía


     Areitio, J. “Seguridad de la Información: Redes, Informática y Sistemas de Información”. Cengage Learning-Paraninfo. 2013.
     Areitio, J. “Identificación, análisis y correlación entre protección física y ciberseguridad”. Revista Conectrónica. Nº 161. Octubre 2012.
     Areitio, J. “Análisis de riesgos en ciberseguridad y ciberprivacidad de la información en torno a los sistemas AmI”. Revista Conectrónica. Nº 163. Enero 2013.
     Areitio, J. “Evolución de amenazas y tendencias en seguridad de red en el contexto Web”. Revista Conectrónica. Nº 142. Noviembre 2010.
     Winkler, V. “Securing The Cloud: Cloud Computer Security Techniques and Tactics”. Syngress Publications. 2011.
     Mather, T., Kumaraswamy, S. and Latif, S. “Cloud Security and Privacy: An Enterprise Perspective on Risk and Compliance”. O’Reilly Media. 2009.
     Halpert, B. “Auditing Cloud Computing: A Security and Privacy Guide”. Wiley. 2011.
     URL: http://www.cloudsecurityalliance.org
     Krutz, R.L. and Vines, R.D., “Cloud Security: A Comprehensive Guide to Secure Cloud Computing”. Wiley. 2010.
     Murugesan, S. “Cloud Computing”. Chapman and Hall / CRC. 2012.
     Smoot, S.R. and Tan, N.K. “Private Cloud Computing”. Morgan Kaufmann. 2012.
     Bauer, E. and Adams, R. “Reliability and Availability of Cloud Computing”. Wiley-IEEE Press. 2012.
     Buchanan, W.J. “Advanced Cloud Computing and Virtualization”. Auerbach Publishers. 2012.
     Lim, I, Hourani, P. and Coolidge, E.C. “Securing Cloud and Mobility: A Practitioner’s Guide”. Auerbach Publications. 2012.
     McNab, C. “Secure Cloud Deployment”. McGraw-Hill Osborne Media. 2012.
     Siepmann, F. “Managing Risk and Security in Outsourcing IT Services: Onshore and the Cloud”. Auerbach Publications. 2013.
     Rountree, D. and Castrilllo, I. “The Basics of Cloud Computing: Understanding the Fundamentals of Cloud Computing in Theory and Practice”. Syngress. 2013.
     Nepal, S. and Pathan, M. “Security, Privacy and Trust in Cloud Systems”. Springer. 2013.

Más información o presupuesto

Submit to FacebookSubmit to Google PlusSubmit to TwitterSubmit to LinkedIn

Conectores Revista FTTH Electrónica industrial. Cursos de fibra Óptica, Seminarios Online, Noticias Tecnología y Ferias Tecnologicas,Cables y Conectores Industriales de Fibra Optica, Noticias Empresas, Osciloscopios y Herramientas, Centros de datos.